Вводная такая.
Ожидатся ЛП в одном отдельно взятом офисе. Ну там пожар, или маски-шоу... Как уж повезёт.
Имеется чуток больше терабайта информации, которую и просто утратить весьма нежелательно, а уж допустить, чтоб попала она в чужие руки и вовсе нельзя.
Ничего в голову кроме облачных хранилищ не приходит. Понемногу вот перебираю варианты.
Гугл с Яндексом явно не для хранения.
Комодо так и не смог толком запустить)))
Пока разве что ТрендМикро, да Мега.
Камрады параноики, кто где данные хранит?
OCTAGON
допустить, чтоб попала она в чужие руки и вовсе нельзя.
...
Ничего в голову кроме облачных ханилищ не приходит.
Не кажется мне это совместимым.
Бэкапы- наше всё. Для параноиков - ещё и зашифровать их.
Вынести из офиса и спрятать там, где ни пожар, ни маски-шоу не доберутся до Вашей инфы.
Возьми где-нибудь недорогой VDS, и храни там.
Лично мне, для всей своей частной информации мне хватает флешки Corsair Survivor на 64Gb и еще место осталось.
А так, рабочая информация храниться на внешнем HDD с аппаратным ключом.
Как вариант - в компьютер можно вот такую штуку поставить.
OCTAGONНу да, 100$ в месяц за 2 терабайта - не мое это, ох не мое.
Гугл с Яндексом явно не для хранения.
Шифрованный файл, монтируемый как раздел, периодически бэкапящийся как есть файлом на удалённое хранилище. Конечно, с целым терабайтом малость гиморно, может, можно как-то данные поделить - длительного хранения отдельно, оперативно обновляемые отдельно? Это в разы сократит трудоёмкость бэкапа. А в облака отдавать данные, которые нельзя в чужие руки - стрёмно как-то. Хоть и понятно, что правильный шифр брутфорсить достойно Сизифа, но всё же...
[MiB]_ImperatorВынести и отнести туда, где это впоследствии заберут опера... Не, не пойдёт)))
Не кажется мне это совместимым.
Бэкапы- наше всё. Для параноиков - ещё и зашифровать их.
Вынести из офиса и спрятать там, где ни пожар, ни маски-шоу не доберутся до Вашей инфы.
Видел как-то, кстати, забавно организованный подобный бекап.
В серверной с ограниченным доступом, безопасник, вообще не понимающий в компутерах, эпизодически менял диск в RAID1 и выпутый уносил в ему одному ведомом направлении.
Как вариант - в облаке можно хранить контейнер TrueCrypt, а не информацию.
Хотя я даже хз, что там за терабайт инфы можно прятать - коллекцию порнухи, что ли?
Как совсем простой вариант: Купить внешний винт на 2 терабайта, зашифровать его при помощи AloahaCrypt (Модифицированый для работы со смарткартой Truecrypt) а при первом шухере - сливать в унитаз смарткарту или токен.
IsopropilВ Германии рабочие серверы есть. Что-то там и лежит.
Возьми где-нибудь недорогой VDS, и храни там.
Можно и криптозащиту на диски поднять.
Но в целом на рабочих серверах хранить не хочется.
Ещё читал где-то историю из лихих 90х.
Довольно большая контора. Каждое утро к зданию, где располагался офис конторы, подъезжал бусик, водитель вытягивал из люка в земле толстый кабель, втыкал его куда-то под днище, и садился читать газетку. В бусике были все серваки со всеми данными, а в офисе - обычные "тонкие клиенты".
А в случае нашествия маски-шоу и прочей нечисти машинка просто уезжала в неизвестном направлении.
TrigonЯ недавно флешку с документами пролюбил. Хорошо хоть шифровано всё было.
Лично мне, для всей своей частной информации мне хватает флешки Corsair Survivor на 64Gb и еще место осталось.
А так, рабочая информация храниться на внешнем HDD с аппаратным ключом.
Как вариант - в компьютер можно вот такую штуку поставить.
TrigonГугл преобразует файлы.
Ну да, 100$ в месяц за 2 терабайта - не мое это, ох не мое.
И потом и Гугл и Яндекс слишком активно интересуются содержимым как минимум почты.
Makc K PetrovОбычные бекапы при маски-шоу ничем не помогут.
