Regolamento e linee guida per l`utilizzo delle risorse

Transcript

ISTITUTO NAZIONALE DI ASTROFISICA
NATIONAL INSTITUTE FOR ASTROPHYSICS
OSSERVATORIO ASTRONOMICO DI TRIESTE
Regolamento di accesso alle risorse di calcolo
(NORME DI COMPORTAMENTO PER LA SICUREZZA E L'AFFIDABILITÀ DELLA RETE LOCALE)
Revisione: luglio 2003
1
INTRODUZIONE .................................................................................................... 3
Premessa........................................................................................................................................................... 3
Accesso alla rete locale .................................................................................................................................... 3
Gestione Account ......................................................................................................................................... 4
Posta elettronica .............................................................................................................................................. 5
Accesso dall’esterno della rete OAT .............................................................................................................. 6
Remote Access Service ..................................................................................................................................... 6
Pagine web OAT.............................................................................................................................................. 7
2
INTRODUZIONE
Le seguenti norme di comportamento, che devono essere rispettate da tutti gli utenti
indistintamente, sono state predisposte allo scopo di diminuire le probabilità che utenti che
hanno accesso alle risorse di rete possano mettere a repentaglio l'integrità dei dati o
aggirare le protezioni che ne garantiscono la riservatezza.
Per questo motivo la violazione di dette norme sarà considerata con estrema severità e
potrà portare alla revoca dei diritti di accesso alle risorse di calcolo.
Premessa
Ogni richiesta e comunicazione fra gli utenti e gli addetti ai servizi di calcolo dovrà
avvenire tramite posta elettronica e/o i moduli predisposti. Non saranno considerate
valide richieste e autorizzazioni per via verbale.
Tutti gli utenti devono essere a conoscenza delle norme di comportamento relative all'uso
della rete Internet contenuti nel documento “Netiquette” (Appendice A di questo
regolamento).
Accesso alla rete locale
1. Nessun apparecchio di nessun tipo dovrà essere fisicamente collegato alla rete
locale senza la previa autorizzazione degli addetti ai servizi di calcolo. Ciò vale non
solo per Workstations e PC, ma anche per ogni altro apparecchio (stampanti di rete,
terminal server, router, etc.); per i computer portatili si veda il punto 3.;
2. tutte le macchine che forniscono un servizio accessibile all’esterno della rete OAT
tramite un qualsiasi protocollo (http, ftp, ssh, etc.) sono sotto il controllo esclusivo
del Servizio Sistemi Informativi;
3. nessun apparecchio dotato di indirizzo permanente puo’ essere connesso alla rete
senza che sia stato richiesto (tramite la procedura ufficiale con la compilazione del
relativo modulo) ed assegnato da parte degli addetti ai servizi di calcolo il relativo
indirizzo di rete costituito dal numero IP e dal nome associato. In particolare:
a. È vietato utilizzare lo stesso indirizzo per due o più apparecchi diversi anche se
usati non contemporaneamente;
b. La connessione in rete di apparecchi che utilizzano, anche solo parzialmente,
protocolli di rete diversi dal TCP/IP deve essere specificamente e
preventivamente concordata con gli addetti ai servizi di calcolo;
3
c. È vietato modificare il numero IP assegnato ad una macchina (anche se il
nuovo numero IP risulta assegnato) o il nome associato senza l'autorizzazione
degli addetti ai servizi di calcolo;
d. L'assegnazione degli indirizzi IP è soggetta a scadenza. Indirizzi che
