Как сделать удалённый шифрованный сервак?

Печать RSS
289

А
Автор
Оранжевые штаны
0
Имеется удаленный сервак, а точнее ubunut работающая под xen, доступа к панельки нету.
Реально сделать так что-бы владелец не могу получить доступ к данным?
Пока нашел способ с busybox + dropebear, но не уверено что из под xen нельзя получить доступ. м.б. кто знает?
p.s. Партнёр выделил бесплатно мощный сервак но палить исходники не хочется.

Пацак
0
LVM, TrueCrypt
Первое создаёт шифрованный раздел, но не факт что сможешь запустить систему без VNC (при загрузке надо вводить пароль)
Второе создаёт шифрованную файловую систему в файлике, и это можно примонтировать в любую пустую папку.

Собственно я думаю TrueCrypt как раз под твои цели, только не забывай бэкапить этот файлик, и слишком большой не создававай (у меня на одном сервере 450GB трукрипта, создавался очень долго, ещё и никуда не переместить щас, даже на локальные бэкапы места нет )))

А так вариантов не слишком много... в основном используют LVM,ZFS,TrueCrypt
Изменил: /7o/loTeH4I1k (05.12.2016 / 17:36)
А
Автор
Оранжевые штаны
0
Смысл от trueCrypt если я не смогу его разлочить удаленно? Вариант про который я писал как раз LVM, но может есть способ проще, так же где то читал что под xen можно root получить если ты владелец.

Пацак
0
Муз-ТВ, почему это не сможешь? Подключился по SSH, ввёл пароль, папочка примонтировалась.
А вот с LVM будет сложнее, если VNC нет.

Ну вообще, от владельца ноды ты никак не защитишь данные, в контейнер он может входить рутом, соответственно если в это время файлы расшифрованы - доступ к ним есть.

Дух
0
Т.е., если я купил вдс, то хостер может войти на сервак, не зная пароля от рута? Зачем тогда техподдержка спрашивает пароль от сервака, если надо чтото настроить?
А
Автор
Оранжевые штаны
0
anonymouse, не контейнером делать вообще нет смысла, если он уже расшифрован то к нему можно легко подключится. Вот если до загрузки ОС то уже сложнее.

Добавлено через 00:43 сек.
frasi, Это зависит от типа виртуализиации.

Дух
0
Муз-ТВ, ну это понятно. И какие типы подвержены данному недостатку?

Пацак
0
frasi, все, которые предполагают что твой "сервер" будет находиться на чужом физическом сервере

Землянин
0
Т.е., если я купил вдс, то хостер может войти на сервак, не зная пароля от рута? Зачем тогда техподдержка спрашивает пароль от сервака, если надо чтото настроить?
frasi (06.12.16 / 13:58)
Не думаю, что хостер типа фирствдса будет лазить по чужим скриптам. Второй год им пользуюсь и всё нормально.
Стикеры / Теги / Правила / Топ тем / Топ постов / Поиск