Dobrý den,
v systému 4smart.cz je k dispozici šablona s instalací ownCloud, postavená na distribuci TurnkeyLinuxu.
OwnCloud umožňuje podobně jako dropbox snadné sdílení Vašich dokumentů a jejich replikaci mezi Vašimi zařízeními.
Na rozdíl od komerčních řešení máte s owncloud svá data pod výhradně svoji kontrolou.
Nová šablona je v systému dostupná pod označením turnkey-owncloud_13.0-1-x86_64.
Pozn.: Originální šablonu TurnkeyLinuxu s instalací ownCloud bylo třeba upravit z těchto důvodů:
* rozbitých závislostí mezi balíky
* služba ssh startovala až po inithooks
* služba shellinabox startovala až po inithooks
* chybějící instalace PhpMyAdmin
Po provedených úpravách je šablonu možné používat i na 4smart.cz.
J.M.
Nová šablona - ownCloud
Re: Nová šablona - ownCloud
Díky. My použití této šablony zvažujeme, ale chtěl bych tu "rozvířit" diskusi ohledně citované formulace.
[quote="admin"]Na rozdíl od komerčních řešení máte s owncloud svá data pod výhradně svoji kontrolou.[/quote]
Bezpečnostní expert nejsem, ale myslím, že tím, že provozovatel virtuálního serveru má (fyzický) přístup k virtuálním strojům, tak tu je potenciální prostor pro přístup k datům. Tedy je to srovnatelné s tím, jako by měl přístup do mé serverovny.
Nyní nechci diskutovat, jestli jsou data šifrovaná nebo ne.
[quote="admin"]Na rozdíl od komerčních řešení máte s owncloud svá data pod výhradně svoji kontrolou.[/quote]
Bezpečnostní expert nejsem, ale myslím, že tím, že provozovatel virtuálního serveru má (fyzický) přístup k virtuálním strojům, tak tu je potenciální prostor pro přístup k datům. Tedy je to srovnatelné s tím, jako by měl přístup do mé serverovny.
Nyní nechci diskutovat, jestli jsou data šifrovaná nebo ne.
-
mobilemanic
- Příspěvky: 486
- Registrován: čtv 10. říj 2013 10:20:15
Re: Nová šablona - ownCloud
GeBu:
Bohužel to šifrování se do diskuze zahrnout musí, protože se jedná o věc, která koncept celého systému mění. V tomto případě (OwnCloud) je vše udělané tak, že poskytovatel se sice k datům dostane, ale jsou mu na nic - ke každému nahranému souboru existují pouze dva šifrovací klíče, které jej mohou dešifrovat. Ty sice jsou také uloženy na serveru, ale chráněné heslem (přesný princip nevím, nestudoval jsem to detailně). K jednomu klíči platí heslo uživatele a k druhému klíči obnovovací master-heslo, které se nepovinně vytváří při instalaci (aby bylo možné zachránit data v účtu kde uživatel zapomene heslo).
S dostatečně silnými hesly to z mého pohledu dokáze oslabit jedině případná v budoucnu nalezená chyba v těch šifrovacích algoritmech, s čímž toho asi moc neuděláme.
Bohužel to šifrování se do diskuze zahrnout musí, protože se jedná o věc, která koncept celého systému mění. V tomto případě (OwnCloud) je vše udělané tak, že poskytovatel se sice k datům dostane, ale jsou mu na nic - ke každému nahranému souboru existují pouze dva šifrovací klíče, které jej mohou dešifrovat. Ty sice jsou také uloženy na serveru, ale chráněné heslem (přesný princip nevím, nestudoval jsem to detailně). K jednomu klíči platí heslo uživatele a k druhému klíči obnovovací master-heslo, které se nepovinně vytváří při instalaci (aby bylo možné zachránit data v účtu kde uživatel zapomene heslo).
