Regolamento e linee guida per l`utilizzo delle risorse
Transcript
Regolamento e linee guida per l`utilizzo delle risorse
ISTITUTO NAZIONALE DI ASTROFISICA NATIONAL INSTITUTE FOR ASTROPHYSICS OSSERVATORIO ASTRONOMICO DI TRIESTE Regolamento di accesso alle risorse di calcolo (NORME DI COMPORTAMENTO PER LA SICUREZZA E L'AFFIDABILITÀ DELLA RETE LOCALE) Revisione: luglio 2003 1 ISTITUTO NAZIONALE DI ASTROFISICA NATIONAL INSTITUTE FOR ASTROPHYSICS OSSERVATORIO ASTRONOMICO DI TRIESTE INTRODUZIONE .................................................................................................... 3 Premessa........................................................................................................................................................... 3 Accesso alla rete locale .................................................................................................................................... 3 Gestione Account ......................................................................................................................................... 4 Posta elettronica .............................................................................................................................................. 5 Accesso dall’esterno della rete OAT .............................................................................................................. 6 Remote Access Service ..................................................................................................................................... 6 Pagine web OAT.............................................................................................................................................. 7 2 ISTITUTO NAZIONALE DI ASTROFISICA NATIONAL INSTITUTE FOR ASTROPHYSICS OSSERVATORIO ASTRONOMICO DI TRIESTE INTRODUZIONE Le seguenti norme di comportamento, che devono essere rispettate da tutti gli utenti indistintamente, sono state predisposte allo scopo di diminuire le probabilità che utenti che hanno accesso alle risorse di rete possano mettere a repentaglio l'integrità dei dati o aggirare le protezioni che ne garantiscono la riservatezza. Per questo motivo la violazione di dette norme sarà considerata con estrema severità e potrà portare alla revoca dei diritti di accesso alle risorse di calcolo. Premessa Ogni richiesta e comunicazione fra gli utenti e gli addetti ai servizi di calcolo dovrà avvenire tramite posta elettronica e/o i moduli predisposti. Non saranno considerate valide richieste e autorizzazioni per via verbale. Tutti gli utenti devono essere a conoscenza delle norme di comportamento relative all'uso della rete Internet contenuti nel documento “Netiquette” (Appendice A di questo regolamento). Accesso alla rete locale 1. Nessun apparecchio di nessun tipo dovrà essere fisicamente collegato alla rete locale senza la previa autorizzazione degli addetti ai servizi di calcolo. Ciò vale non solo per Workstations e PC, ma anche per ogni altro apparecchio (stampanti di rete, terminal server, router, etc.); per i computer portatili si veda il punto 3.; 2. tutte le macchine che forniscono un servizio accessibile all’esterno della rete OAT tramite un qualsiasi protocollo (http, ftp, ssh, etc.) sono sotto il controllo esclusivo del Servizio Sistemi Informativi; 3. nessun apparecchio dotato di indirizzo permanente puo’ essere connesso alla rete senza che sia stato richiesto (tramite la procedura ufficiale con la compilazione del relativo modulo) ed assegnato da parte degli addetti ai servizi di calcolo il relativo indirizzo di rete costituito dal numero IP e dal nome associato. In particolare: a. È vietato utilizzare lo stesso indirizzo per due o più apparecchi diversi anche se usati non contemporaneamente; b. La connessione in rete di apparecchi che utilizzano, anche solo parzialmente, protocolli di rete diversi dal TCP/IP deve essere specificamente e preventivamente concordata con gli addetti ai servizi di calcolo; 3 ISTITUTO NAZIONALE DI ASTROFISICA NATIONAL INSTITUTE FOR ASTROPHYSICS OSSERVATORIO ASTRONOMICO DI TRIESTE c. È vietato modificare il