Product SiteDocumentation Site

Apêndice A. Revision History

Histórico de Revisões
Revisão 3-18.1Tue Mar 20 2018Marcos Fouces
Translation files synchronised with XML sources 3-18
Revisão 3-18April 2017Marcos Fouces
Migrate to Docbook XML.
Build with Publican. No longer use custom Makefile.
Revisão 3-17January 2017Thijs Kinkhorst
Remove mention of MD5 shadow passwords.
Do not recommend dselect for holding packages.
No longer include the Security Team FAQ verbatim, because it duplicates information documented elsewhere and is hence perpetually out of date.
Update section on restart after library upgrades to mention needrestart.
Avoid gender-specific language. Patch by Myriam.
Use LSB headers for firewall script. Patch by Dominic Walden.
Revisão 3-16January 2013Javier Fernández-Sanguino Peña.
Indicate that the document is not updated with latest versions.
Update pointers to current location of sources.
Update information on security updates for newer releases.
Point information for Developers to online sources instead of keeping the information in the document, to prevent duplication.
Extend the information regarding securing console access, including limiting the Magic SysRq key.
Update the information related to PAM modules including how to restrict console logins, use cracklib and use the features avialable in /etc/pam.d/login. Remove the references to obsolete variables in /etc/login.defs.
Reference some of the PAM modules available to use double factor authentication, for administrators that want to stop using passwords altogether.
Fix shell script example in Appendix.
Fix reference errors.
Point to the Basille sourceforge project instead of the bastille-unix.org site as it is not responding.
Revisão 3-15December 2010Javier Fernández-Sanguino Peña
Change reference to Log Analysis' website as this is no longer available.
Revisão 3-14March 2009Javier Fernández-Sanguino Peña
Change the section related to choosing a filesystem: note that ext3 is now the default.
Change the name of the packages related to enigmail to reflect naming changes introduced in Debian.
Revisão 3-13February 2008Javier Fernández-Sanguino Peña
Change URLs pointing to Bastille Linux to www.Bastille-UNIX.org since the domain has been http://bastille-linux.sourceforge.net/press-release-newname.html.
Fix pointers to Linux Ramen and Lion worms.
Use linux-image in the examples instead of the (old) kernel-image packages.
Fix typos spotted by Francesco Poli.
Revisão 3-12August 2007Javier Fernández-Sanguino Peña
Update the information related to security updates. Drop the text talking about Tiger and include information on the update-notifier and adept tools (for Desktops) as well as debsecan. Also include some pointers to other tools available.
Divide the firewall applications based on target users and add fireflier to the Desktop firewall applications list.
Remove references to libsafe, it's not in the archive any longer (was removed January 2006).
Fix the location of syslog's configuration, thanks to John Talbut.
Revisão 3-11January 2007Javier Fernández-Sanguino Peña
Thanks go to Francesco Poli for his extensive review of the document.
Remove most references to the woody release as it is no longer available (in the archive) and security support for it is no longer available.
Describe how to restrict users so that they can only do file transfers.
Added a note regarding the debian-private declasiffication decision.
Updated link of incident handling guides.
Added a note saying that development tools (compilers, etc.) are not installed now in the default 'etch' installation.
Added a note saying that development tools (compilers, etc.) are not installed now in the default 'etch' installation.
Fix references to the master security server.
Add pointers to additional APT-secure documentation.
Improve the description of APT signatures.
Comment out some things which are not yet final related to the mirror's official public keys.
Fixed name of the Debian Testing Security Team.
Remove reference to sarge in an example.
Update the antivirus section, clamav is now available on the release. Also mention the f-prot installer.
Removes all references to freeswan as it is obsolete.
Describe issues related to ruleset changes to the firewall if done remotely and provide some tips (in footnotes).
Update the information related to the IDS installation, mention BASE and the need to setup a logging database.
Rewrite the "running bind as a non-root user" section as this no longer applies to Bind9. Also remove the reference to the init.d script since the changes need to be done through /etc/default.
Remove the obsolete way to setup iptables rulesets as woody is no longer supported.
Revert the advice regarding LOG_UNKFAIL_ENAB it should be set to 'no' (as per default).
Added more information related to updating the system with desktop tools (including update-notifier) and describe aptitude usage to update the system. Also note that dselect is deprecated.
Updated the contents of the FAQ and remove redundant paragraphs.
Review and update the section related to forensic analysis of malware.
Remove or fix some dead links.
Fix many typos and gramatical errors reported by Francesco Poli.
Revisão 3-10November 2006Javier Fernández-Sanguino Peña
Provide examples using apt-cache's rdepends as suggested by Ozer Sarilar.
Fix location of Squid's user's manual because of its relocation as notified by Oskar Pearson (its maintainer).
