Autore: $witch Data: Oggetto: [Hackmeeting] messa in sicurezza servers A/I
-=mayhem=- wrote:
>a mio parere il punto di partenza e' comunque criptare tutto cio' che
>non e' os, se non la / addirittura. la seconda cosa e' decentralizzare
>il servizio.
>ogni altra considerazione e' buona e giusta, ma viene dopo questo credo.
>
>
> bene
>concordo poi sul fatto che noi possiamo fare tutto il possibile, ma agli
>utenti e' delegata la riservatezza dei loro dati. loro devono usare gpg
>e loro devono usare tor (non il server, come erroneamente ha detto
>qualcuno).
>
>
> ha senso per nascondere i flussi.
DOPO essere sicuri che il server (qualsiasi servizio eroghi) e' in mano
"amica".
>unica altra considerazione e' il problema dei "costi". distribuire
>significa piu' macchine, piu' banda, piu' lavoro per i sysadmin.
>quindi cerchiamo anche su questo di trovare un corretto compromesso tra
>la sicurezza necessaria, le risorse disponibili, il valore di quel che
>dobbiamo difendere.
>
> vedo che ci siamo.
quindi SAPERE quali soluzioni siano percorribili e' il primo passo x
poter poi scegliere.
>a parer mio già avere una macchina dedicata alle ml con disco criptato a
>casa di qualcuno che ha una buona adsl (visto che la velocità del
>servizio non sarebbe fondamentale) e la posta divisa su due macchine,
>una che fa autenticazione/gestione degli utenti mentre i dati *non
>banalmente associati agli account* sono da un'altra parte potrebbe
>essere un buon punto sulla strada del complicare la vita all'avversario.
>il web server poi lo possiamo mettere dove vogliamo, tanto non
>conterrebbe piu' informazioni critiche (non conosco tutti i servizi AI,
>ma credo che si avvicini a questo).
>
> minimale, questo mi pare "fattibile" con uno sforzo non grandioso.
>il buono sarebbe che se il server da cui la gente scarica la posta sta a
>milano, e la directory con i file di posta sta a napoli montata via scp
>manualmente, in primis l'attacco verrebbe portato al server di milano,
>per trovarsi con il db degli utenti, ma non con i dati.
>
>credo che questa sia l'ottica con cui partire per poi arrivare al "come
>mi collego a milano in ssh senza farmi intercettare mentre monto il
>disco napoli"
>
>stiamo partendo da, facciamo primale cose indispensabili per portarci a
>40 che e' facile, per arrivare a 60 ci preoccuperemo anche sulla base
>dell'evolversi della situazione. per arrivare ad 80 vedremo se ci
>saranno abbastanza mezzi (denaro, tempo, voglia, richieste).
>
>
> politica del carciofo?
A VOLTE passare da 20 a 40 a 60 ad 80 x giungere a 100 "costa" piu' che
non fiondarsi da 20 a 100.
valutare le alternative, se possibile.
>un mayhem che non voleva scrivere cosi' tanto.
>
> .....pensa a me........