Il giorno 09/ott/2014, alle ore 11:32, Giovanni Orlandi <orlangio@gmail.com> ha scritto:
> per la mia ditta volevo fare un serverino per condividere le password, ovviamente PRIMO REQUISITO la sicurezza, nel senso di evitare il + possibile il rischio che qualcuno entri e faccia crack del sistema leggendo tutte le nostre password...
Do per scontato che hai già pensato alla sicurezza fisica.
> mi domandavo se c'era una distro che fosse orientata in quel senso...
Tutte le distro server-oriented che implementano politiche e metodologie ben precise sui bug fix / security fix.
Per esempio io preferirei RedHat/CentOS a Fedora, Ubuntu LTS Server a Ubuntu non-LTS e/o "sporcata" da pacchetti non-server, e via dicendo.
Preferisco una qualsiasi distribuzione mainstream a progetti minori (e quindi meno testati), vedi discorso simile sui server web.
> Pensavo addirittura di non mettere apache ma qualche altro webserver MINIMALE
Minimale non vuol necessariamente dire più sicuro, specie se è meno testato sul campo e meno bersagliato "dai cattivi".
Quindi io preferirei Apache, Lighttpd, Nginx tanto per stare sui mainstream, piuttosto che qualche progetto di nicchia controllato da molti meno occhi.
> qualcuno conosce qualche distro che faccia una specie di LAMP minimale stile puppy ?
Non sono al corrente dell'evoluzione recente ma potresti provare a guardare in OpenBSD. Tempo fa non era assolutamente virtualization-friendly (non c'erano driver / supporto paravirt e dovevi andare di emulazione totale) né molto friendly con l'hardware recente (driver, chipset, etc...), non so come siano messi ora.
Se hai già deciso per PHP e MySQL suppongo tu abbia già in mente una soluzione software specifica?
Noi salviamo semplicemente tutto nel wiki aziendale: anche a voler separare le password altrove avremmo comunque montagne di dati "non pubblici", anche se magari meno sensibili di password o similari, e dovremmo comunque mantenere in funzione il wiki. A sto punto tantovale stare attenti ad un sistema solo :)
Quest'ultimo sta su un normale linux, connesso unicamente ad una rete senza accessi diretti dall'esterno (DMZ style).
Un altro sistema sta sia su questa rete che sulla WAN e fa da reverse proxy con terminazione SSL.
I client (browser) accedono tramite quest'ultimo sistema, la sicurezza della connessione è affidata ad SSL, l'autenticazione del server al client si basa sulla normale PKI globale (il certificato SSL è uno di quelli acquistati da una CA riconosciuta).
> Mr. Rossi ha chiesto la password del sistema XYZ
> Poi se la cosa "ti puzza" chiedi a Rossi perché ha chiesto quella password e magari ti risponde: "io non sono stato" allora apri un problema di security, gli cambi le credenziali di accesso etc...
Io eviterei una cosa del genere, per non generare una sensazione di falsa sicurezza. Dopo un po' ti abitui e se non vedi richieste dal sig. Rossi vuol dire che va tutto bene ed abbassi la guardia... mentre magari la password te la stanno fregando comunque ma dalla copia che ha il sig. Rossi.
Al max giusto un minimo di logging con verifiche automatiche dei casi più eclatanti (es. Rossi si mette a chiedere tutte le password presenti nel sistema... qualcuno sta pasticciando :)
--
Luca Lesinigo
_______________________________________________
Talking mailing list
Talking@ml.linuxvar.it
http://ml.linuxvar.it/cgi-bin/mailman/listinfo/talking
_______________________________________________ Talking mailing list Talking@ml.linuxvar.it http://ml.linuxvar.it/cgi-bin/mailman/listinfo/talking