S dostatečně silnými hesly to z mého pohledu dokáze oslabit jedině případná v budoucnu nalezená chyba v těch šifrovacích algoritmech, s čímž toho asi moc neuděláme.
Re: Nová šablona - ownCloud
Tato nova sablona je rozhodne zajimavou moznosti pro vlastni datove uloziste.
Z hlediska bezpecnosti si take dovolim komentar - vzhledem k tomu, ze system bezi jako VPS na stroji pod kontrolou poskytovatele, tak je jedno, zda a jak jsou data sifrovana. Poskytovatel ma plnou kontrolu nad strojem a muze si kdykoliv udelat dump RAM a HDD. V RAM se najde bud rozsifrovana verze sifrovaciho klice a/nebo souboru. Takze sifrovani je jen mala komplikace v pripade, ze by poskytovatel chtel pristupovat k Vasim datum.
Tim ovsem nechci rict, ze bych z toho poskytovatele podeziral. Jde jen o to, ze tu moznost ma a mohl by byt nucen napr. organy statni spravy k tomu, aby ji vyuzil.
Z hlediska bezpecnosti si take dovolim komentar - vzhledem k tomu, ze system bezi jako VPS na stroji pod kontrolou poskytovatele, tak je jedno, zda a jak jsou data sifrovana. Poskytovatel ma plnou kontrolu nad strojem a muze si kdykoliv udelat dump RAM a HDD. V RAM se najde bud rozsifrovana verze sifrovaciho klice a/nebo souboru. Takze sifrovani je jen mala komplikace v pripade, ze by poskytovatel chtel pristupovat k Vasim datum.
Tim ovsem nechci rict, ze bych z toho poskytovatele podeziral. Jde jen o to, ze tu moznost ma a mohl by byt nucen napr. organy statni spravy k tomu, aby ji vyuzil.
-
4smart.cz
- Administrátor
- Příspěvky: 1373
- Registrován: úte 12. říj 2010 9:16:11
- Kontaktovat uživatele:
Re: Nová šablona - ownCloud
Dobrý den,
chtěl bych dodat, že není v našem zájmu dělat dumpy (úložišť / RAM) nebo uživatelům jen tak procházet adresářovou strukturu virtuálních serverů bez "solidních" důvodů. Toto se na 4smart.cz neděje.
Samozřejmě je pravdou, že jako administrátor mám přístup ke všem virtuálním serverům. Této možnosti ale běžně využívám jen v případě, kdy řeším určité typy problémů s virtuálními servery, nebo jmenovitě jedním konkrétním virtuálním serverem zákazníka. Jde třeba o problémy se startem VPS po updatu, žádosti o přesun VPS mezi HW uzly, nebo nutné interní přesuny zastavených VPS v případě potřeby uvolnit/ lépe rozložit obsazení úložišť.
Od roku 2010 jsme v souvislosti s 4smart.cz nebyli požádáni PČR a ani jiným orgánem ke spolupráci. Za 4 roky provozu se objevil jeden zásadní problém, který skončil ale naštěstí jen právní upomínkou a nikoliv vyšetřováním PČR, kdy jeden z uživatelů na své webovky umístil neoprávněně nebo proti vůli původního autora obsah z cizích stránek.
Owncloud je silným koněm na poli cloudového sdílení. Myslím, že stejně jako Google+, Dropbox, nebo jiné platformy, tak i lidé za tyto služby odpovědní mohou na vyzvání orgánů činných v trestním řízení konat podobně jak bylo zmíněno. Navíc u těchto komerčních služeb opravdu nevíte, co se s Vašimi daty děje. Zda probíhá nějaká automatizovaná analýza uložených dat za účelem vystopovat teroristy nebo vytvářet relace mezi uživateli podle dat, které sdílí a mapovat tak v rámci světa možné interakce a relace mezi lidmi, např. pro NSA, apod. Owncloud je právě v tomto smyslu prozíravý a pokud nepodnikáte nic nelegálního, pak není důvod se bát, že budete mít problém.
