os/doc
3
0
Fork 0
Code Issues Pull requests Projects Releases Wiki Activity

Add new translated chapter.

Browse source
This commit is contained in:
Marc Fonvieille 2007-04-30 10:58:35 +00:00
parent 719a1d329a
commit be675d769e
Notes: svn2git 2020-12-08 03:00:23 +00:00 
svn path=/head/; revision=30124
1 changed files with 617 additions and 0 deletions

617
fr_FR.ISO8859-1/books/handbook/jails/chapter.sgml Normal file
View file

@ -0,0 +1,617 @@
<!--
The FreeBSD Documentation Project
The FreeBSD French Documentation Project
$FreeBSD$
Original revision: 1.9
-->
<chapter id="jails">
<chapterinfo>
<authorgroup>
<author>
<firstname>Matteo</firstname>
<surname>Riondato</surname>
<contrib>Contribution de </contrib>
</author>
</authorgroup>
</chapterinfo>
<title>Environnements jail</title>
&trans.a.fonvieille;
<indexterm><primary>jails</primary></indexterm>
<sect1 id="jails-synopsis">
<title>Synopsis</title>
<para>Ce chapitre expliquera ce que sont les environnements jail
(prisons) et comment les utiliser. Les environnements jail,
souvent pr&eacute;sent&eacute;s comme une am&eacute;lioration et
un remplacement des <emphasis>environnements
chroot&eacute;s</emphasis> sont des outils tr&egrave;s puissants
pour les administrateurs syst&egrave;me, mais certaines de leurs
fonctionnalit&eacute;s de base peuvent &ecirc;tre
&eacute;galement utiles aux utilisateurs avanc&eacute;s.</para>
<para>Apr&egrave;s avoir lu ce chapitre, vous
conna&icirc;trez:</para>
<itemizedlist>
<listitem>
<para>Ce qu'est un environnement jail, et quelle
utilit&eacute; il peut avoir sur une installation &os;.</para>
</listitem>
<listitem>
<para>Comment construire, d&eacute;marrer et arr&ecirc;ter un
environnement jail.</para>
</listitem>
<listitem>
<para>Les bases de l'administration d'un environnement jail,
de l'int&eacute;rieur et de l'ext&eacute;rieur de
l'environnement.</para>
</listitem>
</itemizedlist>
<para>D'autres sources d'information utiles concernant les
environnements jail sont:</para>
<itemizedlist>
<listitem>
<para>La page de manuel &man.jail.8;. C'est la
r&eacute;f&eacute;rence pour l'emploi de l'utilitaire
<command>jail</command> &mdash; l'outil d'administration qui
peut &ecirc;tre utilis&eacute; sous &os; pour d&eacute;marrer,
arr&ecirc;ter, et contr&ocirc;ler les environnements jail
&os;.</para>
</listitem>
<listitem>
<para>Les listes de diffusion et leurs archives. Les archives
de la &a.questions; et d'autres listes h&eacute;berg&eacute;es
par le &a.mailman.lists; contiennent d&eacute;j&agrave;
quantit&eacute; d'information sur les environnements jail. Il
sera toujours conseill&eacute; de chercher dans les archives
ou de poster une nouvelle question sur la liste de diffusion
&a.questions.name;.</para>
</listitem>
</itemizedlist>
</sect1>
<sect1 id="jails-terms">
<title>Termes relatifs aux environnements jail</title>
<para>Pour faciliter la compr&eacute;hension des parties du
syst&egrave;me &os; relatives aux jails, leurs m&eacute;canismes
internes et la mani&egrave;re dont ils interagissent avec le
reste de &os;, les termes suivants seront utilis&eacute;s tout
au long de ce chapitre:</para>
<variablelist>
<varlistentry>
<term>&man.chroot.2; (commande)</term>
<listitem>
<para>Un appel syst&egrave;me &os;, qui modifie le
r&eacute;pertoire racine d'un processus et de tout ses
descendants.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>&man.chroot.2; (environnement)</term>
<listitem>
<para>Environnement des processus pour lesquels
l'emplacement de la racine du syst&egrave;me de fichier a
