Чем шифровать файлы при копировании в облако. Безопасное шифрованное хранилище данных и особенности работы с ним

Я уже неоднократно говорил о сложности ситуации с бизнесом и облачными технологиями (да по сути и не только с бизнесом, а любым клиентом, который хранит сколько-нибудь конфиденциальную информацию). С одной стороны - удобство и экономия, дающие преимущество над конкурентами. С другой - “сырость” алгоритмов и механизмов защиты информации, которая материализовавшись даже одной утечкой данных за несколько лет, может вылиться в такие убытки, как в материальном смысле так и для репутации, что вся экономия пойдет прахом.

Впрочем, если подойти к вопросу всесторонне, то вероятность реализации наихудшего варианта можно значительно снизить. В конце концов, спасение утопающих - дело рук самих утопающих. Одно только шифрование файлов с клиентской стороны добавляет дополнительный важный барьер защиты - ведь на сервере хранения они не расшифровываются. Другим вариантом может быть использование более защищенных сервисов.

Шифрование более надежный метод, но накладывает определенные ограничения на работу с файлами. В частности зашифрованные файлы нельзя просматривать онлайн, их сложнее передавать другим пользователям - для того чтобы просмотреть содержание зашифрованного файла понадобится как минимум пароль, а в некоторых случаях еще и программа для расшифровки.

Перед тем как углубиться в детали, рекомендую проконсультироваться с опубликованной ранее статьей (), посвященной информационной безопасности и облачным технологиям, оттуда вы в частности узнаете, почему так опасно применять дважды один и тот же пароль и как настроить двухэтапную аутентификацию в Dropbox (что значительно снизит шансы взлома вашей учетной записи практически без каких-либо усилий с вашей стороны). А теперь - поподробнее о сегодняшней теме.

Создать контейнер в TrueCrypt

– это open-source криптографическое ПО, которое создает на жестком диске криптографический контейнер, в который вы помещаете файлы, или папки с файлами. Контейнер отображается как папка или отдельный подраздел на жестком диске и “снаружи” виден как большой массив бинарных данных, к которым без программы и знания кодовой фразы получить доступ невозможно. При помощи программы TrueCrypt вы можете работать с данными внутри зашифрованного архива так, как будто это обычная папка. Операции шифрования/дешифрования выполняются “на лету”. В таком архиве вы можете спокойно работать не опасаясь что к важным данным получит доступ кто-то посторонний, а для большей сохранности (в конце концов, потеря информации из-за технического сбоя - также распространенное явление) такой архив есть смысл хранить в вашей папке Dropbox.

Почему именно Dropbox? Причин несколько. Во-первых у Dropbox нет ограничения на размер хранимого фала, что позволяет делать криптоконтейнер сколь угодно большим. Во-вторых, Dropbox умеет обнаруживать изменения в структуре синхронизируемых файлов и копировать только их. На практике это означает, что при внесении изменений в огромный архив, Dropbox будет синхронизировать только небольшую часть данных, которая была модифицирована, а не весь файл, как делает большинство других сервисов.

Создать архив в облаке с помощью BoxCryptor

Если уж все равно использовать в качестве хранилища облачный сервис, то почему бы не создать криптоархив сразу там? Видимо так рассуждали создатели популярного приложения , которое вопреки тому, что можно подумать исходя из названия, работает с любым облачным сервисом. BoxCryptor создает в папке выбранного сервиса криптоархив, где хранятся все файлы, которые вы можете туда добавлять и изменять через создаваемый программой виртуальный диск. Также имеются приложения для мобильных платформ, что позволит вам получить доступ к криптоархиву со своего планшета/телефона. Существуют приложения для Android (работает с криптоархивами, хранящимися в Dropbox/Google Drive, поддержка Skydrive обещана в ближайшем будущем) и iOS (работает только с архивам, хранящимися в Dropbox, поддержка Google Drive и Skydrive обещана в ближайшем будущем). Бесплатная версия BoxCryptor может работать только с одним архивом и не шифрует имена файлов, в остальном ограничений нет. Аналогичные услуги предоставляют конкурирующие сервисы CloudFogger и SecretSync.

