forum.opennet.ru - "Как защитить данные на сервере от клиента-пирата" (10)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Как защитить данные на сервере от клиента-пирата"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Как защитить данные на сервере от клиента-пирата"
Сообщение от fa (??) on 17-Май-07, 15:30
Всем привет. Вот такая задача: защитить продаваемые сервера от "пиратства". Начальство боится, что наши клиенты скопируют систему и начнут перепродавать. Вот и бъюсь... Подскажите, есть ли изъяны. Клиент-пират своей учетной записи на машине не имеет. Всем управляет через веб. НО, может загрузиться с LiveCD (или вытащить винт и переставить на другой комп как slave) и скопировать все, что надо. Все "секретные" данные сложить в один раздел. Раздел зашифровать (dm-crypt LUKS). Расшифровывать и монтировать при загрузке. Пароль для расшифровки юзер, конечно, вводить (и знать) не должен. Чтоб не приходилось каждый раз при перезагрузке вводить пароль, думаю подправить код cryptsetup, чтоб она сама вычисляла пароль как md5 от {IP, пароля рута, VendorID оборудования ... и т.д.} В общем, если вдруг какая-то характеристика меняется, меняется - пароль вычисляется не правильно и "секретный" раздел не монтируется. Как все-таки спиратить данные из "секретного раздела": 1. Как-нибудь зайти в систему, когда секретный раздел уже смонтирован (поломать веб-морду, апач, подобрать пароль ...) 2. Все-таки вытащить диск и на другом компе в дебаггере пошагово пройтись по модифицированной cryptsetup и выудить в конце-концов пароль к шифрованному разделу. 3. Может найдете еще способ ? В общем, схема не идеальная, но зато легко реализуемая. Хотелось бы услышать, насколько просто/сложно будет клиенту все-таки достать данные. Во сколько это может ему обойтись? Заранее спасибо.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Как защитить данные на сервере от клиента-пирата, pavel_simple, 15:39 , 17-Май-07, (1)

Как защитить данные на сервере от клиента-пирата, fa, 18:14 , 17-Май-07, (4)

Как защитить данные на сервере от клиента-пирата, Agressor, 15:42 , 17-Май-07, (2)

Как защитить данные на сервере от клиента-пирата, fa, 18:12 , 17-Май-07, (3)

Как защитить данные на сервере от клиента-пирата, iasb, 15:05 , 18-Май-07, (5)

Как защитить данные на сервере от клиента-пирата, Agressor, 15:46 , 18-Май-07, (6)

Как защитить данные на сервере от клиента-пирата, fa, 07:50 , 20-Май-07, (7)

Как защитить данные на сервере от клиента-пирата, iasb, 15:51 , 20-Май-07, (9)

Как защитить данные на сервере от клиента-пирата, fa, 07:58 , 20-Май-07, (8)

Как защитить данные на сервере от клиента-пирата, perece, 18:56 , 21-Май-07, (10)

Сообщения по теме [Сортировка по времени, UBB]

1. "Как защитить данные на сервере от клиента-пирата"

Сообщение от pavel_simple (ok) on 17-Май-07, 15:39

да проще всего на виртуалке будет запустить -- а там целый мир новых возможностей
думается что самое ценное в ваших серверах -- это веб-интерфейс -- потому как всё остальное (ну или большая его часть это OSS) -- вот его и защищайте -- например
сервак нормально загружается, выходит в инет -- ну а дальше коннектиться к вам -- ну и продолжать можно до.... (ключи, сертификаты сессионные выдавайте).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Как защитить данные на сервере от клиента-пирата"

Сообщение от fa (??) on 17-Май-07, 18:14

>думается что самое ценное в ваших серверах -- это веб-интерфейс -- потому
>как всё остальное (ну или большая его часть это OSS) --
>вот его и защищайте -- например
Так и есть. Защищать имеет смысл, разумеется, только то, что навояли наши девелоперы. Все это хозяйство я и собираюсь держать на шифрованом разделе.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Как защитить данные на сервере от клиента-пирата"

