Возможность чтения базы только на одном сервере?

Тема в разделе "Lotus - Администрирование", создана пользователем Extraterrestrial, 23 май 2009.

  1. Extraterrestrial

    Extraterrestrial Well-Known Member

    Регистрация:
    28 фев 2008
    Сообщения:
    267
    Симпатии:
    0
    Есть ли возможность сделать так, чтобы база данных могла быть прочитана (документы БД) только на одном сервере? Даже если создать поля типа Readers, можно средствами ОС скопировать базу, перенести на другой сервер, где у тебя есть права использовать режим Full Access Administration и там всё прочесть. А как-то можно шифровать базу, например, используя ID сервера, но чтобы все документы автоматически дешифровались для любого пользователя этого сервера? Правда, ещё проблема, что ID сервера идет без пароля...
     
  2. puks

    puks Lotus team
    Lotus team

    Регистрация:
    3 фев 2007
    Сообщения:
    1.967
    Симпатии:
    16
    Сейчас прозвучит грозный голос Кости о вреде Full Admin прав :)
     
  3. Akupaka

    Akupaka А че я?.. О.о

    Регистрация:
    4 окт 2007
    Сообщения:
    3.373
    Симпатии:
    2
    шифровать можно файловой системой...
    вообще, шифровать надо не базу, а некоторые важные поля, но тут надо много подумать, что и как правильно шифровать, чтобы оно еще и работало в плане приложения...

    зы: не знаю, кто такой Костя, но Full Admin - зло ))
     
  4. Extraterrestrial

    Extraterrestrial Well-Known Member

    Регистрация:
    28 фев 2008
    Сообщения:
    267
    Симпатии:
    0
    То есть используя сертификат пользователя, с правами которого работает в системе Domino Server? Пробовали? Как скорость работы?
     
  5. Constantin A Chervonenko

    Constantin A Chervonenko Well-Known Member

    Регистрация:
    30 май 2006
    Сообщения:
    1.288
    Симпатии:
    0
    Что значит "на одном сервере"? Что-б не могли украсть?
    Ну, при наличии физического доступа к серверу ломается ВСЁ. Базу украдут вместе с диском. Если она зашифрована id-шником сервера - украдут и его. Если надо - вместе с сёрвером.

    Или речь идёт только об удалённом доступе? Тогда - запретить в ACL копирование/репликацию. Хотя это тоже - бантик..
     
  6. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.073
    Симпатии:
    299
    Как совершенно справедливо заметил Константин - все методы по защите, при физическом доступе к серверу малоэффективны (защита от ламера)
    и ежели клиент может читать из базы - ничего не помешает ему "утянуть" всё, что может прочитать

    шифрация на основе "чипов" может помочь, но ежели перезапуск осущ. в автоматич. режиме (без к-л действий оператора), то физич. доступ к серверу сведёт вю шифрацию на "0"
     
  7. Extraterrestrial

    Extraterrestrial Well-Known Member

    Регистрация:
    28 фев 2008
    Сообщения:
    267
    Симпатии:
    0
    Жаль не получается запаролить id сервера, сервер не запускается тогда. Или как-то можно на старте пароль ввести?
    То есть если база на сервере зашифрована id сервера, то пользователи сервера её читать могут до тех пор, пока они получают доступ к ней через этот сервер?
     
  8. Akupaka

    Akupaka А че я?.. О.о

    Регистрация:
    4 окт 2007
    Сообщения:
    3.373
    Симпатии:
    2
    нет, использование шифрования файловой системы как таковой... к домине и ее юзерам не имеет отношения.
    тонкостей не подскажу, не использовал... возможность есть, но как, не умею... :)
    т.е. файл на сервере шифруется ключами на внешнем носителе, без него не читается + физ защита доступа к серверу...
     
  9. Extraterrestrial

    Extraterrestrial Well-Known Member

    Регистрация:
    28 фев 2008
    Сообщения:
    267
    Симпатии:
    0
    Это я понимаю. На самом деле средства шифрования есть свои и в Windows Server, например. Просто может ли Домино работать с зашифрованными файлами (базами)?

    И второй вопрос, к примеру моя почтовая база, которая лежит на сервере, вроде как зашифрована ID сервера... Написано Locally encrypt this database using Strong Encryption For <Имя сервера>. Это что означает? База серверная, а почему "Locally encrypt"?
     
  10. lionk

    lionk Well-Known Member

    Регистрация:
    5 апр 2007
    Сообщения:
    308
    Симпатии:
    3
    "Locally encrypt" это настройка для создания баз на локалке.
    тоесть когда ты копируеш или реплицируеш се на локалку базу, то она шифруетня твоим ид и её можно открыть только твоим ид

    по поводу шифрования дисков почитай о PGP - securety у них там есть примочка типо шифрованый раздел винта.
    на винте лежат данные в зашифрованом виде, в процесах висит PGP который в потоковм режиме их разшифровывает. там всё очень секюрно, длинные ключи, кул алгоритмы. по сети без програмной прослойки и пароля базу не стащить, и он вроде с виндой нормально дружит. Один минус, скорость чтения и записи падает. Но я у ся тестил его давно может в новых версиях всё гуд.
     
  11. Constantin A Chervonenko

    Constantin A Chervonenko Well-Known Member

    Регистрация:
    30 май 2006
    Сообщения:
    1.288
    Симпатии:
    0
    совершенно верно. Тот, кто ломанётся к базе напрямую (через файловую систему, файл-шару, локального клиента) хрен что прочитает
    Конечно можно. Стартуй сервер как задачу, а не сервис - на консоль будет запрос пароля.


    Но проблемы те же, что и с LND: кто-то при reboot-е должен ввести с консоли пароль. Либо он зашит в тот или иной скрипт - и будет украден
     
Загрузка...

Поделиться этой страницей