rimangono inutilizzati per più di 60 (sessanta) giorni saranno disabilitati;
3. È attivo un servizio DHCP per l'assegnazione dinamica di indirizzi temporanei per
i sistemi portatili, sia utilizzati da personale interno che da visitatori o personale
temporaneo. L'accesso al servizio può avvenire solo dopo averlo comunicato per
iscritto (via email da parte del referente locale) specificando nome e cognome della
persona, sistema operativo e “MAC address” della macchina, agli addetti SSI. Per
motivi di sicurezza solamente i sistemi abilitati tramite “MAC address” possono
accedere alla rete.
4. Gli amministratori periferici di apparecchi di calcolo in rete devono verificare la
corretta installazione del software in modo da evitare il prodursi delle situazioni
non consentite in base ai precedenti punti 1.,2.,3.
5. E’ vietato per gli utenti qualsiasi intervento e/o modifica sui cablaggi di rete fissa.
6. Ogni violazione dei punti precedenti porta alla revoca dei diritti di accesso alle
risorse di calcolo.
Gestione Account
1. Ad ogni persona avente titolo viene assegnato un account personale per l'accesso
alle risorse di calcolo OAT; tali account possono essere di tipo temporaneo o
permanente.
2. Hanno diritto ad accounts di tipo permanente i dipendenti di uno degli enti che
condividono le strutture di calcolo; in particolare: i dipendenti dell'Osservatorio
Astronomico di Trieste e i dipendenti dell'Università afferenti al Dipartimento di
Astronomia.
3. Hanno diritto ad un account temporaneo coloro che a titolo diverso hanno
necessità di utilizzare le strutture di calcolo. In particolare: studenti, laureandi o
dottorandi, titolari di borse di studio, ospiti, collaboratori esterni.
4. L'assegnazione di un account temporaneo a persona avente titolo è soggetta alla
richiesta formale (tramite l’apposito modulo di richiesta account temporaneo) da
parte di un titolare di account permanente che si rende garante della necessità di
attivazione di tale account. L'account temporaneo viene disattivato quando cessano
le condizioni che lo rendono necessario.
5. L'account è rigorosamente personale. Ogni utente dovrà garantire la riservatezza
della propria password ed impedire che altri possano utilizzare l’account. In
particolare tutti sono invitati a scegliere password "complesse" (almeno 8 caratteri
con cifre e simboli grafici e comunque non usare parole di vocabolario o nomi
4
propri). E’ consigliabile cambiare spesso la propria password, e molto più spesso le
password utilizzate come utenti esterni.
6. E’ vietato l'uso di account di tipo "guest"; ad ogni account deve essere associato un
solo utente; e’ parimenti vietato comunicare ad altre persone informazioni sul
proprio account. Sono altresi’ consentiti “account di progetto” legati comunque in
maniera univoca ad un responsabile di riferimento.
7. Tutti gli account di tipo temporaneo sono soggetti a scadenza, ovvero vengono
disabilitati se rimangono inutilizzati per periodi più lunghi di 60 (sessanta) giorni
solari.
8. Gli account disabilitati saranno mantenuti intatti per ulteriori 60 (sessanta) giorni e
successivamente
cancellati
definitivamente.
Ciò
significa
che
IL
SALVATAGGIO DEI DATI RELATIVI DOVRA' ESSERE ESEGUITO A
CURA DEGLI INTERESSATI.
Posta elettronica
Si ricorda che, sia ai fini della tutela del diritto alla riservatezza sia ai fini dell'autenticita'
del mittente, la posta elettronica normale deve essere considerata un mezzo di
comunicazione insicuro.
1. Le caselle di posta elettronica sono strettamente personali ed il loro utilizzo deve
essere limitato agli scopi attinenti l’attivita’ professionale o di studio.
2. Ogni casella di posta deve essere riconducibile ad una singola utenza: sono pertanto
da considerarsi illecite le caselle anonime (es.: “guest”), o comunque con piu’ di un
intestatario.
3. Gli account di Amministratore (“root”) delle singole macchine abilitati all’invio di
messaggi diagnostici e/o di sicurezza in nessun caso devono inviare posta
all’esterno della rete OAT.
