Дедик.ру | выделенный сервер.

Предположим, Вы создали некоторое ПО, которое обеспечивает платный онлайновый сервис, и Вы опасаетесь, что это ПО может быть похищено хостером.
Или иначе - у Вас есть архив собственных фоторабот, который Вы продаете.
Возможно, у Вас на сервере просто сетевой диск с ценной базой данных, за которую конкуренты и мать родную продадут.

Итак, мы определились: есть некоторая информация, представленная в виде файла и требующая хранения на удаленном сервере для нормальной работы, но в то же время требующая защиты от несанкционированного доступа.

Классифицируем уровни возможных рисков:

1. Локальный несанкционированный доступ к комплектующим сервера.
2. Локальный несанкционированный доступ к серверу.
3. Удаленный несанкционированный доступ к серверу авторизированных пользователей.
4. Удаленный несанкционированный доступ к серверу неавторизированных пользователей.

Под локальным доступом к комплектующим сервера мы подразумеваем возможности физического похищения информации. Например, просто унести дисковый накопитель; возможность внедрить аппаратно-программный комплекс, направленный на получение конфиденциальной информации и прочее.
Это самый простой и эффективный способ похитить информацию. Следовательно, необходимо предусмотреть возможность активных или пассивных мер защиты. Например, срабатывание устройства, генерирующего электромагнитный импульс при вскрытии корпуса - это активная мера защиты. А вот специализированный контроллер диска, который не даст доступа к носителю без ввода пароля, или просто зашифрованный диск - пассивная.

Под локальным доступом к серверу мы подразумеваем физический доступ к серверу без вскрытия корпуса. Обладая физическим доступом, можно перезагрузить сервер, попытаться зайти в служебный режим работы, загрузиться с внешнего носителя, снять пароль в BIOS, поставить black box в разрыв между сетевой картой и витой парой и т.п.
Необходимо предусмотреть возможность входа сотрудников провайдера, однако в то же время необходимо исключить доступ к конфиденциальной информации.
Полностью блокировать загрузку с внешних носителей и локальный вход в служебном режиме работы невозможно. Следовательно, необходимо разделить аппаратно или программно сервер на публичную часть и приватную. Хорошим примером служит зашифрованный диск, представляющий собой обычный файл. Для того, чтобы его примонтировать, необходимо ввести пароль, причем это можно сделать удаленно. Естественно, что целостность публичной части должна быть под контролем. Как минимум, установка tripwire обязательна.

Удаленный доступ к системе авторизированными пользователями наиболее опасен, так как они имеют доступ к конфиденциальным данным и вопрос защиты тут зависит в большей степени от человеческого фактора, чем от технических средств защиты. Для защиты же от кражи пароля у авторизированного пользователя существует достаточно много методов, самый простой из которых - это изоляция пользователя в своей среде (chroot;jail) с эмуляцией прав суперпользователя в ней. Злоумышленник, похитивший пароли, сразу выдаст себя попытками скачать эксплоиты, компиляцией и прочими действиями.

Удаленный доступ к системе неавторизированными пользователями должен быть предотвращен с неменьшим старанием, чем остальные. Классическим примером кражи файла служит взлом через upload. Приведем пример.
Предположим, что на веб-сервере есть директория, куда пользователи могут сохранять файлы. Злоумышленник загружает туда специальный скрипт php, после чего обращается к нему с веб-сервера и получает полный доступ к содержимому сайта. Он может скачать все файлы, узнать доступ к базе данных из незашифрованного конфигурационного файла и пр.

Отметим, что защита должна быть комплексной и разрабатываться специалистами. И естественно, что это достаточно дорогое удовольствие.