protegge il codice di un server fisicamente affittato al cliente

Naviga le tue risposte
0

La mia compagnia affitta un server Debian ai client, che devono connettersi alla propria rete.

Il server fornisce vari servizi, un'interfaccia di amministrazione e si connette al servizio online della mia azienda.

Poiché il client ha accesso al computer che esegue questi servizi, può leggere il loro codice sorgente sul disco rigido. Un utente malintenzionato può cercare vulnerabilità di sicurezza e può aiutare a decodificare i servizi online.

Come posso proteggere il codice sorgente dal client?

Modifica Il codice sorgente è in PHP, e alcuni utenti hanno un account root sui loro server (presto da rimuovere)

    
posta tux lu 16.06.2017 - 12:12
fonte

1 risposta

0

Non sono sicuro del motivo per cui permetti agli utenti non fidati di accedere al server, ma l'unico approccio che posso pensare è negare a tali utenti l'accesso alla directory contenente il codice PHP.

Questo può essere fatto da:

  1. Crittografia della directory contenente il codice PHP e decrittografia immediata con una chiave ottenuta da un server sicuro
  2. Recupero del codice PHP da una posizione sicura all'avvio, quindi memorizzandolo nella cache e utilizzando quello
  3. Esecuzione del codice PHP su un server diverso a cui gli utenti non hanno accesso, recupero dei dati dal server condiviso (ad esempio tramite NFS) dove necessario.

Si noti che i primi due approcci sono suscettibili a vari modi in cui qualcuno guarda di nascosto il codice; per esempio. aggiungendo un file PHP aggiuntivo che esamina gli altri file PHP e restituisce il loro contenuto di codice. Potresti essere in grado di aggirare il problema facendo qualcosa di intelligente con php-fpm in modo che il codice cifrato venga eseguito in una singola istanza di php-fpm e tutto il resto viene eseguito in un secondo, ma non scommetterei contro qualcuno con accesso root aggirarlo.

Io stesso sceglierei il terzo approccio, poiché è l'unico modo per proteggerlo.

    
risposta data 16.06.2017 - 14:23
fonte

Leggi altre domande sui tag

Proteggi l'interfaccia non autenticata dall'indovinare attacchi Come si aggiorna la crittografia sul file pfx esportato da IIS?