Sziasztok !
Segítséget szeretnék kérni arra a problémára, hogy létrehoztam egy FirebirdSQL adatbázis szervert (VirtualBOX alatt), melynek védelmeznie kell a rajta létrehozott adatokat fájl szinten, de a firebird saját bejelentkezésével kommunikálni lehessen vele.
Igen ám, de a firebird szolgáltatás NEM fér hozzá a /home/firebird könyvtárhoz, ha az ecryptel-ve van, csak úgy, ha bejelentkezem a konzolon a firebird user-rel.
(akkor meg ugye már mi értelme van...)
https://help.ubuntu.com/community/EncryptedHome
When you are not logged into your system, data in your home directory is not accessible in plain text. This, of course, is by design. This is what keeps an attacker from gaining access to your files. However, this means that:
Your cronjobs may not have access to your Home Directory
Végülis firebird helyett írhatnék akár samba-t is, valószínűleg a probléma ugyanaz lenne.
Az eredeti probléma innen indul:
http://prog.hu/tarsalgo/151039/FireBird+adatbazis+fajl+adatainak+vedelm…
Tehát hogy lehetne elérni, hogy ez a szerver "belsőleg" bejelentkezzen, hogy működjön a cron, de külsőleg ne lehessen hozzáférni, még akkor sem, ha valaki megszerzi az egész virtuális lemezt?
Köszönöm a hozzászólásokat !
- 2225 megtekintés
Hozzászólások
Tehát hogy lehetne elérni, hogy ez a szerver "belsőleg" bejelentkezzen, hogy működjön a cron, de külsőleg ne lehessen hozzáférni, még akkor sem, ha valaki megszerzi az egész virtuális lemezt?
Ha csak az ellen kell védelem, hogy ha a virtuális lemezt "megszerzi" valaki, akkor megoldás lehet, ha a szükséges hozzáférési kódot a virtuális lemez kívül tárolod, és onnan adod oda automatikusan a virtuális gépben futó programnak.
Ez persze nem jelent semmilyen védelmet, ha a virtuáls gépen kívüli részben jár egy betörő, az ellen meg pláne nem véd, ha valaki az egész fizikai gépet viszi el. Az utóbbira mondjuk vannak ötleteim (USB-kábelen pen-drive, a pen-drive meg a szomszéd szobában elrejtve/befalazva - mire rájönnek, hogy valami hiányzik, addigra eltünteted a pen-drive-ot).
- A hozzászóláshoz be kell jelentkezni
Semmit nem ér manapság, hogy hová dugod az adattárolót, mert újabban ON-LINE mennek oda a működő szervergéphez, dugnak bele saját pen-drive-ot, és mentik le a teljes programomat adatbázisostul. Márpedig ha éppen használják a programot, akkor elérhető is kell legyen.
Egyébként most is már truecrypt-be csomizva az egész progi mindenestül, de ha reggel beírják a jelszót, akkor már másolhatóvá válik !
Ezért kellene egy háttérben futó linux, amit ha el is visznek egy az egyben, úgysem tudnák feltörni. Se fájl szinten, se hozzáférés szinten.
...hozzáférési kódot a virtuális lemez kívül tárolod...
ezen egyébként én is gondolkodom, hogy maga az EXE fájl, ha nem éri el a adatbázis szervert, akkor ellenőrzi, hogy fut-e a szolgáltatás, pingelhető-e és bejelentkezne SSH-val. Így tehát a jelszót a kódolt EXE-ből kapná. Ám ezt elég macerás leprogramozni, ezért inkább előbb feldobtam ide a kérdést...
- A hozzászóláshoz be kell jelentkezni
?
Röptében csak akkor másolható, ha valakinek van joga hozzáférni az adatokhoz.
Jól értem hogy a programod ellopásától félsz? Az ellen (jól) csak a hardver kulcs véd.
Ha win van kívül, akkor endpoint security témakörben keresgélnék, ha csupa linux akkor pedig valamilyen role based cuccban (selinux és társai). Akkor le tudod szabályozni, hogy egyes dolgokkal (fájlokkal, eszközökkel) mit tehet, azaz pl pendrive bedugása azonnali pánikot okozzon a gépen.
Ha internetet elér, akkor csinálhatsz paraszt hardverkulcsot - egy saját validáló szolgáltatást, amit ha elér a progi akkor fut, ha nem, akkor pl 24 órán belül meghal (reakcióidődtől függően puffert hagyj benne, nehogy valami hiba miatt szívjon az ügyfél). Ugyanez egyébként jó a titkosítás feloldására is.
- A hozzászóláshoz be kell jelentkezni
Senki sem tud megoldást erre? :(
- A hozzászóláshoz be kell jelentkezni