Il 01 dicembre 2009 16.07, Roberto Resoli <roberto.resoli@xxxxxxxxx> ha scritto: > le FAQ predisposte dal Garante: > http://www.garanteprivacy.it/garantedoc.jsp?ID=1577499#FAQ > in base a quanto riportato al link quì sopra, che vi consiglio assolutamente di leggere, vorrei raccontarvi come pensavo di affrontare la problematica... anche in base a qualche chiacchierata precedente (grazie Diaolin) e ad alcune informazioni che ho recuperato in rete. PREMETTO: come tutti sappiamo un'amministratore ha sempre accesso ai suoi sistemi (li deve amministrare) e di conseguenza in linea di massima potrà sempre modificare qualsiasi file a cui ha accesso.... anche quelli che per il Garante devono essere non modificabili !! A parte questo, documentando il tutto e informando opportunamente il mio "titolare del trattamento" dovrei riuscire a rispettare tutte le richieste fatte dal Garante. OK arrivo... scusate la mia "logorria": - gestisco i log tramite un server centralizzato, nello specifico una debian lenny con rsyslog - abilito le porte 514 udp e tcp di rsyslog - installo sui server M$ il software Snare (la versione free che gestisce solo l'invio dei log tramite porta udp) il quale intercetta gli eventi di Windows e li invia in automatico al server rsyslog - configuro rsyslog sui server Linux per l'invio dei log sulla porta 514 tcp del server di log - configuro due template in rsyslog che salvano i log in due tabelle mysql - la prima tabella di mysql è di tipo ARCHIVE (le tabelle di tipo archive accettano solo comandi di tipo SELECT e INSERT, comprimono i dati per risparmiare posto su disco) - la seconda tabella (con lo stesso contenuto della prima) la utilizzerò con l'applicativo web php-syslog-ng per consentire al "titolare del trattamento" di accedere, tramite utente e password a tutti i log di accesso in sostanza con l'utilizzo della tabella di tipo ARCHIVE dovrei riuscire a soddisfare la richiesta di non modificabilità dei log dettata dal Garante. Ovviamente sono amministratore del server..... una soluzione potrebbe essere quella di trovare una ditta esterna che sostituisca tutte le password del server e che certifichi che le stesse password non sono in mio possesso. ... e comunque anche questa è una pezza ! io l'ho già configurata e stò predisponendo una breve guida (facendo un copia e incolla di quello che ho trovato quà e là) Se vi sembra una soluzione proponibile (anche se è una pezza), fatemi sapere che giro il documento in lista. -- Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx