[vpsFree.cz: community-list] sifrovana slozka
Pavel Snajdr
snajpa at snajpa.net
Mon Jan 13 11:06:01 CET 2014
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
On 01/13/2014 04:28 AM, Jan Hrach wrote:
>> pokud to clovek vzdy odemkne rucne, tak to moc neresi situace po
>> rebootu node na kterem vps je.
>
> No hlavně i kdyby to ručně odemykal, tak k čemu to jako bude? Klíč
> bude v paměti buď jeho userspace procesu (nějaký FUSE encryption),
> nebo kernelového device-mapperu (dm-crypt), odkud lze jednoduše
> vyčíst. Navíc když šifrovaný FS namountuje, tak bude transparentně
> přístupný z hostitele.
Nad timhle jsem premejslel nemalo a pripada mi, ze to neni argument.
Teda je, ale neni takovej ze "tak a ted nema smysl se o sifrovani
disku pro VM bavit vubec, protoze ti stejne prectou klice".
Jenze jeste jsem nevidel bezpecnostni system navrzenej tak, aby nesel
prolomit nikdy nijak - vzdycky je to jenom prekazka pro utocnika
navic, otazka jak velka a pro kolik utocniku.
Realne, kdyz si vezmu vetsinu techhle lidi a zapojim vlastni znamosti
a i trochu fantazie, si myslim, ze preci jenom pocet lidi, ktere
odradi sifrovani a pritom nebudou umet/chtit/mit motivaci vytahnout
klic z pameti a tak se dostat k datum, az tolik tak vysoky neni.
A kdo by to umel, ten se nebude zdrahat zrejme pouzit i jine metody
ziskavani tech dat z tebe (baseballka a podobne).
Podle mne sifrovani ve VPS je dobre jako ochrana pred tim, ze nekdo,
kdo ma volnych par minut, se k tem datum dostane. A je to IMHO i dost
velka bariera pro pripadnemu vysinutemu spravci, tzn. nekomu, kdo ma k
nasim masinam legit root pristup a zneuzil by ho - ne ze by se to
nekdy stalo, ale vysvetlete paranoikum - ja bych si treba SSH klice
taky nenechal valet jen tak, i kdyz vim se 100% jistotou, kdo vsechno
k vpsFree hw/sw ma pristup.
Takze suma sumarum, nerozmlouval bych sifrovani na VPS, jenom je
potreba vedet, ze ten klic z RAM opravdu jde vytahnout, jenom to chce
trochu snahy a pristup k RAM.
- - snajpa
>
> On 12.1.2014 01:08, Paladin wrote:
>> Ahoj,
>>
>> On , Miroslav Tynovsky wrote:
>>> nemáte prosí někdo zkušenosti s šifrovanou složkou na Debianu
>>> ve VPS?
>>
>> Kdysi jsem to taky resil, ale dospel jsem k nazoru (po radach z
>> vpsfree), ze to bezpecne udelat nejde, pokud to ma byt slozka,
>> kterou server nejak aktivne vyuziva. Pokud je desifrovani
>> automaticke, tak klic musi byt nekde na vps a lze se k nemu
>> dostat, pokud to clovek vzdy odemkne rucne, tak to moc neresi
>> situace po rebootu node na kterem vps je.
>>
>>> Zkoušel jsem ecryptfs, ale to potřebuje modul do jádra a ten
>>> se nedaří nahrát (kvůli OpenVZ?).
>>
>>> Existuje nějaká možnost, jak to zprovoznit? Nebo víte někdo o
>>> dobré alternativě?
>>
>> Zkousel jsi encfs? S tim mam dobre zkusenosti (desktop, nikoliv
>> vps) ale z jadra by mel vyzadovat snad akorat fuse. A ten asi na
>> vps bude (nezkouseno). Tak kdyztak muzes zkusit to.
>>
>> P.
>>
>>
>>
>> _______________________________________________ Community-list
>> mailing list Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>>
>
>
>
> _______________________________________________ Community-list
> mailing list Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
Comment: Using GnuPG with Icedove - http://www.enigmail.net/
iF4EAREIAAYFAlLTuoYACgkQMBKdi9lkZ6qwRQEApPue+D1WO7jTXwiNEItY29do
arMyHmp1tuda6k/EKY0BAM7bLqKcGydjibN/4Db9nDYsQiMTB4Awf+L4Cn99ql+r
=2mDh
-----END PGP SIGNATURE-----
More information about the Community-list
mailing list