numero IP assegnato ad una macchina (anche se il nuovo numero IP risulta assegnato) o il nome associato senza l'autorizzazione degli addetti ai servizi di calcolo; d. L'assegnazione degli indirizzi IP è soggetta a scadenza. Indirizzi che rimangono inutilizzati per più di 60 (sessanta) giorni saranno disabilitati; 3. È attivo un servizio DHCP per l'assegnazione dinamica di indirizzi temporanei per i sistemi portatili, sia utilizzati da personale interno che da visitatori o personale temporaneo. L'accesso al servizio può avvenire solo dopo averlo comunicato per iscritto (via email da parte del referente locale) specificando nome e cognome della persona, sistema operativo e “MAC address” della macchina, agli addetti SSI. Per motivi di sicurezza solamente i sistemi abilitati tramite “MAC address” possono accedere alla rete. 4. Gli amministratori periferici di apparecchi di calcolo in rete devono verificare la corretta installazione del software in modo da evitare il prodursi delle situazioni non consentite in base ai precedenti punti 1.,2.,3. 5. E’ vietato per gli utenti qualsiasi intervento e/o modifica sui cablaggi di rete fissa. 6. Ogni violazione dei punti precedenti porta alla revoca dei diritti di accesso alle risorse di calcolo. Gestione Account 1. Ad ogni persona avente titolo viene assegnato un account personale per l'accesso alle risorse di calcolo OAT; tali account possono essere di tipo temporaneo o permanente. 2. Hanno diritto ad accounts di tipo permanente i dipendenti di uno degli enti che condividono le strutture di calcolo; in particolare: i dipendenti dell'Osservatorio Astronomico di Trieste e i dipendenti dell'Università afferenti al Dipartimento di Astronomia. 3. Hanno diritto ad un account temporaneo coloro che a titolo diverso hanno necessità di utilizzare le strutture di calcolo. In particolare: studenti, laureandi o dottorandi, titolari di borse di studio, ospiti, collaboratori esterni. 4. L'assegnazione di un account temporaneo a persona avente titolo è soggetta alla richiesta formale (tramite l’apposito modulo di richiesta account temporaneo) da parte di un titolare di account permanente che si rende garante della necessità di attivazione di tale account. L'account temporaneo viene disattivato quando cessano le condizioni che lo rendono necessario. 5. L'account è rigorosamente personale. Ogni utente dovrà garantire la riservatezza della propria password ed impedire che altri possano utilizzare l’account. In particolare tutti sono invitati a scegliere password "complesse" (almeno 8 caratteri con cifre e simboli grafici e comunque non usare parole di vocabolario o nomi 4 ISTITUTO NAZIONALE DI ASTROFISICA NATIONAL INSTITUTE FOR ASTROPHYSICS OSSERVATORIO ASTRONOMICO DI TRIESTE propri). E’ consigliabile cambiare spesso la propria password, e molto più spesso le password utilizzate come utenti esterni. 6. E’ vietato l'uso di account di tipo "guest"; ad ogni account deve essere associato un solo utente; e’ parimenti vietato comunicare ad altre persone informazioni sul proprio account. Sono altresi’ consentiti “account di progetto” legati comunque in maniera univoca ad un responsabile di riferimento. 7. Tutti gli account di tipo temporaneo sono soggetti a scadenza, ovvero vengono disabilitati se rimangono inutilizzati per periodi più lunghi di 60 (sessanta) giorni solari. 8. Gli account disabilitati saranno mantenuti intatti per ulteriori 60 (sessanta) giorni e successivamente cancellati definitivamente. Ciò significa che IL SALVATAGGIO DEI DATI RELATIVI DOVRA' ESSERE ESEGUITO A CURA DEGLI INTERESSATI. Posta elettronica Si ricorda che, sia ai fini della tutela del diritto alla riservatezza sia ai fini dell'autenticita' del mittente, la posta elettronica normale deve essere considerata un mezzo di comunicazione insicuro. 1. Le caselle di posta elettronica sono strettamente personali ed il loro utilizzo deve essere limitato agli scopi attinenti l’attivita’ professionale o di studio. 2. Ogni casella di posta deve essere riconducibile ad una singola utenza: sono pertanto da considerarsi illecite le caselle anonime (es.: “guest”), o comunque con piu’ di un intestatario. 