Date: Sun, 5 Jul 2015 16:40:07 +0000 (UTC) From: Marc Fonvieille <blackend@FreeBSD.org> To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r46924 - head/fr_FR.ISO8859-1/books/handbook/audit Message-ID: <201507051640.t65Ge7Zw025834@repo.freebsd.org>
next in thread | raw e-mail | index | archive | help
Author: blackend Date: Sun Jul 5 16:40:06 2015 New Revision: 46924 URL: https://svnweb.freebsd.org/changeset/doc/46924 Log: MFen: --> r44395 Modified: head/fr_FR.ISO8859-1/books/handbook/audit/chapter.xml Modified: head/fr_FR.ISO8859-1/books/handbook/audit/chapter.xml ============================================================================== --- head/fr_FR.ISO8859-1/books/handbook/audit/chapter.xml Sun Jul 5 16:38:24 2015 (r46923) +++ head/fr_FR.ISO8859-1/books/handbook/audit/chapter.xml Sun Jul 5 16:40:06 2015 (r46924) @@ -4,7 +4,7 @@ The FreeBSD French Documentation Project $FreeBSD$ - Original revision: 1.33 + Original revision: 44395 --> <!-- Need more documentation on praudit, auditreduce, etc. Plus more info on the triggers from the kernel (log rotation, out of space, etc). @@ -34,7 +34,7 @@ requirements. --> <see>MAC</see> </indexterm> - <para>&os; 6.2 et les versions suivantes disposent d'un + <para>&os; dispose d'un support pour l'audit d'événements relatifs à la sécurité du système. L'audit d'événements permet un enregistrement fiable et @@ -46,8 +46,9 @@ requirements. --> enregistrements ou journaux peuvent être d'une très grande aide pour la surveillance d'un système, pour la détection d'intrusion, et les analyses post-mortem. &os; - implémente l'API et le format de fichiers - <acronym>BSM</acronym> publiés par &sun; qui sont + implémente l'<acronym>API</acronym> et le format de fichiers + <acronym>BSM</acronym> (<emphasis>Basic Security + Module</emphasis>) publiés par &sun; qui sont interopérables avec les implémentations d'audits de &solaris; de &sun; et de &macos; X d'&apple;.</para> @@ -95,27 +96,20 @@ requirements. --> </itemizedlist> <warning> - <para>La fonctionnalité d'audit sous &os; 6.<replaceable>X</replaceable> est - considérée comme expérimentale, aussi un - déploiement en production ne devrait intervenir - qu'après avoir considéré avec prudence les - risques découlant de l'utilisation de logiciels - expérimentaux. Parmi les limitations connues, on peut - citer le fait que tous les événements + <para>La fonctionnalité d'audit connaît des limitations. + Tous les événements systèmes en rapport avec la sécurité ne peuvent pas être soumis à un audit, et que certains mécanismes d'ouverture de session, comme les gestionnaires de procédures de connexions basés - sur X11 et des <quote>démons</quote> tiers, ne permettent + sur <application>Xorg</application> et des <quote>démons</quote> tiers, ne permettent pas une configuration correcte de l'audit pour les ouvertures de session utilisateur.</para> - </warning> - <warning> <para>Le système d'audit des événements permet la génération d'enregistrements - détaillés de l'activité du système: - sur un système occupé, un fichier journal d'audit + détaillés de l'activité du système. + Sur un système occupé, un fichier journal d'audit peut être très important quand le système est configuré pour un haut niveau de détail, dépassant plusieurs gigaoctets par semaine sur certaines @@ -124,7 +118,7 @@ requirements. --> avec les configurations d'audit à haut niveau de détail. Par exemple, il peut être recommandé de dédier un système de fichiers - à l'arborescence <filename>/var/audit</filename> de + à <filename class="directory">/var/audit</filename> de manière à ce que les autres systèmes de fichiers ne soient pas affectés si le système de fichiers pour les audits est plein.</para> @@ -132,10 +126,10 @@ requirements. --> </sect1> <sect1 xml:id="audit-inline-glossary"> - <title>Mots-clés utilisés dans ce chapitre</title> + <title>Mots-clés</title> - <para>Avant de lire ce chapitre, quelques termes relatifs à - l'audit doivent être explicités:</para> + <para>Les termes suivants sont relatifs à + l'audit des événements:</para> <itemizedlist> <listitem> @@ -155,12 +149,11 @@ requirements. --> événements comme ceux qui apparaissent avant l'authentification durant le processus d'ouverture de session, tels que les tentatives avec un mauvais mot de passe, sont des - événement non-attribuables.