Защита исходников

Но непонятна ситуация с грубом, ведь можно перейти в single mode, сбить пароль руту и загрузится.

Шта?

Последние Ubuntu умеют шрифование всего раздела + тут же LVM.

Хах, fix. Физического доступа я туда не получу. Что можно придумать уже внутри виртуалки?

Инструмент для обфускации PHP-кода позволяет "запутать" код PHP-программы так, что в нем невозможно будет разобраться. Обфускатор убирает из PHP кода все пробелы и комментарии, изменяет имена переменных и функций. Имеется возможность шифрования статических строк, сжатия и архивации скрипта.

Или не то?

Если есть root на хост-системе, где крутится виртуалка, то тебя ничто не спасёт, ибо можно банально прочитать содержимое оперативной памяти виртуалки. Только разместить исходники на своём личном сервере, а в виртуалку поставить прокси. А вообще закрытые исходники - зло.

Желателен конечно енкодер, обфускатор совсем не то.

закрытые исходники - зло.

Инкрементирую

Кто сталкивался с подобным

Сталкивался.

есть какие-то решения?

Был сделан выбор не закрывать исходники.

Скомпилируй свой PHP в бинарники с помощью HipHop for PHP (Facebook) :D

на каждый обфускатор найдется деобфускатор...

На груб тож порол можно поставить, тока в случае с шифрованием ФС те, каждый раз при маунте шиврованного раздела/диска придется порол вводить.

Я хочу чтоб владелец сервера, даже вытащив винты, не мог их изьять

Храни в tmpfs.

тут главное что бы деобфускация была не выгодна с экономической и временной составляющих.

Фарш невозможно провернуть назад,
И кошку из котлет не восстановишь...

Сомневаюсь, что там на php код такой, что его будут воровать после деобфукации, ибо логика написания процедур (особенно их имена) все равно будет утеряна безвозвратно.

Из твоего вопроса следует, что твои исходники ничего не стоят, так что не парься можешь их даже открыто хранить.

ioncube.

Инструмент для обфускации PHP-кода позволяет «запутать» код PHP-программы так, что в нем невозможно будет разобраться. Обфускатор убирает из PHP кода все пробелы и комментарии, изменяет имена переменных и функций.

Похоже на профессиональные навыки большинства программистов.

Можно и не прочитать-заблокировать swap процесса гостя)

На ubuntu 13.04, debian 7 вроде и lvm есть, и шифрованные диски монтируются после ввода пароля груба. Поправьте, если не прав.

На ubuntu 13.04, debian 7 вроде и lvm есть, и шифрованные диски монтируются после ввода пароля груба. Поправьте, если не прав.

Пароль на grub устанавливается для невозможности изменить пункты меню grub, в т.ч. и загрузке в single mode. Также чтобы примаунтить шифрованный раздел - необходимо ввести пароль. и lvm здесь не причем.

Спасибо! Пнул в нужно место. Как раз то что мне надо, шифрование диска и маунт только по паролю.

Под мои скрипты отдельные разделы, cryptsetup то что надо.

Как раз то что мне надо,

смищной ты.. нет бы Таза послушал..

Енкодер гуд конечно, но покупать не очень хочется пока.

Под мои скрипты отдельные разделы, cryptsetup то что надо.

Пароль необходимо будут вводить после каждого ребута - в курсе?

Конечно, это и нужно. Пока виртуалка онлайн - фиг рута получат. А получат рута - хер примонтируют раздел :)

Так это один и тот же пароль?

Еще бы посоветовал шифр-е или полное отключение swapa,ну это если оперативы хватает

Swap и так отключен, я так понимаю что такое решение более-менее безопасно?

Ну 2 мя командами - dd и photorec нашел пару фоток из swapa,которые открывал (для эксперимента пришлось загрузить оперативную по полной) такое конечно редкость,но кто знает

Ваше решении более-менее устойчиво, если не допускать перезагрузки виртуалки и не вводить ключ для расшифровки диска с защищаемыми данными после перезагрузки. Примерно тоже самое, что хранить всё в tmpfs.

Ломать виртуалку «на лету», читая её память и т.д. это сложно, но если её выключить можно спокойно поправить корневой раздел, если он не шифрован, и поставить туда руткит в ядро, или прописать для root'а ключ, или повесить в загрузочный скрип запуск ещё одного ssh... Причём скопировав виртуалку можно долго готовится, например, подбирать работающий руткит.

Спасибо, второй ssh это конечно очень плохо или руткиты. Шифровать корень не получится наверное. Может знаешь еще какие способы?

По мне, никакого способа защититься от аккуратного взлома виртуалки (или сервера с отрытым корпусом) нет. Возможно, какие-нибудь незаметные скрипты и патчи в ядро, которые аккуратно будут проверять её целостность и незаметно об этом сообщать.

Ну, а от грубой силы хватит шифрации раздела. Весь вопрос насколько эти скрипты важны, чтобы оплачивать труд по взлому виртуалки.