Topic: Masterizzazione Log su DVD-r per ottemperare alla legge Privacy

[magwm]

Salve!

allora immagino che siamo in tanti che dovremmo già aver installato sistemi di registrazioni log.. su supporto non modificabile

per ottemperare alla legge del garante sulla Privacy http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499#9

il succo: bisogna registrare in modo NON MODIFICABILE gli accessi degli amministratori ai sistemi che contengono dati personali. in questo caso, il server SME che fa da proxy per gli utenti e quindi contiene i dati di acceso a siti degli utenti.. ma anche i registri mail etc.

Visto che non fa parte dei backup standard - che son meglio implementati su supporti riscrivibili - e che bisogna trattenere 6 mesi di dati inalterati, a me sembrava la cosa più facile far masterizzare su dvd giornalmente tutti i var/log e appenderli man mano al dvd. tanto gzippati i log non dovrebbero essere enormi.. vero?


per ora penserei di partire da qualcosa che ho trovato nei forum http://forums.contribs.org/index.php/topic,34931.msg151727.html#msg151727

poi però bisogna verificare che il dvd non sia pieno, e mandare un alert nel caso lo fosse.. qualcuno sa come fare?

Code: [Select]

#!/bin/sh

Backup_Dirs="/var/log"
Backup_Dest_Dir=/tmp/backup
Backup_Date=`date +%Y%m%d`

# Create tar file with todays Month Day Year prepended for easy identification
tar -cvzf $Backup_Dest_Dir/$Backup_Date.tar.gz $Backup_Dirs

#Burn the DVD
growisofs -M /dev/dvd -R -J $Backup_Dest_Dir/$Backup_Date.tar.gz
#eject

echo "Removing : $Backup_Dest_Dir/$Backup_Date.tar.gz"
rm $Backup_Dest_Dir/$Backup_Date.tar.gz
echo "END BACKUP $Backup_Date"
echo "A new backup has been completed. Please replace the DVD with todays
and put the old one into the white folder" | mail reminder@domain.com
echo
"------------------------------------------------------------------------"
exit 0

ciaaaooo..

[Stefano]

guarda..

a mio modo di vedere (ma siamo in tanti a pensarla così) quello che è richiesto e chi lo deve fare non è ancora chiaro..

certamente vero nei casi in cui hai/tratti dati sensibili, no di certo se hai solo dati personali.

tutto IMHO

per quanto riguarda il backup su dvd-rw uno script vale l'altro, vedi tu se vale la pena farlo tutti i gg su dvd diversi o meno

[magwm]

quello che è richiesto e chi lo deve fare non è ancora chiaro

per la nostra azienda - che non è né grande né tratta dati 'sensibili' - abbiamo contattato il nostro avvocato esperto di privacy che però ci ha detto che:

SE nel DPS (documento programmatico sulla sicurezza) è stata indicata la figura dell'amministratore del sistema, anche se si tratta del titolare,
allora bisogna per forza ottemperare, almeno nella misura minima, che è:
- attivare i log sicurezza di Windows e loggare accessi e fare in modo che in 6 mesi non si sovrascrivano
- masterizzare su cd/dvd i log di accesso ai server linux

ora debbo solo capire come si fa.

ps. i log degli altri server sme potrei copiarli sul sme che masterizza.. ?

[Stefano]

per la nostra azienda - che non è né grande né tratta dati 'sensibili' - abbiamo contattato il nostro avvocato esperto di privacy che però ci ha detto che:

SE nel DPS (documento programmatico sulla sicurezza) è stata indicata la figura dell'amministratore del sistema, anche se si tratta del titolare,
allora bisogna per forza ottemperare, almeno nella misura minima, che è:
- attivare i log sicurezza di Windows e loggare accessi e fare in modo che in 6 mesi non si sovrascrivano
- masterizzare su cd/dvd i log di accesso ai server linux

ora debbo solo capire come si fa.

ps. i log degli altri server sme potrei copiarli sul sme che masterizza.. ?

prendo atto

allora.. io solitamente redirigo tutti i log dei client windows sulla macchina SME in rete.. per farlo uso un programmino che si chiama NTSyslog.. funziona certamente fino a wXP, su vista/7 non ho provato

affinchè il tuo SME registri i log di altre macchine è necessario che:
- ti crei la dir /etc/e-smith/templates-custom/etc/sysconfig/syslog/
- ci copi dentro il file /etc/e-smith/templates/etc/sysconfig/syslog/10NoMARKs
- lo editi in modo che contenga:

Code: [Select]

SYSLOGD_OPTIONS="-r -m 0"
- espandi il template

Code: [Select]

expand-template /etc/sysconfig/syslog
- riavvii syslog

Code: [Select]

service syslogd restart

consiglio caldamente di definire negli "hostname and adresses" le macchine interne, in modo che i log siano facilmente greppabili (in buona sostanza: NO dhcp)

HTH
Stefano

[magwm]

Caro Stefano grazie per i preziosi consigli..

Ora sto considerando di mandare tutti i log di protezione di windows sul syslog SME come suggerisci, Ma non vorrei mandare tutto in messages..

come posso fare per inviare i syslog su di un log separato, tipo /var/log/windows.log?

funzionerebbe se cambiassi /etc/e-smith/templates/etc/syslog.conf/local4
da

Code: [Select]

local4.*                                        -{ "${messages}" }a

Code: [Select]

local4.*                                        -{ "${windows.log}" }
facendo poi i dovuti expand-template /etc/sysconfig/syslog ; service syslogd restart ?

e poi dicessi a ntsyslog di usare la facilty 20?

ciao ciao, M

[magwm]

no, non funziona.

