svn commit: r46924 - head/fr_FR.ISO8859-1/books/handbook/audit
Marc Fonvieille
blackend at FreeBSD.org
Sun Jul 5 16:40:08 UTC 2015
Author: blackend
Date: Sun Jul 5 16:40:06 2015
New Revision: 46924
URL: https://svnweb.freebsd.org/changeset/doc/46924
Log:
MFen: --> r44395
Modified:
head/fr_FR.ISO8859-1/books/handbook/audit/chapter.xml
Modified: head/fr_FR.ISO8859-1/books/handbook/audit/chapter.xml
==============================================================================
--- head/fr_FR.ISO8859-1/books/handbook/audit/chapter.xml Sun Jul 5 16:38:24 2015 (r46923)
+++ head/fr_FR.ISO8859-1/books/handbook/audit/chapter.xml Sun Jul 5 16:40:06 2015 (r46924)
@@ -4,7 +4,7 @@
The FreeBSD French Documentation Project
$FreeBSD$
- Original revision: 1.33
+ Original revision: 44395
-->
<!-- Need more documentation on praudit, auditreduce, etc. Plus more info
on the triggers from the kernel (log rotation, out of space, etc).
@@ -34,7 +34,7 @@ requirements. -->
<see>MAC</see>
</indexterm>
- <para>&os; 6.2 et les versions suivantes disposent d'un
+ <para>&os; dispose d'un
support pour l'audit d'événements relatifs
à la sécurité du système. L'audit
d'événements permet un enregistrement fiable et
@@ -46,8 +46,9 @@ requirements. -->
enregistrements ou journaux peuvent être d'une très
grande aide pour la surveillance d'un système, pour la
détection d'intrusion, et les analyses post-mortem. &os;
- implémente l'API et le format de fichiers
- <acronym>BSM</acronym> publiés par &sun; qui sont
+ implémente l'<acronym>API</acronym> et le format de fichiers
+ <acronym>BSM</acronym> (<emphasis>Basic Security
+ Module</emphasis>) publiés par &sun; qui sont
interopérables avec les implémentations d'audits
de &solaris; de &sun; et de &macos; X d'&apple;.</para>
@@ -95,27 +96,20 @@ requirements. -->
</itemizedlist>
<warning>
- <para>La fonctionnalité d'audit sous &os; 6.<replaceable>X</replaceable> est
- considérée comme expérimentale, aussi un
- déploiement en production ne devrait intervenir
- qu'après avoir considéré avec prudence les
- risques découlant de l'utilisation de logiciels
- expérimentaux. Parmi les limitations connues, on peut
- citer le fait que tous les événements
+ <para>La fonctionnalité d'audit connaît des limitations.
+ Tous les événements
systèmes en rapport avec la sécurité ne
peuvent pas être soumis à un audit, et que certains
mécanismes d'ouverture de session, comme les
gestionnaires de procédures de connexions basés
- sur X11 et des <quote>démons</quote> tiers, ne permettent
+ sur <application>Xorg</application> et des <quote>démons</quote> tiers, ne permettent
pas une configuration correcte de l'audit pour les ouvertures de
session utilisateur.</para>
- </warning>
- <warning>
<para>Le système d'audit des événements
permet la génération d'enregistrements
- détaillés de l'activité du système:
- sur un système occupé, un fichier journal d'audit
+ détaillés de l'activité du système.