Сообщение от Agressor (ok) on 17-Май-07, 15:42

Грузимся с LiveCD
в /etc/passwd создаем ручками левую учетку с UID=0, даже без пароля
при этом естественно рута не трогая, грузимся с винта - логинимся созданой учеткой - и
счастье наступило :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Как защитить данные на сервере от клиента-пирата"

Сообщение от fa (??) on 17-Май-07, 18:12

>Грузимся с LiveCD
>в /etc/passwd создаем ручками левую учетку с UID=0, даже без пароля
>при этом естественно рута не трогая, грузимся с винта - логинимся созданой
>учеткой - и
>счастье наступило :)
Это контролируемо. Единственная учетная запись в системе - моя. Так что, если /etc/passwd /etc/shadow /etc/sudoers изменился - програмка вычислит пароль неверно и не сможет смонтировать "секретный" раздел.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Как защитить данные на сервере от клиента-пирата"

Сообщение от iasb (??) on 18-Май-07, 15:05

>
>Клиент-пират своей учетной записи на машине не имеет. Всем управляет через веб.
>НО, может загрузиться с LiveCD (или вытащить винт и переставить на
>другой комп как slave) и скопировать все, что надо.

я бы просто сделал дамп диска на другой такой дже диск и не парился. Вставил диск в такой же набор железа и щастя мне перепало. Продавал бы и налево и направо.

>Все "секретные" данные сложить в один раздел. Раздел зашифровать (dm-crypt LUKS). Расшифровывать
>и монтировать при загрузке.
Виндовозы так САМ файл ложат. А кто хочет - его читает. Продолжать думаю не стоит.

>Пароль для расшифровки юзер, конечно, вводить (и
>знать) не должен. Чтоб не приходилось каждый раз при перезагрузке вводить
>пароль, думаю подправить код cryptsetup, чтоб она сама вычисляла пароль как
>md5 от {IP, пароля рута, VendorID оборудования ... и т.д.}
в точности то же железо. Внутренний тот же IP с НАТом - если с выходом в инет и т.д. Продаем налево и направо. В 2 раза дешевле но с условиями кривого подключения к сети и т.д.

>В
>общем, если вдруг какая-то характеристика меняется, меняется - пароль вычисляется не
>правильно и "секретный" раздел не монтируется.
>
>Как все-таки спиратить данные из "секретного раздела":
>1. Как-нибудь зайти в систему, когда секретный раздел уже смонтирован (поломать веб-морду,
>апач, подобрать пароль ...)
а что программеры которые веб-морду даже не парятся чтобы ее откомпилировать в исполняемый формат (для веселости - для декомпиляции) а оставляют в HTML. Здорово. Это ж надо.
>2. Все-таки вытащить диск и на другом компе в дебаггере пошагово пройтись
>по модифицированной cryptsetup и выудить в конце-концов пароль к шифрованному разделу.
>
а как с лицензией на средства шифрования ? Уже получили ? (это так, к слову).
>3. Может найдете еще способ ?
>
>В общем, схема не идеальная, но зато легко реализуемая. Хотелось бы услышать,
>насколько просто/сложно будет клиенту все-таки достать данные. Во сколько это может
>ему обойтись?

В ноль рублей материальных затрат, в пару бутылок пива на спокойное размышление.
>
>Заранее спасибо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Как защитить данные на сервере от клиента-пирата"

Сообщение от Agressor (ok) on 18-Май-07, 15:46

>я бы просто сделал дамп диска на другой такой дже диск и
>не парился. Вставил диск в такой же набор железа и щастя
>мне перепало. Продавал бы и налево и направо.
>
--skip
>
>в точности то же железо. Внутренний тот же IP с НАТом -
>если с выходом в инет и т.д. Продаем налево и направо.
>В 2 раза дешевле но с условиями кривого подключения к сети
>и т.д.
>
Ага, еще и в винте и процессоре измениш их серийные номера
к которым прога будет привязяна :))
Автор топика, намек понял?

