Koozali.org: home of the SME Server
Other Languages => Italiano => Topic started by: magwm on December 28, 2009, 01:07:53 PM
-
Salve!
allora immagino che siamo in tanti che dovremmo già aver installato sistemi di registrazioni log.. su supporto non modificabile
per ottemperare alla legge del garante sulla Privacy http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499#9 (http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499#9)
il succo: bisogna registrare in modo NON MODIFICABILE gli accessi degli amministratori ai sistemi che contengono dati personali. in questo caso, il server SME che fa da proxy per gli utenti e quindi contiene i dati di acceso a siti degli utenti.. ma anche i registri mail etc.
Visto che non fa parte dei backup standard - che son meglio implementati su supporti riscrivibili - e che bisogna trattenere 6 mesi di dati inalterati, a me sembrava la cosa più facile far masterizzare su dvd giornalmente tutti i var/log e appenderli man mano al dvd. tanto gzippati i log non dovrebbero essere enormi.. vero?
per ora penserei di partire da qualcosa che ho trovato nei forum http://forums.contribs.org/index.php/topic,34931.msg151727.html#msg151727 (http://forums.contribs.org/index.php/topic,34931.msg151727.html#msg151727)
poi però bisogna verificare che il dvd non sia pieno, e mandare un alert nel caso lo fosse.. qualcuno sa come fare?
#!/bin/sh
Backup_Dirs="/var/log"
Backup_Dest_Dir=/tmp/backup
Backup_Date=`date +%Y%m%d`
# Create tar file with todays Month Day Year prepended for easy identification
tar -cvzf $Backup_Dest_Dir/$Backup_Date.tar.gz $Backup_Dirs
#Burn the DVD
growisofs -M /dev/dvd -R -J $Backup_Dest_Dir/$Backup_Date.tar.gz
#eject
echo "Removing : $Backup_Dest_Dir/$Backup_Date.tar.gz"
rm $Backup_Dest_Dir/$Backup_Date.tar.gz
echo "END BACKUP $Backup_Date"
echo "A new backup has been completed. Please replace the DVD with todays
and put the old one into the white folder" | mail reminder@domain.com
echo
"------------------------------------------------------------------------"
exit 0
ciaaaooo..
-
guarda..
a mio modo di vedere (ma siamo in tanti a pensarla così) quello che è richiesto e chi lo deve fare non è ancora chiaro..
certamente vero nei casi in cui hai/tratti dati sensibili, no di certo se hai solo dati personali.
tutto IMHO
per quanto riguarda il backup su dvd-rw uno script vale l'altro, vedi tu se vale la pena farlo tutti i gg su dvd diversi o meno
-
quello che è richiesto e chi lo deve fare non è ancora chiaro
per la nostra azienda - che non è né grande né tratta dati 'sensibili' - abbiamo contattato il nostro avvocato esperto di privacy che però ci ha detto che:
SE nel DPS (documento programmatico sulla sicurezza) è stata indicata la figura dell'amministratore del sistema, anche se si tratta del titolare,
allora bisogna per forza ottemperare, almeno nella misura minima, che è:
- attivare i log sicurezza di Windows e loggare accessi e fare in modo che in 6 mesi non si sovrascrivano
- masterizzare su cd/dvd i log di accesso ai server linux
ora debbo solo capire come si fa.
ps. i log degli altri server sme potrei copiarli sul sme che masterizza.. ?
-
per la nostra azienda - che non è né grande né tratta dati 'sensibili' - abbiamo contattato il nostro avvocato esperto di privacy che però ci ha detto che:
SE nel DPS (documento programmatico sulla sicurezza) è stata indicata la figura dell'amministratore del sistema, anche se si tratta del titolare,
allora bisogna per forza ottemperare, almeno nella misura minima, che è:
- attivare i log sicurezza di Windows e loggare accessi e fare in modo che in 6 mesi non si sovrascrivano
- masterizzare su cd/dvd i log di accesso ai server linux
ora debbo solo capire come si fa.
ps. i log degli altri server sme potrei copiarli sul sme che masterizza.. ?
prendo atto :-)
allora.. io solitamente redirigo tutti i log dei client windows sulla macchina SME in rete.. per farlo uso un programmino che si chiama NTSyslog.. funziona certamente fino a wXP, su vista/7 non ho provato
affinchè il tuo SME registri i log di altre macchine è necessario che:
- ti crei la dir /etc/e-smith/templates-custom/etc/sysconfig/syslog/
- ci copi dentro il file /etc/e-smith/templates/etc/sysconfig/syslog/10NoMARKs
- lo editi in modo che contenga:
SYSLOGD_OPTIONS="-r -m 0"
- espandi il template
expand-template /etc/sysconfig/syslog
- riavvii syslog
service syslogd restart
consiglio caldamente di definire negli "hostname and adresses" le macchine interne, in modo che i log siano facilmente greppabili (in buona sostanza: NO dhcp)
HTH
Stefano
-
Caro Stefano grazie per i preziosi consigli..
Ora sto considerando di mandare tutti i log di protezione di windows sul syslog SME come suggerisci, Ma non vorrei mandare tutto in messages..
come posso fare per inviare i syslog su di un log separato, tipo /var/log/windows.log?
funzionerebbe se cambiassi /etc/e-smith/templates/etc/syslog.conf/local4
da
local4.* -{ "${messages}" }a
local4.* -{ "${windows.log}" }
facendo poi i dovuti expand-template /etc/sysconfig/syslog ; service syslogd restart ?
e poi dicessi a ntsyslog di usare la facilty 20?
ciao ciao, M
-
no, non funziona.
