Форум поддержки пользователей. LibreOffice, Apache OpenOffice, OpenOffice.org

Форум поддержки пользователей. LibreOffice, Apache OpenOffice, OpenOffice.org

18 Ноябрь 2018, 09:28 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
Новости: Вы можете задать вопрос по LibreOffice или Apache OpenOffice  без регистрации, используя форму
 
   Начало   Помощь Поиск Войти Регистрация    задать вопрос  
Страниц: 1   Вниз
  Печать  
Автор Тема: Безопасность в ООо: хранение временных файлов  (Прочитано 985 раз)
0 Пользователей и 1 Гость смотрят эту тему.
Mazay
Новичок
*
Offline Offline

Сообщений: 1


« Стартовое сообщение: 20 Август 2018, 19:02 »

Здравствуйте!

Озадачился следующим вопросом.

Предположим, у меня есть документы с личными данными, которые не в коем случае не должны попасть к "врагу". Работаю я с ними не часто, так что положить их можно надежно, но не обязательно сильно удобно. Зная о том, что данные с SSD безопасно удалить почти нереально, для хранения таких документов я создал шифрованный том в TrueCrypt (шифровать весь диск целиком, предположим, по каким-то причинам я не могу). Вроде, безопасно: даже если у меня украдут ноутбук, размонтированный том TC "врагу" ничего не даст.
Однако!
Документы мои и я должен с ними иногда работать. В том числе и в OpenOffice. Который при открытии создает временный файл. Где? По умолчанию в папке пользователя, которая не шифрованная. Получается, от того, что все мои документы зашифрованы, профита никакого.

Могу ли я поменять папку для хранения резервных копий и временных файлов, указав на шифрованный том? Да, могу. Но тогда будет неудобно работать с остальными документами (шифрованный том я монтирую только тогда, когда мне надо работать с личными данными).

Есть, вроде бы, очевидное решение: заставить ООо складывать бэкапы и темпы туда же, где лежит оригинал. Тогда временный файл для "открытого" документа будет в открытом месте и не надо будет монтировать шифрованный том; файлы для "закрытого" документа будут надежно зашифрованы, т.к. лежать в зашифрованном разделе.

Но в настройках я такой фишки не нашел.

Подскажите, пожалуйста, предусмотрена ли данная функция в ООо и как ее реализовать?

Спасибо!
Записан
volkman
Участник
**
Offline Offline

Сообщений: 19


« Ответ #1: 7 Сентябрь 2018, 13:51 »

Я бы установил отдельный portable пакет для секретной работы и с собственными настройками.
Записан
mikekaganski
Мастер
*****
Offline Offline

Пол: Мужской
Расположение: Хабаровск -> Москва
Сообщений: 1 109


« Ответ #2: 7 Сентябрь 2018, 14:08 »

Есть, вроде бы, очевидное решение: заставить ООо складывать бэкапы и темпы туда же, где лежит оригинал. Тогда временный файл для "открытого" документа будет в открытом месте и не надо будет монтировать шифрованный том; файлы для "закрытого" документа будут надежно зашифрованы, т.к. лежать в зашифрованном разделе.

Но в настройках я такой фишки не нашел.

Подскажите, пожалуйста, предусмотрена ли данная функция в ООо и как ее реализовать?

Такой возможности не предусмотрено. Хранить информацию для восстановления "рядом с документом" нецелесообразно, поскольку существует множество возможностей, когда это просто не позволит сохранять данные (например, работа с WebDAV, где создание файла может быть запрещено, а изменение существующего - разрешено; или краш произошол по причине отвалившегося внешнего диска/сетевого ресурса - и резервные данные тоже потеряны, или повреждены, и т.д.). Однако сами файлы могут быть защищены паролем, и тогда при создании резервной копии для восстановления эта защита должна быть применена к временному файлу (по крайней мере в ЛО: там был исправлен баг 51819 - не знаю, были ли проблемы у других форков).
Записан

С уважением,
Михаил Каганский
mikekaganski
Мастер
*****
Offline Offline

Пол: Мужской
Расположение: Хабаровск -> Москва
Сообщений: 1 109


« Ответ #3: 7 Сентябрь 2018, 15:43 »

Ну да, в AOO эта проблема не исправлена (баг 122322).
Записан

С уважением,
Михаил Каганский
iosterminal
Новичок
*
Offline Offline

Сообщений: 3


« Ответ #4: 9 Октябрь 2018, 21:42 »

Создай отдельного пользователя для работы с секретными данными с хомом на шифрованом разделе и юзай от него свой офис все будет зашифровано
Записан
economist
Форумчанин
***
Offline Offline

Сообщений: 965


« Ответ #5: 13 Октябрь 2018, 02:43 »

Если напрямую сопоставлять два предложенных варианта:

1) Раздел с шифрованием EFS (Win) + обычная установка LO

2) Portable LO - на критпо-диске VeraCrypt/TrueCrypt

- то трудозатраты и необходимость участия администратора в установке LO делают соотношение "геморроев" примерно как
1000:1.

Вывод: используйте Portable LO на крипто-диске. Все бекапы будут там же, в нём же.

НО! Если вы получили письмо с вложением вида:

СРОЧНО! План сокращения 90% персонала.odt

- и открыли его прямо из письма (из почтовой программы, настройки которой в 80% случаев делаются не вами), для правки, то есть, скажем, для доведения списка 90% до 99% - знайте, что временный файл - скорее всего не будет зашифрован!

Он, этот файл, может оказаться по крайне мере в 5-ти (Vista) или 4-х местах (Win7), которые УЖЕ могут иметь РАЗНЫЕ права доступа (благодаря вашему системному админу, или другому злому человеку). Делается это "ссылками каталогов" и установить факт можно только аудитом журналов доступа. Специальное "следящее" ПО злых админов - может сразу же скопировать, даже не открывая, такой файл по сети - куда угодно, и те самые 9% коллектива - в итоге смогут узнать, кто именно их предложил "сократить".

1-й способ это тоже не исключает, но сильно, многократно осложняет. А главное - он не позволяет скрыть шпионаж, т.к. админ/злой - вынужден будет сменить владельца папки или сбросить флаг безопасности на "свой", чтобы прочесть вашу папку с portable LO. 

И, конечно же, всё вышеназванное бессмысленно, если пароль вам дал сам админ/злой (в этом случае он просто зайдет на ваш комп с вашим именем/паролем, когда вас нет, удаленно, да и подчистит журнал доступа).

Лучшая проверка админов на злость - неоднократная за неделю смена всех паролей. Они обычно настолько ленивы, что не будут разбираться, посчитают вас "своим" и развернут своё всевидящее око на симпатичных инсайд-инстаграмщиц.
Записан

Руб. за сто, что Питоньяк
Любит водку и коньяк!
Потому что мне, без оных, -
Не понять его никак...
Страниц: 1   Вверх
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!