3.3. Ne pas se connecter à Internet tant que tout n'est pas prêt
Le système ne devrait pas être connecté à Internet pendant l'installation. Cela peut paraître stupide mais il faut savoir que l'installation par le réseau est une méthode d'installation habituelle. Étant donné que le système va installer et activer les services immédiatement, si le système est connecté à Internet et que les services ne sont pas configurés correctement, vous les exposez à des attaques.
Il faut noter également que certains services peuvent avoir des trous de sécurité qui n'ont pas encore été corrigés dans les paquets que vous utilisez pour l'installation. C'est généralement vrai si vous installez depuis de vieux supports (comme des CD). Dans ce cas, il se peut que le système soit compromis avant même la fin de l'installation !
Étant donné que l'installation et les mises à jour peuvent être faites par Internet, vous pourriez penser que c'est une bonne idée d'utiliser cette caractéristique lors de l'installation. Si le système va être connecté directement à Internet (et pas protégé par un pare-feu ou un NAT), il est plus judicieux de l'installer sans connexion à Internet et d'utiliser un miroir local de paquets contenant à la fois les paquets source et les mises à jour de sécurité. Vous pouvez mettre en place des miroirs de paquets en utilisant un autre système connecté à Internet et des outils spécifiques à Debian (si c'est un système Debian) tels que
apt-move ou
apt-proxy ou tout autre outil de miroir pour fournir l'archive aux systèmes installés. Si vous ne pouvez pas faire cela, vous pouvez mettre en place des règles de pare-feu pour limiter l'accès au système pendant la mise à jour (consultez
Section B.6, « Mise à jour de sécurité protégée par un pare-feu »).