3.3. Non collegarsi ad Internet finché non si è pronti
Il sistema non dovrebbe essere immediatamente connesso ad internet durante l'installazione. Questo potrebbe suonare sciocco, ma l'installazione di rete è un metodo comune. Poiché il sistema, installandosi, attiva immediatamente dei servizi, se è connesso ad Internet ed i servizi non sono opportunamente configurati, sarà esposto a possibili attacchi.
Inoltre alcuni servizi potrebbero avere problemi di sicurezza non ancora corretti nei pacchetti usati per l'installazione. Questo accade di solito quando si esegue l'installazione con media vecchi (come i CD-ROM). In questo caso, il sistema potrebbe addirittura essere compromesso prima che si finisca l'installazione!
Poiché l'installazione e l'aggiornamento di Debian possono essere effettuati via Internet, si potrebbe pensare che usare questa caratteristica sia una buona idea. Se il sistema verrà direttamente connesso a Internet (e non sarà protetto da firewall o NAT), è preferibile installare senza essere connessi a Internet, usando un mirror locale dei pacchetti sia per i sorgenti dei pacchetti Debian sia per gli aggiornamenti di sicurezza. Un mirror dei pacchetti per fornire gli archivi al sistema può essere preparato usando un altro sistema connesso ad Internet con strumenti Debian specifici (se è un sistema Debian) come
apt-move o
apt-proxy, o altri comuni strumenti per il mirroring. Se non è possibile fare questo, potete attivare regole per il firewall che limitino l'accesso al sistema durante l'aggiornamento (vedete in
Sezione B.6, «Aggiornamenti di sicurezza protetti da un firewall»).