Salut

Sur la page: http://www.debian.org/security/, il est indiqué:

Cela nécessite une ligne telle que : deb http://security.debian.org/ lenny/updates main contrib non-free dans votre fichier /etc/apt/sources.list.

Dans le cas de mon serveur (squeeze 2.6.32-5-486), le sources.list actuel est des plus basiques:

[code]deb http://ftp.fr.debian.org/debian/ squeeze main
deb-src http://ftp.fr.debian.org/debian/ squeeze main

deb http://security.debian.org/ squeeze/updates main
deb-src http://security.debian.org/ squeeze/updates main[/code]

Est-ce qu’il y a la moindre utilité à ajouter “contrib non-free” aux 2 lignes qui concernent la sécurité ou cela ne sert que si je l’ajoutais aussi aux 2 premières lignes? Je pencherai plutôt pour la seconde solution mais bon il y a encore beaucoup de choses qui m’échappent…

[quote=“Fatimon”]Salut

Sur la page: http://www.debian.org/security/, il est indiqué:

Cela nécessite une ligne telle que : deb http://security.debian.org/ lenny/updates main contrib non-free dans votre fichier /etc/apt/sources.list.

Dans le cas de mon serveur (squeeze 2.6.32-5-486), le sources.list actuel est des plus basiques:

[code]deb http://ftp.fr.debian.org/debian/ squeeze main
deb-src http://ftp.fr.debian.org/debian/ squeeze main

deb http://security.debian.org/ squeeze/updates main
deb-src http://security.debian.org/ squeeze/updates main[/code]

Est-ce qu’il y a la moindre utilité à ajouter “contrib non-free” aux 2 lignes qui concernent la sécurité ou cela ne sert que si je l’ajoutais aussi aux 2 premières lignes? Je pencherai plutôt pour la seconde solution mais bon il y a encore beaucoup de choses qui m’échappent… [/quote]
Il me semble que c’est utile surtout si tu utilises des paquets non-libres sur ton serveur (quoique peu probable :D)
Tu as les options suivantes possibles : main, contrib, non-free
main : te donne accès aux mises à jours relatives aux paquets sous licence libre supportés dans les dépôts Debian
contrib : te donne accès aux mises à jour relatives aux paquets sous licence libre mais qui sont des dépendances à des paquets non-libres proposés dans les dépôts Debian.
non-free : te donne accès à des mises à jour relatives aux paquets sous licence restrictive supportés dans les dépôts Debian.

Ajoute ou retire ces trois mots en fonction des mises à jours que tu souhaites recevoir, vu que tu n’as que “main” d’activé (cad écrit dans la ligne), tu ne recevra des mises à jour que pour les paquets qui entrent dans cette catégorie. Donc même si tu n’utilises pas de paquets non-libres, ajoute quand même ces 3 trois mots à ton fichiers sources.list, pour être couvert par d’éventuelles mises à jour qui concernent des paquets non-libres. Vaut mieux avoir plus de sources de maj que pas assez .

Le fonctionnement est le même avec les deux premières lignes, sauf quelles indiquent à quelles dépôts rechercher des paquets. Si tu n’avais que le mot “main” activé dans cette ligne, tu n’aurais accès qu’à des paquets sous licence totalement libre.

Ok merci M’sieur

Bonjour,

Ton article parle plus de la faille de DNS mais pas de faille du SSL.

Et bind9 à été corrigé et était disponible dans les depot : lists.debian.org/debian-security … 00184.html

Effectivement micky979, tu as probablement raison, je dois peut-être confondre avec la faille SSL qui a touché Debian un peu plus tard…

Et toujours en rapport à la sécurité, comment savoir si le pare-feu par défaut protège bien mon ordinateur ?
sous Squeeze (comme sous Ubuntu), j’entre la commande

ufw enable

pour activer le pare-feu, comment savoir si je suis bien protégé avec la configuration par défaut ?
Le pare-feu est quelque chose d’assez compliqué à ce que j’ai pu voir (post de Ricardo dans les astuces), la configuration par défaut doit suffir, mais comment vérifier ?
J’ai déja consulté des sites Web spécialisés et tous mon répondu que tout est OK , mais je me pose des questions sur la pertinence des résultats car ces mêmes résultats sont OK également avec le pare-feu désactivé…

Peut-être un fichier qui recense des règles ? ou des commandes qui vérifie les ports ou des trucs comme ça… Je ne connais pas du tout ce domaine là…

Et puis si vous avez des liens vers une bonne documentation pour Debian, ça serait sympa, je suis allé voir sur le site Debian.org mais je n’y ai trouvé que des guides d’installation ou de configuration basiques. Si vous avez des liens que ce soit en Anglais ou en Français, pour une doc trop remplie mais complète n’hésitez pas à m’en faire part, je suis curieux et motivé

@Heliox: je sait pas à quel point il est fiable mais en tout cas http://check.sdv.fr/ ne trouve pas les mêmes ports ouverts selon que j’active ou non mes règles iptables (et accessoirement il marche avec un navigateur en mode texte comme lynx)

Sur le site debian.org justement, j’ai trouvé ça http://www.debian.org/doc/#manuals
Et notamment http://www.debian.org/doc/manuals/debian-reference/index.fr.html
ainsi que
http://www.debian.org/doc/manuals/securing-debian-howto/index.fr.html
C’est bien fourni déjà non ?