&eacute;t&eacute; modifi&eacute;e
(<quote>chroot&eacute;e</quote>). Cela comprend les
ressources comme la partie du syst&egrave;me de fichiers qui
est visible, les identifiants utilisateur et groupe qui sont
disponibles, les interfaces r&eacute;seaux et autres
m&eacute;canismes IPC, etc.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>&man.jail.8; (commande)</term>
<listitem>
<para>L'utilitaire syst&egrave;me d'administration qui
permet le lancement de processus &agrave; l'int&eacute;rieur
d'un environnement jail.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>h&ocirc;te (syst&egrave;me, processus, utilisateur,
etc.)</term>
<listitem>
<para>Le syst&egrave;me de contr&ocirc;le d'un environnement
jail. Le syst&egrave;me h&ocirc;te a acc&egrave;s &agrave;
toutes les ressources mat&eacute;rielles disponibles, et
peut contr&ocirc;ler des processus &agrave;
l'ext&eacute;rieur et &agrave; l'int&eacute;rieur d'un
environnement jail. Une des diff&eacute;rences importantes
entre le syst&egrave;me h&ocirc;te et l'environnement jail
est que les limitations qui s'appliquent aux processus du
super-utilisateur &agrave; l'int&eacute;rieur de
l'environnement jail ne s'appliquent pas aux processus du
syst&egrave;me h&ocirc;te.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>h&eacute;berg&eacute; (syst&egrave;me, processus,
utilisateur, etc.)</term>
<listitem>
<para>Un processus, un utilisateur ou toute autre
entit&eacute;, dont l'acc&egrave;s aux ressources est
limit&eacute; par un environnement jail &os;.</para>
</listitem>
</varlistentry>
</variablelist>
</sect1>
<sect1 id="jails-intro">
<title>Introduction</title>
<para>Comme l'administration syst&egrave;me est une t&acirc;che
difficile et d&eacute;routante, de nombreux outils ont
&eacute;t&eacute; d&eacute;velopp&eacute;s pour rendre la vie de
l'administrateur plus simple. Ces outils apportent pour la
plupart des am&eacute;liorations dans la mani&egrave;re dont
sont install&eacute;s, configur&eacute;s et maintenus les
syst&egrave;mes. Une partie des t&acirc;ches d&eacute;volues
&agrave; l'administrateur est la s&eacute;curisation du
syst&egrave;me, de fa&ccedil;on &agrave; ce que le
syst&egrave;me puisse se consacrer aux t&acirc;ches qui lui sont
confi&eacute;es sans toutefois mettre en p&eacute;ril sa propre
s&eacute;curit&eacute;.</para>
<para>Un de ces outils pouvant &ecirc;tre employ&eacute; pour
augmenter la s&eacute;curisation d'un syst&egrave;me &os; sont
les environnements <emphasis>jail</emphasis>. Les
environnements jail ont &eacute;t&eacute; introduits sous
&os;&nbsp;4.X par &a.phk;, mais ils ont &eacute;t&eacute;
fortement am&eacute;lior&eacute;s sous &os;&nbsp;5.X pour en
faire des sous-syst&egrave;mes flexibles et puissants. Des
d&eacute;veloppements sont toujours en cours pour
l'am&eacute;lioration de leur utilit&eacute;, performances,
fiabilit&eacute; et s&eacute;curit&eacute;.</para>
<sect2 id="jails-what">
<title>Qu'est-ce qu'un environnement jail?</title>
<para>Les syst&egrave;mes BSD disposent de l'environnement
&man.chroot.2; depuis l'&eacute;poque de 4.2BSD. L'utilitaire
&man.chroot.8; peut &ecirc;tre employ&eacute; pour changer le
r&eacute;pertoire racine d'un ensemble de processus,
cr&eacute;ant ainsi un environnement s&eacute;curis&eacute; et
s&eacute;par&eacute; du reste du syst&egrave;me. Les
processus cr&eacute;&eacute;s dans l'environnement
chroot&eacute; ne peuvent acc&eacute;der aux fichiers et aux
ressources ext&eacute;rieures &agrave; cet environnement.