>а что программеры которые веб-морду даже не парятся чтобы ее откомпилировать в
>исполняемый формат (для веселости - для декомпиляции) а оставляют в HTML.
>Здорово. Это ж надо.
>
А вот это действительно дельно сказано! Я с веб никогда не работал плотно,
но подезреваю что тот-же ZEND может такое

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Как защитить данные на сервере от клиента-пирата"

Сообщение от fa (??) on 20-Май-07, 07:50

>>а что программеры которые веб-морду даже не парятся чтобы ее откомпилировать в
>>исполняемый формат (для веселости - для декомпиляции) а оставляют в HTML.
>>Здорово. Это ж надо.
>>
>А вот это действительно дельно сказано! Я с веб никогда не работал
>плотно,
>но подезреваю что тот-же ZEND может такое
Подскажите, как такое делается (про "откомпилить" php в исполняемый формат). Читал кое-что на тему шифрования php-файлов и дешифрования спец. модулем для apache (zend encoder, ioncube). Это оно? Народ говорит, что легко ломается, если есть рут-права на сервере: апач расшифровывает файлы в память целиком, откуда их можно читать. Хотя, это все только по наслышке. Если у кого есть опыт - поделитесь.
В моем случае все осложняется тем, что кроме php есть еще куски на perl.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Как защитить данные на сервере от клиента-пирата"

Сообщение от iasb (??) on 20-Май-07, 15:51

>>>а что программеры которые веб-морду даже не парятся чтобы ее откомпилировать в
>>>исполняемый формат (для веселости - для декомпиляции) а оставляют в HTML.
>>>Здорово. Это ж надо.
>>>
>>А вот это действительно дельно сказано! Я с веб никогда не работал
>>плотно,
>>но подезреваю что тот-же ZEND может такое
>
>Подскажите, как такое делается (про "откомпилить" php в исполняемый формат). Читал кое-что
>на тему шифрования php-файлов и дешифрования спец. модулем для apache (zend
>encoder, ioncube). Это оно? Народ говорит, что легко ломается, если есть
>рут-права на сервере: апач расшифровывает файлы в память целиком, откуда их
>можно читать. Хотя, это все только по наслышке. Если у кого
>есть опыт - поделитесь.
>В моем случае все осложняется тем, что кроме php есть еще куски
>на perl.
SourceGuardian™ 7.0 for PHP: хотя бы
а ообще - тем кто пишет прикладуху деньги платят (скорее всего) и в задании это должно стоять это требование. Если не в состояни понять чего от них хотят - надо других искать. Попрофессиональнее.
http://www.google.com.ua/search?hl=ru&client=firefox-a&rls=org.mozilla%3Aru%3Aofficial&hs=Igj&q=PHP+source+protection&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA&meta=

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Как защитить данные на сервере от клиента-пирата"

Сообщение от fa (??) on 20-Май-07, 07:58

>а как с лицензией на средства шифрования ? Уже получили ? (это
>так, к слову).
Это еще что за зверь?
>В ноль рублей материальных затрат, в пару бутылок пива на спокойное размышление.
Мож кто попробует? Могу выложить тестовую fs, и, собственно, програмку, которая ее монтирует.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Как защитить данные на сервере от клиента-пирата"

Сообщение от perece on 21-Май-07, 18:56

>>а как с лицензией на средства шифрования ? Уже получили ? (это
>>так, к слову).
>Это еще что за зверь?
>
>>В ноль рублей материальных затрат, в пару бутылок пива на спокойное размышление.
>Мож кто попробует? Могу выложить тестовую fs, и, собственно, програмку, которая ее
>монтирует.
давненько не брал я шашек в руки. вываливай - я попробую :) в кач-ве разминки для мозгофф
\^P^/

