6. Sécurité vs Performance (AppArmor, journaux, audit)

Maintenir un niveau de sécurité adéquat sans pénaliser excessivement les performances du système.

AppArmor Module de sécurité du noyau Journaux (journald/rsyslog) Collecte des événements système auditd Service d'audit du système

- Ne pas désactiver AppArmor sans une compréhension complète ou une alternative de sécurité - Réduire la verbosité des journaux pour limiter les écritures disque et la consommation de CPU - Limiter l'activité d'auditd si l'audit complet n'est pas requis pour éviter une surcharge I/O

- Désactiver AppArmor sur des systèmes critiques, créant des vulnérabilités - Laisser les journaux système trop détaillés, ce qui peut saturer l'espace disque et ralentir le système - Activer l'audit complet en production sans filtrage, générant un volume de données ingérable

Serveurs de production critiques : AppArmor configuré avec des profils restrictifs; journaux avec niveaux de verbosité 'warning' ou 'error' Serveurs légers / VMs : Réduire la verbosité des journaux au strict nécessaire; désactiver auditd si aucune exigence d'audit spécifique Poste de travail : AppArmor par défaut; journaux avec une rétention limitée

sudo aa-status # Vérifier l'état d'AppArmor sudo journalctl --vacuum-size=500M # Limiter la taille des journaux sudo systemctl disable auditd.service # Désactiver auditd

sudo aa-status journalctl --disk-usage sudo systemctl status auditd sudo nano /etc/rsyslog.conf # Modifier la configuration de rsyslog

- https://wiki.ubuntu.com/AppArmor - https://man7.org/linux/man-pages/man8/systemd-journald.service.8.html - https://man7.org/linux/man-pages/man8/auditd.8.html