</para> + exemples d'événements non-attribuables.</para> </listitem> <listitem> - <para><emphasis>classe</emphasis>: les classes - d'événement désignent à l'aide + <para><emphasis>classe</emphasis>: désigne à l'aide d'un nom particulier des ensembles d'événements en rapport les uns avec les autres et sont utilisées dans les expressions de @@ -173,8 +166,8 @@ requirements. --> </listitem> <listitem> - <para><emphasis>enregistrement</emphasis>: un enregistrement - est une entrée du fichier de trace d'audit + <para><emphasis>enregistrement</emphasis>: + une entrée du fichier de trace d'audit décrivant un événement relatif à la sécurité. Les enregistrements contiennent le type d'événement, des informations sur @@ -185,11 +178,11 @@ requirements. --> </listitem> <listitem> - <para><emphasis>trace d'audit</emphasis>: une trace d'audit, - ou fichier journal, consiste en une série + <para><emphasis>trace d'audit</emphasis>: un + fichier journal consistant en une série d'enregistrements décrivant les événements relatifs à la - sécurité. Généralement ces traces + sécurité. Les traces sont organisées de manière chronologiques par rapport à l'horaire de fin des événements. Seuls les processus @@ -199,7 +192,7 @@ requirements. --> <listitem> <para><emphasis>expression de sélection</emphasis>: une - expression de sélection est une chaîne de + chaîne de caractères contenant une liste de préfixes et de classes d'événement d'audit utilisés pour désigner des événements.</para> @@ -208,10 +201,8 @@ requirements. --> <listitem> <para><emphasis>préselection</emphasis>: le processus par lequel le système identifie quels - événements intéressent l'administrateur - afin d'éviter la génération - d'enregistrements d'audit sans intérêt pour - l'administrateur. La configuration de la + événements intéressent l'administrateur. + La configuration de la présélection utilise une série d'expressions de sélection pour déterminer quelles classes d'événement sont à @@ -239,96 +230,27 @@ requirements. --> </itemizedlist> </sect1> - <sect1 xml:id="audit-install"> - <title>Installation du support pour les audits</title> - - <para>Le support pour l'audit des événements est - installé avec le système de base de &os;. Sous - &os; 7.0 et versions ultérieures, le support pour - les audits est présent par défaut dans le noyau. - Sous &os; 6.<replaceable>X</replaceable>, ce support doit être - compilé dans le noyau en ajoutant la ligne suivante au - fichier de configuration du noyau:</para> - - <programlisting>options AUDIT</programlisting> - - <para>Recompilez et réinstallez le noyau en suivant le - processus classique expliqué dans le <xref linkend="kernelconfig"/>.</para> - - <para>Une fois que le noyau supportant les audits a été compilé, - installé, et que le système a été - redémarré, activez le <quote>démon</quote> - d'audit en ajoutant la ligne suivante au fichier - &man.rc.conf.5;:</para> - - <programlisting>auditd_enable="YES"</programlisting> - - <para>Le support pour les audits peut alors être - lancé par un redémarrage de la machine ou - manuellement en lançant le <quote>démon</quote> - d'audit:</para> - - <programlisting>/etc/rc.d/auditd start</programlisting> - </sect1> - <sect1 xml:id="audit-config"> <title>Configuration de l'audit</title> - <para>Tous les fichiers de configuration de l'audit - d'événements en rapport avec la - sécurité se trouvent dans le répertoire - <filename>/etc/security</filename>. Les - fichiers suivants doivent être présents avant le - lancement du <quote>démon</quote> d'audit:</para> - - <itemizedlist> - <listitem> - <para><filename>audit_class</filename> - contient les - définitions des classes d'audit.</para> - </listitem> - - <listitem> - <para><filename>audit_control</filename> - contrôle les - caractéristiques du système d'audit comme les - classes d'audit par défaut, l'espace disque minimal - à conserver sur le volume réservé aux - journaux, la taille maximale des traces d'audit, etc.</para> - </listitem> + <para>Le support pour l'audit des événements est installé avec le + système de base de &os;. Le support présent dans le noyau + <filename>GENERIC</filename> par défaut, et &man.auditd.8; peut + être activé en ajoutant la ligne suivante au fichier + <filename>/etc/rc.conf</filename>:</para> - <listitem> - <para><filename>audit_event</filename> - les noms et la - description des événements systèmes - audités ainsi qu'une liste de classes auxquelles - appartiennent chaque événement.