Ahoj,
chci zeptat – kdo a jak má přístup k těm strojům na kterých běží všechny virtuály? Kdo a jak se může dostat k zálohám? Jak je těžké je číst? Kdybych třeba byl dohled k serverovně a píchnul si klávesnici/monitor k nějakému stroji, mohl bych si číst, co tam všechno je? Začínám mít relativně citlivá data a tak chci být trochu paranoidní dřív, než se to pokaká :-)
Vojtěch Knyttl
Počítej s tím, že fyzický přístup = root přístup.
Kdybych třeba byl dohled k serverovně a píchnul si klávesnici/monitor k nějakému stroji, mohl bych si číst, co tam všechno je?
+ reboot do singleuser režimu. Nebo z LiveCD. A tak podobně.
On 6.4.2014 23:05, Vojtěch Knyttl wrote:
Ahoj,
chci zeptat – kdo a jak má přístup k těm strojům na kterých běží všechny virtuály? Kdo a jak se může dostat k zálohám? Jak je těžké je číst? Kdybych třeba byl dohled k serverovně a píchnul si klávesnici/monitor k nějakému stroji, mohl bych si číst, co tam všechno je? Začínám mít relativně citlivá data a tak chci být trochu paranoidní dřív, než se to pokaká :-)
Vojtěch Knyttl
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Cau,
k serverum mam root pristup ja, Tomas Srnka a Jakub Skokan. Obema jim verim a nemaji duvod nejak ohrozit vpsFree, vsem nam jde o spolecnou vec a to mit z vpsFree ten nejlepsi prostor pro hostovani Layer7 aplikaci (http, mail, db, ..., presne to, co delas ty).
Fyzicky k tomu maji potom pristup tihle lidi, + Michal Stral (rada sdruzeni) a Michal Janousek (podpora) - Michal Stral kvuli tomu, ze je v Praze stale (kdyby se neco fakt, fakt seriozne podelalo) a Michal Janousek kvuli tomu, ze nam sem tam prijede pomoct nebo se na ty masiny aspon podivat (ze co to vlastne mame :)).
Kdybys si otevrel rack a fyzicky se k tomu pripichnul, tak na tebe bafne akorat login screen.
Navic pristupy do toho racku jsou logovane v Master IS.
K lokaci dat - data jsou jednak na nodu, kde mas VPS a jednak na backuperu. Vzdycky je to oddeleny dataset (posix fs vrstva, navrchu zfs stacku je kazda VPS jako samostatny FS).
Data na diskach nesifrujeme a ani to v planu neni, jelikoz by to zabilo jakykoliv naznak vykonu a stejne ten klic musi byt v RAM, takze by to chranilo akorat proti vykradeni disku (coz kdyby se stalo, tak Master Internet tak roznosime po mediich, ze to muzou rovnou zavrit, ale myslim, ze je v zajmu vsech ty prostory drzet secure a tohle se nema jak stat).
Kdyz se pichnes do switche, musel by sis dat celkem praci tu sit proskenovat a musel bys tipovat cislo VLAN, v kterych jsou servery - coz nejakou chvili zabere. Ale premejslel jsem, ze bych proste nevyuzity porty na switchich administrativne zakazal. Jestli ti to pomuze vklidu spat, muzu to udelat.
S pozdravem / Best regards,
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
On 04/06/2014 11:05 PM, Vojtěch Knyttl wrote:
Ahoj,
chci zeptat – kdo a jak má přístup k těm strojům na kterých běží všechny virtuály? Kdo a jak se může dostat k zálohám? Jak je těžké je číst? Kdybych třeba byl dohled k serverovně a píchnul si klávesnici/monitor k nějakému stroji, mohl bych si číst, co tam všechno je? Začínám mít relativně citlivá data a tak chci být trochu paranoidní dřív, než se to pokaká :-)
Vojtěch Knyttl
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Jinak klice od racku ma u sebe support Master Internet, ty my u sebe nemame.
Ma to jednoduchou vyhodu - ten support v DC pak i k necemu je a muze nam pomoct, jinak bychom tam museli kvuli kazde vymene disku, atd.
Pochybuju, ze s nima Master nema podepsanej nejakej papir na pripadnej tucnej pro danyho supportaka, kterej porusi data privacy klientu, nicmene to nemam overeny - ale prijde mi to jako standardni praxe. Muzu overit, jestli chces.
