可能重复:
保护我的文件免受 root 攻击
你好,
我正在寻找一种解决方案,允许将包含敏感信息的文件存储在远程服务器上,以便系统管理员无法访问数据。
在第一种情况下,服务器将托管处理敏感数据的应用程序,因此用户应使用 RDP 来运行它。在第二种情况下,用户只需访问他们的共享文件夹。
我希望服务器保留在我们的 AD 基础架构内,以方便维护等。这样管理员就可以登录服务器,做任何事情,但不能访问敏感信息(尽管他们可能知道它的存在)。
我想到解决方案是在 Windows 2003 终端服务器上使用 TrueCrypt,但是当安装加密卷时,它们的行为就像普通的 Windows 卷一样 - 这意味着管理员可以访问它们。
我还考虑过将服务器从域中移出并放入工作组 - 然后我可以设置本地用户帐户并相应地管理权限。然而,这会增加一些维护方面的复杂性。
我将非常感激您的建议。
答案1
管理员需要访问数据。即使只是为了备份和恢复。你需要做的是在一定程度上信任你的管理员,并明确滥用这种信任的后果。作为一名管理员,你拥有很大的权力和访问权限,你的可信度是你的工作要求之一,严重不当行为/停职/解雇类型的指控完全是滥用对你的信任的合理行为。
对于我们遇到这种情况的服务器,我们不会完全限制文件夹,而是将权限(对于服务器管理员)设置为与其他同等服务器相同,以便管理员在需要时仍能完成工作。我们所做的是审核和记录该服务器上发生的所有事情,并将该日志提供给负责数据的用户/人员。
需要进入该服务器的控制台吗?你真的需要吗?你能向数据所有者解释这一点吗?好的,那就去那里吧。
需要修改某个数据目录中的文件吗?你真的需要吗?你能向数据所有者解释清楚吗?好的,那就继续进行更改吧。
有紧急情况,您需要在凌晨 2 点登录服务器并进行更改?没问题,您拥有必要的访问权限,但请注意,您的操作将在早上受到审查。
当然,审计和记录只有在具有可问责性和可识别性的情况下才真正有效。您需要禁止使用所有通用管理员帐户,并为每个管理员颁发一个个性化帐户,并为其提供工作所需的相关权限(例如 Admin_BloggJ 或 John.Doe.Admin)。
我们使用一款名为LT 审计员创建审计日志,并将其设置为每天打印报告。我们的用户会认真地查看这些日志,并乐于发现任何异常访问并报告。这是一个很大的威慑力!
答案2
无论如何,从任何真正意义上来说,这都是不可能的。
如果您不信任管理员,您就别无选择——当他们控制您的硬件(客户端和/或服务器)和基础设施时,他们总有办法获取所述场景中的数据。
通过书面政策来规范访问。
答案3
当我找到这个问题的答案时,我在计算机领域的探索就结束了!
恐怕目前的实施方式还无法实现这一点。
答案4
最简单的方法是使用长而强的密码来存档数据。但这只能为你赢得一些时间……