Re: [vpsFree.cz: community-list] sifrovana slozka

Ahoj, pravda. Na druhou stranu mi přijde, že zrovna tohle je tak slabá zábrana, že nemá ani cenu se ji snažit implementovat. Ještě by o tom možná šlo uvažovat v plné virtualizaci (kde je potřeba dumpnout paměť a spustit aeskeyfind; pokud se navíc zvolí jiná šifra, bude to větší pakárna, protože na to není hotový program a naivní implementace je zoufale pomalá), ale v kontejneru, kde je ten přimountovaný FS přímo vidět? Ekvivalentem by u kontejnerů asi bylo šifrování přímo v aplikaci (pokud to podporuje), třeba ten SSH/GPG agent. I když opět, třeba na to SSH existují tooly, kterým stačí dát PID procesu a o všechno ostatní se postarají. On 13.1.2014 11:06, Pavel Snajdr wrote: > On 01/13/2014 04:28 AM, Jan Hrach wrote: >>> pokud to clovek vzdy odemkne rucne, tak to moc neresi situace po >>> rebootu node na kterem vps je. > >> No hlavně i kdyby to ručně odemykal, tak k čemu to jako bude? Klíč >> bude v paměti buď jeho userspace procesu (nějaký FUSE encryption), >> nebo kernelového device-mapperu (dm-crypt), odkud lze jednoduše >> vyčíst. Navíc když šifrovaný FS namountuje, tak bude transparentně >> přístupný z hostitele. > > Nad timhle jsem premejslel nemalo a pripada mi, ze to neni argument. > Teda je, ale neni takovej ze "tak a ted nema smysl se o sifrovani > disku pro VM bavit vubec, protoze ti stejne prectou klice". > > > Realne, kdyz si vezmu vetsinu techhle lidi a zapojim vlastni znamosti > a i trochu fantazie, si myslim, ze preci jenom pocet lidi, ktere > odradi sifrovani a pritom nebudou umet/chtit/mit motivaci vytahnout > klic z pameti a tak se dostat k datum, az tolik tak vysoky neni. > > A kdo by to umel, ten se nebude zdrahat zrejme pouzit i jine metody > ziskavani tech dat z tebe (baseballka a podobne). > > Podle mne sifrovani ve VPS je dobre jako ochrana pred tim, ze nekdo, > kdo ma volnych par minut, se k tem datum dostane. A je to IMHO i dost > velka bariera pro pripadnemu vysinutemu spravci, tzn. nekomu, kdo ma k > nasim masinam legit root pristup a zneuzil by ho - ne ze by se to > nekdy stalo, ale vysvetlete paranoikum - ja bych si treba SSH klice > taky nenechal valet jen tak, i kdyz vim se 100% jistotou, kdo vsechno > k vpsFree hw/sw ma pristup. > > Takze suma sumarum, nerozmlouval bych sifrovani na VPS, jenom je > potreba vedet, ze ten klic z RAM opravdu jde vytahnout, jenom to chce > trochu snahy a pristup k RAM. > > - snajpa > > >> On 12.1.2014 01:08, Paladin wrote: >>> Ahoj, >>> >>> On , Miroslav Tynovsky wrote: >>>> nemáte prosí někdo zkušenosti s šifrovanou složkou na Debianu >>>> ve VPS? >>> >>> Kdysi jsem to taky resil, ale dospel jsem k nazoru (po radach z >>> vpsfree), ze to bezpecne udelat nejde, pokud to ma byt slozka, >>> kterou server nejak aktivne vyuziva. Pokud je desifrovani >>> automaticke, tak klic musi byt nekde na vps a lze se k nemu >>> dostat, pokud to clovek vzdy odemkne rucne, tak to moc neresi >>> situace po rebootu node na kterem vps je. >>> >>>> Zkoušel jsem ecryptfs, ale to potřebuje modul do jádra a ten >>>> se nedaří nahrát (kvůli OpenVZ?). >>> >>>> Existuje nějaká možnost, jak to zprovoznit? Nebo víte někdo o >>>> dobré alternativě? >>> >>> Zkousel jsi encfs? S tim mam dobre zkusenosti (desktop, nikoliv >>> vps) ale z jadra by mel vyzadovat snad akorat fuse. A ten asi na >>> vps bude (nezkouseno). Tak kdyztak muzes zkusit to. >>> >>> P. >>> >>> >>> >>> _______________________________________________ Community-list >>> mailing list Community-list(a)lists.vpsfree.cz >>> http://lists.vpsfree.cz/listinfo/community-list >>> > > > >> _______________________________________________ Community-list >> mailing list Community-list(a)lists.vpsfree.cz >> http://lists.vpsfree.cz/listinfo/community-list > > _______________________________________________ > Community-list mailing list > Community-list(a)lists.vpsfree.cz > http://lists.vpsfree.cz/listinfo/community-list > -- Jan Hrach, http://jenda.hrach.eu/ GPG CD98 5440 4372 0C6D 164D A24D F019 2F8E 6527 282E