Commenti a: Soluzione Open Source per log Amministratori di Sistema http://blog.solution.it/soluzione-open-source-per-log-amministratori-di-sistema/ il blog di Paolo Giardini Fri, 16 Jul 2010 15:08:48 +0000 hourly 1 http://wordpress.org/?v=3.0.1 Di: Paolo Giardini http://blog.solution.it/soluzione-open-source-per-log-amministratori-di-sistema/comment-page-1/#comment-1769 Paolo Giardini Fri, 16 Jul 2010 15:08:48 +0000 http://blog.solution.it/?p=549#comment-1769 Ciao Maido. Nessuno garantisce il dato dalla generazione alla fase di conservazione. Il Garante stesso nelle FAQ e nel provvedimento scrive che non si intende richiedere di implementare un sistema rigoroso di controllo, cosa difficile soprattutto nei casi in cui controllato e controllore sono la stessa persona. La masterizzazione è il metodo più semplice per garantire l'inalterabilità del dato una volta registrato. Tutti coloro che rientrano nella definizione di "Amministratore di sistema" (vale la pena di ricordare che AdS non equivale direttamente a "sistemista") sono sottoposti alla medesima norma, ovvero registrazione degli accessi al sistema. In questo caso al DB. Trovi qualche spunto nei commenti del 18 dicembre a questo stesso articolo. Ciao Maido.
Nessuno garantisce il dato dalla generazione alla fase di conservazione. Il Garante stesso nelle FAQ e nel provvedimento scrive che non si intende richiedere di implementare un sistema rigoroso di controllo, cosa difficile soprattutto nei casi in cui controllato e controllore sono la stessa persona. La masterizzazione è il metodo più semplice per garantire l’inalterabilità del dato una volta registrato.
Tutti coloro che rientrano nella definizione di “Amministratore di sistema” (vale la pena di ricordare che AdS non equivale direttamente a “sistemista”) sono sottoposti alla medesima norma, ovvero registrazione degli accessi al sistema. In questo caso al DB. Trovi qualche spunto nei commenti del 18 dicembre a questo stesso articolo.

]]> Di: Maido http://blog.solution.it/soluzione-open-source-per-log-amministratori-di-sistema/comment-page-1/#comment-1768 Maido Fri, 16 Jul 2010 14:38:12 +0000 http://blog.solution.it/?p=549#comment-1768 La soluzione è interessante e anche abbastanza facile da implementare, tra le altre cose esistono distribuzioni leggere che sono già pronte per questo tipo di servizio (zeroshell ad esempio). Ho alcuni dubbi: 1) chi garantisce l'inalterabilità del log tra il momento dell'invido dell'agent di windows al momento della masterizzazione? 2) Il garante se non mi sbagli menziona anche gli amministratori di DB, come vengono controllati? Io ad esempio ho sia DB MSSQL che MYSQL Grazie. La soluzione è interessante e anche abbastanza facile da implementare, tra le altre cose esistono distribuzioni leggere che sono già pronte per questo tipo di servizio (zeroshell ad esempio). Ho alcuni dubbi:
1) chi garantisce l’inalterabilità del log tra il momento dell’invido dell’agent di windows al momento della masterizzazione?
2) Il garante se non mi sbagli menziona anche gli amministratori di DB, come vengono controllati? Io ad esempio ho sia DB MSSQL che MYSQL
Grazie.

]]> Di: Paolo Giardini http://blog.solution.it/soluzione-open-source-per-log-amministratori-di-sistema/comment-page-1/#comment-1758 Paolo Giardini Sat, 10 Jul 2010 14:01:10 +0000 http://blog.solution.it/?p=549#comment-1758 Ciao. Riesco solo ora a rispondere alle domande di Alias... 1) "Sta al Titolare del tratt. decidere se masterizzare tali log, crittografare i dati, ecc." Beh, detto in parole povere è così, ma bisogna tener presente il requisito di inalterabilità e immodificabilità dei log registrati. 2) Vediamo il caso di login su un pc non in rete o comunque dove non è installato un agente per il log remoto.Le disposizioni non cambiano, è sempre necessario effettuare il log dell'accesso ecc. Il discriminante sta nella verifica preventiva sulla presenza o meno di dati personale in tale computer o se il computer viene usato per effettuarne il trattamento. Se non vi è presenza di dati personali, non si applica il provvedimento sugli AdS. 3) Ovviamente per adeguare il tuo sistema al provvedimento poi usare il metodo che preferisci, non vi sono prescrizioni tecniche in questo senso. 4-5) si, conosco la normativa ma è molto più stringente e richiede attività di livello più elevato rispetto al provvedimento sugli AdS. Personalmente non applicherei quanto richiesto per la data retention ai log per AdS. Ciao.
Riesco solo ora a rispondere alle domande di Alias…
1) “Sta al Titolare del tratt. decidere se masterizzare tali log, crittografare i dati, ecc.”
Beh, detto in parole povere è così, ma bisogna tener presente il requisito di inalterabilità e immodificabilità dei log registrati.
2) Vediamo il caso di login su un pc non in rete o comunque dove non è installato un agente per il log remoto.Le disposizioni non cambiano, è sempre necessario effettuare il log dell’accesso ecc. Il discriminante sta nella verifica preventiva sulla presenza o meno di dati personale in tale computer o se il computer viene usato per effettuarne il trattamento. Se non vi è presenza di dati personali, non si applica il provvedimento sugli AdS.
3) Ovviamente per adeguare il tuo sistema al provvedimento poi usare il metodo che preferisci, non vi sono prescrizioni tecniche in questo senso.
4-5) si, conosco la normativa ma è molto più stringente e richiede attività di livello più elevato rispetto al provvedimento sugli AdS. Personalmente non applicherei quanto richiesto per la data retention ai log per AdS.

