Текст
Антон Мухатаев
На прошлой неделе пользователь сайта Pastebin выложил несколько сотен аккаунтов и паролей от облачного сервиса Dropbox. По его словам, всего у него скопилось почти 7 миллионов таких пар, которые он готов опубликовать в обмен на биткоины. Как утверждали на Reddit, многие комбинации из списка действительно работали. Look At Me разобрался, стоит ли вам беспокоиться за данные, хранящиеся в облаке, и приводит 5 правил, которые позволят их обезопасить.
Раз Dropbox взломали, пора оттуда уходить и хранить
данные в другом месте?
Задавайте уникальный, надёжный пароль для каждого сервиса и включайте двухуровневую аутентификацию везде, где это возможно;
Используйте защищенное соединение (непубличный компьютер и непубличный Wi-Fi), когда хотите получить доступ к важным персональным данным в облаке, а также проверяйте ссылку, по которой вы заходите в сервис;
Делайте несколько копий одних и тех же данных: на разных облачных сервисах и на локальных носителях;
Для продвинутых пользователей: шифруйте важные персональные данные перед тем, как куда-то их закачивать.
Многие облачные хранилища предлагают очень выгодные планы подписки, но являются ли они безопасными? В данной статье я решил ответить на этот вопрос.
В самом начале статьи я хотел бы предоставить вам сводку по исследованию, которое я провел. В таблице ниже указаны текущие предложения по безопасности 5 выбранных мной провайдеров облачных хранилищ.
Ниже описан мой опыт использования этих облачных хранилищ, а также информация, собранная мной из экспертных источников. В статье рассматриваются средства безопасности, предлагаемые этими компаниями по онлайн-хранению данных с целью определения того, какой провайдер является самым безопасным. Сначала мы рассмотрим средства безопасности каждого отдельного провайдера, а в конце мы подытожим полученные результаты.
Google Drive
Веб-гигант Google предоставляет множество прекрасных функций в своем облачном хранилище. Google предоставляет 15 Гб бесплатного облачного пространства для пользователей Gmail, Docs, Google+ Photos и Drive. Так что вам следует более рационально использовать Google Drive, так как этот размер распределен между несколькими сервисами. Google говорит , что хранить данные у них безопасно. Даже если ваш компьютер, планшет или телефон выходят из строя, данные на Google Drive находятся в безопасности. Компания также утверждает, что файлы, хранящиеся у них в дата-центре, не могут исчезнуть.
Но, какие же средства безопасности предлагает Google на потребительском уровне? Что может потребитель сделать для защиты своих онлайн-данных? Для ответа на этот вопрос нам необходимо залезть внутрь средств безопасности Google Drive.
Чтобы использовать Drive, вам необходима учетная запись Google. Создать учетную запись в Google проще простого. Google предложит вам придумать надежный пароль. Пароль должен содержать как минимум 8 символов. Тем не менее, требования к чувствительным к регистру или разнообразным буквам и числам при регистрации в Google отсутствуют. Хотя это могло бы улучшить безопасность.
Защита учетной записи в Google — это основной шаг по обеспечению безопасности в хранилище Drive. Google предлагает двухшаговую верификацию (двухфакторную аутентификацию) для того, чтобы увеличить надежность учетной записи. Как только вы активируете эту функцию, при каждом входе в какой-либо из сервисов Google вам нужно будет вводить дополнительный код. После ввода правильного имени пользователя и пароля на странице учетной записи в Google вы получите СМС с кодом верификации на свой мобильный телефон. Вы сможете войти в Google только после ввода этого кода. Таким образом, двухшаговая аутентификация может сделать Google Drive более защищенным от хакеров. Вы также можете получать такие коды с помощью приложений для смартфона.
В учетной записи Google есть секретный вопрос и возможность ввода электронного адреса или номера телефона для восстановления учетной записи, а также это позволить возобновить контроль над учетной записью в случае взлома. Вы также контролируете приложения, в которые вы входите с помощью своей учетной записи. Также доступны журнал посещений, IP-адрес и данные об устройстве, чтобы вы могли отслеживать активность по своей учетной записи Googlе.