+ Sur un système occupé, un fichier journal d'audit
peut être très important quand le système
est configuré pour un haut niveau de détail,
dépassant plusieurs gigaoctets par semaine sur certaines
@@ -124,7 +118,7 @@ requirements. -->
avec les configurations d'audit à haut niveau de
détail. Par exemple, il peut être
recommandé de dédier un système de fichiers
- à l'arborescence <filename>/var/audit</filename> de
+ à <filename class="directory">/var/audit</filename> de
manière à ce que les autres systèmes de
fichiers ne soient pas affectés si le système de
fichiers pour les audits est plein.</para>
@@ -132,10 +126,10 @@ requirements. -->
</sect1>
<sect1 xml:id="audit-inline-glossary">
- <title>Mots-clés utilisés dans ce chapitre</title>
+ <title>Mots-clés</title>
- <para>Avant de lire ce chapitre, quelques termes relatifs à
- l'audit doivent être explicités:</para>
+ <para>Les termes suivants sont relatifs à
+ l'audit des événements:</para>
<itemizedlist>
<listitem>
@@ -155,12 +149,11 @@ requirements. -->
événements comme ceux qui apparaissent avant
l'authentification durant le processus d'ouverture de session,
tels que les tentatives avec un mauvais mot de passe, sont des
- événement non-attribuables.</para>
+ exemples d'événements non-attribuables.</para>
</listitem>
<listitem>
- <para><emphasis>classe</emphasis>: les classes
- d'événement désignent à l'aide
+ <para><emphasis>classe</emphasis>: désigne à l'aide
d'un nom particulier des ensembles
d'événements en rapport les uns avec les
autres et sont utilisées dans les expressions de
@@ -173,8 +166,8 @@ requirements. -->
</listitem>
<listitem>
- <para><emphasis>enregistrement</emphasis>: un enregistrement
- est une entrée du fichier de trace d'audit
+ <para><emphasis>enregistrement</emphasis>:
+ une entrée du fichier de trace d'audit
décrivant un événement relatif à
la sécurité. Les enregistrements contiennent
le type d'événement, des informations sur
@@ -185,11 +178,11 @@ requirements. -->
</listitem>
<listitem>
- <para><emphasis>trace d'audit</emphasis>: une trace d'audit,
- ou fichier journal, consiste en une série
+ <para><emphasis>trace d'audit</emphasis>: un
+ fichier journal consistant en une série
d'enregistrements décrivant les
événements relatifs à la
- sécurité. Généralement ces traces
+ sécurité. Les traces
sont organisées de manière chronologiques par
rapport à l'horaire de fin des
événements. Seuls les processus
@@ -199,7 +192,7 @@ requirements. -->
<listitem>
<para><emphasis>expression de sélection</emphasis>: une
- expression de sélection est une chaîne de
+ chaîne de
caractères contenant une liste de préfixes et
de classes d'événement d'audit utilisés
pour désigner des événements.</para>
@@ -208,10 +201,8 @@ requirements. -->
<listitem>
<para><emphasis>préselection</emphasis>: le processus
par lequel le système identifie quels
- événements intéressent l'administrateur
- afin d'éviter la génération
- d'enregistrements d'audit sans intérêt pour
- l'administrateur. La configuration de la
+ événements intéressent l'administrateur.
+ La configuration de la
présélection utilise une série
d'expressions de sélection pour déterminer
quelles classes d'événement sont à
@@ -239,96 +230,27 @@ requirements. -->
</itemizedlist>
</sect1>
- <sect1 xml:id="audit-install">
- <title>Installation du support pour les audits</title>
-
- <para>Le support pour l'audit des événements est
- installé avec le système de base de &os;. Sous
- &os; 7.0 et versions ultérieures, le support pour
- les audits est présent par défaut dans le noyau.
- Sous &os; 6.<replaceable>X</replaceable>, ce support doit être
- compilé dans le noyau en ajoutant la ligne suivante au
- fichier de configuration du noyau:</para>
-
- <programlisting>options AUDIT</programlisting>
-
- <para>Recompilez et réinstallez le noyau en suivant le
- processus classique expliqué dans le <xref linkend="kernelconfig"/>.</para>
-
- <para>Une fois que le noyau supportant les audits a été compilé,
- installé, et que le système a été
- redémarré, activez le <quote>démon</quote>
- d'audit en ajoutant la ligne suivante au fichier
- &man.rc.conf.5;:</para>
-
- <programlisting>auditd_enable="YES"</programlisting>
-
- <para>Le support pour les audits peut alors être
- lancé par un redémarrage de la machine ou
- manuellement en lançant le <quote>démon</quote>
- d'audit:</para>
-
- <programlisting>/etc/rc.d/auditd start</programlisting>
- </sect1>
-
<sect1 xml:id="audit-config">
<title>Configuration de l'audit</title>
