[aimagelab-srv] Security Measure Proposal

[stefanopini]

• [x] Disable remote ssh access from the outside network
• [x] Disable direct root login on ssh
• [x] Enable Fail2ban
• [x] Enable iptables?
• [ ] Define a new shared AImageLab root password and use it for all the "aimagelab-srv" machines only
• [ ] Define a policy for the management of LDAP users and LDAP groups
• [ ] Define a policy for the management of the users of this organization on github

[baraldilorenzo]

Per dare a tutti un po' di contesto, e favorire la discussione:

• Root login disabilitato di default, le macchine sono Ubuntu
• Disabilitare completamente il login di administrator non è fattibile a livello globale (su alcune macchine non c'è KVM o scheda video). Deve esistere almeno un IP da cui loggarsi come administrator
• Iptables è già attivo su tutto il parco aimagelab-srv. Il firewall è ufw. Per le macchine aimagelab-srv è la regola è che SSH è aperto solo da dentro la sottorete di Ingegneria dell'Informazione. Possiamo riflettere di aggiungere fail2ban, mi sembra ottimo.
• Sto ragionando (@prittt già coinvolto) di automatizzare il processo di creazione/eliminazione degli utenti su LDAP e Github. L'idea è che chi entra (dottorando/assegnista/tesista) compila un form di on-boarding e un servizio aggiorna LDAP e Github. Poi alla scadenza viene "tolto". Virgolettato perché non cancelliamo mai niente: già ora l'utente LDAP uscente viene spostato nella UO "past_members". Le macchine di aimagelab-srv sono configurate per rifiutare il login dei "past_members".

[baraldilorenzo]

Update: fail2ban enabled on all nodes.

(cc @stefanopini @berserkrambo )