Разрешения каталога для сервера OEM www
Я строю простой LAMP, который записывает данные автоматизации производства и передает эту информацию локально на планшеты и ПК через Wi-Fi. Он настроен на автоматическую загрузку при подаче питания и автоматический вход в систему для запуска Apache и MySql. Все это прекрасно работает.
Моя проблема в том, что после автоматического входа в систему каталог WWW открыт, и любой может просматривать и изменять эти файлы php & html.
Как настроить разрешения для каталога WWW таким образом, чтобы Apache работал, но вы не можете просматривать или изменять эти файлы?
Скажу иначе: я даю своему клиенту коробку физического компьютера, но не хочу, чтобы они просматривали или модифицировали мое веб-программирование.
Любая помощь очень ценится.
2 ответа
я покрыл что-то подобное здесь прежде , но это никогда не достаточно. Это только берет кого-то с физическим доступом небольшое количество экспертного знания ноу-хау, чтобы получить корень и получить доступ к Вашим файлам. Можно сделать несколько шагов для создания этого максимально трудно хотя:
-
, Почему система должна автовойти в систему вообще? Настройки по умолчанию для
lamp-serverзапуск задачи серверы ЛАМПЫ в фоновом режиме. Нет никакого системного доступа кроме httpd. Вы не должны "входить в систему" для тех для исчерпывания и если Вы так или иначе подняли вещи вокруг так, чтобы Вы вошли в систему как конкретный пользователь для запуска веб-сервера, Вы делаете его неправильно . -
Следующий, если Вам действительно нужен настольный пользователь, почему это должно быть тем же человеком как пользователь, выполняющий веб-сервер (
www-dataпо умолчанию)? Просто разделите их и удостоверьтесь, что полномочия Ваших файлов не слишком открыты. Что-то какsudo chmod 750 /var/www/должно быть достаточно для остановки других, читающих. -
Личинка Калеки к удаляют режим восстановления .
-
BIOS блокировки Пароля (обычно не будет защищать от сброса BIOS/CMOS)
-
Горячее связующее звено батарея CMOS в и покрывает Перемычки сброса значений CMOS
-
Плавка кабель SATA в диск и материнскую плату с помощью паяльника или тонн связующего звена.
-
Запутывают и делают водяные знаки на Ваших файлах на каждом развертывании так, чтобы, если они действительно становятся зазубренными, можно было проследить его до одного клиента так, чтобы можно было предъявить иск им.
-
Физические ограничения доступа важны также.
-
, Возможно, самое главное, если Вы собираетесь развернуть свое программное обеспечение где-нибудь, удостоверяются человек, в которого оно идет, знает, что они ответственны за его безопасность. Я звучу странным, но это весьма распространено. Имейте контракт с ними, который обрисовывает в общих чертах их обязательства, если их копия Вашего кода просочена.
Делают все это, и это могло бы взять кого-то хорошего приблизительно десять минут дольше, чтобы разработать, как получить доступ к файлам. Это - главным образом время для нагревания связующего звена для удаления его.
, Если Вы не хотите, чтобы они когда-либо получили доступ, не давайте им файлы. Разместите его сами и обеспечьте его как услуга, который легкого демона (Вы пишете), связывается с.
-
1Спасибо за ответ Oli и Fih - я плохо знаком с Linux (окна спасибо 8) - я didn' t знают, что Apache запустился бы без автоматического входа в систему. Просто устранение, которое должно добиться цели для меня. I' m не взволнованный по поводу клиентов, взламывающих - я просто хочу защитить от средних мужланов, дурачащихся с моим кодом. Хакер, достаточно хороший для заканчивания паролей, мог просто программировать эту вещь с нуля не аэрокосмические исследования. Если мне будет нужно больше защиты, я просто куплю fanless ПК и горшок все поле в тепловой проводящей эпоксидной смоле:) – Martin Beckett 18.05.2020, 12:30
В дополнение к Oli выше
, Если Вы не хотите портить свою материнскую плату и диски. Можно купить твердый башенный корпус со сборкой в физической блокировке и затем склеить водяной знак к случаю, таким образом, Вы будете видеть, был ли случай открыт (водяной знак будет порван).