Comments on: Provvedimento del garante sugli Amministratori di sistema http://blog.maurizio.proietti.name/2009/10/29/provvedimento-del-garante-sugli-amministratori-di-sistema/ Il blog tecnico di Maurizio Proietti a Prato 59100. Info e configurazioni linux microsoft Thu, 02 Sep 2010 09:05:28 +0000 http://wordpress.org/?v=2.9.2 hourly 1 By: gilas http://blog.maurizio.proietti.name/2009/10/29/provvedimento-del-garante-sugli-amministratori-di-sistema/comment-page-2/#comment-222 gilas Thu, 02 Sep 2010 09:05:28 +0000 http://blog.maurizio.proietti.name/?p=404#comment-222 Le istruzioni per l'attivazione dello script legato al pipe generano errori sotto debian lenny; questa la riga per adattare lo script: cat $pipe | egrep '.Connect|Quit.' | logger -p local1.info -t mysql (quindi niente -f o f come parametro 'cat' e apici per le condizioni egrep) a me ora funziona Le istruzioni per l’attivazione dello script legato al pipe generano errori sotto debian lenny; questa la riga per adattare lo script:

cat $pipe | egrep ‘.Connect|Quit.’ | logger -p local1.info -t mysql

(quindi niente -f o f come parametro ‘cat’ e apici per le condizioni egrep)

a me ora funziona

]]> By: Donotletgoogletoindexyourname http://blog.maurizio.proietti.name/2009/10/29/provvedimento-del-garante-sugli-amministratori-di-sistema/comment-page-2/#comment-221 Donotletgoogletoindexyourname Wed, 01 Sep 2010 07:19:26 +0000 http://blog.maurizio.proietti.name/?p=404#comment-221 Thanks for comprehesive tutorial. Saved for future use Thanks for comprehesive tutorial. Saved for future use

]]> By: Gilas http://blog.maurizio.proietti.name/2009/10/29/provvedimento-del-garante-sugli-amministratori-di-sistema/comment-page-2/#comment-218 Gilas Fri, 16 Jul 2010 14:40:00 +0000 http://blog.maurizio.proietti.name/?p=404#comment-218 Intervento #65, admin dice: "admin Friday 30 April 2010 12:54 Questo è chiaro L’amministratore può anche disabilitare i log, fare tutto quel che vuole e riattivare i log senza che nessuno sappia niente " qui c'e' molto da discutere. Infatti io sono 'fresco' di un seminario tenuto presso l'ente dove lavoro e tutto e' stato spiegato chiaramente da un legale esperto di informatica legale e consulente presso un Tribunale. Lui dice che l'unico vero modo per garantire l'inalterabilità dei dati è quello di adottare sistemi di crittografazione a livello del KERNEL, il che significa che molti non potrebbero farlo in quanto nei VPS di norma questo non e' possibile (se non sbaglio corriggeretemi, non son un papa) o comunque e' a pagamento e magari e' difficoltoso, ecc. L'esperto legale ha affermato che utilizzando una chiave per la crittografazione e una chiave per la decrittografazione si puo' fare e che se questa viene spedita a se stessi in busta chiusa e lettera raccomandata "mai aperta", c'e' la certezza e prova che l'ADS non e' in grado di "aprire" i files e modificarli. Certamente qualsiasi altra attività extra-kernel permette all'ADS di manomettere i files a piacimento, ad esempio prendere un file di log, togliere alcune righe per poi fare un md5 e salvarlo su un DVD non riscrivibile, ecc. L'idea pero' di fare una operazione notturna salvando i files di log e quindi in qualche modo "attestando" anche che l'utente root o altri in quello specifico momento non erano collegati e che quindi il documento e' inalterato, per poi spedirlo crittografato altrove non e' per niente male. Intervento #65, admin dice:

“admin

Friday 30 April 2010 12:54
Questo è chiaro
L’amministratore può anche disabilitare i log, fare tutto quel che vuole e riattivare i log senza che nessuno sappia niente ”

qui c’e’ molto da discutere. Infatti io sono ‘fresco’ di un seminario tenuto presso l’ente dove lavoro e tutto e’ stato spiegato chiaramente da un legale esperto di informatica legale e consulente presso un Tribunale.

Lui dice che l’unico vero modo per garantire l’inalterabilità dei dati è quello di adottare sistemi di crittografazione a livello del KERNEL, il che significa che molti non potrebbero farlo in quanto nei VPS di norma questo non e’ possibile (se non sbaglio corriggeretemi, non son un papa) o comunque e’ a pagamento e magari e’ difficoltoso, ecc.