</para> - </listitem> + <programlisting>auditd_enable="YES"</programlisting> - <listitem> - <para><filename>audit_user</filename> - les classes - d'événement à auditer pour des - utilisateurs spécifiques, qui s'ajoutent aux - paramètres généraux fixés par - défaut à l'ouverture de session.</para> - </listitem> + <para>Puis, le daemon d'audit peut être lancé:</para> - <listitem> - <para><filename>audit_warn</filename> - une procédure - modifiable utilisée par - <application>auditd</application> pour générer - des messages d'alerte lors des situations exceptionnelles - comme un espace disque faible pour les fichiers journaux - d'audit ou quand il y a eu rotation de ces fichiers - journaux.</para> - </listitem> - </itemizedlist> + <screen>&prompt.root; <userinput>service auditd start</userinput></screen> - <warning> - <para>Les fichiers de configuration de l'audit devraient - être modifiés et gérés avec prudence - étant donné que des erreurs dans la configuration - pourraient donner lieu à un enregistrement incorrect des - événements.</para> - </warning> + <para>Les utilisateurs préférant compiler un noyau sur mesure + doivent ajouter la ligne suivante dans le fichier de + configuration du noyau:</para> + <programlisting>options AUDIT</programlisting> + <sect2> <title>Expressions de sélection des événements</title> @@ -338,243 +260,329 @@ requirements. --> système d'audit pour déterminer quels événements doivent être suivis. Les expressions contiennent une liste de classes - d'événements, chacune avec un préfixe - indiquant si les enregistrements correspondants doivent - être acceptés ou ignorés, et qui peut, de - manière optionnelle, indiquer si l'entrée se - limite aux opérations réussies ou aux - échecs. Les expressions de sélection sont + d'événements devant correspondre. + Les expressions de sélection sont évaluées de gauche à droite, et deux expressions sont combinées en ajoutant l'une à la suite de l'autre.</para> - <para>La liste suivante contient les classes - d'événements présentes par défaut - dans le fichier <filename>audit_class</filename>:</para> - - <itemizedlist> - <listitem> - <para><literal>all</literal> - <emphasis>all</emphasis> - (tout) - correspond à toutes les classes - d'événements.</para> - </listitem> - - <listitem> - <para><literal>ad</literal> - - <emphasis>administrative</emphasis> (administration) - - actions d'administration du système.</para> - </listitem> - - <listitem> - <para><literal>ap</literal> - - <emphasis>application</emphasis> - action définie - par l'application.</para> - </listitem> - - <listitem> - <para><literal>cl</literal> - <emphasis>file - close</emphasis> (fermeture de fichiers) - enregistre les - utilisations de l'appel système - <function>close</function>.</para> - </listitem> - - <listitem> - <para><literal>ex</literal> - <emphasis>exec</emphasis> - (exécution) - audite les exécutions de - programmes. L'audit des arguments en ligne de commande et - des variables d'environnement est contrôlé - par via &man.audit.control.5; en utilisant les - paramètres <literal>argv</literal> et - <literal>envv</literal> pour l'entrée - <literal>policy</literal>.</para> - </listitem> - - <listitem> - <para><literal>fa</literal> - <emphasis>file attribute - access</emphasis> - enregistre l'accès aux - attributs des objets comme &man.stat.1;, &man.pathconf.2; - et les événements similaires.</para> - </listitem> - - <listitem> - <para><literal>fc</literal> - <emphasis>file - create</emphasis> (création de fichiers) - enregistre les - événements ayant pour résultat la - création d'un fichier.</para> - </listitem> - - <listitem> - <para><literal>fd</literal> - <emphasis>file - delete</emphasis> (suppression de fichiers) - enregistre - les événements pour lesquels une suppression - de fichier a lieu.</para> - </listitem> - - <listitem> - <para><literal>fm</literal> - <emphasis>file attribute - modify</emphasis> (modification des attributs d'un - fichier) - enregistre les événements lors - desquels une modification des attributs d'un fichier - intervient, comme l'utilisation de &man.chown.8;, - &man.chflags.1;, &man.flock.2;, etc.