Использовать облачный сервис c поддержкой шифрования на стороне клиента

До сих пор речь шла только об действиях по защите информации со стороны клиента, которые вам необходимо предпринимать самостоятельно. Однако есть и облачные сервисы, где этот процесс автоматизирован. Это в частности, SpiderOak и Wuala . Принцип работы их клиентов таков, что перед пересылкой информации на сервер она шифруется клиентом локально, как результат – что хранится на их серверах не знают даже сами хозяева сервиса, так как ключ хранится в клиентском ПО. Процесс установки и настройки клиента SpiderOak слегка сложнее чем Dropbox, зато присутствуют уникальные возможности, например защита паролем расшариваемых файлов и т.д.

Шифровать отдельные файлы

Если у вас не так много файлов или вам нужно только переслать файлы в зашифрованном виде, то есть смысл просто запаковать необходимые файлы в шифрованный архив. Для таких задач отлично подходит популярный архиватор 7zip - просто выберите при создании архива опцию “шифрование” и укажите пароль.

Полнодисковое шифрование

Рассмотрим обратную ситуацию – вы постоянно работаете с конфиденциальной информацией значительного объема. В этом случае есть смысл использовать решения для полнодискового шифрования наподобие FileVault для OS X, BitLocker для Windows или EncFS для Linux. Такие решения могут применяться как для создания отдельного шифрованного раздела на жестком диске так и для шифрования всего диска целиком. В последнем случае незашифрованным остается только небольшой раздел, который содержит загрузочные файлы системы, а в качестве методов авторизации могут применяться как пароли, так и более сложные методы аутентификации и авторизации, например USB-брелок, на котором записан ключ. Такие методы защиты замедляют работу системы и делают восстановление файлов весьма проблематичным в случае сбоя, но обеспечивают наибольшую безопасность данных. Разумеется, все данные, хранимые в облачных сервисах также будут зашифрованы, так как они будут загружаться в облако уже шифрованными, правда получить к ним доступ через веб-клиент будет невозможно.

Доброго времени суток, уважаемые читатели сайт. Думаю многие задавались вопросом безопасности облачных хранилищ данных, многие хранят в них в том числе и конфиденциальные данные личного характера, и никому не хочется, что бы даже случайно, эта информация попала к третьим лицам. В этом может помочь шифрование данных.

Но шифровать каждый отдельный файл занятие достаточно долгое, загружать в хранилище криптозащищенный контейнер и каждый раз его обновлять его целиком даже при минимальном изменении вложенных файлов не логично. В решении этого вопроса может помочь приложение Cryptomator.

Cryptomator это приложение для шифрования данных отправляемых в облачное хранилище, т.е. шифрование происходит не на сервере с данными а на вашем компьютере. Данный подход имеет свои плюсы и минусы:

Плюсы:

  • Нет необходимости авторизации приложения в облачном хранилище.
  • Более высокая скорость работы процесса шифрования/расшивровывания файлов, т.к. зависит только от производительности вашей системы и самой программы.
  • Данные в облачное хранилище можно и не отправлять.
  • Программа совершенно бесплатна и является Open Source проектом. Каждый может изучить код на площадке GitHub.

Минусы:

  • необходим клиент облачного сервиса для синхронизации данных, либо доступ по WebDav (об этом ниже).

Установка Cryptomator

В Ubuntu, Mint, ElementaryOS установка происходит из PPA репозитория. Введите в терминал следующие команды:

sudo add-apt-repository ppa:sebastian-stenzel/cryptomator
sudo apt-get update
sudo apt-get install cryptomator

Либо можно загрузить deb пакет на сайте разработчика.

В Fedora, OpenSUSE, CentOS и других дистрибутивах использующих.rpm пакеты установка cryptomator выполняется путем загрузки RPM пакета для 32bit и 64bit системы из официального сайта. Также Cryptomator доступен в репозитории AUR.

Как видно установка программы не требует особых усилий.

