LINUX.ORG.RU
ФорумDevelopment

Python & QT4: защита от модификации


0

0

Есть софтина для работы с микроскопом на PyQT4, распространяется под gpl2. Софтину при установке всей системы настраивает администратор, а в дальнейшем с ней должен работать оператор который должен тупо нажимать пару кнопок и практически никаких модификаций данных делать не может. Есть ли какой-нить способ защитить питоновские исходники от модификации этим оператором?

Нужно это не в целях получения бабла, а в целях защиты входящих/исходящих данных. Что бы оператор не имел возможность изменить какой-нить внутренний алгоритм или вообще не изменить генератор отчетов дабы тот отдавал нужные данные вместо реальных. Нужно что-то типа StrongName key в .net

З.Ы. По ТЗ софтина должна уметь работать от рута, поэтому просто изменение прав доступа на сорцы не поможет.

Qt + boost
OpenMoko проект
Ответ на: комментарий от gaa

и? еще раз повторяю - по ТЗ оператор может войти под пользователем root и никакой sudo мне не поможет, если он захочет он изменит любые исходники и все.

user_undefined
() автор топика
Ответ на: комментарий от user_undefined

> по ТЗ оператор может войти под пользователем root

От рута не защитишься, разве что использовать SELinux... можно включать хэш настроек в сам отчет, но это пол-решения.

tailgunner ★★★★★
()
Ответ на: комментарий от user_undefined

> еще раз повторяю - по ТЗ оператор может войти под пользователем root

Я к тому, как можно обойтись без входа под рутом. Например, оператора допускать к софтине через sudo из-под обычного юзера.

> и никакой sudo мне не поможет, если он захочет он изменит любые исходники и все.

Вообще, если есть прямой доступ к компьютеру, то ничего не поможет.

gaa ★★
()
Ответ на: комментарий от gaa

Как вариант -- использовать suid bit. Так работает, например, mount. Обычный юзер его запускает с рутовыми правами, но сам бинарник никак изменить не может.

rab_boziy
()
Ответ на: комментарий от stassats

Никак. От рута ничего не спасет, можно только затруднить процесс взлома.

Компиляция не поможет, питоновский байткод легко декомпилируется.

rab_boziy
()

Запихни свою поделку на ридонли loop устройство.

Правда это не выход, а затруднение, если захочет то сломает.

Нехер под рутом разрешать работать, ВСЕ можно через sudo сделать

anonymous
()
Ответ на: комментарий от anonymous

Ну - простейший вариант защиты от простого пользователя уже прозвучал - вместо исходников выкладывай откомпиленный байт-код. Его уже просто так в текстовом редакторе не подправишь.

anonymous
()

Тут фигурируют термины администратор и оператор. Решается только разграничением прав доступа - для оператора только на исполнение. Больше логически никак. Можно крепить к отчету ЭЦП, которую будет генерить отдельный токен, в который на вход будет поступать слепок сырцов, но вобщем то даже это не спасет. :)

Кароч никак нельзя. Разве что вы эти скрипты зашьете в какой то отдельный однокристальный модуль :]

Да вобщем то и с не скриптами такая же ситуация. Отчет подделать всегда можно, если у пользователя есть полный доступ к генератору.

Если вас интересует безопасность, единственно возможное решение -- разработать программно-аппаратное устройство. Отдельный комп или что то в том духе. Который необходимо опечатывать итд итп.

Вы можете впринципе воспользоватся чем-либо вроде SELinux/grsec, размещать утилиты на шифрованых разделах, ключи хранить в памяти ядра или на специальном токене, подписать ядро и проверять подпись при старте ядра.

Впрочем, опять же, это ничего не гарантирует.

vasily_pupkin ★★★★★
()

Следить за сотрудника, и если подделывают отчеты мочить этих говнюков.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Qt + boost
Development
OpenMoko проект