Version française de Marc Fonvieille
<blackend@FreeBSD.org>
.
FreeBSD dispose d'un support pour l'audit d'événements relatifs à la sécurité du système. L'audit d'événements permet un enregistrement fiable et configurable d'une grande variété d'événements système en rapport avec la sécurité, parmi lesquels les ouvertures de session, les modifications de la configuration, et les accès aux fichiers et au réseau. Ces enregistrements ou journaux peuvent être d'une très grande aide pour la surveillance d'un système, pour la détection d'intrusion, et les analyses post-mortem. FreeBSD implémente l'API et le format de fichiers BSM (Basic Security Module) publiés par Sun™ qui sont interopérables avec les implémentations d'audits de Solaris™ de Sun™ et de Mac OS® X d'Apple®.
Ce chapitre se concentre sur l'installation et la configuration de l'audit des événements. Il explique les stratégies utilisées pour l'audit, et propose un exemple de configuration.
Après la lecture de ce chapitre, vous saurez:
Ce qu'est l'audit d'événements et comment cela fonctionne.
Comment configurer l'audit d'événements sous FreeBSD pour les utilisateurs et les processus.
Comment lire une trace d'audit en utilisant les outils de réduction et de lecture.
Avant de lire ce chapitre, vous devrez:
Comprendre les fondements d'UNIX® et de FreeBSD (Chapitre 4, Quelques bases d'UNIX).
Etre familier avec la configuration et la compilation du noyau (Chapitre 9, Configurer le noyau de FreeBSD).
Avoir quelques notions de sécurité et savoir comment les appliquer à FreeBSD (Chapitre 15, Sécurité).
La fonctionnalité d'audit connaît des limitations. Tous les événements systèmes en rapport avec la sécurité ne peuvent pas être soumis à un audit, et que certains mécanismes d'ouverture de session, comme les gestionnaires de procédures de connexions basés sur Xorg et des « démons » tiers, ne permettent pas une configuration correcte de l'audit pour les ouvertures de session utilisateur.
Le système d'audit des événements
permet la génération d'enregistrements
détaillés de l'activité du système.
Sur un système occupé, un fichier journal d'audit
peut être très important quand le système
est configuré pour un haut niveau de détail,
dépassant plusieurs gigaoctets par semaine sur certaines
configurations. Les administrateurs système devraient
prendre en compte les besoins en espace disque associés
avec les configurations d'audit à haut niveau de
détail. Par exemple, il peut être
recommandé de dédier un système de fichiers
à /var/audit
de
manière à ce que les autres systèmes de
fichiers ne soient pas affectés si le système de
fichiers pour les audits est plein.
Ce document, ainsi que d'autres peut être téléchargé sur ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/
Pour toutes questions à propos de FreeBSD, lisez la
documentation avant de contacter
<questions@FreeBSD.org>.
Pour les questions sur cette documentation, contactez
<doc@FreeBSD.org>.