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Как защитить данные на сервере от клиента-пирата"
Сообщение от pavel_simple (ok) on 17-Май-07, 15:39
да проще всего на виртуалке будет запустить -- а там целый мир новых возможностей думается что самое ценное в ваших серверах -- это веб-интерфейс -- потому как всё остальное (ну или большая его часть это OSS) -- вот его и защищайте -- например сервак нормально загружается, выходит в инет -- ну а дальше коннектиться к вам -- ну и продолжать можно до.... (ключи, сертификаты сессионные выдавайте).
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Как защитить данные на сервере от клиента-пирата"
	Сообщение от fa (??) on 17-Май-07, 18:14
	>думается что самое ценное в ваших серверах -- это веб-интерфейс -- потому >как всё остальное (ну или большая его часть это OSS) -- >вот его и защищайте -- например Так и есть. Защищать имеет смысл, разумеется, только то, что навояли наши девелоперы. Все это хозяйство я и собираюсь держать на шифрованом разделе.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Как защитить данные на сервере от клиента-пирата"
Сообщение от Agressor (ok) on 17-Май-07, 15:42
Грузимся с LiveCD в /etc/passwd создаем ручками левую учетку с UID=0, даже без пароля при этом естественно рута не трогая, грузимся с винта - логинимся созданой учеткой - и счастье наступило :)
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Как защитить данные на сервере от клиента-пирата"
	Сообщение от fa (??) on 17-Май-07, 18:12
	>Грузимся с LiveCD >в /etc/passwd создаем ручками левую учетку с UID=0, даже без пароля >при этом естественно рута не трогая, грузимся с винта - логинимся созданой >учеткой - и >счастье наступило :) Это контролируемо. Единственная учетная запись в системе - моя. Так что, если /etc/passwd /etc/shadow /etc/sudoers изменился - програмка вычислит пароль неверно и не сможет смонтировать "секретный" раздел.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

