Oscloud/oscloud-docs
2
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
2a401b1d5f
oscloud-docs/docs/security.md

2.5 KiB
Raw Blame History

Zabezpečení

Turnkey zabezpečení

Zabezpečení je klíčovým prvkem OSCloud. Neustále vydáváme aktualizace, které zpřísňují bezpečnostní politiky firewallu OSCloud, abychom uživatelům nabídli bezpečnost bez nutnosti manuální konfigurace.

Ochrana soukromí a kontrola

OSCloud je navržen tak, aby poskytoval úplnou kontrolu nad daty a jejich vlastnictvím. Veškerý kód a oznámení jsou zpracovány na vašem serveru, a to bez zapojení externích služeb nebo analytik. OSCloud nekontaktuje žádné externí servery a neposkytuje třetím stranám přístup k vašim datům.

HTTPS

Všechny aplikace běžící na OSCloud jsou přístupné pouze přes HTTPS. HTTP požadavky jsou automaticky přesměrovány na HTTPS a OSCloud spravuje SSL certifikáty pomocí Let's Encrypt, včetně jejich automatické obnovy.

Šifrování záloh

Zálohy jsou volitelně šifrovány pomocí AES-256-CBC, což zajišťuje vysokou úroveň ochrany vašich dat při ukládání. To znamená, že i v případě, že by někdo získal přístup k zálohám, bez šifrovacího klíče nejsou data čitelná.

Omezení pro hesla

  • OSCloud vyžaduje, aby hesla uživatelů obsahovala alespoň 1 velké písmeno, 1 číslici a 1 speciální znak.
  • Hesla uživatelů musí mít minimálně 8 a maximálně 256 znaků.
  • Každé heslo je individuálně saltováno a hashováno pomocí algoritmu PBKDF2 (viz RFC 2898, sekce 5.1).

Izolace aplikací a sandboxing

  • Aplikace jsou od sebe zcela izolované. Jedna aplikace nemůže manipulovat s databází jiných aplikací nebo s jejich místními soubory. Toho dosahujeme pomocí Linuxových kontejnerů.
  • Aplikace běží s rootfs pouze pro čtení, což zabraňuje útokům, kdy by bylo možné manipulovat s kódem aplikace.
  • Aplikace se mohou připojit pouze k doplňkům, jako jsou databáze, LDAP nebo přenos e-mailů, a to pouze pomocí ověřování.
  • Aplikace jsou spouštěny s profilem AppArmor, který zakazuje mnoho systémových volání a omezuje přístup k souborovým systémům proc a sys.
  • Většina aplikací běží jako uživatel bez oprávnění root. V budoucnu plánujeme implementaci uživatelských jmenných prostorů.
  • Každá aplikace je spuštěna ve své vlastní subdoméně, na rozdíl od dílčích cest. To zajišťuje, že zranitelnosti typu XSS v jedné aplikaci neohrozí ostatní aplikace.
  • Procesní kapacity jako NET_RAW jsou vypuštěny, což zvyšuje bezpečnost.