“totalmente seguro” no es posible.
Puede hacerlo para que el contenido esté encriptado y solo aquellos que tienen el proceso de descifrado puedan leerlo / comprenderlo.
Sin embargo, esto sería algo bastante difícil para la mayoría de las personas (especialmente para alguien que pregunta cómo hacerlo). Por lo tanto, compartir este contenido con otras personas que no sean de seguridad sería un desafío técnico.
- ¿Necesitamos un ciber-ejército y si es así, entonces cómo podemos crear un ciber-ejército fuerte?
- ¿Qué pasa si olvidas la contraseña de un iPhone?
- Teniendo en cuenta todos los hacks a gran escala y la continua proliferación de ransomware y malware, ¿estamos perdiendo la guerra de seguridad electrónica?
- ¿Hay un límite para cuántas veces se puede cifrar un mensaje?
- ¿Cuál es la mejor manera de protegerse contra un ataque de contraseña de fuerza bruta?
Sugeriría un compromiso de “seguridad absoluta” con “probablemente bastante difícil de descifrar pero aún utilizable”:
Configure un servidor con un disco encriptado. De esta manera, si el servidor está físicamente comprometido, los datos no lo están.
Cortafuegos y parchear el servidor. Mantener actualizaciones de forma regular. Cortafuegos de los hosts permitidos y negar a todos los demás. Nadie debería poder acceder al ssh, excepto las personas que desea ver el contenido. A nadie se le debe permitir acceder a apache / puerto 80, ya que forzará el acceso solo a través del túnel ssh y luego obtendrán la ip del túnel. Entonces, esa es la única ip (el servidor en sí) que necesita poder ver el puerto 80 (apache)
Haga otras cosas en línea con la seguridad del servidor, como verificar sumas de verificación en binarios, registrar intentos de intrusión, bloquear intentos de pirateo, etc.
No ejecute otros servicios en el servidor como php, mysql, etc. Simplemente ejecute apache para que pueda servir las páginas.
No tiene ninguna forma de ingresar al servidor además de SSH. Use claves en lugar de contraseñas. No le dé a nadie más una cuenta de shell, pero sí permítales el túnel VPN o SSH.
Cifre el tráfico con HTTPS pero envíelo por el túnel. Puede limitar apache para que solo muestre contenido a ciertas IP. Limítelo al servidor mismo, luego haga que todos los que tengan acceso usen el túnel para verlo (como a través de un proxy de calcetines)
HTTPS solo generalmente se considera seguro, pero en realidad es trivial fingir a un hombre en el medio.
Las SSH / VPN son mucho más difíciles de romper, pero no imposibles. Excepto por una hazaña o por engañarte para que le des acceso a alguien (ingeniería social, keylogger, etc.), no sé cómo se han descifrado, si es que alguna vez.
Use htdigest para solicitar una contraseña en el contenido. Esta es una forma cifrada de la contraseña / hash y es difícil de descifrar, excepto por hash / exploits de fuerza bruta.
Si fuera paranoico adicional, podría cifrar los datos dentro de otros datos (como los datos dentro de un jpg). También puede publicar una versión encriptada de los datos como un archivo de texto encriptado que descargan. Esto es mucho trabajo extra y gastos generales que la mayoría de las personas no sabrán cómo usar realmente.
Asegúrese de proteger su PC también: inicie sesión desde un CD en vivo solo en computadoras conocidas. El CD en vivo no debe tener datos persistentes, pero debe tener la clave ssh, y debe verificar que no haya keyloggers de hardware en la máquina host. Hay algunos que se pueden conectar al usb donde va el teclado y luego los datos se pueden ver más tarde para encontrar contraseñas. Los archivos temporales en la unidad pueden estar sin cifrar, por lo tanto, cifre toda la unidad y trabaje solo en la RAM.
Entonces, en teoría, harías algo como lo anterior para obtener un contenido bastante seguro.
Está encriptado en el disco (vs acceso físico)
El sistema operativo es seguro (frente a exploits)
La aplicación tiene firewall (conceptos básicos de seguridad de la aplicación)
Los datos de tránsito se cifran a través del túnel ssh / vpn (frente a la inspección de la red)
El contenido es nuevamente encriptado por acceso (contraseñas htdigest y control de acceso de usuario)
De todos modos, así es como lo haría si estuviera tratando de ocultar algo. Por cierto…. Qué estás escondiendo ? 🙂