Ma se cambio /etc/syslog.conf
da
local4.* -/var/log/windowsa
local4.* -/var/log/messages
funziona. Come faccio a ottenere questo modificando il template?
-
argh. mi correggo da solo:
modifìcare 00filenames in modo da includere $windows="/var/log/windows";
forse non è una template come si deve.. come fare a mettere tutto ciò nel frammento
/etc/e-smith/templates-custom/etc/sysconfig/syslog/90AllowRemoteSyslog
che ho creato x questa funzione?
funziona!! benebene. ora su a fare script e GPO per distribuire questi settings
-
ciao
non ho capito una tuba :-)
appena hai 2 minuti fai un mini howto?
grazie e complimenti per il lavoro
-
ok :)
per reindirizzare i messaggi syslog che vengono da remoto su altro file:
attivare il server syslog remoto su SME:
- ti crei la dir /etc/e-smith/templates-custom/etc/sysconfig/syslog/
- ci copi dentro il file /etc/e-smith/templates/etc/sysconfig/syslog/10NoMARKs
- lo editi in modo che contenga:
SYSLOGD_OPTIONS="-r -m 0"
creare il file di log aggiuntivo:
touch /var/log/windows
in /etc/e-smith/templates/etc/syslog.conf/00filenames
aggiungere una riga
$windows = "/var/log/windows";
in /etc/e-smith/templates/etc/syslog.conf/local4 (o uno degli altri local a seconda di quali sono magari già in uso)
cambiare
local4.* -{ "${messages}" }in
local4.* -{ "${windows}" }
- espandi il template
expand-template /etc/sysconfig/syslog
- riavvii syslog
service syslogd restart
per reindirizzare (in copia) i log di windows su questo syslog, ho usato http://code.google.com/p/eventlog-to-syslog/ (http://code.google.com/p/eventlog-to-syslog/)
una volta copiato evtsys.dll e evtsys.exe in c:\windows\system32 ho eseguito il comando
evtsys.exe -i -h 192.168.0.81 -f local4
e poi
net start evtsys
sono quasi sicuro che non bisognerebbe cambiare i frammenti del template ma qualcos'altro.. cmq così funziona.. :)
-
piccola correzione.. il daemon syslog si riavvia con
service syslog restart
non con syslogd ma syslog ..
saluti.
-
devo ancora apportare una modifica..
dopo aver modificato local4, bisogna fare anche
expand-template /etc/syslog.conf
-
Solo una precisazione FONDAMENTALE dal punto di vista della privacy e della normativa a riguardo:
1 - NON dovete registrare tutti i log ma solo gli accessi dell'Amministratore di sistema (o degli nel caso siano d +), registrare tutti i log rende passibili di denuncia.
2 - se avete la pec, invece di masterizzare e ricordarvi di cambiare il dvd fate inviare una mail pec a voi stessi, l'archivio del gestore deve du rare + di 6 mesi e soprattutto rimangono anche "certificati"
3 - se non avete la pec, generate da scrip un UDF che risponde pienamente a quanto richiesto dal garante.
-
ottime noti e precisazioni..
ma come fare a mandare i log in automatico con la pec? o basta inviare una mail normale alla casella pec?
e la creazione dell'UDF? in quale senso sarebbe non modificabile?
saluti, M
-
ottime noti e precisazioni..
Grazie
ma come fare a mandare i log in automatico con la pec? o basta inviare una mail normale alla casella pec?
con uno script in crontab fai inviare una mail con allegati i log al tuo stesso indirizzo di pec. Per i settaggi specifici non ti posso aiutare, perchè sto ancora sistemando il mio syslog server (la parte "brutta" i server windows)
e la creazione dell'UDF? in quale senso sarebbe non modificabile?
saluti, M
UDF è un file system non ri-scrivibile, diciamo come sui sistemi WORM, quindi generare un file iso in udf sempre da script (a.e. con mkisofs) in crontab
-
Salve a tutti! Ho cercato di raccapezzarmi nella norma citata in questo post ma il burocratese lo odio...da quanto mi pare di capire, i famosi log dell'amministratore, non devono poter essere modificati NEMMENO da lui...ora, se io creo un cron per l'invio dei log via PEC, oppure accodo i file per la masterizzazione, nulla vieterebbe che, conoscendo la temporizzazione di detto cron (d'altra parte, se sono l'admin, so tutto...) posso accedere 10 minuti prima dell'invio (o della masterizzazione) e modificare a mio piacimento i log file...giusto?
Mi sono allora posto una domanda alla quale non ho saputo rispondere: e se la mail (PEC) venisse inviata nell'istante stesso del login dell'amminstratore? In questo modo non ci sarebbe possibilità, da parte sua, di impedire o modificare questo comportamento. E' una cosa fattibile? Ha senso? :-)
-
la legge ha un evidente buco: se sei amministratore puoi fare quello che vuoi dei log..
ergo, in sostanza, è una cagata pazzesca (Cit.)
a te basta che li masterizzi o altro, che poi siano coerenti questo lo sai solo tu