Accesso a dati sul server (per GDPR)

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, ecc.

Accesso a dati sul server (per GDPR)

Messaggioda WhiteTiger » mercoledì 2 maggio 2018, 18:43

Ho bisogno di una conferma ed eventualmente un suggerimento in vista dell'adozione del GDPR.

Server dislocato esternamente. Accesso root con chiave SSH.
Qualcuno può ancora accedere direttamente ai dati, ad esempio al MySQL / MariaDB ?

Ad esempio server presso una azienda ed il loro tecnico nell'intervallo va a sfrugugliare dove non deve.

Se sì, che si fa per ovviare al problema?
Ultima modifica di WhiteTiger il domenica 8 luglio 2018, 9:20, modificato 2 volte in totale.
WhiteTiger
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 379
Iscrizione: marzo 2010

Re: Accesso a dati sul server (per GDPR)

Messaggioda DoctorStrange » mercoledì 2 maggio 2018, 19:25

Tutto dipende da com'è impostato il sistema. Se tu sei l'amministratore esclusivo del DB e vuoi impedire a chiunque di accedere, escludendo te stesso, puoi modificare lo script di configurazione di MySQL in maniera tale, ad esempio, di specificare una porta di accesso specifica, nota solo a te.

Se invece quel server rende disponibili molti servizi diversi, a molti utenti, e tu vuoi essere l'unico ad avere privilegi di modifica dei DB, allora puoi, garantire le varie GRANT direttamente dall'interno del DB stesso ad un particolare utente. A questo punto ti basterà custodire le credenziali di accesso di quell'utente (nome utente e password), per essere certo che nessun altro possa accedere a quel DB.

Se invece vuoi proprio fare in modo, che nessuno possa accedere e modificare nemmeno i files di configurazione del DB, dovrai associare i files di configurazione ed i log di quel DB ad un utente di sistema di linux, impostare i permessi di accesso in maniera tale che solo l'utente proprietario possa modificarli, o leggerli e custodire le credenziali di accesso di questo utente di sistema.

Entrambi gli utenti di cui ti ho parlato (quello del DB, e quello del sistema) possono anche essere uguali, ma in caso di violazione di uno perderesti anche l'altro.
Avatar utente
DoctorStrange
Entusiasta Emergente
Entusiasta Emergente
 
Messaggi: 1057
Iscrizione: ottobre 2015
Località: Roma, Italia
Desktop: Unity
Distribuzione: Ubuntu 16.04.03 Xenial Xerus
Sesso: Maschile

Re: Accesso a dati sul server (per GDPR)

Messaggioda WhiteTiger » giovedì 10 maggio 2018, 17:18

Se è riuscito ad arrivare al disco può risalire ai dati di DB, utente e password consultando direttamente un file di testo.
WhiteTiger
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 379
Iscrizione: marzo 2010

Re: Accesso a dati sul server (per GDPR)

Messaggioda rpadovani » giovedì 10 maggio 2018, 18:24

Se il tuo server è colocato da qualche altra parte, chi ti fa colocazione ti deve garantire di agire secondo GDPR, quindi che l'accesso alla sala server è loggato etc etc etc
Solutions Architect at nextbit | About me
Changing the world bit by bit
Avatar utente
rpadovani
Imperturbabile Insigne
Imperturbabile Insigne
 
Messaggi: 3434
Iscrizione: dicembre 2008
Località: Munich, Germany
Desktop: GNOME Shell
Distribuzione: Ubuntu 18.04 x86_64
Sesso: Maschile

Re: Accesso a dati sul server (per GDPR)

Messaggioda Clover » venerdì 11 maggio 2018, 6:46

rpadovani Immagine ha scritto:Se il tuo server è colocato da qualche altra parte, chi ti fa colocazione ti deve garantire di agire secondo GDPR, quindi che l'accesso alla sala server è loggato etc etc etc

Quoto, questa è l'unica cosa di cui si ha bisogno nel caso di risorse outsourcing se si parla di GDPR, per il resto valgono le solite regole di sicurezza dei dati e dei sistemi.
Avatar utente
Clover
Prode Principiante
 
Messaggi: 76
Iscrizione: agosto 2012
Desktop: KDE
Distribuzione: Kubuntu x86_64

Re: Accesso a dati sul server (per GDPR)

Messaggioda WhiteTiger » domenica 8 luglio 2018, 9:19

A me sembra una grande "paraculata", ma capisco che non ci siano alternative.
Stiamo dicendo "io mi faccio carico di tutte le garanzie, ma siccome la macchina è presso terzi, non ti garantisco un bel niente".
Tanto valeva che il GDPR lo si mandava soltanto ai chi gestisce i datacenter visto che ormai le macchine stanno soltanto lì.

Comunque la mia domanda era in realtà un altra.
Io mi proteggo con un accesso SSH, ma qualcuno in un datacenter è in grado di accedere direttamente al disco?

Guardate che il "datacenter" non è detto che sia necessariamente a livello di Aruba dove ci sono migliaia di macchine, vero o virtuali.
Conosco aziende informatiche che forti di una ottima connessione Internet, il tuo "server" lo tengono in casa loro, magari su un loro vSphere super carozzato.
Però il tema può essere un altro ed apro un nuovo thread sulla sicurezza.
WhiteTiger
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 379
Iscrizione: marzo 2010

Re: Accesso a dati sul server (per GDPR)

Messaggioda thece » domenica 8 luglio 2018, 20:30

WhiteTiger Immagine ha scritto:Comunque la mia domanda era in realtà un altra.
Io mi proteggo con un accesso SSH, ma qualcuno in un datacenter è in grado di accedere direttamente al disco?

Se il disco non è cifrato la risposta è si. SSH cifra solamente la connessione.
Avatar utente
thece
Rampante Reduce
Rampante Reduce
 
Messaggi: 9134
Iscrizione: aprile 2007
Distribuzione: Debian 9 (Stretch) - KDE


Torna a Sicurezza

Chi c’è in linea

Visualizzano questa sezione: 0 utenti registrati e 1 ospite