Как пользоваться Cryptomator

Запускаем приложение и видим простенькое окно управления:

Как видно на изображении у меня уже создано одно криптохранилище.

Нажимаем кнопку "+" в левом нижнем углу, открывается файловый менеджер, где необходимо выбрать место хранения (рекомендую папку автоматически синхронизируемую с облачным сервисом) и название зашифрованного файла и его название.

Затем вводим пароль доступа к криптохранилищу.

И нажимаем "Создать хранилище" , после этого вам будет предложено повторно ввести пароль для разблокирования уже готового хранилища.

В него и необходимо копировать данные для шифрования, для примера я скопировал.rpm пакет самого приложения. В окне программы будет отображаться график с процессом шифрования/расшифровки, красной и зеленой линией для процесса шифрования и расшифровки соотвественно.

После окончания процесса шифрования нажимаем "Заблокировать хранилище" . После чего можно синхронизировать данные с облачным сервисом. После шифрования файлы приобретают подобный вид.

В этой папке хранится файл с именем "masterkey.cryptonator" , он применяется для расшифровки хранилища при добавление п.п.1 готового хранилища.

Заключение

Как показано выше, установка, настройка и использование программы не требует дополнительных навыков и знаний кроме базовых и работать с ней может каждый новичек желающий обезопасить свои данные. К сожалению интерфейс и функциональность приложения Cryptonator для Linux систем значительно ниже, чем для Windows и MacOS, остается надеяться, что разработчик этим займется.

Похожие записи:


Программа CloudFogger.

Спасение утопающих - дело рук самих утопающих (народная мудрость).
Вы, наверное, уже знаете, что скоро вступает в силу закон, который обязывает все интернет-компании, в том числе и те, что предоставляют услуги по облачному хранению файлов, хранить личные данные пользователей (в нашем конкретном случае - это файлы) на серверах, которые расположены на территории РФ. Мотивировка, как всегда благая. Якобы, все зарубежные сервисы обязаны предоставлять данные американским спецслужбам, и типа, нехорошо, что Агентство национальной безопасности (АНБ) владеет всеми данными о пользователях из России. Даже если они и предоставляют такие данные (в чём я очень сомневаюсь), то обычному пользователю это должно быть «фиолетово», ведь он находится под юрисдикцией Российской федерации, а не «пиндосской» (Пиндосский - штатовский, американский) и бояться НАШЕМУ пользователю нужно, наоборот, тех, кто может ему что-то «предьявить» (за хранимые им данные) в НАШЕЙ стране. Логика принятия данного закона становиться понятна, когда открываешь второй, недавно принятый закон под номером 97. Теперь в рамках исполнения закона № 97 «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» все интернет-компании (в том числе и облачные файлохранилища) обязаны предоставлять правоохранительным органам данные о пользователях и доступ к хранимым ими файлам. Круг замкнулся. Мы под колпаком.
Если бы была гарантия того, что наши данные не попадут в широкий доступ, ну и фиг с ним, пусть «имеют» (в смысле доступ), но помятуя о том, что у нас в стране, всё продаётся и покупается… (вспомните про продаваемые на «горбушке» и «савке» (радиорынок "Савёловский") базы данных ГИБДД или сотовых операторов), становиться как-то не по себе. Вполне возможно, что скоро в Интернете появиться «чёрный» рынок, на котором можно будет за определённую сумму «заказать» информацию о любом человеке (в том числе информацию о том, что он хранит в своём облачном файлохранилище). Это одна сторона проблемы. Вторая сторона проблемы, даже более реальная. У всех на слуху недавние скандалы с размещением в сети интимных фотографий знаменитостей, которые они хранили в облачном хранилище iCloud.


