Sistemista Unix a Roma

[SandroTT]

si dirà così? 

Cerco con urgenza una persona, esperta in sistemi Unix, che mi possa mettere in grado di mettere in sicurezza dei dati che si trovano su un server che al momento è utilizzato anche da altri 

Provo a spiegarmi: i dati contabili (magazzino, contabilità, personale ecc) di una ditta (della quale devo avere il controllo esclusivo) si trovano attualmente su un server, ma mi dicono che questo server attualmente "serve"  anche altre ditte..... non posso bloccare il lavoro di queste altre ditte, x cui al momento questo server è acceso e funzionante, ma non ho nessuna certezza che queste altre ditte non alterino i miei dati 

Quindi l'urgenza (cioè al massimo entro la settimana prossima) sarebbe quella -quantomeno- di vedere 'sto server, capire se è possibile bloccare l'accesso a tutti i miei dati da parte degli altri utenti, magari cambiando la password che possederei soltanto io.....  oddio, se fosse possibile estrarre i miei dati i miei dati in modo da renderli leggibili altrove sarebbe ancora meglio, ma immagino che per questo serva del tempo 
.... poi per quanto riguarda la elaborazione, stampa ecc dei dati se ne può riparlare a settembre

Chiaramente l'incarico sarebbe RETRIBUITO 


mannaggia, se TL stava a Roma era pane per i suoi denti, ma dalle foto che vedo me sà che se ne è andato a vivere sulle alpi austriache 

[TestaLucente]

Sandro, non hai informazioni un pò più dettagliate sull'architettura del "server"...
tipo di che hw si parla, so, etc etc..
e poi la distribuzione dello spazio al cliente come è regolata? usano le quote?

me devi da dire tutto! 

[SandroTT]

Sandro, non hai informazioni un pò più dettagliate sull'architettura del "server"...
tipo di che hw si parla, so, etc etc..
e poi la distribuzione dello spazio al cliente come è regolata? usano le quote?

me devi da dire tutto! 

Le uniche informazioni che mi hanno saputo dare sono:
- server Silicon Graphics con s.o. Unix
- domain server sotto Win NT

...per il resto mi dicono che mi devo rivolgere al loro programmatore (dicono che il software applicativo è stato fatto da lui), che sa tutto
.... ma è SEMPRE irragiungibile! 
(se tanto mi dà tanto, tornerà raggiungibile a settembre, quando avranno manipolato i dati a loro piacimento  )

[SandroTT]

sono riuscito a sapere 'na 'nticchietta deppiù

- il so è IRIX ( quindi la versione Silicon Graphics di Unix  )
- il software applicativo è scritto in Cobol
- non ci sono partizioni, quote o altro: addirittura l'archivio (voglio sperare solo le anagrafiche) Clienti e Fornitori è in comune; si dividono lo spazio sul server al massimo con delle directory    Ogni utente ha propria user/passw, che lo autorizza ad operare su certe cose (es. user/passw x gestione fatturazione ditta X, user/passw x gestione contabilità ditta Y, ecc).....

....hanno fatto un bel casino, evvè? 

[Gna]

scusa ma cambiare i permessi di accesso, scrittura  e lettura sulla tua home?
il comando sarebbe:
>chmod -R go-wrx ~/.
cosi` solo il sig. root ti puo` leggere i dati nella tua home.


PS: sto scrivendo dal mio nuovissimo dell mini 10 con ubuntu remix su chiavetta. Installato skype,
funzia pure la webcam e si connette alla wifi senza smanettamenti, dire carino e` poco..

[neuronet]

Mi sa che ti ci vuole qualcuno che ne sappia di COBOL; mi aspetto che cambiare permessi al file system non risolve un bel niente. 
Ma sei sicuro 100% che l'utente A possa accedere ai dati dell'utente B?  ... mi pare una cosa molto strana

[SandroTT]

cosi` solo il sig. root ti puo` leggere i dati nella tua home.

ma il sig. root non sono io! 
(anzi, è uno di quelli a cui vorrei vietare l'accesso ai miei dati)

mi sa che gli utenti sono tali solo nell'accesso al software applicativo, non al sistema

come posso fare x verificare questa circostanza?