Fix information regarding umask, it's logins.defs (and not limits.conf) where this can be configured for all login connections. Also state what is Debian's default and what would be a more restrictive value for both users and root. Thanks to Reinhard Tartler for spotting the bug.
Revisão 3-9October 2006Javier Fernández-Sanguino Peña
Add information on how to track security vulnerabilities and add references to the Debian Testing Security Tracker.
Add more information on the security support for testing.
Fix a large number of typos with a patch provided by Simon Brandmair.
Added section on how to disable root prompt on initramfs provided by Max Attems.
Remove references to queso.
Note that testing is now security-supported in the introduction.
Revisão 3-8July 2006Javier Fernández-Sanguino Peña
Rewrote the information on how to setup ssh chroots to clarify the different options available, thank to Bruce Park for bringing up the different mistakes in this appendix.
Fix lsof call as suggested by Christophe Sahut.
Include patches for typo fixes from Uwe Hermann.
Fix typo in reference spotted by Moritz Naumann.
Revisão 3-7April 2006Javier Fernández-Sanguino Peña
Add a section on Debian Developer's best practices for security.
Ammended firewall script with comments from WhiteGhost.
Revisão 3-6March 2006Javier Fernández-Sanguino Peña
Included a patch from Thomas Sjögren which describes that noexec works as expected with "new" kernels, adds information regarding tempfile handling, and some new pointers to external documentation.
Add a pointer to Dan Farmer's and Wietse Venema's forensic discovery web site, as suggested by Freek Dijkstra, and expanded a little bit the forensic analysis section with more pointers.
Fixed URL of Italy's CERT, thanks to Christoph Auer.
Reuse Joey Hess' information at the wiki on secure apt and introduce it in the infrastructure section.
Review sections referring to old versions (woody or potato).
Fix some cosmetic issues with patch from Simon Brandmair.
Included patches from Carlo Perassi: acl patches are obsolete, openwall patches are obsolete too, removed fixme notes about 2.2 and 2.4 series kernels, hap is obsolete (and not present in WNPP), remove references to Immunix (StackGuard is now in Novell's hands), and fix a FIXME about the use of bsign or elfsign.
Updated references to SElinux web pages to point to the Wiki (currently the most up to date source of information).
Include file tags and make a more consistent use of "MD5 sum" with a patch from Jens Seidel.
Patch from Joost van Baal improving the information on the firewall section (pointing to the wiki instead of listing all firewall packages available) (Closes: #339865).
Review the FAQ section on vulnerability stats, thanks to Carlos Galisteo de Cabo for pointing out that it was out of date.
Use the quote from the Social Contract 1.1 instead of 1.0 as suggested by Francesco Poli.
Revisão 3-5November 2005Javier Fernández-Sanguino Peña
Note on the SSH section that the chroot will not work if using the nodev option in the partition and point to the latest ssh packages with the chroot patch, thanks to Lutz Broedel for pointing these issues out.
Fix typo spotted by Marcos Roberto Greiner (md5sum should be sha1sum in code snippet).
Included Jens Seidel's patch fixing a number of package names and typos.
Slightly update of the tools section, removed tools no longer available and added some new ones.
Rewrite parts of the section related to where to find this document and what formats are available (the website does provide a PDF version). Also note that copies on other sites and translations might be obsolete (many of the Google hits for the manual in other sites are actually out of date).
Revisão 3-4August-September 2005Javier Fernández-Sanguino Peña
Improved the after installation security enhancements related to kernel configuration for network level protection with a sysctl.conf file provided by Will Moy.
Improved the gdm section, thanks to Simon Brandmair.
Typo fixes from Frédéric Bothamy and Simon Brandmair.
Improvements in the after installation sections related to how to generate the MD5 (or SHA-1) sums of binaries for periodic review.
Updated the after installation sections regarding checksecurity configuration (was out of date).
Revisão 3-3June 2005Javier Fernández-Sanguino Peña
Added a code snippet to use grep-available to generate the list of packages depending on Perl. As requested in #302470.
Rewrite of the section on network services (which ones are installed and how to disable them).
Added more information to the honeypot deployment section mentioning useful Debian packages.
Revisão 3-2March 2005Javier Fernández-Sanguino Peña
Expanded the PAM configuration limits section.
Added information on how to use pam_chroot for openssh (based on pam_chroot's README).
Fixed some minor issues reported by Dan Jacobson.
Updated the kernel patches information partially based on a patch from Carlo Perassi and also by adding deprecation notes and new kernel patches available (adamantix).
Included patch from Simon Brandmair that fixes a sentence related to login failures in terminal.
Added Mozilla/Thunderbird to the valid GPG agents as suggested by Kapolnai Richard.
