Как сделать удалённый шифрованный сервак?

1. Александр (05.12.2016 / 17:05)
Имеется удаленный сервак, а точнее ubunut работающая под xen, доступа к панельки нету.
Реально сделать так что-бы владелец не могу получить доступ к данным?
Пока нашел способ с busybox + dropebear, но не уверено что из под xen нельзя получить доступ. м.б. кто знает?
p.s. Партнёр выделил бесплатно мощный сервак но палить исходники не хочется.

2. /7o/loTeH4I1k (05.12.2016 / 17:33)
LVM, TrueCrypt
Первое создаёт шифрованный раздел, но не факт что сможешь запустить систему без VNC (при загрузке надо вводить пароль)
Второе создаёт шифрованную файловую систему в файлике, и это можно примонтировать в любую пустую папку.

Собственно я думаю TrueCrypt как раз под твои цели, только не забывай бэкапить этот файлик, и слишком большой не создававай (у меня на одном сервере 450GB трукрипта, создавался очень долго, ещё и никуда не переместить щас, даже на локальные бэкапы места нет )))

А так вариантов не слишком много... в основном используют LVM,ZFS,TrueCrypt

3. Александр (05.12.2016 / 19:05)
Смысл от trueCrypt если я не смогу его разлочить удаленно? Вариант про который я писал как раз LVM, но может есть способ проще, так же где то читал что под xen можно root получить если ты владелец.

4. /7o/loTeH4I1k (06.12.2016 / 09:30)
Муз-ТВ, почему это не сможешь? Подключился по SSH, ввёл пароль, папочка примонтировалась.
А вот с LVM будет сложнее, если VNC нет.

Ну вообще, от владельца ноды ты никак не защитишь данные, в контейнер он может входить рутом, соответственно если в это время файлы расшифрованы - доступ к ним есть.

5. Удаленный (06.12.2016 / 09:58)
Т.е., если я купил вдс, то хостер может войти на сервак, не зная пароля от рута? Зачем тогда техподдержка спрашивает пароль от сервака, если надо чтото настроить?

6. Александр (06.12.2016 / 11:50)
anonymouse, не контейнером делать вообще нет смысла, если он уже расшифрован то к нему можно легко подключится. Вот если до загрузки ОС то уже сложнее.

Добавлено через 00:43 сек.
frasi, Это зависит от типа виртуализиации.

7. Удаленный (06.12.2016 / 12:41)
Муз-ТВ, ну это понятно. И какие типы подвержены данному недостатку?

8. /7o/loTeH4I1k (18.12.2016 / 07:42)
frasi, все, которые предполагают что твой "сервер" будет находиться на чужом физическом сервере

9. createsite (18.12.2016 / 07:55)
Т.е., если я купил вдс, то хостер может войти на сервак, не зная пароля от рута? Зачем тогда техподдержка спрашивает пароль от сервака, если надо чтото настроить?
frasi (06.12.16 / 13:58)
Не думаю, что хостер типа фирствдса будет лазить по чужим скриптам. Второй год им пользуюсь и всё нормально.

URL: https://visavi.net/topics/43279