Konfigurationsdateien schützen

Mansaylon

Neuer User
Mitglied seit
7 Mai 2007
Beiträge
158
Punkte für Reaktionen
1
Punkte
18
Hallo Zusammen

Ich habe da sehr viele Stunden in eine Konfiguration von Asterisk investiert. Nun stellt sich mir die Frage, wie ich meine Konfigurationsdateien schützen kann.
Ist das überhaupt möglich, oder muss man einfach damit leben, dass jemand mit ein wenig Linux Wissen, die Daten übernehmen kann?!?
Und dabei geht es mir ja nicht um den Asteriskserver, der bei mir steht, sondern den, welcher ich einem Kunden rein gestellt habe.

Die Software ist bekanntlich frei erhältlich... aber meine Konfigurationsarbeit möchte ich doch irgendwie schützen, wenn das geht.
 
Zuletzt bearbeitet:
Wenn nur Du Root-Zugang hast, kannst Du allen außer dem Asterisk-User die Rechte für die Dateien entziehen.
Ansonsten wirst Du wohl damit leben müssen, der Kunde hat Dich ja hoffenlich für die Konfig bezahlt.

Du könntest den Thread evtl. umbenennen, "Konfig sichern" klingt so nach Backup.
 
Danke.... ja der Kunde hat natürlich die Arbeit bezahlt. Es geht aber darum, dass der Kunde diese Arbeit nicht kopieren und sie somit weiter vertreiben kann.
Wenn ich Dich richtig verstanden habe, sollte es also reichen, wenn der Kunde keinen Root Zugang hat und seine Rechte entsprechend eingeschränkt sind?!?

Kann mir irgendwie nicht vorstellen, dass es keine weiteren Leute gibt, welche vor dem selben Problem stehen, bzw. Ihre Konfigdateien schützen wollen.
 
Mansaylon schrieb:
... wenn der Kunde keinen Root Zugang hat ...
Das kannst Du so ohne weiteres nicht einschränken. Das hängt davon ab, auf welcher Vertragsbasis der Kunde das "Werk" erworben ("bezahlt") hat und welche Rechte implizit oder explizit dann damit / daran gebunden sind.

G., -#####o:
 
Wenn Du unter "keinen Root Zugang hat" auch verstehst das der Kunde keinen "physikalischen" Zugang zum Rechner/Platte hat ist es für den Kunden schon etwas "schwieriger".
 
Physikalisch hat der Kunde Zugang.
Der Root Zugang ist vertraglich kein Bestandteil.... wie so bei manchen anderen Telefonanlagen, wo man auch nur einen normalen Benutzerzugang hat, jedoch keine tiefwirkende Administration.

Situation sieht also wie folgt aus:
PC mit Linux und Asterisk steht bei Kunde.
Kein Root Passwort für Kunde.
Benutzerkonfiguration wird per Browser realisiert.
 
Dann nimmt der Kunde die Platte und setzt sie in einen anderen Rechner.
Man könnte die Platte verschlüsseln, man könnte..
Das Thema ist Abend füllend und eigentlich kein Asterisk spezifisches Problem und es gibt keine wirklich einfache Lösung.
 
Ich befürchtete schon, dass es in diese Richtung geht.
Mir wurde da eine Verschlüsselung per USB Stick nahe gebracht... soll so um die $ 90 sein. Das wäre dann eine Hardware Verschlüsselung. Würde also dann nur funtkonieren, wenn man diesen Stick hat.
Werde mir wohl mal eine Testinstallation mit dieser Variante ansehen.
 
Der Kunde hat vermutlich weder die Absicht noch das Know-How um die Konfiguration auszulesen. Er ist auch nicht in der Branche, dass er Asterisk Konfigurationen weiter vertreiben würde, sonst hätte er die Konfiguration selbst gemacht und nicht Dich damit beauftragt. Selbst wenn er tatsächlich versuchen würde, die Konfiguration weiter zu vertreiben, würdest Du es vermutlich mitbekommen und könntest dagegen vorgehen.
 
Sicher ein Einwand, der nicht komplett von der Hand zu weisen ist.
Doch kann man durchaus auch mal einen Kunden haben, der eine eigene IT hat und die sich evtl. in ein gemachtes Nest setzen will.
Klar... es klingt vielleicht etwas paranoid... aber man versucht halt alle Eventualitäten zu beachten und entsprechend zu agieren, bzw. vorzubeugen. :rolleyes:
 
Ich denke, es ist abhängig von der "Schöpfungshöhe" der Konfiguration des Asterisk, ob es sich überhaupt lohnt, den Aufwand des Schutzes der Konfig-Dateien zu treiben. 90% dessen was ich bei Asterisk-Installationen bisher gesehen habe baue ich mit einer fertigen Lösung wie Gemeinschaft in 1-2h Konfigurationsaufwand per WEB-GUI nach, sehr spezielle Callcenter-Funktionalitäten mal außen vor gelassen.