Шифрование просто жизненно необходимо для любого облачного сервиса. Несмотря на то, что Google Drive в работе использует HTTPS, он не предоставляет собственную услугу по шифрованию файлов. Так что если вы хотите зашифровать файлы, сделайте это до отправки их на Google Drive. Вы можете бесплатно воспользоваться программой Boxcryptor , чтобы обезопасить свои облачные файлы.
Google Drive предлагает целый ряд индивидуальных опций для обмена. Используя эти настройки, вы можете определить, кто может иметь доступ к файлам, кто может их загружать, редактировать и т. д. Вы можете просматривать версии файлов на Google Drive. Так что если вам необходима предыдущая версия, вы можете ее получить, нажав на правую кнопку мыши на необходимом файле и выбрав опцию ‘Управление версиями’.
В заключение скажу, что безопасность сервиса онлайн-хранения данных от Google зависит от безопасности вашей учетной записи Google. Если вы можете защитить свою учетную запись Gmail ID, тогда смело можете рассчитывать на надежную защиту своих файлов на Google Drive.
Microsoft OneDrive
Dropbox
Dropbox — это один из самых популярных провайдеров онлайн-хранения данных. Его используют как в личных, так и в коммерческих целях. Dropbox — это исключительно облачное хранилище. Так что все их силы сконцентрированы на облаке. Dropbox предлагает новым пользователям 2 Гб бесплатного облачного пространства. Вы можете увеличить этот объем с помощью программы привлечения новых клиентов.
Dropbox говорит, что безопасность данных — это их первоочередный приоритет. При подписке на Dropbox я заметил, что этот процесс довольно простой и быстрый. Мне потребовалось ввести имя, адрес электронной почты и пароль. Страница создания учетной записи предложила мне использовать надежный пароль. Тем не менее, обязательства относительно поддержания определенного уровня безопасности отсутствовали. Возле поля ввода пароля была указана лишь его надежность: ‘слабый… надежный’.
Тем не менее, подписка на Dropbox может не потребовать немедленной верификации электронного адреса, но для того, чтобы беспрепятственно обмениваться файлами, необходимо подтвердить свою электронную почту. Все эти опции будут доступны вам по мере использования сервиса.
Dropbox предлагает функцию версии файлов для того, чтобы вы могли быстро вернуться к старой версии необходимых файлов. Если вы отредактировали файл, а позже захотели получить его предыдущий вариант, просто нажмите на правую кнопку мыши на новой версии файла, и выберите опцию «Предыдущие версии» в контекстном меню.
Ваша учетная запись Dropbox предоставляется вам с целым рядом дополнительных систем безопасности. Вы можете использовать двухшаговую верификацию, при которой необходим ввод уникального кода при каждом входе в Dropbox. Этот код вы получаете на свой мобильный телефон. Вы также можете получить код через приложение для смартфонов. В любом случае, двухфакторная аутентификация может существенно увеличить уровень безопасности вашей учетной записи.
На странице настроек безопасности Dropbox вы также можете мониторить и управлять подсоединенными устройствами, журналом посещений, привязанными приложениями и т. д., с целью предотвращения несанкционированного доступа.
Dropbox использует соединение HTTPS на своем сайте и во время передачи ваших данных между вами и облачным хранилищем. Вы можете контролировать доступ к своим файлам с помощью опций обмена данными.
Сам Dropbox не предоставляет опцию шифрования файлов до загрузки на их сервер. В Dropbox уверяют, что они шифруют файлы во время передачи и в течение всего остального времени. Тем не менее, вы можете зашифровать свои файлы до отправки на Dropbox. Для этого существует целое множество инструментов. Boxcryptor — один из них. Он использует стандартную технологию шифрования «AES-256 bit», чтобы еще больше увеличить уровень безопасности ваших файлов.
Copy
Copy — один из самых популярных сервисов облачного хранения данных, конкурирующий с Dropbox, Google Drive, OneDrive и т. д. Copy предоставляет каждому новому пользователю 15 Гб бесплатного облачного пространства. Сервис также предлагает бонус за привлечение новых клиентов, с помощью которого существующие пользователи могут увеличить свое бесплатное пространство. Процесс регистрации на Copy занимает всего несколько секунд. Вас попросят указать имя, адрес электронной почты и пароль. В процессе регистрации на Copy мне не предлагали выбрать надежный пароль. Все что было указано касательно пароля — он должен состоять как минимум из 6 символов.