]]> Di: Alias http://blog.solution.it/soluzione-open-source-per-log-amministratori-di-sistema/comment-page-1/#comment-1754 Alias Mon, 05 Jul 2010 14:59:04 +0000 http://blog.solution.it/?p=549#comment-1754 Caro Paolo, disposizioni per Amm. di Sist.: devo mantenere i log degli ultimi sei mesi che documentano le fasi di login/logout (con successo e con errore) degli AdS ai pc, server e database dell'azienda. Sta al Titolare del tratt. decidere se masterizzare tali log, crittografare i dati, ecc. Domande: 1- corrisponde a quanto sai? 2- cosa dovrei fare per i casi in cui l'AdS dovesse entrare localmente in un pc o server, perchè fuori dal dominio o per altri determinati motivi? L'agente, ad es. Snare, dovrebbe comunque registrare tale accesso? 3- anzichè Snare, o altri client, potrei sfruttare Log Parser (che però non conosco bene)? 4- dovendo adeguarmi anche alle disposizioni per provider (sul data retention), e dovendo questa volta crittografare i dati, verificarne l'integrità, ecc., potrei utilizzare (migliorandolo) ciò che si fa per le dispozioni degli AdS? 5- conosci quest'ultima normativa? Grazie Caro Paolo,

disposizioni per Amm. di Sist.: devo mantenere i log degli ultimi sei mesi che documentano le fasi di login/logout (con successo e con errore) degli AdS ai pc, server e database dell’azienda. Sta al Titolare del tratt. decidere se masterizzare tali log, crittografare i dati, ecc.

Domande:
1- corrisponde a quanto sai?
2- cosa dovrei fare per i casi in cui l’AdS dovesse entrare localmente in un pc o server, perchè fuori dal dominio o per altri determinati motivi? L’agente, ad es. Snare, dovrebbe comunque registrare tale accesso?
3- anzichè Snare, o altri client, potrei sfruttare Log Parser (che però non conosco bene)?
4- dovendo adeguarmi anche alle disposizioni per provider (sul data retention), e dovendo questa volta crittografare i dati, verificarne l’integrità, ecc., potrei utilizzare (migliorandolo) ciò che si fa per le dispozioni degli AdS?
5- conosci quest’ultima normativa?

Grazie

]]> Di: Paolo Giardini http://blog.solution.it/soluzione-open-source-per-log-amministratori-di-sistema/comment-page-1/#comment-1735 Paolo Giardini Tue, 01 Jun 2010 08:46:36 +0000 http://blog.solution.it/?p=549#comment-1735 La garanzia dell'inalterabilità dei log è un requisito che lo stesso Garante ha reso meno stringente, vedi la faq 12, dove scrive che questo <em>"può essere ragionevolmente soddisfatto con la strumentazione software in dotazione, nei casi più semplici, e con l'eventuale esportazione periodica dei dati di log su supporti di memorizzazione non riscrivibili."</em>. Da qui in poi, vale tutto, fino alla marca temporale e firma digitale. La cosa irrinunciabile è un documento, istruzione, lettera di incarico che specifichi bene le mansioni e le modalità di conservazione dei log. La garanzia dell’inalterabilità dei log è un requisito che lo stesso Garante ha reso meno stringente, vedi la faq 12, dove scrive che questo “può essere ragionevolmente soddisfatto con la strumentazione software in dotazione, nei casi più semplici, e con l’eventuale esportazione periodica dei dati di log su supporti di memorizzazione non riscrivibili.”. Da qui in poi, vale tutto, fino alla marca temporale e firma digitale. La cosa irrinunciabile è un documento, istruzione, lettera di incarico che specifichi bene le mansioni e le modalità di conservazione dei log.