Ma se cambio /etc/syslog.conf
da

Code: [Select]

local4.*                                        -/var/log/windowsa

Code: [Select]

local4.*                                        -/var/log/messages
funziona. Come faccio a ottenere questo modificando il template?

[magwm]

argh. mi correggo da solo:
modifìcare 00filenames in modo da includere $windows="/var/log/windows";

forse non è una template come si deve.. come fare a mettere tutto ciò nel frammento
/etc/e-smith/templates-custom/etc/sysconfig/syslog/90AllowRemoteSyslog
che ho creato x questa funzione?

funziona!! benebene. ora su a fare script e GPO per distribuire questi settings

[Stefano]

ciao

non ho capito una tuba

appena hai 2 minuti fai un mini howto?

grazie e complimenti per il lavoro

[magwm]

ok

per reindirizzare i messaggi syslog che vengono da remoto su altro file:

attivare il server syslog remoto su SME:

- ti crei la dir /etc/e-smith/templates-custom/etc/sysconfig/syslog/
- ci copi dentro il file /etc/e-smith/templates/etc/sysconfig/syslog/10NoMARKs

- lo editi in modo che contenga:

SYSLOGD_OPTIONS="-r -m 0"

creare il file di log aggiuntivo:

Code: [Select]

touch /var/log/windows
in /etc/e-smith/templates/etc/syslog.conf/00filenames
aggiungere una riga

Code: [Select]

$windows = "/var/log/windows";
in /etc/e-smith/templates/etc/syslog.conf/local4   (o uno degli altri local a seconda di quali sono magari già in uso)
cambiare

Code: [Select]

local4.*                                        -{ "${messages}" }in

Code: [Select]

local4.*                                        -{ "${windows}" }
- espandi il template

Code: [Select]

expand-template /etc/sysconfig/syslog
- riavvii syslog

Code: [Select]

service syslogd restart
per reindirizzare (in copia) i log di windows su questo syslog, ho usato http://code.google.com/p/eventlog-to-syslog/
una volta copiato evtsys.dll e evtsys.exe in c:\windows\system32  ho eseguito il comando

Code: [Select]

evtsys.exe -i -h 192.168.0.81 -f local4
e poi

Code: [Select]

net start evtsys
sono quasi sicuro che non bisognerebbe cambiare i frammenti del template ma qualcos'altro.. cmq così funziona..

[magwm]

piccola correzione.. il daemon syslog si riavvia con

Code: [Select]

service syslog restart
non con syslogd ma syslog ..

saluti.

[magwm]

devo ancora apportare una modifica..

dopo aver modificato local4, bisogna fare anche

expand-template /etc/syslog.conf

[Incognito]

Solo una precisazione FONDAMENTALE dal punto di vista della privacy e della normativa a riguardo:
1 - NON dovete registrare tutti i log ma solo gli accessi dell'Amministratore di sistema (o degli nel caso siano d +), registrare tutti i log rende passibili di denuncia.
2 - se avete la pec, invece di masterizzare e ricordarvi di cambiare il dvd fate inviare una mail pec a voi stessi, l'archivio del gestore deve du rare + di 6 mesi e soprattutto rimangono anche "certificati"
3 - se non avete la pec, generate da scrip un UDF che risponde pienamente a quanto richiesto dal garante.

[magwm]

ottime noti e precisazioni.. 

ma come fare a mandare i log in automatico con la pec? o basta inviare una mail normale alla casella pec?

e la creazione dell'UDF? in quale senso sarebbe non modificabile?

saluti, M

[Incognito]

ottime noti e precisazioni.. 

Grazie

ma come fare a mandare i log in automatico con la pec? o basta inviare una mail normale alla casella pec?

con uno script in crontab fai inviare una mail con allegati i log al tuo stesso indirizzo di pec. Per i settaggi specifici non ti posso aiutare, perchè sto ancora sistemando il mio syslog server (la parte "brutta" i server windows)

e la creazione dell'UDF? in quale senso sarebbe non modificabile?

saluti, M

UDF è un file system non ri-scrivibile, diciamo come sui sistemi WORM, quindi generare un file iso in udf sempre da script (a.e. con mkisofs) in crontab

[luctuf]

Salve a tutti! Ho cercato di raccapezzarmi nella norma citata in questo post ma il burocratese lo odio...da quanto mi pare di capire, i famosi log dell'amministratore, non devono poter essere modificati NEMMENO da lui...ora, se io creo un cron per l'invio dei log via PEC, oppure accodo i file per la masterizzazione, nulla vieterebbe che, conoscendo la temporizzazione di detto cron (d'altra parte, se sono l'admin, so tutto...) posso accedere 10 minuti prima dell'invio (o della masterizzazione) e modificare a mio piacimento i log file...giusto?
Mi sono allora posto una domanda alla quale non ho saputo rispondere: e se la mail (PEC) venisse inviata nell'istante stesso del login dell'amminstratore? In questo modo non ci sarebbe possibilità, da parte sua, di impedire o modificare questo comportamento. E' una cosa fattibile? Ha senso?