[SandroTT]

.....mi aspetto che cambiare permessi al file system non risolve un bel niente. 

lo temo anch'io (vedi risposta a gna) 

Ma sei sicuro 100% che l'utente A possa accedere ai dati dell'utente B?  ... mi pare una cosa molto strana

al 100% non sono sicuro di niente 

Il fatto è che quando fu creato questo sistema, c'era solo una ditta da gestire, con dati piuttosto rilevanti  (tipo 60-70.000 fatture/anno, ecc)
Poi nel corso degli anni la società "madre" ha lasciato il posto ad una serie di società "figlie", sempre controllate dai proprietari della prima società, per cui le user/passw servivano unicamente x impedire ai vari dipendenti di accedere a dati diversi da quelli sui quali potevano operare (del tipo che l'addetto alla cassa poteva fatturare e correggere le fatture emesse e la cassa, ma non poteva accedere ai dati relativi al lavoro dipendente, ecc)

Ora però la situazione è radicalmente diversa, perchè UNA (ed una soltanto  ) di queste società deve essere controllata da altri soggetti (cioè io   ), diversi dai proprietari iniziali

[Gna]

ma il sig. root non sono io! 
(anzi, è uno di quelli a cui vorrei vietare l'accesso ai miei dati)

mi sa che gli utenti sono tali solo nell'accesso al software applicativo, non al sistema

come posso fare x verificare questa circostanza?

ommaronna, sei il sig. root e c'e` la babele nel tuo sistema? Ho capito come stai messo.
Allora:
1- si deve creare un utente anche per il lavoro tuo sul server, non puoi fare tutto come root, troppo pericoloso
2- ridurre i permessi di scrittura e lettura riduce del 99% il rischio che altri ti leggano e ti copino i dati.
3- gli altri devono operare come utenti normali e non come root altrimenti i primi 2 punti non servono a nulla.

Penso che la soluzione che avevo dato prima sia valida perche` gli applicativi girano su uno strato superiore alla
organizzazione del file system, voglio dire: se una dir e` vietata alla scrittura, l'applicativo dell'utente normael (non root)
che gira su non potra` mai scriverci. Sono le basi di unix queste, regole semplici e facili da operare.
Ciao!
PS: penso che riordinare il file system si puo` fare remotamente con ssh (il bello di unix!) quindi qualcuno ti potrebbe aiutare
anche a distanza.   

[TestaLucente]

continuo a non capire bene di cosa stiamo parlando...
ma da quel poco che ho capito mi sembra un gran casino.

assodato che NON sei root, assodato che ogni utente ha la propria userid e ammesso che ogni utente abbia la propria home... non vedo grandissimi problemi. tu hai la tua cartella sulla quale puoi cambiare i permessi (perchè è tua) tamponare la crisi e impedire l'accesso agli altri utenti (escluso root e tutti i privilegiati di root).

se invece il software che utilizzate pretende che le cartelle di "lavoro" siano di sua proprietà... beh allora scordati qualsiasi tipo di controllo sui file. quanto detto da gna sui livelli è giustissimo, più che mai in questo caso: se cambi i diritti della cartella di "lavoro" non funziona più una fava...

in ogni caso se ho capito bene e tu non puoi essere root, tutto ciò neanche ti sfiora.


una cosa da capire a questo punto è: ma tu, dove fai login? sul sistema o sul frontend dell'applicativo?

[Gna]

grazie per il supporto TL. Qui mi pare che chi e` abituato a fare il system manager muovendo icone e cliccando
qua e la` ha perso di vista come  funziona un S.O. serio come UNIX, e mi riferisco all'informatico neuronet, io non sono un system manager ma solo un utente accorto di unix da 10 anni e certe cose le metto in pratica ogni giorno per lavoro. Oh neuro
amici come prima ma il tuo commento su quello che ho scritto non c'azzeccava nulla eh?