3. Gli account di Amministratore (“root”) delle singole macchine abilitati all’invio di messaggi diagnostici e/o di sicurezza in nessun caso devono inviare posta all’esterno della rete OAT. 4. Collaboratori, ospiti e, piu’ in generale, chiunque abbia un contratto di lavoro di durata inferiore a mesi 1 (uno), non ha titolo per utilizzare il servizio di posta elettronica OAT. 5. l’accesso alla propria casella di posta OAT tramite webpop (web-based email client) e’ riservato ai soli dipendenti di uno degli enti che condividono le strutture di calcolo (OAT, DAUT o contrattisti con durata del contratto di almeno un anno solare). 6. L’utilizzo della casella di posta deve essere conforme alla legislazione in vigore. 5 ISTITUTO NAZIONALE DI ASTROFISICA NATIONAL INSTITUTE FOR ASTROPHYSICS OSSERVATORIO ASTRONOMICO DI TRIESTE 7. Sono vietati in modo tassativo l’inoltro o diffusione di: messaggi pubblicitari (“spam”), catene di “S.Antonio”, mail-bombing (invio automatico di grandi quantita’ di mail), allegati di dimensioni superiori ai 10 MB. 8. Al termine del periodo di validita’ dell’account di posta elettronica, l’accesso sara’ disabilitato. 9. La non ottemperanza a quanto stabilito nel punto 6. comportera’ l’immediata disattivazione dell’account di posta. Accesso dall’esterno della rete OAT Remote Access Service 1. Il servizio consente la connessione remota alla LAN dell’Osservatorio e ad Internet tramite protocollo PPP su linea telefonica commutata. 2. La finalità del servizio è di natura scientifica, e strettamente connessa all’attività di ricerca realizzata nell’ambito dell' OAT; è vietato utilizzare il servizio di accesso remoto dell' OAT per ogni altra finalità. 3. Per accedere al servizio è necessario farne esplicita richiesta su apposito modulo all'Amministrazione dell'OAT, che provvederà a comunicare al richiedente lo username e la password per l’autenticazione sul server di accesso remoto, oltre al numero telefonico da chiamare. Username e password, per ragioni di sicurezza, dovranno essere differenti da quelle normalmente utilizzate dall’utente per l’accesso alle workstations Unix o VMS. 4. Lo username e la password di accesso remoto sono strettamente personali, ed è fatto divieto agli utenti di comunicarli a terze parti. E’ inoltre vietato utilizzare un numero di telefono diverso da quello assegnato. 5. Al fine di garantire a tutti la possibilità di accedere al servizio, ad ogni account viene assegnato un tempo limite per connessione. 6. Per esigenze di gestione del servizio ad ogni account può essere assegnata una data di scadenza oltre la quale, in assenza di esplicita richiesta di rinnovo, l'account viene automaticamente disattivato. 7. Il servizio può essere sospeso per cause tecniche in qualsiasi momento senza preavviso. 8. Il servizio informatico dell’OAT garantisce l’assistenza tecnica necessaria al funzionamento dell’accesso remoto, compatibilmente con le altre attività, esclusivamente per quanto riguarda il server e le apparecchiature installate presso 6 ISTITUTO NAZIONALE DI ASTROFISICA NATIONAL INSTITUTE FOR ASTROPHYSICS OSSERVATORIO ASTRONOMICO DI TRIESTE la sede; in ogni caso è esclusa l’assistenza per l’installazione e la configurazione dei clients di accesso remoto presso gli utenti. 9. Ogni comunicazione degli utenti riguardante il servizio, comprese le segnalazioni di malfunzionamenti, deve essere effettuata esclusivamente a mezzo posta elettronica. 10. Sono a carico dell'utente i costi per l'installazione del client presso la propria sede e i costi del collegamento telefonico verso l’OAT. 11. Ogni abuso personale del servizio di cui ai punti 2. e 4. comportera’ l’immediata disattivazione dell’account. Log-In Remoto 1. Per quanto riguarda le connessioni provenienti dall'esterno, le limitazioni imposte sul traffico entrante consentono l'accesso interattivo (cfr. "telnet", "rlogin", "ftp") agli host esclusivamente tramite protocollo SSH (“ssh”, “scp” o “sftp”). In passato tali politiche erano state applicate in modo più restrittivo, consentendo il traffico solo da determinati e preimpostati siti di provenienza. 