Шифрованный файл, монтируемый как раздел, периодически бэкапящийся как есть файлом на удалённое хранилище. Конечно, с целым терабайтом малость гиморно, может, можно как-то данные поделить - длительного хранения отдельно, оперативно обновляемые отдельно? Это в разы сократит трудоёмкость бэкапа. А в облака отдавать данные, которые нельзя в чужие руки - стрёмно как-то. Хоть и понятно, что правильный шифр брутфорсить достойно Сизифа, но всё же...
И хорошо налаженный процес резервного копирования - та ещё песня, и требует как минимум вменяемых сисадминов. А они обычно ограиченно вменяемы.
TrigonНе хочется под это сервер поднимать.
Как вариант - в облаке можно хранить контейнер TrueCrypt, а не информацию.
Облака-то, они персонально могут работать. А сервер, это админы.
TrigonПомню, в одной компании ждали маски-шоу. Регламенты были составлены, все нструкции всеми изучены, тренинги проведены, о полной готовности наверх доложено, охрана свирепо топорщилась.
Как совсем простой вариант: Купить внешний винт на 2 терабайта, зашифровать его при помощи AloahaCrypt (Модифицированый для работы со смарткартой Truecrypt) а при первом шухере - сливать в унитаз смарткарту или токен.
Группа ФСБ двухэтажный офис заняла за несколько минут. Вообще никто ничего из предусмотренного регламентами не сделал.
Isopropil
Ещё читал где-то историю из лихих 90х.Довольно большая контора. Каждое утро к зданию, где располагался офис конторы, подъезжал бусик, водитель вытягивал из люка в земле толстый кабель, втыкал его куда-то под днище, и садился читать газетку. В бусике были все серваки со всеми данными, а в офисе - обычные "тонкие клиенты".
А в случае нашествия маски-шоу и прочей нечисти машинка просто уезжала в неизвестном направлении.
А почта по ночам не работала? И какие тонкие клиенты в 90-х?
Фейк скорее.
Может через вайфай? Винт на чердаке с вайфаем, при шухере дистанционно отрубается.В идеале брелоком как от автосигналки.
OCTAGON
А почта по ночам не работала? И какие тонкие клиенты в 90-х? Фейк скорее.
Вполне правдоподобно.
Если принимающий сервер лежит, передающий почтовик с периодичностью в несколько часов пытается повторно доставить почту, т.е. почтовый сервер можно включать из розетки на полдня и почта на него будет исправно доставляться, хоть и с задержкой.
Терминалы массово попёрли в народ с появлением Windows NT 4.0, это 1996 год.
По теме: данные при л.п. нужно просто хранить в каком-то другом месте. У доверенного лица, например, поставить свой сервер, воткнуть в него жесткие диски в нужном объеме, сделать VPN-тоннель до какого-то европейского VDS и через него ходить. Это нужно для того, чтобы точка входа в хранилище находилась далеко за пределами этой страны, где-нибудь в Нидерландах. При этом сами байты могут лежать хоть в соседнем доме. При такой конфигурации физические носители (да и сам сервер) можно довольно часто перемещать по городу без какой-либо заметности с стороны клиентов, которые в это хранилище бекапятся.
Со флэшками имел несколько геморов - дохли неожиданно, сволочи. Причем даже не нарушал правила, выключал только после нажатия соответствующей кнопки. Сейчас имею 64 Гб с шифрованным разделом (т.е. под паролем). Но самые главные данные не такие уж объемные, могут храниться аж на старом добром сидюке на 700 МБ, в крайнем случае - на дивидюке 4,7 Гб, в 2х экземплярах, а все остальное не критично (имеется в виду - там исключительно справочные материалы, к которым никто не прицепится). Да, и почта на всякий случай левая, логина/пароля в компе нет. да и ну на... у меня уж таких работ нет, чтобы за них серьезно брали за жопу. Правда, за кое-какие книжки из раздела "литература" могут пришить хранение экстремистских материалов. Но это все спрятано далеко - не докопаешься.
zilberdimmВполне правдоподобно.
Если принимающий сервер лежит, передающий почтовик с периодичностью в несколько часов пытается повторно доставить почту, т.е. почтовый сервер можно включать из розетки на полдня и почта на него будет исправно доставляться, хоть и с задержкой.
Терминалы массово попёрли в народ с появлением Windows NT 4.0, это 1996 год.