Фотографии были украдены одним из хакеров. Кстати, от заказчиков он получил за это смехотворную сумму, ему заплатили всего 120 долларов. Сумма, вполне подъёмная и для нашей страны…
Надеюсь, я Вас убедил, что пора задуматься о том, как защитить свои данные (хранимые в «облаках») от посторонних. Самым эффективным способом, на мой взгляд, является шифрование файлов.
Ведь, если посторонний даже и откроет/взломает Ваше файловое хранилище, то открыть/скачать зашифрованные файлы (фото, документы, видео и так далее) он не сможет!
Зашифровать файлы на «облаках» можно специальными программами. Рекомендую одну из лучших - это бесплатная программа под названием CloudFogger. Она обеспечивает Вам полную конфиденциальность за счёт 256-битного AES (Advanced Encryption Standard) шифрования файлов, которые Вы храните в своём облачном хранилище. В программе Cloudfogger используется прозрачное шифрование, что делает ежедневное использование файлов в папке синхронизации расположенной на компьютере, беспроблемным, Вы по-прежнему будете иметь лёгкий доступ к вашим файлам, и в то же время все файлы надежно шифруются, когда они загружаются Вами в «облако». Немаловажно то, что программа очень простая в использовании, а также то, что существуют приложения для всех популярных операционных систем (Windows, Mac OS X, Android и iOS). Давайте перейдём к практике.

Установка и использование программы CloudFogger.

Заходим на сайт разработчиков программы CloudFogger по ссылке и скачиваем установочный файл. Сайт англоязычный. Рекомендую заходить через браузер Google Chrome. У этого браузера есть функция автоматического перевода.


Запускаем Установку программы CloudFogger.


Установка несложная (смотри ниже).










Программа CloudFogger установлена. Запускаем её в работу.


При первом запуске нужно пройти несложный процесс регистрации.


Заполняем форму и придумываем пароль (password) для доступа к программе, как показано ниже.


На указанный при регистрации почтовый ящик будет получено письмо в котором будет ссылка подтверждения. Переходим по ней и подтверждаем регистрацию.




Подробно, как пользоваться этой программой узнаете, посетив раздел «База знаний» по ссылке . Повторюсь, сайт англоязычный. Заходите через браузер Google Chrome. У этого браузера есть функция автоматического перевода.


Но продолжим разбираться с настройками.
На этом этапе, можно добавить в программу папку синхронизации с Вашим облачным хранилищем (или несколько, если оно у Вас не одно). Это позволит Вам автоматически шифровать все файлы.






Если Вы используете своё облачное файлохранилище совместно с кем-то, то можете открыть им доступ к Вашим файлам. Для этого добавьте адрес почтового ящика в окне программы на данном этапе её настройки.


В принципе, это можно сделать и позже.
Программа установлена и настроена. Готова к работе.


Теперь, на добавленных Вами в программу облачных хранилищах файлов, все файлы будут зашифрованы. И никто, даже открыв или взломав Ваше «облако» не сможет до них добраться!
Кстати, вовсе не обязательно шифровать все данные. Можно вручную, только определённые файлы. Например, Ваши интимные фотографии. В этом случае при настройках программы пропускаем пункт с добавлением в программу облачных файловых хранилищ.
Вручную шифровать файлы просто. Открываем папку синхронизации с облаком. Находим файл или папку, которые нужно зашифровать. Кликаем по файлу или папке правой кнопкой мыши и в контекстном меню выбираем пункт «CloudFogger». Далее «Fogg faile(s)».


Файл/папка будут зашифрованы как в «облаке», так и папке синхронизации.




Повторюсь, в папке синхронизации Вы будете иметь простой и комфортный доступ к зашифрованным файлам. Их расшифровка производиться на-лету.

На официальном сайте разработчиков программы скачайте и установите приложения для доступа к зашифрованным файлам с других Ваших устройств, подключённых к облачному хранилищу, например, установите приложение CloudFogger на своём планшете или смартфоне.

Уважаемое сообщество!

Но начать следует с обзора текущей ситуации.

Существуют облака, в которых можно хранить много различной информации. Иногда совершено бесплатно. Это прельщает. Множество сервисов прямо таки борются в желании предоставить вам как можно больше гигабайтов и функций. Однако, надо понимать, что бесплатный сыр бывает только в мышеловке. Опасность заключается в том, что свои файлы вы передаете на хранение чужому дяде с неизвестными, по отношению к вам, намерениями. А опасность именно файлов, как объекта информации, в том и заключается, что с него можно сделать копию и вы об этом факте никак не узнаете. Также файлы можно проанализировать с разными целями. В общем, много чего.