- <para>Tous les fichiers de configuration de l'audit
- d'événements en rapport avec la
- sécurité se trouvent dans le répertoire
- <filename>/etc/security</filename>. Les
- fichiers suivants doivent être présents avant le
- lancement du <quote>démon</quote> d'audit:</para>
-
- <itemizedlist>
- <listitem>
- <para><filename>audit_class</filename> - contient les
- définitions des classes d'audit.</para>
- </listitem>
-
- <listitem>
- <para><filename>audit_control</filename> - contrôle les
- caractéristiques du système d'audit comme les
- classes d'audit par défaut, l'espace disque minimal
- à conserver sur le volume réservé aux
- journaux, la taille maximale des traces d'audit, etc.</para>
- </listitem>
+ <para>Le support pour l'audit des événements est installé avec le
+ système de base de &os;. Le support présent dans le noyau
+ <filename>GENERIC</filename> par défaut, et &man.auditd.8; peut
+ être activé en ajoutant la ligne suivante au fichier
+ <filename>/etc/rc.conf</filename>:</para>
- <listitem>
- <para><filename>audit_event</filename> - les noms et la
- description des événements systèmes
- audités ainsi qu'une liste de classes auxquelles
- appartiennent chaque événement.</para>
- </listitem>
+ <programlisting>auditd_enable="YES"</programlisting>
- <listitem>
- <para><filename>audit_user</filename> - les classes
- d'événement à auditer pour des
- utilisateurs spécifiques, qui s'ajoutent aux
- paramètres généraux fixés par
- défaut à l'ouverture de session.</para>
- </listitem>
+ <para>Puis, le daemon d'audit peut être lancé:</para>
- <listitem>
- <para><filename>audit_warn</filename> - une procédure
- modifiable utilisée par
- <application>auditd</application> pour générer
- des messages d'alerte lors des situations exceptionnelles
- comme un espace disque faible pour les fichiers journaux
- d'audit ou quand il y a eu rotation de ces fichiers
- journaux.</para>
- </listitem>
- </itemizedlist>
+ <screen>&prompt.root; <userinput>service auditd start</userinput></screen>
- <warning>
- <para>Les fichiers de configuration de l'audit devraient
- être modifiés et gérés avec prudence
- étant donné que des erreurs dans la configuration
- pourraient donner lieu à un enregistrement incorrect des
- événements.</para>
- </warning>
+ <para>Les utilisateurs préférant compiler un noyau sur mesure
+ doivent ajouter la ligne suivante dans le fichier de
+ configuration du noyau:</para>
+ <programlisting>options AUDIT</programlisting>
+
<sect2>
<title>Expressions de sélection des
événements</title>
@@ -338,243 +260,329 @@ requirements. -->
système d'audit pour déterminer quels
événements doivent être suivis. Les
expressions contiennent une liste de classes
- d'événements, chacune avec un préfixe
- indiquant si les enregistrements correspondants doivent
- être acceptés ou ignorés, et qui peut, de
- manière optionnelle, indiquer si l'entrée se
- limite aux opérations réussies ou aux
- échecs. Les expressions de sélection sont
+ d'événements devant correspondre.
+ Les expressions de sélection sont
évaluées de gauche à droite, et deux
expressions sont combinées en ajoutant l'une à
la suite de l'autre.</para>
- <para>La liste suivante contient les classes
- d'événements présentes par défaut
- dans le fichier <filename>audit_class</filename>:</para>
-
- <itemizedlist>
- <listitem>
- <para><literal>all</literal> - <emphasis>all</emphasis>
- (tout) - correspond à toutes les classes
- d'événements.</para>
- </listitem>
-
- <listitem>
- <para><literal>ad</literal> -
- <emphasis>administrative</emphasis> (administration)
- - actions d'administration du système.</para>
- </listitem>
-
- <listitem>
- <para><literal>ap</literal> -
- <emphasis>application</emphasis> - action définie
- par l'application.</para>
- </listitem>
-
- <listitem>
- <para><literal>cl</literal> - <emphasis>file
- close</emphasis> (fermeture de fichiers) - enregistre les
- utilisations de l'appel système
- <function>close</function>.</para>
- </listitem>
-
- <listitem>
- <para><literal>ex</literal> - <emphasis>exec</emphasis>
- (exécution) - audite les exécutions de
- programmes. L'audit des arguments en ligne de commande et
- des variables d'environnement est contrôlé
- par via &man.audit.control.5; en utilisant les
- paramètres <literal>argv</literal> et
- <literal>envv</literal> pour l'entrée
- <literal>policy</literal>.</para>
- </listitem>
-
- <listitem>
- <para><literal>fa</literal> - <emphasis>file attribute
- access</emphasis> - enregistre l'accès aux
- attributs des objets comme &man.stat.1;, &man.pathconf.2;