Mega
Теперь перейдем к сервису Mega , который известен своей конфиденциальностью. Mega был основан Kim Dotcom . Сервис предоставляет каждому новому пользователю 50 Гб бесплатного пространства. Для регистрации в Mega вам необходимо предоставить такую основную информацию, как имя, адрес электронной почты, пароль и т. п. Mega требует использовать надежный пароль. Если ваш пароль недостаточно сложный, вы получите следующее сообщение: ‘ваш пароль недостаточно надежен чтобы продолжить’.
Mega использует HTTPS соединение и технологию шифрования клиентской части. Это значит, что ваша локально зашифрованная информация будет отправлена на Mega. При загрузке информации с сервиса, она расшифровывается. Как утверждается на странице помощи по вопросам безопасности Mega, ваши файлы невозможно читать на сервере. Компания настоятельно рекомендует не терять пароль. Пароль к Mega это не только пароль, а код, который открывает ваш основной ключ дешифровки. Mega утверждает, что пароль на сервисе восстановить невозможно. Если у вас нет резервной копии вашего основного ключа дешифровки и вы утратите свой пароль, тогда вы также потеряете и все данные, хранящиеся на сервере сервиса. Так что возьмите свой основной ключ Mega по этой ссылке на Mega и держите его в безопасном месте. Это очень важно.
Тем не менее, существуют сообщения о том, что в системе шифрования Mega на базе браузера есть определенные слабости.
Mega предлагает прекрасные средства безопасности, но, к сожалению, истории версий файлов у сервиса нет. Вы просто можете восстановить удаленные файлы с помощью приложения ‘SyncDebris’ от Sync Client, или из папки ‘Rubbish Bin’ на Mega. Для мониторинга вашей активности Mega предоставляет опцию журнала посещений и опцию управления приложениями.
Интересно то, что у Mega нет опции двухшаговой верификации, которая могла бы намного улучшить усилия сервиса, касающиеся конфиденциальности и безопасности.
Заключение
В данной статье я попытался подробно рассмотреть доступные средства безопасности 5 популярных провайдеров облачного хранения данных, таких как Google Drive, OneDrive, Dropbox, Copy и Mega. Что касается безопасности, у всех у них есть собственные и особые предложения. Теперь давайте посмотрим какие же основные средства безопасности предлагают эти сервисы. Ниже представлен удобный для ознакомления контрольный список.
- Требование к надежности пароля: Google, Microsoft и Mega требуют использовать надежный пароль. Dropbox и Copy более гибкие в этом плане.
- Требование верификации адреса электронной почты: Все сервисы рано или поздно требуют верифицировать свой электронный адрес.
- Двухшаговая верификация: Google Drive, OneDrive и Dropbox предоставляют двухшаговую верификацию. Copy и Mega на данный момент не предоставляют такой опции.
- Шифрование клиентской части: Только Mega предлагает шифрования клиентской части. Это осуществляется с устройства, с которого загружаются файлы.
- Шифрование серверной части: Dropbox, Mega и Copy хранят ваши файлы на серверах в зашифрованном виде. Вы можете использовать локальное шифрование, чтобы избежать рисков.
- Использование безопасного соединения (HTTPS): Все пять провайдеров используют безопасное соединение HTTPS. Тем не менее, Mega дает пользователям выбор его отключить (по выбору).
- Использование секретных вопросов для верификации пользователей: У Google Drive эта опция доступна. OneDrive, Dropbox, Copy и Mega на данный момент не используют секретный вопрос.
Из вышеуказанного становится ясно, что Google Drive предоставляет почти все средства безопасности, кроме шифрования. Microsoft OneDrive и Dropbox идут следом за ним. Mega предоставляет такое сложное средство безопасности, как шифрование, но на сервисе отсутствует двухшаговая верификация. Copy необходимо поработать над тем, чтобы превратить прекрасное облачное хранилище в более безопасную среду с помощью двухшаговой верификации, требования к надежности пароля и других инновационных систем безопасности.
Надеюсь, что эта статья оказалась полезной вам при поиске провайдера безопасного облачного хранения данных. Чтобы получить еще больше советов и хитростей, оставайтесь с нами. Благодарю за внимание. Да прибудет с вами безопасность!