Expanded the section on security updates mentioning library and kernel updates and how to detect when services need to be restarted.
Rewrote the firewall section, moved the information that applies to woody down and expand the other sections including some information on how to manually set the firewall (with a sample script) and how to test the firewall configuration.
Added some information preparing for the 3.1 release.
Added more detailed information on kernel upgrades, specifically targeted at those that used the old installation system.
Added a small section on the experimental apt 0.6 release which provides package signing checks. Moved old content to the section and also added a pointer to changes made in aptitude.
Typo fixes spotted by Frédéric Bothamy.
Revisão 3-1January 2005Javier Fernández-Sanguino Peña
Added clarification to ro /usr with patch from Joost van Baal.
Apply patch from Jens Seidel fixing many typos.
FreeSWAN is dead, long live OpenSWAN.
Added information on restricting access to RPC services (when they cannot be disabled) also included patch provided by Aarre Laakso.
Atualização do script apt-check-sigs do aj.
Aplicação do patch de Carlo Perassi corrigindo URLs.
Aplicação do patch de Davor Ocelic corrigindo muitos erros, enganos, urls, gramática e FIXMEs. Também adicionadas mais informações adicionais a respeito de algumas seções.
Reescrita a seção sobre auditoria do usuário, destacando o uso do script que não tem as mesmas restrições associadas ao histórico do shell.
Revisão 3-0December 2004Javier Fernández-Sanguino Peña
Reescrita as informações sobre auditoria de usuário incluindo exemplos de como usar o script.
Revisão 2-99March 2004Javier Fernández-Sanguino Peña
Adicionadas informações sobre referências nos DSAs e compatibilidade com o CVE.
Adicionadas informações a respeito do apt 0.6 (apt-secure colocado na experimental)
Corrigida a localização do HOWTO sobre como executar daemons em ambiente chroot como sugerido por Shuying Wang.
Alterada a linha do APACHECTL no exemplo de chroot do Apache (até se não for usado) como sugerido por Leonard Norrgard.
Adicionada uma nota de rodapé a respeito de ataques usando hardlinks caso as partições não fossem configuradas adequadamente.
Adicionada passos faltantes para executar o bind como named como descrito por Jeffrey Prosa.
Adicionada notas sobre o Nessus e Snort desatualizados na woody e disponibilidade de pacotes portados para esta versão.
Adicionado um capítulo a respeito da checagem de integridade periódica.
Esclarecido o estado de testes a respeito de atualizações de segurança. (Debian bug 233955)
Adicionadas mais informações a respeito de conteúdo esperado em securetty (pois é específicas de kernel).
Adicionadas referências ao snoopylogger (bug da Debian 179409)
Adicionadas referências ao guarddog (bug da Debian 170710)
apt-ftparchive is in apt-utils, not in apt (thanks to Emmanuel Chantreau for pointing this out).
Removido o jvirus da lista AV.
Revisão 2-98Javier Fernández-Sanguino Peña
Corrigidas URLs como sugerido por Frank Lichtenheld.
Corrigido o erro PermitRootLogin como sugerido por Stefan Lindenau.
Revisão 2-97September 2003Javier Fernández-Sanguino Peña
Adicionadas as pessoas que fizeram as contribuições mais significantes a este manual (por favor, envie um e-mail se achar que deveria estar nesta lista e não está).
Adicionadas algumas notas a respeito de FIXME/TODOs
Movidas informações a respeito de atualizações de segurança para o inicio da seção como sugerido por Elliott Mitchell.
Adicionado o grsecurity a lista de patches do kernel para segurança, mas adicionada uma nota de rodapé sobre situações atuais como sugerido por Elliott Mitchell.
Removidos os loops (echo para 'todos') no script de segurança de rede do kernel, como sugerido por Elliott Mitchell.
Adicionadas informações (atualizadas) na seção sobre antivirus.
Reescrita da seção de proteção contra buffer overflows e adicionadas mais informações sobre patches no compilador para ativar este tipo de proteção.
Revisão 2-96August 2003Javier Fernández-Sanguino Peña
Removido (e então novamente adicionado) apêndice sobre como rodar o Apache em ambiente chroot. O apêndice agora tem dupla licença.
Revisão 2-95June 2003Javier Fernández-Sanguino Peña
Corrigido erros enviados por Leonard Norrgard.
Adicionada uma seção sobre como contactar o CERT para manipulação de incidentes (#after-compromise)
Mais informações sobre como tornar um proxy mais seguro.
Adicionada uma referência e removido um FIXME. Agradecimentos a Helge H. F.
Corrigido um erro (save_inactive) observado por Philippe Faes.
Corrigido diversos erros descobertos por Jaime Robles.
Revisão 2-94April 2003Javier Fernández-Sanguino Peña
Segundo as sugestões de Maciej Stachura's, expandi a seção sobre limitação de usuários.