S pozdravem / Best regards,
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
On 04/07/2014 02:09 PM, Pavel Snajdr wrote:
Cau,
k serverum mam root pristup ja, Tomas Srnka a Jakub Skokan. Obema jim verim a nemaji duvod nejak ohrozit vpsFree, vsem nam jde o spolecnou vec a to mit z vpsFree ten nejlepsi prostor pro hostovani Layer7 aplikaci (http, mail, db, ..., presne to, co delas ty).
Fyzicky k tomu maji potom pristup tihle lidi, + Michal Stral (rada sdruzeni) a Michal Janousek (podpora) - Michal Stral kvuli tomu, ze je v Praze stale (kdyby se neco fakt, fakt seriozne podelalo) a Michal Janousek kvuli tomu, ze nam sem tam prijede pomoct nebo se na ty masiny aspon podivat (ze co to vlastne mame :)).
Kdybys si otevrel rack a fyzicky se k tomu pripichnul, tak na tebe bafne akorat login screen.
Navic pristupy do toho racku jsou logovane v Master IS.
K lokaci dat - data jsou jednak na nodu, kde mas VPS a jednak na backuperu. Vzdycky je to oddeleny dataset (posix fs vrstva, navrchu zfs stacku je kazda VPS jako samostatny FS).
Data na diskach nesifrujeme a ani to v planu neni, jelikoz by to zabilo jakykoliv naznak vykonu a stejne ten klic musi byt v RAM, takze by to chranilo akorat proti vykradeni disku (coz kdyby se stalo, tak Master Internet tak roznosime po mediich, ze to muzou rovnou zavrit, ale myslim, ze je v zajmu vsech ty prostory drzet secure a tohle se nema jak stat).
Kdyz se pichnes do switche, musel by sis dat celkem praci tu sit proskenovat a musel bys tipovat cislo VLAN, v kterych jsou servery
- coz nejakou chvili zabere. Ale premejslel jsem, ze bych proste
nevyuzity porty na switchich administrativne zakazal. Jestli ti to pomuze vklidu spat, muzu to udelat.
S pozdravem / Best regards,
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
On 04/06/2014 11:05 PM, Vojtěch Knyttl wrote:
Ahoj,
chci zeptat – kdo a jak má přístup k těm strojům na kterých běží všechny virtuály? Kdo a jak se může dostat k zálohám? Jak je těžké je číst? Kdybych třeba byl dohled k serverovně a píchnul si klávesnici/monitor k nějakému stroji, mohl bych si číst, co tam všechno je? Začínám mít relativně citlivá data a tak chci být trochu paranoidní dřív, než se to pokaká :-)
Vojtěch Knyttl
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
On 7.4.2014 14:14, Pavel Snajdr wrote:
Pochybuju, ze s nima Master nema podepsanej nejakej papir na pripadnej tucnej pro danyho supportaka, kterej porusi data privacy klientu, nicmene to nemam overeny - ale prijde mi to jako standardni praxe. Muzu overit, jestli chces.
To ale nepokrývá situaci kdy do datacentra naběhnou policajti a celý rack si odvezou.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
On 04/07/2014 02:32 PM, mrkva@mrkva.eu wrote:
On 7.4.2014 14:14, Pavel Snajdr wrote:
Pochybuju, ze s nima Master nema podepsanej nejakej papir na pripadnej tucnej pro danyho supportaka, kterej porusi data privacy klientu, nicmene to nemam overeny - ale prijde mi to jako standardni praxe. Muzu overit, jestli chces.
To ale nepokrývá situaci kdy do datacentra naběhnou policajti a celý rack si odvezou.
To nikdy a to ani neni predmetem tyhle diskuze :)
Pred law-enforcement se neschovas, jedine to dat nekam mimo jurisdikci cehokoliv, co na na tebe muze dosahnout.
/snajpa
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Já nevím před čím se tazatel potřebuje bránit. A schováš... Co takhle šifrovaný disk a v serveru akcelerometr a při zjištění manipulace okamžitě wipnout klíč z RAMky? :)
On 7.4.2014 14:35, Pavel Snajdr wrote:
On 04/07/2014 02:32 PM, mrkva@mrkva.eu wrote:
On 7.4.2014 14:14, Pavel Snajdr wrote:
Pochybuju, ze s nima Master nema podepsanej nejakej papir na pripadnej tucnej pro danyho supportaka, kterej porusi data privacy klientu, nicmene to nemam overeny - ale prijde mi to jako standardni praxe. Muzu overit, jestli chces.
