Как обеспечить безопасность докер контейнеров на миниПК, чтобы защитить файлы с конфигурациями и данными от несанкционированного доступа, исключив возможность использования загрузочной флешки или подбора ssh ключа? Какие методы защиты можно применить в данном случае, и как их настроить? Желательно, чтобы решение не включало полное шифрование диска из-за автономности устройства.
Для защиты персональных компьютеров клиентов, помимо шифрования, можно использовать следующие методы: 1. Установка антивирусного программного обеспечения для обнаружения и блокировки вредоносного программного обеспечения. 2. Регулярное обновление программного обеспечения и операционной системы для закрытия уязвимостей. 3. Включение брандмауэра, который может блокировать нежелательный сетевой трафик. 4. Использование механизмов аутентификации, таких как пароли, двухфакторная аутентификация и биометрическая аутентификация. 5. Ограничение прав доступа пользователей к файлам и папкам на компьютере. Для обеспечения безопасности докер контейнеров на миниПК можно применить следующие методы: 1. Использование нескольких слоев защиты, таких как аутентификация контейнеров и сегментация сети. 2. Мониторинг активности контейнеров и реагирование на аномальное поведение. 3. Регулярное обновление контейнеров и их зависимостей для закрытия уязвимостей. 4. Ограничение доступа к консоли контейнеров и использование механизмов контроля доступа. 5. Журналирование событий контейнеров для отслеживания и анализа потенциальных нарушений безопасности. Эти методы могут помочь обеспечить безопасность докер контейнеров на миниПК и защитить конфигурационные файлы и данные от несанкционированного доступа.
Вам нужна доверенная загрузка.
https://0pointer.de/blog/brave-new-trusted-boot-wo...
Защита от загрузочной флешки - это физический доступ к компьютеру (сейф или вынос машины в закрытую комнату на проводах, кстати рекомендую) и настройки в биосе (под паролем). Кстати это не защитит от атаки на usb мышь/клавиатуру так как можно срезать имеющуюся и подключить свою, которая в своем составе будет иметь usb хаб и флешку. Защита от этого тупая - поставить pc/2 мышь и клавиатуру, а переходник спрятать в сейфе.
К сожалению, многие десктопные биосы могут не запрещать меню быстрого выбора загрузочного диска по F12/F11/F8 (еще видел Esc у планшетников irbis кажется), по крайней мере я этот вопрос не изучал, возможно при установке пароля эта возможность так же его требует.
Пользователь ОС должен быть не привилегированным, никаких продвинутых прав, никаких возможностей устанавливать приложения, и в особых случаях даже снятие прав executable с каталога профиля пользователя (это запретит запускать и устанавливать приложения, скопированные туда). Это не панацея, остается еще windows scripting host, .net framework и еще куча способов запустить скриптовый язык (например через оффисное приложение) но там тоже есть свои способы борьбы.
Идеальным способом защиты является kiosk mode, в этом режиме работает только одно указанное приложение. Когда то из таких ограничений выходили через штатный просмотрщик хелпа, он внутри до сих пор функциональный internet explorer (диалоговое окно accessibility, или окно печати) возможно не все дыры такого рода закрыты.
В общем винда не лучший способ строить защищенный терминал. Скорее всего придется серьезно его ломать, вырезая компоненты и да, придется отключить обновления, так как после крупных, многое вернется назад.