[vpsFree.cz: community-list] sifrovana slozka

Jan Hrach jenda at hrach.eu
Mon Jan 13 17:14:42 CET 2014


Ahoj,

> Jenze jeste jsem nevidel bezpecnostni system navrzenej tak, aby nesel
> prolomit nikdy nijak - vzdycky je to jenom prekazka pro utocnika
> navic, otazka jak velka a pro kolik utocniku.

pravda. Na druhou stranu mi přijde, že zrovna tohle je tak slabá zábrana, že nemá ani cenu se ji snažit implementovat. Ještě by o tom možná šlo uvažovat v plné virtualizaci (kde je potřeba dumpnout paměť a spustit aeskeyfind; pokud se navíc zvolí jiná šifra, bude to větší pakárna, protože na to není hotový program a naivní implementace je zoufale pomalá), ale v kontejneru, kde je ten přimountovaný FS přímo vidět? Ekvivalentem by u kontejnerů asi bylo šifrování přímo v aplikaci (pokud to podporuje), třeba ten SSH/GPG agent. I když opět, třeba na to SSH existují tooly, kterým stačí dát PID procesu a o všechno ostatní se postarají.

On 13.1.2014 11:06, Pavel Snajdr wrote:
> On 01/13/2014 04:28 AM, Jan Hrach wrote:
>>> pokud to clovek vzdy odemkne rucne, tak to moc neresi situace po
>>> rebootu node na kterem vps je.
> 
>> No hlavně i kdyby to ručně odemykal, tak k čemu to jako bude? Klíč
>> bude v paměti buď jeho userspace procesu (nějaký FUSE encryption),
>> nebo kernelového device-mapperu (dm-crypt), odkud lze jednoduše
>> vyčíst. Navíc když šifrovaný FS namountuje, tak bude transparentně
>> přístupný z hostitele.
> 
> Nad timhle jsem premejslel nemalo a pripada mi, ze to neni argument.
> Teda je, ale neni takovej ze "tak a ted nema smysl se o sifrovani
> disku pro VM bavit vubec, protoze ti stejne prectou klice".
> 
> Jenze jeste jsem nevidel bezpecnostni system navrzenej tak, aby nesel
> prolomit nikdy nijak - vzdycky je to jenom prekazka pro utocnika
> navic, otazka jak velka a pro kolik utocniku.
> 
> Realne, kdyz si vezmu vetsinu techhle lidi a zapojim vlastni znamosti
> a i trochu fantazie, si myslim, ze preci jenom pocet lidi, ktere
> odradi sifrovani a pritom nebudou umet/chtit/mit motivaci vytahnout
> klic z pameti a tak se dostat k datum, az tolik tak vysoky neni.
> 
> A kdo by to umel, ten se nebude zdrahat zrejme pouzit i jine metody
> ziskavani tech dat z tebe (baseballka a podobne).
> 
> Podle mne sifrovani ve VPS je dobre jako ochrana pred tim, ze nekdo,
> kdo ma volnych par minut, se k tem datum dostane. A je to IMHO i dost
> velka bariera pro pripadnemu vysinutemu spravci, tzn. nekomu, kdo ma k
> nasim masinam legit root pristup a zneuzil by ho - ne ze by se to
> nekdy stalo, ale vysvetlete paranoikum - ja bych si treba SSH klice
> taky nenechal valet jen tak, i kdyz vim se 100% jistotou, kdo vsechno
> k vpsFree hw/sw ma pristup.
> 
> Takze suma sumarum, nerozmlouval bych sifrovani na VPS, jenom je
> potreba vedet, ze ten klic z RAM opravdu jde vytahnout, jenom to chce
> trochu snahy a pristup k RAM.
> 
> - snajpa
> 
> 
>> On 12.1.2014 01:08, Paladin wrote:
>>> Ahoj,
>>>
>>> On , Miroslav Tynovsky wrote:
>>>> nemáte prosí někdo zkušenosti s šifrovanou složkou na Debianu
>>>> ve VPS?
>>>
>>> Kdysi jsem to taky resil, ale dospel jsem k nazoru (po radach z
>>> vpsfree), ze to bezpecne udelat nejde, pokud to ma byt slozka,
>>> kterou server nejak aktivne vyuziva. Pokud je desifrovani
>>> automaticke, tak klic musi byt nekde na vps a lze se k nemu
>>> dostat, pokud to clovek vzdy odemkne rucne, tak to moc neresi
>>> situace po rebootu node na kterem vps je.
>>>
>>>> Zkoušel jsem ecryptfs, ale to potřebuje modul do jádra a ten
>>>> se nedaří nahrát (kvůli OpenVZ?).
>>>
>>>> Existuje nějaká možnost, jak to zprovoznit? Nebo víte někdo o
>>>> dobré alternativě?
>>>
>>> Zkousel jsi encfs? S tim mam dobre zkusenosti (desktop, nikoliv
>>> vps) ale z jadra by mel vyzadovat snad akorat fuse. A ten asi na
>>> vps bude (nezkouseno). Tak kdyztak muzes zkusit to.
>>>
>>> P.
>>>
>>>
>>>
>>> _______________________________________________ Community-list
>>> mailing list Community-list at lists.vpsfree.cz
>>> http://lists.vpsfree.cz/listinfo/community-list
>>>
> 
> 
> 
>> _______________________________________________ Community-list
>> mailing list Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
> 
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
> 

-- 
Jan Hrach, http://jenda.hrach.eu/
GPG CD98 5440 4372 0C6D 164D A24D F019 2F8E 6527 282E

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20140113/272f07d0/attachment.sig>


More information about the Community-list mailing list