2017. Техносерв запустил сервис синхронизации файлов для бизнеса - ТехноДиск
Системный интегратор Техносерв представил корпоративный сервис облачного хранения и синхронизации файлов ТехноДиск . В отличии от аналогов (Dropbox, Google Drive, Яндекс Диск...) он (по словам разработчиков) обеспечивает повышенную безопасность данных благодаря простой интеграции с системами безопасности клиента. Среди других достоинств компания называет хранение данных на территории России, возможность использования частного облака и расширенное удаленное управление файлами. В ТехноДиске имеется встроенный антивирус. Пользователи могут синхронизировать файлы между ПК и мобильными устройствами на iOS и Android. Например, для компании с 2 тыс. пользователями и общим объемом дискового пространства в 100 тыс. ГБ цена составит около 500 руб. за пользователя в месяц.
2016. Mail.ru запустила облако для архивов
В наборе бизнес-приложений Mail.Ru для Бизнеса появился новый сервис - Облачное хранилище холодных данных. Он подойдет для хранения бекапов, логов, медиаконтента, научных и статистических данных, а также рабочих архивов вашей компании. От обычных облачных хранилищ это отличается тем, что стоит намного дешевле, но данные выдает только по запросу и не мгновенно, а через некоторое время после запроса. При этом, обеспечивается высокий уровень безопасности хранилища, и в отличии от западных альтернатив (Amazon Glacier или Google Nearline), всегда обеспечивается соответствие нормам законодательства (т.е. данные хранятся в российских дата-центрах). ***
2015. Google Compute Engine позволил клиентам использовать собственные ключи шифрования
2015. Microsoft и Google повысили безопасность своих онлайн офисов
Microsoft встроила в свой онлайн офис Office 365 систему управления мобильными устройствами (MDM), которая доступна бесплатно всем коммерческим подписчикам сервиса. Эта система позволяет контролировать данные (email, документы), которые находятся на девайсах сотрудников (iPhone, Android, Windows Phone), централизованно устанавливать права доступа, политики безопасности и удаленно стирать данные (например, если сотрудник уволился). В свою очередь, Google добавил множество настроек для управления правами доступа в облачное хранилище Google Drive for Work. Особенно порадует пользователей возможность расшаривать файлы для внешних контрагентов без необходимости просить этих контрагентов зарегистрировать Гугл-аккаунт. Вот видео: ***
2015. Box стал самым защищенным облачным хранилищем в мире
Облачные хранилища типа Box, Dropbox, Google Drive, OneDrive являются вполне безопасными для хранения бизнес-данных. Однако, в некоторых компаниях требования к безопасности - очень высоки. И их не устраивает, что хотя данные и шифруются при хранении и передаче, сервис-провайдер может получить к ним доступ, зная ключи шифрования. Для таких компаний Box ввел новую услугу Box EKM , которая позволяет самостоятельно создавать и хранить ключи шифрования. А чтобы это не сказалось отрицательно на удобстве сервиса (чтобы админу не пришлось устанавливать мастер ключей на каждом компьютере и смартфоне) - Box интегрировал свое хранилище с сервисом Amazon CloudHSM , который как раз предоставляет услугу облачного хранения ключей. Отметим, что каждый файл, загружаемый в Box, шифруется индивидуальным ключем шифрования. Кроме того, компания получает полный лог доступа к каждому файлу. ***
2013. Dropbox стал более подходящим для бизнеса
Вероятно, вы уже слышали термин "Dropbox для бизнеса "? Чаще всего этот термин применяется не в отношении популярного сервиса Dropbox, а для обозначения его многочисленных конкурентов, которые пытаются создать такой же сервис, только отвечающий корпоративным требованиям (в первую очередь, по безопасности). Но и сам Dropbox не хочет терять бизнес-рынок. У него есть редакция Dropbox for Teams , и ею уже пользуются около 2 млн компаний. Однако, в большинстве случаев, это либо малые бизнесы (где нет админа), либо компании, в которых есть админ, но его игнорируют. Потому, что до сих пор нормально контролировать то, что происходит в Dropbox for Teams ни один админ не мог. Новая версия сервиса практически устраняет эту проблему. ***
2011. DropBox запускает бизнес-версию чтобы конкурировать с Box.net