- et les événements similaires.</para>
- </listitem>
-
- <listitem>
- <para><literal>fc</literal> - <emphasis>file
- create</emphasis> (création de fichiers) - enregistre les
- événements ayant pour résultat la
- création d'un fichier.</para>
- </listitem>
-
- <listitem>
- <para><literal>fd</literal> - <emphasis>file
- delete</emphasis> (suppression de fichiers) - enregistre
- les événements pour lesquels une suppression
- de fichier a lieu.</para>
- </listitem>
-
- <listitem>
- <para><literal>fm</literal> - <emphasis>file attribute
- modify</emphasis> (modification des attributs d'un
- fichier) - enregistre les événements lors
- desquels une modification des attributs d'un fichier
- intervient, comme l'utilisation de &man.chown.8;,
- &man.chflags.1;, &man.flock.2;, etc.</para>
- </listitem>
-
- <listitem>
- <para><literal>fr</literal> - <emphasis>file read</emphasis>
- (lecture de fichiers) - enregistre les
- événements qui donnent lieu à la
- lecture de données, l'ouverture de fichiers
- à la lecture, etc.</para>
- </listitem>
-
- <listitem>
- <para><literal>fw</literal> - <emphasis>file
- write</emphasis> (écriture de fichiers) -
- enregistre les événements qui donnent lieu
- à l'écriture de données, à
- l'écriture ou à la modification de fichiers,
- etc.</para>
- </listitem>
-
- <listitem>
- <para><literal>io</literal> - <emphasis>ioctl</emphasis> -
- enregistre l'utilisation de l'appel système
- &man.ioctl.2;.</para>
- </listitem>
-
- <listitem>
- <para><literal>ip</literal> - <emphasis>ipc</emphasis> -
- enregistre les différentes utilisations de
- communication inter-processus, dont les utilisations des
- tubes POSIX et les opérations
- <acronym>IPC</acronym> Système V.</para>
- </listitem>
-
- <listitem>
- <para><literal>lo</literal> -
- <emphasis>login_logout</emphasis> (ouverture et fermeture
- de session) - enregistre les ouvertures et fermeture de
- session (&man.login.1; et &man.logout.1;) intervenant sur
- le système.</para>
- </listitem>
-
- <listitem>
- <para><literal>na</literal> - <emphasis>non
- attributable</emphasis> (non-attribuable) - enregistre les
- événements non-attribuables.</para>
- </listitem>
+ <para><xref linkend="event-selection"/> résume les classes
+ d'événements présentes par défaut</para>
- <listitem>
- <para><literal>no</literal> - <emphasis>invalid
- class</emphasis> (classe invalide) - ne correspond
- à aucun des événements
- surveillés.</para>
- </listitem>
+ <table xml:id="event-selection" frame="none" pgwide="1">
+ <title>Classes d'événements par défaut</title>
- <listitem>
- <para><literal>nt</literal> - <emphasis>network</emphasis>
- (réseau) - enregistre les événements
- relatifs au réseau, comme l'utilisation des
- fonctions &man.connect.2; et &man.accept.2;.</para>
- </listitem>
-
- <listitem>
- <para><literal>ot</literal> - <emphasis>other</emphasis>
- (autre) - enregistre les événements
- divers.</para>
- </listitem>
-
- <listitem>
- <para><literal>pc</literal> - <emphasis>process</emphasis>
- (processus) - enregistre les opérations sur les
- processus, comme l'utilisation des fonctions &man.exec.3;
- et &man.exit.3;.</para>
- </listitem>
- </itemizedlist>
+ <tgroup cols="3">
+ <thead>
+ <row>
+ <entry>Classe</entry>
+ <entry>Description</entry>
+ <entry>Action</entry>
+ </row>
+ </thead>
+
+ <tbody>
+ <row>
+ <entry>all</entry>
+ <entry>tout</entry>
+ <entry>correspond à toutes les classes
+ d'événements.</entry>
+ </row>
+
+ <row>
+ <entry>aa</entry>
+ <entry>authentification et autorisation</entry>
+ <entry></entry>
+ </row>
+
+ <row>
+ <entry>ad</entry>
+ <entry>administration</entry>
+ <entry>Actions d'administration du système.</entry>
+ </row>
+
+ <row>
+ <entry>ap</entry>
+ <entry>application</entry>
+ <entry>Action définie par l'application.</entry>
+ </row>
+
+ <row>
+ <entry>cl</entry>
+ <entry>fermeture de fichiers</entry>
+ <entry>Enregistre les utilisations de l'appel système
+ <function>close</function>.</entry>
+ </row>
+
+ <row>
+ <entry>ex</entry>
+ <entry>exécution</entry>
+ <entry>Enregistre les exécutions de programmes. L'audit
+ des arguments en ligne de commande et des variables
+ d'environnement est contrôlé par via
+ &man.audit.control.5; en utilisant les paramètres
+ <literal>argv</literal> et <literal>envv</literal>
+ pour l'entrée <literal>policy</literal>.</entry>
+ </row>
+
+ <row>
+ <entry>fa</entry>
+ <entry>accès à aux attributs des fichiers</entry>
+ <entry>Audit the access of object attributes such as