</para> - </listitem> - - <listitem> - <para><literal>fr</literal> - <emphasis>file read</emphasis> - (lecture de fichiers) - enregistre les - événements qui donnent lieu à la - lecture de données, l'ouverture de fichiers - à la lecture, etc.</para> - </listitem> - - <listitem> - <para><literal>fw</literal> - <emphasis>file - write</emphasis> (écriture de fichiers) - - enregistre les événements qui donnent lieu - à l'écriture de données, à - l'écriture ou à la modification de fichiers, - etc.</para> - </listitem> - - <listitem> - <para><literal>io</literal> - <emphasis>ioctl</emphasis> - - enregistre l'utilisation de l'appel système - &man.ioctl.2;.</para> - </listitem> - - <listitem> - <para><literal>ip</literal> - <emphasis>ipc</emphasis> - - enregistre les différentes utilisations de - communication inter-processus, dont les utilisations des - tubes POSIX et les opérations - <acronym>IPC</acronym> Système V.</para> - </listitem> - - <listitem> - <para><literal>lo</literal> - - <emphasis>login_logout</emphasis> (ouverture et fermeture - de session) - enregistre les ouvertures et fermeture de - session (&man.login.1; et &man.logout.1;) intervenant sur - le système.</para> - </listitem> - - <listitem> - <para><literal>na</literal> - <emphasis>non - attributable</emphasis> (non-attribuable) - enregistre les - événements non-attribuables.</para> - </listitem> + <para><xref linkend="event-selection"/> résume les classes + d'événements présentes par défaut</para> - <listitem> - <para><literal>no</literal> - <emphasis>invalid - class</emphasis> (classe invalide) - ne correspond - à aucun des événements - surveillés.</para> - </listitem> + <table xml:id="event-selection" frame="none" pgwide="1"> + <title>Classes d'événements par défaut</title> - <listitem> - <para><literal>nt</literal> - <emphasis>network</emphasis> - (réseau) - enregistre les événements - relatifs au réseau, comme l'utilisation des - fonctions &man.connect.2; et &man.accept.2;.</para> - </listitem> - - <listitem> - <para><literal>ot</literal> - <emphasis>other</emphasis> - (autre) - enregistre les événements - divers.</para> - </listitem> - - <listitem> - <para><literal>pc</literal> - <emphasis>process</emphasis> - (processus) - enregistre les opérations sur les - processus, comme l'utilisation des fonctions &man.exec.3; - et &man.exit.3;.</para> - </listitem> - </itemizedlist> + <tgroup cols="3"> + <thead> + <row> + <entry>Classe</entry> + <entry>Description</entry> + <entry>Action</entry> + </row> + </thead> + + <tbody> + <row> + <entry>all</entry> + <entry>tout</entry> + <entry>correspond à toutes les classes + d'événements.</entry> + </row> + + <row> + <entry>aa</entry> + <entry>authentification et autorisation</entry> + <entry></entry> + </row> + + <row> + <entry>ad</entry> + <entry>administration</entry> + <entry>Actions d'administration du système.</entry> + </row> + + <row> + <entry>ap</entry> + <entry>application</entry> + <entry>Action définie par l'application.</entry> + </row> + + <row> + <entry>cl</entry> + <entry>fermeture de fichiers</entry> + <entry>Enregistre les utilisations de l'appel système + <function>close</function>.</entry> + </row> + + <row> + <entry>ex</entry> + <entry>exécution</entry> + <entry>Enregistre les exécutions de programmes. L'audit + des arguments en ligne de commande et des variables + d'environnement est contrôlé par via + &man.audit.control.5; en utilisant les paramètres + <literal>argv</literal> et <literal>envv</literal> + pour l'entrée <literal>policy</literal>.</entry> + </row> + + <row> + <entry>fa</entry> + <entry>accès à aux attributs des fichiers</entry> + <entry>Audit the access of object attributes such as + &man.stat.1; and &man.pathconf.2;.</entry> + <entry>enregistre l'accès aux attributs des objets comme + &man.stat.1;, &man.pathconf.2;.</entry> + </row> + + <row> + <entry>fc</entry> + <entry>création de fichiers</entry> + <entry>Enregistre les événements ayant pour résultat la + création d'un fichier.</entry> + </row> + + <row> + <entry>fd</entry> + <entry>suppression de fichiers</entry> + <entry>Enregistre les événements pour lesquels une + suppression de fichier a lieu.