4. Collaboratori, ospiti e, piu’ in generale, chiunque abbia un contratto di lavoro di
durata inferiore a mesi 1 (uno), non ha titolo per utilizzare il servizio di posta
elettronica OAT.
5. l’accesso alla propria casella di posta OAT tramite webpop (web-based email
client) e’ riservato ai soli dipendenti di uno degli enti che condividono le strutture
di calcolo (OAT, DAUT o contrattisti con durata del contratto di almeno un anno
solare).
6. L’utilizzo della casella di posta deve essere conforme alla legislazione in vigore.
5
7. Sono vietati in modo tassativo l’inoltro o diffusione di: messaggi pubblicitari
(“spam”), catene di “S.Antonio”, mail-bombing (invio automatico di grandi
quantita’ di mail), allegati di dimensioni superiori ai 10 MB.
8. Al termine del periodo di validita’ dell’account di posta elettronica, l’accesso sara’
disabilitato.
9. La non ottemperanza a quanto stabilito nel punto 6. comportera’ l’immediata
disattivazione dell’account di posta.
Accesso dall’esterno della rete OAT
Remote Access Service
1. Il servizio consente la connessione remota alla LAN dell’Osservatorio e ad Internet
tramite protocollo PPP su linea telefonica commutata.
2. La finalità del servizio è di natura scientifica, e strettamente connessa
all’attività di ricerca realizzata nell’ambito dell' OAT; è vietato utilizzare il
servizio di accesso remoto dell' OAT per ogni altra finalità.
3. Per accedere al servizio è necessario farne esplicita richiesta su apposito modulo
all'Amministrazione dell'OAT, che provvederà a comunicare al richiedente lo
username e la password per l’autenticazione sul server di accesso remoto, oltre al
numero telefonico da chiamare. Username e password, per ragioni di sicurezza,
dovranno essere differenti da quelle normalmente utilizzate dall’utente per
l’accesso alle workstations Unix o VMS.
4. Lo username e la password di accesso remoto sono strettamente personali, ed è
fatto divieto agli utenti di comunicarli a terze parti. E’ inoltre vietato
utilizzare un numero di telefono diverso da quello assegnato.
5. Al fine di garantire a tutti la possibilità di accedere al servizio, ad ogni account
viene assegnato un tempo limite per connessione.
6. Per esigenze di gestione del servizio ad ogni account può essere assegnata una data
di scadenza oltre la quale, in assenza di esplicita richiesta di rinnovo, l'account
viene automaticamente disattivato.
7. Il servizio può essere sospeso per cause tecniche in qualsiasi momento senza
preavviso.
8. Il servizio informatico dell’OAT garantisce l’assistenza tecnica necessaria al
funzionamento dell’accesso remoto, compatibilmente con le altre attività,
esclusivamente per quanto riguarda il server e le apparecchiature installate presso
6
la sede; in ogni caso è esclusa l’assistenza per l’installazione e la configurazione
dei clients di accesso remoto presso gli utenti.
9. Ogni comunicazione degli utenti riguardante il servizio, comprese le segnalazioni
di malfunzionamenti, deve essere effettuata esclusivamente a mezzo posta
elettronica.
10. Sono a carico dell'utente i costi per l'installazione del client presso la propria sede e
i costi del collegamento telefonico verso l’OAT.
11. Ogni abuso personale del servizio di cui ai punti 2. e 4. comportera’
l’immediata disattivazione dell’account.
Log-In Remoto
1. Per quanto riguarda le connessioni provenienti dall'esterno, le limitazioni imposte
sul traffico entrante consentono l'accesso interattivo (cfr. "telnet", "rlogin", "ftp")
agli host esclusivamente tramite protocollo SSH (“ssh”, “scp” o “sftp”). In passato
tali politiche erano state applicate in modo più restrittivo, consentendo il traffico
solo da determinati e preimpostati siti di provenienza.
2. la sicurezza della rete dipende dalla sicurezza degli account interni, basati su un
sistema, ovvero l'autenticazione mediante username/password, che è di per sé
debole. Infatti, in assenza di maggiori restrizioni applicate a livello di singolo host,
da qualsiasi terminale collocato sulla rete Internet sarà possibile guadagnare