Популярнейший сервис для онлайн хранения и совместной работы с файлами DropBox наконец-то решил запустить версию для бизнеса - DropBox for Teams . Она отличается от обычной 2 вещами. Во-первых, в ней есть административная панель для управления пользователями и правами доступа. В админке также можно централизованно платить за сервис. Во-вторых, при расшаривании файлов для сотрудника внутри аккаунта DropBox for Teams, объем свободного места у него не уменьшается. (В обычной версии DropBox если, например, для вас расшарили файл 100 Мб, то у вас отнимается 100 Мб свободного места). Однако, DropBox хочет, чтобы при использовании бизнес-версии пользователи вообще не думали о свободном месте на диске. В DropBox for Teams - как минимум 1Тб свободного места. Это в 2 раза больше, чем в бизнес-версии главного конкурента - Box.net ***
2011. Trend Micro представила малому бизнесу решение для хранения, управления и доступа к данным в удаленном режиме
Корпорация Trend Micro, разработчик решений в области защиты интернет-контента, объявила о выпуске нового приложения Trend Micro SafeSync for Business. Это решение, в том числе и для малого бизнеса, обеспечивает безопасное хранение, управление и доступ к цифровым файлам в удаленном режиме, помогая повысить производительность и облегчая обмен данными между сотрудниками и клиентами. SafeSync for Business обеспечивает удобство доступа к данным и обмена ими, гарантируя их безопасность и актуальность; и возможность доступа к ним с различных компьютеров и мобильных устройств посредством инновационной технологии синхронизации. SafeSync также сохраняет в облачном хранилище дополнительную актуальную копию данных, доступ к которой можно получить с любого устройства, способного подключаться к глобальной сети. Это помогает защитить данные от потери в случае сбоя аппаратного обеспечения. SafeSync устраняет необходимость вручную перемещать файлы с одного ПК на другой, экономя время и снижая риск потери ценной информации.
2007. Box.net вышел на рынок корпоративных файлохранилищ
Box.net обратил внимание на корпоративных клиентов и выкатил новое предложение - Box Professional, которое идеально подойдет тем фирмам, где сотрудники берут часть работы на дом. В отличие от традиционных файловых хостингов, в Box Professional компания сможет использовать собственный логотип. И конечно же здесь не будет никакой рекламы. В Box.net упор делают также на безопасности и совместной работе. Пользователи могут объединяться в рабочие группы, которые трудятся над одним проектом. Есть возможность подписаться на получение уведомлений о том, что файл был изменен. Разработчиками также обещаны гибкие административные возможности по управлению пользователями и папками (с определением прав). Учитывая, что Box.net интегрирован с Zoho, данное предложение может заинтересовать многие небольшие фирмы за рубежом. Говорить о перспективах в России, думаю, пока рано. Не все отечественные компании готовы платить $200 в год за удобную удаленную работу своего персонала с файлами.
Облака, облака — гигабайтные площадки!
Если вам надоело бегать между работой и домом с флешкой, носить постоянно ноутбук с нужными файлами, и вы хотите, чтобы ваши важные файлы были доступны вам или вашей команде на любом компьютере или мобильном устройстве, то вам на помощь могут прийти .
Облачное хранилище данных - модель онлайн-хранилища, в котором данные хранятся на многочисленных, распределённых в сети серверах, предоставляемых в пользование клиентам, в основном третьей стороной. В противовес модели хранения данных на собственных, выделенных серверах, приобретаемых или арендуемых специально для подобных целей, количество или какая-либо внутренняя структура серверов клиенту, в общем случае, не видна. Данные хранятся, а равно и обрабатываются, в так называемом облаке , которое представляет собой, с точки зрения клиента, один большой, виртуальный сервер. Облачные хранилища данных .
Предлагает вашему вниманию обзор 10+ бесплатных и платных сервисов облачных хранилищ данных.
Облачные хранилища данных
:
1. Google Drive
Google Drive - облачное хранилище данных от Google, что говорит само за себя. Google Drive позволяет пользователям хранить свои данные на серверах в и делиться ими с другими пользователями в интернете. Облачное хранилище делит пространство между Google Drive, Gmail и Google Photo. В сервисе можно хранить не только документы, но и фотографии, музыку, видео и многие другие файлы – всего 30 типов. Всё очень удобно и привычно для пользователей Google-сервисов.