4smart.cz si nemůže dovolit nakládat s daty uživatelů jinak, než s jejich vědomím. Pokud by se něco takového dělo, pak je otázkou času, kdy to můžeme "zabalit" - kdy se na to příjde. A něco takového není v našem zájmu.
J.M.
chtěl bych dodat, že není v našem zájmu dělat dumpy (úložišť / RAM) nebo uživatelům jen tak procházet adresářovou strukturu virtuálních serverů bez "solidních" důvodů. Toto se na 4smart.cz neděje.
Samozřejmě je pravdou, že jako administrátor mám přístup ke všem virtuálním serverům. Této možnosti ale běžně využívám jen v případě, kdy řeším určité typy problémů s virtuálními servery, nebo jmenovitě jedním konkrétním virtuálním serverem zákazníka. Jde třeba o problémy se startem VPS po updatu, žádosti o přesun VPS mezi HW uzly, nebo nutné interní přesuny zastavených VPS v případě potřeby uvolnit/ lépe rozložit obsazení úložišť.
Od roku 2010 jsme v souvislosti s 4smart.cz nebyli požádáni PČR a ani jiným orgánem ke spolupráci. Za 4 roky provozu se objevil jeden zásadní problém, který skončil ale naštěstí jen právní upomínkou a nikoliv vyšetřováním PČR, kdy jeden z uživatelů na své webovky umístil neoprávněně nebo proti vůli původního autora obsah z cizích stránek.
Owncloud je silným koněm na poli cloudového sdílení. Myslím, že stejně jako Google+, Dropbox, nebo jiné platformy, tak i lidé za tyto služby odpovědní mohou na vyzvání orgánů činných v trestním řízení konat podobně jak bylo zmíněno. Navíc u těchto komerčních služeb opravdu nevíte, co se s Vašimi daty děje. Zda probíhá nějaká automatizovaná analýza uložených dat za účelem vystopovat teroristy nebo vytvářet relace mezi uživateli podle dat, které sdílí a mapovat tak v rámci světa možné interakce a relace mezi lidmi, např. pro NSA, apod. Owncloud je právě v tomto smyslu prozíravý a pokud nepodnikáte nic nelegálního, pak není důvod se bát, že budete mít problém.
4smart.cz si nemůže dovolit nakládat s daty uživatelů jinak, než s jejich vědomím. Pokud by se něco takového dělo, pak je otázkou času, kdy to můžeme "zabalit" - kdy se na to příjde. A něco takového není v našem zájmu.
J.M.
-
mobilemanic
- Příspěvky: 486
- Registrován: čtv 10. říj 2013 10:20:15
Re: Nová šablona - ownCloud
xsvobo10: ano, máte pravdu, dumpnout ty klíče či soubory z paměti mne nenapadlo, i když neřešitelné to není - stačí prostě dešifrovat a šifrovat až u klienta. Ovšem z tohohle pohledu nevím, jak to OwnCloud dělá...
Re: Nová šablona - ownCloud
Já jsem tuto debatu rozvířil z toho důvodu, že mne zajímá ownCloud na virtuálním serveru a splnění podmínek daných zákonem na ochranu osobních údajů. Jestli dobře chápu situaci, tak zákon se příliš nestará o technické detaily. Pokud se data předávají třetí straně tak v podstatě požaduje, aby s tou třetí stranou byla uzavřena smlouva, že budou s daty nakládat náležitě. Takovou smlouvu pokud vím nelze uzavřít ani s Google (Google Disk) ani s Dropbox a tudíž do nich nelze taková data ukládat.
Tedy zajímá mne, jestli je technická možnost, aby se provozovatel virtuálního serveru s ownCloudem dostal k datům - což vypadá, že taková možnost je (oproti případu, že si to provozuji sám). V tom případě pokud bych tam chtěl nahrát data s osobními údaji, bych musel s provozovatelem virtuálního serveru sepsat smlouvu. Jinak tam data nemohu nahrnout.