[neuronet]

... vorrei chiarire il mio dubbio xke' qui si comincia a fraintendere. Siccome si parlava di applicativo in COBOL c'e' una grande probabilità che gli user account UNIX non siano neance presi in considerazione; magari ce ne sta 1/2 soltanto per il DB e/o per l'applicativo. Io mi aspetto dunque che tutte le ligin/password etc sono a livello applicativo e registrate solo come privilegi sul DB.  Anzi a ripensarci i privilegi sono robe troppo avanzate ... magari l'applicativo gestisce solo username e password in chiaro su una tabella di db.  A questo punto setti quello che vuoi sull'OS ma all'applicativo non fai un baffo.
Posso consigliare di andare a spulciare la directory degli utenti unix "/home" (probabilmente in lettura almeno gli account si possono leggere). Se riconosci gli stessi user dell'applicativo allora forse qualche speranza che l'OS ti venga incontro c'e'; altrimenti devi 'entrare' nel DB.



Per quanto riguarda le icone etc etc ... stendo solo un velo pietoso ...    ... rendere il lavoro + 'friendly' va solo a favore della produttività...

[SandroTT]

ommaronna, sei il sig. root

[Gna]

sandro ancora non abbiamo capito quali operazioni fai per accedere al server. Fai login su un terminale testuale e poi parte automaticamente il programma? Mi ricordo una cosa analoga nello studio di consulente del lavoro dove lavora mia sorella.
Avevano un server con irix o simile, lei accedeva con user name e password e  poi partiva il programma di gestione, forse
perche` tra i setting di login c'era (tipo autoexec.bat) di fare partire il programma paghe (credo).
Dicci su, non essere timido. 

[SandroTT]

continuo a non capire bene di cosa stiamo parlando...

Vabbè, mi sembrava superfluo spiegare tutta la situazione, ma a 'sto punto forse diventa necessario:

1. C'è un grande magazzino di abbigliamento (hai presente tipo Gina Lebole,  MAS o simili?), che a un certo punto  della sua storia si dota di un sistema informatico potente (per l'epoca: stiamo parlando di 15/20 anni fa, credo   ). Quel sistema S.G./Irix che dicevamo, con svariati terminali (diversi punti vendita, 40/ 50 dipendenti)

2. Successivamente questa società va in crisi e cerca di salvare il salvabile (quanto sia in maniera lecita e quanto in maniera illecita è ancora da appurare) creando una serie di altre società; la proprietà (=soci) è sempre la stessa, le nuove società si suddividono variamente i vari punti vendita. Il sistema informatico (che inizialmente deve essergli costato tanti, tanti dindini) viene +/- adattato alle nuove esigenze (ogni nuova società ha una propria personalità giuridica, propri dipendenti, propri incassi/pagamenti ecc) ma sempre senza la REALE esigenza di separare nettamente le posizioni tra di loro (il sig. root è probabilmente il dominus di tutto questo gruppo di imprese, e dalla sua posizione vuole vedere/controllare/manovrare TUTTO)

3. E veniamo ai giorni nostri  
UNA di queste società fallisce, ed io da bravo curatore fallimentare   vado a mettere i sigilli a tutto  
Però, diversamente dalle situazioni che si verificano di solito, non riesco a sigillare, a mettere in sicurezza, i computer utilizzati, cioè quelli che contengono dati contabili, amministrativi, ecc  
Non posso bloccare il server perchè è utilizzato da altre società funzionanti, ma al tempo stesso non ho nessuna garanzia che nel frattempo non vengano alterati i MIEI DATI  
Ad es.: alla data del fallimento c'era una certa giacenza di merci in magazzino; chi mi garantisce che in questi giorni queste merci non spariscano dalla contabilità?   (farle sparire anche dal magazzino "fisico", almeno in parte, è relativamente semplice, ma non mi dilungo oltre)
E quante altre "prove" (ad es. in un eventuale giudizio di responsabilità) contenute nel computer  può alterare il sig. root nel frattempo? (e anche qui non mi dilungo oltre)

Ora è + chiaro il perchè dell'esigenza di mettere in sicurezza i MIEI dati, contenuti in un server di cui non ho il controllo assoluto?  

