Как сделать удалённый шифрованный сервак?

1. Александр (05.12.2016 / 17:05)
Имеется удаленный сервак, а точнее ubunut работающая под xen, доступа к панельки нету.
Реально сделать так что-бы владелец не могу получить доступ к данным?
Пока нашел способ с busybox + dropebear, но не уверено что из под xen нельзя получить доступ. м.б. кто знает?
p.s. Партнёр выделил бесплатно мощный сервак но палить исходники не хочется.

2. /7o/loTeH4I1k (05.12.2016 / 17:33)
LVM, TrueCrypt
Первое создаёт шифрованный раздел, но не факт что сможешь запустить систему без VNC (при загрузке надо вводить пароль)
Второе создаёт шифрованную файловую систему в файлике, и это можно примонтировать в любую пустую папку.

Собственно я думаю TrueCrypt как раз под твои цели, только не забывай бэкапить этот файлик, и слишком большой не создававай (у меня на одном сервере 450GB трукрипта, создавался очень долго, ещё и никуда не переместить щас, даже на локальные бэкапы места нет )))

А так вариантов не слишком много... в основном используют LVM,ZFS,TrueCrypt

3. Александр (05.12.2016 / 19:05)
Смысл от trueCrypt если я не смогу его разлочить удаленно? Вариант про который я писал как раз LVM, но может есть способ проще, так же где то читал что под xen можно root получить если ты владелец.

4. /7o/loTeH4I1k (06.12.2016 / 09:30)
Муз-ТВ, почему это не сможешь? Подключился по SSH, ввёл пароль, папочка примонтировалась.
А вот с LVM будет сложнее, если VNC нет.

Ну вообще, от владельца ноды ты никак не защитишь данные, в контейнер он может входить рутом, соответственно если в это время файлы расшифрованы - доступ к ним есть.

5. Удаленный (06.12.2016 / 09:58)
Т.е., если я купил вдс, то хостер может войти на сервак, не зная пароля от рута? Зачем тогда техподдержка спрашивает пароль от сервака, если надо чтото настроить?

6. Александр (06.12.2016 / 11:50)
anonymouse, не контейнером делать вообще нет смысла, если он уже расшифрован то к нему можно легко подключится. Вот если до загрузки ОС то уже сложнее.

Добавлено через 00:43 сек.
frasi, Это зависит от типа виртуализиации.

7. Удаленный (06.12.2016 / 12:41)
Муз-ТВ, ну это понятно. И какие типы подвержены данному недостатку?

8. /7o/loTeH4I1k (18.12.2016 / 07:42)
frasi, все, которые предполагают что твой "сервер" будет находиться на чужом физическом сервере

9. createsite (18.12.2016 / 07:55)

Т.е., если я купил вдс, то хостер может войти на сервак, не зная пароля от рута? Зачем тогда техподдержка спрашивает пароль от сервака, если надо чтото настроить?

Не думаю, что хостер типа фирствдса будет лазить по чужим скриптам. Второй год им пользуюсь и всё нормально.

URL: https://visavi.net/topics/43279