Ahojte,
nemáte prosí někdo zkušenosti s šifrovanou složkou na Debianu ve VPS? Zkoušel jsem ecryptfs, ale to potřebuje modul do jádra a ten se nedaří nahrát (kvůli OpenVZ?).
# modprobe ecryptfs # ecryptfs-migrate-home -u miroslav ERROR: Cannot get ecryptfs version, ecryptfs kernel module not loaded?
Existuje nějaká možnost, jak to zprovoznit? Nebo víte někdo o dobré alternativě?
Díky, Mirek
Ahoj,
On , Miroslav Tynovsky wrote:
nemáte prosí někdo zkušenosti s šifrovanou složkou na Debianu ve VPS?
Kdysi jsem to taky resil, ale dospel jsem k nazoru (po radach z vpsfree), ze to bezpecne udelat nejde, pokud to ma byt slozka, kterou server nejak aktivne vyuziva. Pokud je desifrovani automaticke, tak klic musi byt nekde na vps a lze se k nemu dostat, pokud to clovek vzdy odemkne rucne, tak to moc neresi situace po rebootu node na kterem vps je.
Zkoušel jsem ecryptfs, ale to potřebuje modul do jádra a ten se nedaří nahrát (kvůli OpenVZ?).
Existuje nějaká možnost, jak to zprovoznit? Nebo víte někdo o dobré alternativě?
Zkousel jsi encfs? S tim mam dobre zkusenosti (desktop, nikoliv vps) ale z jadra by mel vyzadovat snad akorat fuse. A ten asi na vps bude (nezkouseno). Tak kdyztak muzes zkusit to.
P.
Ahoj,
nemáte prosí někdo zkušenosti s šifrovanou složkou na Debianu ve VPS?
Kdysi jsem to taky resil, ale dospel jsem k nazoru (po radach z vpsfree), ze to bezpecne udelat nejde, pokud to ma byt slozka, kterou server nejak aktivne vyuziva.
Já bych navázal na tuhle myšlenku. Asi zkus popsat i nějaký use-case, který hodláš provozovat. Se šifrováním se to má tak, že nejlepší řešení bývá často to nejjednodušší. Pokud jde jen o to, že se ti tam nemají válet nějaká data nešifrovaná, tak je nejlepší řešení použít GPG, nebo pomocí openssl použít nějakou symetrickou šifru. Pokud to jsou data pro někoho, tak zase záleží na tom kolik jich je, jaký mezi s sebou máte vztah, ale pravděpodobně zjistíš, že nejrozumnější bude zase nějaké GPG.
Zkousel jsi encfs? S tim mam dobre zkusenosti (desktop, nikoliv vps) ale z jadra by mel vyzadovat snad akorat fuse. A ten asi na vps bude (nezkouseno). Tak kdyztak muzes zkusit to.
A já ještě mohu doporučit použít LUKS přes standardní rozhraní device-mapperu. Vyrobíš si nějaký šifrovaný kontejner, který pak přimountuješ. Ale opět to nejde rozumně použít na všechno a má to své problémy.
Pokud vím. Tak tohle by v jádře neměl být problém, stačí doinstalovat nějaké utility/knihovny, takže by to snad mělo fungovat i na VPS.
Pěkně si o tom počteš v legendárním seriálu na linuxexpress: http://www.linuxexpres.cz/praxe/sprava-linuxoveho-serveru-sifrovani-s-dm-cry... + dva následující díly.
Robin Obůrka
pokud to clovek vzdy odemkne rucne, tak to moc neresi situace po rebootu node na kterem vps je.
No hlavně i kdyby to ručně odemykal, tak k čemu to jako bude? Klíč bude v paměti buď jeho userspace procesu (nějaký FUSE encryption), nebo kernelového device-mapperu (dm-crypt), odkud lze jednoduše vyčíst. Navíc když šifrovaný FS namountuje, tak bude transparentně přístupný z hostitele.
On 12.1.2014 01:08, Paladin wrote:
Ahoj,
On , Miroslav Tynovsky wrote:
nemáte prosí někdo zkušenosti s šifrovanou složkou na Debianu ve VPS?
Kdysi jsem to taky resil, ale dospel jsem k nazoru (po radach z vpsfree), ze to bezpecne udelat nejde, pokud to ma byt slozka, kterou server nejak aktivne vyuziva. Pokud je desifrovani automaticke, tak klic musi byt nekde na vps a lze se k nemu dostat, pokud to clovek vzdy odemkne rucne, tak to moc neresi situace po rebootu node na kterem vps je.
Zkoušel jsem ecryptfs, ale to potřebuje modul do jádra a ten se nedaří nahrát (kvůli OpenVZ?).