2. la sicurezza della rete dipende dalla sicurezza degli account interni, basati su un sistema, ovvero l'autenticazione mediante username/password, che è di per sé debole. Infatti, in assenza di maggiori restrizioni applicate a livello di singolo host, da qualsiasi terminale collocato sulla rete Internet sarà possibile guadagnare l'accesso ad una qualsiasi macchina interna, utilizzando SSH con una coppia username/password valida. Anche se l'utilizzo di sessioni SSH limita di molto la possibilità che la password possa essere carpita quando è in transito sulle reti esterne, l'utilizzo di password "facili" e l'abitudine a non variarle spesso costituiscono già una prima fonte di possibili attacchi. Per la scelta delle password vale quanto detto precedentemente (punti 5. e 6. della sezione Gestione Account). Altre connessioni Altre connessioni dall’esterno consentite sono: 1. l'accesso ai siti web ufficiali dell'OAT e del DAUT (HTTP/porta 80); 2. l'accesso al sito anonymous ftp dell'OAT (in sola lettura). Pagine web OAT 7 ISTITUTO NAZIONALE DI ASTROFISICA NATIONAL INSTITUTE FOR ASTROPHYSICS OSSERVATORIO ASTRONOMICO DI TRIESTE 1. Eventuali variazioni, aggiunte o rimozioni alle pagine del sito web principale OAT (www.ts.astro.it) gestite direttamente dal personale afferente al SSI vanno richieste via posta elettronica (con tutte le informazioni necessarie) con 5 giorni di anticipo. 2. Hanno diritto ad uno spazio web personale i dipendenti di uno degli enti che condividono le strutture di calcolo; in particolare: i dipendenti dell'Osservatorio Astronomico di Trieste e i dipendenti dell'Università afferenti al Dipartimento di Astronomia. 3. Hanno diritto ad uno spazio web personale temporaneo coloro che a titolo diverso ne hanno necessità (comunque contrattisti con contratto di durata di almeno un anno solare). 4. L'assegnazione di uno spazio web a persona avente titolo è soggetta alla richiesta formale (tramite l’apposito modulo di richiesta spazio web) da parte di un titolare di account permanente che si rende garante della necessità di attivazione di tale spazio web. Lo spazio web viene disattivato quando cessano le condizioni che lo rendono necessario. 5. Il contenuto delle pagine personali e’ sotto la responsabilita’ diretta (anche legale) dell’autore e titolare delle pagine stesse. Nella sua qualita’ di Ente pubblico, oltre alle ovvie restrizioni su contenuti illegali, l’Osservatorio non puo’ ospitare nulla di carattere commerciale, politico o sindacale. Non e’ pertanto consentito inserire nelle pagine personali alcuna pubblicita’, richieste/offerte di lavoro private ed altri contenuti simili. 6. Il contenuto delle pagine di un gruppo di ricerca o servizio e’ sotto la responsabilita’ di un incaricato del gruppo/servizio stesso e dovra’ rispondere agli stessi requisiti delle pagine personali. 7. Le pagine web, di qualsivoglia argomento, dovranno contenere almeno: un link alla Home Page dell’OAT ed a quella dell’Istituto Nazionale di Astrofisica; un link alla pagina logicamente precedente quella visualizzata; nome e cognome dell’autore; data dell’ultimo aggiornamento. 8. Il personale SSI ha facolta’ di oscurare le pagine che difettino dei requisiti richiesti, o che siano in violazione di norme e regolamenti in vigore, o contenenti elementi di software che possano danneggiare i visitatori della pagina stessa. Appendice A NETIQUETTE Etica e norme di buon uso dei servizi di rete Fra gli utenti dei servizi telematici di rete, prima fra tutte la rete Internet, ed in particolare fra i lettori dei servizi di "news" Usenet, si sono sviluppati nel corso del 8 ISTITUTO NAZIONALE DI ASTROFISICA NATIONAL INSTITUTE FOR ASTROPHYSICS OSSERVATORIO ASTRONOMICO DI TRIESTE tempo una serie di "tradizioni" e di "principi di buon comportamento" (galateo) che vanno collettivamente sotto il nome di "netiquette". Tenendo ben a mente che la entita' che fornisce l'accesso ai servizi di rete (provider, istituzione pubblica, datore di lavoro, etc.) puo' regolamentare in modo ancora piu' preciso i doveri dei propri utente, riportiamo in questo documento un breve sunto dei principi fondamentali della "netiquette", a cui tutti sono tenuti ad adeguarsi. 