Насколько безопасный база данных PostgreSQL, если мой сервер украден?
Если у меня есть сервер с базой данных совершенно секретных данных в PostgreSQL, и мой пароль практически невозможно предположить (128 символьных строк всех видов странных символов, сгенерированных вручную). Пароль сервера является также практически неотгадываемым.
Кроме подбора пароля, как легкий это должно вытащить данные из этой базы данных?
Предположения:
- Только DB существует на сервере. Нет никакого пароля в Сценарии PHP или чем-либо как этот
- Человек, который украл сервер, является сервером / DB / эксперт по восстановлению жесткого диска
- Я не использую шифрования жесткого диска или чего-либо из нормы для защиты
- Я использую Ubuntu Hardy (последняя стабильная версия)
Я пытаюсь понять риски, связанные с кем-то получающим физический доступ к жестким дискам моего сервера.
5 ответов
» Стандартная мысль: когда кто-то садится за сервер, он скомпрометирован, конец истории. Ситуация становится только хуже, если они берут жесткий диск и относят его в лабораторию для вскрытия и анализа »
.
Как только злоумышленник получает постоянный физический доступ (т.е. он вышел из здания с вашим жестким диском в своем портфеле), проблема начинается - предположим, что со временем данные будут скомпрометированы. Отсюда сценарий представляет собой стоимость тактики задержки по сравнению с возможностью замедлить атакующего.
Немного по-другому, если злоумышленник является инсайдером или имел только временный доступ. В таких случаях вы можете достаточно замедлить его или привлечь к ответственности, чтобы атака стала невозможной.
Шифрование жесткого диска - это тактика откладывания - оно обеспечивает защиту, которая соответствует силе алгоритма, силе ключа и силе пароля, блокируя доступ к ключу (или возможность вставлять оборудование с ключом, хранящимся отдельно. ). Предполагается, что даже при использовании шифрования это тактика откладывания. Рано или поздно злоумышленник проникнет через пространство ключей и выяснит, какой ключ расшифровывает систему.
Защита от несанкционированного доступа - еще один вариант - найти способ электронного стирания жесткого диска при определенных условиях (например, физически вынуть его из корпуса).
Представьте, что после предоставления физического доступа злоумышленник может обойти ваши пароли - какими бы надежными они ни были - не прибегая к грубой силе. Первое, что приходит на ум, - это использование методов «исправления пароля», которые встроены в большинство систем, чтобы помочь системным администраторам, заблокировавшим и потерявшим пароли.
Любая защита имеет свою цену - защита от несанкционированного доступа стоит дорого, так как вам нужно специальное оборудование. Шифрование может быть дешевле, но оно влияет на время загрузки. Кроме того, я видел несколько неприятных сюрпризов в том, как шифрование работает с приложениями - вы никогда не узнаете, пока не попробуете его использовать.
Я не думаю, что это проблема PostgreSQL или адреса любой другой базы данных. Даже если сама база данных защищена паролем, все данные находятся в виде простого текста, и это действительно важно. Ничто не мешает злоумышленнику перехватить необработанный файл базы данных и передать его по строкам. Лучшее решение для этого типа атак - использование зашифрованной файловой системы. Это потребует от вас ввести пароль для монтирования раздела. Это также увеличивает накладные расходы.
Если вы не шифруете жесткий диск / файловую систему, вам в значительной степени не повезло, поскольку Postgres не предлагает встроенного шифрования. А шифрование жесткого диска - единственный реальный метод защиты украденного сервера.
По сути, вам нужно будет зашифровать жесткий диск или файловую систему, и вам придется вводить пароль вручную при монтировании диска при каждом запуске машины до запуска Postgres.
Эта статья, кажется, особенно актуальна для вашего вопроса:
Полная безопасность в базе данных PostgreSQL
http://www.ibm.com/developerworks/opensource/library/os-postgresecurity/
Стандартная мысль: когда кто-то садится за сервер, он взломан, конец истории.Ситуация только ухудшится, если они возьмут жесткий диск и отнесут его в лабораторию для вскрытия и анализа.
Я бы начал с шифрования всего диска, а также с шифрования отдельных полей в базе данных. Вы можете осмотреться, чтобы увидеть, есть ли способ получить биометрический доступ к оборудованию жесткого диска, установленному на сервере. Кроме того, вы хотите найти подрядчика по физической безопасности и получить его рекомендации по настройке; также нанять охрану.
Я имею в виду, если это сценарий, который вполне может произойти ...
edit:
Если бы у меня был файл Postgres DB, который я хотел бы использовать, и у меня были бы ресурсы (т. дешевые Dell), я бы использовал конфигурацию Беовульфа и выполнял параллельный взлом методом грубой силы. Ситуация ухудшится, если у меня появится больше денег, и я смогу настроить, скажем, несколько из этих замечательных суперкомпьютеров NVidia, подключенных к настольному компьютеру, чтобы действительно начать подбирать пароль.
Если вор серьезно настроен попасть в это, и у вас еще нет запланированных мер безопасности с Дня 0, ваш файл БД будет открыт, как банка сардин.