\section*{Consid\'erations sur la s\'ecurit\'e de Bacula}
\label{_ChapterStart14}
-\index[general]{Bacula!Consid\'erations sur la s\'ecurit\'e de }
-\index[general]{Consid\'erations sur la s\'ecurit\'e de Bacula }
+\index[general]{Bacula!Consid\'erations sur la s\'ecurit\'e de}
+\index[general]{Consid\'erations sur la s\'ecurit\'e de Bacula}
+\index[general]{S\'ecurit\'e}
\addcontentsline{toc}{section}{Consid\'erations sur la s\'ecurit\'e de Bacula}
\begin{itemize}
-\item La sécurité, c'est de pouvoir restaurer vos fichiers, aussi, lisez
+\item La s\'ecurit\'e, c'est de pouvoir restaurer vos fichiers, aussi, lisez
attentivement le chapitre \ilink{Critical Items Chapter}{Critical} de
ce manuel.
\item Le client ({\bf bacula-fd}) doit \^etre ex\'ecut\'e en tant que root
\item Il n'est pas n\'ecessaire d'ex\'ecuter le Storage Daemon en tant que
root, mais vous devez vous assurer qu'l peut utiliser le lecteur de bandes,
dont l'acc\`es est presque toujours r\'eserv\'e \`a root par d\'efaut.
- De plus, si vous n'exécutez pas le Storage Daemon en tant que root, il sera
- dans l'incapacité de régler automatiquement les paramètres de votre lecteur
- de bandes. En effet, ces fonctions requièrent les droits root sur la plupart
- des systèmes d'exploitation.
+ De plus, si vous n'ex\'ecutez pas le Storage Daemon en tant que root, il sera
+ dans l'incapacit\'e de r\'egler automatiquement les param\`etres de votre lecteur
+ de bandes. En effet, ces fonctions requi\`erent les droits root sur la plupart
+ des syst\`emes d'exploitation.
\item Vous devriez restreindre l'acc\`es au fichiers de configuration de
Bacula, de sorte que les mots de passe ne soient pas lisibles par tous. Les
{\it daemons} {\bf Bacula} sont prot\'eg\'es par des mots de passe et CRAM-MD5
{\bf FDAddress}, ou {\bf SDAddress} dans les fichiers de configurations
respectifs des {\it daemons}
\item Soyez conscient que si vous sauvegardez votre catalogue avec le script
- par défaut, et si l'accès à votre catalogue est protégé par un mot de passe,
- ce dernier est transmis en tant qu'option de ligne de commande à ce script,
- ce qui le rend visible à tout utilisateur du système. Si vous voulez
- sécuriser ce point, vous devez le passer via une variable d'environnement
- ou un fichier sécurisé.
+ par d\'efaut, et si l'acc\`es \`a votre catalogue est prot\'eg\'e par un mot de passe,
+ ce dernier est transmis en tant qu'option de ligne de commande \`a ce script,
+ ce qui le rend visible \`a tout utilisateur du syst\`eme. Si vous voulez
+ s\'ecuriser ce point, vous devez le passer via une variable d'environnement
+ ou un fichier s\'ecuris\'e.
\end{itemize}
-\subsection*{Compatibilité ascendante}
-\index[general]{Compatibilité ascendante}
-\addcontentsline{toc}{subsection}{Compatibilité ascendante}
+\subsection*{Compatibilit\'e ascendante}
+\index[general]{Compatibilit\'e ascendante}
+\addcontentsline{toc}{subsection}{Compatibilit\'e ascendante}
L'un des principaux objectifs de Bacula est de garantir que vous pouvez
-restaurer depuis des cartouches (ou depuis des volumes disque) écrites des années
-auparavant. Ceci implique que chaque nouvelle version de Bacula devrait être
-capable de relire les anciens formats de cartouches. Le premier problème est de
-s'assurer que le matériel fonctionne encore malgré les années, et que les supports
-sont encore valides. Ensuite, votre système d'exploitation doit être capable
-de s'interfacer avec le périphérique et finalement, Bacula doit être capable
-de reconnaître les anciens formats. De tous ces problèmes, nous ne pouvons
-prendre en charge que le dernier, pour les autres, vous devez vous préparer
+restaurer depuis des cartouches (ou depuis des volumes disque) \'ecrites des ann\'ees
+auparavant. Ceci implique que chaque nouvelle version de Bacula devrait \^etre
+capable de relire les anciens formats de cartouches. Le premier probl\`eme est de
+s'assurer que le mat\'eriel fonctionne encore malgr\'e les ann\'ees, et que les supports
+sont encore valides. Ensuite, votre syst\`eme d'exploitation doit \^etre capable
+de s'interfacer avec le p\'eriph\'erique et finalement, Bacula doit \^etre capable
+de reconna\^itre les anciens formats. De tous ces probl\`emes, nous ne pouvons
+prendre en charge que le dernier, pour les autres, vous devez vous pr\'eparer
consciencieusement.
-Depuis les tous premiers stades de Bacula (janvier 2000) jusqu'à aujourd'hui
-(Décembre 2005), Bacula a connu deux formats majeurs d'écriture sur les
-cartouches. Le second format a été introduit dans la version 1.27 en
-novembre 2002, et n'a pas changé depuis. En principe, Bacula devrait encore pouvoir
-lire le format d'origine, mais j'avoue ne pas avoir essayé depuis longtemps...
