Comments on: Provvedimento del garante sugli Amministratori di sistema http://blog.maurizio.proietti.name/2009/10/29/provvedimento-del-garante-sugli-amministratori-di-sistema/ Il blog tecnico di Maurizio Proietti a Prato 59100. Info e configurazioni linux microsoft Mon, 14 Nov 2011 08:37:01 +0000 hourly 1 http://wordpress.org/?v=3.1.3 By: ice http://blog.maurizio.proietti.name/2009/10/29/provvedimento-del-garante-sugli-amministratori-di-sistema/comment-page-2/#comment-250 ice Mon, 25 Jul 2011 12:15:58 +0000 http://blog.maurizio.proietti.name/?p=404#comment-250 IMHO questa è la classica/ennesima normativa all'italiana che si risolve un una sorta di autocertificazione un merito però gli va riconosciuto è nella direzione di rendere gli AmministraotriDelegati consapevoli dell'importanza del ruolo dell'amministratore di sistema Solitamente questo ruolo è apprezzato solo quando si verifica una castrofe (dal punto di vista IT) e l'operatore di turno riesce a rendere nuovamente l'azienda operativa mentre un SysAdmin veramente bravo che previene i punti di fail, viene considerato inutile Ho lavorato in aziende assolutamente stupide da questo punto di vista Spesso quando c'erano problemi oltre allo stress di sapere che l'azienda era ferma alla massima concentrazione epr diagnosticare il piu in fretta possibile il problema e al tempo stesso cercare la soluzione che ofsse piu rapida da mettere in pratica e meno invasiva, ti ritorvari il figlio del titolare che ti urlava addosso di sbrigarti perchè l'azienda era ferma in un azienda di servizi del terziario avanzato gli amministratori di sistema dovrebbero avere un ruolo pari a quello del responsabile qualità in un azienda dell'industria manifatturiera IMHO questa è la classica/ennesima normativa all’italiana che si risolve un una sorta di autocertificazione
un merito però gli va riconosciuto
è nella direzione di rendere gli AmministraotriDelegati consapevoli dell’importanza del ruolo dell’amministratore di sistema
Solitamente questo ruolo è apprezzato solo quando si verifica una castrofe (dal punto di vista IT) e l’operatore di turno riesce a rendere nuovamente l’azienda operativa
mentre un SysAdmin veramente bravo che previene i punti di fail, viene considerato inutile
Ho lavorato in aziende assolutamente stupide da questo punto di vista
Spesso quando c’erano problemi oltre allo stress di sapere che l’azienda era ferma alla massima concentrazione epr diagnosticare il piu in fretta possibile il problema e al tempo stesso cercare la soluzione che ofsse piu rapida da mettere in pratica e meno invasiva, ti ritorvari il figlio del titolare che ti urlava addosso di sbrigarti perchè l’azienda era ferma
in un azienda di servizi del terziario avanzato gli amministratori di sistema dovrebbero avere un ruolo pari a quello del responsabile qualità in un azienda dell’industria manifatturiera

]]> By: marco http://blog.maurizio.proietti.name/2009/10/29/provvedimento-del-garante-sugli-amministratori-di-sistema/comment-page-2/#comment-248 marco Mon, 18 Jul 2011 18:02:22 +0000 http://blog.maurizio.proietti.name/?p=404#comment-248 Buongiorno a tutti, ho provato ad applicare la procedura per analizzare mysql ma quando creo lo script e lo inserisco nell'inittab ottengo questo errore: init: Id "7" respawning too fast: disabled for 5 minutes In pratica lo script viene eseguito continuamente creando tantissimi comandi "cat". Ho anche provato a rimuover il ciclo while attorno ma nulla, il problema rimane. A voi non esce? Avete idee? Grazie Buongiorno a tutti,
ho provato ad applicare la procedura per analizzare mysql ma quando creo lo script e lo inserisco nell’inittab ottengo questo errore:
init: Id “7″ respawning too fast: disabled for 5 minutes

In pratica lo script viene eseguito continuamente creando tantissimi comandi “cat”.
Ho anche provato a rimuover il ciclo while attorno ma nulla, il problema rimane.
A voi non esce? Avete idee?
Grazie

]]> By: admin http://blog.maurizio.proietti.name/2009/10/29/provvedimento-del-garante-sugli-amministratori-di-sistema/comment-page-2/#comment-247 admin Mon, 27 Jun 2011 08:05:17 +0000 http://blog.maurizio.proietti.name/?p=404#comment-247 In effetti sono partito dal presuppostyo che un utente che fa login su una macchina e che è nel gruppo wheel (e quindi può fare sudo) sia anche amministratore di sistema. Saluti In effetti sono partito dal presuppostyo che un utente che fa login su una macchina e che è nel gruppo wheel (e quindi può fare sudo) sia anche amministratore di sistema.
Saluti