Corrigidos erros relatados por Wolfgang Nolte.
Corrigidos os links com o patch contribuído por Ruben Leote Mendes.
Adicionado um link para o excelente documento de David Wheeler na footnote sobre a contagem de vulnerabilidade de segurança.
Revisão 2-93March 2003Frédéric Schütz
reescrita toda a seção sobre atributos ext2 (lsattr/chattr)
Revisão 2-92February 2003Javier Fernández-Sanguino Peña, Frédéric Schütz
União da seção 9.3 ("patches úteis do kernel") na seção 4.13 ("Adicionando patches no kernel"), e adicionado algum conteúdo.
Adicionados alguns TODOs adicionais
Adicionadas informações sobre como checar manualmente por atualizações e também sobre o cron-apt. Desta forma, o Tiger não é declarado como o único método de verificação de atualizações.
Regravação da seção sobre a execução de atualizações de segurança devido aos comentários de Jean-Marc Ranger.
Adicionada uma nota sobre a instalação da Debian (que sugere que o usuário execute uma atualização de segurança após a instalação).
Revisão 2-91January/February 2003Javier Fernández-Sanguino Peña
Adicionado um patch contribuído por Frédéric Schütz.
Adicionadas algumas referências sobre capacidades. Agradecimentos a Frédéric.
Pequenas alterações na seção sobre o bind adicionando uma referência sobre a documentação on-line do BIND9 e referências apropriadas na primeira área (oi Pedro!)
Corrigida a data do changelog - ano novo :-)
Adicionada uma referência sobre o artigo do Colins para os TODOs.
Removida a referência para o antigo patch ssh+chroot
Mais patches de Carlo Perassi.
Correção de enganos (recursivo no Bind é recursão), apontados por Maik Holtkamp.
Revisão 2-9December 2002Javier Fernández-Sanguino Peña
Reorganizadas informações sobre o chroot (unidas duas seções, não tem muito sentido tê-las em separado)
Adicionada as notas sober como executar o Apache em ambiente chroot por Alexandre Ratti.
Aplicação de patches contribuídos por Guillermo Jover.
Revisão 2-8Javier Fernández-Sanguino Peña
Aplicados patches de Carlo Perassi, as correções incluem: nova quebra de linhas, correções de URL, e corrigidos alguns FIXMEs.
Atualizado o conteúdo da FAQ do time de segurança da Debian.
Adicionado um link para a FAQ do time de segurança da Debian e da referência do desenvolvedor da Debian, as seções duplicadas podem (apenas podem) serem removidas no futuro.
Corrigida a seção sobre auditoria manual com comentários de Michal Zielinski.
Adicionado links para lista de palavras (contribuídos por Carlo Perassi)
Corrigidos alguns enganos (outros mais estão por vir).
Corrigidos links TCP como sugerido por John Summerfield.
Revisão 2-7Javier Fernández-Sanguino Peña
Algumas correções de erros contribuídas por Tuyen Dinh, Bartek Golenko e Daniel K. Gebhart.
Nota sobre rootkits relacionados com /dev/kmem contribuído por Laurent Bonnaud
Corrigidos enganos e FIXMEs contribuídos por Carlo Perassi.
Revisão 2-6September 2002Cris Tillman
Alterações para melhorar a gramática/ortografia.
s/host.deny/hosts.deny/ (1 local)
Aplicado o patch de Larry Holish's (um pouco grande, corrige diversos FIXMEs)
Revisão 2-5.1September 2002Javier Fernández-Sanguino Peña
Corrigidos alguns pequenos erros enviados por Thiemo Nagel.
Adicionada uma footnote sugerida por Thiemo Nagel.
Corrigido um link de URL.
Revisão 2-5.0August 2002Javier Fernández-Sanguino Peña
Aplicado um patch enviado por Philipe Gaspar com relação ao Squid que também fecha um FIXME.
Sim, outro item da FAQ com relação a banners de serviços pego da lista de segurança debian-security (thread "Telnet information" iniciada em 26 de Julho de 2002).
Adicionada uma note com relação a referências cruzadas do CVE no item da FAQ Quanto tempo o time de segurança da Debian....
Adicionada uma nova seção relacionada a ataques ARP contribuída por Arnaud "Arhuman" Assad.
Novo item da FAQ com relação ao dmesg e logind e console pelo kernel.
Pequenos detalhes de informações relacionadas a checagem de assinaturas em pacotes (ele parecia não ter uma versão beta passada).
Novo item da FAQ com relação a falso positivo de ferramentas de checagem de vulnerabilidades.
Adicionadas nova seções ao capítulo que contém informações sobre assinatura de pacotes e reorganizando-as como um novo capítulo sobre Infraestrutura de Segurança na Debian.
