Accesso a dati sul server (per GDPR)

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, eccetera.
WhiteTiger
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 518
Iscrizione: sabato 6 marzo 2010, 17:48

Accesso a dati sul server (per GDPR)

Messaggio da WhiteTiger »

Ho bisogno di una conferma ed eventualmente un suggerimento in vista dell'adozione del GDPR.

Server dislocato esternamente. Accesso root con chiave SSH.
Qualcuno può ancora accedere direttamente ai dati, ad esempio al MySQL / MariaDB ?

Ad esempio server presso una azienda ed il loro tecnico nell'intervallo va a sfrugugliare dove non deve.

Se sì, che si fa per ovviare al problema?
Ultima modifica di WhiteTiger il domenica 8 luglio 2018, 9:20, modificato 2 volte in totale.
Avatar utente
DoctorStrange
Imperturbabile Insigne
Imperturbabile Insigne
Messaggi: 2854
Iscrizione: mercoledì 14 ottobre 2015, 9:33
Desktop: Gnome3
Distribuzione: Ubuntu 22.04 LTS Jammy Jellyfish
Sesso: Maschile
Località: Roma, Italia

Re: Accesso a dati sul server (per GDPR)

Messaggio da DoctorStrange »

Tutto dipende da com'è impostato il sistema. Se tu sei l'amministratore esclusivo del DB e vuoi impedire a chiunque di accedere, escludendo te stesso, puoi modificare lo script di configurazione di MySQL in maniera tale, ad esempio, di specificare una porta di accesso specifica, nota solo a te.

Se invece quel server rende disponibili molti servizi diversi, a molti utenti, e tu vuoi essere l'unico ad avere privilegi di modifica dei DB, allora puoi, garantire le varie GRANT direttamente dall'interno del DB stesso ad un particolare utente. A questo punto ti basterà custodire le credenziali di accesso di quell'utente (nome utente e password), per essere certo che nessun altro possa accedere a quel DB.

Se invece vuoi proprio fare in modo, che nessuno possa accedere e modificare nemmeno i files di configurazione del DB, dovrai associare i files di configurazione ed i log di quel DB ad un utente di sistema di linux, impostare i permessi di accesso in maniera tale che solo l'utente proprietario possa modificarli, o leggerli e custodire le credenziali di accesso di questo utente di sistema.

Entrambi gli utenti di cui ti ho parlato (quello del DB, e quello del sistema) possono anche essere uguali, ma in caso di violazione di uno perderesti anche l'altro.
WhiteTiger
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 518
Iscrizione: sabato 6 marzo 2010, 17:48

Re: Accesso a dati sul server (per GDPR)

Messaggio da WhiteTiger »

Se è riuscito ad arrivare al disco può risalire ai dati di DB, utente e password consultando direttamente un file di testo.
Avatar utente
rpadovani
Imperturbabile Insigne
Imperturbabile Insigne
Messaggi: 3434
Iscrizione: lunedì 8 dicembre 2008, 19:49
Desktop: GNOME Shell
Distribuzione: Ubuntu 18.04 x86_64
Sesso: Maschile
Località: Munich, Germany
Contatti:

Re: Accesso a dati sul server (per GDPR)

Messaggio da rpadovani »

Se il tuo server è colocato da qualche altra parte, chi ti fa colocazione ti deve garantire di agire secondo GDPR, quindi che l'accesso alla sala server è loggato etc etc etc
Solutions Architect at nextbit | About me
Changing the world bit by bit
Avatar utente
Clover
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 298
Iscrizione: giovedì 30 agosto 2012, 14:04
Desktop: KDE
Distribuzione: Kubuntu x86_64

Re: Accesso a dati sul server (per GDPR)

Messaggio da Clover »

rpadovani [url=https://forum.ubuntu-it.org/viewtopic.php?p=5058548#p5058548][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Se il tuo server è colocato da qualche altra parte, chi ti fa colocazione ti deve garantire di agire secondo GDPR, quindi che l'accesso alla sala server è loggato etc etc etc
Quoto, questa è l'unica cosa di cui si ha bisogno nel caso di risorse outsourcing se si parla di GDPR, per il resto valgono le solite regole di sicurezza dei dati e dei sistemi.
WhiteTiger
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 518
Iscrizione: sabato 6 marzo 2010, 17:48

Re: Accesso a dati sul server (per GDPR)

Messaggio da WhiteTiger »

A me sembra una grande "paraculata", ma capisco che non ci siano alternative.
Stiamo dicendo "io mi faccio carico di tutte le garanzie, ma siccome la macchina è presso terzi, non ti garantisco un bel niente".
Tanto valeva che il GDPR lo si mandava soltanto ai chi gestisce i datacenter visto che ormai le macchine stanno soltanto lì.

Comunque la mia domanda era in realtà un altra.
Io mi proteggo con un accesso SSH, ma qualcuno in un datacenter è in grado di accedere direttamente al disco?

Guardate che il "datacenter" non è detto che sia necessariamente a livello di Aruba dove ci sono migliaia di macchine, vero o virtuali.
Conosco aziende informatiche che forti di una ottima connessione Internet, il tuo "server" lo tengono in casa loro, magari su un loro vSphere super carozzato.
Però il tema può essere un altro ed apro un nuovo thread sulla sicurezza.
Avatar utente
thece
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 12943
Iscrizione: lunedì 23 aprile 2007, 14:16
Distribuzione: Debian 12 (Bookworm) - KDE

Re: Accesso a dati sul server (per GDPR)

Messaggio da thece »

WhiteTiger [url=https://forum.ubuntu-it.org/viewtopic.php?p=5068667#p5068667][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto: Comunque la mia domanda era in realtà un altra.
Io mi proteggo con un accesso SSH, ma qualcuno in un datacenter è in grado di accedere direttamente al disco?
Se il disco non è cifrato la risposta è si. SSH cifra solamente la connessione.
Scrivi risposta

Ritorna a “Sicurezza”

Chi c’è in linea

Visualizzano questa sezione: 0 utenti iscritti e 10 ospiti