По теме: данные при л.п. нужно просто хранить в каком-то другом месте. У доверенного лица, например, поставить свой сервер, воткнуть в него жесткие диски в нужном объеме, сделать VPN-тоннель до какого-то европейского VDS и через него ходить. Это нужно для того, чтобы точка входа в хранилище находилась далеко за пределами этой страны, где-нибудь в Нидерландах. При этом сами байты могут лежать хоть в соседнем доме. При такой конфигурации физические носители (да и сам сервер) можно довольно часто перемещать по городу без какой-либо заметности с стороны клиентов, которые в это хранилище бекапятся.
Задержка очереди фиксируется без проблем.
Терминалы то появились, да вот с серваками проблемы были. В той конторе, после маски-шое решили поставить терминал-сервер. Купили здоровеннейшую по тем временам дуру. Дура не потянула.
Повторюсь. Админы и прочие "доверенные лица" - отдельная головная боль. Чем они меньше участвуют у процессе сокрытия информации, тем лучше.
FaceGrabberПочти. Нужно так: Сервак с ценными-секретными данными размещается на дружественной территории поблизости, которую в случае маски-шоу не затронет. Связь - вай-фай, если нужно с ретрансляторами и направленными антеннами. В офисе - тонкие клиенты без данных и даже без операционных сетей, загрузка по PXE. Надежно и недорого. При первичной закупке оборудования можно на лицензиях сэкономить.
Может через вайфай? Винт на чердаке с вайфаем, при шухере дистанционно отрубается.В идеале брелоком как от автосигналки.
Связь - вай-фай, если нужно с ретрансляторами и направленными антеннами.Сильно сомневаюсь, что любой не-чайник, увидев на здании "тапок", смотрящий неизвестно куда, не озаботится поиском приёмной части устройства.
Идея-то здравая, за 10-15 камэ сервак сныкать можно, но, думается мне, что вряд ли заинтересованные маскишоу не придумали "контру".
Ну например вот - внешний винт с аппаратным шифрованием AES 512 бит.
http://www.buslinkbuy.com/product.php?prod_id=494
Ключ вынул - винт закрылся. Ключ выбросил - стало все труднее.
Ну какой WiFi? Чем территория, где стоит бекапный сервер в данном случае лучше основной? И туда придут.
Или кто будет тельник себе рвать - погибну героем, но не скажу?
Бекап должен быть вне юрисдикции.
SSDDДык замаскировать то легко, сигнал же направленный. Ящик с отверстием, или расположить на чердаке, внутри крыши у окошка.
Сильно сомневаюсь, что любой не-чайник, увидев на здании "тапок", смотрящий неизвестно куда, не озаботится поиском приёмной части устройства.
OCTAGONТем что туда придут не сразу. И у жертвы есть время сныкать данные.
Чем территория, где стоит бекапный сервер в данном случае лучше основной?
si1v3rНе факт. Любая территория, это какие-либо юридические права на неё, какой-то доступ, какая-то охрана. Идея ставить бекап в заброшенной голубятне конечно интересна, но вряд-ли приемлема.
Тем что туда придут не сразу. И у жертвы есть время сныкать данные.
Вот в дата-центр в другой стране, это да, не сразу придут. Кстати, кто знает коммерческие дата-центры в Китае?
Не шибкий компьютерщик, поэтому в голову приходит только внешний винт, на котором периодически, скажем раз в месяц, обновляется информация. И потом сдается в ту-же ячейку в банке.
Что-то у меня это
OCTAGONвот с этим
а уж допустить, чтоб попала она в чужие руки и вовсе нельзя.
OCTAGONне стыкуется.
Вот в дата-центр в другой стране, это да
si1v3rС финдиректором обсудите))) Он разъяснит.
Что-то у меня это
не стыкуется.
Ну как знаете.
SSDD
Сильно сомневаюсь, что любой не-чайник, увидев на здании "тапок", смотрящий неизвестно куда, не озаботится поиском приёмной части устройства.
Идея-то здравая, за 10-15 камэ сервак сныкать можно, но, думается мне, что вряд ли заинтересованные маскишоу не придумали "контру".
Вайфай на десять километров - это по инету серфиться чуть побыстрее GPRS, а десяток клиентов к терминал-серверу цеплять - будет мягко говоря хреново.
Ну какой вай-фай на десять километров?