+ &man.stat.1; and &man.pathconf.2;.</entry>
+ <entry>enregistre l'accès aux attributs des objets comme
+ &man.stat.1;, &man.pathconf.2;.</entry>
+ </row>
+
+ <row>
+ <entry>fc</entry>
+ <entry>création de fichiers</entry>
+ <entry>Enregistre les événements ayant pour résultat la
+ création d'un fichier.</entry>
+ </row>
+
+ <row>
+ <entry>fd</entry>
+ <entry>suppression de fichiers</entry>
+ <entry>Enregistre les événements pour lesquels une
+ suppression de fichier a lieu.</entry>
+ </row>
+
+ <row>
+ <entry>fm</entry>
+ <entry>modification des attributs d'un fichier</entry>
+ <entry>Enregistre les événements lors desquels une
+ modification des attributs d'un fichier intervient,
+ comme l'utilisation de &man.chown.8;,
+ &man.chflags.1;, et &man.flock.2;.</entry>
+ </row>
+
+ <row>
+ <entry>fr</entry>
+ <entry>lecture de fichiers</entry>
+ <entry>Enregistre les événements qui donnent lieu
+ à la lecture de données, l'ouverture de
+ fichiers pour la lecture.</entry>
+ </row>
+
+ <row>
+ <entry>fw</entry>
+ <entry>écriture de fichiers</entry>
+ <entry>Enregistre les événements qui donnent lieu
+ à l'écriture de données ou à l'écriture ou
+ la modification de fichiers.</entry>
+ </row>
+
+ <row>
+ <entry>io</entry>
+ <entry>ioctl</entry>
+ <entry>Enregistre l'utilisation de l'appel système
+ <function>ioctl</function>.</entry>
+ </row>
+
+ <row>
+ <entry>ip</entry>
+ <entry>ipc</entry>
+ <entry>Enregistre les différentes utilisations de
+ communication inter-processus, dont les utilisations
+ des tubes POSIX et les opérations
+ <acronym>IPC</acronym> Système V.</entry>
+ </row>
+
+ <row>
+ <entry>lo</entry>
+ <entry>login_logout</entry>
+ <entry>Enregistre les ouvertures et fermeture de session
+ (&man.login.1; et &man.logout.1;).</entry>
+ </row>
+
+ <row>
+ <entry>na</entry>
+ <entry>non attributable</entry>
+ <entry>Enregistre les événements non-attribuables.</entry>
+ </row>
+
+ <row>
+ <entry>no</entry>
+ <entry>classe invalide</entry>
+ <entry>Ne correspond à aucun des événements
+ surveillés.</entry>
+ </row>
+
+ <row>
+ <entry>nt</entry>
+ <entry>réseau</entry>
+ <entry>Enregistre les événements relatifs au réseau,
+ comme l'utilisation des fonctions &man.connect.2; et
+ &man.accept.2;.</entry>
+ </row>
+
+ <row>
+ <entry>ot</entry>
+ <entry>autre</entry>
+ <entry>Enregistre les événements divers.</entry>
+ </row>
+
+ <row>
+ <entry>pc</entry>
+ <entry>processus</entry>
+ <entry>Enregistre les opérations sur les processus,
+ comme l'utilisation des fonctions &man.exec.3; et
+ &man.exit.3;.</entry>
+ </row>
+ </tbody>
+ </tgroup>
+ </table>
<para>Ces classes d'événement peuvent être
personnalisées en modifiant les fichiers de
configuration <filename>audit_class</filename> et
<filename>audit_event</filename>.</para>
- <para>Chaque classe d'audit dans la liste est combinée
+ <para>Chaque classe d'audit peut être combinée
avec un préfixe indiquant si les opérations
réussies/échouées sont
sélectionnées, et si l'entrée ajoute ou
supprime une sélection pour la classe ou le type
- concerné.</para>
+ concerné. <xref linkend="event-prefixes"/> résume les
+ préfixes disponibles.</para>
- <itemizedlist>
- <listitem>
- <para>(rien) enregistre les succès et les
- échecs de l'événement.</para>
- </listitem>
+ <table xml:id="event-prefixes" frame="none" pgwide="1">
+ <title>Prefixes pour les classes d'audit</title>
+
+ <tgroup cols="2">
+ <thead>
+ <row>
+ <entry>Prefixe</entry>
+ <entry>Action</entry>
+ </row>
+ </thead>
+
+ <tbody>
+ <row>
+ <entry>+</entry>
+ <entry>Enregistre les événements réussis de cette
+ classe.</entry>
+ </row>
+
+ <row>
+ <entry>-</entry>
+ <entry>Enregistre les événements de cette classe qui ont
+ échoué.</entry>
+ </row>
+
+ <row>
+ <entry>^</entry>
+ <entry>N'enregistre ni les événements réussis ni les
+ échecs de cette classe.</entry>
+ </row>
+
+ <row>
+ <entry>^+</entry>
+ <entry>Ne pas enregistrer les événements réussis de
+ cette classe.</entry>
+ </row>
+
+ <row>
+ <entry>^-</entry>
+ <entry>Ne pas enregistrer les événements de cette classe
+ qui ont échoué.</entry>
+ </row>
+ </tbody>
+ </tgroup>
+ </table>
+
+ <para>Si aucun préfixe n'est présent, les succès et le échecs de
+ l'événement seront enregistrés.</para>
+
+ <para>L'exemple suivant d'expression de sélection permet
+ la sélection des ouvertures et fermetures de session
+ réussies ou échouées, et uniquement les
+ exécutions ayant réussies:</para>
+ <programlisting>lo,+ex</programlisting>
+ </sect2>
+
+ <sect2>
+ <title>Fichiers de configuration</title>
+
