Chapitre 17. Audit des événements relatifs à la sécurité du système

Ecrit par Tom Rhodes et Robert Watson.
Table des matières
17.1. Synopsis
17.2. Mots-clés utilisés dans ce chapitre
17.3. Installation du support pour les audits
17.4. Configuration de l'audit
17.5. Administration du système d'audit

Version française de Marc Fonvieille .

17.1. Synopsis

FreeBSD 6.2 et les versions suivantes disposent d'un support pour l'audit d'événements relatifs à la sécurité du système. L'audit d'événements permet un enregistrement fiable et configurable d'une grande variété d'événements système en rapport avec la sécurité, parmi lesquels les ouvertures de session, les modifications de la configuration, et les accès aux fichiers et au réseau. Ces enregistrements ou journaux peuvent être d'une très grande aide pour la surveillance d'un système, pour la détection d'intrusion, et les analyses post-mortem. FreeBSD implémente l'API et le format de fichiers BSM publiés par Sun™ qui sont interopérables avec les implémentations d'audits de Solaris™ de Sun™ et de Mac OS® X d'Apple®.

Ce chapitre se concentre sur l'installation et la configuration de l'audit des événements. Il explique les stratégies utilisées pour l'audit, et propose un exemple de configuration.

Après la lecture de ce chapitre, vous saurez:

  • Ce qu'est l'audit d'événements et comment cela fonctionne.

  • Comment configurer l'audit d'événements sous FreeBSD pour les utilisateurs et les processus.

  • Comment lire une trace d'audit en utilisant les outils de réduction et de lecture.

Avant de lire ce chapitre, vous devrez:

Avertissement:

La fonctionnalité d'audit sous FreeBSD 6.X est considérée comme expérimentale, aussi un déploiement en production ne devrait intervenir qu'après avoir considéré avec prudence les risques découlant de l'utilisation de logiciels expérimentaux. Parmi les limitations connues, on peut citer le fait que tous les événements systèmes en rapport avec la sécurité ne peuvent pas être soumis à un audit, et que certains mécanismes d'ouverture de session, comme les gestionnaires de procédures de connexions basés sur X11 et des « démons » tiers, ne permettent pas une configuration correcte de l'audit pour les ouvertures de session utilisateur.

Avertissement:

Le système d'audit des événements permet la génération d'enregistrements détaillés de l'activité du système: sur un système occupé, un fichier journal d'audit peut être très important quand le système est configuré pour un haut niveau de détail, dépassant plusieurs gigaoctets par semaine sur certaines configurations. Les administrateurs système devraient prendre en compte les besoins en espace disque associés avec les configurations d'audit à haut niveau de détail. Par exemple, il peut être recommandé de dédier un système de fichiers à l'arborescence /var/audit de manière à ce que les autres systèmes de fichiers ne soient pas affectés si le système de fichiers pour les audits est plein.

Ce document, ainsi que d'autres peut être téléchargé sur ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/

Pour toutes questions à propos de FreeBSD, lisez la documentation avant de contacter <questions@FreeBSD.org>.

Pour les questions sur cette documentation, contactez <doc@FreeBSD.org>.