можно ли защитить каталог от копирования

[Nika]

меня мучает один вопрос:

предположим, есть файловый сервер (на линухе, ну или на крайний случай на винде).
на этом сервере есть каталог, где лежит база данных (1С, или другая какая-нибудь, суть не в этом)
люди работают с этой базой с других компов через клиентскую программу (1С, или любая другая прога которая работает с базами, тоже неважно)
для работы с базой естественно нужны права на чтение, на запись и изменение файлов.

возможно ли с помощью каких-нибудь жестких извращений защитить данный каталог от копирования, грубо говоря, чтобы нельзя было спереть базу, напрямую скопировав ее через сетевое окружение / проводник / любую другую программу.
т.е. чтобы с базой работать было можно, изменять в ней файлы, тем самым добавляя в нее данные, а вот скопировать и унести ее с собой было нельзя.

[StraNNicK]

Точно не знаю, но могу предположить. Создаешь двух юзеров - user (оператор), ghost (программа). Даёшь права на чтение второму (а вот первому - обламываешь).
Далее - юзер ходит под user'ом (простите за тавтологию), а софт запускает из под ghost'а (см. команду run as...)

P.S. В случае win9x - никак.

[Nika]

смешно но так нельзя тоже, потому что эта сволочь 1С позволяет копировать файлы/каталоги, даже когда находишься непосредственно в ней, т.е. нажимаешь Файл - открыть, открывается диалог выбора файла и в нем с помощью правой кнопки мыши можно копировать то, что хочется.

[woland]

Можно. Просто не расшериваешь ничего. Лубая уважающая себя СУБД крутится на сервере. Клиент подключается к серверу по соответствующему порту этой СУБД и работает с файлами базы данных не непосредственно а с помощью СУБД.
По крайней мере так работает у меня хоть Оракл, хоть мускул. К файлам баз данных кроме меня и программ и скриптов бэкапа никто больше прямого доступа неимеет.

[antd]

Ну в общем да. Если база в плоских файлах - тогда облом...
В случае с 1С можно перейти на SQL версию (минусы - дорого).

[madskull]

Насколько я знаю, 1С хоть и "чиста эскюэль", но при этом работает с файлами базы напрямую.
Похоже, что программисты просто не знают, как это делать привильно.

Nika: По идее, 1С-овский пользователь должен иметь доступ только к своему каталогу.
Если это не так, то это еще один одинэсовский маразм.
А что говорят в поддержке?

[Vladislav]

Ну в общем да. Если база в плоских файлах - тогда облом...
В случае с 1С можно перейти на SQL версию (минусы - дорого).

↑

И еще один минус - использование только win server

[antd]

хе-хе...
Sybase вроде выпустила базу под линух с поддержкой Transact-SQL.
Только сам я это чудо не пробовал. Ау, 1С-ники, отзовитесь, кто-нибудь юзал это чудо или нет?
А во вторых строках _данные_ в SQL 1С хранятся в базах данных, а _метаданные_ - в файлах. С этим уже ничего не поделать. Но если их стырить то пользы от них немного - исключительно интеллектуальная собственность...

[Nika]

Насколько я знаю, 1С хоть и "чиста эскюэль", но при этом работает с файлами базы напрямую.

↑

ага. именно так в 8-й версии эта проблема должна быть решена, но я точно не уверена, т.к. только изучаю ее.

А что говорят в поддержке?

↑

а что тут говорить, и так всё ясно

хороший совет еще дали на лоре - запускать 1с в терминальном режиме с сервера, но тогда можно юзать только виндоуз.

[arkara]

Ника, как-то тоже сталкивался с этоим вопросом. В итоге остаеться два варианта: или защищаем файлы с данными от копирования даже одной таблицы на чужой комп, или просто не хотим чтоб эта база запустилась у кого-то еще. В первом случае - поможет только MS SQL (если те кто будет ее воровать - достаточно продвинутые ), во втором - насовали в конфу наворотов чтоб 1С детектила что это именно та тачка на которой можно запускаться, а не чья-то чужая. Естественно, при большом желании, подкрепленном нормальными деньгами, это обходится .
Либо, конечно еще вариант Terminal Server, но далеко не все клиенты у меня готовы поставить его, денег-то он нормальных стоит.