+ <para>Les fichiers de configuration suivants pour l'audit
+ d'événements en rapport avec la
+ sécurité se trouvent dans le répertoire
+ <filename>/etc/security</filename>.</para>
+
+ <itemizedlist>
<listitem>
- <para><literal>+</literal> enregistre les
- événements réussis de cette
- classe.</para>
+ <para><filename>audit_class</filename>: contient les
+ définitions des classes d'audit.</para>
</listitem>
<listitem>
- <para><literal>-</literal> enregistre les
- événements de cette classe qui ont
- échoué.</para>
+ <para><filename>audit_control</filename>: contrôle les
+ caractéristiques du système d'audit comme les
+ classes d'audit par défaut, l'espace disque minimal
+ à conserver sur le volume réservé aux
+ journaux, la taille maximale des traces d'audit.</para>
</listitem>
<listitem>
- <para><literal>^</literal> n'enregistre ni les
- événements réussis ni les échecs
- de cette classe.</para>
+ <para><filename>audit_event</filename>: les noms et la
+ description des événements systèmes
+ audités ainsi qu'une liste de classes auxquelles
+ appartiennent chaque événement.</para>
</listitem>
<listitem>
- <para><literal>^+</literal> ne pas enregistrer les
- événements réussis de cette
- classe.</para>
+ <para><filename>audit_user</filename>: les classes
+ d'événement à auditer pour des
+ utilisateurs spécifiques, qui s'ajoutent aux
+ paramètres généraux fixés par
+ défaut à l'ouverture de session.</para>
</listitem>
<listitem>
- <para><literal>^-</literal> ne pas enregistrer les
- événements de cette classe qui ont
- échoué.</para>
+ <para><filename>audit_warn</filename>: une procédure
+ modifiable utilisée par
+ &man.auditd.8; pour générer
+ des messages d'alerte lors des situations exceptionnelles
+ comme un espace disque faible pour les fichiers journaux
+ d'audit ou quand il y a eu rotation de ces fichiers
+ journaux.</para>
</listitem>
</itemizedlist>
- <para>L'exemple suivant d'expression de sélection permet
- la sélection des ouvertures et fermetures de session
- réussies ou échouées, et uniquement les
- exécutions ayant réussies:</para>
-
- <programlisting>lo,+ex</programlisting>
- </sect2>
+ <warning>
+ <para>Les fichiers de configuration de l'audit devraient
+ être modifiés et gérés avec prudence
+ étant donné que des erreurs dans la configuration
+ pourraient donner lieu à un enregistrement incorrect des
+ événements.</para>
+ </warning>
- <sect2>
- <title>Fichiers de configuration</title>
<para>Dans la plupart des cas, les administrateurs ne devront
- modifier que deux fichiers lors de la configuration du
- système d'audit: <filename>audit_control</filename> et
+ modifier que <filename>audit_control</filename> et
<filename>audit_user</filename>. Le premier contrôle
les propriétés et les stratégies au
- niveau du système; le second peut être
+ niveau du système et le second peut être
utilisé pour affiner l'audit pour chaque
utilisateur.</para>
<sect3 xml:id="audit-auditcontrol">
<title>Le fichier <filename>audit_control</filename></title>
- <para>Le fichier <filename>audit_control</filename> fixe un
- certain nombre de paramètres par défaut pour
- le système d'audit. Le contenu de ce fichier
- ressemble à ce qui suit:</para>
+ <para>Un certain nombre de paramètres par défaut pour le
+ système d'audit sont spécifiés dans le fichier
+ <filename>audit_control</filename>:</para>
<programlisting>dir:/var/audit
-flags:lo
-minfree:20
-naflags:lo
-policy:cnt
-filesz:0</programlisting>
+dist:off
+flags:lo,aa
+minfree:5
+naflags:lo,aa
+policy:cnt,argv
+filesz:2M
+expire-after:10M</programlisting>
<para>L'option <literal>dir</literal> est utilisée pour
déclarer un ou plusieurs répertoires dans
@@ -589,26 +597,29 @@ filesz:0</programlisting>
d'autres systèmes si le système de fichiers
est plein.</para>
+ <para>Si le champ <option>dist</option> est fixé à
+ <literal>on</literal> ou <literal>yes</literal>, des liens
+ matériel seront créés pour tous les fichiers de trace
+ d'audit de <filename>/var/audit/dist</filename>.</para>
+
<para>Le champ <literal>flags</literal> fixe le masque
général de présélection
utilisé par défaut pour les
événements attribuables. Dans l'exemple
ci-dessus, les ouvertures et fermetures de sessions
- réussies ou échouées sont
+ réussies ou échouées ainsi que les authentifications et
+ autorisations sont
enregistrées pour tous les utilisateurs.</para>
<para>L'option <literal>minfree</literal> définit le
pourcentage minimal d'espace libre du système de
- fichiers sur lequel les traces d'audit sont stockées.