От Киноцентра на Краснопресненской до высотки по прямой сколько? Метров 400.
https://maps.google.ru/maps?q=...&num=1&t=h&z=18
40мб с трудом получилось.
если лить в облака, то только в зашифрованом виде (дропбокс поймали на чтении офисных файлов залитых пользователями, да и остальные явно интересуются).
юзать truecrypt + винты с хардварным крипто
ТС не уточнил - инфу нужно заныкать одноразово, или нужно обеспечить более-менее постоянную работу с ней?
оптимальный вариант, найти 1 админа которому доверяешь (если своих навыков недостаточно чтобы КАЧЕСТВЕННО все поднять самому + зависит конечно от админов, но если хорошие, то замудохаешься прятаться от них, так что вопрос встанет и надо хотя-бы обозначить - что типа туда - не лезть, правда сомневаюсь что поможет )))
Снять сервер + бекап (в разных ДЦ само-собой, а лучше странах), один раз качественно настроить и будет финдир туда ходить по впн и делать свои грязные дела ))))
на основном сервере шифрование файловой системы, зеркалирование, допуск только с определенного айпи, ключи, при вводе НЕПРАВИЛЬНОГО пароля - уничтожение инфы либо подсовывание не очень страшного компромата, чтобы успокоились (само собой фин дир знает правильный пароль + пароль который отдаст если уж совсем прижмут)
бекап сервак не прописан на основном (чтобы не нашли), сам конектится каждую ночь, забирает инфу, и подчищает за собой логи )))
а если яйца стальные, то просто сервак в офисе, с покриптованым диском и пароль/ключ от которого только у одного человека 😊
при любой непонятной активности - reboot, даже если заберут вскрыть грамотно покриптованную инфу....
не стоит забывать о следах на компе финдира - остатки редактированных доков, темпы, файл подкачки и т.д. Оттуда можно много актуальной (он же с ней работал) вытянуть
это если кратко 😊
OCTAGON
Вводная такая.Камрады параноики, кто где данные хранит?
храните где угодно
другое дело если вашими данными заинтересовалась серьезная контора/люди - сами все качнете и отдадите
на блюдце, с голубой каемочкой...
Isopropil
Ещё читал где-то историю из лихих 90х.Довольно большая контора. Каждое утро к зданию, где располагался офис конторы, подъезжал бусик, водитель вытягивал из люка в земле толстый кабель, втыкал его куда-то под днище, и садился читать газетку. В бусике были все серваки со всеми данными, а в офисе - обычные "тонкие клиенты".
А в случае нашествия маски-шоу и прочей нечисти машинка просто уезжала в неизвестном направлении.
Мои знакомые в ожидании "масок" сделали по другому. На обычную стену (именно на стену, а не на дверной проем) навесили бронедверь, завели туда кабели сети к серверу и через эту стену вывели их на соседний этаж. На дверь повесили большую табличку "бухгалтерия". Прибывшие маски 2 часа болгаркой и кувалдами выносили дверь, открыв ее уткнулись в стену с дыркой, куда уходили кабели. Сам сервер (точнее, его винты) за эти 2 часа, естественно, уехал в неизвестном направлении через другой выход.
Там кстати, еще система была, позволяющая дистанционно устроить на сервере короткое замыкание с выгоранием всех дисков в случае ЧП (на случай, если кто-то слил бы маскам инфу о месте нахождения сервера). Пока ломали бы к нему дверь - все сгорело бы.
Ещё читал где-то историю из лихих 90х.ООО МКС в Харькове так делали вроде-бы...
Довольно большая контора. Каждое утро к зданию, где располагался офис конторы, подъезжал бусик, водитель вытягивал из люка в земле толстый кабель, втыкал его куда-то под днище, и садился читать газетку. В бусике были все серваки со всеми данными, а в офисе - обычные "тонкие клиенты".
А в случае нашествия маски-шоу и прочей нечисти машинка просто уезжала в неизвестном направлении.
при этом было несколько выходов "толстого кабеля" и не только под офисом.
На обычную стену (именно на стену, а не на дверной проем) навесили бронедверь, завели туда кабели сети к серверу и через эту стену вывели их на соседний этаж.в еще одной большой конторе в Харькове сделали ремонт по-хитрому - все кабеля уходили в коридор в короба с кучей проводов. что-куда идет хрен поймешь.