Pour cette raison, si un attaquant compromet un service
tournant dans un environnement chroot&eacute;, cela ne devrait
pas lui permettre de compromettre l'int&eacute;gralit&eacute;
du syst&egrave;me. L'utilitaire &man.chroot.8; est parfait
pour des t&acirc;ches simples qui ne demandent pas trop de
flexibilit&eacute; ou de fonctionnalit&eacute;s
avanc&eacute;es et complexes. Depuis l'apparition du concept
d'environnement chroot&eacute;, de nombreuses mani&egrave;res
de s'&eacute;chapper de ces environnements ont
&eacute;t&eacute; d&eacute;couvertes, et bien que cela ait
&eacute;t&eacute; corrig&eacute; dans les versions
r&eacute;centes du noyau &os;, il est clair que
l'environnement &man.chroot.2; n'est pas la solution
id&eacute;ale pour la s&eacute;curisation des services. Un
nouveau sous-syst&egrave;me devait &ecirc;tre
impl&eacute;ment&eacute;.</para>
<para>Ceci est une des raisons principales &agrave; l'origine du
d&eacute;veloppement de l'environnement
<emphasis>jail</emphasis>.</para>
<para>Les environnements jail am&eacute;liorent de plusieurs
mani&egrave;res le concept d'environnement &man.chroot.2;.
Dans un environnement &man.chroot.2; traditionnel, les
processus sont ne sont limit&eacute;s que dans la partie du
syst&egrave;me de fichiers &agrave; laquelle ils ont
acc&egrave;s. Le reste des ressources syst&egrave;me (comme
l'ensemble des utilisateurs syst&egrave;me, les processus en
cours d'ex&eacute;cution, ou le r&eacute;seau) est
partag&eacute; par les processus de l'environnement
chroot&eacute; et les processus du syst&egrave;me h&ocirc;te.
L'environnement jail &eacute;tend ce mod&egrave;le en
virtualisant non seulement l'acc&egrave;s au syst&egrave;me de
fichiers mais &eacute;galement l'ensemble des utilisateurs, la
partie r&eacute;seau du noyau &os; et quelques autres
&eacute;l&eacute;ments du syst&egrave;me. Un ensemble plus
complet de contr&ocirc;les fins pour optimiser l'acc&egrave;s
&agrave; un environnement jail est d&eacute;crit dans la <xref
linkend="jails-tuning">.</para>
<para>Un environnement jail est caract&eacute;ris&eacute; par
quatre &eacute;l&eacute;ments:</para>
<itemizedlist>
<listitem>
<para>Une arborescence de r&eacute;pertoires &mdash; le
point d'acc&egrave;s &agrave; l'environnement jail. Une
fois &agrave; l'int&eacute;rieur de l'environnement jail, un
processus ne peut s'&eacute;chapper hors de cette
arborescence. Les traditionnels probl&egrave;mes de
s&eacute;curit&eacute; qui gr&egrave;vent l'architecture
&man.chroot.2; d'origine n'affecteront pas les
environnements jail &os;.</para>
</listitem>
<listitem>
<para>Un nom de machine &mdash; le nom de machine qui sera
utilis&eacute; &agrave; l'int&eacute;rieur de
l'environnement jail. Les environnements jails sont
principalement utilis&eacute;s pour l'h&eacute;bergement de
services r&eacute;seaux, par cons&eacute;quent choisir un
nom &eacute;vocateur pour chaque environnement peut
&ecirc;tre d'une grande aide pour l'administrateur
syst&egrave;me.</para>
</listitem>
<listitem>
<para>Une adresse <acronym>IP</acronym> &mdash; elle sera
assign&eacute;e &agrave; l'environnement jail et ne peut, en
aucun cas, &ecirc;tre modifi&eacute;e pendant toute la
dur&eacute;e de vie de l'environnement. L'adresse IP d'un
environnement jail est en g&eacute;n&eacute;ral un alias
d'une interface r&eacute;seau existante, mais cela n'est pas
forc&eacute;ment n&eacute;cessaire.</para>
</listitem>
<listitem>
<para>Une commande &mdash; le chemin d'acc&egrave;s d'un
ex&eacute;cutable &agrave; ex&eacute;cuter &agrave;