l'accesso ad una qualsiasi macchina interna, utilizzando SSH con una coppia
username/password valida. Anche se l'utilizzo di sessioni SSH limita di molto la
possibilità che la password possa essere carpita quando è in transito sulle reti
esterne, l'utilizzo di password "facili" e l'abitudine a non variarle spesso
costituiscono già una prima fonte di possibili attacchi. Per la scelta delle password
vale quanto detto precedentemente (punti 5. e 6. della sezione Gestione Account).
Altre connessioni
Altre connessioni dall’esterno consentite sono:
1. l'accesso ai siti web ufficiali dell'OAT e del DAUT (HTTP/porta 80);
2. l'accesso al sito anonymous ftp dell'OAT (in sola lettura).
Pagine web OAT
7
1. Eventuali variazioni, aggiunte o rimozioni alle pagine del sito web principale OAT
(www.ts.astro.it) gestite direttamente dal personale afferente al SSI vanno richieste
via posta elettronica (con tutte le informazioni necessarie) con 5 giorni di anticipo.
2. Hanno diritto ad uno spazio web personale i dipendenti di uno degli enti che
condividono le strutture di calcolo; in particolare: i dipendenti dell'Osservatorio
Astronomico di Trieste e i dipendenti dell'Università afferenti al Dipartimento di
Astronomia.
3. Hanno diritto ad uno spazio web personale temporaneo coloro che a titolo diverso
ne hanno necessità (comunque contrattisti con contratto di durata di almeno un
anno solare).
4. L'assegnazione di uno spazio web a persona avente titolo è soggetta alla richiesta
formale (tramite l’apposito modulo di richiesta spazio web) da parte di un titolare
di account permanente che si rende garante della necessità di attivazione di tale
spazio web. Lo spazio web viene disattivato quando cessano le condizioni che lo
rendono necessario.
5. Il contenuto delle pagine personali e’ sotto la responsabilita’ diretta (anche legale)
dell’autore e titolare delle pagine stesse. Nella sua qualita’ di Ente pubblico, oltre
alle ovvie restrizioni su contenuti illegali, l’Osservatorio non puo’ ospitare nulla di
carattere commerciale, politico o sindacale. Non e’ pertanto consentito inserire
nelle pagine personali alcuna pubblicita’, richieste/offerte di lavoro private ed altri
contenuti simili.
6. Il contenuto delle pagine di un gruppo di ricerca o servizio e’ sotto la
responsabilita’ di un incaricato del gruppo/servizio stesso e dovra’ rispondere agli
stessi requisiti delle pagine personali.
7. Le pagine web, di qualsivoglia argomento, dovranno contenere almeno: un link alla
Home Page dell’OAT ed a quella dell’Istituto Nazionale di Astrofisica; un link alla
pagina logicamente precedente quella visualizzata; nome e cognome dell’autore;
data dell’ultimo aggiornamento.
8. Il personale SSI ha facolta’ di oscurare le pagine che difettino dei requisiti richiesti,
o che siano in violazione di norme e regolamenti in vigore, o contenenti elementi
di software che possano danneggiare i visitatori della pagina stessa.
Appendice A
NETIQUETTE
Etica e norme di buon uso dei servizi di rete
Fra gli utenti dei servizi telematici di rete, prima fra tutte la rete Internet, ed in
particolare fra i lettori dei servizi di "news" Usenet, si sono sviluppati nel corso del
8
tempo una serie di "tradizioni" e di "principi di buon comportamento" (galateo)
che vanno collettivamente sotto il nome di "netiquette". Tenendo ben a mente
che la entita' che fornisce l'accesso ai servizi di rete (provider, istituzione pubblica,
datore di lavoro, etc.) puo' regolamentare in modo ancora piu' preciso i doveri
dei propri utente, riportiamo in questo documento un breve sunto dei principi
fondamentali della "netiquette", a cui tutti sono tenuti ad adeguarsi.
1. Quando si arriva in un nuovo newsgroup o in una nuova lista di
distribuzione via posta elettronica, e' bene leggere i messaggi che vi
circolano per almeno due settimane prima di inviare propri messaggi in giro
per il mondo: in tale modo ci si rende conto dell'argomento e del metodo
