[FSUG PD] amministratore di sistema....

Sbaturzio Cantina sbaturzio a satellite1.info
Ven 12 Giu 2009 14:44:57 CEST 

Il giorno ven, 12/06/2009 alle 08.21 +0200, Antonio Dalvit ha scritto:

> 1) gestione degli accessi sui singoli client: già qui mi viene male...
> poi se mi tocca usare windows e il suo generatore di eventi...

Dov'è il problema? Sia Linux che Window$ hanno un log di sistema dove
vengono registrati gli accessi al sistema (logon diretti) quindi la cosa
è  già risolta.

> 2) ruoli dell'amministratore del sistema: nell'ambito pubblico mi vedo
> già la scena:" ma voi mi avete detto che devo solo occuparmi di questo
> e quello, il backup dell'anagrafe non è di mia competenza!"... e così
> via...

In ambito pubblico la cosa non mi preoccupa: le loro strutture di
gestione dati sono già regolate da gare d'appalto e regolamenti interni,
Secondo me non ci metteranno molto a variare un regolamento interno per
aggiungere una persona qualsiasi che assuma il ruolo di sysadmin. Che
poi sia effettivamente un sysadmin questo è un altro paio di
maniche. ;-)

In ambito privato invece la cosa è diversa perché solitamente il 
sysadmin viene visto come un costo e non come una risorsa.

Il lavoro del sysadmin, più che semplicemente eseguire i backup o
mantenere i sistemi aggiornati, deve suggerire quali risorse
informatiche, software, hardware o anche semplicemente di metodi di
lavoro, possono venire in aiuto all'azienda per ridurne i costi o
migliorarne l'efficienza. Questa nuova norma non aggiunge novità al
lavoro del sysadmin: sono cose che già faccio e che, nell'ottica del
provvedimento, si vogliono rendere parte integrante di ogni azienda per
renderle più robuste di fronte ai possibili attacchi informatici, ormai
all'ordine del giorno su Internet. (*)

Quindi io vedrei questa nuova norma come un motivo in più per far capire
ai clienti che cosa un sysadmin può dare all'azienda.



Piuttosto, la cosa difficile, e AFAIR se ne è già discusso tempo fa qui
in lista, è trovare un modo semplice per garantire la completezza,
inalterabilità e la possibilità di verifica della loro integrità dei log
degli accessi.

La cosa su Windows implica che l'administrator non possa avere accesso
completo ai log di sistema perché gli verrebbe lasciata la possibilità
di cancellarne parte dei contenuti, venendo meno quindi la richiesta
caratteristica di inalterabilità.

Su Linux invece la cosa sembra essere più facile da risolvere poiché già
esiste un log degli accessi, sia diretti che da samba o altri demoni di
rete come ftp o http. Manca solo la maniera per rendere inalterabili
questi log. 

Qui la fantasia dei sysadmin diventa la forza di Linux: non esistendo un
unico metodo di "lock down" dei log ma avendo la possibilità di
realizzarne e di personalizzarne diversi rende la macchina più protetta
in quanto un qualsiasi attaccante deve prima scoprire che metodo di
protezione è stato adottato.

Adesso sta alla sensibilità dei dirigenti delle aziende capire
finalmente che un sysadmin è utile per migliorare la sua azienda e non è
solo una figura professionale che può essere sostituito dal cuginetto
che è tanto bravo con window$. ;-)

Io ai miei clienti dico sempre: "Vuoi far gestire il tuo sistema da un
ragazzino e non da un professionista? Ok, però dopo ti ritroverai un
sistema configurato da un ragazzino e non da un professionista." ;-)

Se volete possiamo organizzare una "cena a tema" sull'argomento. ;-)


(*) su questo argomento sto leggendo "L'arte dell'inganno" di Kevin
Mitnick (sì, proprio quel Mitnick ;-) ) e devo dire che quello che leggo
è tremendamente facile da attuare e non serve essere degli hacker per
attuare alcuni attacchi.

-- 
Un ciao in DO maggiore
-=) Sbaturzio (=-

Maggiori informazioni sulla lista fsug-pd