Tedy zajímá mne, jestli je technická možnost, aby se provozovatel virtuálního serveru s ownCloudem dostal k datům - což vypadá, že taková možnost je (oproti případu, že si to provozuji sám). V tom případě pokud bych tam chtěl nahrát data s osobními údaji, bych musel s provozovatelem virtuálního serveru sepsat smlouvu. Jinak tam data nemohu nahrnout.
-
4smart.cz
- Administrátor
- Příspěvky: 1373
- Registrován: úte 12. říj 2010 9:16:11
- Kontaktovat uživatele:
Re: Nová šablona - ownCloud
Smlouva jistě je nějakým právním řešením, ale nezapomeňte na to, že software bez chyb prostě neexistuje.
Může se postupem času objevit zranitelnost, která může být útočníkem zneužita a Vaše data tak mohou být vykradena.
Riziko je samozřejmě menší, pokud sáhnete po iptables, případně přidáte .htaccess, či navíc ve VPS nastavíte webový server tak, aby poslouchal jen na IP adrese Vaší VPN sítě.
Z pohledu pravděpodobnosti je toto pro Vás to největší riziko, které žádná smlouva nepojistí, protože ani my, jako provozovatel virtuálních serverů postavených na svobodném SW,
nezodpovídáme za zranitelnosti tohoto softwaru a případné následky. V případě takových problémů Vás nemůžeme odškodnit.
Na druhou stranu, nic Vám nebrání v tom mít v owncloudu již šifrovaná data, tedy zahrnout do toho další mechanizmus, kdy pro dešifrování bude třeba klíč/heslo, který(é) se na 4smart.cz vůbec nevyskytuje.
Pokud tedy owncloud sám o sobě šifruje, bude doplňkově šifrovat již zašifrovaná data. Jen to pro uživatele, kteří budou mít k Vašemu cloudu přístup, bude znamenat trochu víc práce a nesmí zapomenout, že nahrát do cloudu musí jen a výhradně zašifrovaná data, jinak jde o pochybení.
Možností, jak zašifrovat soubor je mnoho. Namátkově mě napadají nástroje openssl, nebo gpg, pgp, apod.
Z vyjmenovaných pro osobní účely používám openssl a gpg.
Může se postupem času objevit zranitelnost, která může být útočníkem zneužita a Vaše data tak mohou být vykradena.
Riziko je samozřejmě menší, pokud sáhnete po iptables, případně přidáte .htaccess, či navíc ve VPS nastavíte webový server tak, aby poslouchal jen na IP adrese Vaší VPN sítě.
Z pohledu pravděpodobnosti je toto pro Vás to největší riziko, které žádná smlouva nepojistí, protože ani my, jako provozovatel virtuálních serverů postavených na svobodném SW,
nezodpovídáme za zranitelnosti tohoto softwaru a případné následky. V případě takových problémů Vás nemůžeme odškodnit.
Na druhou stranu, nic Vám nebrání v tom mít v owncloudu již šifrovaná data, tedy zahrnout do toho další mechanizmus, kdy pro dešifrování bude třeba klíč/heslo, který(é) se na 4smart.cz vůbec nevyskytuje.
Pokud tedy owncloud sám o sobě šifruje, bude doplňkově šifrovat již zašifrovaná data. Jen to pro uživatele, kteří budou mít k Vašemu cloudu přístup, bude znamenat trochu víc práce a nesmí zapomenout, že nahrát do cloudu musí jen a výhradně zašifrovaná data, jinak jde o pochybení.
Možností, jak zašifrovat soubor je mnoho. Namátkově mě napadají nástroje openssl, nebo gpg, pgp, apod.
Z vyjmenovaných pro osobní účely používám openssl a gpg.
Re: Nová šablona - ownCloud
@admin: Diky za spristupnenie sablony, je to vynikajuci napad, urcite ho vyskusam.