Jak na šifrovaný virtuální server
4. 5. 2009 13:12
Adam Štrauch
Důležitá data se na serverech často šifrují. To má ovšem velkou nevýhodu při pádu nebo restartu systému. USB flash disk s klíči v serveru nechat nemůžeme a chodit k němu při každém restartu také není nejpohodlnější. Zajímavým postupem, který vyšel popsaný na howtoforge.com, je použití normálního systému, na kterém běží šifrovaný virtuální stroj. Klíč se dát díky tomu zadávat třeba přes SSH a eliminuje se tak nutnost přítomnosti admina při novém startu systému.
Dále čtěte…
- QEMU 0.15 podporuje XEN 12. 8. 2011 8:06
- Linux 3.0: dom0 pro Xen a vylepšení Btrfs 22. 7. 2011 23:48
- Linux dostane kompletní podporu virtualizace XEN 6. 6. 2011 10:35
- XEN 4.0 je rychlejší a škálovatelnější 12. 4. 2010 10:39
- KVM bude oficiálně podporováno ve SLES 11 25. 3. 2010 9:16
Lael Ophir (neregistrovaný)
4. 5. 2009 23:27
Nový
TPM?
celé vlákno
A neřeší uložení klíče modul TPM?
Sten (neregistrovaný)
5. 5. 2009 11:36
Nový
Re: TPM?
celé vlákno
Ne, pokud vám někdo ukradne celý server, tak buď je vám šifrování úplně na houby, nebo musíte ten klíč stejně nějak aktivovat.
pht (neregistrovaný)
5. 5. 2009 10:20
Nový
RE: Jak na šifrovaný virtuální server
celé vlákno
Stejného efektu lze dosáhnout tím, že "systém" necháme nezašifrovaný a šifrujeme pouze oddíl s daty. Nevím koho by zajímal super tajný obsah /bin/bash ...
Nicméně zadávat pouze heslo přes SSH bez přítomnosti nějaké další HW autentizace je trochu amatéřina. Takže té cestě do serverovny se stejně nevyhnete.
Nicméně zadávat pouze heslo přes SSH bez přítomnosti nějaké další HW autentizace je trochu amatéřina. Takže té cestě do serverovny se stejně nevyhnete.
Sten (neregistrovaný)
5. 5. 2009 11:38
Nový
RE: Jak na šifrovaný virtuální server
celé vlákno
A víte o tom, že tohle není bezpečné? Spousta šifrovaných dat se totiž potom může dostat do nešfirovaných částí (třeba jako swap nebo pracovní kopie do /tmp nebo /var/tmp). Přesně stejný problém je s "bezpečností" šifrování ve Windows.
pht (neregistrovaný)
6. 5. 2009 6:40
Nový
RE: Jak na šifrovaný virtuální server
celé vlákno
Nebezpečné to je, pokud připustíte aby se tam ta data dostala. Stejně tak se můžou dostat na plochu uživatele, který s nimi pracuje.
uživatel si přál zůstat v anonymitě
5. 5. 2009 11:39
Nový
sifrovanie
celé vlákno
Ako sa riesi situacia, ze niekto ma fyzicky pristup k serveru, tym padom moze patchnut ssh na nom beziace, cim si nasledne moze odchytit heslo/kluc pouzity ku startu virtualky....
Je toto dajako chranene?
Je toto dajako chranene?
Sten (neregistrovaný)
5. 5. 2009 11:56
Nový
Re: sifrovanie
celé vlákno
To by teoreticky šlo ochránit přes TPM a HW kalkulačkou s request-response aktivací klíče (pokud to TPM umí). Ale pokud má někdo fyzický přístup k vašemu serveru, asi mu nebude dělat problém patchnout initramdisk tak, že po startu provede dd odemčeného disku přes síť.
ujo imro (neregistrovaný)
5. 5. 2009 15:13
Nový
Re: sifrovanie
celé vlákno
takze jediny bezpecny sposob, ako ochranit data na servery je zasifrovat cely disk, vratane boot particie a nahadzovat ho rucne/osobne....
Sten (neregistrovaný)
5. 5. 2009 16:10
Nový
Re: sifrovanie
celé vlákno
Jediný bezpečný způsob je mít vlastní serverovnu, viz Cold Boot Attack.
pht (neregistrovaný)
6. 5. 2009 6:43
Nový
Re: sifrovanie
celé vlákno
To se řeší tak, že "síť" nikam nevede.
Sten (neregistrovaný)
6. 5. 2009 17:48
Nový
Re: sifrovanie
celé vlákno
Pokud ta síť nikam nevede, jak se tam SSHčknu?
pht (neregistrovaný)
6. 5. 2009 6:42
Nový
Re: sifrovanie
celé vlákno
Normálně na to stačí nějaká crypto dongle nebo karta, tj. něco co nelze odchytit, když to použijete.
5. 5. 2009 14:45
Nový
len initramdisk ... na domace pouzitie staci ;)
celé vlákno
http://ex-it.eu/arxphnx-screen_n_record/arxphnx-cm_cryptorootboot_over_net.ogg
realne v prevadzke par mesiacov, funkcne bez virtualu
realne v prevadzke par mesiacov, funkcne bez virtualu