Novo ítem da FAQ com uma comparação da Debian com outras distribuições Linux.
Nova seção sobre agentes de mensagem de usuários com funcionalidade GPG/PGP no capítulo ferramentas de segurança.
Esclarecimentos de como ativa senhas MD5 na woody, adicionadas referências à PAM assim também como uma nota relacionada a definição de max na PAM.
Adicionado um novo apêndice sobre como criar um ambiente chroot (após brigar um pouco com makejail e corrigindo, também, alguns de seus bugs), integradas informações duplicadas em todo o apêndice.
Adicionadas mais informações relacionadas ao chroot de SSH e seu impacto na transferência segura de arquivos. Algumas informações que foram pegas da lista de discussão debian-security (da thread de Junho de 2002: transferências de arquivos seguras).
Novas seções sobre como fazer atualizações automáticas em sistemas Debian assim também como dicas de uso de testing ou unstable relacionadas com atualizações de segurança.
Nova seção relacionada sobre como manter-se atualizado com patches de segurança na seção Antes do comprometimento assim como uma nova seção sobre a lista de discussão debian-security-announce mailing.
Adicionadas informações sobre como gerar automaticamente senhas fortes.
Nova seção com relação a usuários inativos.
Reorganização da seção sobre como tornar um servidor de mensagens mais seguro com base na discussão sobre instalação Segura/fortalecida/mínima da Debian (Ou "Porque o sistema básico é do jeito que é?") que ocorreu na lista debian-security (em Maio de 2002).
Reorganização da seção sobre parâmetros de rede do kernel, com dados fornecidos pela lista de discussão debian-security (em Maio de 2002, syn flood attacked?) e também adicionado um novo ítem da FAQ.
Nova seção sobre com verificar senhas de usuarios e que pacotes instalar para fazer isto.
Nova seção sobre a criptografia PPTP com clientes Microsoft discutido na lista debian-security (em Abril de 2002).
Adicionada uma nova seção descrevendo que problemas existem quando direciona um serviço a um endereço IP específico, esta informação foi escrita baseada em uma lista de discussão da bugtraq com a thread: Linux kernel 2.4 "weak end host" (anteriormente discutida na debian-security como "problema no") (iniciada em 9 de Maio de 2002 por Felix von Leitner).
Adicionadas informações sobre o protocolo versão 2 do ssh.
Adicionadas duas sub-seções relacionadas a configurações seguras do Apache (coisas específicas a Debian, é claro).
Adicionada uma nova FAQ relacionada a soquetes simples, um relacionado a /root, um ítem relacionado ao grupo users e outra relacionada a log e permissões de arquivos de configuração.
Adicionada uma referência ao problem na libpam-cracklib que ainda pode estar aberto... (precisa ser verificado)
Adicionadas mais informações com relação a análise forense (pendente mais informações sobre ferramentas de inspeção de pacotes como tcpflow).
Alterado o ítem "o que posso fazer com relação a comprometimento" na listagem e adicionado mais conteúdo.
Adicionadas mais informações sobre como configurar o Xscreensaver para bloquear a tela automaticamente após um tempo limite estabelecido.
Adicionada uma nota relacionada a utilitários que não deve instalar no sistema. Inclui uma nota relacionada ao Perl e porque ele não pode ser facilmente removido da Debian. A idéia veio após ler documentos do Intersects relacionado com o fortalecimento do Linux.
Adicionadas informações sobre o lvm e sistemas de arquivos com journaling, o ext3 é recomendado. No entanto, as informações lá devem ser muito genérica.
Adicionado um link para a versão texto on-line (verificar).
Adicionados mais alguns materiais com relação a informações sobre como fazer um firewall em um sistema local, levado por um comentário feito por Huber Chan na lista de discussão.
Adicionadas mais informações sobre a limitação do PAM e ponteiros aos documentos de Kurt Seifried's (relacionada a uma postagem por ele na bugtrack em 4 de Abril de 2002 respondendo a uma pessoa que "descobriu" uma vulnerabilidade na Debian GNU/Linux relacionada a esgotamento de recursos).
Como sugerido por Julián Muñoz, fornecidas mais informações sobre a umask padrão da Debian e o que um usuário pode acessar se tiver um shell em um sistema (provided more information on the default Debian umask and what a user can access if he has been given a shell in the system
Incluir uma nota na seção sobre senha de BIOS devido a um comentário de Andreas Wohlfeld.
Incluir patches fornecido por Alfred E. Heggestad corrigindo muitos dos erros ainda presentes no documento.
Adicionada uma referência ao changelog na seção créditos, pois muitas pessoas que contribuem estão listadas aqui (e não lá).
