Installer debian de manière sécurisée

Bonjour, faut-il éviter la netinstall? j’ai pas trop compris ce paragraphe

[quote] Le système ne devrait pas être connecté à Internet pendant l’installation. Cela peut paraître stupide mais il faut savoir que l’installation par le réseau est une méthode d’installation habituelle. Étant donné que le système va installer et activer les services immédiatement, si le système est connecté à Internet et que les services ne sont pas configurés correctement, vous les exposez à des attaques.

Il faut noter également que certains services peuvent avoir des trous de sécurité qui n’ont pas encore été corrigés dans les paquets que vous utilisez pour l’installation. C’est généralement vrai si vous installez depuis de vieux supports (comme des CD). Dans ce cas, il se peut que le système soit compromis avant même la fin de l’installation !

Étant donné que l’installation et les mises à jour peuvent être faites par Internet, vous pourriez penser que c’est une bonne idée d’utiliser cette caractéristique lors de l’installation. Si le système va être connecté directement à Internet (et pas protégé par un pare-feu ou un NAT), il est plus judicieux de l’installer sans connexion à Internet et d’utiliser un miroir local de paquets contenant à la fois les paquets source et les mises à jour de sécurité. Vous pouvez mettre en place des miroirs de paquets en utilisant un autre système connecté à Internet et des outils spécifiques à Debian (si c’est un système Debian) tels que apt-move ou apt-proxy ou tout autre outil de miroir pour fournir l’archive aux systèmes installés. Si vous ne pouvez pas faire cela, vous pouvez mettre en place des règles de pare-feu pour limiter l’accès au système pendant la mise à jour (consultez Mise à jour de sécurité protégée par un pare-feu, Annexe F). [/quote]

D’après ce que je sais la majorité des gens installent leur debian avec Netinstall et je n’ai jamais lu de retour avec problème.

Peu de gens ici se prennent la tête avec ça, et laissent leur Debian connectée à internet lors du 1er lancement.
Le minimum à faire est de préférer la dernière version stable de Debian (qui inclus les MàJ de sécurité), et le 1er réflèxe après démarrage peut-être de faire un [mono]aptitude update[/mono] pour vérifier s’il y a des mises à jour de sécurité disponibles… ce qui se fait naturellement, car quand on installe un système tout neuf, on a envie d’installer tout de suite plein de programmes et d’avoir un système tout neuf, donc les mises à jour, on les fait toutes. Donc l’exposition au danger éventuel reste brève.

Après, c’est légèrement contredire ce qui est dit dans ces pages, qui ciblent sans doute des environnements un peu plus risqués qu’une installation personnelle typique faite chez mémé.

Ce genre d’indication prend toutefois beaucoup de sens quand on l’applique à Windows. Il peut suffire de quelques minutes pour qu’une installation toute fraiche d’un Windows un peu vieux se fasse envahir par des virus. Donc en cela, ça légitime ce qui est dit dans ce paragraphe.

Note: une installation minimale (par net-install) pourrait minimiser les risques, car moins de services tournent que dans un environnement complet.

Logiquement, la netinstall va télécharger les paquets, et non les prendre du CD. Donc on devrait avoir les dernières versions directement, non ?

Je pense aussi, sauf pour le système de base déjà contenu dans l’ISO minimal.

Ce ne doit pas être dans le système de base qu’il y aura beaucoup de mises à jour si on prend garde de graver un CD récent avant chaque installation.

Il n’y a pas de services en écoute sur le réseau dans le système de base. Donc ça limite déjà pas mal.

On me dira que sur Windows, ça arrivait de se faire corrompre avec une install fraiche, à l’époque de XP pré-SP1 (fr.wikipedia.org/wiki/Sasser ). Ça ne m’étonnerai pas que le paragraphe suscité date de cette époque là…

Pour les paranos, on peut installer via debootstrap, et tout récupérer en dernière version du net. Bon, vous me direz, si on installe depuis un vieux livecd/usb, c’est pas forcément mieux.

bonsoir,
pour moi le netinstall est sécurisé,
et gros avantage on en dispose trés rapidement,

maintenant pour les sites “dit sensible”,
une installation pas à pas avec compilation des sources dumment analysés

primo il faut passer par une prestation, c’est trop laborieux, cela a un coût,
et puis je ne saurais pas le faire moi-même

secondo comme ma config n’a rien à cacher, je passe par le standard netinstall,
je suis sur d’avoir les derniers packages, les choix sont vastes

bonne fête de fin d’année
A+
JB1
:violin:

[quote=“kna”]Il n’y a pas de services en écoute sur le réseau dans le système de base. Donc ça limite déjà pas mal.

On me dira que sur Windows, ça arrivait de se faire corrompre avec une install fraiche, à l’époque de XP pré-SP1 (fr.wikipedia.org/wiki/Sasser ). Ça ne m’étonnerai pas que le paragraphe suscité date de cette époque là…

Pour les paranos, on peut installer via debootstrap, et tout récupérer en dernière version du net. Bon, vous me direz, si on installe depuis un vieux livecd/usb, c’est pas forcément mieux.[/quote]
je n’ai pas mis la source mais ca vient du guide de sécurisation de debian. Donc ils ne parlent pas de windows xp.

Par contre non, je ne suis ni président ni pdg. Donc si vous me le dites alors la netinstall me suffira.

Lors de l’installation de débian il nous est demandé le choix du miroir … à partir de là je ne vois pas ou se trouve le problème ? :114

Éviter, est un choix.
Ça dépend, de ton ip, de ton utilisation, de ce que tu installeras et de ce qui est installé.

Généralement ont a pas le besoin, au pire des cas pour les utilisateurs simple, on lance pas l’application risqué, on le supprime puis on installe en premier temps un équivalent ou la même ou supérieur avec la correction faite.

C’est un très un bon chapitre sécuritaire de debian d’ailleurs.
Pour les paranos, ils ont même ajouter: une sortie de log vers l’imprimante qui en temps réel imprime directement aussi, pour esquiver les suppressions de traces (peut-être j’inventes ou c’était dedans, la sortie peut se multiplier dans d’autre imprimante dans d’autres local, voir aussi du réseau, voir même dans le réseau pour éviter tout suppression, sa me rappelle kevin :smiley:).

C’est qui Kevin ?
J’utilise cups si c’est ce dont tu parles … je l’ai désactivé au démarrage de débiane via bum mais bon après je dois relancer le service via service cups restart, ce qui n’est pas très pratique : joyeuses fêtes ! 8)

fr.wikipedia.org/wiki/Kevin_Mitnick

Au final , c’est un type super sympa !
Tant qu’il ne fouille pas dans mes comptes … en même temps il ne fera pas fortune :mrgreen:

Même sans fortune ton compte peut servir à beaucoup de chose, imagine qu’il remplit ton compte et fait des payements d’ar***s.
Tu te verras réveiller à 3 heure du matin avec des policiers habiller tout bizarres qui sont entrer par le mur et les fenêtres, j’espère ta pris tes médicaments.

:smiley: Oh moins t’auras une aventure à raconter…

Faut arrêter la parano avec mon niveau limite bac + 2 personne n’y croira à part toi ! :laughing:

Pourtant c’est hyper connu, les hackers utilise depuis longtemps les pc d’autres généralement sous windows :smiley: pour attaquer leurs cibles.
Le coupable pointé du doigt: le propriétaire de l’ordinateur sous windows (le pauvre).

Sans s’éloigner du sujet, il est intéressent de bien sécuriser sa debian comme dans la doc de debian.

Foutu pour foutu … je réinstallerais un dual-boot et vaille que vaille : asta la vista comme dirait terminator ! :008