Existuje nějaká možnost, jak to zprovoznit? Nebo víte někdo o dobré alternativě?
Zkousel jsi encfs? S tim mam dobre zkusenosti (desktop, nikoliv vps) ale z jadra by mel vyzadovat snad akorat fuse. A ten asi na vps bude (nezkouseno). Tak kdyztak muzes zkusit to.
P.
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
On 01/13/2014 04:28 AM, Jan Hrach wrote:
pokud to clovek vzdy odemkne rucne, tak to moc neresi situace po rebootu node na kterem vps je.
No hlavně i kdyby to ručně odemykal, tak k čemu to jako bude? Klíč bude v paměti buď jeho userspace procesu (nějaký FUSE encryption), nebo kernelového device-mapperu (dm-crypt), odkud lze jednoduše vyčíst. Navíc když šifrovaný FS namountuje, tak bude transparentně přístupný z hostitele.
Nad timhle jsem premejslel nemalo a pripada mi, ze to neni argument. Teda je, ale neni takovej ze "tak a ted nema smysl se o sifrovani disku pro VM bavit vubec, protoze ti stejne prectou klice".
Jenze jeste jsem nevidel bezpecnostni system navrzenej tak, aby nesel prolomit nikdy nijak - vzdycky je to jenom prekazka pro utocnika navic, otazka jak velka a pro kolik utocniku.
Realne, kdyz si vezmu vetsinu techhle lidi a zapojim vlastni znamosti a i trochu fantazie, si myslim, ze preci jenom pocet lidi, ktere odradi sifrovani a pritom nebudou umet/chtit/mit motivaci vytahnout klic z pameti a tak se dostat k datum, az tolik tak vysoky neni.
A kdo by to umel, ten se nebude zdrahat zrejme pouzit i jine metody ziskavani tech dat z tebe (baseballka a podobne).
Podle mne sifrovani ve VPS je dobre jako ochrana pred tim, ze nekdo, kdo ma volnych par minut, se k tem datum dostane. A je to IMHO i dost velka bariera pro pripadnemu vysinutemu spravci, tzn. nekomu, kdo ma k nasim masinam legit root pristup a zneuzil by ho - ne ze by se to nekdy stalo, ale vysvetlete paranoikum - ja bych si treba SSH klice taky nenechal valet jen tak, i kdyz vim se 100% jistotou, kdo vsechno k vpsFree hw/sw ma pristup.
Takze suma sumarum, nerozmlouval bych sifrovani na VPS, jenom je potreba vedet, ze ten klic z RAM opravdu jde vytahnout, jenom to chce trochu snahy a pristup k RAM.
- - snajpa
On 12.1.2014 01:08, Paladin wrote:
Ahoj,
On , Miroslav Tynovsky wrote:
nemáte prosí někdo zkušenosti s šifrovanou složkou na Debianu ve VPS?
Kdysi jsem to taky resil, ale dospel jsem k nazoru (po radach z vpsfree), ze to bezpecne udelat nejde, pokud to ma byt slozka, kterou server nejak aktivne vyuziva. Pokud je desifrovani automaticke, tak klic musi byt nekde na vps a lze se k nemu dostat, pokud to clovek vzdy odemkne rucne, tak to moc neresi situace po rebootu node na kterem vps je.
Zkoušel jsem ecryptfs, ale to potřebuje modul do jádra a ten se nedaří nahrát (kvůli OpenVZ?).
Existuje nějaká možnost, jak to zprovoznit? Nebo víte někdo o dobré alternativě?
Zkousel jsi encfs? S tim mam dobre zkusenosti (desktop, nikoliv vps) ale z jadra by mel vyzadovat snad akorat fuse. A ten asi na vps bude (nezkouseno). Tak kdyztak muzes zkusit to.
P.
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ahoj,
Jenze jeste jsem nevidel bezpecnostni system navrzenej tak, aby nesel prolomit nikdy nijak - vzdycky je to jenom prekazka pro utocnika navic, otazka jak velka a pro kolik utocniku.
pravda. Na druhou stranu mi přijde, že zrovna tohle je tak slabá zábrana, že nemá ani cenu se ji snažit implementovat. Ještě by o tom možná šlo uvažovat v plné virtualizaci (kde je potřeba dumpnout paměť a spustit aeskeyfind; pokud se navíc zvolí jiná šifra, bude to větší pakárna, protože na to není hotový program a naivní implementace je zoufale pomalá), ale v kontejneru, kde je ten přimountovaný FS přímo vidět? Ekvivalentem by u kontejnerů asi bylo šifrování přímo v aplikaci (pokud to podporuje), třeba ten SSH/GPG agent. I když opět, třeba na to SSH existují tooly, kterým stačí dát PID procesu a o všechno ostatní se postarají.
