Oscloud/oscloud-docs
3
1
Fork 1
Code Issues Pull Requests 1 Actions Packages Projects Releases Wiki Activity

přidány zalohy a zbezpečení, upraven mkdocs.yml

Browse Source
This commit is contained in:
archos
2024-10-15 21:09:54 +02:00
parent 21dcf986ff
commit deac8c6460
3 changed files with 62 additions and 1 deletions
Download Patch File Download Diff File Expand all files Collapse all files

37
docs/security.md Normal file
View File

@ -0,0 +1,37 @@
# Zabezpečení
### Turnkey zabezpečení
Zabezpečení je klíčovým prvkem OSCloud. Neustále vydáváme aktualizace, které zpřísňují bezpečnostní politiky firewallu OSCloud, abychom uživatelům nabídli bezpečnost bez nutnosti manuální konfigurace.
### Ochrana soukromí a kontrola
OSCloud je navržen tak, aby poskytoval úplnou kontrolu nad daty a jejich vlastnictvím. Veškerý kód a oznámení jsou zpracovány na vašem serveru, a to bez zapojení externích služeb nebo analytik. OSCloud nekontaktuje žádné externí servery a neposkytuje třetím stranám přístup k vašim datům.
### HTTPS
Všechny aplikace běžící na OSCloud jsou přístupné pouze přes HTTPS. HTTP požadavky jsou automaticky přesměrovány na HTTPS a OSCloud spravuje SSL certifikáty pomocí Let's Encrypt, včetně jejich automatické obnovy.
### Šifrování záloh
Zálohy jsou volitelně šifrovány pomocí AES-256-CBC, což zajišťuje vysokou úroveň ochrany vašich dat při ukládání. To znamená, že i v případě, že by někdo získal přístup k zálohám, bez šifrovacího klíče nejsou data čitelná.
---
### Omezení pro hesla
- **OSCloud** vyžaduje, aby hesla uživatelů obsahovala alespoň 1 velké písmeno, 1 číslici a 1 speciální znak.
- Hesla uživatelů musí mít minimálně 8 a maximálně 256 znaků.
- Každé heslo je individuálně **saltováno** a hashováno pomocí algoritmu **PBKDF2** (viz [RFC 2898, sekce 5.1](https://www.ietf.org/rfc/rfc2898.txt)).
---
### Izolace aplikací a sandboxing
- Aplikace jsou od sebe **zcela izolované**. Jedna aplikace nemůže manipulovat s databází jiných aplikací nebo s jejich místními soubory. Toho dosahujeme pomocí **Linuxových kontejnerů**.
- Aplikace běží s **rootfs pouze pro čtení**, což zabraňuje útokům, kdy by bylo možné manipulovat s kódem aplikace.
- Aplikace se mohou připojit pouze k doplňkům, jako jsou databáze, LDAP nebo přenos e-mailů, a to **pouze pomocí ověřování**.
- Aplikace jsou spouštěny s **profilem AppArmor**, který zakazuje mnoho systémových volání a omezuje přístup k souborovým systémům **proc** a **sys**.
- Většina aplikací běží jako uživatel bez oprávnění **root**. V budoucnu plánujeme implementaci uživatelských jmenných prostorů.
- Každá aplikace je spuštěna ve své vlastní **subdoméně**, na rozdíl od dílčích cest. To zajišťuje, že zranitelnosti typu **XSS** v jedné aplikaci neohrozí ostatní aplikace.
- Procesní kapacity jako **NET_RAW** jsou vypuštěny, což zvyšuje bezpečnost.