Abhängig von Details wie Dein Systemkonstrukt mit Asterisk aussieht (z.B. eigener Dialplan gecoded in Script-Sprache Deiner Wahl) kannst Du hier ansetzen, und einen "obfuscator" benutzen um den Code nicht mehr oder nicht mehr gut menschenlesbar zu gestalten.

Ich halte das aber für mehr als überflüssig, auf der technischen Ebene solche Einschränkungen vorzunehmen - wenn überhaupt dann gängelt man seine Kunden mit Lizenzen und NUtzungsvereinbarungen :)
 
Mich befremdet es immer ein wenig wenn man mit Hilfe von Open Source Software Geld verdient, selbst aber nicht bereit ist den Open Source Gedanken auch ein wenig zu leben. Das ist jetzt keinesfalls böse gemeint, aber letztendlich profitieren wir ja auch alle davon das viele Entwickler Ihre Arbeit und Ihr Wissen uns allen bereit stellen.

Hatte auch grade den Gedanken das Du die Konfiguration vielleicht sogar lesbar ausliefern MUSST - wenn Du das Gesamtpaket verkaufst. Schließlich steht asterisk unter der GPL, und diese wirkt viral auf alle "abeleiteten Werke". Das müsste aber natürlich ein Jurist beurteilen, für denkbar halte ich es aber.
 
Zuletzt bearbeitet:
Hatte auch grade den Gedanken das Du die Konfiguration vielleicht sogar lesbar ausliefern MUSST - wenn Du das Gesamtpaket verkaufst. Schließlich steht asterisk unter der GPL, und diese wirkt viral auf alle "abeleiteten Werke".

Die Konfiguration ist aber kein Teil des Codes der unter der GPL-Lizenz verfügbar ist, und fällt daher nicht unter diese.
 
Es liegt mir fern hier einen auf Schlaumeier zu machen, aber ich halte es dennoch für möglich das dies zutrifft. Es geht ja darum das unter Verwendung eines GPL Produkts ein neues Paket geschnürt wird aus dem meiner Meinung nach möglicherweise wieder ein GPL lizenziertes Produkt entsteht.
Die "virale" Wirkung der GPL Lizenz ergibt sich aus 2b):

You must cause any work that you distribute or publish, that in whole or in part contains or is derived from the Program or any part thereof, to be licensed as a whole at no charge to all third parties under the terms of this License.

Ausnahmen dafür gibt es zb. bei identifizierbaren Tielen von Software die "vernünftigerweise als unabhängig" angesehen werden können. Und zwar technisch unabhängig (nicht zb. wirtschaftlich). Als "unabhängigen" Bestandteil der quasi auch ohne das GPL Produkt lauffähig ist, würde ich die config-files nicht gerade bezeichnen.

Aber wie gesagt, ich bin nicht qualifiziert um das weiter zu untermauern und letztendlich ist das auch schon sehr weit weg von der Frage des Threadstarters. Ich fands nur grad sehr interessant und wollte es daher zur Diskussion stellen.
 
Mich befremdet es immer ein wenig wenn man mit Hilfe von Open Source Software Geld verdient, selbst aber nicht bereit ist den Open Source Gedanken auch ein wenig zu leben. Das ist jetzt keinesfalls böse gemeint, aber letztendlich profitieren wir ja auch alle davon das viele Entwickler Ihre Arbeit und Ihr Wissen uns allen bereit stellen.

Hatte auch grade den Gedanken das Du die Konfiguration vielleicht sogar lesbar ausliefern MUSST - wenn Du das Gesamtpaket verkaufst. Schließlich steht asterisk unter der GPL, und diese wirkt viral auf alle "abeleiteten Werke". Das müsste aber natürlich ein Jurist beurteilen, für denkbar halte ich es aber.

1. ist es durchaus eine gute Sache, wenn man gegenseitig Wissen austauscht. Ich habe nur etwas gegen Schmarotzer, welche sich einfach in das gemachte Nest setzen wollen. Und noch schlimmer, wenn solche Schmarotzer dann diese Arbeit für die ihrige verkaufen. Hinter einer ausgeklügelten Anlage steckt sehr viel Arbeit und Zeit.

Somit kommen wir zum 2. Punkt.
Genau diese Arbeit wird verkauft und nicht das Produkt, welches wie gesagt unter GPL steht.
 
Du hast in Deinem Anfangspost geschrieben Du hättest "dem Kunden einen Server reingestellt". Das heißt Du hast ein Produkt konfektioniert, bist damit zum Kunden gefahren und hast es ihm verkauft. Also ein Gesamtprodukt, geschnürt mit einem GPL Produkt das unter Umständen viral auf andere mitgelieferte Werke wirkt (das die GPL viral wirkt, steht ja hoffentlich nicht zur Diskussion, das wissen wir seit dem die Linksys Jungs Ihre Firmware publizieren mussten).

