Accesso a dati sul server (per GDPR)

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, ecc.

Accesso a dati sul server (per GDPR)

Messaggioda WhiteTiger » mercoledì 2 maggio 2018, 18:43

Ho bisogno di una conferma ed eventualmente un suggerimento in vista dell'adozione del GDPR.

Server dislocato esternamente. Accesso root con chiave SSH.
Qualcuno può ancora accedere direttamente ai dati, ad esempio al MySQL / MariaDB ?

Ad esempio server presso una azienda ed il loro tecnico nell'intervallo va a sfrugugliare dove non deve.

Se sì, che si fa per ovviare al problema?
WhiteTiger
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 366
Iscrizione: marzo 2010

Re: Accesso a dati sul server (per GDPR)

Messaggioda DoctorStrange » mercoledì 2 maggio 2018, 19:25

Tutto dipende da com'è impostato il sistema. Se tu sei l'amministratore esclusivo del DB e vuoi impedire a chiunque di accedere, escludendo te stesso, puoi modificare lo script di configurazione di MySQL in maniera tale, ad esempio, di specificare una porta di accesso specifica, nota solo a te.

Se invece quel server rende disponibili molti servizi diversi, a molti utenti, e tu vuoi essere l'unico ad avere privilegi di modifica dei DB, allora puoi, garantire le varie GRANT direttamente dall'interno del DB stesso ad un particolare utente. A questo punto ti basterà custodire le credenziali di accesso di quell'utente (nome utente e password), per essere certo che nessun altro possa accedere a quel DB.

Se invece vuoi proprio fare in modo, che nessuno possa accedere e modificare nemmeno i files di configurazione del DB, dovrai associare i files di configurazione ed i log di quel DB ad un utente di sistema di linux, impostare i permessi di accesso in maniera tale che solo l'utente proprietario possa modificarli, o leggerli e custodire le credenziali di accesso di questo utente di sistema.

Entrambi gli utenti di cui ti ho parlato (quello del DB, e quello del sistema) possono anche essere uguali, ma in caso di violazione di uno perderesti anche l'altro.
Avatar utente
DoctorStrange
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 977
Iscrizione: ottobre 2015
Località: Roma, Italia
Desktop: Unity
Distribuzione: Ubuntu 16.04.03 Xenial Xerus
Sesso: Maschile

Re: Accesso a dati sul server (per GDPR)

Messaggioda WhiteTiger » giovedì 10 maggio 2018, 17:18

Se è riuscito ad arrivare al disco può risalire ai dati di DB, utente e password consultando direttamente un file di testo.
WhiteTiger
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 366
Iscrizione: marzo 2010

Re: Accesso a dati sul server (per GDPR)

Messaggioda rpadovani » giovedì 10 maggio 2018, 18:24

Se il tuo server è colocato da qualche altra parte, chi ti fa colocazione ti deve garantire di agire secondo GDPR, quindi che l'accesso alla sala server è loggato etc etc etc
Solutions Architect at nextbit | About me
Changing the world bit by bit
Avatar utente
rpadovani
Imperturbabile Insigne
Imperturbabile Insigne
 
Messaggi: 3434
Iscrizione: dicembre 2008
Località: Munich, Germany
Desktop: GNOME Shell
Distribuzione: Ubuntu 18.04 x86_64
Sesso: Maschile

Re: Accesso a dati sul server (per GDPR)

Messaggioda Clover » venerdì 11 maggio 2018, 6:46

rpadovani Immagine ha scritto:Se il tuo server è colocato da qualche altra parte, chi ti fa colocazione ti deve garantire di agire secondo GDPR, quindi che l'accesso alla sala server è loggato etc etc etc

Quoto, questa è l'unica cosa di cui si ha bisogno nel caso di risorse outsourcing se si parla di GDPR, per il resto valgono le solite regole di sicurezza dei dati e dei sistemi.
Avatar utente
Clover
Prode Principiante
 
Messaggi: 73
Iscrizione: agosto 2012
Desktop: KDE
Distribuzione: Kubuntu x86_64


Torna a Sicurezza

Chi c’è in linea

Visualizzano questa sezione: 0 utenti registrati e 2 ospiti