To ale nepokrývá situaci kdy do datacentra naběhnou policajti a celý rack si odvezou.
To nikdy a to ani neni predmetem tyhle diskuze :)
Pred law-enforcement se neschovas, jedine to dat nekam mimo jurisdikci cehokoliv, co na na tebe muze dosahnout.
/snajpa
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
On 04/07/2014 02:41 PM, mrkva@mrkva.eu wrote:
Já nevím před čím se tazatel potřebuje bránit. A schováš... Co takhle šifrovaný disk a v serveru akcelerometr a při zjištění manipulace okamžitě wipnout klíč z RAMky? :)
Tazatel ma startup a neresi veci, co jsou od reality, jako tohle :))))
Pokud Vojtu chapu (jsme v kontaktu na jabberu obcas), jde mu proste o to, aby mu nekdo nevykrad data a nepostavil nad tim konkurenci, pripadne podobny hrozby, to ze muze prijit zakon je moznost holt vzdycky, ale proti sycakum, co by kradli data, se branit da.
Doufam, ze vpsFree ani nikdo nepovazuje za misto, kde je dobry provozovat ultra-paranoid-setup, na takovy veci je dedikovanej hardware a datacentra na trochu jiny urovni, nez 99% toho, co po CZ/SK najdete (ale myslim, ze tu par celkem secure datacenter je, minimalne jedno s bezpecnosti certifikaci tu v Bratislave je v Petrzalce - Datacube, v cechach jich je taky par).
/snajpa
On 7.4.2014 14:35, Pavel Snajdr wrote:
On 04/07/2014 02:32 PM, mrkva@mrkva.eu wrote:
On 7.4.2014 14:14, Pavel Snajdr wrote:
Pochybuju, ze s nima Master nema podepsanej nejakej papir na pripadnej tucnej pro danyho supportaka, kterej porusi data privacy klientu, nicmene to nemam overeny - ale prijde mi to jako standardni praxe. Muzu overit, jestli chces.
To ale nepokrývá situaci kdy do datacentra naběhnou policajti a celý rack si odvezou.
To nikdy a to ani neni predmetem tyhle diskuze :)
Pred law-enforcement se neschovas, jedine to dat nekam mimo jurisdikci cehokoliv, co na na tebe muze dosahnout.
/snajpa
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
On 7.4.2014 14:50, Pavel Snajdr wrote:
Tazatel ma startup a neresi veci, co jsou od reality, jako tohle :))))
Pokud Vojtu chapu (jsme v kontaktu na jabberu obcas), jde mu proste o to, aby mu nekdo nevykrad data a nepostavil nad tim konkurenci, pripadne podobny hrozby, to ze muze prijit zakon je moznost holt vzdycky, ale proti sycakum, co by kradli data, se branit da.
Doufam, ze vpsFree ani nikdo nepovazuje za misto, kde je dobry provozovat ultra-paranoid-setup, na takovy veci je dedikovanej hardware a datacentra na trochu jiny urovni, nez 99% toho, co po CZ/SK najdete (ale myslim, ze tu par celkem secure datacenter je, minimalne jedno s bezpecnosti certifikaci tu v Bratislave je v Petrzalce - Datacube, v cechach jich je taky par).
Popravdě, ultra-paranoid setup je pro mě cluster z raspi s vlastním napájením (solár?) na střeše paneláků připojených přes wifi obyvatel a komunikující výhradně přes Tor (nebo něco podobného) a ne sebelepší datacentrum kam si může policie/tajné služby/whoever chodit jako na nákup.
A teď zpátky na zem . myslím že u vpsfree to je +- v pohodě, ze strany snajpy, aithera a spol. jde podle mě o dost profesionálnější přístup než nabízí některé "profi" firmy.
to velmi nepomoze ked ako prve vyrvu stavu...