Liege ich da daneben? Wenn ja, kannst Du das Thema abhaken, wenn nicht, würde ich zumindest ein wenig Zeit an Recherche (neben der Suche nach Verschlüsselungstechniken) in dieses Thema investieren.
Schließlich hast Du ja geschrieben das Du "halt alle Eventualitäten" beachten willst.
 
Ich verkaufe dem Kunden einen Server. Die Hardware ist ein ganz offizieller Verkaufsartikel. Das Betriebssystem ist eine frei verfügbare Linux Distribution, für die ich nichts verrechnen darf. Jedoch für die Installation auf jenem Server.... bzw. die dafür aufgewendete Zeit. Das Selbe gilt dann auch für die Grundinstallation von Asterisk. Keine Softwarekosten, jedoch der Zeitaufwand für die Installation.
Für den Kunden bedeutet dies lediglich, dass er sich die Lizenzkosten für Betriebssystem und Betriebssoftware, hier in der Form von Asterisk, sparen kann. Mein Zeitaufwand für die angepasste Konfiguration kann ich wiederum legal verrechnen.

Andersrum könnte der Kunde ja auch die Hardware selber besorgen und ein Linux installieren, wie auch Asterisk aufspielen... mich dann engagieren, damit ich eine entsprechende Konfiguration gemäss seinen Wünschen erstelle. Diese würde ich ja dann auch nach Zeitaufwand verrechnen.
 
Das Betriebssystem ist eine frei verfügbare Linux Distribution, für die ich nichts verrechnen darf.
Doch, darfst Du. Kein Problem. Du darfst sogar jemandem den Linux Kernel um 5.000 EUR verkaufen wenn Du jemanden findest Dir das zahlt. Du musst nur den Quellcode mit ausliefern.

http://www.gnu.org/philosophy/selling.html#HighOrLowFeesAndGPL
http://www.gnu.org/licenses/gpl-faq#DoesTheGPLAllowMoney

Andersrum könnte der Kunde ja auch die Hardware selber besorgen und ein Linux installieren, wie auch Asterisk aufspielen... mich dann engagieren, damit ich eine entsprechende Konfiguration gemäss seinen Wünschen erstelle. Diese würde ich ja dann auch nach Zeitaufwand verrechnen.

Richtig, wenn es so gewesen wäre, würde es sich anders darstellen. Dann würde man das "eigenständige Werk" vielleicht einigermaßen argumentiert kriegen. Es war aber nicht so. Zumal dann ja eine Verschlüsselung endgültig schwer zu argumentieren wäre.
 
Zuletzt bearbeitet:
Eben, Du hast auf dem Server Linux installiert, Du hast auf dem Server Asterisk installiert, Du hast beide konfiguriert, und Du hast die komplette Zeit dafür bezahlt bekommen. Es spielt auch keine Rolle, ob Du den Server dazu selbst verkauft hast oder ob der Kunde den zur Verfügung gestellt hat.

Was ist denn jetzt überhaupt Dein Problem? Du hast Deine Arbeit gemacht und das vereinbarte Geld dafür bekommen. Was willst Du sonst noch?

Wenn ich eine Server für einen Kunden konfiguriere, hat er auch theoretisch Zugang zu allen Einstellungen. Es hat aber noch nie einer sich tatsächlich darum gekümmert. Die Kunden wollen ein funktionierendes System, und jemanden, der sich darum kümmert, wenn es Probleme gibt. Wenn sie die Konfiguration selbst machen könnten, würden sie nicht jemanden suchen, der es macht. Und erst recht würde keiner die Konfiguration weiter verkaufen, schon weil kaum jemand anders die gleiche Konfiguration braucht. Und um die Konfiguration an andere Anforderungen anzupassen, müsste man sich erst einmal damit auskennen.

Meine Vermutung ist, dass die Konfiguration, die Du da erstellt hast, weder so besonders ist, noch so allgemein gehalten, dass sie überhaupt für einen größeren Kreis von Anwendern geeignet wäre. Warum dann überhaupt die Sorge, dass der Kunde sie weiter geben will?
 
Grundsätzlich geht es ja bei meiner Frage nicht über den Sinn und Zweck, sonder um die Möglichkeit eines solchen Datenschutzes. Alle anderen Diskussionen verlaufen sich lediglich ins philosophische.
Es gibt unzählige andere Artikel, die man erwerben kann, jedoch nicht bis zum letzten Detail der Zugriff gestattet ist. Also müssen wir über diesen Bereich wirklich nicht weiter diskutieren.

Zusammenfassend sieht es nun also mal so aus:
Wenn der Kunde kein Root Zugang hat, wird es mind. aufwendiger, an die Konfigurationsdaten zu kommen, jedoch nicht unmöglich.
Die MySql Datenbank evtl. mit MCrypt verschlüsseln (muss ich noch näher anschauen)
Eine Hardwareverschlüsselung der Festplatte, wo man einen Dongel dazu braucht, ist bis jetzt die sicherste Variante.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.