Gestire la 196-2003

Salve,

va bene la legge Amministratori di Sistema è in vigore, alcune aziende si sono dotate di software in commercio, altre non sanno nemmeno che esiste. La rete invece richiede una soluzione a basso costo e in molti forum si leggono diversi pareri sulla comprensione di tale provvedimento [doc. web n. 1577499], ma il mio interesse principale è:

• Capire cosa mi determina questo provvedimento
• Trovare una soluzione tecnica a costo contenuto per il mio parco clienti!
• Documentare la soluzione
• Condividere del codice che potrebbe essere di utilità a vari aministratori

… e dopo 2 mesi tra ricerche e forum, vorrei formulare una soluzione Tecnica Automatizzata.

IPOTESI di SOLUZIONE

PREMESSA: il concetto fondamente di ogni legge non è dare la soluzione tecnica, ma di sanzionare colui che non rispetta le così dette “Considerazioni preliminari”, cioè le motivazioni che portano all’introduzione di tutti gli articoli che lo seguono.

Di conseguenza allo stato NON interessa chi ha cancellato o inserito una “riga di Database” o un “Nuovo Account” o altro, ma VUOLE SAPERE: il giorno TOT è stato convenuto un illecito con il sistema informatico ( e questo è la parte Stato che lo sa già):

• Chi sono i tuoi Amministratori di Sistema?
• Chi, dei Vostri amministratori di sistema chi era collegato e da quale IP?
• Da quando adottate sistemi differenziati per gli amministratori di sistema?

P.S.: gli utenti nonrmali non sono iteressati per secondo la legge privacy 196/2003, dovrebbero avere la loro passsword bella nascosta e utilizzata solo da loro. Rimangono da gestire i così detti “cani sciolti”, cioò gli amministratori di sistema che si collegano ovunque con 1 (uno), solo account.

COSA MI SERVE

In primo luogo, mi serve una piccola rivoluzione:

1. ALMENO UN SERVER DI DOMINIO, altrimenti il discorso è troppo generico e per reti troppo piccole che non rientrano nel provvedimento
2. NON MI DEVO PIU’ COLLEGARE AI SERVER COME ADMINISTRATOR… facile a dirsi, ma sono io il primo ad avere delle difficoltà.
3. ELIMINAZIONE SOFTWARE CHE NON GIRANO COME SERVIZI SUI SERVER…. ancora più facile in tempo di crisi aggiornare software un po datati, già pagati e che funzionano
4. MI DEVO COLLEGARE AI COMPUTER UTENTI CON IL MIO ACCOUNT…  non posso più supportare il cliente con Virtual Network Controller preinstallati, ma al massimo con Desktop remoti
5. POLICY CLIENT, PER INVIARE LGI EVENTI AL SERVER DI DOMINIO…  mica solo degli amministratori di sistema devo tenere una copia. sicchè….

Se queste condizioni sono fattibili all’ora siamo 80% della soluzione tecnica del problema!

DOVE MEMORIZZARE

In base alle indicazioni un database  su una partizione criptata, dovrebbe fare al caso nostro. Al momento una Ubuntu Server >= 9.04 o superiore dovrebbe fare al caso nostro

DATI DA MEMORIZZARE

Le informazioni a questo punto non sono di entità devastanti, ma sono sempre e comunque da filtrare.

• Data-Ora     |  Host    | Utente   | Messaggio                         | Azione
• 2010-01-01 | pc-001 | Peduzzi | accesso desktop remoto | [Accesso]

Per il tipo di database e SQL e varie c’è ancora un pò di tempo.

Una anagrafica personale con codice fiscale per conformare la validità del dato, con la discriminate UTENTE/AMMINISTRATORE e il settore

• di basi di dati
• di reti
• di apparati di sicurezza
• di sistemi software complessi
• custode delle password
• responsabile personale
• responsabile sicurezza
• … e le figure della gerarchia della privacy

INFORMAZIONI DA PRELEVARE

I sistemi che si dovrebbero ottenere tali informazioni:

• SERVER DI DOMINIO WINDOWS: un bel script in power Shell
• SERVER LINUX: esportazione della /var/log/secure
• DATABASE: memorizzare login di accesso per i sistemi di produzione a utenza multipla
• TIMBRATURE: se possibile come maggiore controllo

CONCLUSIONE

Ogni punto indicato, cercherò di  svilupparlo, con la partecipazione dei commenti e qualunque siua la Vostra strada pubblicherò i vari script.