הפרדת תיקיות קבצים בצד שרת ברמה של וירטואליזצייה

avramk

שלום רב, בדומה למכונה וירטואלית שאפשר להקים על תחנת ווינדוס וכו והיא מופרדת לחלוטין מהמערכת, אני מעוניין להקים איזה שהוא שרת קבצים לכמה חברות שונות ושיישב על שרת אחד אך מבלי צורך בכמה מערכות הפעלה אך דא עקא שאני לא מעוניין שאם יש וירוס לחברה אחת הוא ידביק את כל המערכות בצד השני, לכן אני מעוניין שבצד שרת הדיסק יהיה vhdk ואילו הלקוח יכול לגשת (נניח דרך FTP\WEB וכו') לתיקיית קבצים

האם זה מופרך או שזה קיים(לכאורה) ?

dovid

אני לא מתייחס לפתרון אלא לבעיה.
אם יש כמה חברות שמשתמשות בדיסק אחד, ברור שיש להם הרשאות רק לחומר שלהם.
וירוס יכול, לכל היותר, לנצל פרצה שגם המשתמש יכול לנצל.
אם אתה לא חושש שחברה תערוך/תצפה בקבצים שבתיקיות אחרות (ואתה אכן לא צריך לחשוש) אז לוירוס אין יכולת טובה יותר.

avramk

@dovid הרשאות לא תמיד מועילות בזמן שהמשתמש יכול לפעמים להעלות הרשאות וכו' אני מדבר על משהו יותר סגור

dovid

@avramk כתב בהפרדת תיקיות קבצים בצד שרת ברמה של וירטואליזצייה:

@dovid הרשאות לא תמיד מועילות בזמן שהמשתמש יכול לפעמים להעלות הרשאות וכו' אני מדבר על משהו יותר סגור

אז בא תכתוב לי מפורשות,
אתה חושש שחברה אחת תוכל לגשת לקבצים של האחרת?
בממשק WEB או FTP, מי שיישא באחריות לכזו קטסטרופה זה התוכנה (WEB/FTP) או המגדיר שלה. בשני המקרים, לא יעזור כלום שבצד השרת בקבצים נמצאים בדיסק נפרד לגמרי.

אם אני כן מתייחס לפתרון שלך, אז מערכת ויטואלית מלאה עושה את העבודה מעולה, אתה לא צריך לשים שמה windows, אתה יכול להשתמש בגירסה רזה ביותר של linux.

yoel3

מה הצורך המרכזי?
כונן רשת לשיתוף קבצים?
שים את עצמך כאדמין ותן לכל מי שתחתך הרשאות רק לקבצים שלו.

יש שירות NextCloud

A0533057932

@yoel3 כתב בהפרדת תיקיות קבצים בצד שרת ברמה של וירטואליזצייה:

יש שירות NextCloud

לא עובד בווינדוס

avramk

@dovid לכן שאלתי האם יש אפשרות כזו של תוכנה שעושה את ההפרדה על ידי שהיא יוצרת קבצי vhd במקום ליצור ים של מערכות הפעלה בשביל כל כונן

avramk

@A0533057932 ניסיתי ? כתבו פה יום אחד שזה אפשדרי

A0533057932

@avramk אולי על ידי דוקר

שמואל4

@avramk אני לא מסכים בכלל עם הבעיה, כמו שהאמת כבר הסבירו.
אם אתה חושב מ"וירוס" שיעלו לשרת שהולך לרוץ על השרת עצמו, אז למה?
כלומר למה שרת אחסון מריץ קבצים שמעלים אליו.

אם החשש הוא דליפה ברמת היישום שאליו כל חברה ניגשת, אז תשתמש עם יישום טוב.

כלומר, אם יש לך בבית דלת חלשה, לא שואלים איך לבנות גדר ענקית מסביב לבית, אלא מחליפים דלת, לכן, קשה לי להבין בדיוק מה הבעיה שעליה אתה מחפש פתרון.

בכל מקרה, וירטואליזציה זה סביב תוכנה מסויימת, לכן כל הפרדה כזו או אחרת צריכה לכלול יישום שרץ בוירטואליזציה שינהל את מה שצריך, וצריך בכל מקרה לחשוב תמיד מה עדיף מבחינת ביצועים.

avramk

@שמואל4 הוא לא מריץ קבצים, אבל אפ מישהו העלה קובץ לשרת שאומר לשרת להריץ קובץ כלשהוא לדוגמא... או להעלות הרשאה וכו' ..?

dovid

@avramk גם יש דיסק אחסון נפרד לכל חברה אתה לא מוגן בתרחיש שאמרת.
אם הם יגרמו לשרת להריץ קובץ שנמצא בדיסק הנפרד והאישי שלהם, הם יכולו לדעת הכל ולעשות הכל בשרת עם כל הדיסקים שלו הפיזיים או הוירטואליים.
בדיוק מהסיבה שלא תהיה להם הרשאה לגשת לדיסק שונה אפשר להגביל הרשאה לתיקיה וכמובן לא להרשות הרצה משום סוג.

avramk

@dovid לכן חשבתי שהפרדה וירטואלית היא הכי חזקה, תתקן אותי אם אני לא צודק

שמואל4

@avramk כתב בהפרדת תיקיות קבצים בצד שרת ברמה של וירטואליזצייה:

קובץ לשרת שאומר לשרת להריץ קובץ כלשהוא לדוגמא...

