Pessoal,
Seguem alguns arquivos para serem comittados.
--
-
Michelle Ribeiro
[EMAIL PROTECTED]
Unix is very simple, but it takes a genius to understand the simplicity.
(Dennis Ritchie)
#use wml::debian::template title=FAQ de Segurança Debian
#use wml::debian::translation-check translation=1.16 translation_maintainer=Philipe Gaspar e Michelle Ribeiro
pAs perguntas a seguir são feitas muitas vezes, então suas respostas estão resumidas aqui
./p
pemP: Não consegui verificar corretamente a assinatura em seus
alertas!/em/p
pR: Provavelmente você está fazendo algo errado. A lista
a href=http://lists.debian.org/debian-security-announce/;\
debian-security-announce/a possui um filtro que só permite que mensagens
com a assinatura correta de um dos membros da equipe de segurança sejam
postadas./p
pÉ possível que seu software de e-mail esteja alterando sutilmente
a mensagem, o que invalida sua assinatura.
Certifique-se de que seu programa não faça codificação ou decodificação
MIME, assim como conversões de tabulação/espaços./p
pAlguns softwares que fazem isso são o fetchmail (com a opção mimedecode
habilitada) e o formail (do procmail versão 3.14)./p
pemP: Como é a feita a segurança no Debian?/em/p
pR: Assim que o time de segurança recebe uma notificação sobre um
incidente, um ou mais membros revisam e consideram seu impacto sobre
a versão estável estável do Debian (ex. se esta é vulnerável ou não). Se nosso
sistema é vulnerável, nós trabalhamos em uma correção para o problema.
O mantenedor do pacote é contatado também, se ele já não contatou
o time de segurança. Finalmente, a correção é testada e novos pacotes
são preparados, compilados em todas as arquiteturas da versão estável e
é feito o upload dos mesmos. Depois de tudo isso, um alerta é publicado.
/p
pemP: Qual é a política usada para que pacotes corrigidos apareçam
no security.debian.org?/em
pR: Erros de segurança na distribuição estável garantem a aparição
de um pacote no security.debian.org. Nada mais. O tamanho
do erro não é o problema real aqui. Normalmente, o Time de Segurança
irá preparar pacotes juntamente com o mantenedor do pacote. Desde que
alguém (confiável) investigue o problema e construa os pacotes necessários
e os envie ao Time de Segurança, mesmo problemas de segurança triviais
irão entrar no security.debian.org./p
pemP: O número de versão de um pacote indica que eu ainda estou
rodando uma versão vulnerável!/em
pR: Ao invés de atualizar para uma nova versão nós portamos correções
de segurança das versões mais novas para a versão lançada com a release
estável. A razão para que façamos isto é certificar-nos de que uma release mude o
mínimo possível e que as coisas não mudarão ou quebraão inesperadamente
como consequência de uma correção de segurança. Você pode checar se
está executando uma versão segura de um pacote verificando o seu changelog
ou comparando o exato número de versão com a versão indicada
no Alerta de Segurança Debian./p
pemP: Como a segurança é feita na tttesting/tt e na
ttunstable/tt?/em/p
pR: A resposta curta é: não é feita. Testing e unstable estão constante alteração
e a equipe de segurança não possui os recursos necessários
para checá-las Se quer ter um servidor seguro e
estável, nós recomendamos fortemente que continue com a versão
estável./p
pemP: Por que não há mirrors oficiais de security.debian.org?/em
pR: O propósito de security.debian.org é tornar atualizações de
segurança disponíveis da maneira mais rápida e fácil possível.
Mirrors adicionam uma complexidade desnecessária podem causar
frustação se não estiverem atualizados./p
pemP: Vi o DSA 100 e o DSA 102, agora, onde está o DSA 101?/em/p
pR: Vários distribuidores (a maioria deles de GNU/Linux, mas também
de variações do BSD) coordenam alertas de segurança para alguns
incidentes e concordam com uma determinada linha de tempo para
que todos os distribuidores possam lançar um aviso ao mesmo tempo.
Isso foi decidido para que não haja discriminação com alguns distribuidores que
precisam de mais tempo (por exemplo, quando o distribuidor tem de
passar os pacotes por longos testes de controle de qualidade
ou suporta diversas arquiteturas ou distribuições binárias).
Nosso Time de Segurança também prepara avisos com antecedência.
Dependendo da situação, outros problemas de segurança tem de ser
trabalhados antes de o aviso estacionado ser lançado, e isso
causa a lacuna na numeração dos avisos.
pemP: Como posso entrar em contato com a equipe de segurança?/em/p
pR: Informações relacionadas a segurança podem ser enviadas para
[EMAIL PROTECTED], que é lido por todos os desenvolvedores da
Debian. Se tiver informações confidenciais que quiser nos
enviar, por favor, use o e-mail [EMAIL PROTECTED], que é lido apenas pelos
membros da equipe de segurança. Caso deseje, a mensagem pode ser