Тарифные планы Google Drive
Максимальный обьем файла 5 Тбайт.
Доступен в веб-браузерах, Windows, Mac OS, Android, iOS и др.
2. Microsoft OneDrive
OneDrive - переименованный в феврале 2014 Microsoft SkyDrive, базирующийся на облачной организации интернет-сервис хранения файлов с функциями файлообмена. К слову, SkyDrive создан в августе 2007 года компанией Microsoft. Сейчас OneDrive один из флагманов облачных хранилищ данных.
Преимущество сервиса OneDrive
в том, что он сразу интегрирован с Office 365
, поэтому непосредственно из приложения можно создавать, редактировать, сохранять файлы Excel, OneNote, PowerPoint и Word в службе Windows Live OneDrive
.
Сервис OneDrive позволяет хранить на данный момент бесплатно 5 Гбайт (хотя раньше предлагалось 15 Гбайт ) информации в упорядоченном с помощью стандартных папок виде. Для изображений предусмотрен предпросмотр в виде эскизов, а также возможность их просмотра в виде слайдов.
В какой-то момент мы столкнулись с необходимостью организовать шифрованное хранилище для удаленного размещения файлов. После недолгих поисков нашел легкое облачное решение, которое в итоге полностью устроило. Далее я вкратце опишу это решение и некоторые особенности работы с ним, возможно, кому-нибудь пригодится. На мой взгляд, вариант надежный и вместе с тем достаточно удобный.
Архитектура
За основу я решил взять систему облачного хранения данных . Которая была установлена в OS Debian Linux v7.1 и развернута в виде виртуальной машины под гипервизором Proxmox Virtual Environment v3.1.Систему облачного хранения данных установил на зашифрованный диск ОС Linux, доступ к данным возможен только по протоколу HTTPS, для авторизации помимо стандартного пароля необходимо ввести также одноразовый пароль (OTP). Регулярно осуществляется резервное копирование. Предусмотрена возможность экстренного отключения и удаления всех данных ownCloud.
Гипервизор Proxmox Virtual Environment
Гипервизор Proxmox Virtual Environment представляет собой специализированный дистрибутив OS Debian Linux v7.1, удаленный доступ к системе возможен по протоколу SSH на стандартном порту TCP 22. Однако основным рабочим инструментом для управления виртуальными машинами является Web-интерфейс.Раз в сутки происходит генерирование горячей копии (snapshot) виртуальной машины ownCloud с экспортом ее на серверы NFS, используя стандартные возможности Proxmox VE.
На скриншоте, виртуальная машина в Web-интерфейсе имеет идентификатор 100 (ownCloud). Доступ к ее консоли возможен через пункт контекстного меню «Console».
Например, вот так выглядит ввод пароля для шифрованного диска во время загрузки:
Облачное хранилище данных ownCloud
Про установку ownCloud на хабре есть достаточно хорошая статья от пользователя BlackIce13 http://habrahabr.ru/post/208566/ там уже перечислены основные возможности и некоторые плюсы этой платформы.От себя могу лишь добавить, что, на мой взгляд, существует несколько более простой способ установки ownCloud для дистрибутива ОС Linux Debian и многих других, нежели предложенный автором статьи. Доступны готовые репозитории: http://software.opensuse.org/download/package?project=isv:ownCloud:community&package=owncloud
В этом случае все необходимые зависимости ставятся автоматически, а от вас будет лишь требоваться скорректировать настройки под свою специфику.
OwnCloud развернул на базе ОС Debian Linux v7.1 внутри виртуального контейнера. Удаленный доступ к хранилищу возможен по протоколу SSH на стандартном порту TCP 22.
Основная работа с ownCloud осуществляется через Web-интерфейс, возможно также подключение через протокол WebDAV и использование клиентов синхронизации (Sync).
Кстати, поскольку доступ к ownCloud осуществляется через HTTPS логи доступа и ошибок ведутся сервером Apache в файлах "/var/log/apache2/access.log" и "/var/log/apache2/error.log" соответственно. Также ownCloud имеет свой собственный лог "/var/www/owncloud/data/owncloud.log".
