https://www.opennet.ru/openforum/vsluhforumID10/4462.html Что дано:<br> Конечной организации будет поставлен сервер, на котором будет рабоать веб-приложение (python\Django).<br>Задача:<br> Не допустить тиражирования веб-приложения. Даже, если будет доступ к данным(хотя, лучше бы этого избежать).<br>Варианты, которые я нашел:<br>- использование eCryptfs. Правда, метод использования мне до конца не ясен. Я только нагуглил среди списка ФС с шифрованием. Пока не вникал\не тестил.<br>- Подвергнуть приложение обфускации. Правда, не факт, что есть обфускаторы для Django-проектов. Пока не искал.<br>- Запретить SSH.(или обезопасить максимально)<br><br>Прошу подсказать возможные варианты решения. <br> https://www.opennet.ru/openforum/vsluhforumID10/4462.html#7 Tue, 19 Jan 2010 19:08:10 GMT &gt;А можно немного технических деталей по части реализации? <br><br>а DM-crypto/LUKS чемто не устраивает для частей, хранящих приложение/OS ?<br><br>p.s.<br>не забудьте только настроить AIDE/Tripwire(или как минимум HAVP) на автовыкат из бэкапа "/boot"(нешифруемы), при нарушении целостности(руткиты, логгеры итп).<br> https://www.opennet.ru/openforum/vsluhforumID10/4462.html#6 Thu, 24 Dec 2009 14:36:51 GMT А можно немного технических деталей по части реализации?<br> https://www.opennet.ru/openforum/vsluhforumID10/4462.html#5 Thu, 24 Dec 2009 11:53:09 GMT &gt;&gt;А просто правами на каталоги/файлы не отмежеваться от остальных пользователей? <br>&gt;&gt;chmod -R o-rwx /some_data <br>&gt;&gt;chown -R root:secure /some_data <br>&gt;&gt;gpasswd -a apache(www-data) secure <br>&gt;<br>&gt;Дело в том, что мне нужен способ который будет эффективен даже если <br>&gt;злоумышленник получит root'а. При физическом доступе к серверу это вполне возможно. <br>&gt;Сам видел. Пользователей на сервере не будет, имеется ввиду - рабочих <br>&gt;пользователей, только сервисные - для базы данных и тп. <br><br>1. чтобы обезопасить сами приложения на диске я бы использовал криптование раздела на файловой системе. главный пароль для раскриптовки НЕ должен хранится локально, а должен вводится при загрузке сервера. то есть перезагрузил - пока не введешь пароль ничего работать не будет<br><br>2. чтобы защитить данные (а не программы, я уже делал базу где хранятся кредитные карты) - все данные в базе криптуются ключем, который вводится в программу в момент старта и нигде не хранится. веб-приложение у меня было на Java/Tomcat, при рестарте томката ключ https://www.opennet.ru/openforum/vsluhforumID10/4462.html#4 Thu, 24 Dec 2009 06:38:42 GMT &gt;А просто правами на каталоги/файлы не отмежеваться от остальных пользователей? <br>&gt;chmod -R o-rwx /some_data <br>&gt;chown -R root:secure /some_data <br>&gt;gpasswd -a apache(www-data) secure <br><br>Дело в том, что мне нужен способ который будет эффективен даже если злоумышленник получит root'а. При физическом доступе к серверу это вполне возможно. Сам видел. Пользователей на сервере не будет, имеется ввиду - рабочих пользователей, только сервисные - для базы данных и тп. <br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID10/4462.html#3 Wed, 23 Dec 2009 14:44:27 GMT А просто правами на каталоги/файлы не отмежеваться от остальных пользователей?<br>chmod -R o-rwx /some_data<br>chown -R root:secure /some_data<br>gpasswd -a apache(www-data) secure <br><br><br> https://www.opennet.ru/openforum/vsluhforumID10/4462.html#2 Thu, 17 Dec 2009 08:05:57 GMT Начну с 3-го) самый доступный вариант. Но мне кажется должны быть еще способы, реализуемые с помощью средств ОС.<br> https://www.opennet.ru/openforum/vsluhforumID10/4462.html#1 Thu, 17 Dec 2009 06:29:54 GMT 1) надо арендовать банковкую яцейку, выкрутить ВСЕ диски с сервера и спрятать в ячейке<br>при этом лучше использовать рейд 5 минимум из 4 дисков, половину дисков хранить в другом банке (в другой ячейке).<br>2) надо узнать все о фирме разработчике веб приложения, особенно то где они хранят проекты и бекапы данных. дале следуует уничтожить сервера и компьютеры на которох потенциально могут остаться данные связанные с вашим проектом (кража, пожар, взрыв).<br>3) дале надо запугать людей что либо знавших о проекте<br><br>