5. "Как защитить данные на сервере от клиента-пирата"
Сообщение от iasb (??) on 18-Май-07, 15:05
> >Клиент-пират своей учетной записи на машине не имеет. Всем управляет через веб. >НО, может загрузиться с LiveCD (или вытащить винт и переставить на >другой комп как slave) и скопировать все, что надо. я бы просто сделал дамп диска на другой такой дже диск и не парился. Вставил диск в такой же набор железа и щастя мне перепало. Продавал бы и налево и направо. >Все "секретные" данные сложить в один раздел. Раздел зашифровать (dm-crypt LUKS). Расшифровывать >и монтировать при загрузке. Виндовозы так САМ файл ложат. А кто хочет - его читает. Продолжать думаю не стоит. >Пароль для расшифровки юзер, конечно, вводить (и >знать) не должен. Чтоб не приходилось каждый раз при перезагрузке вводить >пароль, думаю подправить код cryptsetup, чтоб она сама вычисляла пароль как >md5 от {IP, пароля рута, VendorID оборудования ... и т.д.} в точности то же железо. Внутренний тот же IP с НАТом - если с выходом в инет и т.д. Продаем налево и направо. В 2 раза дешевле но с условиями кривого подключения к сети и т.д. >В >общем, если вдруг какая-то характеристика меняется, меняется - пароль вычисляется не >правильно и "секретный" раздел не монтируется. > >Как все-таки спиратить данные из "секретного раздела": >1. Как-нибудь зайти в систему, когда секретный раздел уже смонтирован (поломать веб-морду, >апач, подобрать пароль ...) а что программеры которые веб-морду даже не парятся чтобы ее откомпилировать в исполняемый формат (для веселости - для декомпиляции) а оставляют в HTML. Здорово. Это ж надо. >2. Все-таки вытащить диск и на другом компе в дебаггере пошагово пройтись >по модифицированной cryptsetup и выудить в конце-концов пароль к шифрованному разделу. > а как с лицензией на средства шифрования ? Уже получили ? (это так, к слову). >3. Может найдете еще способ ? > >В общем, схема не идеальная, но зато легко реализуемая. Хотелось бы услышать, >насколько просто/сложно будет клиенту все-таки достать данные. Во сколько это может >ему обойтись? В ноль рублей материальных затрат, в пару бутылок пива на спокойное размышление. > >Заранее спасибо.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Как защитить данные на сервере от клиента-пирата"
	Сообщение от Agressor (ok) on 18-Май-07, 15:46
	>я бы просто сделал дамп диска на другой такой дже диск и >не парился. Вставил диск в такой же набор железа и щастя >мне перепало. Продавал бы и налево и направо. > --skip > >в точности то же железо. Внутренний тот же IP с НАТом - >если с выходом в инет и т.д. Продаем налево и направо. >В 2 раза дешевле но с условиями кривого подключения к сети >и т.д. > Ага, еще и в винте и процессоре измениш их серийные номера к которым прога будет привязяна :)) Автор топика, намек понял? >а что программеры которые веб-морду даже не парятся чтобы ее откомпилировать в >исполняемый формат (для веселости - для декомпиляции) а оставляют в HTML. >Здорово. Это ж надо. > А вот это действительно дельно сказано! Я с веб никогда не работал плотно, но подезреваю что тот-же ZEND может такое
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Как защитить данные на сервере от клиента-пирата"
	Сообщение от fa (??) on 20-Май-07, 07:50
	>>а что программеры которые веб-морду даже не парятся чтобы ее откомпилировать в >>исполняемый формат (для веселости - для декомпиляции) а оставляют в HTML. >>Здорово. Это ж надо. >> >А вот это действительно дельно сказано! Я с веб никогда не работал >плотно, >но подезреваю что тот-же ZEND может такое Подскажите, как такое делается (про "откомпилить" php в исполняемый формат). Читал кое-что на тему шифрования php-файлов и дешифрования спец. модулем для apache (zend encoder, ioncube). Это оно? Народ говорит, что легко ломается, если есть рут-права на сервере: апач расшифровывает файлы в память целиком, откуда их можно читать. Хотя, это все только по наслышке. Если у кого есть опыт - поделитесь. В моем случае все осложняется тем, что кроме php есть еще куски на perl.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Как защитить данные на сервере от клиента-пирата"
	Сообщение от iasb (??) on 20-Май-07, 15:51
	>>>а что программеры которые веб-морду даже не парятся чтобы ее откомпилировать в >>>исполняемый формат (для веселости - для декомпиляции) а оставляют в HTML. >>>Здорово. Это ж надо. >>> >>А вот это действительно дельно сказано! Я с веб никогда не работал >>плотно, >>но подезреваю что тот-же ZEND может такое > >Подскажите, как такое делается (про "откомпилить" php в исполняемый формат). Читал кое-что >на тему шифрования php-файлов и дешифрования спец. модулем для apache (zend >encoder, ioncube). Это оно? Народ говорит, что легко ломается, если есть >рут-права на сервере: апач расшифровывает файлы в память целиком, откуда их >можно читать. Хотя, это все только по наслышке. Если у кого >есть опыт - поделитесь. >В моем случае все осложняется тем, что кроме php есть еще куски >на perl. SourceGuardian™ 7.0 for PHP: хотя бы а ообще - тем кто пишет прикладуху деньги платят (скорее всего) и в задании это должно стоять это требование. Если не в состояни понять чего от них хотят - надо других искать. Попрофессиональнее. http://www.google.com.ua/search?hl=ru&client=firefox-a&rls=org.mozilla%3Aru%3Aofficial&hs=Igj&q=PHP+source+protection&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA&meta=
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Как защитить данные на сервере от клиента-пирата"
	Сообщение от fa (??) on 20-Май-07, 07:58
	>а как с лицензией на средства шифрования ? Уже получили ? (это >так, к слову). Это еще что за зверь? >В ноль рублей материальных затрат, в пару бутылок пива на спокойное размышление. Мож кто попробует? Могу выложить тестовую fs, и, собственно, програмку, которая ее монтирует.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Как защитить данные на сервере от клиента-пирата"
	Сообщение от perece on 21-Май-07, 18:56
	>>а как с лицензией на средства шифрования ? Уже получили ? (это >>так, к слову). >Это еще что за зверь? > >>В ноль рублей материальных затрат, в пару бутылок пива на спокойное размышление. >Мож кто попробует? Могу выложить тестовую fs, и, собственно, програмку, которая ее >монтирует. давненько не брал я шашек в руки. вываливай - я попробую :) в кач-ве разминки для мозгофф \^P^/
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]