Есть ли возможность сделать так, чтобы база данных могла быть прочитана (документы БД) только на одном сервере? Даже если создать поля типа Readers, можно средствами ОС скопировать базу, перенести на другой сервер, где у тебя есть права использовать режим Full Access Administration и там всё прочесть. А как-то можно шифровать базу, например, используя ID сервера, но чтобы все документы автоматически дешифровались для любого пользователя этого сервера? Правда, ещё проблема, что ID сервера идет без пароля...
-
Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе
шифровать можно файловой системой...
вообще, шифровать надо не базу, а некоторые важные поля, но тут надо много подумать, что и как правильно шифровать, чтобы оно еще и работало в плане приложения...
зы: не знаю, кто такой Костя, но Full Admin - зло ))
вообще, шифровать надо не базу, а некоторые важные поля, но тут надо много подумать, что и как правильно шифровать, чтобы оно еще и работало в плане приложения...
зы: не знаю, кто такой Костя, но Full Admin - зло ))
То есть используя сертификат пользователя, с правами которого работает в системе Domino Server? Пробовали? Как скорость работы?
Constantin A Chervonenko
Green Team
Что значит "на одном сервере"? Что-б не могли украсть?
Ну, при наличии физического доступа к серверу ломается ВСЁ. Базу украдут вместе с диском. Если она зашифрована id-шником сервера - украдут и его. Если надо - вместе с сёрвером.
Или речь идёт только об удалённом доступе? Тогда - запретить в ACL копирование/репликацию. Хотя это тоже - бантик..
Как совершенно справедливо заметил Константин - все методы по защите, при физическом доступе к серверу малоэффективны (защита от ламера)
и ежели клиент может читать из базы - ничего не помешает ему "утянуть" всё, что может прочитать
шифрация на основе "чипов" может помочь, но ежели перезапуск осущ. в автоматич. режиме (без к-л действий оператора), то физич. доступ к серверу сведёт вю шифрацию на "0"
и ежели клиент может читать из базы - ничего не помешает ему "утянуть" всё, что может прочитать
шифрация на основе "чипов" может помочь, но ежели перезапуск осущ. в автоматич. режиме (без к-л действий оператора), то физич. доступ к серверу сведёт вю шифрацию на "0"
Жаль не получается запаролить id сервера, сервер не запускается тогда. Или как-то можно на старте пароль ввести?
То есть если база на сервере зашифрована id сервера, то пользователи сервера её читать могут до тех пор, пока они получают доступ к ней через этот сервер?
нет, использование шифрования файловой системы как таковой... к домине и ее юзерам не имеет отношения.
тонкостей не подскажу, не использовал... возможность есть, но как, не умею...
т.е. файл на сервере шифруется ключами на внешнем носителе, без него не читается + физ защита доступа к серверу...
нет, использование шифрования файловой системы как таковой... к домине и ее юзерам не имеет отношения.
тонкостей не подскажу, не использовал... возможность есть, но как, не умею...
т.е. файл на сервере шифруется ключами на внешнем носителе, без него не читается + физ защита доступа к серверу...
Это я понимаю. На самом деле средства шифрования есть свои и в Windows Server, например. Просто может ли Домино работать с зашифрованными файлами (базами)?
И второй вопрос, к примеру моя почтовая база, которая лежит на сервере, вроде как зашифрована ID сервера... Написано Locally encrypt this database using Strong Encryption For <Имя сервера>. Это что означает? База серверная, а почему "Locally encrypt"?
"Locally encrypt" это настройка для создания баз на локалке.
тоесть когда ты копируеш или реплицируеш се на локалку базу, то она шифруетня твоим ид и её можно открыть только твоим ид
по поводу шифрования дисков почитай о PGP - securety у них там есть примочка типо шифрованый раздел винта.
на винте лежат данные в зашифрованом виде, в процесах висит PGP который в потоковм режиме их разшифровывает. там всё очень секюрно, длинные ключи, кул алгоритмы. по сети без програмной прослойки и пароля базу не стащить, и он вроде с виндой нормально дружит. Один минус, скорость чтения и записи падает. Но я у ся тестил его давно может в новых версиях всё гуд.
тоесть когда ты копируеш или реплицируеш се на локалку базу, то она шифруетня твоим ид и её можно открыть только твоим ид
по поводу шифрования дисков почитай о PGP - securety у них там есть примочка типо шифрованый раздел винта.
на винте лежат данные в зашифрованом виде, в процесах висит PGP который в потоковм режиме их разшифровывает. там всё очень секюрно, длинные ключи, кул алгоритмы. по сети без програмной прослойки и пароля базу не стащить, и он вроде с виндой нормально дружит. Один минус, скорость чтения и записи падает. Но я у ся тестил его давно может в новых версиях всё гуд.
Constantin A Chervonenko
Green Team
совершенно верно. Тот, кто ломанётся к базе напрямую (через файловую систему, файл-шару, локального клиента) хрен что прочитает
Конечно можно. Стартуй сервер как задачу, а не сервис - на консоль будет запрос пароля.
Но проблемы те же, что и с LND: кто-то при reboot-е должен ввести с консоли пароль. Либо он зашит в тот или иной скрипт - и будет украден
Обучение наступательной кибербезопасности в игровой форме. Начать игру!