本番環境で Django アプリ インスタンスを保護するために実行される一般的な手順は何ですか。私はsqliteを使用しているので、データベースを暗号化するのもいいでしょう。
また、データベースは暗号化されているため、アプリ コードも暗号化するか、コンパイルのみにする必要があります。すべての *py ファイルを単純に削除して、*pyc ファイルを残しても安全ですか?
また、運用サーバーで django シェル (./manage.py シェル) を無効にすることは可能ですか? シェルがアクセス可能になると、すべてのデータがアクセス可能になります。
私が使用しているスタックは次のとおりです。Nginx + Gunicorn + Django + SQLite はすべて、専用のファイアウォールを備えたラックスペース専用サーバーでホストされています。
基本的に、目的は、root アクセス権を持つすべての人がデータベースの内容にアクセスできないようにすることです。
django を保護することは重要な問題ですが、混乱していると思います。
まず第一に、コードを調べにくくしたとしても、安全性が向上するわけではありません。次に、pyc ファイルからコメント以外のすべてを復元することができます。
最後に、django シェルは、コマンドラインでアプリケーションと対話するのに便利です。許可されていない誰かがそれを実行できる立場にある場合、それを無効にしても問題ありません。セキュリティはすでに完全に危険にさらされています.
現在の知識で自分の実稼働サーバーを管理しないことを強くお勧めします。共有ホストを使用し、ホスティング サービスのセキュリティ ガイドラインに従ってください。アプリケーションの実際の Web セキュリティの側面に集中してください。
もう 1 つ: 組み込みサーバーを本番環境で使用していませんか?
更新: root から身を守ることはできません。できたとしても、ハードディスクを別のコンピューターに入れるだけで済みます。