Придерживающиеся точки зрения «мне нечего скрывать, пусть смотрят» - дальше могут не читать. Продолжайте наслаждаться утечками фоток из iCloud, произошедшими недавно, удалением из облака нелицензионного контента и т.п. Те же, кому кому важна конфиденциальность личной жизни и в целом неприятно подглядывание за вами в замочную скважину и запускание руки большого брата в ваши личные дела - читаем дальше.

Облака использовать можно. Но нужно делать правильно. Решением здесь является шифрование данных. Однако, нужно понимать, что шифрование шифрованию рознь. Многие сервисы кричат о том, что у них самые лучшие алгоритмы шифрования. Но эти же сервисы скромно молчат о том, что сами они могут получить доступ к вашим данным в любое время. Поэтому самым правильным вариантом является вариант шифрования/дешифрования данных на ВАШЕЙ стороне. Таким образом, облако всегда имеет дело только с зашифрованным контентом. При этом, у клиента шифрования и облачного сервиса не должен быть один владелец. Идеальный случай - это открытые исходники клиента шифрования.

Итак, что мы имеем с таким подходом:

1. Владелец облака никогда не имеет доступа к содержимому ваших файлов. Никак.
2. Все узлы в цепочке следования вашего траффика не имеют доступа к вашим данным. Это, например, владелец wifi точки кафе, провайдер, владелец магистральных линий, админы сетки на вашей работе и т.п.

Это здорово.

1. У Вас появляются лишние заботы по обеспечению шифрования/дешифрования, лишняя нагрузка на компьютер.

Кому что важнее. Но, давайте договоримся, что:

1. Облако для вас - не корпоративный инструмент для работы. Хотя и тут могут быть варианты в виде раздачи пароля коллегам.
2. Облако для вас - хранилище личных данных.

Состояние дел на текущий момент

1. На данный момент ни один сервис не предоставляет вышеописаную модель шифрования контента. Оно и понятно, ему это невыгодно.
2. Погуглив, я с удивлением обнаружил, что данной проблемой особо никто не озабочивается. Возможно, с облаками повторяется тот же трюк, что и с социальными сетями n-надцать лет назад. Когда люди, не думая, сами о себе все выложили в сеть. Кто с кем в каких отношениях, где служил и работал. Подарок всем спецслужбам и мошенникам.

Текущие варианты решения задачи по обеспечению безопасности собственных файлов в облаке:

1. Шифрование, предоставляемое владельцем облака. Защищает только от других пользователей, но не от владельца облака.
2. Складирование в облако файлов в запароленных архивах или шифрованных контейнерах (типа truecrypt). Неудобно пользоваться, так как для того, чтобы внести небольшое изменение или просто скачать файл - нужно скачивать/заливать весь контейнер целиком. Что часто бывает небыстро, если он большой.
3. VPN защищает только канал связи, но не содержимое облака.
4. Программа BoxCryptor. Она умеет шифровать файлы отправляемые/сливаемые из облака. Но её механизм работы неудобен. У вас на локальном компьютере должна быть синхронизированная копия всех данных облака. В этой копии вы работаете с данными, а программа в шифрованном виде заливает/сливает их в облако. Синхронизирует в общем. Неудобно.

А мы что хотим?

Мы хотим, чтобы у нас с собой была флешка, вставляем её в любой свой (или не свой) компьютер с подключением к интернету, запускаем с нее некую программу. У нас в системе появляется виртуальный диск, зайдя в который (кто эксплорером, кто Total Commander) мы попадем в наш аккаунт в облаке. Видим наши файлы, делаем с ними что нам нужно. А потом все выключаем и уходим. А вот если в наш аккаунт зайти без запуска этой волшебной проги, то мы (или злоумышленник, админ-сниффер, владелец облака и т.п.) увидим кучу мусора - как в именах файлов, так и в их содержимом.