]]> Di: Marco http://blog.solution.it/soluzione-open-source-per-log-amministratori-di-sistema/comment-page-1/#comment-1730 Marco Tue, 11 May 2010 06:49:24 +0000 http://blog.solution.it/?p=549#comment-1730 Ciao, grazie della risposta, e problema risolto ;) Se l'amministratore deve avere accesso al log server, perchè lo gestisce lui, quali potrebbero essere le soluzioni per garantire l'immodificabilità? Ciao, grazie della risposta, e problema risolto ;)
Se l’amministratore deve avere accesso al log server, perchè lo gestisce lui, quali potrebbero essere le soluzioni per garantire l’immodificabilità?

]]> Di: Paolo Giardini http://blog.solution.it/soluzione-open-source-per-log-amministratori-di-sistema/comment-page-1/#comment-1727 Paolo Giardini Tue, 04 May 2010 07:53:47 +0000 http://blog.solution.it/?p=549#comment-1727 <em>In risposta a Marco</em> Ciao. Il sistema così come descritto nell'articolo funziona; sei sicuro di aver impostato correttamente il server di syslog sull'agent? Verifica con uno sniffer di rete se i pacchetti vengono spediti, così individui dove si trova il problema. In risposta a Marco
Ciao.
Il sistema così come descritto nell’articolo funziona; sei sicuro di aver impostato correttamente il server di syslog sull’agent? Verifica con uno sniffer di rete se i pacchetti vengono spediti, così individui dove si trova il problema.

]]> Di: Paolo Giardini http://blog.solution.it/soluzione-open-source-per-log-amministratori-di-sistema/comment-page-1/#comment-1726 Paolo Giardini Tue, 04 May 2010 07:51:18 +0000 http://blog.solution.it/?p=549#comment-1726 <em>In risposta a Marco</em> Si, certamente questo aspetto non sfugge a nessuno, tanto meno al Garante che nelle FAQ ha preso in esame il livello di sicurezza richiesto concludendo che in pratica la sicurezza di un sistema di controllo così come previsto dal provvedimento non è e non può essere garantita. Ma come ho detto in un seminario qualche giorno fa, <em>dareste le chiavi di casa al primo venuto</em><strong>? In risposta a Marco
Si, certamente questo aspetto non sfugge a nessuno, tanto meno al Garante che nelle FAQ ha preso in esame il livello di sicurezza richiesto concludendo che in pratica la sicurezza di un sistema di controllo così come previsto dal provvedimento non è e non può essere garantita. Ma come ho detto in un seminario qualche giorno fa, dareste le chiavi di casa al primo venuto?

]]> Di: Marco http://blog.solution.it/soluzione-open-source-per-log-amministratori-di-sistema/comment-page-1/#comment-1725 Marco Thu, 29 Apr 2010 10:14:55 +0000 http://blog.solution.it/?p=549#comment-1725 Ciao, un'informazione, ho impostato tutti i parametri di rsyslog nel server ubuntu e installato snare agent su una macchina windows, ma non vengono scritti i log in remoto.. Credo sia un problema di permessi, ma non ho capito come far dialogare l'utente windows con il server linux.. Grazie! :) Ciao, un’informazione, ho impostato tutti i parametri di rsyslog nel server ubuntu e installato snare agent su una macchina windows, ma non vengono scritti i log in remoto.. Credo sia un problema di permessi, ma non ho capito come far dialogare l’utente windows con il server linux.. Grazie! :)

]]> Di: Marco http://blog.solution.it/soluzione-open-source-per-log-amministratori-di-sistema/comment-page-1/#comment-1724 Marco Thu, 29 Apr 2010 09:04:20 +0000 http://blog.solution.it/?p=549#comment-1724 Ciao, ottimo articolo! Lo utilizzerò come guida ;) Un domanda però, forse banale; alla fine dell'articolo scrivi "L’amministratore di sistema, il professionista IT non deve essere lasciato da solo a “far funzionare il pc” ma deve essere considerato come parte integrante del sistema azienda." Ma credo che nella maggior parte delle aziende sarà proprio questa figura a realizzare questo sistema di controllo, in quanto una delle poche persone o magari l'unica con le conoscenze tecniche adeguate, quindi potrebbe essere semplice per lui aggirare il sistema o sbaglio? Mi sfugge qualcosa? Grazie. Ciao, ottimo articolo! Lo utilizzerò come guida ;) Un domanda però, forse banale; alla fine dell’articolo scrivi “L’amministratore di sistema, il professionista IT non deve essere lasciato da solo a “far funzionare il pc” ma deve essere considerato come parte integrante del sistema azienda.”
Ma credo che nella maggior parte delle aziende sarà proprio questa figura a realizzare questo sistema di controllo, in quanto una delle poche persone o magari l’unica con le conoscenze tecniche adeguate, quindi potrebbe essere semplice per lui aggirare il sistema o sbaglio? Mi sfugge qualcosa?
Grazie.

]]>