Django: защита / шифрование хранимых файлов

Question

В проекте Django я хочу обеспечить безопасность пользовательских файлов на сервере.Должно ли это быть сделано на уровне ОС (мы используем Ubuntu) или на уровне приложений?

Шифрование на уровне приложений будет проще поддерживать.Но, помимо некоторых недостатков, таких как возможное негативное влияние на производительность, я даже не уверен, будет ли это иметь какое-то значение.Если хакер скомпрометирует сервер, он также получит доступ к ключам шифрования и способам их шифрования / расшифровки.

Любые предложения с благодарностью.Спасибо.

Answer 1

То, как вы защищаете свои данные, зависит от того, от каких атак вы хотите защищаться. Конечно, вы, вероятно, не знаете, как злоумышленник, скорее всего, скомпрометирует вашу систему, если только не существует определенных моделей угроз, от которых вы особенно пытаетесь защищаться, как, например, мошенник.

Злоумышленник может получить доступ к ОС, на которой работает веб-сервер. В этом случае шифрование на уровне файловой системы, вероятно, вам не поможет. На самом деле шифрование на уровне файловой системы, вероятно, является лишь полезной защитой от того, кто уходит с физического сервера (что является абсолютно допустимой моделью угроз). Однако, если файлы зашифрованы ключами, хранящимися в базе данных, злоумышленник, имеющий доступ к ОС веб-сервера, но не к базе данных, будет заблокирован.

Напротив, злоумышленник может получить доступ к базе данных, но не к ОС, через дыру в вашем приложении. Я ожидал бы, что это будет менее вероятно, так как современные операционные системы представляют огромные и хорошо изученные поверхности атаки.

Защитить данные вашего пользователя от злоумышленника с полным доступом к вашим серверам очень сложно. Вам необходимо зашифровать данные ключом, которого нет на ваших серверах. Это может быть что-то вроде пароля или ключа, хранящегося в файле cookie пользователя. Проблема всех этих схем заключается в том, что пользователям нельзя доверять такие важные данные, как эта, - они всегда хотят сбросить свой пароль, если они забудут. В большинстве случаев нереально защитить данные от злоумышленника с полным доступом к вашей ОС и базе данных.

Так что я бы выбрал то, от чего ты пытаешься защитить. Лично я ожидаю, что проникновение в ОС будет наиболее вероятным, и, таким образом, зашифровываю файлы ключами, которые хранятся в той части базы данных, которая каким-то образом защищена. Проблема здесь заключается в том, что операционная система должна хранить учетные данные для входа в базу данных (в settings.py). Поэтому постарайтесь, чтобы эти файлы были максимально ограничены в ОС, т. Е. chmod 600 для учетной записи пользователя, которая делает как можно меньше.

Answer 2

Вы правы в том, что если ключ, используемый для шифрования файлов, хранится на сервере, то при шифровании файлов дополнительная безопасность не достигается.

Однако, если вы используете ключ, предоставленный пользователем , вы получите некоторую безопасность. Например, если вы храните ключ шифрования в файле cookie, он будет доступен только в течение каждого запроса. Я не верю, что это создаст какие-либо новые проблемы безопасности (если злоумышленник может украсть файл cookie, он также может украсть сеанс пользователя), и это сделает его более трудным для доступа к файлам, принадлежащим пользователям, которые в данный момент не в сети.

Если вы действительно параноик, вы можете сделать то, что делает 1Password, и отправить зашифрованные данные обратно в браузер, который может расшифровать его с помощью программ шифрования JavaScript ...