אין דבר כזה, אם אתה לא מריץ את הקבצים של הלקוחות שלך (ולא מדובר בחולשה מסויימת שידועה ביישום שלך שמריץ קבצים שמעלים לו) גם אם הלקוחות יעלו וירוס עוצמתי ביותר, אם אתה לא עושה טעויות, זה לא יגרום לכלום.

avramk

@שמואל4 הוי אומר? אם לקוח קיבל גישת FTP לשרת ווינדוס , ומעלה קובץ autorun שמפעיל קובץ BAT אחר שהוא העלה. לא יעבוד לו ?
מנסה להבין את התרחישד

שמואל4

@avramk כתב בהפרדת תיקיות קבצים בצד שרת ברמה של וירטואליזצייה:

@שמואל4 הוי אומר? אם לקוח קיבל גישת FTP לשרת ווינדוס , ומעלה קובץ autorun שמפעיל קובץ BAT אחר שהוא העלה. לא יעבוד לו ?

אם אין מי שמפעיל אותו הוא לא יופעל.

avramk

@שמואל4 explorer...

שמואל4

@avramk כתב בהפרדת תיקיות קבצים בצד שרת ברמה של וירטואליזצייה:

@שמואל4 explorer...

לא הבנתי מה ענית.
אתה מנסה לנחש סיבות שהקבצים שמעלים יופעלו?
אתה מספר לי שexplorer יכול להריץ קבצים?
למה לא אמרת ״word״?

כלומר, אני מנסה להבין האם אתה חושש ממשהוא קיים ואתה רוצה לפתור בעיה מסויימת, או שהכל כל בגדר ״ואולי זה כן״?

dovid

@avramk כתב בהפרדת תיקיות קבצים בצד שרת ברמה של וירטואליזצייה:

@dovid לכן חשבתי שהפרדה וירטואלית היא הכי חזקה, תתקן אותי אם אני לא צודק

אתה דיברת על הפרדת אמצעי אחסון, ולא על הפרדת מערכות מלאה.
לגבי הפרדת אמצעי אחסון מתחילת הנושא אני כותב לך שזה לא, ואתה (מתעקש?) לא מבין.
הפרדת מערכות מלאה ודאי יוצרת בידוד שמגן עוד יותר ל מערכת מפני המשתמשים של השניה, אבל אתה חייב לעשות הערכת סיכונים לפני שאתה הולך בצעד קיצוני שיביא חולשות אחרות.

באופן כללי הבעיה בנושא הזה היא שהגעת עם סט ידיעות כלליות על עולם האבטחה,
ואתה מבקש עזרה נקודתית לסייע להטמיע את הפתרון שלדעתך טוב.
אנחנו נזעקים שאין היגיון בפתרון אותו אתה רוצה כי הוא לא מספק הגנה לשום תרחיש,
ואז אתה אומר, אני לא יודע מה התרחיש, אבל עדיין די בטוח שישנו אחד כזה:

@avramk כתב בהפרדת תיקיות קבצים בצד שרת ברמה של וירטואליזצייה:

מנסה להבין את התרחיש

אז בא נעצור רגע,
אתה לא מספיק יודע באבטחה, אבל אתה בהחלט מבין שעליך למנוע מצב שמשתמש יצליח להריץ קובץ בשרת.
איך זה יכול לקרוא? לא מעניין אותך יותר מידי, כי אתה לא הולך לפרוץ אלא להגן.
אבל אתה חייב לדעת קצת יותר איך פורצים כדי שההגנות שלך יהיו שוות משהו.
אז בא תפתח נושא ותשאל ככה: אם יש גישה להעלאת/הורדת/עריכת קבצים בשרת. מהם חולשות האבטחה האפשריות, ואיך כדאי להתגונן מפניהם.

avramk

@שמואל4 חד משמעי שאולי זה כן, אם אני לא יעבוד ככה אז אני אמצא את עצמי מהר מאד עם וירוסים מפה ועד להודעה חדשה..

בנוגע למה שכתבת אני מבין למה שאתה מתכוון

@dovid כתב בהפרדת תיקיות קבצים בצד שרת ברמה של וירטואליזצייה:

אם יש גישה להעלאת/הורדת/עריכת קבצים בשרת. מהם חולשות האבטחה האפשריות, ואיך כדאי להתגונן מפניהם.

בדיוק פה אני אוחז לאחר מה ש @שמואל4 כתב.