L’esperto legale ha affermato che utilizzando una chiave per la crittografazione e una chiave per la decrittografazione si puo’ fare e che se questa viene spedita a se stessi in busta chiusa e lettera raccomandata “mai aperta”, c’e’ la certezza e prova che l’ADS non e’ in grado di “aprire” i files e modificarli.

Certamente qualsiasi altra attività extra-kernel permette all’ADS di manomettere i files a piacimento, ad esempio prendere un file di log, togliere alcune righe per poi fare un md5 e salvarlo su un DVD non riscrivibile, ecc.

L’idea pero’ di fare una operazione notturna salvando i files di log e quindi in qualche modo “attestando” anche che l’utente root o altri in quello specifico momento non erano collegati e che quindi il documento e’ inalterato, per poi spedirlo crittografato altrove non e’ per niente male.

]]> By: Gilas http://blog.maurizio.proietti.name/2009/10/29/provvedimento-del-garante-sugli-amministratori-di-sistema/comment-page-2/#comment-217 Gilas Fri, 16 Jul 2010 13:54:30 +0000 http://blog.maurizio.proietti.name/?p=404#comment-217 Ottimo articolo. Solo un commento: se il VPS da gestire sta in ARUBA per capirci (basic o professionale), chiudendo il codice di root (quindi lavorando solo con sudo -i, sudo -u) - non ho provato -- presumo non ci sia nemmeno la possibilita' di collegarsi alla porta 4643 con root per effettuare login, quindi monitorare il sistema e poi lanciare un backup. E se ci fosse questa possibilita' forse bisogna salvare anche i files di apache? thanks Ottimo articolo. Solo un commento: se il VPS da gestire sta in ARUBA per capirci (basic o professionale), chiudendo il codice di root (quindi lavorando solo con sudo -i, sudo -u) – non ho provato — presumo non ci sia nemmeno la possibilita’ di collegarsi alla porta 4643 con root per effettuare login, quindi monitorare il sistema e poi lanciare un backup.

E se ci fosse questa possibilita’ forse bisogna salvare anche i files di apache?

thanks

]]> By: Stefano Coletta http://blog.maurizio.proietti.name/2009/10/29/provvedimento-del-garante-sugli-amministratori-di-sistema/comment-page-1/#comment-213 Stefano Coletta Thu, 24 Jun 2010 16:12:22 +0000 http://blog.maurizio.proietti.name/?p=404#comment-213 Incredibile ma vero, su CentOS 5.4 esiste un problema di buffering, mentre su Ubuntu 10.04 no. Ho scoperto la causa dopo varie ore di lavoro. Il problema consiste nel fatto che non viene loggato il Quit da mysql. Indovinate perchè? E' troppo corta la riga! Si risolve mettendo sed -u -e 's/Quit/Quit -------------------------------/g' nella pipe, prima di passarla a logger. Lo so, sembra più voodoo che informatica ma probabilmente esisterà una costante cablata da qualche parte, diversa per ogni distribuzione che definisce la quantità minima di caratteri prima dell'output. Il comando completo diventa quindi, per CentOS: cat /var/log/mysql.log | egrep –line-buffered ‘Connect|Quit’ | sed -u -e 's/Quit/Quit -------------------------------/g' | unbuffer -p logger -p LOCAL1.info -t mysql & Incredibile ma vero, su CentOS 5.4 esiste un problema di buffering, mentre su Ubuntu 10.04 no. Ho scoperto la causa dopo varie ore di lavoro.

Il problema consiste nel fatto che non viene loggato il Quit da mysql.

Indovinate perchè? E’ troppo corta la riga! Si risolve mettendo

sed -u -e ’s/Quit/Quit ——————————-/g’

nella pipe, prima di passarla a logger.

Lo so, sembra più voodoo che informatica ma probabilmente esisterà una costante cablata da qualche parte, diversa per ogni distribuzione che definisce la quantità minima di caratteri prima dell’output.

