{"id":549,"date":"2009-11-20T17:22:21","date_gmt":"2009-11-20T16:22:21","guid":{"rendered":"http:\/\/blog.solution.it\/?p=549"},"modified":"2011-06-24T14:55:22","modified_gmt":"2011-06-24T13:55:22","slug":"soluzione-open-source-per-log-amministratori-di-sistema","status":"publish","type":"post","link":"https:\/\/blog.solution.it\/?p=549","title":{"rendered":"Soluzione Open Source per log Amministratori di Sistema"},"content":{"rendered":"

Provo a mettere nero su bianco\u00a0 i test effettuati\u00a0 per l’adeguamento al provvedimento sugli amministratori di sistema<\/a> emanato dal Garante Privacy la cui scadenza \u00e8 fissata al 15 dicembre 2009. Ricordo brevemente che, fra le altre cose,\u00a0 il provvedimento richiede la registrazione e conservazione per almeno sei mesi dei log di accesso di ogni account degli amministratori di sistema. Esistono molti sistemi a pagamento che possono fare questo, ma perch\u00e9 spendere se possiamo adeguare i nostri sistemi senza dover acquistare costose licenze software? Ecco dunque, dopo gli spunti di discussione<\/a> pubblicati mesi fa, dove semplicemente\u00a0 accennavo a quali strumenti potessero essere utilizzati,\u00a0 una traccia operativa<\/em> per creare un sistema di log centralizzato per sistemi sia Windows che Linux basato su Debian. Intendiamoci. E’ solo una traccia, magari si pu\u00f2 desiderare di implementare ulteriori livelli di sicurezza, come ad esempio la trasmissione dei log su connessione cifrata. E’ comunque un punto di partenza e sufficiente per piccole realt\u00e0 con esigenze limitate.<\/p>\n

Ricordo a questo proposito che il provvedimento non prevede specifiche tecniche, lasciando ad ogni titolare di trattamento la scelta su come implementare quanto richiesto.<\/p>\n

Per essere compliant alla normativa, ogni utente e quindi ogni amministratore di sistema deve avere il proprio account. Per abilitare utenti diversi ad effettuare operazioni che richiedono i poteri di root si pu\u00f2 abilitare il comando sudo<\/em>, creando un gruppo apposito (su Ubuntu esiste gi\u00e0, \u00e8 il gruppo admin<\/em>) e modificando opportunamente con visudo<\/em> i diritti di root per tale gruppo. Ad esempio:<\/p>\n\n\n\n
$ sudo\u00a0 visudo<\/p>\n

# User privilege specification root ALL=(ALL) ALL<\/p>\n

# Members of the admin group may gain root privileges<\/p>\n

%admin ALL=(ALL) ALL<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Ovviamente il nome del gruppo di utenti abilitati pu\u00f2 essere scelto liberamente. In alcuni sistemi il nome di default \u00e8 wheel<\/em>. Quello che resta da fare \u00e8 aggiungere gli utenti al gruppo admin usando useradd<\/em> se l’utente deve essere creato da zero oppure usermod<\/em> se l’utente esiste gi\u00e0.<\/p>\n

Su sistemi windows \u00e8 necessario impedire l’utilizzo dell’accesso come amministratore per il normale uso.<\/p>\n

E’ appena il caso di ricordare che il log degli accessi amministrativi va registrato non solo per i server ma anche per i sistemi client se su queste macchine si gestiscono dati personali.<\/p>\n

Syslog \u00e8 il demone installato di default per gestire i log di sistema . Dobbiamo quindi sostituire syslog<\/em> con un software che abbia delle funzioni in pi\u00f9. Per fortuna su Debian 5 (lenny) rsyslog<\/a> \u00e8 il demone di log installato di default.Una alternativa potrebbe essere syslog-ng<\/a>. Entrambi\u00a0 i software permettono di ricevere i log da server remoti anche via ssl e registrarli su un db come (ad esempio, ma non solo) Mysql.<\/p>\n

Su Ubuntu, ad esempio,\u00a0 l’installazione si effettua con il semplce apt-get install rsyslog.<\/strong><\/p>\n

Per abilitare la ricezione dei log da remoto va modificato sul log server\u00a0 il file di configurazione \/etc\/rsyslog.conf<\/strong>.<\/p>\n