Одноразовые пароли OTP
Для усиления безопасности доступ к ownCloud через Web-интерфейс возможен с использованием двухфакторной авторизации: традиционный пароль и одноразовый пароль OTP. Функционал OTP реализуется с помощью внешнего дополнения One Time Password Backend . Встроенной поддержки OTP у ownCloud нет.Настройка основных параметров OTP осуществляется в разделе «Admin» под административной учетной записью.
На скриншотах настройки двухфакторной авторизации и одноразовых паролей подобранные для обеспечения совместимости с аппаратными генераторами FEITIAN OTP c200.
Алгоритм: Time-based One Time Password (TOTP)
Количество цифр в пароле: 6
Время жизни пароля: 60 секунд
Чтобы двухфакторная авторизация вступила в действие необходимо назначить пользователю Token Seed. До этого момента он может заходить в ownCloud, используя только лишь обычный пароль. Что собственно необходимо сделать сразу после создания пользователя, перейти в раздел «Personal» и ввести Token Seed в одноименное поле.
Генерировать Token Seed, используя встроенные возможности модуля OTP ownCloud, не рекомендуется, поскольку в алгоритме его работы наблюдаются проблемы. Формат ввода: Base32 (%32) UPPERCASE. Конвертировать Token Seed в разные форматы можно с помощью утилиты www.darkfader.net/toolbox/convert
Конкретно для этого проекта использовался Token Seed вшитый в аппаратный Token FEITIAN OTP c200. В общем случае можно использовать любой генератор паролей, а затем приводить его к нужному формату, используя приведенный в тексте конвертер.
Примером такого приложения для ОС Android может служить Android Token: https://play.google.com/store/apps/details?id=uk.co.bitethebullet.android.token&hl=ru
Проинициализированный Token Seed выглядит следующим образом:
Для отключения OTP достаточно удалить Token Seed из настроек.
Если это невозможно, например, по причине того, что генератор OTP утерян, поэтому доступа к личному кабинету пользователя нет, то отключение OTP возможно только путем прямой модификации данных в СУДБ MySQL. Для этого необходимо запустить из командной строки клиент MySQL:
# mysql -uowncloud –p
Enter password:
Затем выполнить запрос аналогичный следующему, изменив значение поля «user» на необходимое:
mysql> delete from owncloud.oc_user_otp where `user` = "test";
Из-за архитектурных ограничений OTP работает только при доступе к ownCloud через Web-интерфейс, но не через WebDAV. Данный недостаток компенсируется тем, что список IP-адресов, которые могут использовать WebDAV, строго ограничен. Отвечают за это директивы «Allow from» в файле настроек сервера Apache "/etc/apache2/conf.d/owncloud.conf". Обратите внимание, что директивы там указываются дважды.
IP-адреса перечисляются через пробел. Необходимо удостоверятся в том, что в списке обязательно присутствуют IP обратной петли 127.0.0.1, а также публичный IP сервера самого ownCloud. В противном случае в работе WebDAV возможны сбои. После изменения настроек Apache его необходимо перезапустить:
service apache2 restart
Защита от брутфорса
В свежих версиях ownCloud ведется лог неудачных попыток авторизации: "/var/log/owncloud/auth.log". Содержимое "/var/log/owncloud/auth.log" контролирует сервис Fail2ban. Если им в течение короткого времени фиксируется 5 или более неудачных попыток авторизации с одного IP-адреса, то он блокируется фильтром пакетов IPTables на 10 минут. Если после автоматической разблокировки, попытки продолжаются, то IP блокируется повторно навсегда. Следит за работой Fail2ban можно в логе "/var/log/fail2ban.log".Список IP-адресов, которые не должны блокироваться ни при каких обстоятельствах задается параметром «ignoreip» в файле настроек "/etc/fail2ban/jail.conf". IP перечисляются через пробел.
После изменения настроек Fail2ban его необходимо перезапустить:
service fail2ban restart
В случае необходимости вручную разблокировать какой-либо IP, необходимо выполнить на сервере из CLI команду аналогичную следующей, скорректировав в ней адрес:
iptables -D fail2ban-Owncloud -s 187.22.109.14/32 -j DROP
P.S.
Live версию ownCloud можно посмотреть на официальном сайте