Adicionadas algumas notas a mais sobre a seção chattr e uma nova seção após a instalação falando sobre snapshots do sistema. Ambas idéias foram contribuídas por Kurt Pomeroy.
Adicionada uma nova seção após a instalação apenas para lembrar os usuários de alterar a seqüência de partida.
Adicionados alguns itens a mais no TODO, fornecidos por Korn Andras.
Adicionado uma referência as regras do NIST sobre como tornar o DNS mais seguro, fornecidas por Daniel Quinlan.
Adicionado um pequeno parágrafo relacionado com a infraestrutura de certificados SSL da Debian.
Adicionadas sugestões de Daniel Quinlan's com relação a autenticação ssh e configuração de relay do exim.
Adicionadas mais informações sobre como tornar o bind mais seguro incluindo alterações propostas por Daniel Quinlan e um apêndice com um script para fazer algumas das alterações comentadas naquela seção.
Adicionado um ponteiro a outro ítem relacionado a fazer chroot do Bind (precisam ser unidas).
Adicionada uma linha contribuída por Cristian Ionescu-Idbohrn para pegar pacotes com o suporte a tcpwrappers.
Adicionada um pouco mais de informações sobre a configuração padrão de PAM da Debian.
Incluída uma questão da FAQ sobre o uso de PAM para fornecer serviços sem contas shell.
movidos dois itens da FAQ para outra seção e adicionada uma nova FAQ relacionada com detecção de ataques (e sistemas comprometidos).
Incluídas informações sobre como configurar uma firewall ponte (incluindo um Apêndice modelo). Obrigado a Francois Bayart quem enviou isto para mim em Março.
Adicionada uma FAQ relacionada com o syslogd MARK heartbeat de uma questão respondida por Noah Meyerhans e Alain Tesio em Dezembro de 2001.
Incluídas informações sobre proteção contra buffer overflow assim como mais informações sobre patches de kernel.
Adicionadas mais informações e reorganização da seção sobre firewall. Atualização da informação com relação ao pacote iptables e geradores de firewall disponíveis.
Reorganização das informações disponíveis sobre checagem de logs, movidas as informações sobre checagem de logs de detecção de intrusão de máquinas para aquela seção.
Adicionadas mais informações sobre como preparar um pacote estático para o bind em chroot (não testado).
Adicionado um ítem da FAQ relacionado com servidores/serviços mais específicos (podem ser expandidos com algumas das recomendações da lista debian-security).
Adicionadas mais informações sobre os serviços RPC (e quando são necessários).
Adicionadas mais informações sobre capacidades (e o que o lcap faz). Existe alguma boa documentação sobre isto? e não encontrei qualquer documentação em meu kernel 2.4
Corrigidos alguns enganos.
Revisão 2-4June 2002Javier Fernández-Sanguino Peña
Parte da seção sobre BIOS foi reescrita
Revisão 2-3.1April 2002Javier Fernández-Sanguino Peña
Trocadas algumas localizações de arquivos com a tage de arquivo.
Corrigido problema notificado por Edi Stojicevi.
Leve alteração na seção sobre ferramentas de auditoria remota.
Adicionados alguns itens para fazer.
Adicionadas mais informações com relação a impressoras e o arquivo de configuração do cups (pego de uma thread na debian-security).
Adicionado um patch enviado por Jesus Climent com relação ao acesso de usuários válidos ao sistema no proftpd quando se está configurando um servidor anônimo.
Pequena alteração nos esquemas de partição para o caso especial de servidores de mensagens.
Adicionado uma referência do livro "Hacking Linux Exposed" na seção livros.
Corrigido um erro de diretório notificado por Eduardo Pérez Ureta.
Corrigido um erro na checklist do /etc/ssh observado por Edi Stojicevi.
Revisão 2-3.0April 2002Javier Fernández-Sanguino Peña
Corrigida a localização do arquivo de configuração do dpkg.
Remoção do Alexander das informações de contato.
Adicionado um endereço alternativo de e-mails.
Corrigido o endereço de e-mail do Alexander
Corrigida a localização das chaves de lançamento (agradecimentos a Pedro Zorzenon por nos apontar isto).
Revisão 2-2April 2002Javier Fernández-Sanguino Peña
Corrigidos problemas, agradecimentos a Jamin W. Collins.
Adicionada uma referência a página de manual do apt-extracttemplate (documenta a configuração do APT::ExtractTemplate).
Adicionada uma seção sobre o SSH restrito. Informações baseadas naquilo postadas por Mark Janssen, Christian G. Warden e Emmanuel Lacour na lista de segurança debian-security.
Adicionadas informações sobre programas de anti-vírus.
Adicionada uma FAQ: logs do su devido a execução do cron como usuário root.