Как вариант - поставить эту программу стационарно на все свои компьютеры и забыть о её существовании и необходимости периодического запуска. Такой метод будет работать со всеми типами облаков, которые поддерживают стандарт WebDAV и позволяют хранить просто произвольные файлы, удовлетворяющие стандартам файловых систем.

Погуглив, я нашел только 2 варианта решения вопроса шифрования почти в том виде, в каком мне нужно.

1. Плагин WebDav для Total Commander. Добавляет облачный аккаунт в Total Commander и он становится виден как диск. В который можно копировать файлы. Однако, он пока не поддерживает шифрование. Мои попытки упросить автора включить в него шифрование и стать Гислеру первым, кто решит эту проблему - не увенчались успехом.
2. Программа CarotDAV, про которую уже писали на данном сайте. Она умеет шифровать файлы и имена по-одиночке. И все бы хорошо, но она имеет интерфейс проводника, что неудобно.

И вот, собственно, свершилось то, ради чего я пишу этот длиннопост.

Собственно, программа легкая, все работает как надо. Но самое главное - вот теперь вы точно можете быть уверены, что ваши файлы в облаке принадлежат только вам - при сохранении легкого и удобного способа доступа к ним.

Приглашаю всех, кому стало интересно и кому такая программа необходима, присоединиться к тестированию.

Если у вас появляется необходимость организации шифрованного хранилища для удаленного размещения файлов, вариантов решения этой задачи достаточно. И вот еще один – на наш взгляд, вариант надежный и достаточно удобный.

Архитектура

В рассматриваемом варианте за основу берем систему облачного хранения данных , которая была установлена в OS Debian Linux v7.1 и развернута в виде виртуальной машины под гипервизором Proxmox Virtual Environment v3.1.

Система облачного хранения данных установлена на зашифрованный диск ОС Linux, доступ к данным возможен только по протоколу HTTPS, для авторизации помимо стандартного пароля необходимо ввести также одноразовый пароль (OTP). Регулярно осуществляется резервное копирование. Предусмотрена возможность экстренного отключения и удаления всех данных ownCloud.

Гипервизор Proxmox Virtual Environment

Гипервизор Proxmox Virtual Environment представляет собой специализированный дистрибутив OS Debian Linux v7.1, удаленный доступ к системе возможен по протоколу SSH на стандартном порту TCP 22. Однако основным рабочим инструментом для управления виртуальными машинами является Web-интерфейс.

Раз в сутки происходит генерирование горячей копии (snapshot) виртуальной машины ownCloud с экспортом ее на серверы NFS, используя стандартные возможности Proxmox VE.

На скриншоте виртуальная машина в Web-интерфейсе имеет идентификатор 100 (ownCloud). Доступ к ее консоли возможен через пункт контекстного меню «Console».

Например, вот так выглядит ввод пароля для шифрованного диска во время загрузки:


Облачное хранилище данных ownCloud

О том, как установить ownCloud, можно узнать из хорошей статьи – там уже перечислены основные возможности и н екоторые плюсы этой платформы. Тем не менее, мнения в нашей команде разделились, и наши админы предлагают более простой способ установки ownCloud для дистрибутива ОС Linux Debian и многих других, нежели предложенный автором статьи. Доступны готовые репозитории: http://software.opensuse.org/download/package?project=isv:ownCloud:community&package=owncloud В этом случае все необходимые зависимости ставятся автоматически, а от вас будет лишь требоваться скорректировать настройки под свою специфику.

Итак, мы развернули ownCloud на базе ОС Debian Linux v7.1 внутри виртуального контейнера. Удаленный доступ к хранилищу возможен по протоколу SSH на стандартном порту TCP 22. Основная работа с ownCloud осуществляется через Web-интерфейс, возможно также подключение через протокол WebDAV и использование клиентов синхронизации (Sync):

Кстати, поскольку доступ к ownCloud осуществляется через HTTPS логи доступа и ошибок ведутся сервером Apache в файлах «/var/log/apache2/access.log » и «/var/log/apache2/error.log » соответственно. Также ownCloud имеет свой собственный лог «/var/www/owncloud/data/owncloud.log «.