con cui lo si tratta in tale comunita'.
2. Se si manda un messaggio, e' bene che esso sia sintetico e descriva in
modo chiaro e diretto il problema.
3. Non divagare rispetto all'argomento del newsgroup o della lista di
distribuzione.
4. Se si risponde ad un messaggio, evidenziare i passaggi rilevanti del
messaggio originario, allo scopo di facilitare la comprensione da parte di
coloro che non lo hanno letto, ma non riportare mai sistematicamente
l'intero messaggio originale.
5. Non condurre "guerre di opinione" sulla rete a colpi di messaggi e
contromessaggi: se ci sono diatribe personali, e' meglio risolverle via
posta elettronica in corrispondenza privata tra gli interessati.
6. Non pubblicare mai, senza l'esplicito permesso dell'autore, il contenuto di
messaggi di posta elettronica.
7. Non pubblicare messaggi stupidi o che semplicemente prendono le parti
dell'uno o dell'altro fra i contendenti in una discussione. Leggere sempre
le FAQ (Frequently Asked Questions) relative all'argomento trattato
prima di inviare nuove domande.
8. Non inviare tramite posta elettronica messaggi pubblicitari o comunicazioni
che non siano stati sollecitati in modo esplicito.
9. Non essere intolleranti con chi commette errori sintattici o grammaticali.
Chi scrive, e' comunque tenuto a migliorare il proprio linguaggio in modo da
risultare comprensibile alla collettivita'
Alle regole precedenti, vanno aggiunti altri criteri che derivano direttamente dal
buon senso:
1. La rete e' utilizzata come strumento di lavoro da molti degli utenti. Nessuno
di costoro ha tempo per leggere messaggi inutili o frivoli o di carattere
personale, e dunque non di interesse generale.
2. Qualunque attivita' che appesantisca il traffico sulla rete, quale per
esempio il trasferimento di archivi voluminosi, deteriora il rendimento
complessivo della rete. Si raccomanda pertanto di effettuare queste
9
operazioni in orari diversi da quelli di massima operativita' (per esempio
di notte), tenendo presenti le eventuali differenze di fuso orario.
3. Vi sono sulla rete una serie di siti server (file server) che contengono in
copia aggiornata documentazione, software ed altri oggetti disponibili sulla
rete. Informatevi preventivamente su quale sia il nodo server piu'
accessibile per voi. Se un file e' disponibile su di esso o localmente, non
vi e' alcuna ragione per prenderlo dalla rete, impegnando inutilmente la
linea e impiegando un tempo sicuramente maggiore per il trasferimento.
4. Il software reperibile sulla rete puo' essere coperto da brevetti e/o vincoli di
utilizzo di varia natura. Leggere sempre attentamente la documentazione
di accompagnamento prima di utilizzarlo, modificarlo o ridistribuirlo in
qualunque modo e sotto qualunque forma.
E Comportamenti palesemente scorretti da parte di un utente, quali:
1. violare la sicurezza di archivi e computers della rete;
2. violare la privacy di altri utenti della rete, leggendo o intercettando la
posta elettronica loro destinata;
3. compromettere il funzionamento della rete e degli apparecchi che la
costituiscono
con
programmi
(virus, trojan horses, ecc.) costruiti
appositamente;
che costituiscono dei veri e propri crimini elettronici e come tali sono punibili dalla
legge.
Per chi desiderasse approfondire i punti qui trattati, il documento di riferimento e'
RFC1855 "Netiquette Guidelines", ed anche RFC2635 "A Set of Guidelines
for Mass Unsolicited Mailings and Postings" disponibili sulla rete presso:
ftp://ftp.nic.it/rfc/rfc1855.txt
ftp://ftp.nic.it/rfc/rfc2635.txt
Bon-Ton
Ovvero: Il calcolatore e l'arte di rispettare gli altri
In generale l'uso del computer è condiviso con altre persone. Quindi è buona
norma evitare che la propria attività pesi eccessivamente sugli altri. Di
conseguenza:
1. Non attivare varie copie dello stesso programma contemporaneamente.
2. Se il vostro programma è particolarmente pesante, fatelo girare di notte (e
verificate che la mattina successiva sia terminato).
10
3. Se il vostro programma deve girare per lungo tempo, organizzatelo in modo