1. Quando si arriva in un nuovo newsgroup o in una nuova lista di distribuzione via posta elettronica, e' bene leggere i messaggi che vi circolano per almeno due settimane prima di inviare propri messaggi in giro per il mondo: in tale modo ci si rende conto dell'argomento e del metodo con cui lo si tratta in tale comunita'. 2. Se si manda un messaggio, e' bene che esso sia sintetico e descriva in modo chiaro e diretto il problema. 3. Non divagare rispetto all'argomento del newsgroup o della lista di distribuzione. 4. Se si risponde ad un messaggio, evidenziare i passaggi rilevanti del messaggio originario, allo scopo di facilitare la comprensione da parte di coloro che non lo hanno letto, ma non riportare mai sistematicamente l'intero messaggio originale. 5. Non condurre "guerre di opinione" sulla rete a colpi di messaggi e contromessaggi: se ci sono diatribe personali, e' meglio risolverle via posta elettronica in corrispondenza privata tra gli interessati. 6. Non pubblicare mai, senza l'esplicito permesso dell'autore, il contenuto di messaggi di posta elettronica. 7. Non pubblicare messaggi stupidi o che semplicemente prendono le parti dell'uno o dell'altro fra i contendenti in una discussione. Leggere sempre le FAQ (Frequently Asked Questions) relative all'argomento trattato prima di inviare nuove domande. 8. Non inviare tramite posta elettronica messaggi pubblicitari o comunicazioni che non siano stati sollecitati in modo esplicito. 9. Non essere intolleranti con chi commette errori sintattici o grammaticali. Chi scrive, e' comunque tenuto a migliorare il proprio linguaggio in modo da risultare comprensibile alla collettivita' Alle regole precedenti, vanno aggiunti altri criteri che derivano direttamente dal buon senso: 1. La rete e' utilizzata come strumento di lavoro da molti degli utenti. Nessuno di costoro ha tempo per leggere messaggi inutili o frivoli o di carattere personale, e dunque non di interesse generale. 2. Qualunque attivita' che appesantisca il traffico sulla rete, quale per esempio il trasferimento di archivi voluminosi, deteriora il rendimento complessivo della rete. Si raccomanda pertanto di effettuare queste 9 ISTITUTO NAZIONALE DI ASTROFISICA NATIONAL INSTITUTE FOR ASTROPHYSICS OSSERVATORIO ASTRONOMICO DI TRIESTE operazioni in orari diversi da quelli di massima operativita' (per esempio di notte), tenendo presenti le eventuali differenze di fuso orario. 3. Vi sono sulla rete una serie di siti server (file server) che contengono in copia aggiornata documentazione, software ed altri oggetti disponibili sulla rete. Informatevi preventivamente su quale sia il nodo server piu' accessibile per voi. Se un file e' disponibile su di esso o localmente, non vi e' alcuna ragione per prenderlo dalla rete, impegnando inutilmente la linea e impiegando un tempo sicuramente maggiore per il trasferimento. 4. Il software reperibile sulla rete puo' essere coperto da brevetti e/o vincoli di utilizzo di varia natura. Leggere sempre attentamente la documentazione di accompagnamento prima di utilizzarlo, modificarlo o ridistribuirlo in qualunque modo e sotto qualunque forma. E Comportamenti palesemente scorretti da parte di un utente, quali: 1. violare la sicurezza di archivi e computers della rete; 2. violare la privacy di altri utenti della rete, leggendo o intercettando la posta elettronica loro destinata; 3. compromettere il funzionamento della rete e degli apparecchi che la costituiscono con programmi (virus, trojan horses, ecc.) costruiti appositamente; che costituiscono dei veri e propri crimini elettronici e come tali sono punibili dalla legge. Per chi desiderasse approfondire i punti qui trattati, il documento di riferimento e' RFC1855 "Netiquette Guidelines", ed anche RFC2635 "A Set of Guidelines for Mass Unsolicited Mailings and Postings" disponibili sulla rete presso: ftp://ftp.nic.it/rfc/rfc1855.txt ftp://ftp.nic.it/rfc/rfc2635.txt Bon-Ton Ovvero: Il calcolatore e l'arte di rispettare gli altri In generale l'uso del computer è condiviso con altre persone. Quindi è buona norma evitare che la propria attività pesi eccessivamente sugli altri. Di conseguenza: 1. Non attivare varie copie dello stesso programma contemporaneamente. 