Il comando completo diventa quindi, per CentOS:

cat /var/log/mysql.log | egrep –line-buffered ‘Connect|Quit’ | sed -u -e ’s/Quit/Quit ——————————-/g’ | unbuffer -p logger -p LOCAL1.info -t mysql &

]]> By: Stefano Coletta http://blog.maurizio.proietti.name/2009/10/29/provvedimento-del-garante-sugli-amministratori-di-sistema/comment-page-1/#comment-212 Stefano Coletta Thu, 24 Jun 2010 13:50:08 +0000 http://blog.maurizio.proietti.name/?p=404#comment-212 Altra cosa, se si usa la FIFO è necessario utilizzare un programma come unbuffer (del pacchetto expect), con l'opzione -p, per risolvere i problemi di buffering dei comandi in pipe. Quindi la riga diventa: cat /var/log/mysql.log | egrep --line-buffered ‘Connect|Quit’ | unbuffer -p logger -p LOCAL1.info -t mysql & Altra cosa, se si usa la FIFO è necessario utilizzare un programma come unbuffer (del pacchetto expect), con l’opzione -p, per risolvere i problemi di buffering dei comandi in pipe. Quindi la riga diventa:

cat /var/log/mysql.log | egrep –line-buffered ‘Connect|Quit’ | unbuffer -p logger -p LOCAL1.info -t mysql &

]]> By: admin http://blog.maurizio.proietti.name/2009/10/29/provvedimento-del-garante-sugli-amministratori-di-sistema/comment-page-1/#comment-211 admin Wed, 23 Jun 2010 07:33:01 +0000 http://blog.maurizio.proietti.name/?p=404#comment-211 Grazie! Ho aggiornato il post. Saluti. Grazie! Ho aggiornato il post. Saluti.

]]> By: Stefano Coletta http://blog.maurizio.proietti.name/2009/10/29/provvedimento-del-garante-sugli-amministratori-di-sistema/comment-page-1/#comment-210 Stefano Coletta Tue, 22 Jun 2010 16:22:04 +0000 http://blog.maurizio.proietti.name/?p=404#comment-210 Mi permetto di far notare che per mysql l'egrep va corredato dall'opzione --line-buffered altrimenti non funziona correttamente. Mi permetto di far notare che per mysql l’egrep va corredato dall’opzione –line-buffered altrimenti non funziona correttamente.

]]> By: skywalker http://blog.maurizio.proietti.name/2009/10/29/provvedimento-del-garante-sugli-amministratori-di-sistema/comment-page-1/#comment-209 skywalker Fri, 07 May 2010 13:41:53 +0000 http://blog.maurizio.proietti.name/?p=404#comment-209 Blog interessante.Ho implementato come soluzione un server syslog-ng, e sui sistemi wndows server lo snare.Per l'interfaccia di log sto utilizzando un refuso di ex-colleghi ma presto provo phplogcon o splunk. Ho comunque un problema: alcuni utenti hanno nella loro console mmc registrato il componente per gestire il dominio AD e lasciano la console sempre aperta visto che ci lavorano spesso.Il problema è dovuto al fatto che producono migliaia di righe di log (riferite a Login-Logoff).Come posso filtrare effettivamente gli accessi alle macchine da quelli "applicativi"? Blog interessante.Ho implementato come soluzione un server syslog-ng, e sui sistemi wndows server lo snare.Per l’interfaccia di log sto utilizzando un refuso di ex-colleghi ma presto provo phplogcon o splunk.
Ho comunque un problema: alcuni utenti hanno nella loro console mmc registrato il componente per gestire il dominio AD e lasciano la console sempre aperta visto che ci lavorano spesso.Il problema è dovuto al fatto che producono migliaia di righe di log (riferite a Login-Logoff).Come posso filtrare effettivamente gli accessi alle macchine da quelli “applicativi”?

]]> By: admin http://blog.maurizio.proietti.name/2009/10/29/provvedimento-del-garante-sugli-amministratori-di-sistema/comment-page-1/#comment-208 admin Wed, 05 May 2010 21:21:24 +0000 http://blog.maurizio.proietti.name/?p=404#comment-208 ah ah ah !!! dai non scherzare!! :-) Stiamo parlando di DBMS non di giochetti :-) cmq per access (che io sappia) non esiste nulla, e sinceramente non so neppure se rientra nel provvedimento. Saluti ah ah ah !!! dai non scherzare!! :-)
Stiamo parlando di DBMS non di giochetti :-)
cmq per access (che io sappia) non esiste nulla, e sinceramente non so neppure se rientra nel provvedimento.
Saluti

]]> By: Marco http://blog.maurizio.proietti.name/2009/10/29/provvedimento-del-garante-sugli-amministratori-di-sistema/comment-page-1/#comment-207 Marco Tue, 04 May 2010 16:55:52 +0000 http://blog.maurizio.proietti.name/?p=404#comment-207 Bello phplogcon ! :) Grazie. Per i database access è previsto qualcosa? Bello phplogcon ! :) Grazie.
Per i database access è previsto qualcosa?