Merci des vos liens, et puis je ne sais pas si vous connaissez, mais pour sécuriser votre système, la doc propose Bastille Linux, vous avez déja essayé ?

A propos de la faille SSL de 2008, voici la manip qu’il fallait faire sur une etch:http://aide.sivit.fr/index.php?2008/05/24/261-debian-faille-ssl

Il y avait bien une mise à jour corrective, très rapide; linux-eco.org/blog/index.php … n-des-cles

L’alerte security:http://www.debian.org/security/2008/dsa-1571 qui confirme la correction dans etch 4.0
Debian fourni aussi un mode d’emploi très complet pour restaurer la sécurité des clefs: wiki.debian.org/SSLkeys

Si tu n’as pas eu cette mise à jour, c’est que soit tu as mal configuré ton système, soit tu l’utilises mal.
Est ce que tu fais très réguliérement des apt-get update ?
Et des apt-get dist-upgrade, et pas seulement des upgrade ?

[quote=“piratebab”]A propos de la faille SSL de 2008, voici la manip [/quote]…
Merci pour l’info piratebab. Je cherchais justement tout ça afin de l’expliquer à Heliox mais je n’arrivais pas à trouver.
Au final, je pense que question documentation et sécurité, debian c’est du sérieux.
Il y a moins de clinquant et de paillettes qu’ailleurs mais c’est diablement efficace.

Bien super piratebab
Ah si j’avais su ça à l’époque…

Et sinon quelqu’un a déja essayé Bastille-Linux, ça vaut quoi ?
Et enfin à propos de SELinux, Fedora l’intègre par défaut, est-ce réellement utile ?

SE linux apporte une granularité supplémentaire à la gestion des droits d’accès. C’est utile sur une machine sensible, et à condition de savoir le paramétrer …
Bastille linux est utile pour se faire un routeur connecté en direct à internet, pour une PME par exemple. Pour un particulier, on trouve des routeurs tout fait, qui consomment peu d’énergie, et tout aussi efficace.

Ouais, je vais voir pour SELinux, ça fait toujours une bonne expérience et semble plutôt utile : supinfo-projects.com/en/2005/selinux_2005/3/
Et pas trop difficile à mettre en œuvre sous Debian, je l’avais fait à l’époque je me souviens que c’était pas spécialement difficile, par conte faut accepter de voir les performances du système diminuer d’environ 7% avec une politique dite “ciblée” (targeted) par rapport à un système sans SELinux.

Et puis il existe un forum officiel (en anglais) pour Debian ou bien des non-officiels ? (j’ai rien trouvé qui semble officiel, mais différents forums séparés), les mailing-lists publiques, ça sert de forum il me semble non ?

Hem, je sais je suis chiant avec mes questions de sécurité, mais j’aurais voulu savoir pourquoi Debian n’intègre pas, par défaut des moyens de sécurité internes utilisés par d’autres distributions par exemple.
Là par exemple : en.wikipedia.org/wiki/Comparison … y_features

Pour la mandatory access control, on peut activer SELinux, le kernel est prévu pour.
Par conte je suis surpris de voir que Debian ne supporte pas le NX_bit, même RSBAC.

Pourtant, ces options pourraient être utiles dans certains cas et sont sorties depuis bien longtemps…

Alors bien évidemment on pourrait dire que de l’ancien matériel ne supporte pas ces options (notamment le NX_bit), mais depuis l’architecture AMD64, tous les processeurs supportent le NX_bit…

Peut être pour ça, entre autres :

Source : en.wikipedia.org/wiki/AppArmor

Je précise que AppArmor est le système de gestion des droits utilisé par Debian d’après la source indiquée par Heliox.

Non je ne pense pas que Debian utilise AppArmor (jamais vu de truc pareil), dans la catégorie, Debian et Ubuntu sont confondus, et Ubuntu utilise AppArmor (c’est connu et c’est affiché lors du démarrage).

Ben debian, c’est « le système d’exploitation universel », c’est à toi de faire ce que tu veux pour ta sécurité (en t’aidant des manuels et des softs dispos dans les dépôts).

J’ai déjà vu sur des forums des utilisateurs de Fedora qui se retrouvaient bloqués par SELinux. Ce n’est pas en mettant plein de softs qu’on sécurise un ordinateur, c’est en mettant seulement ce qu’il faut et en le paramétrant comme il faut (selon l’utilisation/le danger/le coût).

Si tu veux un truc pour parano, regarde du côté d’OpenBSD.