Sent from my BlackBerry 10 smartphone. Original Message From: mrkva@mrkva.eu Sent: Montag, 7. April 2014 14:41 To: community-list@lists.vpsfree.cz Reply To: vpsFree.cz Community list Subject: Re: [vpsFree.cz: community-list] soukromost serverů ?=a =?utf-8?Q?záloh
Já nevím před čím se tazatel potřebuje bránit. A schováš... Co takhle šifrovaný disk a v serveru akcelerometr a při zjištění manipulace okamžitě wipnout klíč z RAMky? :)
On 7.4.2014 14:35, Pavel Snajdr wrote:
On 04/07/2014 02:32 PM, mrkva@mrkva.eu wrote:
On 7.4.2014 14:14, Pavel Snajdr wrote:
Pochybuju, ze s nima Master nema podepsanej nejakej papir na pripadnej tucnej pro danyho supportaka, kterej porusi data privacy klientu, nicmene to nemam overeny - ale prijde mi to jako standardni praxe. Muzu overit, jestli chces.
To ale nepokrývá situaci kdy do datacentra naběhnou policajti a celý rack si odvezou.
To nikdy a to ani neni predmetem tyhle diskuze :)
Pred law-enforcement se neschovas, jedine to dat nekam mimo jurisdikci cehokoliv, co na na tebe muze dosahnout.
/snajpa
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Vyrvě šťávu a zjistí že jsou paměti a citlivá místa desky zalitá do epoxidu a ani omylem se tam nedostanou dřív než data z paměti zmizí.
Nebo mít zabezpečení už na úrovni celého racku a v racku UPSku. Nebo malou UPSku přímo v tom stroji (stačí ti pár vteřin).
On 7.4.2014 14:51, semanmar@gmail.com wrote:
to velmi nepomoze ked ako prve vyrvu stavu...
Sent from my BlackBerry 10 smartphone. Original Message From: mrkva@mrkva.eu Sent: Montag, 7. April 2014 14:41 To: community-list@lists.vpsfree.cz Reply To: vpsFree.cz Community list Subject: Re: [vpsFree.cz: community-list] soukromost serverů ?=a =?utf-8?Q?záloh
Já nevím před čím se tazatel potřebuje bránit. A schováš... Co takhle šifrovaný disk a v serveru akcelerometr a při zjištění manipulace okamžitě wipnout klíč z RAMky? :)
On 7.4.2014 14:35, Pavel Snajdr wrote:
On 04/07/2014 02:32 PM, mrkva@mrkva.eu wrote:
On 7.4.2014 14:14, Pavel Snajdr wrote:
Pochybuju, ze s nima Master nema podepsanej nejakej papir na pripadnej tucnej pro danyho supportaka, kterej porusi data privacy klientu, nicmene to nemam overeny - ale prijde mi to jako standardni praxe. Muzu overit, jestli chces.
To ale nepokrývá situaci kdy do datacentra naběhnou policajti a celý rack si odvezou.
To nikdy a to ani neni predmetem tyhle diskuze :)
Pred law-enforcement se neschovas, jedine to dat nekam mimo jurisdikci cehokoliv, co na na tebe muze dosahnout.
/snajpa
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
2014-04-07 15:12 GMT+02:00 mrkva@mrkva.eu:
Vyrvě šťávu a zjistí že jsou paměti a citlivá místa desky zalitá do epoxidu a ani omylem se tam nedostanou dřív než data z paměti zmizí.
šťávu vůbec vypínat nemusí - dneska už mají kurvítka, co zaříznou přímo do napájecího kabelu a server si prostě běžící odnesou...
Epoxid by byl dobrej nápad, když by to šlo uchladit. Ale praktičtější mi přijde chasis intrusion/akcelerometr, když už hardcore.
A nebo to rovnou řešit na úrovni vnitřního řadiče disku:) http://spritesmods.com/?art=hddhack
-miky.
Sent from my BlackBerry 10 smartphone. Original Message From: mrkva@mrkva.eu Sent: Montag, 7. April 2014 14:41 To: community-list@lists.vpsfree.cz Reply To: vpsFree.cz Community list Subject: Re: [vpsFree.cz: community-list] soukromost serverů ?=a
=?utf-8?Q?záloh
Já nevím před čím se tazatel potřebuje bránit. A schováš... Co takhle šifrovaný disk a v serveru akcelerometr a při zjištění manipulace okamžitě wipnout klíč z RAMky? :)
On 7.4.2014 14:35, Pavel Snajdr wrote:
On 04/07/2014 02:32 PM, mrkva@mrkva.eu wrote:
On 7.4.2014 14:14, Pavel Snajdr wrote:
Pochybuju, ze s nima Master nema podepsanej nejakej papir na pripadnej tucnej pro danyho supportaka, kterej porusi data privacy klientu, nicmene to nemam overeny - ale prijde mi to jako standardni praxe. Muzu overit, jestli chces.