[SandroTT]

(abbiamo scritto in contemporanea  )

Dicci su, non essere timido. 

No, non è per timidezza  Il fatto è che finora stanno facendo di tutto (i cattivi  ) per non farmici raccapezzare 
TUTTI quelli che ho incontrato finora (i cattivi, ndr) hanno fatto i pesci in barile, dicendo di non essere in grado di utilizzare quel computer e rinviando sempre ad altra persona esperta (= uccel di bosco  )


comunque credo che il sistema utilizzato possa essere +/- quello che utilizzavano nello studio dove lavorava tua sorella.

[Nota: credo che ci sia stato un periodo, ad inizio anni '80, in cui i commercialisti guadagnavano molto  e non avevano problemi a spendere cifre importanti per i sistemi informatici. Ho conosciuto vari commercialisti che lavoravano in quegli anni con sistemi Unix, NON per la sicurezza -ecc ecc- ma perchè erano sistemi veloci, gestivano molto bene la multiutenza -cioè vari dipendenti che lavoravano contemporaneamente su archivi centralizzati- e SOPRATTUTTO perchè i vari rappresentanti/esperti informatici gli vendevano quelli!  Ad es. ne ho sentiti molti lamentarsi -negli anni successivi, in cui i soldi non giravano più così facilmente- dei passati acquisti di costosissimi sistemi IBM 360, AS400 ecc ]

[SandroTT]

Oh neuro
.... il tuo commento su quello che ho scritto non c'azzeccava nulla eh?

e invece me sà che neuro cià proprio azzeccato 

TL e gna, voi state dicendo come amministrereste VOI un server, o come dovrebbe essere correttamente utilizzato.
Io invece temo che le cose possano essere andate (una decina/quindicina di anni fa) +/- così:
"m'è cresciuto il volume de lavoro, me serve un computer bbono. Non bado al prezzo"
"pigliati questo"
"ma è bbono-bbono?"
"Deppiù! questo è bbono-bbono-bbono".
Comincio ad intuire che il "sistemista/programmatore-all'occorrenza anche commesso" (dipendente interno) era "solo" un programmatore COBOL, e gli hanno venduto quel sistema perchè era molto capiente (HD),  molto veloce e gestiva bene la multiutenza.
Se il tutto funzionava in Unix anzichè in DOS non era un grosso problema: con un manualetto vedo i (pochi) comandi che mi servono. E' triste (un pò come avere una Ferrari e farla guidare ad un neopatentato), ma tutto mi fa pensare che possa essere andata proprio così 

Per i motivi che indicavo sopra non c'era la necessità di creare più utenti, anzi mi aspetto di trovare un unico utente (oltre a root.... almeno quello lo avranno lasciato separato, spero).
Poi, i vari permessi (il dipendente X può accedere solo alla gestione del personale della società Alfa; il dip. Y può accedere solo alla gestione delle fatture emesse dalla società Beta, ecc) penso proprio che li abbiano messi a livello di archivi COBOL 
(immagino che ci sia un modo per far accedere alla procedura XX solo il dipendente che usa la tale username/passw  )

[SandroTT]

.... e comunque comincio a pensare (grazie a voi che mi ci avete portato  ) che a 'sto giro hanno vinto loro 

Sono io il sig. root? 
Posso diventarlo, e cambiare passw in modo che gli altri non possano accedere ai miei dati?

m'hanno fregato! 

[TestaLucente]

ammazza... da dire poco a dire troppo... grande Sandro! 

onestamente non era ciò di cui avevo bisogno per aiutarti ma il quadro generale mi fa pensare che non sia una 'architettura' presieduta, manutenuta e 'amministrata' da qualcuno... piuttosto un 'pacchetto' che esiste e usi se ti adegui.
per esperienza personale ste cose vecchie passate per mille mani e lasciate ad inesorabile morte sono dei buchi neri enormi, anche pericolosi.


tornando a noi se l'unico amministratore del ciborio è un fantasma...
beh, sarà difficile avere le certezze che cerchi. mi sembra più un caso ''''legale'''' che informatico...

