MASSIMA SICUREZZA ASSOLUTA
Massima sicurezza assoluta ….Quando il gioco si fa duro, i duri cominciano a giocare ….
Chi lavora in analisi del rischio, a mio avviso è un farabutto.
Anzi è DUE volte farabutto. La prima perché sa di non saper fare nulla e dunque per pararsi il culo deve stipulare contratti assicurativi con le compagnie più disparate, la seconda è perché una persona così SCHIFOSA non ha a cuore i dati del suo cliente.
Io lavoro in MASSIMA SICUREZZA ASSOLUTA.
Qual è la differenza fra i due modi di lavorare ?
Il primo assegna un valore economico al lavoro che sta svolgendo, in caso di sinistro l’assicurazione liquida la somma prevista in denaro.
Il secondo adotta una quantità finita di misure di sicurezza che variano nel tempo e si adattano a nuove esigenze. Le misure di sicurezza sono spesso ridondate, anche in modo apparentemente eccessivo.
Nel caso in cui si decida di lavorare in massima sicurezza assoluta, il primo passo da compiere è individuare i problemi che a lungo termine si riscontrano, quelli che sovente attanagliano l’hardware ed il software.
L’esempio più ricorrente è il classico aumento delle temperature causato dai cumuli di polvere che sistematicamente si deposita sulle ventole di raffreddamento, sui bocchettoni di uscita dell’aria, ma non solo.
Un disco rigido che dopo anni di onorato servizio comincia a dare segni di cedimento, uno o più banchi di ram che non reggono il passo compromettendo stabilità e velocità del sistema.
Un disco rigido che si riempie a causa di una svista, provoca inevitabilmente un repentino arresto dei servizi.
Per chi lavora in massima sicurezza assoluta, è fondamentale prevedere tutto questo.
La soluzione
Visto che non possedete ancora la sfera di cristallo, io ne ho una, ma ultimamente mi si è abbassata la vista, per poter lavorare in massima sicurezza assoluta, ci viene in soccorso un grande software, con più di 20 anni di sviluppo alle spalle, ovvero munin, demone di sorveglianza che, grazie a semplici e dettagliati grafici, ci aiuta a monitorare letteralmente, istante per istante, ora per ora, giorno per giorno e via discorrendo, la situazione attuale e passata di TUTTA l’ infrastruttura, consentendoci un veloce paragone e monitoraggio per venire a capo dei problemi che stanno degradando i nostri sistemi o che potrebbero degradarli in futuro.
Il bravo sistemista, per lavorare in massima sicurezza assoluta, utilizza i grafici per prevedere quello che potrebbe accadere da li a breve e medio termine al fine di attivare le opportune misure di sicurezza.
Fintanto che rimaniamo in ambito linux, non ci sono problemi di sorta, con un colpo di apt si installa tutto, i problemi sorgono quando si deve monitorare un sistema windows.
Sotto linux i problemi si risolvono con pochi passaggi, non mi é mai capitato di dover reinstallare un sistema operativo per risolvere un problema linux.
Sotto windows le cose stanno diversamente, la prima cosa da fare é riavviare l’intero sistema e pregare qualsiasi Dio esista. Se le cose non tornano a posto (quasi mai)….. FORMAT C:
Per un disco pieno, windows da di matto, comincia a “svalvolare” giá al 95% della capacitá del disco, arrivati al 100% difficilmente il problema rientra come se mai nulla fosse accaduto, windows applica una “COCCARDA NERA” a tutto il sistema.
La soluzione ?
FORMAT C:
E allora come si lavora in massima sicurezza assoluta con windows ?
Bella domanda !
La stima che nutro io nei confronti di tale sistema è ormai nota a tutti, tuttavia munin potrebbe venirci in soccorso, ma ….. c’è un MA
Anzi più di uno …..
Il sistema di monitoraggio universale MUNIN non ha un agent decente per windows o almeno non lo aveva fino a qualche giorno fa.
Quindi chi voleva lavorare in massima sicurezza assoluta doveva sborsare tanti soldini per monitorare windows.
Io ho installato la versione munin-node.exe vecchia di ….. reggetevi forte ….
vecchia di …..ZERO GIORNI.
