Назад | Перейти на главную страницу

Защита исходного кода от определенных пользователей в Linux

У нас есть сервер разработки CentOS с исходным кодом для различных проектов. Некоторые проекты более чувствительны, чем другие, и для этих конфиденциальных проектов мы хотели бы ограничить доступ только для определенной группы разработчиков (все разработчики - внутренние). Загвоздка в том, что все разработчики на нашем сервере имеют root-доступ из-за характера того, что они делают (я знаю, позор мне).

Я изучаю способы защиты определенных репозиториев исходного кода от определенных разработчиков и пришел к следующим идеям: шифрование, такое как Truecrypt, с паролем, известным только некоторым пользователям, изменение корневой тюрьмы, виртуальная машина или полностью отдельный сервер. Очевидно, у всех есть свои плюсы и минусы. Я хотел собрать несколько предложений и дополнительных идей. Как лучше всего защитить исходный код от посторонних глаз на сервере даже со стороны пользователей, у которых есть пароль root?

Спасибо, парни! ~ Дэн

Если у пользователя есть root, он может все. Даже шифрование или chroot-тюрьмы не защитят систему от пользователей root.

Например, нетрудно написать программу, которая определяет, когда ваша программа дешифрования выполняется, и отслеживает ее, чтобы можно было захватить ключ дешифрования.

(Установить трояны еще проще, но мне хотелось бы думать, что у вас есть системы, позволяющие это обнаружить! Хотя пользователь root может также отключить эти механизмы обнаружения. От кого вы пытаетесь защитить?)

Зачем им нужен root-доступ? Вы можете управлять разрешениями суперпользователя с помощью sudo, чтобы они могли делать необходимые вещи (например, перезапускать демон), но не могли просматривать код, который их не касается.

А как насчет создания группы Unix для разработчиков с ограниченным доступом? После этого вы сможете установить разрешения Unix только для этой новой группы, чтобы лица, не являющиеся участниками, не имели доступа к местоположению ваших конфиденциальных проектов.

Но если у пользователя есть пароль root (зачем он?), Я не думаю, что ты сможешь что-нибудь защитить.

То, что вы просите, невозможно с вашим нарушенным рабочим процессом. Если у пользователя есть root-права, они могут в конечном итоге обойти любые установленные вами ограничения, даже шифрование.