Invece il file \/etc\/default\/rsyslog <\/strong>va modificato solo in caso vada mantenuta la compatibilit\u00e0 con vecchi sistemi, altrimenti non va toccato.<\/p>\n

Nel file\u00a0 \/etc\/rsyslog.conf<\/strong> del log server vanno decommentate le righe sotto riportate\u00a0 per mettere il demone in ascolto sulla porta 514 UDP. Attenzione, se il traffico fosse molto elevato, si rischia di perdere delle righe di log. In questo caso va usato il protocollo TCP o RELP.<\/p>\n\n\n\n
# provides UDP syslog reception<\/p>\n

$ModLoad imudp<\/p>\n

$UDPServerRun 514<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Fatte queste modifiche si riavvia il demone con <\/span><\/p>\n\n\n\n
\/etc\/init.d\/rsyslogd restart<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

e si verifica che sia effettivamente in ascolto sulla porta UDP 541 con<\/span><\/p>\n\n\n\n
netstat -lpu | grep rsyslogd<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

che deve mostrare qualcosa di simile:<\/span><\/p>\n\n\n\n
udp \u00a0 \u00a0\u00a0 0\u00a0\u00a0\u00a0\u00a0 0\u00a0\u00a0\u00a0 0.0.0.0:514\u00a0\u00a0\u00a0\u00a0 0.0.0.0:*\u00a0 \u00a0 \u00a0 2222\/rsyslogd<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

<\/span> Per attivare l’invio del log al rsyslog remoto su ogni macchina linux che deve essere loggata va modificato il file \/etc\/rsyslog.conf<\/strong> modificando la riga<\/p>\n\n\n\n
auth, authpriv.* \/var\/log\/auth.log<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

in<\/p>\n\n\n\n
auth, authpriv.* @192.168.1.1 (mettere l’ip del server rsyslog centralizzato)<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

La chiocciola davanti all’indirizzo IP indica a quale host deve essere inviato il log.<\/p>\n

Per windows ho testato\u00a0 Snare Agent for Windows<\/a>, un pacchetto open source che installa un servizio per il log degli eventi su windows ed \u00e8 amministrabile tramite una pagina web. L’installazione si limita al solito doppio click sull’eseguibile, all’impostazione della password ed alla scelta se permettere o meno l’accesso remoto alla pagina di configurazione del servizio. Per effettuare la configurazione \u00e8 sufficiente puntare il browser su localhost:6161<\/strong>. Utente e password di default sono snare\/snare, da cambiare immediatamente.<\/p>\n

La configurazione da impostare per avere il log remoto \u00e8 sulla pagina network. Basta impostare\u00a0 <\/em>Destination Snare Server address<\/em> con l’indirizzo ip del server di log e come\u00a0 destination\u00a0 port\u00a0 514. Attivare Enable Syslog\u00a0 Header<\/em> e selezionare come syslog facility auth<\/strong>, con livello notice<\/strong>. <\/em> <\/span><\/p>\n

\"configurazione<\/a><\/p>\n

Se tutto \u00e8 andato bene, adesso nel file\u00a0 \/var\/log\/auth.log<\/strong> verranno registrati login, logout ed errori di login delle macchine configurate.<\/p>\n

Tenete presente che i log sistemi windows sono prolissi e bisogna saperli leggere. Gli eventi vengono identificati tramite un codice (ID Event) che assume il valore 528 per il login e 538 per il logout e distinguono gli accessi locali dagli accessi remoti tramite la variabile “Type” che ha valore 2 per accesso locale e valore 3 per accesso effettuato via rete. Vi sono inoltre vari altri ID e Type legati ad altre situazioni (p.e. errori di login) ed eventuali problemi (quale il mancato log degli eventi con ID 538 al momento della disconnessione). Trovate\u00a0 qui<\/a>, qui<\/a>,qui<\/a> e qui<\/a> alcuni articoli Microsoft con informazioni in merito.<\/p>\n

Una alternativa a Snare Agent pu\u00f2 essere ntsyslog<\/a>, con la differenza che non pu\u00f2 essere amministrato da remoto via pagina web come invece Snare Agent.<\/p>\n

L’installazione di ntsyslog2<\/strong> \u00e8 come d’uso molto semplice. E’ sufficiente scaricare il file di installazione msi e lanciarlo con il classico doppio click per installare il servizio ntsyslog.<\/p>\n