[SandroTT]

ammazza... da dire poco a dire troppo...

e tanto mica t'ho detto come si chiama! 

(.... oddio, ripensandoci non è che siano poi molte le attività di questo genere  )

... il quadro generale mi fa pensare che non sia una 'architettura' presieduta, manutenuta e 'amministrata' da qualcuno... piuttosto un 'pacchetto' che esiste e usi se ti adegui.

per esperienza personale ste cose vecchie passate per mille mani e lasciate ad inesorabile morte sono dei buchi neri enormi, anche pericolosi.

no, penso che il tizio (il programmatore) sia sempre rimasto lo stesso.... per molti anni come dipendente, ora è in pensione e lo chiamano solo se ne hanno bisogno 
certo, ora sarà un pò raffazzonato il sistema, ma tutto sommato il suo lavoro lo fa 

mi sembra più un caso ''''legale'''' che informatico...

in parte.... 
se ci sapessi mettere le mani sopra, mi farei la copia di tutti gli archivi di mia competenza, li cancellerei da quel server e me li trasporterei su un computer che uso solo io (dove non potrebbero più alterarli  )


.....  ma 'sto punto mi sa che è solo teoria 

- sia perchè per capire quali sono i miei archivi serve il programmatore: solo lui sa quali ha usato  (a meno di lunghe -e costose- analisi su quella procedura --> da scartare)
(ed ha lavorato per loro x 20/25 anni --> ti pare che viene a raccontare a me "i segreti di famiglia"? 

- sia perchè poi per leggere quegli archivi avrei bisogno di quel programma --> problemi quantomeno di licenze (il programma è mio e non te lo do; tu avevi solo la possibilità di utilizzarlo) 

- e se anche fossero superati i problemi che precedono...... dove lo trovo un sistema su cui far girare quel software? 


Mi ripeto: a 'sto giro me sà che m'hanno fregato!     

[neuronet]

e tanto mica t'ho detto come si chiama! 

(.... oddio, ripensandoci non è che siano poi molte le attività di questo genere  )







no, penso che il tizio (il programmatore) sia sempre rimasto lo stesso.... per molti anni come dipendente, ora è in pensione e lo chiamano solo se ne hanno bisogno 
certo, ora sarà un pò raffazzonato il sistema, ma tutto sommato il suo lavoro lo fa 


in parte.... 
se ci sapessi mettere le mani sopra, mi farei la copia di tutti gli archivi di mia competenza, li cancellerei da quel server e me li trasporterei su un computer che uso solo io (dove non potrebbero più alterarli  )


.....  ma 'sto punto mi sa che è solo teoria 

- sia perchè per capire quali sono i miei archivi serve il programmatore: solo lui sa quali ha usato  (a meno di lunghe -e costose- analisi su quella procedura --> da scartare)
(ed ha lavorato per loro x 20/25 anni --> ti pare che viene a raccontare a me "i segreti di famiglia"? 

- sia perchè poi per leggere quegli archivi avrei bisogno di quel programma --> problemi quantomeno di licenze (il programma è mio e non te lo do; tu avevi solo la possibilità di utilizzarlo) 

- e se anche fossero superati i problemi che precedono...... dove lo trovo un sistema su cui far girare quel software? 


Mi ripeto: a 'sto giro me sà che m'hanno fregato!     

vedo che ti sei gia' orientato verso il mio pensiero ... ma davvero non c'e' possibilità di fare un backup brutale di TUTTO? ... in quel modo congeli la situazione alla tua copia e hai in futuro la possibilità di scoprire o no cambiamenti non leciti. Insomma sigilli il backup. Se e' un sistema antico; con un  HD da 1Tb gli metti dentro 3/4 backup