ZERO DAYS
Dopo essermi lagnato per giorni del fatto che non esistesse una versione decente di munin-node per windows, LukeHack si é mosso a compassione ed ha scritto, sulla base del munin-node funzionante (male), una versione per windows che supporta IpV6.
Qui si possono trovare i sorgenti e le modifiche apportate rispetto all’originale.
• Sorgenti ipV6: https://github.com/LukeHack/munin-node-win32
• Modifiche: https://github.com/munin-monitoring/munin-node-win32/commit/4fb5601856698c647fd73cd0e6edb12f74042711#diff-b6d2d961ae1e5af37c421d48854b9c91f3c7ecad62636c59240cb41367dae752
Un buon gesto da parte di tutti coloro che volessero adottare munin, sarebbe quello di ringraziare LukeHack per il bagno di sangue che ha fatto prima di riuscire a tirar fuori un prodotto funzionate.
https://buymeacoffee.com/lukehack
Vi ricordo che il merdosissimo sistema antagonista di munin, che gira solo sotto windows, costa 1800 $ l’anno, per soli 25 nodi e non ci é dato sapere cosa c’é scritto dentro perché é tutto chiuso.
Si, lo so che una struttura che ha 25 server windows non si caga sotto per 1800$, ma é il principio che non mi piace. Io sono disposto a spendere anche di piú, per un sistema che funziona, ma voglio la sicurezza che in quel codice non ci siano errori e soprattutto non ci siano porcherie.
Dunque le soluzioni sono solo 3.
1) Spendiamo tanti soldi per un prodotto di cui non ci é dato sapere cosa c’é dentro;
2) Sperare che tutto vada bene (quindi non lavorare in massima sicurezza assoluta);
3) Fare un lavoro inaudito monitorando manualmente ogni singolo windows.
Vediamo come installare munin al fine di poter lavorare in massima sicurezza assoluta anche con windows.
La prima cosa da fare é creare l’ambiente per visulaizzare i grafici.
Qui possiamo usare o un webserver, abbondantemente trattato in precedenza oppure NULLA, a noi la scelta.
Il munin-server ci crea delle pagine html, puntiamo la index col nostro browser e vediamo i grafici. Nulla di piú semplice.
Dunque installiamo la nostra DEVUAN, é sufficiente un computer vecchissimo di millesima generazione, io uso un pentium talmente vecchio che il serialnumber é scritto in cartaginese.
Sulla devuan:
# apt install -y munin munin-node
fine
su tutti i linux da monitorare
# apt install -y munin-node
e dobbiamo configurare il file /etc/munin/munin-node.conf
scorriamo verso il basso fino a : # A list of addresses that are allowed to connect.
E aggiungiamo l’indirizzo ip della devuan che interrogherá questo computer.
Troviamo giá un esempio, é sufficiente aggiungere una riga e adattarla alle proprie esigenze.
Ecco la mia configurazione:
dunque io effettuo il monitoring da 3 punti differenti, tutti su rete privata.
Uno in IpV4 e due in IpV6
l’IpV4 é il 10.0.0.9
mentre i due IpV6 sono rispettivamente:
fc00::a17 e fc00:7:2::f15f
Per quanto concerne Windows, é ancora piú facile.
Da qui scarichiamo il nodo precompilato:
https://github.com/LukeHack/munin-node-win32/releases/download/IPv6/munin-node.exe
lo piazziamo sul disco di windows, io l’ho messo in c:\ETC
e poi, dal prompt dei comandi, come administrator diamo il comando munin-node.exe -install
il sistema si installa, non favella (ovvero non scrive nulla), come da tradizione unix, ed il servizio parte in automatico.
Per poter discriminare chi puó e chi non puó interrogare questo munin-node, si fa riferimento al firewall di windows.
Lo so, per chi non usa il fw di win si trova ad essere monitorato da chiunque, mi sono giá lamentato di questa porcata, porcata presente nella versione originale di munin-node dunque non modificata.
Tuttavia, LukeHack mi ha promesso, che se ci saranno supporti economici al suo lavoro, apporterá queste pesanti modifiche a beneficio di tutti coloro che vorranno lavorare in massima sicurezza assoluta.