[crez]

Возможно, терминальный сервер и спасет ситуацию.
К нему подключаться через rdesktop, а ресурсы не расшаривать.
Но, опять же нужна довольно мощная машина - один 1С-овский клиент "съедает" около 40-50 мегабайт оперативки.

[Nika]

Возможно, терминальный сервер и спасет ситуацию.
К нему подключаться через rdesktop, а ресурсы не расшаривать.
Но, опять же нужна довольно мощная машина - один 1С-овский клиент "съедает" около 40-50 мегабайт оперативки.

↑

это хороший вариант, но нужна винда...

а с шифрованием тут придумать что-нибудь можно ?

[woland]

А смысл? Клиент должен дешифрировать для работы. Следовательно и скопировать тоже может уже дешифрированное. Если только умудриться приладить скажем PGP шифрование к 1С клиенту так чтоб шифрование/дешифрирование проходило "налету", но стоит ли такое извращение?

[crez]

... но стоит ли такое извращение?

↑

СтОит! У меня практически такая же проблема. На сервере крутится не SQL-ная база (правда не 1С, но какая разница). И так же каждый клиент имеет к ней полный доступ. Клиенты конечно еще те юзвери - запятые теряют при переключении раскладки Но, сам факт, что ее можно слямзить, меня беспокоит.
Правда я пока справляюсь с этим только тем, что с рабочих станций ничего нельзя записать - ни сидюков, ни флоповодов, usb запретил. Но это все пассивная защита...

[Soloven]

Народ, простоите за усугубление ваших проблем, но есть одно предположение...
Давай так.... Ваш Файловый сервер Линукс..... Ваши клиенты вообще бездисковые... Тоесть ..... что я имею в виду поднимаете еще одну вешь на Линуксе- не помню как назвать.... но это когда машина загружает операционку с сервака по сети.... Доки по этому поводу в сетке есть, сам читал, Вот и решится проблема Виндового клиента....

[arkara]

Народ, простоите за усугубление ваших проблем, но есть одно предположение...
Давай так.... Ваш Файловый сервер Линукс..... Ваши клиенты вообще бездисковые... Тоесть ..... что я имею в виду поднимаете еще одну вешь на Линуксе- не помню как назвать.... но это когда машина загружает операционку с сервака по сети.... Доки по этому поводу в сетке есть, сам читал, Вот и решится проблема Виндового клиента....

↑

и что? это не выход...

[crez]

Народ, простоите за усугубление ваших проблем, но есть одно предположение...
Давай так.... Ваш Файловый сервер Линукс..... Ваши клиенты вообще бездисковые... Тоесть ..... что я имею в виду поднимаете еще одну вешь на Линуксе- не помню как назвать.... но это когда машина загружает операционку с сервака по сети.... Доки по этому поводу в сетке есть, сам читал, Вот и решится проблема Виндового клиента....

↑

и что? это не выход...

↑

Конечно не выход!
У меня три таких терминала работают (грузятся по сетке с линуксового сервака и подключаются как терминалы к W2kServer).
Так получается нормальный рабочий стол винды - со всеми вытекающими
Такой же ПОЛНЫЙ доступ к каталогу с базой. И не только к нему - вообще ко всему дисковому пространству сервера, кроме системных папок и документов других юзеров...

[Nika]

а разве в винде нельзя ограничить доступ к файлам и папкам ? чтобы юзвери могли только базу читать, а больше ничего?

[dustcore]

можно, но только если ты даешь право на чтение, а его ты даешь в любом случае, то и скопировать эти данные тоже можешь.
у 1С есть "типа защита" в виде ??хасп?? ключей, которые в лпт порт на серваке втыкаются, и без них базу типа невозможно прочитать..
так что простое копирование базы ничего не даст, по идее она просто не запустится.

[antd]

1) Хасп давно отломали.
2) К правам чтения/записи никакого отношения он не имеет.

И вообще уже имхо в оффтоп скатываемся

[madskull]

Насколько я понял, у 1С обычные dbf'ы. Так что при желании можно и базу расковырять. FoxPro в зубы - и вперед.
Помнится, лет 5-7 назад я ковырял базы 1С (не sql), какую-то инфу надо было из них вытянуть.
Так что, если есть доступ к файлам базы - есть и доступ к инфе.

[Nika]

вопрос

тут есть люди, пользующиеся rsbac ? может быть через него можно что-то придумать?