On 13.1.2014 11:06, Pavel Snajdr wrote:
On 01/13/2014 04:28 AM, Jan Hrach wrote:
pokud to clovek vzdy odemkne rucne, tak to moc neresi situace po rebootu node na kterem vps je.
No hlavně i kdyby to ručně odemykal, tak k čemu to jako bude? Klíč bude v paměti buď jeho userspace procesu (nějaký FUSE encryption), nebo kernelového device-mapperu (dm-crypt), odkud lze jednoduše vyčíst. Navíc když šifrovaný FS namountuje, tak bude transparentně přístupný z hostitele.
Nad timhle jsem premejslel nemalo a pripada mi, ze to neni argument. Teda je, ale neni takovej ze "tak a ted nema smysl se o sifrovani disku pro VM bavit vubec, protoze ti stejne prectou klice".
Jenze jeste jsem nevidel bezpecnostni system navrzenej tak, aby nesel prolomit nikdy nijak - vzdycky je to jenom prekazka pro utocnika navic, otazka jak velka a pro kolik utocniku.
Realne, kdyz si vezmu vetsinu techhle lidi a zapojim vlastni znamosti a i trochu fantazie, si myslim, ze preci jenom pocet lidi, ktere odradi sifrovani a pritom nebudou umet/chtit/mit motivaci vytahnout klic z pameti a tak se dostat k datum, az tolik tak vysoky neni.
A kdo by to umel, ten se nebude zdrahat zrejme pouzit i jine metody ziskavani tech dat z tebe (baseballka a podobne).
Podle mne sifrovani ve VPS je dobre jako ochrana pred tim, ze nekdo, kdo ma volnych par minut, se k tem datum dostane. A je to IMHO i dost velka bariera pro pripadnemu vysinutemu spravci, tzn. nekomu, kdo ma k nasim masinam legit root pristup a zneuzil by ho - ne ze by se to nekdy stalo, ale vysvetlete paranoikum - ja bych si treba SSH klice taky nenechal valet jen tak, i kdyz vim se 100% jistotou, kdo vsechno k vpsFree hw/sw ma pristup.
Takze suma sumarum, nerozmlouval bych sifrovani na VPS, jenom je potreba vedet, ze ten klic z RAM opravdu jde vytahnout, jenom to chce trochu snahy a pristup k RAM.
- snajpa
On 12.1.2014 01:08, Paladin wrote:
Ahoj,
On , Miroslav Tynovsky wrote:
nemáte prosí někdo zkušenosti s šifrovanou složkou na Debianu ve VPS?
Kdysi jsem to taky resil, ale dospel jsem k nazoru (po radach z vpsfree), ze to bezpecne udelat nejde, pokud to ma byt slozka, kterou server nejak aktivne vyuziva. Pokud je desifrovani automaticke, tak klic musi byt nekde na vps a lze se k nemu dostat, pokud to clovek vzdy odemkne rucne, tak to moc neresi situace po rebootu node na kterem vps je.
Zkoušel jsem ecryptfs, ale to potřebuje modul do jádra a ten se nedaří nahrát (kvůli OpenVZ?).
Existuje nějaká možnost, jak to zprovoznit? Nebo víte někdo o dobré alternativě?
Zkousel jsi encfs? S tim mam dobre zkusenosti (desktop, nikoliv vps) ale z jadra by mel vyzadovat snad akorat fuse. A ten asi na vps bude (nezkouseno). Tak kdyztak muzes zkusit to.
P.
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahoj,
FUSE + EncFS, FUSE je potreba povolit ve vpsAdminu.
Pouzival jsem rsync + EncFS + NFS + OpenVPN a zalohoval jsem pres to svuj /home.
/snajpa
On 01/12/2014 12:48 AM, Miroslav Tynovsky wrote:
Ahojte,
nemáte prosí někdo zkušenosti s šifrovanou složkou na Debianu ve VPS? Zkoušel jsem ecryptfs, ale to potřebuje modul do jádra a ten se nedaří nahrát (kvůli OpenVZ?).
# modprobe ecryptfs # ecryptfs-migrate-home -u miroslav ERROR: Cannot get ecryptfs version, ecryptfs kernel module not loaded?
Existuje nějaká možnost, jak to zprovoznit? Nebo víte někdo o dobré alternativě?
Díky, Mirek _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
community-list@lists.vpsfree.cz
-
Jan Hrach -
Miroslav Tynovsky -
Paladin -
Pavel Snajdr -
Robin Obůrka