La configurazione si fa tramite il programma NTSyslogCtrl.exe<\/strong> (viene creato uno shortcut sul desktop). Selezionare il computer, scegliendo il pc sul quale \u00e8 installato il servizio. Impostare il server di log tramite il bottone “Syslog Daemon<\/em>” . Dal menu a scomparsa scegliere Security<\/strong> quale eventlog<\/em> quindi cliccate sul bottone eventlog<\/strong> per selezionare quali eventi inviare al server remoto. Si pu\u00f2 quindi avviare il servizio.<\/p>\n

\"ntsyslog-window\"<\/a>Dato che il provvedimento del Garante richiede il log dei tentativi di accesso, riusciti o meno che siano, \u00e8 bene disattivare l’invio degli eventlog sistema, applicazioni e internet explorer.<\/p>\n

Attenzione<\/strong>: ho notato che su alcuni sistemi Windows \u00e8 disabilitata la funzione di event log, pertanto nessun evento relativo agli accessi viene registrato. Per attivare la registrazione (e l’invio al syslog remoto) degli eventi di accesso \u00e8 necessario entrare come administrator sul pc, aprire il pannello di controllo, Strumenti di Amministrazione, Criteri di protezione locali, Criteri locali, Criteri controllo e verificare che sia attivato il flag “Controlla eventi di accesso<\/a>“. Esiste anche “Controlla eventi accesso account” ma questo controllo non registra i logout<\/a>.<\/p>\n

Altre questioni da valutare sono relative alla gestione dei log una volta registrati sul nostro log server. Ad esempio per adeguarsi al requisito della immodificabilit\u00e0 si pu\u00f2 pensare di copiare periodicamente il log\u00a0 su di un supporto non riscrivibile,\u00a0 validando i file con un hash. Ricordatevi di tenere file ed hash in luoghi separati. Un’altra possibile soluzione \u00e8\u00a0 avere un log server al quale l’amministratore di sistema non ha accesso ne logico ne fisico. Gi\u00e0 sento le risate…ma\u00a0 ricordate che quanto scritto fino qui \u00e8 solo un contributo, non la soluzione al problema.<\/p>\n

Ogni soluzione deve essere calata nel contesto in cui si opera, e deve essere\u00a0 parte di un sistema di\u00a0 Governance dell’IT che comprenda strategie di gestione e di controllo.<\/p>\n

L’amministratore di sistema, il professionista IT non deve essere lasciato da solo a “far funzionare il pc” ma deve essere considerato come parte integrante del sistema azienda. In questa ottica, il provvedimento del Garante Privacy deve essere visto come uno stimolo alla diffusione di\u00a0 una maggiore attenzione da parte delle aziende e dei dirigenti verso quelle attivit\u00e0 a torto considerate solo come “tecniche” e lasciate alla buona volont\u00e0 degli informatici.<\/p>\n

Infine un “grazie” a Maurizio, che con il suo post<\/a> mi ha stimolato a scrivere questo articolo.<\/p>\n

Addendum: Si \u00e8 andato creando una specie di “circuito” di soluzioni tecniche per il problema dei log degli Ads. Bella questa cosa.<\/p>\n

Ne approfitto quindi per segnalare anche la soluzione proposta da Ivan Zini<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Provo a mettere nero su bianco\u00a0 i test effettuati\u00a0 per l’adeguamento al provvedimento sugli amministratori di sistema emanato dal Garante Privacy la cui scadenza \u00e8 fissata al 15 dicembre 2009. Ricordo brevemente che, fra le altre cose,\u00a0 il provvedimento richiede la registrazione e conservazione per almeno sei mesi dei log… <\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[6,27,12,7,59,13,60,33,62],"_links":{"self":[{"href":"https:\/\/blog.solution.it\/index.php?rest_route=\/wp\/v2\/posts\/549"}],"collection":[{"href":"https:\/\/blog.solution.it\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.solution.it\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.solution.it\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.solution.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=549"}],"version-history":[{"count":93,"href":"https:\/\/blog.solution.it\/index.php?rest_route=\/wp\/v2\/posts\/549\/revisions"}],"predecessor-version":[{"id":603,"href":"https:\/\/blog.solution.it\/index.php?rest_route=\/wp\/v2\/posts\/549\/revisions\/603"}],"wp:attachment":[{"href":"https:\/\/blog.solution.it\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=549"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.solution.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=549"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.solution.it\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=549"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}