l'int&eacute;rieur de l'environnement jail. Il est relatif
au r&eacute;pertoire racine de l'environnement jail, et peut
beaucoup varier, en fonction du type d'environnement jail
mis en oeuvre.</para>
</listitem>
</itemizedlist>
<para>En dehors de cela les environnements jail peuvent avoir
leur propre ensemble d'utilisateurs et leur propre utilisateur
<username>root</username>. Naturellement les pouvoirs de
l'utilisateur <username>root</username> sont limit&eacute;s
&agrave; l'environnement jail et, du point de vue du
syst&egrave;me h&ocirc;te, l'utilisateur
<username>root</username> de l'environnement jail n'est pas un
utilisateur omnipotent. De plus, l'utilisateur
<username>root</username> d'un environnement jail n'est pas
autoris&eacute; &agrave; effectuer des op&eacute;rations
critiques au niveau du syst&egrave;me en dehors de son
environnement &man.jail.8;. Plus d'information au sujet des
possibilit&eacute;s et des restrictions de l'utilisateur
<username>root</username> sera donn&eacute;e dans la <xref
linkend="jails-tuning"> ci-apr&egrave;s.</para>
</sect2>
</sect1>
<sect1 id="jails-build">
<title>Cr&eacute;ation et contr&ocirc;le de l'environnement
jail</title>
<para>Certains administrateurs divisent les environnements jail en
deux cat&eacute;gories: les environnements jails
<quote>complets</quote>, qui ressemblent &agrave; un
v&eacute;ritable syst&egrave;me &os;, et les environnements
jails de <quote>service</quote>, qui sont d&eacute;di&eacute;s
&agrave; une application ou un seul service, et tournant
&eacute;ventuellement avec des privil&egrave;ges. Cette
s&eacute;paration est juste conceptuelle et n'affecte pas la
cr&eacute;ation de l'environnement jail. La page de manuel
&man.jail.8; est tr&egrave;s claire quant &agrave; la
proc&eacute;dure de cr&eacute;ation d'un environnement
jail:</para>
<screen>&prompt.root; <userinput>setenv D <replaceable>/here/is/the/jail</replaceable></userinput>
&prompt.root; <userinput>mkdir -p $D</userinput> <co id="jailpath">
&prompt.root; <userinput>cd /usr/src</userinput>
&prompt.root; <userinput>make world DESTDIR=$D</userinput> <co id="jailworld">
&prompt.root; <userinput>cd etc/</userinput> <footnote><para>Cette
&eacute;tape n'est pas requise sous &os; 6.0 et versions ult&eacute;rieures.</para></footnote>
&prompt.root; <userinput>make distribution DESTDIR=$D</userinput> <co id="jaildistrib">
&prompt.root; <userinput>mount_devfs devfs $D/dev</userinput> <co id="jaildevfs"></screen>
<calloutlist>
<callout arearefs="jailpath">
<para>S&eacute;lectionner un emplacement pour l'environnement
est le meilleur point de d&eacute;part. C'est l'endroit
o&ugrave; l'environnement jail se trouvera dans le
syst&egrave;me de fichiers de la machine h&ocirc;te. Un bon
choix peut &ecirc;tre <filename
role="directory">/usr/jail/<replaceable>jailname</replaceable></filename>,
o&ugrave; <replaceable>jailname</replaceable> est le nom de
machine identifiant l'environnement jail. Le syst&egrave;me
de fichiers <filename role="directory">/usr/</filename>
dispose g&eacute;n&eacute;ralement de suffisamment d'espace
pour le syst&egrave;me de fichiers de l'environnement jail,
qui est pour les environnements <quote>complets</quote>,
essentiellement, une copie de chaque fichier pr&eacute;sent
dans une installation par d&eacute;faut du syst&egrave;me de
base de &os;.</para>
</callout>
<callout arearefs="jailworld">
<para>Cette commande peuplera l'arborescence du
r&eacute;pertoire choisi comme emplacement pour
l'environnement jail avec les binaires, les
biblioth&egrave;ques, les pages de manuel, etc.