- Si cette limite est dépassée, un avertissement
- sera généré. L'exemple ci-dessus fixe
- l'espace minimal à vingt pourcent.</para>
+ fichiers sur lequel les traces d'audit sont stockées.</para>
<para>L'entrée <literal>naflags</literal> indique les
classes à surveiller pour les
événements non-attribués, comme les
- processus d'ouverture de session et les
- <quote>démons</quote> système.</para>
+ processus d'ouverture et de fermeture de session et les
+ authentifications et autorisations.</para>
<para>L'entrée <literal>policy</literal> donne une
liste d'indicateurs de stratégie contrôlant
@@ -617,9 +628,8 @@ filesz:0</programlisting>
<literal>cnt</literal> indique que le système devrait
continuer à fonctionner en dépit d'un
échec dans l'audit (l'emploi de cet indicateur est
- hautement recommandé). Un autre indicateur
- généralement utilisé est
- <literal>argv</literal>, qui provoque l'audit des arguments
+ hautement recommandé). L'autre indicateur
+ <literal>argv</literal>, provoque l'audit des arguments
passés à l'appel système &man.execve.2;
lors de l'audit de l'exécution des commandes.</para>
@@ -627,39 +637,42 @@ filesz:0</programlisting>
taille maximale en octets autorisée pour un fichier
de trace avant qu'il soit interrompu et que le
système provoque sa rotation. La valeur par
- défaut, 0, désactive la rotation automatique
- des journaux. Si la taille de fichier est différente
- de zéro mais inférieure à 512K, elle
+ défaut, <literal>0</literal>, désactive la rotation automatique
+ des journaux. Si la taille de fichier est
+ inférieure à 512K, elle
sera ignorée et un message sera
généré.</para>
+
+ <para>Le champ <option>expire-after</option> indique quand un
+ fichier de trace expirera et sera supprimé.</para>
</sect3>
<sect3 xml:id="audit-audituser">
<title>Le fichier <filename>audit_user</filename></title>
- <para>Le fichier <filename>audit_user</filename> permet
- à l'administrateur de préciser des conditions
- supplémentaires d'audit pour des utilisateurs
- spécifiques. Chaque ligne paramètre l'audit
+ <para>L'administrateur peut spécifier des exigences
+ supplémentaires qu niveau de l'audit pour des utilisateurs
+ spécifiques dans le fichier <filename>audit_user</filename>.
+ Chaque ligne paramètre l'audit
pour un utilisateur par l'intermédiaire de deux
- champs: le premier est le champ
+ champs: le champ
<literal>alwaysaudit</literal>, qui indique l'ensemble des
événements qui devraient toujours être
- surveillés pour l'utilisateur, le deuxième
+ surveillés pour l'utilisateur, le
champ, <literal>neveraudit</literal>, indique un ensemble
d'événements qui ne devrait jamais être
audité pour cet utilisateur.</para>
- <para>L'exemple suivant de fichier
- <filename>audit_user</filename> permet le suivi des
+ <para>L'exemple suivant d'entrées
+ permet le suivi des
ouvertures et fermetures de sessions et l'exécution
de commandes avec succès de l'utilisateur
<systemitem class="username">root</systemitem>, et audite la création de
fichiers et l'exécution de commandes avec
succès pour l'utilisateur <systemitem class="username">www</systemitem>.
- Si ce fichier est utilisé avec l'exemple
- précédent de fichier
- <filename>audit_control</filename>, l'entrée
+ Si utilisé avec le
+ fichier
+ <filename>audit_control</filename> par défaut, l'entrée
<literal>lo</literal> pour <systemitem class="username">root</systemitem> est
redondante, et les événements relatifs aux
ouvertures et aux fermetures de sessions seront
@@ -673,45 +686,40 @@ www:fc,+ex:no</programlisting>
</sect1>
<sect1 xml:id="audit-administration">
- <title>Administration du système d'audit</title>
-
- <sect2>
- <title>Consultation des traces d'audit</title>
+ <title>Travailler avec les traces d'audit</title>
- <para>Les traces d'audit sont stockées sous le format
- binaire BSM (<quote>Basic Security Module</quote>), aussi il
- sera nécessaire d'utiliser des outils pour modifier ou
- convertir en texte les fichiers de trace. La commande
- &man.praudit.1; convertit les fichiers de trace en simple
- texte; la commande &man.auditreduce.1; peut être
- utilisée pour réduire le fichier de trace en vue
- d'une analyse, d'un archivage, ou d'une impression. La
- commande <command>auditreduce</command> supporte une
- variété de paramètres de
- sélection, parmi lesquels le type
- d'événement, la classe de
- l'événement, l'utilisateur, la date ou l'heure
- de l'événement, et le chemin d'accès ou
- l'objet sur lequel on agit.</para>
+ <para>Etant donné que les traces d'audit sont stockées sous le format
+ binaire <acronym>BSM</acronym> (<quote>Basic Security Module</quote>),
+ plusieurs outils sont disponibles pour modifier ou convertir
+ en texte ces fichiers de trace.