</entry> + </row> + + <row> + <entry>fm</entry> + <entry>modification des attributs d'un fichier</entry> + <entry>Enregistre les événements lors desquels une + modification des attributs d'un fichier intervient, + comme l'utilisation de &man.chown.8;, + &man.chflags.1;, et &man.flock.2;.</entry> + </row> + + <row> + <entry>fr</entry> + <entry>lecture de fichiers</entry> + <entry>Enregistre les événements qui donnent lieu + à la lecture de données, l'ouverture de + fichiers pour la lecture.</entry> + </row> + + <row> + <entry>fw</entry> + <entry>écriture de fichiers</entry> + <entry>Enregistre les événements qui donnent lieu + à l'écriture de données ou à l'écriture ou + la modification de fichiers.</entry> + </row> + + <row> + <entry>io</entry> + <entry>ioctl</entry> + <entry>Enregistre l'utilisation de l'appel système + <function>ioctl</function>.</entry> + </row> + + <row> + <entry>ip</entry> + <entry>ipc</entry> + <entry>Enregistre les différentes utilisations de + communication inter-processus, dont les utilisations + des tubes POSIX et les opérations + <acronym>IPC</acronym> Système V.</entry> + </row> + + <row> + <entry>lo</entry> + <entry>login_logout</entry> + <entry>Enregistre les ouvertures et fermeture de session + (&man.login.1; et &man.logout.1;).</entry> + </row> + + <row> + <entry>na</entry> + <entry>non attributable</entry> + <entry>Enregistre les événements non-attribuables.</entry> + </row> + + <row> + <entry>no</entry> + <entry>classe invalide</entry> + <entry>Ne correspond à aucun des événements + surveillés.</entry> + </row> + + <row> + <entry>nt</entry> + <entry>réseau</entry> + <entry>Enregistre les événements relatifs au réseau, + comme l'utilisation des fonctions &man.connect.2; et + &man.accept.2;.</entry> + </row> + + <row> + <entry>ot</entry> + <entry>autre</entry> + <entry>Enregistre les événements divers.</entry> + </row> + + <row> + <entry>pc</entry> + <entry>processus</entry> + <entry>Enregistre les opérations sur les processus, + comme l'utilisation des fonctions &man.exec.3; et + &man.exit.3;.</entry> + </row> + </tbody> + </tgroup> + </table> <para>Ces classes d'événement peuvent être personnalisées en modifiant les fichiers de configuration <filename>audit_class</filename> et <filename>audit_event</filename>.</para> - <para>Chaque classe d'audit dans la liste est combinée + <para>Chaque classe d'audit peut être combinée avec un préfixe indiquant si les opérations réussies/échouées sont sélectionnées, et si l'entrée ajoute ou supprime une sélection pour la classe ou le type - concerné.</para> + concerné. <xref linkend="event-prefixes"/> résume les + préfixes disponibles.</para> - <itemizedlist> - <listitem> - <para>(rien) enregistre les succès et les - échecs de l'événement.</para> - </listitem> + <table xml:id="event-prefixes" frame="none" pgwide="1"> + <title>Prefixes pour les classes d'audit</title> + + <tgroup cols="2"> + <thead> + <row> + <entry>Prefixe</entry> + <entry>Action</entry> + </row> + </thead> + + <tbody> + <row> + <entry>+</entry> + <entry>Enregistre les événements réussis de cette + classe.</entry> + </row> + + <row> + <entry>-</entry> + <entry>Enregistre les événements de cette classe qui ont + échoué.</entry> + </row> + + <row> + <entry>^</entry> + <entry>N'enregistre ni les événements réussis ni les + échecs de cette classe.</entry> + </row> + + <row> + <entry>^+</entry> + <entry>Ne pas enregistrer les événements réussis de + cette classe.</entry> + </row> + + <row> + <entry>^-</entry> + <entry>Ne pas enregistrer les événements de cette classe + qui ont échoué.</entry> + </row> + </tbody> + </tgroup> + </table> + + <para>Si aucun préfixe n'est présent, les succès et le échecs de + l'événement seront enregistrés.</para> + + <para>L'exemple suivant d'expression de sélection permet + la sélection des ouvertures et fermetures de session + réussies ou échouées, et uniquement les + exécutions ayant réussies:</para> + <programlisting>lo,+ex</programlisting> + </sect2> + + <sect2> + <title>Fichiers de configuration</title> + + <para>Les fichiers de configuration suivants pour l'audit + d'événements en rapport avec la + sécurité se trouvent dans le répertoire + <filename>/etc/security</filename>.</para> + + <itemizedlist> <listitem> - <para><literal>+</literal> enregistre les - événements réussis de cette - classe.