2.3. Comment Debian gère la sécurité ?

Tout comme vous avez une vue générale de la sécurité dans Debian GNU/Linux, vous devez connaître les différents problèmes auxquels Debian s'attaque afin de fournir un système sécurisé.

Les problèmes Debian sont toujours traités ouvertement, même ceux liés à la sécurité. Les problèmes de sécurité sont abordés ouvertement sur la liste de discussions debian-security. Les bulletins de sécurité Debian (DSA - Debian Security Advisories) sont envoyés sur des listes de discussions publiques (internes et externes) et publiés sur des serveurs publics. Tel que déclaré dans le http://www.debian.org/social_contract
Debian suit les problèmes de sécurité de très près. L'équipe en charge de la sécurité consulte les sources relatives à la sécurité, la plus importante étant http://www.securityfocus.com/cgi-bin/vulns.pl, à la recherche de paquets possédant des problèmes de sécurité et qui pourraient être inclus dans Debian.
Les mises à jour liées à la sécurité sont la première priorité. Lorsqu'un problème survient dans un paquet Debian, la mise à jour est réalisée aussi vite que possible et elle est intégrée dans nos versions stable, testing et unstable pour toutes les architectures.
Les informations concernant la sécurité sont centralisées en un point unique, http://security.debian.org/.
Debian essaie toujours d'améliorer la sécurité globale de la distribution en lançant de nouveaux projets, comme les vérifications automatiques des signatures de paquets.
Debian fournit de nombreux outils liés à la sécurité pour l'administration système et la surveillance. Les développeurs essayent de lier étroitement ces outils à la distribution de façon à créer un ensemble améliorant les règles locales de sécurité. Les outils disponibles sont : vérificateurs d'intégrité, outils d'audit, outils de consolidation, outils pour pare-feu, outils de détection d'intrusion, etc.
Les responsables de paquets sont avertis des problèmes de sécurité. Cela conduit à de nombreuses installations de service « sécurisé par défaut » ; cela peut parfois imposer certaines restrictions à une utilisation normale. Toutefois, Debian essaie d'équilibrer les problèmes de sécurité et la facilité d'administration : par exemple, les programmes ne sont pas installés en mode désactivé (comme c'est le cas avec la famille des systèmes d'exploitation BSD). Dans tous les cas, quelques problèmes spéciaux, tels les programmes setuid, sont abordés par la http://www.debian.org/doc/debian-policy/.

En publiant des informations de sécurité spécifiques à Debian et en complétant d'autres documents d'informations sur la sécurité relatifs à Debian (consultez Section 1.4, « Connaissances requises »), ce document a pour but de favoriser des installations de systèmes beaucoup mieux sécurisées.