Защита веб-сервера от физического доступа

http://www.rubyencoder.com/
1 минута гуглинга

Я так и знал что щас про рубиэнкодер кто-нибудь прытко нагуглит :)

Его по ряду соображений использовать не желательно (я про это в условии написал, разве нет?)

Есть ли более низкоуровневые решения? На уровне операционки/файловой системы?

Или, например, привязка к hasp-ключу, или что-то в этом духе...

Шифрование на уровне FS. Проблема только в том, что после ребута надо будет вводить пароль. Хотя есть клиент не такой продвинутый - можно и «автовводом» воспользоваться.

Шифрование на уровне FS не удовлетворяет пункту #2. Автору — ИМХО из-за 2-го пункта проблема нерешаема: руту позволено всё, а значит, и менять ответ на вопрос «будет ли работать тут ruby код» путем модификации этого кода вплоть до вырезания закодированных частей или частей, связанных с ID материнской платы, и заменой их на свои самописные.

dm-crypt + luks + dropbear в initrd для ввода фразы при ребутах

Теоретически нет способа такой защиты. На практике - можно попробовать запутать злоумышленника нестандартной архитектурой сервера: шифрованием ФС и прочей лабудой.

После ребута подключаться по ssh, вручную монтировать шифрованную ФС и запускать сервисы.

Аппаратные ключи для шифрованных разделов.

Шифрование диска. Вопрос как вводить ключ при запуске зависит от способа доступа. Самый надежный — пришел, воткнул флешку, загрузился с нее ввел ключ. Менее надежно когда загрузка идет с диска — теоретически у злоумышленника есть возможность поправить загрузчик.

А есть какие-нибудь готовые решения для этого?

Аппаратный ключ это просто носитель для ключа шифрования. Если он воткнут в УСБ, то его обычно тоже защищают пин-кодом, так что это возвращение к нашим баранам получается.

В общем это теоретически нереализуемо. Ты должен каким-то образом сообщить системе ключ дешифровки в любом случае.

Можно, к примеру, извратится так - воткнуть в сервер USB-GSM свисток, и написать скрипт который будет мониторить входящие SMS и пытаться дешифровать жесткий диск тем паролем который ты ему будешь присылать. Только надо настроить удаление смсок сразу по понятным причинам.

Пин-код, значит...
А RSA SecurID тут не применим?

Это такая финтиклюшка которая генерит циферки по своему алгоритму какому-то и показывает на экране? Не знаю, слабо представляю как ее применить...

Security by obscurity

>Другими словами, надо сделать так чтобы даже разобрав сервер

бюджет какой? про аппаратные решения аля http://www.ixbt.com/storage/hddterminator.shtml слышал?

только естественно я имел ввиду подобный девайс с батарейкой и запитанный на датчик открытия корпуса

А можно еще и грамм двести С4 заложить... для верности :)

ну, все зависит от бюджета, требовании и то, плевать ли автору на нарушителя вплоть до УК РФ или нет :-)

Вырезается дыра в корпусе и вытаскивается винт. Так что не вариант.

Нужно мощное шифрование на уровне ФС, как уже правильно заметили. Ну и криптостойкие алгоритмы, длинный ключ и защищенный канал передачи данных. Второй вариант - армейский взвод в серверной.

это если знать, что защита стоит :-)

>армейский взвод в серверной.

можно проще(но у ТС это как раз невозможно) - физически не подпускать к серверам различных долбо^W ненужных людей методом «ключ есть только у админа»

Я как раз на это и намекал. Если информация стоит взлома с проникновением, она стоит и месяца взлома любого закриптованого харда.

Любой грамотно зашифрованный хард взламывается 10^5 лет расчетов на суперкомпьютере.

Или за 5 минут, 4 из которых привязывали админа к стулу. Если кто-то получает прямой доступ к серверу - он может получить и прямой доступ к админу. А если эти ребята лезут в серверную незаконно, они также могут незаконно вставить админу паяльник в задницу.

> Любой грамотно зашифрованный хард взламывается 10^5 лет расчетов на суперкомпьютере.

Актуально только если скрывается информация от специальных служб и очень могущественных личностей, которые имеют или могут иметь доступ к таким вычислительным мощностям.

> Вырезается дыра в корпусе и вытаскивается винт. Так что не вариант.
А если по корпусу изнутри провести тонкий петляющий проводок, который намертво приклеить к стенке? При размыкании проводка — бабах

> не мог получить код приложения (ruby, не компилируется и не шифруется)

А вообще, копирастия зло. На месте заказчика я бы на такие условия не согласился — если для меня пишется код, то пусть мне он будет доступен под GPL (или совместимой) лицензией

Слушай, проще дядьку с пистолетом посадить - как-то безопаснее.

В РФ вообще мало кто про GPL из заказчиков слышал. Проприетарный корпоративный софт - нормальное дело.

А если использовать облачные сервера ?
Это не решает проблему физического доступа к облакам ?

Несгораемый сейф?

А потом облако поломают и данные утекут.

>> А потом облако поломают и данные утекут.

Параноя это не болезнь это стиль жизни.

Запихать сервер в сейф вместе с килограммчиком тротила. При попытке вскрытия сейфа - бабах!

Запихать сервер в сейф вместе с килограммчиком тротила. При попытке вскрытия сейфа - бабах!

Если сейф сначала окунуть в жидкий азот, то потом можно спокойно открывать - физические процессы практически остановятся и взрыва не будет. Главное потом вернуть жёсткий диск к жизни...

Что-то сомневаюсь я, что при ~77К взрыватель не сработает...

Ну может во что-то более холодное. В любом случае при определённой температуре (и она выше абсолютного нуля) атомы будут двигаться слишком медленно для взрыва (во всяком случае достаточного по силе. чтобы уничтожить системник).

Я бы поерничал насчет 'параноя', ну да ладно.