а дверь в серверную была в коробке "пожарный кран" за фальшпанелью с топором и шлангом, заныканная в глухом тупике, и сисадмины работали в этом "узилище" посменно 😊
Trigon
Ну например вот - внешний винт с аппаратным шифрованием AES 512 бит.
http://www.buslinkbuy.com/product.php?prod_id=494
Ключ вынул - винт закрылся. Ключ выбросил - стало все труднее.
Ё! Дорого то как 😞
Ё! Дорого то какZalman ZM-VE400
Real Time 256-Bit AES Hardware Encryption
* AES256bit : AES, Advanced Encryption Standard.
http://www.zalman.com/global/p...ead.php?Idx=750
mimeС информацией надо конечно работать. Как обычно, что-то просто лежит, что-то модифицируется.
если лить в облака, то только в зашифрованом виде (дропбокс поймали на чтении офисных файлов залитых пользователями, да и остальные явно интересуются).
юзать truecrypt + винты с хардварным крипто
ТС не уточнил - инфу нужно заныкать одноразово, или нужно обеспечить более-менее постоянную работу с ней?оптимальный вариант, найти 1 админа которому доверяешь (если своих навыков недостаточно чтобы КАЧЕСТВЕННО все поднять самому + зависит конечно от админов, но если хорошие, то замудохаешься прятаться от них, так что вопрос встанет и надо хотя-бы обозначить - что типа туда - не лезть, правда сомневаюсь что поможет )))
Снять сервер + бекап (в разных ДЦ само-собой, а лучше странах), один раз качественно настроить и будет финдир туда ходить по впн и делать свои грязные дела ))))
на основном сервере шифрование файловой системы, зеркалирование, допуск только с определенного айпи, ключи, при вводе НЕПРАВИЛЬНОГО пароля - уничтожение инфы либо подсовывание не очень страшного компромата, чтобы успокоились (само собой фин дир знает правильный пароль + пароль который отдаст если уж совсем прижмут)
бекап сервак не прописан на основном (чтобы не нашли), сам конектится каждую ночь, забирает инфу, и подчищает за собой логи )))а если яйца стальные, то просто сервак в офисе, с покриптованым диском и пароль/ключ от которого только у одного человека 😊
при любой непонятной активности - reboot, даже если заберут вскрыть грамотно покриптованную инфу....
не стоит забывать о следах на компе финдира - остатки редактированных доков, темпы, файл подкачки и т.д. Оттуда можно много актуальной (он же с ней работал) вытянуть
это если кратко 😊
Трукрипт, это хорошо, но локально. И ежели пролюбить ноут, то информацию будет жалко.
В облаках Мега вроде AES обещает. Хрен проверишь.
Админам не надо доверять. Вообще. Сейчас одной компанией занимаюсь, такое ощущение, что её искуственно подвели под убытки, и на роль основного исполнителя пока лучше всего подходит их одмин.
О любопытных админах... Когда-то крепко помогла скомунизженная в одном банке система RealSecure (дорогая зараза), когда нашу маленькую компанию, входящую в некий холдинг, пыталась взять за жопу беспека этого же самого холдинга. Смеху было, когда в Правление холдинга пошла бумага, что лошары из СБ палятся на нашей защите)))
Забирание данных, это наверное хорошо... Надо подумать. Обычно почему-то, наоборот, отправлял.
Пиля, надо поднять трансконтинентадьный крипто-кластер)))
Про яйца... Когда погоны наехали на Домодедово, а их крышевали чуть ли не на уровне вице-премьера, никакие яйца не помогли. Пришлось договариваться. Быковать себе дороже.
С кешами да, есть проблема. Наверное с виртуализацией что-либо надо придумать.
ZALMAN ZM-HE135
Такой вроде подешевле.
Taraz999
храните где угодно
другое дело если вашими данными заинтересовалась серьезная контора/люди - сами все качнете и отдадите
на блюдце, с голубой каемочкой...
Серьёзных контор/людей много меньше, нежели просто любознательных.
MaxCrazyНе знаю, как сейчас, раньше были системы, убивающие диски электромагнитным импульсом.
Там кстати, еще система была, позволяющая дистанционно устроить на сервере короткое замыкание с выгоранием всех дисков в случае ЧП
OCTAGON
С кешами да, есть проблема. Наверное с виртуализацией что-либо надо придумать.
