Шифрование файловой системы на VPS?

Question

[mihavxc]

Планирую арендовать средненький VPS(debian) для хостинга пары личных блогов, места под бэкап личных фоток и делюги.



Хочется несколько обезопасить фотки. Правильно ли я понимаю, что владельцы хостинга смогут подключить мой файл-контейнер с ФС к другой виртуалке и посмотреть все содержимое?



При условии, что рутовый доступ только у меня, мне нужно ставить cryptsetup для прозрачного шифрования(чтобы и по ftp/webdav были доступны расшифрованные версии) или есть более простые варианты?

Answer 1

[antivir]

Вряд ли это обезопасит вас от хостера, ибо ничто не мешает ему сделать снимок/копию вашего раздела в тот момент, когда шифрованный раздел/контейнер будет доступен на чтение.

Comments

[mihavxc]

Но расшифрованные данные же будут в оперативке, а в саму систему рутовый доступ будет только у меня.

[antivir]

Если так, то смотрите особенности виртуальных систем, как писали ниже.

[sledopit]

>Но расшифрованные данные же будут в оперативке
Ну так есть же cold boot attack (:

Answer 2

[Влад Животнев]

ru.wikipedia.org/wiki/EncFS
Само собой, не катит, если вы берете VPS на OpenVZ/Jail. Частенько и с Xen есть возможность получить рутовый доступ к гостю. KVM, VMware, Vbox подойдут.

Comments

[mihavxc]

А у меня как раз OpenVZ, спасибо за разъяснение. Ушел курить мануалы на будущее)

Answer 3

[Пума Тайланд]

Сказать честно вас ничто не спасет при желании хостера посмотреть ваши файлы.
Так как рутовый раздел вы все равно не зашифруете.
Берите дедикейт.

Comments

[mihavxc]

Простите мою тупость, а что свой рутовый раздел я не смогу зашифровать, ну как тот же truecrypt полностью шифрует системный раздел.

На самом деле у меня там ничего такого, чтобы я сильно парился по поводу секурности, но все-таки)

[Пума Тайланд]

А как вы будете его шифровать?
Для опенвз это технически не возможно, для ксен или квм я не представляю как зашифровать его, не уверен что загрузчик ксена или квма сможет понять зашифрованный раздел, да и как ввести пароль при запуске впс?

[mihavxc]

А у меня как раз OpenVZ, спасибо за разъяснение. Ушел курить мануалы на будущее)

[Пума Тайланд]

Опенвз вообще не использует блочное устройство по сути, а использует внешнюю файловую систему, за счет этого достигается существенное ускорение работы с файловой системой из за отсутствия прослойки виртуализации.

[Влад Животнев]

Шифровать системный раздел не нужно. Шифровать нужно каталоги с данными. Алсо у моих виртуалок есть VNC, посему не вижу никакой проблемы ввести пароль при загрузке.

В openvz и xen можно зайти в работающую виртуалку рутом. В KVM (с libvirtd) в работающую зайти не получится, а значит и получить доступ к расшифрованным данным.

[Пума Тайланд]

Что мне может помешать подгрузить системный раздел и внести изменения в passwd и зайти рутом?

Answer 4

[xdemon]

Рутовый раздел закриптовать можно при условии что это целиком аппаратная виртуализация и есть доступ к псевдо-KVM. Аппаратная — это KVM, XEN-HVM, VirtualBox, XenServer, ESX/ESXi

Comments

[mihavxc]

А у меня OpenVZ, спасибо за разъяснение. Ушел курить мануалы на будущее)

[xdemon]

если что — смотреть LUKS. Встроенная система шифрования в linux, пользовался не раз на рабочем компьютере и нетбуке — проблем не было.

Answer 5

[afiskon]

Если размещаете фотки на чужой машине — едва ли какое-то шифрование поможет.

Answer 6

[qxfusion]

В случае с OpenVZ почти никак, для остальных гипервизоров (1) ставить ядро с патчами на шифрование RAM (производительность падает в несколько раз) (2) контроль целостности системы (список процессов, диск и т.д.)