To ale nepokrývá situaci kdy do datacentra naběhnou policajti a celý rack si odvezou.
To nikdy a to ani neni predmetem tyhle diskuze :)
Pred law-enforcement se neschovas, jedine to dat nekam mimo jurisdikci cehokoliv, co na na tebe muze dosahnout.
/snajpa
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
On 7.4.2014 15:30, Jakub Fišer wrote:
šťávu vůbec vypínat nemusí - dneska už mají kurvítka, co zaříznou přímo do napájecího kabelu a server si prostě běžící odnesou...
Hele, tohle už jsem slyšel z víc míst. Nějaké bližší info by nebylo? Technicky ani elektronicky to problém není a dovedu si to docela dobře představit ale zajímalo by mě jestli je zdokumentované nějaké použití a tak vůbec.
Epoxid by byl dobrej nápad, když by to šlo uchladit. Ale praktičtější mi přijde chasis intrusion/akcelerometr, když už hardcore.
Akcelerometr zmiňuju o mail výš, klasický chassis open switch je na prd.
Dne 7.4.2014 15:35, mrkva@mrkva.eu napsal(a):
On 7.4.2014 15:30, Jakub Fišer wrote:
šťávu vůbec vypínat nemusí - dneska už mají kurvítka, co zaříznou přímo do napájecího kabelu a server si prostě běžící odnesou...
Hele, tohle už jsem slyšel z víc míst. Nějaké bližší info by nebylo? Technicky ani elektronicky to problém není a dovedu si to docela dobře představit ale zajímalo by mě jestli je zdokumentované nějaké použití a tak vůbec.
Konkrétně že by někdo lohnul server nevím, každopádně podobný 'kurvítka' se naprosto běžně používají třeba při připojení novostavby na rozvodnou síť. Místo toho, aby se kabel přerušil, odpojila se celá čtvrť nebo vesnice, tak se tam dá tohle, zařízne se to skrz izolaci a připojí se dům bez přerušení napájení. Pak se to samozřejmě zaizoluje. Podobně se to dělá třeba s černým odběrem. Takže aplikovat to na server není taky o moc složitější, je to jen otázka dostatečně velkého záložního zdroje.
Epoxid by byl dobrej nápad, když by to šlo uchladit. Ale praktičtější mi přijde chasis intrusion/akcelerometr, když už hardcore.
Akcelerometr zmiňuju o mail výš, klasický chassis open switch je na prd.
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Konkrétně že by někdo lohnul server nevím, každopádně podobný 'kurvítka' se naprosto běžně používají třeba při připojení novostavby na rozvodnou síť. Místo toho, aby se kabel přerušil, odpojila se celá čtvrť nebo vesnice, tak se tam dá tohle, zařízne se to skrz izolaci a připojí se dům bez přerušení napájení. Pak se to samozřejmě zaizoluje.
Jj. Potřebuješ na stavbě svářet? Tak hřebík, zabouchat do ho drátu, namotat na něj přívod svářečky a už se jede. Takhle nějak to dělávali soudruzi v Sovětském Svazu.
Takovou situaci nepokryva nic, pokud maji soudni prikaz, je povinej jim to na soudni prikaz vydat kdokoli, pokud si nechce jit sam sednout
Dne 7. 4. 2014 14:32, mrkva@mrkva.eu napsal(a):
On 7.4.2014 14:14, Pavel Snajdr wrote:
Pochybuju, ze s nima Master nema podepsanej nejakej papir na pripadnej tucnej pro danyho supportaka, kterej porusi data privacy klientu, nicmene to nemam overeny - ale prijde mi to jako standardni praxe. Muzu overit, jestli chces.
To ale nepokrývá situaci kdy do datacentra naběhnou policajti a celý rack si odvezou.
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
community-list@lists.vpsfree.cz
-
David Toman -
Jakub Fišer -
Jirka Bourek -
Michal Krajcirovic -
mrkva@mrkva.eu -
Paladin -
Pavel Snajdr -
semanmar@gmail.com -
Vojtěch Knyttl