[ml] Secure change management & configuration management

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Febbraio 2007 ml@sikurezza.org
Soggetto: [ml] Secure change management & configuration management
Mittente: Fabio Pietrosanti (naif)
Data: Thu,  1 Feb 2007 16:27:49 +0100 (CET)

Ciao a tutti,

sto affrontando una problematica relativa alla gestione di un parco
macchine abbastanza ampio, fortunatamente omogeneo per quanto riguarda
il sistema operativo (GNU/Linux Debian) seppur molto eterogeneo per
applicazioni.

Questo parco macchine è distribuito geograficamente e dovrà gestire
informazioni particolarmente sensibili, motivo per cui ritengo
essenziale evitare che i sistemisti nella loro attività quotidiana di
manutenzione e debugging si possano "loggare" sui sistemi.
Vorrei che l'attività di ordinaria manutenzione non richieda in alcun
modo l'accesso ai sistemi, ma che questo serva solo in casi di
amministrazione straordinaria.

Vorrei inoltre potere tenere traccia dei cambiamenti relativi alle
configurazioni oltre che delle diverse release di applicazioni (non i
package del sistema operativo) che vengono installate sui sistemi.
Si potrebbe usare subversion[4], ma è troppo oneroso e poco adeguato per
questa attività.

Il logging è già centralizzato e gli amministratori vi hanno accesso in
tempo reale.

La tematica è quindi quella del "change management" e "configuration
management" in un ambiente con elevate necessità di sicurezza.

Ho fatto alcune attività di scouting tecnologico[1][2][3] in merito,
letto un po di documentazione e trovati diversi software che possano
coadiuvarmi nel soddisfare questa mia necessità.

Io vorrei che le configurazioni fossero raccolte, profilate, soggete a
versioning in un unico server da cui gli amministratori potranno fare un
"push" tramite un sistema sicuro delle stesse verso i server specifici.

Non mi interessa arrivare a un sistema di "enterprise management" alla
SUN o alla CA anche perchè sarebbe troppo strutturato e mancherebbe
della flessibilità necessaria.

Tuttavia non ho mai avuto esperienza diretta di questa tipologia di
strumenti (ho sempre gestito le cose con script custom) e chiedo in
lista se qualcuno ha già avuto modo di affrontare tali problematiche, se
ha usato specifici software (preferibilmente opensource) e può portare
qualche considerazione in merito.

Saluti

Fabio Pietrosanti (naif)

[1] OpenCM
http://www.opencm.org/

[2] Radmind
http://rsug.itd.umich.edu/software/radmind/

[3] CFEngine
http://www.cfengine.org/

[4] using version control in system administration
http://www.usenix.org/publications/login/2005-12/pdfs/kanies.pdf

Messaggi successivi:
- Re: [ml] Secure change management & configuration management, Claudio
- Re: [ml] Secure change management & configuration management, Giuseppe Paternò (Gippa)
- Re: [ml] Secure change management & configuration management, raffaele messuti

Data:
- precedente: [ml] Seminario su RFID security..., Stefano Zanero
- successivo: [ml] Linux e la sicurezza personale 2007, Alessio L . R . Pennasilico
- indice

Argomento:
- precedente: [ml] Seminario su RFID security..., Stefano Zanero
- successivo: Re: [ml] Secure change management & configuration management, raffaele messuti
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005