]]> By: Mario Cozzi http://blog.maurizio.proietti.name/2009/10/29/provvedimento-del-garante-sugli-amministratori-di-sistema/comment-page-2/#comment-246 Mario Cozzi Fri, 24 Jun 2011 13:13:15 +0000 http://blog.maurizio.proietti.name/?p=404#comment-246 Ciao, ti ringrazio per l’articolo molto interessante. Mi sorge però un dubbio: come faccio a discriminare gli accessi dei soli amministratori di sistema ? Se l’utente “pippo”, che fa parte del gruppo "wheel", effettua un login sulla macchina linux “host”, nel log centralizzato vedo che l’utente “pippo” ha effettuato un accesso alla macchina “host”, ma nulla mi dice che “pippo” è un amministratore di quella macchina. Saluti. Ciao,
ti ringrazio per l’articolo molto interessante.
Mi sorge però un dubbio: come faccio a discriminare gli accessi dei soli amministratori di sistema ? Se l’utente “pippo”, che fa parte del gruppo “wheel”, effettua un login sulla macchina linux “host”, nel log centralizzato vedo che l’utente “pippo” ha effettuato un accesso alla macchina “host”, ma nulla mi dice che “pippo” è un amministratore di quella macchina.
Saluti.

]]> By: Ric http://blog.maurizio.proietti.name/2009/10/29/provvedimento-del-garante-sugli-amministratori-di-sistema/comment-page-2/#comment-242 Ric Fri, 08 Apr 2011 09:01:49 +0000 http://blog.maurizio.proietti.name/?p=404#comment-242 Beh se riesco a fare la patch gliela sottopongo con la solita filosofia opensource per evitare di dover ricompilare il tutto ogni volta che escono aggiornamenti. Sperando che gli oracoliani l'accettino ;) Beh se riesco a fare la patch gliela sottopongo con la solita filosofia opensource per evitare di dover ricompilare il tutto ogni volta che escono aggiornamenti.
Sperando che gli oracoliani l’accettino ;)

]]> By: admin http://blog.maurizio.proietti.name/2009/10/29/provvedimento-del-garante-sugli-amministratori-di-sistema/comment-page-2/#comment-241 admin Thu, 07 Apr 2011 23:23:18 +0000 http://blog.maurizio.proietti.name/?p=404#comment-241 sarebbe una manna... rimarrebbe il "problema" di doverla ricontrollare e riapplicare ad ogni aggiornamento rilasciato da mysql ufficiale. Ma sarebbe una buona cosa. Fammi sapere se procedi con l'idea, mi interesserebbe molto. Saluti sarebbe una manna…
rimarrebbe il “problema” di doverla ricontrollare e riapplicare ad ogni aggiornamento rilasciato da mysql ufficiale.
Ma sarebbe una buona cosa.
Fammi sapere se procedi con l’idea, mi interesserebbe molto.
Saluti

]]> By: admin http://blog.maurizio.proietti.name/2009/10/29/provvedimento-del-garante-sugli-amministratori-di-sistema/comment-page-2/#comment-240 admin Thu, 07 Apr 2011 23:19:28 +0000 http://blog.maurizio.proietti.name/?p=404#comment-240 Hai perfettamente ragione! è un provvedimento del tutto inutile. Personalmente penso che l'amministratore di sistema (in quanto tale) possa fare TUTTO sui sistemi che gestisce e neppure un simile provvedimento glielo potrebbe impedire. Basti pensare che se voglio fare un macello stacco il cavo di rete, stoppo il logger, faccio un gran macello e riattivo tutto. E poi elimino tutti i log locali... (giusto x fare un esempio) Questa è una delle tante ca***te scritte da chi non ne sa nulla e vuole pararsi il cu*o. Per la serie "la norma l'abbiamo fatta, se non è applicabile affari vostri" bah.... scusa lo sfogo :-/ Hai perfettamente ragione!
è un provvedimento del tutto inutile.
Personalmente penso che l’amministratore di sistema (in quanto tale) possa fare TUTTO sui sistemi che gestisce e neppure un simile provvedimento glielo potrebbe impedire.
Basti pensare che se voglio fare un macello stacco il cavo di rete, stoppo il logger, faccio un gran macello e riattivo tutto.
E poi elimino tutti i log locali…
(giusto x fare un esempio)
Questa è una delle tante ca***te scritte da chi non ne sa nulla e vuole pararsi il cu*o.
Per la serie “la norma l’abbiamo fatta, se non è applicabile affari vostri”
bah….
scusa lo sfogo :-/

]]> By: Ric http://blog.maurizio.proietti.name/2009/10/29/provvedimento-del-garante-sugli-amministratori-di-sistema/comment-page-2/#comment-239 Ric Thu, 07 Apr 2011 21:57:52 +0000 http://blog.maurizio.proietti.name/?p=404#comment-239 Sto pensando di fare una patch per mysql versione italiota che preveda un sistema di logging specifico per certe utenze e con una facility apposita (solo Connect e Quit). Penso sia la soluzione più efficace, se vi va poi vi passo il tutto e mi fate anche da betatester ;) Sto pensando di fare una patch per mysql versione italiota che preveda un sistema di logging specifico per certe utenze e con una facility apposita (solo Connect e Quit).

Penso sia la soluzione più efficace, se vi va poi vi passo il tutto e mi fate anche da betatester ;)

]]> By: Ric http://blog.maurizio.proietti.name/2009/10/29/provvedimento-del-garante-sugli-amministratori-di-sistema/comment-page-2/#comment-238 Ric Thu, 07 Apr 2011 17:54:30 +0000 http://blog.maurizio.proietti.name/?p=404#comment-238 https://code.google.com/p/memcached/wiki/NewProgrammingFAQ#How_do_I_authenticate? Ovviamente questo da noi comporterebbe l'arresto.... :D https://code.google.com/p/memcached/wiki/NewProgrammingFAQ#How_do_I_authenticate?

Ovviamente questo da noi comporterebbe l’arresto…. :D

]]> By: Ric http://blog.maurizio.proietti.name/2009/10/29/provvedimento-del-garante-sugli-amministratori-di-sistema/comment-page-2/#comment-237 Ric Thu, 07 Apr 2011 17:34:06 +0000 http://blog.maurizio.proietti.name/?p=404#comment-237 Oggi ho sentito il garante della privacy e la risposta di base è: C'è questa norma, va rispettata. Se con il prodotto che usi questo comporta una perdita di performance, forse è meglio pensare ad un altro sw. Il problema è grande però: uno deve farsi il know-how, fare delle migrazioni, testare, formare il personale, ecc... di sicuro aziende con Facebook in italia non potrebbero mai nascere... Facebook uses MySQL to process 13 million queries per second http://www.readwriteweb.com/hack/2010/11/facebook-mysql-scale.php E questo dispiace, mette tristezza. Anche perchè personalmente trovo il tutto molto inutile. Basti pensare ad una sessione aperta sotto screen, server mysql sempre acceso, l'samministratore di sistema si logga quindi una volta all'anno, le query non vengono loggate, se uno vuol fare porcate le fa. Chi vuol essere in regola ha dei costi più. Vabbeh scusa lo sfogo Oggi ho sentito il garante della privacy e la risposta di base è:

C’è questa norma, va rispettata. Se con il prodotto che usi questo comporta una perdita di performance, forse è meglio pensare ad un altro sw.

Il problema è grande però: uno deve farsi il know-how, fare delle migrazioni, testare,
formare il personale, ecc… di sicuro aziende con Facebook in italia non potrebbero mai nascere…

Facebook uses MySQL to process 13 million queries per second
http://www.readwriteweb.com/hack/2010/11/facebook-mysql-scale.php

E questo dispiace, mette tristezza. Anche perchè personalmente trovo il tutto molto inutile. Basti pensare ad una sessione aperta sotto screen, server mysql sempre acceso, l’samministratore di sistema si logga quindi una volta all’anno, le query non vengono loggate, se uno vuol fare porcate le fa. Chi vuol essere in regola ha dei costi più.

Vabbeh scusa lo sfogo

]]> By: admin http://blog.maurizio.proietti.name/2009/10/29/provvedimento-del-garante-sugli-amministratori-di-sistema/comment-page-2/#comment-236 admin Thu, 07 Apr 2011 16:37:55 +0000 http://blog.maurizio.proietti.name/?p=404#comment-236 hai ragione, purtroppo con mysql non ci sono alternative :-( hai ragione, purtroppo con mysql non ci sono alternative :-(

]]> By: Ric http://blog.maurizio.proietti.name/2009/10/29/provvedimento-del-garante-sugli-amministratori-di-sistema/comment-page-2/#comment-235 Ric Thu, 07 Apr 2011 15:33:42 +0000 http://blog.maurizio.proietti.name/?p=404#comment-235 Ma con "log=/var/log/mysql.log" io abilito il logging di tutto, query comprese. Una roba del genere fa salire il carico di una macchina in modo esponenziale, o sbaglio ? Se poi devo anche mettermi a filtrare Connect/Quit e inviarle ad un syslog centralizzato... è un bel costo in termini di risorse ! :) Ma con “log=/var/log/mysql.log” io abilito il logging di tutto, query comprese.