n&eacute;cessaires. Tout sera fait selon le style &os;
habituel &mdash; en premier lieu tout est compil&eacute;, puis
ensuite install&eacute; &agrave; l'emplacement voulu.</para>
</callout>
<callout arearefs="jaildistrib">
<para>La cible <maketarget>distribution</maketarget> pour
<application>make</application> installe tous les fichiers de
configuration n&eacute;cessaires. Ou pour faire simple, cette
commande installe tous les fichiers installables du
r&eacute;pertoire <filename
role="directory">/usr/src/etc/</filename> vers le
r&eacute;pertoire <filename role="directory">/etc</filename>
de l'environnement jail: <filename
role="directory">$D/etc/</filename>.</para>
</callout>
<callout arearefs="jaildevfs">
<para>Le montage du syst&egrave;me de fichiers &man.devfs.8;
&agrave; l'int&eacute;rieur d'un environnement jail n'est pas
requis. Cependant, toutes, ou presque toutes les applications
n&eacute;cessitent l'acc&egrave;s &agrave; au moins un
p&eacute;riph&eacute;rique, en fonction du r&ocirc;le de
l'application. Il est vraiment important de contr&ocirc;ler
l'acc&egrave;s aux p&eacute;riph&eacute;riques depuis
l'int&eacute;rieur d'un environnement jail, comme un mauvais
param&eacute;trage pourrait permettre &agrave; quelqu'un de
malintentionn&eacute; de faire de <quote>mauvaises</quote>
choses dans l'environnemane jail. Le contr&ocirc;le sur
&man.devfs.8; est g&eacute;r&eacute; par
l'interm&eacute;diaire d'un ensemble de r&egrave;gles qui est
d&eacute;crit dans les pages de manuel &man.devfs.8; et
&man.devfs.conf.5;.</para>
</callout>
</calloutlist>
<para>Une fois l'environnement jail install&eacute;, il peut
&ecirc;tre lanc&eacute; en employant l'utilitaire &man.jail.8;.
Cet outil requiert obligatoirement quatre arguments qui sont
d&eacute;crits dans la <xref linkend="jails-what">. D'autres
arguments peuvent &eacute;galement &ecirc;tre utilis&eacute;s,
pour par exemple ex&eacute;cuter le processus avec les droits
d'un utilisateur particulier. L'argument
<option><replaceable>command</replaceable></option>
d&eacute;pend du type d'environnement; pour un
<emphasis>syst&egrave;me virtuel</emphasis>,
<filename>/etc/rc</filename> est un bon choix puisque la
s&eacute;quence de d&eacute;marrage d'un v&eacute;ritable
syst&egrave;me &os; sera dupliqu&eacute;e. Pour un
environnement jail de type <emphasis>service</emphasis>, cela
d&eacute;pendra du service ou de l'application qui sera
ex&eacute;cut&eacute; dans l'environnement jail.</para>
<para>Les environnements jails sont souvent lanc&eacute;s au
d&eacute;marrage de la machine et le syst&egrave;me
<filename>rc</filename> de &os; propose une m&eacute;thode
simple pour cela.</para>
<procedure>
<step>
<para>Une liste des environnements jail autoris&eacute;s
&agrave; &ecirc;tre lanc&eacute;s au d&eacute;marrage du
syst&egrave;me devrait &ecirc;tre ajout&eacute;e au fichier
&man.rc.conf.5;:</para>
<programlisting>jail_enable="YES" # Utiliser NO pour d&eacute;sactiver le lancement des environnements jail
jail_list="<replaceable>www</replaceable>" # Liste des noms des environnements jail s&eacute;par&eacute;s par une espace</programlisting>
</step>
<step>
<para>Pour chaque environnement list&eacute; dans
<varname>jail_list</varname>, un ensemble de
param&egrave;tres &man.rc.conf.5;, qui d&eacute;crivent
l'environnement jail, devrait &ecirc;tre
ajout&eacute;:</para>
<programlisting>jail_<replaceable>www</replaceable>_rootdir="/usr/jail/www" # le r&eacute;pertoire racine de l'environnement jail
jail_<replaceable>www</replaceable>_hostname="<replaceable>www</replaceable>.example.org" # le nom de machine de l'environnement jail
jail_<replaceable>www</replaceable>_ip="192.168.0.10" # son adresse IP
