Как можно предотвратить локальный доступ к моему серверу (хосту или виртуальному серверу Ubuntu 16.04)
У меня есть веб-приложение (PHP), которое мне нужно оставить в помещении клиента. У них нет интернета, и они не хотят использовать его для использования моего приложения.
Поэтому я должен оставить Linux-сервер на их месте. Но меня беспокоит, что кто-то получит доступ к моему серверу и мой PHP-код. В дополнение к шифрованию PHP (ионный кодировщик, Zend Guard) и шифрованию диска LUKS, я не знаю, что еще я могу сделать, чтобы защитить свою машину.
Я знаю, Microsoft давно заявила, что если кто-то имеет физический доступ для машины его следует считать взламываемым, поэтому мое приложение / сервер будет на «враждебной территории», но у меня нет выбора. Но я могу сделать все возможное, чтобы предотвратить это. Я рассматриваю возможность отключения TTY и включения входа в систему через SSH с ключами, чтобы только я мог получить к нему удаленный доступ (что означает, когда я приеду туда со своим ноутбуком).
Что было бы лучше? имея всю мою настройку на сервере или внутри виртуальной машины внутри сервера? поскольку диск будет зашифрован, меня не особо беспокоит, что кто-то копирует мой диск (я тоже не могу слишком много делать). Но тогда как я могу предотвратить изменение пароля root от grub?
Кроме того, даже если я защищу паролем BIOS, не будет ли он разблокирован при прошивке платы?
Да, если они смогут разобрать коробку и вытащить батарею BIOS, они смогут разблокировать BIOS. Я также не уверен, что размещение вашего приложения на виртуальной машине даст то, что вы ищете.
Вы, вероятно, захотите хранить его в клетке для цветов. Примерно так:
Если они не могут физически прикоснуться к нему, они не могут вскрыть корпус, получить доступ к жратве и т. Д. Это отраслевой стандарт для такого рода вещей.
Есть связанные затраты, и вам, возможно, придется подумать, в какой момент вы тратите больше, чем стоит защита вашего кода. (Я не могу ответить на этот вопрос; только вы знаете денежную ценность своего кода.)