</para> + <para><filename>audit_class</filename>: contient les + définitions des classes d'audit.</para> </listitem> <listitem> - <para><literal>-</literal> enregistre les - événements de cette classe qui ont - échoué.</para> + <para><filename>audit_control</filename>: contrôle les + caractéristiques du système d'audit comme les + classes d'audit par défaut, l'espace disque minimal + à conserver sur le volume réservé aux + journaux, la taille maximale des traces d'audit.</para> </listitem> <listitem> - <para><literal>^</literal> n'enregistre ni les - événements réussis ni les échecs - de cette classe.</para> + <para><filename>audit_event</filename>: les noms et la + description des événements systèmes + audités ainsi qu'une liste de classes auxquelles + appartiennent chaque événement.</para> </listitem> <listitem> - <para><literal>^+</literal> ne pas enregistrer les - événements réussis de cette - classe.</para> + <para><filename>audit_user</filename>: les classes + d'événement à auditer pour des + utilisateurs spécifiques, qui s'ajoutent aux + paramètres généraux fixés par + défaut à l'ouverture de session.</para> </listitem> <listitem> - <para><literal>^-</literal> ne pas enregistrer les - événements de cette classe qui ont - échoué.</para> + <para><filename>audit_warn</filename>: une procédure + modifiable utilisée par + &man.auditd.8; pour générer + des messages d'alerte lors des situations exceptionnelles + comme un espace disque faible pour les fichiers journaux + d'audit ou quand il y a eu rotation de ces fichiers + journaux.</para> </listitem> </itemizedlist> - <para>L'exemple suivant d'expression de sélection permet - la sélection des ouvertures et fermetures de session - réussies ou échouées, et uniquement les - exécutions ayant réussies:</para> - - <programlisting>lo,+ex</programlisting> - </sect2> + <warning> + <para>Les fichiers de configuration de l'audit devraient + être modifiés et gérés avec prudence + étant donné que des erreurs dans la configuration + pourraient donner lieu à un enregistrement incorrect des + événements.</para> + </warning> - <sect2> - <title>Fichiers de configuration</title> <para>Dans la plupart des cas, les administrateurs ne devront - modifier que deux fichiers lors de la configuration du - système d'audit: <filename>audit_control</filename> et + modifier que <filename>audit_control</filename> et <filename>audit_user</filename>. Le premier contrôle les propriétés et les stratégies au - niveau du système; le second peut être + niveau du système et le second peut être utilisé pour affiner l'audit pour chaque utilisateur.</para> <sect3 xml:id="audit-auditcontrol"> <title>Le fichier <filename>audit_control</filename></title> - <para>Le fichier <filename>audit_control</filename> fixe un - certain nombre de paramètres par défaut pour - le système d'audit. Le contenu de ce fichier - ressemble à ce qui suit:</para> + <para>Un certain nombre de paramètres par défaut pour le + système d'audit sont spécifiés dans le fichier + <filename>audit_control</filename>:</para> <programlisting>dir:/var/audit -flags:lo -minfree:20 -naflags:lo -policy:cnt -filesz:0</programlisting> +dist:off +flags:lo,aa +minfree:5 +naflags:lo,aa +policy:cnt,argv +filesz:2M +expire-after:10M</programlisting> <para>L'option <literal>dir</literal> est utilisée pour déclarer un ou plusieurs répertoires dans @@ -589,26 +597,29 @@ filesz:0</programlisting> d'autres systèmes si le système de fichiers est plein.</para> + <para>Si le champ <option>dist</option> est fixé à + <literal>on</literal> ou <literal>yes</literal>, des liens + matériel seront créés pour tous les fichiers de trace + d'audit de <filename>/var/audit/dist</filename>.</para> + <para>Le champ <literal>flags</literal> fixe le masque général de présélection utilisé par défaut pour les événements attribuables. Dans l'exemple ci-dessus, les ouvertures et fermetures de sessions - réussies ou échouées sont + réussies ou échouées ainsi que les authentifications et + autorisations sont enregistrées pour tous les utilisateurs.</para> <para>L'option <literal>minfree</literal> définit le pourcentage minimal d'espace libre du système de - fichiers sur lequel les traces d'audit sont stockées. - Si cette limite est dépassée, un avertissement - sera généré. L'exemple ci-dessus fixe - l'espace minimal à vingt pourcent.