jail_<replaceable>www</replaceable>_devfs_enable="YES" # monter devfs dans l'environnement jail
jail_<replaceable>www</replaceable>_devfs_ruleset="<replaceable>www_ruleset</replaceable>" # les r&egrave;gles devfs &agrave; appliquer &agrave; l'environnement jail</programlisting>
<para>Le d&eacute;marrage par d&eacute;faut des environnements
jails, configur&eacute; dans &man.rc.conf.5;,
ex&eacute;cutera la proc&eacute;dure
<filename>/etc/rc</filename> de l'environnement jail, ce qui
suppose que l'environnement est un syst&egrave;me virtuel
complet. Pour les environnements jail de service, la
commande de d&eacute;marrage par d&eacute;faut de
l'environnement devrait &ecirc;tre modifi&eacute;e en
configurant correctement l'option
<varname>jail_<replaceable>jailname</replaceable>_exec_start</varname>.</para>
<note>
<para>Pour une liste compl&egrave;te des options
disponibles, veuillez consulter la page de manuel
&man.rc.conf.5;.</para>
</note>
</procedure>
<para>La procedure <filename>/etc/rc.d/jail</filename> peut
&ecirc;tre utilis&eacute;e pour d&eacute;marrer ou arr&ecirc;ter
un environnement jail &agrave; la main si une entr&eacute;e pour
l'environnement existe dans le fichier
<filename>rc.conf</filename>:</para>
<screen>&prompt.root; <userinput>/etc/rc.d/jail start <replaceable>www</replaceable></userinput>
&prompt.root; <userinput>/etc/rc.d/jail stop <replaceable>www</replaceable></userinput></screen>
<para>Il n'existe pas pour le moment de m&eacute;thode propre pour
arr&ecirc;ter un environnement &man.jail.8;. C'est d&ucirc; au
fait que les commandes normalement employ&eacute;es pour
arr&ecirc;ter proprement un syst&egrave;me ne peuvent &ecirc;tre
utilis&eacute;es &agrave; l'int&eacute;rieur d'un environnement
jail. La meilleur fa&ccedil;on d'arr&ecirc;ter un environnement
jail est de lancer la commande suivante &agrave;
l'int&eacute;rieur de l'environnement ou en utilisant le
programme &man.jexec.8; depuis l'ext&eacute;rieur de
l'environnement:</para>
<screen>&prompt.root; <userinput>sh /etc/rc.shutdown</userinput></screen>
<para>Plus d'information &agrave; ce sujet peut &ecirc;tre
trouv&eacute; dans la page de manuel de &man.jail.8;.</para>
</sect1>
<sect1 id="jails-tuning">
<title>Optimisation et administration</title>
<para>Il existe plusieurs options qui peuvent &ecirc;tre
configur&eacute;es pour n'importe quel environnement jail, et de
nombreuses mani&egrave;res de combiner un syst&egrave;me &os;
h&ocirc;te avec des environnements jail pour donner naissance
&agrave; des applications haut-niveau. Cette section
pr&eacute;sente:</para>
<itemizedlist>
<listitem>
<para>Certaines des options disponibles pour l'optimisation du
fonctionnement et des restrictions de s&eacute;curit&eacute;
impl&eacute;ment&eacute;es par une installation jail.</para>
</listitem>
<listitem>
<para>Des applications de haut niveau pour la gestion des
environnements jail, qui sont disponibles dans le catalogue
des logiciels port&eacute;s, et peuvent &ecirc;tre
utilis&eacute;es pour impl&eacute;menter des environnements
jail complets.</para>
</itemizedlist>
<sect2 id="jails-tuning-utilities">
<title>Outils syst&egrave;mes pour l'optimisation d'un
environnement jail sous &os;</title>
<para>L'optimisation de la configuration d'un environnement jail
se fait principalement par le param&eacute;trage de variables
&man.sysctl.8;. Une sous-cat&eacute;gorie sp&eacute;cifique
de &man.sysctl.8; existe pour toutes les options pertinentes:
la hi&eacute;rarchie <varname>security.jail.*</varname>
d'options du noyau &os;. Ci-dessous est donn&eacute;e une
liste des principales variables relatives aux environnements
