13 Jan
2014
13 Jan
'14
10:06 a.m.
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
On 01/13/2014 04:28 AM, Jan Hrach wrote:
Nad timhle jsem premejslel nemalo a pripada mi, ze to neni argument.
Teda je, ale neni takovej ze "tak a ted nema smysl se o sifrovani
disku pro VM bavit vubec, protoze ti stejne prectou klice".
Jenze jeste jsem nevidel bezpecnostni system navrzenej tak, aby nesel
prolomit nikdy nijak - vzdycky je to jenom prekazka pro utocnika
navic, otazka jak velka a pro kolik utocniku.
Realne, kdyz si vezmu vetsinu techhle lidi a zapojim vlastni znamosti
a i trochu fantazie, si myslim, ze preci jenom pocet lidi, ktere
odradi sifrovani a pritom nebudou umet/chtit/mit motivaci vytahnout
klic z pameti a tak se dostat k datum, az tolik tak vysoky neni.
A kdo by to umel, ten se nebude zdrahat zrejme pouzit i jine metody
ziskavani tech dat z tebe (baseballka a podobne).
Podle mne sifrovani ve VPS je dobre jako ochrana pred tim, ze nekdo,
kdo ma volnych par minut, se k tem datum dostane. A je to IMHO i dost
velka bariera pro pripadnemu vysinutemu spravci, tzn. nekomu, kdo ma k
nasim masinam legit root pristup a zneuzil by ho - ne ze by se to
nekdy stalo, ale vysvetlete paranoikum - ja bych si treba SSH klice
taky nenechal valet jen tak, i kdyz vim se 100% jistotou, kdo vsechno
k vpsFree hw/sw ma pristup.
Takze suma sumarum, nerozmlouval bych sifrovani na VPS, jenom je
potreba vedet, ze ten klic z RAM opravdu jde vytahnout, jenom to chce
trochu snahy a pristup k RAM.
- - snajpa
pokud to
clovek vzdy odemkne rucne, tak to moc neresi situace po
rebootu node na kterem vps je.
No hlavně i kdyby to ručně odemykal, tak k čemu to jako bude? Klíč
bude v paměti buď jeho userspace procesu (nějaký FUSE encryption),
nebo kernelového device-mapperu (dm-crypt), odkud lze jednoduše
vyčíst. Navíc když šifrovaný FS namountuje, tak bude transparentně
přístupný z hostitele.
On 12.1.2014 01:08, Paladin wrote:
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
Comment: Using GnuPG with Icedove - http://www.enigmail.net/
iF4EAREIAAYFAlLTuoYACgkQMBKdi9lkZ6qwRQEApPue+D1WO7jTXwiNEItY29do
arMyHmp1tuda6k/EKY0BAM7bLqKcGydjibN/4Db9nDYsQiMTB4Awf+L4Cn99ql+r
=2mDh
-----END PGP SIGNATURE-----
Ahoj,
On , Miroslav Tynovsky wrote:
_______________________________________________ Community-list
mailing list Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
nemáte prosí někdo zkušenosti s šifrovanou
složkou na Debianu
ve VPS?
Kdysi jsem to taky resil, ale dospel jsem k nazoru (po radach z
vpsfree), ze to bezpecne udelat nejde, pokud to ma byt slozka,
kterou server nejak aktivne vyuziva. Pokud je desifrovani
automaticke, tak klic musi byt nekde na vps a lze se k nemu
dostat, pokud to clovek vzdy odemkne rucne, tak to moc neresi
situace po rebootu node na kterem vps je.
Zkoušel jsem ecryptfs, ale to potřebuje modul do
jádra a ten
se nedaří nahrát (kvůli OpenVZ?).
Existuje nějaká možnost, jak to zprovoznit? Nebo
víte někdo o
dobré alternativě?
Zkousel jsi encfs? S tim mam dobre zkusenosti (desktop, nikoliv
vps) ale z jadra by mel vyzadovat snad akorat fuse. A ten asi na
vps bude (nezkouseno). Tak kdyztak muzes zkusit to.
P.
_______________________________________________ Community-list
mailing list Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list