</para> + fichiers sur lequel les traces d'audit sont stockées.</para> <para>L'entrée <literal>naflags</literal> indique les classes à surveiller pour les événements non-attribués, comme les - processus d'ouverture de session et les - <quote>démons</quote> système.</para> + processus d'ouverture et de fermeture de session et les + authentifications et autorisations.</para> <para>L'entrée <literal>policy</literal> donne une liste d'indicateurs de stratégie contrôlant @@ -617,9 +628,8 @@ filesz:0</programlisting> <literal>cnt</literal> indique que le système devrait continuer à fonctionner en dépit d'un échec dans l'audit (l'emploi de cet indicateur est - hautement recommandé). Un autre indicateur - généralement utilisé est - <literal>argv</literal>, qui provoque l'audit des arguments + hautement recommandé). L'autre indicateur + <literal>argv</literal>, provoque l'audit des arguments passés à l'appel système &man.execve.2; lors de l'audit de l'exécution des commandes.</para> @@ -627,39 +637,42 @@ filesz:0</programlisting> taille maximale en octets autorisée pour un fichier de trace avant qu'il soit interrompu et que le système provoque sa rotation. La valeur par - défaut, 0, désactive la rotation automatique - des journaux. Si la taille de fichier est différente - de zéro mais inférieure à 512K, elle + défaut, <literal>0</literal>, désactive la rotation automatique + des journaux. Si la taille de fichier est + inférieure à 512K, elle sera ignorée et un message sera généré.</para> + + <para>Le champ <option>expire-after</option> indique quand un + fichier de trace expirera et sera supprimé.</para> </sect3> <sect3 xml:id="audit-audituser"> <title>Le fichier <filename>audit_user</filename></title> - <para>Le fichier <filename>audit_user</filename> permet - à l'administrateur de préciser des conditions - supplémentaires d'audit pour des utilisateurs - spécifiques. Chaque ligne paramètre l'audit + <para>L'administrateur peut spécifier des exigences + supplémentaires qu niveau de l'audit pour des utilisateurs + spécifiques dans le fichier <filename>audit_user</filename>. + Chaque ligne paramètre l'audit pour un utilisateur par l'intermédiaire de deux - champs: le premier est le champ + champs: le champ <literal>alwaysaudit</literal>, qui indique l'ensemble des événements qui devraient toujours être - surveillés pour l'utilisateur, le deuxième + surveillés pour l'utilisateur, le champ, <literal>neveraudit</literal>, indique un ensemble d'événements qui ne devrait jamais être audité pour cet utilisateur.</para> - <para>L'exemple suivant de fichier - <filename>audit_user</filename> permet le suivi des + <para>L'exemple suivant d'entrées + permet le suivi des ouvertures et fermetures de sessions et l'exécution de commandes avec succès de l'utilisateur <systemitem class="username">root</systemitem>, et audite la création de fichiers et l'exécution de commandes avec succès pour l'utilisateur <systemitem class="username">www</systemitem>. - Si ce fichier est utilisé avec l'exemple - précédent de fichier - <filename>audit_control</filename>, l'entrée + Si utilisé avec le + fichier + <filename>audit_control</filename> par défaut, l'entrée <literal>lo</literal> pour <systemitem class="username">root</systemitem> est redondante, et les événements relatifs aux ouvertures et aux fermetures de sessions seront @@ -673,45 +686,40 @@ www:fc,+ex:no</programlisting> </sect1> <sect1 xml:id="audit-administration"> - <title>Administration du système d'audit</title> - - <sect2> - <title>Consultation des traces d'audit</title> + <title>Travailler avec les traces d'audit</title> - <para>Les traces d'audit sont stockées sous le format - binaire BSM (<quote>Basic Security Module</quote>), aussi il - sera nécessaire d'utiliser des outils pour modifier ou - convertir en texte les fichiers de trace. La commande - &man.praudit.1; convertit les fichiers de trace en simple - texte; la commande &man.auditreduce.1; peut être - utilisée pour réduire le fichier de trace en vue - d'une analyse, d'un archivage, ou d'une impression. La - commande <command>auditreduce</command> supporte une - variété de paramètres de - sélection, parmi lesquels le type - d'événement, la classe de - l'événement, l'utilisateur, la date ou l'heure - de l'événement, et le chemin d'accès ou - l'objet sur lequel on agit.