Revisão 2-1April 2002Javier Fernández-Sanguino Peña
Alterado o FIXME a partir do lshell agradecimentos a Oohara Yuuma.
Adicionados pacote a sXid e removido comentário pois ele *está* disponível.
Corrigido um número de erros descobertos por Oohara Yuuma.
ACID está agora disponível na Debian (a partir do pacote acidlab) obrigado a Oohara Yuuma por notificar isto.
Correção dos links da LinuxSecurity (agradecimentos a Dave Wreski pelo aviso).
Revisão 2-0March 2002Javier Fernández-Sanguino Peña
Conversão do HOWTO em um Manual (agora eu poderei propriamente dizer RTFM)
Adicionadas mais informações com relação ao tcp wrappers e a Debian (agora mutos serviços são compilados com suporte a eles assim não será mais um assunto relacionado ao inetd).
Esclarecidas informações sobre a desativação de serviços para torna-lo mais consistente (informações sobre o rpc ainda referenciadas ao update-rc.d)
Adicionada uma pequena nota sobre o lprng.
Adicionadas ainda mais informações sobre servidores comprometidos (ainda de uma forma grossa),
Corrigidos problemas reportados por Mark Bucciarelli.
Adicionados mais alguns passos sobre a recuperação de senhas para cobrir os casos onde o administrador tem a opção "paranoid-mode=on" ativada.
Adicionadas mais informações sobre como definir "paranoid-mode=on" quando executa o logon em um console.
Novo parágrafo para introduzir configuração de serviços.
Reorganização da seção Após a instalação assim ela será quebradas em diversos assuntos e será facilmente lida.
Escrever informações sobre como configurar firewalls com a configuração padrão da Debian 3.0 (pacote iptables).
Pequeno parágrafo explicando porque a instalação conectada a Internet não é uma boa idéia e como evitar isto usando ferramentas da Debian.
Pequeno parágrafo sobre patching referenciando um paper do IEEE.
Apêndice de como configurar uma máquina Debian com o snort, baseada no que Vladimir enviou para a lista de segurança debian-security (em 3 de Setembro de 2001)
Informações sobre como o logcheck é configurado na Debian e como ele pode ser configurado para realizar HIDS.
Informações sobre contabilização de usuários e análise de perfis.
Incluída a configuração do apt.conf para /usr somente leitura copiada da postagem de Olaf Meeuwissen's para a lista de discussão debian-security.
Nova seção sobre VPN com alguns ponteiros e pacotes disponíveis na Debian (precisa conteúdo sobre como configurar VPNs e assuntos específicos da Debian), baseada na postagem de Jaroslaw Tabor's e Samuli Suonpaa's post na lista debian-security.
Pequena nota com relação a alguns programas que podem construir automaticamente jaulas chroot.
Novo ítem da FAQ relacionado a ident, baseado em uma discussão na lista de discussão debian-security (em Fevereiro de 2002, iniciada por Johannes Weiss).
Novo ítem da FAQ com relação ao inetd baseada em uma discussão da lista de discussão debian-security (em Fevereiro de 2002).
Introduzida uma nota ao rcconf na seção "desabilitando serviços".
Variação da abordagem com relação a LKM, agradecimentos a Philipe Gaspar
Adicionado ponteiros a documentos do CERT e recursos
Revisão 1-99January 2002Javier Fernández-Sanguino Peña
Adicionado um novo ítem da FAQ com relação ao tempo para se corrigir vulnerabilidades de segurança.
Reorganizada as seções da FAQ.
Iniciada a escrita de uma seção com relação a firewall na Debian GNU/Linux (pode ser um pouco alterada).
Corrigidos problemas enviados por Matt Kraai
Corrigidas informações relacionadas a DNS
Adicionadas informações sobre o whisker e nbtscan na seção auditoria.
Corrigidas algumas URLs incorretas
Revisão 1-98January 2002Javier Fernández-Sanguino Peña
Adicionada uma nova seção sobre auditoria usando Debian GNU/Linux.
Adicionadas informações relacionadas ao daemon do finger a partir da lista de segurança.
Revisão 1-97January 2002Javier Fernández-Sanguino Peña
Corrigido o link para o Linux trustees
Corrigidos problemas (patches de Oohara Yuuma e Pedro Zorzenon)
Revisão 1-96December 2001Javier Fernández-Sanguino Peña
Reorganizada a instalação e remoção de serviços e adicionadas algumas novas notas.
Adicionadas algumas notas com relação ao uso de verificadores de integridade como ferramentas de detecção de intrusão.
Adicionado um capítulo com relação a assinatura de pacotes.
Revisão 1-95December 2001Javier Fernández-Sanguino Peña
Adicionadas notas com relação a segurança no Squid enviada por Philipe Gaspar.