+ Pour convertir les fichiers de trace en en texte simple,
+ utiliser la commande <command>praudit</command>.
+ Pour réduire le fichier de trace en vue
+ d'une analyse, d'un archivage, ou d'une impression, utiliser
+ la commande <command>auditreduce</command>. Cet utilitaire
+ supporte une variété de paramètres de sélection, parmi
+ lesquels le type d'événement, la classe de l'événement,
+ l'utilisateur, la date ou l'heure de l'événement, et le chemin
+ d'accès ou l'objet sur lequel on agit.</para>
- <para>Par exemple, l'utilitaire <command>praudit</command>
- affichera sous forme de texte brut l'intégralité
+ <para>Par exemple, pour afficher
+ sous forme de texte brut l'intégralité
du contenu du fichier journal d'audit
précisé:</para>
- <screen>&prompt.root; <userinput>praudit /var/audit/AUDITFILE</userinput></screen>
+ <screen>&prompt.root; <userinput>praudit /var/audit/<replaceable>AUDITFILE</replaceable></userinput></screen>
<para>Où
- <filename>AUDITFILE</filename> est
+ <replaceable>AUDITFILE</replaceable> est
le journal à afficher.</para>
<para>Les traces d'audit consistent en une série
d'enregistrements constitués de champs que la commande
<command>praudit</command> affiche de manière
séquentielle, un par ligne. Chaque champ est
- spécifique, comme <literal>header</literal> contenant
- l'entête de l'enregistrement, ou <literal>path</literal>
- contenant le chemin d'accès. Ce qui suit est un
+ spécifique, comme <literal>header</literal>
+ (l'entête de l'enregistrement), ou <literal>path</literal>
+ (le chemin d'accès). Ce qui suit est un
exemple d'événement
<literal>execve</literal>:</para>
@@ -725,90 +733,71 @@ trailer,133</programlisting>
<para>Cet audit représente un appel réussi
à <literal>execve</literal>, lors de l'exécution
- de la commande <literal>finger doug</literal>. Le champ pour
- les arguments contient la ligne de commande
+ de la commande <literal>finger doug</literal>. Le champ
+ <literal>exec arg</literal> contient la ligne de commande
présentée par l'interpréteur de commandes
au noyau. Le champ <literal>path</literal> contient le chemin
d'accès à l'exécutable comme le voit le
noyau. Le champ <literal>attribute</literal> décrit le
- binaire, et en particulier, précise les permissions sur
- le fichier qui permettent de déterminer si
- l'application avait les permissions <quote>setuid</quote>. Le
- champ <literal>subject</literal> décrit le sujet de
- l'audit, et conserve sous la forme d'une séquence
- l'identifiant (ID) de l'utilisateur audité, les
+ binaire et précise les permissions sur le fichier. Le champ
+ <literal>subject</literal> conserve l'identifiant (ID) de
+ l'utilisateur audité, les
identifiants groupe et utilisateur effectifs, les identifiants
groupe et utilisateur réels, l'ID du processus, l'ID de
la session, l'ID du port, et l'adresse correspondant à
la session. Notez que l'ID de l'utilisateur pour l'audit
- diffère de l'ID réel de l'utilisateur:
+ diffère de l'ID réel de l'utilisateur étant donné que
l'utilisateur <systemitem class="username">robert</systemitem> est passé en
<systemitem class="username">root</systemitem> avant l'exécution de la
commande, mais l'audit se fait par rapport à
- l'utilisateur authentifié original. Et enfin, le champ
+ l'utilisateur authentifié original. Le champ
<literal>return</literal> indique la réussite de
- l'exécution, et le champ <literal>trailer</literal>
+ l'exécution et le champ <literal>trailer</literal>
termine l'enregistrement.</para>
- <para>Sous &os; 6.3 et versions suivantes,
- <command>praudit</command> supporte également un format
- de sortie XML, qui peut être sélectionné
- en utilisant l'argument <option>-x</option>.</para>
- </sect2>
-
- <sect2>
- <title>Réduction des traces d'audit</title>
+ <para>Le format de sortie <acronym>XML</acronym> est également
*** DIFF OUTPUT TRUNCATED AT 1000 LINES ***
More information about the svn-doc-head
mailing list