che possa essere fermato la mattina e riattivato la sera dal punto in cui era
stato fermato: è un utile esercizio ed inoltre rende il programma piú robusto
nei confronti delle interruzioni del sistema, mancanze di corrente, etc.
4. Non lasciate sessioni di login aperte per ore, mentre voi state facendo
qualcos'altro.
5. Non chiedete ad un amico/a di prestarvi il 'conto' per far girare piú copie
dello stesso programma sotto nomi diversi.
6. La sicurezza del sistema dipende dalla sicurezza dei singoli `conti': usate
password di 8 caratteri di cui almeno uno numerico o di punteggiatura e
non comunicatela a nessuno.
Lo spazio disco è una risorsa limitata e, di nuovo, condivisa con altri. Quindi:
1. Non chiedete estensioni dello spazio assegnato solo perché siete troppo
pigri per fare pulizia.
2. Non lasciate messaggi di posta nella mailbox di sistema.
La banda della rete locale è limitata, e condivisa con gli altri:
1. Se il vostro programma legge o scrive grossi files assicuratevi, per quanto
possibile, che giri sullo stesso computer al quale sono collegati i dischi che
contengono i files, in modo che il trasferimento dei dati non passi sulla rete
(in tal modo, fra l'altro, il programma gira piú velocemente !).
La banda della rete geografica è limitata, quindi:
1. Non scaricate grossi files remoti se non in caso di effettiva necessità.
2. Se dovete mettere files a disposizione di altri tramite ftp raccoglieteli
insieme con tar e comprimete il file risultante con gzip (in ambiente
Unix/Linux). La stessa cosa può essere fatta con winzip in ambiente
Windows.
3. E' vietato mettere sulla homepage personale files di carattere non
istituzionale che risultino assai popolari e che creino quindi notevole traffico
a causa degli accessi dalla rete Internet. Esempi di tali files sono: files
"musicali" (MP3), animazioni, distribuzioni di programmi di largo utilizzo e
simili.
4. E' vietato installare programmi o "servizi" di natura non istituzionale che
possano provocare significativi incrementi del traffico di rete da e verso la
rete Internet. Tipici esempi sono: server di tipo "CHAT", programmi di
database peer-to-peer (es: gnutella) e simili.
Le stampe costano, quindi:
11
1. Non stampate una copia di un documento o un programma ad ogni piú
piccola variazione.
2. Verificate che le stampe inviate vengano stampate correttamente per
evitare spreco di carta.
3. Ritirate sempre le copie stampate.
Le risorse umane sono scarse, quindi:
1. Usate il comando man, leggete i manuali, o i file di informazione accessibili
in rete prima di chiedere aiuto.
La Posta Elettronica va usata correttamente:
1. Evitate messaggi contenenti linguaggio scorretto o imbarazzantemente
personali, anche se inviati a persone conosciute. Basta un errore di
trasmissione o di indirizzo ed il messaggio passa sotto gli occhi di decine di
"system managers".
2. Verificate la configurazione del programma usato per inviare posta
elettronica in modo da evitare di usare set di caratteri o formati dei files
"strani".
3. Evitate di mandare messaggi come "attachment" in formato non ASCII, e,
nel caso che ciò sia indispensabile, accertatevi prima che il vostro
corrispondente sia in grado di leggere il messaggio.
4. Evitate di mandare grossi files come attachment: molti mailer non riescono
a gestirli correttamente ed inoltre in molti casi messaggi che superano
lunghezze tipicamente dell'ordine di pochi Mbytes (1-2) vengono respinti.
12

Regolamento e linee guida per l`utilizzo delle risorse

Transcript

Documenti analoghi

MAC Mail.pub

Bank account details for sending the deposit

PokerStars.it: - Entro trenta (30) giorni invio di

Disattivazione vecchio account di posta in Mac Mail

Alla corte del RE SOLE

Alice Mail - pdf

Modificare un account esistente

Aruba.it - IPhone 5: Configurazione SSL di una casella legata a un

Come giocare

APRITE THUNDERBIRD NEL MENU` MODIFICA, FATE CLICK SU

lista delle pubblicazioni - Osservatorio Astronomico di Trieste