• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Возможность чтения базы только на одном сервере?

  • Автор темы Extraterrestrial
  • Дата начала
E

Extraterrestrial

Есть ли возможность сделать так, чтобы база данных могла быть прочитана (документы БД) только на одном сервере? Даже если создать поля типа Readers, можно средствами ОС скопировать базу, перенести на другой сервер, где у тебя есть права использовать режим Full Access Administration и там всё прочесть. А как-то можно шифровать базу, например, используя ID сервера, но чтобы все документы автоматически дешифровались для любого пользователя этого сервера? Правда, ещё проблема, что ID сервера идет без пароля...
 

puks

Lotus Team
03.02.2007
1 919
55
BIT
3
Сейчас прозвучит грозный голос Кости о вреде Full Admin прав :)
 
A

Akupaka

шифровать можно файловой системой...
вообще, шифровать надо не базу, а некоторые важные поля, но тут надо много подумать, что и как правильно шифровать, чтобы оно еще и работало в плане приложения...

зы: не знаю, кто такой Костя, но Full Admin - зло ))
 
30.05.2006
1 345
12
BIT
0
Есть ли возможность сделать так, чтобы база данных могла быть прочитана (документы БД) только на одном сервере?
Что значит "на одном сервере"? Что-б не могли украсть?
Ну, при наличии физического доступа к серверу ломается ВСЁ. Базу украдут вместе с диском. Если она зашифрована id-шником сервера - украдут и его. Если надо - вместе с сёрвером.

Или речь идёт только об удалённом доступе? Тогда - запретить в ACL копирование/репликацию. Хотя это тоже - бантик..
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 933
609
BIT
177
Как совершенно справедливо заметил Константин - все методы по защите, при физическом доступе к серверу малоэффективны (защита от ламера)
и ежели клиент может читать из базы - ничего не помешает ему "утянуть" всё, что может прочитать

шифрация на основе "чипов" может помочь, но ежели перезапуск осущ. в автоматич. режиме (без к-л действий оператора), то физич. доступ к серверу сведёт вю шифрацию на "0"
 
E

Extraterrestrial

Что значит "на одном сервере"? Что-б не могли украсть?
Ну, при наличии физического доступа к серверу ломается ВСЁ. Базу украдут вместе с диском. Если она зашифрована id-шником сервера - украдут и его. Если надо - вместе с сёрвером.

Жаль не получается запаролить id сервера, сервер не запускается тогда. Или как-то можно на старте пароль ввести?
То есть если база на сервере зашифрована id сервера, то пользователи сервера её читать могут до тех пор, пока они получают доступ к ней через этот сервер?
 
A

Akupaka

То есть используя сертификат пользователя, с правами которого работает в системе Domino Server? Пробовали? Как скорость работы?
нет, использование шифрования файловой системы как таковой... к домине и ее юзерам не имеет отношения.
тонкостей не подскажу, не использовал... возможность есть, но как, не умею... :)
т.е. файл на сервере шифруется ключами на внешнем носителе, без него не читается + физ защита доступа к серверу...
 
E

Extraterrestrial

нет, использование шифрования файловой системы как таковой... к домине и ее юзерам не имеет отношения.
тонкостей не подскажу, не использовал... возможность есть, но как, не умею... :)
т.е. файл на сервере шифруется ключами на внешнем носителе, без него не читается + физ защита доступа к серверу...

Это я понимаю. На самом деле средства шифрования есть свои и в Windows Server, например. Просто может ли Домино работать с зашифрованными файлами (базами)?

И второй вопрос, к примеру моя почтовая база, которая лежит на сервере, вроде как зашифрована ID сервера... Написано Locally encrypt this database using Strong Encryption For <Имя сервера>. Это что означает? База серверная, а почему "Locally encrypt"?
 
L

lionk

"Locally encrypt" это настройка для создания баз на локалке.
тоесть когда ты копируеш или реплицируеш се на локалку базу, то она шифруетня твоим ид и её можно открыть только твоим ид

по поводу шифрования дисков почитай о PGP - securety у них там есть примочка типо шифрованый раздел винта.
на винте лежат данные в зашифрованом виде, в процесах висит PGP который в потоковм режиме их разшифровывает. там всё очень секюрно, длинные ключи, кул алгоритмы. по сети без програмной прослойки и пароля базу не стащить, и он вроде с виндой нормально дружит. Один минус, скорость чтения и записи падает. Но я у ся тестил его давно может в новых версиях всё гуд.
 
30.05.2006
1 345
12
BIT
0
То есть если база на сервере зашифрована id сервера, то пользователи сервера её читать могут до тех пор, пока они получают доступ к ней через этот сервер?
совершенно верно. Тот, кто ломанётся к базе напрямую (через файловую систему, файл-шару, локального клиента) хрен что прочитает
Жаль не получается запаролить id сервера, сервер не запускается тогда. Или как-то можно на старте пароль ввести?
Конечно можно. Стартуй сервер как задачу, а не сервис - на консоль будет запрос пароля.


по поводу шифрования дисков почитай о PGP - securety у них там есть примочка типо шифрованый раздел винта.
на винте лежат данные в зашифрованом виде, в процесах висит PGP который в потоковм режиме их разшифровывает. там всё очень секюрно..
Но проблемы те же, что и с LND: кто-то при reboot-е должен ввести с консоли пароль. Либо он зашит в тот или иной скрипт - и будет украден
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!