2. Se il vostro programma è particolarmente pesante, fatelo girare di notte (e verificate che la mattina successiva sia terminato). 10 ISTITUTO NAZIONALE DI ASTROFISICA NATIONAL INSTITUTE FOR ASTROPHYSICS OSSERVATORIO ASTRONOMICO DI TRIESTE 3. Se il vostro programma deve girare per lungo tempo, organizzatelo in modo che possa essere fermato la mattina e riattivato la sera dal punto in cui era stato fermato: è un utile esercizio ed inoltre rende il programma piú robusto nei confronti delle interruzioni del sistema, mancanze di corrente, etc. 4. Non lasciate sessioni di login aperte per ore, mentre voi state facendo qualcos'altro. 5. Non chiedete ad un amico/a di prestarvi il 'conto' per far girare piú copie dello stesso programma sotto nomi diversi. 6. La sicurezza del sistema dipende dalla sicurezza dei singoli `conti': usate password di 8 caratteri di cui almeno uno numerico o di punteggiatura e non comunicatela a nessuno. Lo spazio disco è una risorsa limitata e, di nuovo, condivisa con altri. Quindi: 1. Non chiedete estensioni dello spazio assegnato solo perché siete troppo pigri per fare pulizia. 2. Non lasciate messaggi di posta nella mailbox di sistema. La banda della rete locale è limitata, e condivisa con gli altri: 1. Se il vostro programma legge o scrive grossi files assicuratevi, per quanto possibile, che giri sullo stesso computer al quale sono collegati i dischi che contengono i files, in modo che il trasferimento dei dati non passi sulla rete (in tal modo, fra l'altro, il programma gira piú velocemente !). La banda della rete geografica è limitata, quindi: 1. Non scaricate grossi files remoti se non in caso di effettiva necessità. 2. Se dovete mettere files a disposizione di altri tramite ftp raccoglieteli insieme con tar e comprimete il file risultante con gzip (in ambiente Unix/Linux). La stessa cosa può essere fatta con winzip in ambiente Windows. 3. E' vietato mettere sulla homepage personale files di carattere non istituzionale che risultino assai popolari e che creino quindi notevole traffico a causa degli accessi dalla rete Internet. Esempi di tali files sono: files "musicali" (MP3), animazioni, distribuzioni di programmi di largo utilizzo e simili. 4. E' vietato installare programmi o "servizi" di natura non istituzionale che possano provocare significativi incrementi del traffico di rete da e verso la rete Internet. Tipici esempi sono: server di tipo "CHAT", programmi di database peer-to-peer (es: gnutella) e simili. Le stampe costano, quindi: 11 ISTITUTO NAZIONALE DI ASTROFISICA NATIONAL INSTITUTE FOR ASTROPHYSICS OSSERVATORIO ASTRONOMICO DI TRIESTE 1. Non stampate una copia di un documento o un programma ad ogni piú piccola variazione. 2. Verificate che le stampe inviate vengano stampate correttamente per evitare spreco di carta. 3. Ritirate sempre le copie stampate. Le risorse umane sono scarse, quindi: 1. Usate il comando man, leggete i manuali, o i file di informazione accessibili in rete prima di chiedere aiuto. La Posta Elettronica va usata correttamente: 1. Evitate messaggi contenenti linguaggio scorretto o imbarazzantemente personali, anche se inviati a persone conosciute. Basta un errore di trasmissione o di indirizzo ed il messaggio passa sotto gli occhi di decine di "system managers". 2. Verificate la configurazione del programma usato per inviare posta elettronica in modo da evitare di usare set di caratteri o formati dei files "strani". 3. Evitate di mandare messaggi come "attachment" in formato non ASCII, e, nel caso che ciò sia indispensabile, accertatevi prima che il vostro corrispondente sia in grado di leggere il messaggio. 4. Evitate di mandare grossi files come attachment: molti mailer non riescono a gestirli correttamente ed inoltre in molti casi messaggi che superano lunghezze tipicamente dell'ordine di pochi Mbytes (1-2) vengono respinti. 12