> Massimo Giaimo wrote: > > come sapete entro il 15 dicembre ogni azienda > dovrà adeguarsi al provvedimento del Garante > della privacy relativo al controllo delle > attività degli amministratori di sistema.
Ho notato che si parla esclusivamente di collezionamento ed archiviazione dei log. In realtà, il provvedimento del Garante è più ampio e riguarda il "controllo" degli accessi degli amministratori di sistema. Se dieci amministratori adoperano tutti "root" per l'accesso ai sistemi, non è che collezionando i log si ottempera al provvedimento :-) Io, per prima cosa, sto configurando su tutte le macchine Linux l'autenticazione centralizzata sul dominio Active Directory (tramite Kerberos+LDAP), disabilitando, nel contempo, l'accesso da remoto attraverso utenze generiche (es. utenze applicative ed ovviamente "root"). Tutti possono quindi accedere attraverso l'account personale di dominio Windows ed eventualmente impersonare l'utenza applicativa o amministrativa desiderata con "su". Mi rimane scoperto l'accesso da console (c'è la sicurezza fisica del Data Center ma, spesso, le console sono accessibili da remoto e quindi siamo punto e daccapo). Segue logging centralizzato da qualche parte, ma lo considero un aspetto secondario (non come importanza ma come ordine temporale). -- Domenico Viggiani ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