Терминал-сервер на удалённой площадке. Все кеши на нём, на шифрованном разделе. Ну а ходить - если очень стрёмно, то с виртуалки, каждый день удаляя рабочую и загружая чистую из бэкапа. Но это уже перебор.
OCTAGON
Не знаю, как сейчас, раньше были системы, убивающие диски электромагнитным импульсом.
Никуда не делись вроде бы. Хотя если что - сойдёт и кувалда. Флаг в руки читать сектора с согнутого пополам блина.
strstНе видели вы коммуникации в старых заводских зданиях))) Там ещё с советских времён непонятно что где лежало.
в еще одной большой конторе в Харькове сделали ремонт по-хитрому - все кабеля уходили в коридор в короба с кучей проводов. что-куда идет хрен поймешь.
а дверь в серверную была в коробке "пожарный кран" за фальшпанелью с топором и шлангом, заныканная в глухом тупике, и сисадмины работали в этом "узилище" посменно 😊
Нахрен в серверной работать?
Гм... МудЕ это, господа... Такой обьём информации при ЛП не нужен. И хранить его незачем. Разве что рассчитывать на пост-ЛП жировку. Скромнее надо быть, господа вышивальщеги, скромнее. Или определиться терминами, наконец. Для кого визит маски-шоу - ЛП, для кого - киллер, дышащий в спину... Отсюда и исходим.
Makc K PetrovТерминал-сервер, это под офисные приложения. А ежели нагруженныя компы, то какие тут терминалы?
Терминал-сервер на удалённой площадке. Все кеши на нём, на шифрованном разделе. Ну а ходить - если очень стрёмно, то с виртуалки, каждый день удаляя рабочую и загружая чистую из бэкапа. Но это уже перебор.
Makc K PetrovДопускаю, что остались. Давно не смотрел. Если что попадётся красивое, выложьте ссылочку.
Никуда не делись вроде бы. Хотя если что - сойдёт и кувалда. Флаг в руки читать сектора с согнутого пополам блина.
А кувалда, это не наш метод.
SSD легче подорвать.
В облаках Мега вроде AES обещает. Хрен проверишь.вы извините, но лить в облака приватную инфу это не просто глупо, это просто ни в какие ворота.
Админам не надо доверять. Вообще. Сейчас одной компанией занимаюсь, такое ощущение, что её искуственно подвели под убытки, и на роль основного исполнителя пока лучше всего подходит их одмин.само собой что админы далеко не святые 😊
но хорошего админа в любом случае заинтересует что это за криптованая трубка уходит из офиса на неизвестный айпи и висит по несколько часов (если например впн юзать будете), тут только административно решать.
а если у вас админы о таком не парятся...
но я писал не о конкретно вашем админе, а просто о человеке который может грамотно и безопасно настроить сервак/бекапы и прочее, а работать он может хоть дворником ))
Забирание данных, это наверное хорошо... Надо подумать. Обычно почему-то, наоборот, отправлял.на случай если каким-либо образом получат доступ к серваку, не поймут что еще где-то есть копия инфы.
Пиля, надо поднять трансконтинентадьный крипто-кластер)))3-4 сервака на разных континентах, раиды, распределанная криптованная фс, базы как мастер-мастер, впн, свои днс-ы, криптованая жаба, астерикс и т.д.
не особо и дорого, против маски-шоу поможет с большим запасом.
слабое звено тут будет ваш финдир и вы 😊
терморектальный криптоанализ никто не отменял ))
http://termorect.narod.ru/ 😊
Про яйца... Когда погоны наехали на Домодедово, а их крышевали чуть ли не на уровне вице-премьера, никакие яйца не помогли. Пришлось договариваться. Быковать себе дороже.так речь о том чтобы убрать слабое звено...
если забрали сервак на котором вся инфа - то колоть будут админа/буха/дира чтобы сдал пароли.
а если ни сервака нет, инфу тоже не нашли и даже не уверены что что-то было - гораздо проще договариваться.
да и теже скрытые тома в труекрипте для того и придуманы - если прижали, даешь другой пароль от тома и открывается совсем другая инфа... тут просто нужно тот-же метод применить в своей инфраструктуре. иногда под давлением проще сдать какую-то некритичную инфу и пускай думают что отдали все.