Corrigido os links sobre rootkit agradecimentos a Philipe Gaspar.
Revisão 1-94November 2001Javier Fernández-Sanguino Peña
Adicionadas algumas notas com relação ao Apache e o Lpr/lprng.
Adicionadas mais informações com relação as partições noexec e read-only.
Reescrita a parte sobre como os usuários podem ajudar a Debian em assuntos relacionados a segurança (item da FAQ).
Revisão 1-93November 2001Javier Fernández-Sanguino Peña
Corrigida a localização do programa mail.
Adicionados alguns novos itens na FAQ.
Revisão 1-92October 2001Javier Fernández-Sanguino Peña
Adicionada uma pequena seção sobre como a Debian trabalha com a segurança
Esclarecimentos sobre as senhas MD5 (agradecimentos a "rocky")
Adicionadas mais informações com relação ao harden-X de Stephen van Egmond
Adicionados alguns novos itens na FAQ.
Revisão 1-91October 2001Javier Fernández-Sanguino Peña
Adicionadas mais informações de forense enviadas por Yotam Rubin.
Adicionadas informações sobre como construir um honeypot usando a Debian GNU/Linux.
Adicionados alguns TODOS a mais.
Corrigidos mais problemas (agradecimentos a Yotam!)
Revisão 1-9October 2001Javier Fernández-Sanguino Peña
Adicionado um patch para corrigir problemas de escrita e algumas informações novas (contribuídas por Yotam Rubin)
Adicionadas referências a outras documentações online (e offline) ambas na seção (veja Seção 1.4, “Conhecimento necessário”) e junto com o texto em outra seções.
Adicionadas algumas informações sobre a configuração de opções do Bind para restringir o acesso ao servidor DNS.
Adicionadas informações sobre como fortalecer automaticamente um sistema Debian (com relação ao pacote harden e o bastille).
Removido alguns TODOs fechados e adicionados alguns novos.
Revisão 1-8October 2001Javier Fernández-Sanguino Peña
Adicionada a lista padrão de usuários/grupos fornecidas por Joey Hess a lista de discussão debian-security.
Adicionadas informações a respeito de root-kits LKM (Seção 10.4.1, “Loadable Kernel Modules (LKM)”) contribuído por Philipe Gaspar.
Adicionada informação a respeito do Proftp contribuído por Emmanuel Lacour.
Apêndice de checklist recuperado de Era Eriksson.
Adicionados alguns novos itens na lista TODO e removidos outros.
Incluir manualmente os patches e Era pois nem todos foram incluídos na seção anterior.
Revisão 1-7September 2001Javier Fernández-Sanguino Peña, Era Eriksson
Correção de erros e alterações de palavras
Pequenas mudanças em tags para manter a remoção de tags tt e sua substituição por tags prgn/package.
Revisão 1-6August 2001Javier Fernández-Sanguino Peña
Adicionado ponteiro para documentos como publicado na DDP (deverá substituir o original em um futuro próximo).
Iniciada uma mini-FAQ (deverá ser expandida) com algumas questões recuperadas de minha caixa de mensagens.
Adicionadas informações gerais que devem ser consideradas durante a segurança.
Adicionado um parágrafo relacionado a entrega de mensagens locais (entrada).
Adicionadas algumas referências a mais informações.
Adicionadas informações com relação ao serviço de impressão.
Adicionada uma lista de checagem de fortalecimento de segurança.
Reorganizadas as informações a respeito de NIS e RPC.
Adicionadas mais novas notas durante a leitura deste documento em meu novo visor :-)
Corrigidas algumas linhas mal formatadas.
Corrigidos alguns enganos.
Adicionada a idéia do Genus/Paranóia contribuída por Gaby Schilders.
Revisão 1-5May 2001Javier Fernández-Sanguino Peña, Josip Rodin
Adicionados parágrafos relacionados ao BIND e alguns FIXMEs.
Revisão 1-4May 2001Javier Fernández-Sanguino Peña
Pequeno parágrafo sobre checagem de setuid
Várias pequenas limpezas
Encontrado como usar o sgml2txt -f para fazer a versão texto
Revisão 1-3March 2001Javier Fernández-Sanguino Peña
Adicionada uma atualização de segurança após o parágrafo de instalação
Adicionado um parágrafo relacionado ao proftpd
Agora realmente escrevia algo sobre o XDM, desculpe pelo atraso
Revisão 1-2December 2000Javier Fernández-Sanguino Peña
Várias correções gramaticais feitas por James Treacy, novo parágrafo sobre o XDM
Revisão 1-1December 2000Javier Fernández-Sanguino Peña
Correção de erros, adições diversas
Revisão 1-0December 2000Javier Fernández-Sanguino Peña
Lançamento inicial