Szép dolog a bizalom, de a biztonság bizonyos esetekben fontosabb.
Ha tárhelyet bérlünk, ha jól látom mindenhez hozzáfér a szolgáltató.
Bérelhetnék persze egy szervert, de ha nagyon belegondolunk, az ottani rendszergazda akkor is hozzáférhet.
Lehet saját rendszergazdánk: de aki nem egy nagyobb cég, annak nincs pénze ilyesmire.
A legjobb, ha az ember a saját helyén tartja a szervert, de ehhez sok technikai feltételnek kellene megfelelni.
Tehát: megoldható, hogy egy tárhely bérlésnél olyan titkosítást alkalmazzunk, hogy ne férjenek hozzá a tárhely root-ok se?
Tartok tőle, hogy nemleges választ kapok :-(
Fórum:
nem
Nem. Hiába a titkosítás, a könyvtárak, fájlok tartalmát mindenképpen elérhetővé kell tenni, az pedig ezzel jár. A rendszergazda amúgy is elér mindent, ha pedig bármilyen komolyabb műveletet szeretnél végrehajtani, ahhoz úgyis shell-hozzáférés kell, azt pedig szerintem itthon egyik szolgáltató sem ad.
Esetleg bérelj VPS-t, de a legtöbb esetben ez ellen az sem véd.
Választ szeretnél? - Új kérdés, új téma - Tesztoldal - Trollkezelés - Frissítés
Ettől tartottam. Tehát csak
Ettől tartottam. Tehát csak az a biztos, ha nálam van a szerver.
Az az érdekes, hogy cégek százezrei szerintem egy sima tárhelyen, vagy bérelt szerveren tartja a dolgait, ahol az összes ügyfelének az adatai, üzletkötések, üzleti titkok is vannak, e-mailek, minden levél, amibe ha akar, belenézhet egy szolgáltató.
Mondhatnánk, hogy ha sok az ügyfele, nincs ideje erre. Viszont ha egy-két cégre figyel csak, amiben lát fantáziát...
Vajon ez a probléma csak engem zavar?
És még nincs is cégem, aminek titkai lennének :-)
saját szerver
Ahol ez igazán fontos, ott saját szervert üzemeltetnek, a hozzáférések szigorúan szabályozva és a dolgozók folyamatosan monitorozva vannak, a tevékenységeket naplózzák, illetve minden dolgozóval megfelelő titoktartási szerződést iratnak alá.
De már az is segíthet, ha külföldre viszed az oldalt, nem valószínű, hogy fordítgatni fogják a szövegeidet; illetve nagy szolgáltató nem vállalja be a lebukással járó per és presztisveszteség lehetőségét.
Választ szeretnél? - Új kérdés, új téma - Tesztoldal - Trollkezelés - Frissítés
De már az is segíthet, ha
Igen, ez is egy út, ezért is használok a magyar e-mail szolgáltatók helyett külföldit, azaz a Google-t. A magyar részleg meg úgyis kicsi ahhoz, hogy a levelekben turkáljon :-)
Komoly projektek nem
Komoly projektek nem üzemeltethetők megosztott szervereken (titoktartás, harmadik fél kizárása miatt).
A co-location miatt nem aggódnék, műveleti NATO- és betegadatokat kezelő egészségügyi projekten is dolgoztam, amelyek nyilvános adatközpontokban üzemelnek. Sajnos sok szolgáltató nem ad a vizuális biztonságra, és nincs lehetőség elkülönített konzolos teremre, ahol tizenévesek nem sasolják egymás monitorját és nincs bekamerázva a helység sem.
Ha adatot akar valaki szerezni, akkor a fizikai fenyegetés még mindig olcsóbb és gyorsabb, mint ssh kulcsokkal bohóckodni. ;)
Van olyan server
Ezzel nem teljesen értek egyet, vannak olyan *** server megoldások, ahol nincs is admin egyáltalán, azért, hogy (soha ne legyen egy ponton támadható a rendszer) olyan felhasználó, aki mindenhez hozzáfér. De az ilyet meg kell fizetni, ezek a szerverek nem az átlagember operációs rendszerét használják.
És akkor ki végzi el a
És akkor ki végzi el a szerveren futó rendszer karbantartását? Lehet korlátozni az adminisztrátor jogkörét, de nem feltétlenül jó megoldás, mert akkor nem tudja maradéktalanul elvégezni a rá bízott feladatokat. Inkább monitorozni és naplózni szokták az általa végzett tevékenységet.
Választ szeretnél? - Új kérdés, új téma - Tesztoldal - Trollkezelés - Frissítés
Igazad van
Persze minden megoldásnak van előnye és hátránya is. Nekem nincs megfelő információm annak megítélésre, hogy pontosan miért használnak ilyen rendszereket azok, akik ilyet használnak. Én csak azt modntam, hogy létezik ilyen is, és ára is van.
Virtuális gép a legtöbb
Virtuális gép a legtöbb oprendszeren elérhető, ezt hívják a webes zsargonban VPS-nek. Ezt már 40 éve a VMS és az OS/360 is tudja, a legtöbb *nix-származék is vagy 20 éve, "ulimit" pedig talán még a System V-ban is volt.
root
A root mindenhez hozzáfér, azért root. A VPS sem megoldás... erre saját szerver kel, amit otthonról üzemeltetsz. De azt is vkinek fel kell telepíteni és konfigolni.
