Fiziksel olarak kutuya mı giriyorsunuz? (Bellek ve disk)

Bir VPS'im var. Bölümümü şifreleyebilirdim ama denemedim. Gördüğüm tek SSH anahtarı kendim olsa da, VPS şirketim root şifremi sıfırlayabileceğine inanıyorum. Tüm verilerimle şifrelenmiş olurum encfs. Bir bilgisayar korsanının bir tür erişim encfsalması durumunda, sürücüyü yalnızca şifrem doğru ise bağlayabilir (SSH anahtarları takmaz, yeni parola yanlış bir parola olduğu için kök parolayı sıfırlamak bağlanmaz)

Sorum şu: VPS sunucum kutuma girebilir mi? Fiziksel olarak veriler şifrelenir. Kök kutuyu sıfırlamadan değiştirilebileceğine inanıyorum? Öyleyse, zaten monte edilmiş dosya sistemime erişebilirler mi? İzinsiz başka bir kullanıcı oturum açarsa, kullanıcı ram'a erişmek ve hassas verilere döküm yapmak için bir şeyler yapabilir mi? VPS sunucusu RAM'imin içeriğini kolayca okuyabilir mi?

Not: Bu varsayımsaldır. Büyük müşterilerim varsa ne kadar güvenlik vaat edebileceğimi bilmek istiyorum ve bu aklıma geldi. Evde bir kutuya ev sahipliği yapmamayı ya da destekleyecek boruları tercih etmem.

Genel bir kural olarak, makineden ödün vermek için ihtiyaç duyulan tek şey makineye fiziksel erişimdir. Ne de olsa, makinenin size söylediklerinin doğru olduğuna güveniyorsunuz; fiziksel erişimi olan bir kişi bu güveni geçersiz kılabilir. Fiziksel erişime sahip bir saldırganın teorik olarak herhangi bir şey yapabileceğini düşünün (donanım / ürün yazılımı kök setlerinin kurulumu dahil).

Veriler şifrelenirse, bu iyi bir ilk adımdır, ancak her adımda (birimin şifresini çözmek için kimlik doğrulamanızı girerken vb.) Bilgisayarın size yalan söylememesine güvenirsiniz. Fiziksel makine üzerinde kişisel kontrolünüz olmadığında bu çok daha zordur.

Bazı sorularınız için:

İzinsiz başka bir kullanıcı oturum açarsa, kullanıcı ram'a erişmek ve hassas verilere döküm yapmak için bir şeyler yapabilir mi?

Genel olarak, hayır. Ham bellek erişimi ayrıcalıklı bir işlemdir.

vps sunucusu ramimin içeriğini kolayca okuyabilir mi?

Evet. Sanal ortamda yalıtım, VPS'nin içinde çalıştığı harici işletim ortamı üzerinde hiçbir kontrolünüz olmadığı anlamına gelir. Bu işletim ortamı gerçekten de bunu yapabilir.

Verilerin kullanılabilmesi için şifresi çözülmesi gerektiğinden, çalışma zamanı sırasında şifrelenmemiş bir durumda kullanılabilir.

Sağlayıcının canlı çalışan sisteme sizin bilginiz olmadan istediği zaman erişebileceği gibi davranmalısınız. Bu, diskte beklemede olan verileri, bellekte bulunan verileri (şifre çözme anahtarları gibi) ve hatta gönderdiğiniz herhangi bir tuş vuruşunu (yani, yazılan herhangi bir şifrenin gözlemlenebileceğini ve kaydedilebileceğini varsayın) içerir.

Kötü amaçlı bir barındırma sağlayıcısına karşı güvenli olmanın bir yolu yoktur, nasıl kaçınmaya çalışırsanız çalışın, verilerinize erişebilirler. Birkaç basit örnek:

1. Şifrelenmiş SSH trafiği, ana makine anahtarını ana bilgisayar dosya sisteminden alıp trafiğin şifresini çözen ve SSH sunucunuzla anlaşan bir ortadaki adam olarak yerleştirilerek bulunabilir.
2. Kök dosya sistemini veya ssh ana bilgisayar anahtarını şifrelemek, bir terminalde parolayı girmenizi gerektirir ve terminal sağlayıcı tarafından kontrol edildiğinden, güvenli kabul edilemez.

Bir sunucuya sahip olmanın makul derecede güvenli tek yöntemi, bir kutu satın almak ve onu paylaşılan veya özel bir barındırma ortamında kendi kafesinize koymak, şifreli bir dosya sistemi, güvenilir bir önyükleme aygıtı, kafes üzerinde bir fiziksel kilit ve güvenli oluşturmaktır. konsol erişimi.

Yazılım sürümlerindeki güvenlik sorunları, kilitlenme (fiziksel kilit için) gibi şeyler nedeniyle bunun içinde delikler olabilir.