-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
On 01/13/2014 04:28 AM, Jan Hrach wrote:
pokud to clovek vzdy odemkne rucne, tak to moc neresi situace po rebootu node na kterem vps je.
No hlavně i kdyby to ručně odemykal, tak k čemu to jako bude? Klíč bude v paměti buď jeho userspace procesu (nějaký FUSE encryption), nebo kernelového device-mapperu (dm-crypt), odkud lze jednoduše vyčíst. Navíc když šifrovaný FS namountuje, tak bude transparentně přístupný z hostitele.
Nad timhle jsem premejslel nemalo a pripada mi, ze to neni argument. Teda je, ale neni takovej ze "tak a ted nema smysl se o sifrovani disku pro VM bavit vubec, protoze ti stejne prectou klice".
Jenze jeste jsem nevidel bezpecnostni system navrzenej tak, aby nesel prolomit nikdy nijak - vzdycky je to jenom prekazka pro utocnika navic, otazka jak velka a pro kolik utocniku.
Realne, kdyz si vezmu vetsinu techhle lidi a zapojim vlastni znamosti a i trochu fantazie, si myslim, ze preci jenom pocet lidi, ktere odradi sifrovani a pritom nebudou umet/chtit/mit motivaci vytahnout klic z pameti a tak se dostat k datum, az tolik tak vysoky neni.
A kdo by to umel, ten se nebude zdrahat zrejme pouzit i jine metody ziskavani tech dat z tebe (baseballka a podobne).
Podle mne sifrovani ve VPS je dobre jako ochrana pred tim, ze nekdo, kdo ma volnych par minut, se k tem datum dostane. A je to IMHO i dost velka bariera pro pripadnemu vysinutemu spravci, tzn. nekomu, kdo ma k nasim masinam legit root pristup a zneuzil by ho - ne ze by se to nekdy stalo, ale vysvetlete paranoikum - ja bych si treba SSH klice taky nenechal valet jen tak, i kdyz vim se 100% jistotou, kdo vsechno k vpsFree hw/sw ma pristup.
Takze suma sumarum, nerozmlouval bych sifrovani na VPS, jenom je potreba vedet, ze ten klic z RAM opravdu jde vytahnout, jenom to chce trochu snahy a pristup k RAM.
- - snajpa
On 12.1.2014 01:08, Paladin wrote:
Ahoj,
On , Miroslav Tynovsky wrote:
nemáte prosí někdo zkušenosti s šifrovanou složkou na Debianu ve VPS?
Kdysi jsem to taky resil, ale dospel jsem k nazoru (po radach z vpsfree), ze to bezpecne udelat nejde, pokud to ma byt slozka, kterou server nejak aktivne vyuziva. Pokud je desifrovani automaticke, tak klic musi byt nekde na vps a lze se k nemu dostat, pokud to clovek vzdy odemkne rucne, tak to moc neresi situace po rebootu node na kterem vps je.
Zkoušel jsem ecryptfs, ale to potřebuje modul do jádra a ten se nedaří nahrát (kvůli OpenVZ?).
Existuje nějaká možnost, jak to zprovoznit? Nebo víte někdo o dobré alternativě?
Zkousel jsi encfs? S tim mam dobre zkusenosti (desktop, nikoliv vps) ale z jadra by mel vyzadovat snad akorat fuse. A ten asi na vps bude (nezkouseno). Tak kdyztak muzes zkusit to.
P.
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list