[MontelLUG] file server
Alberto Salogni
alberto.salogni a alice.it
Dom 2 Ago 2009 13:32:27 CEST
Ciao, volevo ringraziare per le risposte! Saluto tutti quanti e auguro buone
ferie
----- Original Message -----
From: "Samuele Zanin" <samuele.zanin a tiscali.it>
To: "Lista generale del MontelLUG" <montellug a montellug.it>
Sent: Saturday, August 01, 2009 1:42 PM
Subject: Re: [MontelLUG] file server
Il giorno ven, 31/07/2009 alle 13.45 +0200, Daneel Olivaw ha scritto:
> Il giorno 31 luglio 2009 13.04, Alberto
> Salogni<alberto.salogni a alice.it> ha scritto:
> > ciao a tutti! io dovrei creare un file server su un computer con linux
> > (pensavo gentoo) con diverse caratteristiche, ma sono nel buio quasi
> > totale...
>
> Qui da noi ci sono debianisti, ubuntisti, fedoristi, slackwaristi,
> ecc., ma non mi risultano gentooisti, comunque quando il sistema è su,
> il resto è pressoché uguale :-)
Mah, se è nel buio più totale, non so se gentoo sia consigliabile, i
guadagni in termini di prestazioni derivanti dalla compilazione di
tutto, non so se con i computer attuali siano giustificati in rapporto
alla rottura di scatole/tempo, oltre a trovarsi con qualche libreria
del menga che fa a pugni con supercazzola.
> > in questo file server [cartelle più o meno condivise, gruppi, ldap,
> > acrobazie varie, ecc.]
>
> Samba fa per te, prova a fare un po' di ricerche in internet e
> sicuramente troverai un bel po' di esempi, manuali e quant'altro.
> Potresti cominciare con una condivisione di base (niente domini, usare
> gli utenti reali del file server) e poi quando avrai più pratica
> complicare mano a mano le cose aggiungendo ldap e altre cose carine
> :-)
Per la condivisione consiglio anche io samba. Per l'autenticazione
basata sui mac address non so se sia possibile (chi ne sa di più
parli adesso). Tramite iptables/ebtables puoi limitare l'accesso a
certi pc tramite indirizzo ip/mac address, cioè gli puoi impedire di
provare ad autenticarsi.
Anche se un controllo mac address/ip, specie su una lan, è bypassabile
molto semplicemente.
Per rendere la cosa un po' più sicura dovresti ad esempio avere uno
switch che accoppi ad ogni porta un mac address, e filtri il traffico di
conseguenza. Il tutto con il relativo lavoro in più in caso di utenti
con portatili, gente che va e viene ecc.
Senza contare che dovresti limitare l'accesso fisico alla macchina.
Mi è capitato di vedere gente iperparanoica con le password, ma poi il
server tenuto in un angolo visibile a tutti e poco distante dalla porta
d'entrata. Teoricamente, la donna delle pulizie che gira la sera quando
tutti sono a casa, con un cd live e la scusa di aver staccato per errore
la spina della corrente può fare quello che vuole.
Deviando il discorso, qualcuno diceva che la polvere è una variabile
nota, il personale delle pulizie una variabile impazzita. Di horror
stories in questo campo penso ce ne siano a bizzeffe.
> > [sicurezza & macchina invisibile]
>
> La soluzione corretta è mettere su un firewall, ma sta' attento a non
Come ti hanno già suggerito, un firewall può essere una soluzione.
Filtrando in modo opportuno basandoti su indirizzi ip/mac address riesci
a nasconderlo a chi non deve accedervi. Una soluzione bellina potrebbe
essere il port knocking.
In definitiva, tutto dipende da chi devi nascondere il server e quanto
importanti sono le informazioni che ci sono sopra.
Non avendo ulteriori dettagli, posso ipotizzare due soluzioni:
- se devi proteggere il server dal pisquano di turno, con una buona
politica delle password (più facile a dirsi che a farsi :-)) e un po' di
regole di firewall puoi stare molto tranquillo. Casomai poi qualcuno
provasse a divertirsi, con un sistema di ids, puoi sempre sgamarlo e
lartarlo di conseguenza.
- se poi su quella macchina devi tenere dei dati che NON devono per
NESSUN motivo essere visibili al di fuori di una serie LIMITATA di
persone INTERNE all'azienda, come ogni tanto succede, la soluzione più
semplice e sicura è di tenere i dati su una serie di pennette usb/memory
card, poi prosegui tu con la fantasia...
Se invece le informazioni sono tante da giustificare una macchina a
parte, allora, anche qui la fantasia non ha limiti e di strumenti ce ne
sono tanti, le più semplici: partizione crittografata, procedure di
cancellazione/sovrascrittura dati che partono in automatico se si fa
login in un certo modo o non lo si fa per x tempo, interfaccia di rete
wireless attiva solo in certe fasce orarie, idem accensione/spegnimento
del server in automatico a certe ore, in particolare se utilizzi
schedine pc 104 (e similari), vista la dimensione delle memory card
attuali, può essere nascosto in controsoffitti/pavimenti rialzati/pareti
di cartongesso ecc, senza dimenticare un backup remoto dei dati su
qualche server SICURO in giro per il mondo avendo cura di far rimbalzare
la connessione ecc.
> > riesci a darmi qualche dritta.. ciao e grazie
>
> O la prossima volta cominci con: "Caro MontelLUG, ... " oppure
> concludi in plurale, come l'inizio ;-)))
Ecco qua un altro sostenitore dell'accademia della semola.
A morte l'italiano, la grammatica e tutto quello che gli va dietro.
> Ah, dimenticavo: Bona festa, BOFHs! http://www.sysadminday.com/
Ecco, argomento più interessante, visto che cade sempre l'ultimo
venerdì di luglio, per l'anno prossimo si potrebbe organizzare
una mangiata tipo porchetta party tutti assieme? O siamo ancora
in tempo anche per quest'anno?
_______________________________________________
montellug mailing list
montellug a montellug.it
http://mail.montellug.it/mailman/listinfo/montellug_montellug.it
More information about the montellug
mailing list