</para> + <para>Etant donné que les traces d'audit sont stockées sous le format + binaire <acronym>BSM</acronym> (<quote>Basic Security Module</quote>), + plusieurs outils sont disponibles pour modifier ou convertir + en texte ces fichiers de trace. + Pour convertir les fichiers de trace en en texte simple, + utiliser la commande <command>praudit</command>. + Pour réduire le fichier de trace en vue + d'une analyse, d'un archivage, ou d'une impression, utiliser + la commande <command>auditreduce</command>. Cet utilitaire + supporte une variété de paramètres de sélection, parmi + lesquels le type d'événement, la classe de l'événement, + l'utilisateur, la date ou l'heure de l'événement, et le chemin + d'accès ou l'objet sur lequel on agit.</para> - <para>Par exemple, l'utilitaire <command>praudit</command> - affichera sous forme de texte brut l'intégralité + <para>Par exemple, pour afficher + sous forme de texte brut l'intégralité du contenu du fichier journal d'audit précisé:</para> - <screen>&prompt.root; <userinput>praudit /var/audit/AUDITFILE</userinput></screen> + <screen>&prompt.root; <userinput>praudit /var/audit/<replaceable>AUDITFILE</replaceable></userinput></screen> <para>Où - <filename>AUDITFILE</filename> est + <replaceable>AUDITFILE</replaceable> est le journal à afficher.</para> <para>Les traces d'audit consistent en une série d'enregistrements constitués de champs que la commande <command>praudit</command> affiche de manière séquentielle, un par ligne. Chaque champ est - spécifique, comme <literal>header</literal> contenant - l'entête de l'enregistrement, ou <literal>path</literal> - contenant le chemin d'accès. Ce qui suit est un + spécifique, comme <literal>header</literal> + (l'entête de l'enregistrement), ou <literal>path</literal> + (le chemin d'accès). Ce qui suit est un exemple d'événement <literal>execve</literal>:</para> @@ -725,90 +733,71 @@ trailer,133</programlisting> <para>Cet audit représente un appel réussi à <literal>execve</literal>, lors de l'exécution - de la commande <literal>finger doug</literal>. Le champ pour - les arguments contient la ligne de commande + de la commande <literal>finger doug</literal>. Le champ + <literal>exec arg</literal> contient la ligne de commande présentée par l'interpréteur de commandes au noyau. Le champ <literal>path</literal> contient le chemin d'accès à l'exécutable comme le voit le noyau. Le champ <literal>attribute</literal> décrit le - binaire, et en particulier, précise les permissions sur - le fichier qui permettent de déterminer si - l'application avait les permissions <quote>setuid</quote>. Le - champ <literal>subject</literal> décrit le sujet de - l'audit, et conserve sous la forme d'une séquence - l'identifiant (ID) de l'utilisateur audité, les + binaire et précise les permissions sur le fichier. Le champ + <literal>subject</literal> conserve l'identifiant (ID) de + l'utilisateur audité, les identifiants groupe et utilisateur effectifs, les identifiants groupe et utilisateur réels, l'ID du processus, l'ID de la session, l'ID du port, et l'adresse correspondant à la session. Notez que l'ID de l'utilisateur pour l'audit - diffère de l'ID réel de l'utilisateur: + diffère de l'ID réel de l'utilisateur étant donné que l'utilisateur <systemitem class="username">robert</systemitem> est passé en <systemitem class="username">root</systemitem> avant l'exécution de la commande, mais l'audit se fait par rapport à - l'utilisateur authentifié original. Et enfin, le champ + l'utilisateur authentifié original. Le champ <literal>return</literal> indique la réussite de - l'exécution, et le champ <literal>trailer</literal> + l'exécution et le champ <literal>trailer</literal> termine l'enregistrement.</para> - <para>Sous &os; 6.3 et versions suivantes, - <command>praudit</command> supporte également un format - de sortie XML, qui peut être sélectionné - en utilisant l'argument <option>-x</option>.</para> - </sect2> - - <sect2> - <title>Réduction des traces d'audit</title> + <para>Le format de sortie <acronym>XML</acronym> est également *** DIFF OUTPUT TRUNCATED AT 1000 LINES ***
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?201507051640.t65Ge7Zw025834>