Amúgy szted érdekli a szolgáltatód h mi van az oldalon? Én is szolgáltatok és kb lexarom h milyen fileokat másol fel. Úgyis korlátok között van a tárhely bérlője. A szerződés meg véd mindkettőnket, ha bárki olyat csinálna, ami a másiknak nem jó.
Akkor így mondom: a
Akkor így mondom: a szolgáltatók 99%-áról nem is feltételezem, hogy ilyet tenne.
De azért azt se állítsuk, hogy a világban nincsenek visszaélések, bűnözésre hajlamos emberek.
Tehát a lehetőség a lényeg, nem az, hogy szerencsénk van 99-szer, és csak 1-szer fog ki valaki egy olyan céget.
A lényeg tehát az: saját szerver.
halottnak a csók
Ez körülbelül olyan, mint a bringa lakatolás, vagy az autó riasztó stb. Teljesen mindegy mit pakolsz bele, ha el akarják vinni, elviszik. A saját szervert is valahol üzemeltetni kell. Gondolom az iroda nincs közvetlenül a BIX-re kötve. Ha biztonságról van szó "látogass meg" egy bankot vagy egy tőzsdét... A véletlenszerű betolakodók ellen elég egy jó szolgáltató és egy jó szerződés.
Ismerős ez a gondolkodás:
Ismerős ez a gondolkodás: máshol is lehet probléma, otthoni szervernél is, tehát nem kell vele foglalkozni.
Igen, lehet, de azért van különbség, hogy mekkora a kockázat. A biztosítótársaság biztosítása sem véd a baj ellen. És ők éppen a kockázatkezelés alapján határozzák meg tevékenységüket.
Tehát nem mindegy, mekkora a valószínűsége...
A fő téma esetében pedig az előfordulás valószínűségét igyekeztem körbejárni, pontosabban az esetleges baj elkerülésének megoldását megtalálni, ha van rá mód.
Nincs, és köszönöm az építő jellegű válaszokat, ha lenne jogosultságom, a témát le is zárnám! :-)
teljesen félreértettél
Ha úgy gondolnám, hogy a biztonsági fenyegetések ellen az a megoldás, hogy a gép szétteszi a lábát, akkor azt írtam volna.
Ajánlom figyelmedbe nevergone hozzászólását.
Hát te meg mit üzemeltetsz
Istenem, bár nekem lenne olyan weboldalam ahol a marketing, a szép kinézet, a gyors és hibamentes működés stb már mind adott és már úgy kéne kitalálnom a problémákat mint a T. posztolónak!
A megoldás annyi hogy nem a pistike btnél üzemelteted a site-ot egyébként meg szedd le az alumíniumfólia sapkát a fejedről, hülyén mutat. Az ellen mit fogsz csinálni ha valaki betör az irodába és bepoloskázza a gépeket?
Szerkesztés: szóval, te vagy X akinek Y a gonosz üzleti ellenfele. Y-nak megér Z forintot hogy lefizesse a szolgáltatót hogy lopja az adatot a szerverről. (Z eleve relatíve nem túl nagy különben tényleg a bepoloskázás az olcsóbb.) Ha a szolgáltató elég nagy és Z az ő hírnevében okozott kárhoz nem ér fel, akkor Y-t ki fogja hajítani az ajtón. Stimmt?
Szerkesztés2: ez minden biztonság alapja. Annyit kell elkölteni, hogy a támadónak ne érje meg a védelmen áthatolni. Minden, de minden védelmen át lehet hatolni, ez nem kérdés.
Szerkesztés3: azt a szervert szeretném én látni ami annyira be van védve, hogy olcsóbb megdönteni a szolgáltatót lefizetve mint valami remote security hole-t kiaknázni. Ennyire biztos vagy benne hogy nincs egy szál sechole a kódodban ami majd ott fut?
Szerkesztés4: (majd ha megírtam egy könyvet, abbahagyom) Biztos hogy Erzsike a titkárnő nem adja ki a jelszavát ha valaki ügyesen kéri? :)
+1
Erre +1.
biztonság nincs
Egyetlen adat sincs biztonságban, amely olyan gépen van, aminek van internet elérése. Ezt el kell fogadni.
Arra pedig vannak kidolgozott módszerek, hogyan kell kiszámítani azt az összeget, amit legfeljebb megéri a védelemre költeni.
Tapasztalatból mondom, a célzott behatolások (azaz, amikor nem brahiból csinálják, hanem egy konkrét adatot akarnak megszerezni) 80+ százaléka "social engineering" módszerrel történik, valamint fizikai jelenléttel szerzik meg az adatot.
A téma egyébként hatalmas. A szinte teljes biztonság pedig elképesztően drága (az otthon van a szervered sokkal kevésbé biztonságos, mint egy nagy cég szerverterme) és naponta nő ez az összeg.
Teljesen egyetértek chx-el
plussz ha már a biztonságnál tartunk, akkor érdemes lenne kilátogatnod a Hacktivity nevű rendezvény sorozatra. Amely éppen most a hétvégén zajlik azt hiszem a Dürer-kertben, de pontosabbat a konferencia honlapján találsz: http://hacktivity.hu
Igaz nem feltétlenül fogsz hallani a Drupal biztonságról, de sok egyéb biztonsági megoldásról, illetve támadási technikáról biztosan.
--
Borsa Péter
https://peterborsa.eu
egy "remek" példa
Egy "remek" példa arra, hogy lehetőleg miért kerüljük el a "Pistike Bt." jellegű szolgáltatókat: http://drupal.hu/node/11465
Választ szeretnél? - Új kérdés, új téma - Tesztoldal - Trollkezelés - Frissítés