]]> By: admin http://blog.maurizio.proietti.name/2009/10/29/provvedimento-del-garante-sugli-amministratori-di-sistema/comment-page-1/#comment-206 admin Tue, 04 May 2010 14:36:27 +0000 http://blog.maurizio.proietti.name/?p=404#comment-206 Per gli accessi ai db... dipende dal DBMS. Con mysql una soluzione è quella descritta della name pipe, postgres e oracle dalla 10 in poi gestiscono il syslog nativamente. Per altri casi occorre valutare dbms per dbms. Per la reportistica io ho adottato phplogcon (www.phplogcon.org). Saluti Per gli accessi ai db… dipende dal DBMS.
Con mysql una soluzione è quella descritta della name pipe, postgres e oracle dalla 10 in poi gestiscono il syslog nativamente.
Per altri casi occorre valutare dbms per dbms.

Per la reportistica io ho adottato phplogcon (www.phplogcon.org).

Saluti

]]> By: Marco http://blog.maurizio.proietti.name/2009/10/29/provvedimento-del-garante-sugli-amministratori-di-sistema/comment-page-1/#comment-205 Marco Tue, 04 May 2010 07:16:25 +0000 http://blog.maurizio.proietti.name/?p=404#comment-205 Chiaro, a meno che l'amministratore non abbia accesso alla macchina..! ;) E per l'accesso ai database come può essere gestita la cosa? Il decreto prevede anche questo aspetto.... "Tra gli accessi logici a sistemi e archivi elettronici sono comprese le autenticazioni nei confronti dei data base management systems (DBMS), che vanno registrate." In ultimo, esiste qualche applicativo per leggere in maniera più chiara i log? :) Grazie. Chiaro, a meno che l’amministratore non abbia accesso alla macchina..! ;)
E per l’accesso ai database come può essere gestita la cosa? Il decreto prevede anche questo aspetto….
“Tra gli accessi logici a sistemi e archivi elettronici sono comprese le autenticazioni nei confronti dei data base management systems (DBMS),
che vanno registrate.”
In ultimo, esiste qualche applicativo per leggere in maniera più chiara i log? :)

Grazie.

]]> By: admin http://blog.maurizio.proietti.name/2009/10/29/provvedimento-del-garante-sugli-amministratori-di-sistema/comment-page-1/#comment-204 admin Mon, 03 May 2010 15:37:22 +0000 http://blog.maurizio.proietti.name/?p=404#comment-204 Secondo me non c'è garanzia con NESSUN sistema, perchè un amministratore può far tutto (nel bene e nel male) :-) Secondo me non c’è garanzia con NESSUN sistema, perchè un amministratore può far tutto (nel bene e nel male) :-)

]]> By: Marco http://blog.maurizio.proietti.name/2009/10/29/provvedimento-del-garante-sugli-amministratori-di-sistema/comment-page-1/#comment-203 Marco Mon, 03 May 2010 14:43:49 +0000 http://blog.maurizio.proietti.name/?p=404#comment-203 E quindi non c'è una garanzia con questo sistema, giusto? Può essere comunque utilizzato? E quindi non c’è una garanzia con questo sistema, giusto? Può essere comunque utilizzato?

]]> By: admin http://blog.maurizio.proietti.name/2009/10/29/provvedimento-del-garante-sugli-amministratori-di-sistema/comment-page-1/#comment-202 admin Fri, 30 Apr 2010 11:54:41 +0000 http://blog.maurizio.proietti.name/?p=404#comment-202 Questo è chiaro :-) L'amministratore può anche disabilitare i log, fare tutto quel che vuole e riattivare i log senza che nessuno sappia niente :-) Questo è chiaro :-)
L’amministratore può anche disabilitare i log, fare tutto quel che vuole e riattivare i log senza che nessuno sappia niente :-)

]]> By: Marco http://blog.maurizio.proietti.name/2009/10/29/provvedimento-del-garante-sugli-amministratori-di-sistema/comment-page-1/#comment-201 Marco Fri, 30 Apr 2010 08:16:39 +0000 http://blog.maurizio.proietti.name/?p=404#comment-201 Domanda, pur creando l'md5, l'amministratore di sistema, non potrebbe modificare il file di log e ricreare l'md5 a mano? Quindi vanificando l'operato? Domanda, pur creando l’md5, l’amministratore di sistema, non potrebbe modificare il file di log e ricreare l’md5 a mano?
Quindi vanificando l’operato?

]]>