37 lines
2.5 KiB
Markdown
37 lines
2.5 KiB
Markdown
# Zabezpečení
|
|
|
|
### Turnkey zabezpečení
|
|
|
|
Zabezpečení je klíčovým prvkem OSCloud. Neustále vydáváme aktualizace, které zpřísňují bezpečnostní politiky firewallu OSCloud, abychom uživatelům nabídli bezpečnost bez nutnosti manuální konfigurace.
|
|
|
|
### Ochrana soukromí a kontrola
|
|
|
|
OSCloud je navržen tak, aby poskytoval úplnou kontrolu nad daty a jejich vlastnictvím. Veškerý kód a oznámení jsou zpracovány na vašem serveru, a to bez zapojení externích služeb nebo analytik. OSCloud nekontaktuje žádné externí servery a neposkytuje třetím stranám přístup k vašim datům.
|
|
|
|
### HTTPS
|
|
|
|
Všechny aplikace běžící na OSCloud jsou přístupné pouze přes HTTPS. HTTP požadavky jsou automaticky přesměrovány na HTTPS a OSCloud spravuje SSL certifikáty pomocí Let's Encrypt, včetně jejich automatické obnovy.
|
|
|
|
### Šifrování záloh
|
|
|
|
Zálohy jsou volitelně šifrovány pomocí AES-256-CBC, což zajišťuje vysokou úroveň ochrany vašich dat při ukládání. To znamená, že i v případě, že by někdo získal přístup k zálohám, bez šifrovacího klíče nejsou data čitelná.
|
|
|
|
---
|
|
|
|
### Omezení pro hesla
|
|
|
|
- **OSCloud** vyžaduje, aby hesla uživatelů obsahovala alespoň 1 velké písmeno, 1 číslici a 1 speciální znak.
|
|
- Hesla uživatelů musí mít minimálně 8 a maximálně 256 znaků.
|
|
- Každé heslo je individuálně **saltováno** a hashováno pomocí algoritmu **PBKDF2** (viz [RFC 2898, sekce 5.1](https://www.ietf.org/rfc/rfc2898.txt)).
|
|
|
|
---
|
|
|
|
### Izolace aplikací a sandboxing
|
|
|
|
- Aplikace jsou od sebe **zcela izolované**. Jedna aplikace nemůže manipulovat s databází jiných aplikací nebo s jejich místními soubory. Toho dosahujeme pomocí **Linuxových kontejnerů**.
|
|
- Aplikace běží s **rootfs pouze pro čtení**, což zabraňuje útokům, kdy by bylo možné manipulovat s kódem aplikace.
|
|
- Aplikace se mohou připojit pouze k doplňkům, jako jsou databáze, LDAP nebo přenos e-mailů, a to **pouze pomocí ověřování**.
|
|
- Aplikace jsou spouštěny s **profilem AppArmor**, který zakazuje mnoho systémových volání a omezuje přístup k souborovým systémům **proc** a **sys**.
|
|
- Většina aplikací běží jako uživatel bez oprávnění **root**. V budoucnu plánujeme implementaci uživatelských jmenných prostorů.
|
|
- Každá aplikace je spuštěna ve své vlastní **subdoméně**, na rozdíl od dílčích cest. To zajišťuje, že zranitelnosti typu **XSS** v jedné aplikaci neohrozí ostatní aplikace.
|
|
- Procesní kapacity jako **NET_RAW** jsou vypuštěny, což zvyšuje bezpečnost. |