Одноразовые пароли OTP

Для усиления безопасности доступ к ownCloud через Web-интерфейс возможен с использованием двухфакторной авторизации: традиционный пароль и одноразовый пароль OTP. Функционал OTP реализуется с помощью внешнего дополнения One Time Password Backend . Встроенной поддержки OTP у ownCloud нет.

Настройка основных параметров OTP осуществляется в разделе «Admin» под административной учетной записью:

На скриншотах – настройки двухфакторной авторизации и одноразовых паролей подобранные для обеспечения совместимости с аппаратными генераторами FEITIAN OTP c200.
Алгоритм: Time-based One Time Password (TOTP)
Количество цифр в пароле: 6
Время жизни пароля: 60 секунд

Чтобы двухфакторная авторизация вступила в действие, необходимо назначить пользователю Token Seed. До этого момента он может заходить в ownCloud, используя только лишь обычный пароль. Поэтому сразу после создания пользователя необходимо перейти в раздел Personal и ввести Token Seed в одноименное поле.

Генерировать Token Seed, используя встроенные возможности модуля OTP ownCloud, не рекомендуется, поскольку в алгоритме его работы наблюдаются проблемы. Формат ввода: Base32 (%32) UPPERCASE. Конвертировать Token Seed в разные форматы можно с помощью утилиты www.darkfader.net/toolbox/convert

Конкретно для этого проекта использовался Token Seed, вшитый в аппаратный Token FEITIAN OTP c200. В общем случае можно использовать любой генератор паролей, а затем приводить его к нужному формату, используя приведенный в тексте конвертер.

Примером такого приложения для ОС Android может служить Google Authenticator: https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2

Проинициализированный Token Seed выглядит следующим образом:

Для отключения OTP достаточно удалить Token Seed из настроек. Если это невозможно (например, если генератор OTP утерян, поэтому доступа к личному кабинету пользователя нет), то отключение OTP возможно только путем прямой модификации данных в СУДБ MySQL. Для этого необходимо запустить из командной строки клиент MySQL:
# mysql -uowncloud –p
Enter password:

Затем выполнить запрос, аналогичный следующему, изменив значение поля «user» на необходимое:
mysql> delete from owncloud.oc_user_otp where `user` = "test";

Из-за архитектурных ограничений OTP работает только при доступе к ownCloud через Web-интерфейс, но не через WebDAV. Этот недостаток компенсируется тем, что список IP-адресов, которые могут использовать WebDAV, строго ограничен. Отвечают за это директивы «Allow from» в файле настроек сервера Apache «/etc/apache2/conf.d/owncloud.conf». Обратите внимание, что директивы там указываются дважды.

IP-адреса перечисляются через пробел. Необходимо удостовериться в том, что в списке обязательно присутствуют IP обратной петли 127.0.0.1, а также публичный IP сервера самого ownCloud. В противном случае в работе WebDAV возможны сбои. После изменения настроек Apache его необходимо перезапустить:
service apache2 restart

Защита от брутфорса

В свежих версиях ownCloud ведется лог неудачных попыток авторизации: «/var/log/owncloud/auth.log «. Содержимое «/var/log/owncloud/auth.log » контролирует сервис Fail2ban. Если им в течение короткого времени фиксируется 5 или более неудачных попыток авторизации с одного IP-адреса, то этот адрес блокируется фильтром пакетов IPTables на 10 минут. Если после автоматической разблокировки попытки продолжаются, то IP блокируется повторно навсегда. Следить за работой Fail2ban можно в логе «/var/log/fail2ban.log «.

Список IP-адресов, которые не должны блокироваться ни при каких обстоятельствах, задается параметром ignoreip в файле настроек «/etc/fail2ban/jail.conf «. IP перечисляются через пробел.

После изменения настроек Fail2ban его необходимо перезапустить:
service fail2ban restart

В случае необходимости вручную разблокировать какой-либо IP, необходимо выполнить на сервере из CLI команду, аналогичную следующей, скорректировав в ней адрес:
iptables -D fail2ban-Owncloud -s 187.22.109.14/32 -j DROP