-
-Bien que le format des cartouches soit fixé, les types de données qui peuvent être
-écrites sur les cartouches sont extensibles, ce qui nous a permis d'ajouter de
-nouvelles fonctionnalités telles que les ACLs, les données Win32, les données
-chiffrées... Naturellement, une ancienne version de Bacula ne saurait lire des
-nouveaux flux de données, mais chaque nouvelle version de Bacula est en principe
+Depuis les tous premiers stades de Bacula (janvier 2000) jusqu'\`a aujourd'hui
+(D\'ecembre 2005), Bacula a connu deux formats majeurs d'\'ecriture sur les
+cartouches. Le second format a \'et\'e introduit dans la version 1.27 en
+novembre 2002, et n'a pas chang\'e depuis. En principe, Bacula devrait encore pouvoir
+lire le format d'origine, mais j'avoue ne pas avoir essay\'e depuis longtemps...
+
+Bien que le format des cartouches soit fix\'e, les types de donn\'ees qui peuvent \^etre
+\'ecrites sur les cartouches sont extensibles, ce qui nous a permis d'ajouter de
+nouvelles fonctionnalit\'es telles que les ACLs, les donn\'ees Win32, les donn\'ees
+chiffr\'ees... Naturellement, une ancienne version de Bacula ne saurait lire des
+nouveaux flux de donn\'ees, mais chaque nouvelle version de Bacula est en principe
capable de lire les anciens flux.
-Si vous voulez être absolument certain de pouvoir lire vos vieilles cartouches,
+Si vous voulez \^etre absolument certain de pouvoir lire vos vieilles cartouches,
vous devriez :
1. Essayer de lire les vieilles cartouches de temps en temps, une fois par an
par exemple.
-2. Conserver une copie statiquement liée de chaque version de Bacula que vous
-avez utilisée en production. Ainsi, si pour quelque raison nous venions à
-abandonner la compatibilité avec les anciens formats de cartouches, vous pourriez
+2. Conserver une copie statiquement li\'ee de chaque version de Bacula que vous
+avez utilis\'ee en production. Ainsi, si pour quelque raison nous venions \`a
+abandonner la compatibilit\'e avec les anciens formats de cartouches, vous pourriez
toujours remettre en service une vieille copie de Bacula...
Le second point est probablement excessif, en toute rigueur, il pourrait vous
\subsection*{Configurer et tester TCP Wrappers}
\index[general]{Configurer et tester TCP Wrappers}
\index[general]{Bacula!Configurer et tester TCP Wrappers}
+\index[general]{TCP Wrappers}
+\index[general]{Wrappers!TCP}
+\index[general]{libwrappers}
\addcontentsline{toc}{subsection}{Configurer et tester TCP Wrappers}
Les TCP Wrappers sont impl\'ement\'es si vous les activez lors de la
/etc/hosts.allow} car elle stopperait les {\it daemons} Bacula lorsqu'une
connection est refus\'ee.
-Dan Languille a fourni les informations suivantes concernant la configuration
+Le nom exact du paquet requis pour compiler avec le support TCP wrappers
+d\'epend du syst\`eme. Il s'agit, par exemple, de tcpd-devel sur SuSE, et de
+tcp\_wrappers sur RedHat.
+
+Dan Langille a fourni les informations suivantes concernant la configuration
et les tests de TCP Wrappers avec Bacula.
Si vous lisez hosts\_options(5), vous verrez une option nomm\'ee twist. Cette
\end{verbatim}
\normalsize
-Vous devez accorder les noms des {\it daemons} \`a ceux de leurs fichiers de
-configuration respectifs. Dans ces exemples, le Director est undef-dir, le
-Storage Daemon est undef-sd, et le File Daemon est undef-fd. Ajustez pour
-coller \`a votre configuration. L'exemple de r\`egles ci-dessus suppose que
+Vous devez accorder les noms des {\it daemons} \`a ceux sp\'ecifi\'es dans leurs
+fichiers de configuration respectifs. Ce ne sont, en g\'en\'eral, pas les noms
+des fichiers binaires des {\it daemons}. Il n'est pas possible d'utiliser
+les noms des binaires car plusieurs {\it daemons} peuvent \^etre ex\'ecut\'es
+sur une machine avec des fichiers de configuration distincts.
+
+Dans ces exemples, le Director est undef-dir, le
+Storage Daemon est undef-sd, et le File Daemon est undef-fd. Ajustez ces noms pour
+qu'ils conviennent \`a votre configuration. L'exemple de r\`egles ci-dessus suppose que
SD, FD et DIR sont tous sur la m\^eme machine. Si vous avez un client FD
distant, il vous suffira de placer le jeu de r\`egles suivant sur ce client :
\end{verbatim}
\normalsize
-\subsection*{Executer Bacula sans \^etre root}
-\index[general]{Root!Executer Bacula sans \^etre }
-\index[general]{Executer Bacula sans \^etre root }
-\addcontentsline{toc}{subsection}{Executer Bacula sans \^etre root}
+\subsection*{Ex\'ecuter Bacula sans \^etre root}
+\index[general]{Root!Ex\'ecuter Bacula sans \^etre }
+\index[general]{Ex\'ecuter Bacula sans \^etre root }
+\addcontentsline{toc}{subsection}{Ex\'ecuter Bacula sans \^etre root}
Voici quelques recommandations de Dan Languille :
{\tt bacula} pour l'un et l'autre me semble une bonne id\'ee.
Le port FreeBSD cr\'ee cet utilisateur et ce groupe pour vous. (En fait, au
-moment ou j'\'ecris ces lignes, ce n'est pas encore le cas, mais {\c c}a le
+moment ou j'\'ecris ces lignes, ce n'est pas encore le cas, mais \c{c}a le
sera bient\^ot). Voici \`a quoi ressemblent ces entr\'ees sur mon portable
FreeBSD :
projects / bacula / docs / blobdiff