Защита данных на удаленном сервере

0

1

Есть необходимость развернуть web-сервер с конфиденциальными данными на удаленной площадке. Необходимо организовать защиту данных таким образом, чтобы при попытке несанкционированного доступа они были тут же удалены. Вопрос - каким образом можно это реализовать и какие условия для срабатывания скрипта на удаление?

Ссылка

←	Виндовс-вирус и каталог ..

Маскировка демонов, слушающих внешние интерфейсы

→

А что такое несанкционированный доступ? Например, если брутфорсом пароль рута год подбирали и наконец подобрали, то это что?

ansky ★★★★★
(02.10.11 12:53:22 MSK)

Ссылка

Можно отключить питание, или сделать снэпшот если это VM, против этого, только не хранить там данные в открытом виде, а тогда и удалять незачем.

amaora ★★
(02.10.11 13:34:39 MSK)

Ответ на: комментарий от amaora 02.10.11 13:34:39 MSK

отключить питание - не вариант, сервер удаленный. Вопрос именно в том как обнаружить попытку доступа, чтобы успеть среагировать на нее.

durf
(02.10.11 13:57:20 MSK) автор топика

Ответ на: комментарий от durf 02.10.11 13:57:20 MSK

>как обнаружить попытку доступа, чтобы успеть среагировать на нее

По определению, доступ через вебсервер санкционирован (его конфигом, или багом, последнее необнаружимо). Т.ч. задача сводится к обнаружению доступа не через веб-сервер. Решается, например, включением аудита и удалением в подозрительных случаях ключа шифрования данных.

DonkeyHot ★★★★★
(02.10.11 15:10:14 MSK)

Ссылка

посмотри в сторону nagios, там есть масса полезных скриптов, можно еще и свой напилить, если умеешь

insider ★★★
(03.10.11 02:28:20 MSK)

Ссылка

Хранить файлы в зашифрованном виде, расшифровывать на клиентах. После - проверять цифровую подпись. Если хозяевам площадки доверия нет, других способов не может быть.

segfault ★★★★★
(03.10.11 10:59:58 MSK)

Ответ на: комментарий от segfault 03.10.11 10:59:58 MSK

а как защитить софт, установленный на площадке?

durf
(03.10.11 19:47:24 MSK) автор топика

Ответ на: комментарий от durf 03.10.11 19:47:24 MSK

Защитить софт от чего? От копирования, при этом исполняя его на удаленной машине? Никак.

segfault ★★★★★
(03.10.11 20:52:30 MSK)

Ссылка

физический доступ к серверу исключает возможность решения сабжевой задачи

Harald ★★★★★
(04.10.11 17:31:51 MSK)

Ссылка

Можно в случае чего делать ifconfig vr0 down

Но я бы лучше сразу сервер взрывал.

~~Othniel~~
(06.10.11 00:12:13 MSK)

Ссылка

Все конфиденциальные данные хранить зашифрованными в оперативке на ramdisk-е. На винте хранить эти данные тоже только в шифрованном виде, бекапить из рамдиска на винт раз в день, шифровать на винте уже другим ключем, ключ шифрования для бекапов на винте и для ramdisk-а генерить через /dev/random раз в день. Ключ который для ramdisk-а хранить только в оперативке и удалять после замены на новый. Ключ который для бекапа на винте отправлять автоматически раз в день через ssh в надежное место.

anonymous
(18.10.11 08:32:11 MSK)

Ответ на: комментарий от anonymous 18.10.11 08:32:11 MSK

если предполагается, что клиенты сами будут расшифровывать данные с сервера, хранить ключ для ramdisk-а в оперативке не надо, надо его через ssh отправлять клиентам

anonymous
(18.10.11 08:37:18 MSK)

Ответ на: комментарий от anonymous 18.10.11 08:37:18 MSK

Жирный нужен рамдиск вам так не кажется? Имхо это пустое извращение.

~~bhfq~~ ★★★★★
(18.10.11 08:53:30 MSK)

Ответ на: комментарий от bhfq 18.10.11 08:53:30 MSK

Да, все это переусложнено. Проще заливать на сервер уже шифрованнные данные, и чтобы их оттуда скачивали клиенты в шифрованном же виде. Очевидно, что шифровать и расшифровывать данные надо не на сервере. У клиентов ключ для расшифровки, у администратора ключ для шифрования.

anonymous
(18.10.11 09:18:24 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Виндовс-вирус и каталог ..

Security

Маскировка демонов, слушающих внешние интерфейсы

→

Похожие темы