С кешами да, есть проблема. Наверное с виртуализацией что-либо надо придумать.а виртуалку тоже прятать нужно 😊
проще криптовать весь диск тем-же труе-криптом или diskcryptor.net
на современном компе падение производительности и не почувствуете.
Когда появился аутсорсинг как принцип было много разговоров о том, как это опасно. Сейчас разобрались и аутсорсинг используют массово.
То же самое происходит с облаками. Риски облаков отличны от рисков наземного хранения. Это и определяет их применение.
Вот пусть криптованные каналы и будут с ТрендМикро. Всем понятно зачем.
Про забирание подумаю. Не факт, что это правильно.
Вообще IP-сессию открывать на входящий запрос - великий грех, а ежели указать откуда можно открывать, нахрен морочиться с удалением логов)))
Жабу нафик, не люблю.
А астериск в кластере, это как? Куда E1 втыкать? Или 15-значные не привязанные к стране номера по sip использовать? У меня есть. На них звонить дорого.
Что-то обязательно должны найти. Пока разберутся, что именно, пройдёт какое-то время. Ничего не дать, очень плохой вариант с прогнозом на тот самый криптоанализ. Поэтому основная информация должна быть закрыта типовыми способами и доступна.
Раньше шифровал. Виртуалку подсказали недавно как удобный способ создания чистого компьютера.
zairИшь ты. Любители пингвинятины подтягиваются. Везде им страшный Мастдай мерещится.
Послежу за ходом мысли админов-виндузятников 😊
Где ж тут именно про Виндус было?
Когда появился аутсорсинг как принцип было много разговоров о том, как это опасно. Сейчас разобрались и аутсорсинг используют массово.есть большая разница что именно аутсорсить 😊
ключевые моменты бизнеса или черную бухгалтерию не стоит я думаю 😊
То же самое происходит с облаками. Риски облаков отличны от рисков наземного хранения. Это и определяет их применение.да, обычно чувакам в далласе пофиг на русскую фирму, но никогда не знаешь где эта инфа всплывет позже.
Про забирание подумаю. Не факт, что это правильно.port-knocking + keys, вполне применимо и для обычного ссх-доступа )
Вообще IP-сессию открывать на входящий запрос - великий грех, а ежели указать откуда можно открывать, нахрен морочиться с удалением логов)))
Раньше шифровал. Виртуалку подсказали недавно как удобный способ создания чистого компьютера.так то, где хранится виртуалка тоже шифровать надо )
Что-то обязательно должны найти.сами пробуем варианты... правда для других целей.
Об том и спич, что большинство служебной информации никому не нужно.
А на фоне общей открытости проще потерять что-то действительно важное.
Хранимая тут, она быстрее всплывёт.
А в логи ssh не писать что ли? Или логи вообще не писать? Те-же самые фаберже получаются.
Поднятие каждый раз заново виртуалки как альтернатива удаления логов.
Так про кластерный астериск что?
А в логи ssh не писать что ли? Или логи вообще не писать? Те-же самые фаберже получаются.логи писать обязательно 😊
но после порт-кнокинга можно 1 порт не писать, ну или демон может чистить что нужно... вариантов море.
просто у нас второй сервак юзался не для бекапа... это оказался самый ок вариант.
когда-то ребята проектировали систему для фирмы (защита от маски-шоу), там был учтен момент проверки айпишника (офисный сервак конектился только с 1 белого), прикинули что если сервак изымут (внутри инфы нет рабочей, начнут искать куда он ходил за ней), то айпи изменится - при конекте с другого адреса (даже с правильными ключами) начинался комплекс меропроятий ))
там целая система была продумана
но слабое место это сотрудники.
Поднятие каждый раз заново виртуалки как альтернатива удаления логов.в принципе вариант, да.
но какие-то вещи придется настраивать каждый раз заново... т.к. сохранять в шаблоне чревато.
Так про кластерный астериск что?сорри, но по нему совсем-совсем не спец.
знаю что его использовали локально (внутри впн, тунелями были как-то хитро закручены 3 сервера в разных странах) + прикручивали мир, но об этом совсем ничего не знаю, было до моего прихода.
