On Fri, Jan 16, 2009 at 6:16 PM, Domenico Viggiani <[email protected]> wrote: > > Qui: > http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499 > http://www.garanteprivacy.it/garante/doc.jsp?ID=1580831 > si legge dei nuovi criteri del Garante per gli "amministratori di sistema". > Innanzitutto, sono molto interessato a conoscere cosa ne pensate. > Ci sono degli appigli per evitare tutto ciò? Come ci si uniforma a questi > criteri?
Per quanto riguarda la necessità di tracciare le azioni sui sistemi effettuate dagli amministratori dei sistemi (compresi coloro che accedono al sistema come "semplici" utenti applicativi) inizialmente abbiamo adottato l'unione di due applicativi freeware: sudo (per l'accesso a comandi da "super-user" e/o per comandi applicativi ritenuti importanti e all'interno delle prescrizioni del Garante) e "sudosh2" (per tracciare sia i comandi che il relativo output effettuati a terminale). Poichè entrambi gli applicativi non rientravano pienamente nelle prescrizioni (nel punto 4.5 dove recita che "Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste") sono stati presi a considerazione vari sistemi di registrazione e la scelta è caduta su SysMark PowerBroker (http://www.symark.com/products/pboverview.html). Poichè in entrambe le situazioni la password dell'utente amministrativo (diciamo "root") non è più necessaria se non in casi di manutenzione da console, la medesima password è custodita da persone non facenti parte del gruppo degli amministratori e l'utilizzo della stessa è regolamentata attraverso procedure di utilizzo e di rinnovo (ad esempio: si richiede l'utilizzo, si utilizza, viene poi modificata). Per quanto riguarda l'accesso alla macchina stessa, la scelta è caduta attraverso il protocollo SSH con accesso OTP (ad esempio RSASecurId), prossimamente con l'evoluzione Upek (accesso biometrico: http://www.upek.com/solutions/rsa/), che non richiede modifiche sostanziali sui sistemi ma solo un aggiornamento lato AccessServer. Per quanto riguarda gli applicativi, sono stati portati su accesso OTP (più velocemente se le applicazioni prevedono un utilizzo we-like tramite WebAuthentication, con un'integrazione applicativa con le API RSA oppure LDAP). Cesare -- Rita Rudner - "When I eventually met Mr. Right I had no idea that his first name was Always." ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