jail avec leur valeur par d&eacute;faut. Leurs noms sont
explicites, mais pour plus d'information, veuillez vous
r&eacute;f&eacute;rer aux pages de manuel &man.jail.8; et
&man.sysctl.8;.</para>
<itemizedlist>
<listitem>
<para><varname>security.jail.set_hostname_allowed:
1</varname></para>
</listitem>
<listitem>
<para><varname>security.jail.socket_unixiproute_only:
1</varname></para>
</listitem>
<listitem>
<para><varname>security.jail.sysvipc_allowed:
0</varname></para>
</listitem>
<listitem>
<para><varname>security.jail.enforce_statfs:
2</varname></para>
</listitem>
<listitem>
<para><varname>security.jail.allow_raw_sockets:
0</varname></para>
</listitem>
<listitem>
<para><varname>security.jail.chflags_allowed:
0</varname></para>
</listitem>
<listitem>
<para><varname>security.jail.jailed: 0</varname></para>
</listitem>
</itemizedlist>
<para>Ces variables peuvent &ecirc;tre utilis&eacute;es par
l'administrateur du <emphasis>syst&egrave;me
h&ocirc;te</emphasis> pour ajouter ou retirer certaines
limitations impos&eacute;es par d&eacute;faut &agrave;
l'utilisateur <username>root</username>. Notez que certaines
limitations ne peuvent &ecirc;tre retir&eacute;es.
L'utilisateur <username>root</username> n'est pas
autoris&eacute; &agrave; monter ou d&eacute;monter des
syst&egrave;mes de fichiers &agrave; partir d'un environnement
&man.jail.8;. L'utilisateur <username>root</username> d'un
environnement jail ne peut charger ou modifier des
r&egrave;gles &man.devfs.8;, param&eacute;trer des
r&egrave;gles de pare-feu, ou effectuer des t&acirc;ches
d'administration qui n&eacute;cessitent la modification de
donn&eacute;es du noyau, comme le param&eacute;trage du niveau
de s&eacute;curit&eacute; <varname>securelevel</varname> du
noyau.</para>
<para>Le syst&egrave;me de base de &os; contient un ensemble
d'outils basiques pour afficher les informations au sujet des
environnements jail actifs, pour s'attacher &agrave; un
environnement jail pour lancer des commandes d'administration.
Les commandes &man.jls.8; et &man.jexec.8; font partie du
syst&egrave;me de base de &os; et peuvent &ecirc;tre
utilis&eacute;es pour effectuer les t&acirc;ches simples
suivantes:</para>
<itemizedlist>
<listitem>
<para>Afficher une liste des environnements jail actifs et
leur identifiant (<acronym>JID</acronym>), leur adresse
<acronym>IP</acronym>, leur nom de machine et leur
emplacement.</para>
</listitem>
<listitem>
<para>S'attacher &agrave; un environnement jail actif,
&agrave; partir de son syst&egrave;me h&ocirc;te, et
ex&eacute;cuter une commande &agrave; l'int&eacute;rieur de
l'environnement ou effectuer des t&acirc;ches
d'administration &agrave; l'int&eacute;rieur de
environnement lui-m&ecirc;me. C'est tout
particuli&egrave;rement utile quand l'utilisateur
<username>root</username> veut arr&ecirc;ter proprement un
environnement. L'utilitaire &man.jexec.8; peut
&eacute;galement &ecirc;tre employ&eacute; pour lancer un
interpr&eacute;teur de commandes dans un environnement jail
pour faire de l'administration; par exemple:</para>
<screen>&prompt.root; <userinput>jexec <replaceable>1</replaceable> tcsh</userinput></screen>
</listitem>
</itemizedlist>
</sect2>
<sect2 id="jails-tuning-admintools">
<title>Outils d'administration haut niveau du catalogue des
logiciels port&eacute;s de &os;</title>
<para>Parmi les nombreux utilitaires tierce-partie pour
l'administration des environnements jail, un des plus complet
et utile est <filename
role="package">sysutils/jailutils</filename>. C'est un
ensemble de petites applications qui aident &agrave; la
gestion des environnements &man.jail.8;. Veuillez consulter
sa page Web pour plus d'information.</para>
</sect2>
</sect1>
</chapter>