Как обезопасить клиентские ПК? шифрование?

Ссылка скопирована
Linux Шифрование
1 ответ

Есть необходимость поставлять миниПК клиентам, с конечным софтом.
Есть желание отгородиться от большинства "умелых" ручек, которые туда полезут.
С шифрованием в таком плане не сталкивался.

Какие есть варианты защитить если не саму ОС ( в целом там ничего секретного), но хотя бы докер контейнеры, которые там будут? Т.к. там будет 2-3 файла с конфигурациями и данными, которые клиенту вообще нельзя показывать.

Хочется защитить от способа "загрузочная флешка", и желательно от подбора ssh (с ssh как раз понятно, просто по ключу доступ)
Полное шифрование диска не подходит, тк. железки будут автономны.
По этой же причине не подходит и шифрование отдельной папки, т.к. я понимаю что без ввода пароля из неё никакой сервис не стартанёт...
В общем куда посмотреть почитать, что изучить?

UPD - задача упростилась. Надо просто не дать увидеть файлы докера на выключенной машине. Ну тоесть если кто то загрузится с liveCD либо подкинет диск к своему ПК.

Дополнительно:

По-моему от загрузки с флэшки гарантированно можно защититься только отсутсвием портов в которые ее можно вставить :) Потому что имея достут к железу, терпение и стимул можно многое наворотить...

  • CityCat4, тут скорее вопрос - чтобы грузанувшись с флешки, человек даже прочитав диск не получил доступ к уязвимым данным.
    например к определенной папке нескольких файлам конфигурации
  • CityCat4, Отключить на уровне BIOS порт USB ?
  • Valentin Barbolin, ну включат обратно.. это ж не проблема
  • Drno, Пароль на BIOS
  • Drno, отломать физически, ну хотя умелые и порты припаять смогут ))
  • Valentin Barbolin, хорошая шутка, про пароль на биос..
  • CityCat4, securebott и прочие tpmы разве дадут загрузить с флешки недоверенное ПО ??
    Это же получается дыра в безопасности размером с секретаршу ??
  • pfg21, secure boot вроде вполне позволяет защититься от загрузки сторонних штук. Диск можно зашифровать, а ключи для расшифровки держать в tpm

  • UPD - задача упростилась. Надо просто не дать увидеть файлы докера на выключенной машине. Ну тоесть если кто то загрузится с liveCD либо подкинет диск к своему ПК.

    Примонтировать `/var/lib/docker` не проблема

  • Василий Банников, pfg21, в случае с распбери как это реализовать? где тупо SDшка?) её можно просто вынуть и прочитать на другом любом ПК...
    пока склоняюсь к шифрованию конкретной папки, где будет лежать проект, вопрос как её расшифровывать автоматом, при это не храня данные для расшифровки на носителе в открытом виде
  • Drno, на СД шифрованная фс. Ключ в тпм как сказал vabka.
    Тырить СД без ключа бессмысленно

    • Ответы:

    Вам нужна доверенная загрузка.
    https://0pointer.de/blog/brave-new-trusted-boot-wo...

    • интересно, спасибо. но к сожаление, если я правиильно понял, требуется ueffi.
      у нас возможен варианто что его не будет, либо будет одноплатник - типа распбери орандж ПИ
    • Drno, везде есть trusted boot/secure boot.
    • ValdikSS, на расберри и оранжах TPM нет!
    • Алексей Черемисин, Есть TrustZone в процессоре и Secure Boot в том или ином виде в бутроме, с помощью которого можно реализовать всё необходимое ОПу.

      RaspberryPi/OrangePi в плане поддержки этих технологий слабо отличаются от современных смартфонов.

    Нужно решить такую задачу?

    Опишите проблему, и специалист поможет с настройкой, исправлением ошибки или доработкой сайта. Подберём понятный план работ без лишней переписки.

    Заказать помощь
    Лучший ответ
    1
    Ольга Сеть Ответ

    Для обеспечения безопасности клиентских ПК существует несколько методов, включая шифрование данных. Шифрование - это процесс преобразования информации в нечитаемый вид, который может быть восстановлен только с помощью ключа. Вот несколько способов, которые можно использовать для обеспечения безопасности клиентских ПК:

    1. Шифрование данных на диске: Важно зашифровать данные на жестком диске клиентского ПК, чтобы предотвратить их доступ несанкционированными пользователями в случае утери или кражи устройства. Для этого можно использовать программное обеспечение для шифрования диска, такое как BitLocker (для Windows) или FileVault (для macOS).

    2. Шифрование сетевого трафика: Для защиты данных, передаваемых по сети, можно использовать протокол HTTPS, который обеспечивает шифрование данных между клиентским ПК и сервером. Также можно использовать виртуальные частные сети (VPN) для шифрования всего сетевого трафика.

    3. Антивирусное программное обеспечение: Установка антивирусного программного обеспечения на клиентские ПК поможет защитить их от вредоносных программ, таких как вирусы, троянцы и шпионское ПО.

    4. Аутентификация и авторизация: Использование сильных паролей, двухфакторной аутентификации и ограничение прав доступа пользователей помогут предотвратить несанкционированный доступ к клиентским ПК.

    5. Обновление программного обеспечения: Важно регулярно обновлять операционную систему и все установленные программы на клиентских ПК, чтобы исправить уязвимости и обеспечить безопасность данных.

    В целом, комбинирование этих методов поможет обезопасить клиентские ПК и защитить данные от несанкционированного доступа.

    Другие ответы (0)

    Пока нет других ответов. Будьте первым, кто поможет автору.

    Ответить на вопрос

    комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *

    Вам также может быть интересно

    VPN Как правильно настроить vless для Android TV? 0 ответов Pyrogram Как правильно зарегистрировать юзер бота в Telegram? 0 ответов печатные-платы Как заставить запускаться программу M3.exe от компании Hanxing AOI в инспекционной машине на Windows 7 Pro? 0 ответов code-review Нужен ли код-ревью React/TypeScript проекта? 0 ответов