Una roba del genere fa salire il carico di una macchina in modo esponenziale, o sbaglio ?

Se poi devo anche mettermi a filtrare Connect/Quit e inviarle ad un syslog centralizzato… è un bel costo in termini di risorse ! :)

]]> By: admin http://blog.maurizio.proietti.name/2009/10/29/provvedimento-del-garante-sugli-amministratori-di-sistema/comment-page-2/#comment-227 admin Mon, 18 Oct 2010 06:50:58 +0000 http://blog.maurizio.proietti.name/?p=404#comment-227 Scusa ma non capisco... la named pipe non è un file, ma un "buffer" temporaneo. Non può duventare enorme perchè non archivia nulla serve solo da "tramite" per il logger. Ciao Scusa ma non capisco… la named pipe non è un file, ma un “buffer” temporaneo. Non può duventare enorme perchè non archivia nulla serve solo da “tramite” per il logger.
Ciao

]]> By: Gilas http://blog.maurizio.proietti.name/2009/10/29/provvedimento-del-garante-sugli-amministratori-di-sistema/comment-page-2/#comment-226 Gilas Fri, 15 Oct 2010 15:13:09 +0000 http://blog.maurizio.proietti.name/?p=404#comment-226 Altri problemi, registrati in numerose prove sotto DEBIAN LENNY; dando il comando: cat $pipe | egrep ‘.Connect|Quit.’ | logger -p local1.info -t mysql creata correttamente la pipe come da istruzioni, ogni volta il file viene ricorsivamente riempito con i contenuti precedenti. Non sembra una buona soluzione perche' viene creato un file di log ENORME. Altri problemi, registrati in numerose prove sotto DEBIAN LENNY; dando il comando:

cat $pipe | egrep ‘.Connect|Quit.’ | logger -p local1.info -t mysql

creata correttamente la pipe come da istruzioni, ogni volta il file viene ricorsivamente riempito con i contenuti precedenti. Non sembra una buona soluzione perche’ viene creato un file di log ENORME.

]]> By: admin http://blog.maurizio.proietti.name/2009/10/29/provvedimento-del-garante-sugli-amministratori-di-sistema/comment-page-2/#comment-225 admin Tue, 21 Sep 2010 15:36:53 +0000 http://blog.maurizio.proietti.name/?p=404#comment-225 Un utente ha chiesto: "Ciao, solo un informazione come si abilita l’audit di un file server?" Un utente ha chiesto:
“Ciao, solo un informazione come si abilita l’audit di un file server?”

]]> By: gilas http://blog.maurizio.proietti.name/2009/10/29/provvedimento-del-garante-sugli-amministratori-di-sistema/comment-page-2/#comment-222 gilas Thu, 02 Sep 2010 09:05:28 +0000 http://blog.maurizio.proietti.name/?p=404#comment-222 Le istruzioni per l'attivazione dello script legato al pipe generano errori sotto debian lenny; questa la riga per adattare lo script: cat $pipe | egrep '.Connect|Quit.' | logger -p local1.info -t mysql (quindi niente -f o f come parametro 'cat' e apici per le condizioni egrep) a me ora funziona Le istruzioni per l’attivazione dello script legato al pipe generano errori sotto debian lenny; questa la riga per adattare lo script:

cat $pipe | egrep ‘.Connect|Quit.’ | logger -p local1.info -t mysql

(quindi niente -f o f come parametro ‘cat’ e apici per le condizioni egrep)

a me ora funziona

]]> By: Donotletgoogletoindexyourname http://blog.maurizio.proietti.name/2009/10/29/provvedimento-del-garante-sugli-amministratori-di-sistema/comment-page-2/#comment-221 Donotletgoogletoindexyourname Wed, 01 Sep 2010 07:19:26 +0000 http://blog.maurizio.proietti.name/?p=404#comment-221 Thanks for comprehesive tutorial. Saved for future use Thanks for comprehesive tutorial. Saved for future use

]]>