Носители рейд-5 физически растащить по разным местам (свои гараж и баня, квартира любовницы), контент зашифровать с разделяемым ключем, для сбора которого нужен кворум не менее чем из 3х человек (расколят, конечно, паяльником всех, но не сразу). Обязательное резервирование данных в виде 2-го рейда (гараж и баня любовницы, своя квартира). И ампулы с цианистым калием для всех, кто может образовать кворум. Их же клонировать, поскольку потеря данных по ТЗ недопустима.
mimeНаличие пароля обессмысливает саму идею аппаратного шифрования - терморектальный криптоанализ с легкостью вскроет диск.
Zalman ZM-VE400
Real Time 256-Bit AES Hardware Encryption
* AES256bit : AES, Advanced Encryption Standard
OCTAGONВполне нормально прицепить изначально SIP городской номер к астериску, который висит на сервере где то в США, а подключаться к нему с IP телефонов, поддерживающих OpenVPN (например Yealink T28p)
А астериск в кластере, это как? Куда E1 втыкать? Или 15-значные не привязанные к стране номера по sip использовать? У меня есть. На них звонить дорого.
На том же zadarma например многоканальный московский номер с кодом 499 стоит что то от 4$ в месяц, а номер с кодом 901 - бесплатно.
mimeНе понял. Кто кого запрашивает?
логи писать обязательно
но после порт-кнокинга можно 1 порт не писать, ну или демон может чистить что нужно... вариантов море.
просто у нас второй сервак юзался не для бекапа... это оказался самый ок вариант.
когда-то ребята проектировали систему для фирмы (защита от маски-шоу), там был учтен момент проверки айпишника (офисный сервак конектился только с 1 белого), прикинули что если сервак изымут (внутри инфы нет рабочей, начнут искать куда он ходил за ней), то айпи изменится - при конекте с другого адреса (даже с правильными ключами) начинался комплекс меропроятий ))
ХолодецЛучше так. RAID5 - пять любовниц, соответственно RAID10 - десять.
Носители рейд-5 физически растащить по разным местам (свои гараж и баня, квартира любовницы)
Однако сомневаюсь, что осилю RAID60.
TrigonЗадарма у меня по другой теме идёт, облачная АТС по одному проекту там.
Вполне нормально прицепить изначально SIP городской номер к астериску, который висит на сервере где то в США, а подключаться к нему с IP телефонов, поддерживающих OpenVPN (например Yealink T28p)
На том же zadarma например многоканальный московский номер с кодом 499 стоит что то от 4$ в месяц, а номер с кодом 901 - бесплатно.
Ежели б они ещё, сцуки, на бесплатных номерах с добавочным про свою задарму не рассказывали, вообще б было замечательно.
Кстати, их пражский номер с добавочным проверял, там не рассказывают.
И с ними почему-то все проверенные мною sip-клиенты плохо конец разговора фиксируют. И вообще нередко отваливаются.
OCTAGONА где там они рассказывают про задарма? У меня у знакомых настроена их облачная АТС правда с платным номером - ничего вроде не рассказывает ни при соединении, ни в голосовом меню.
Ежели б они ещё, сцуки, на бесплатных номерах с добавочным про свою задарму не рассказывали, вообще б было замечательно.
Сейчас у меня у самого домашний номер телефона - SIP, правда не от zadarma.
OCTAGONС ними вполне приемлемо работает PhonerLite, хотя я предпочитаю аппаратные IP телефоны - не люблю звонить через программы.
И с ними почему-то все проверенные мною sip-клиенты плохо конец разговора фиксируют. И вообще нередко отваливаются.
На бесплатных номерах с добавочным - рассказывает. На платных - сразу соединяет с АТС.
Для операторов софтовые удобнее, всё равно с гарнитурами работают.
PhonerLite ничего конечно, но поддерживает одновременно только одну учётку.
И запись не нашёл.
У них вроде платная версия есть. Посмотрю.
А вы какого провайдера, если не секрет, используете?
OCTAGONЯ себе номер брал в UNTC - у них самое недорогое предложение киевских городских SIP-номеров. Из проводов, входящих в квартиру отставил только тот, по которому раздается интернет и телевизор.
А вы какого провайдера, если не секрет, используете?
OCTAGONОни же дают бесплатные номера +7901XXXXXXX - там тоже не рассказывает ничего.
На бесплатных номерах с добавочным - рассказывает. На платных - сразу соединяет с АТС.
TrigonТам скан паспорта нужен. Не всегда это удобно, что реальный, что купленный.
Они же дают бесплатные номера +7901XXXXXXX - там тоже не рассказывает ничего.