Некая инфа о защите vps от проникновения извне со стороны владельца оборудования?

Question

[tzsjkjauqktud]

Привет! Слышал, крутые сис.админы умеют полностью изолировать рабочее пространство системы от внешнего вмешательства со стороны хостера. Образно говоря - я хочу хостить веб сайт на VPS (или прям выделенный сервер нужен?), но хочу ни в коем случае не допустить возможности вмешательства в ОС со стороны хостинга.
Со стороны внешнего зрителя всё ясно, мне известны его методы получения неправомерного доступа к информации, а вот как не дать заглянуть в мой проект хостеру?
Некоторые знания по части администрирования линуха имею, но здесь не могу собрать воедино требования к ОС.
Вероятнее всего, нужно 1) зашифровать диск, так? VeraCrypt/TrueCrypt/etc
2) может каким-то образом реально пересобрать линух, чтоб в нём не было логина через локальную консоль от слова совсем, а только удалённо по ssh? и останется только круто как-нибудь мониторить все входы на сервер, получая уведомления в телеграм.

3) что делать с возможностью дампа оперативной памяти, в которой в этот прекрасный момент содержится в открытом виде вся ось со свеми сенситив процессами?

4) прошу не засирать меня, мол "да никакому хостеру ты в задницу не сдался", я не мамкин хакир с паранойей и прекрасно без остроумников это знаю))

Интересными мыслями ещё показалось провернуть всё это даже не с самой системой, а с докером, чтоб можно было запускать спокойно контейнер на любой оси и даже имея доступа к оси невозможно было бы получить доступ внутрь контейнера (-ов). Реально ли такое? Хотя это по сути вероятно об одном и том же. Имея доступ к хостовой системе, можно тогда отсниффать момент входа в виртуальную докеровскую с расшифрованным паролем.

Answer 1

[rPman]

Полностью защититься не получится, вон даже 0day уязвимость обнаружили и с использованием secure boot (ключи шифрования в uefi, самоподписанный загрузчик, шифрованные разделы) позволяют подменить загрузчик и украсть у владельца ключи шифрования разделов.

Но можно сделать задачу на столько дорогой, что ею будут заниматься только адресно.
* Лучше держать свои сервисы на полностью доступном вам железе а не виртуалке, так как виртуалка дает нахаляву много возможностей хостеру.
* гипервизор поднять придется самому, чтобы это не сделал хостер, поднять ваш гипервизор в симуляции сложнее, и это можно отследить бенчмарком
* шифрование разделов, даже не обсуждается
* модифицируйте grub и загрузчик в initramfs нетривиальным образом, изменить способ загрузки и контроля системы (имеется в виду загрузка по сети со вводом пароля на шифрованный диск по ssh)
к сожалению загрузчик самая слабая часть защиты, подменив ее на свою (модифицировав вашу) злоумышленник может внедрить в нее стилер паролей, ключей шифрования и прочее, и собственно способ обнаружения его определит стоимость взлома.
Изменив процесс загрузки потребует от атакующего дизассемблировать ваш код, это огромная работа, которую можно еще сильнее усложнить, если каждый раз загрузчик будет новым (обфусифицированным по новому). Само собой файлы initramfs и vmlinuz загружать по сети, нечего им лежать у хостера, всеравно каждый раз они должны быть разные (grub умеет tftp/http, пофиг что нешифрованый канал, тут это не важно).
Дополнительно ввести контроль процессов в памяти в initramfs, если что то изменится (другие размеры областей памяти в /proc/pid/smap например) то бить тревогу/направить по ложному следу.
* если есть возможность, любое включение сервера выплнять только лично (доверенное лицо) с помощью специальной загрузочной флешки (на которой нет всей необходимой информации но которая позволяет подключиться владельцу удаленно и ввести ее, например с ноутбука тут же)
* у amd последних есть какое то шифрование памяти, как раз для виртуалок и защиты от хостера - AMD SEV, так же я видел обсуждение и патчи для qemu в которых шифрование памяти было симулировано - производительность конечно же будет ниже плинтуса но фокус с горячей перезагрузкой с дампом памяти уже не сработает.

Comments

[tzsjkjauqktud]

весьма и весьма ёмко! спасибо!

Answer 2

[Василий Банников]

3) что делать с возможностью дампа оперативной памяти, в которой в этот прекрасный момент содержится в открытом виде вся ось со свеми сенситив процессами?

Ничего.

2) может каким-то образом реально пересобрать линух, чтоб в нём не было логина через локальную консоль от слова совсем, а только удалённо по ssh? и останется только круто как-нибудь мониторить все входы на сервер, получая уведомления в телеграм.

Некоторые хостеры позволяют отключить локальную консоль совсем и оставить только подключение по SSH. Яндекс облако, например.

я не мамкин хакир с паранойей

Про мамкиного хакера хз, но паранойя точно есть)

Интересными мыслями ещё показалось провернуть всё это даже не с самой системой, а с докером, чтоб можно было запускать спокойно контейнер на любой оси и даже имея доступа к оси невозможно было бы получить доступ внутрь контейнера (-ов). Реально ли такое?

Докер - это виртуализация на уровне процессов, так что нет )

Если вы на столько сильно не доверяете провайдерам, то вам надо свой ДЦ строить)

Answer 3

[CityCat4]

а вот как не дать заглянуть в мой проект хостеру?

Никак. Не имея возможности контролировать оборудование, Вы не можете сделать ничего от слова совсем. Имея свой сервак в ДЦ - Вы имеете некоторые возможности, но все будет зависеть от стоимости проекта - чем более привлекателен Ваш проект, тем больше средств на его взлом будет выделено.
На обычном шаред хостинге Вы вообще никто и звать Вас никак - хостер в любое время заходит к Вам в домашку как к себе домой.
На VPS есть некоторые возможности типа шифрования дисков etc - но хостер в любой момент снимает снапшот Вашей машины и не спеша препарирует ее. Средства снятия снапшота работают на уровне гипера, машина их не отследит.
На дедике возможостей еще бльше - от большинства недокакеров уже запросто защититься, остается проблема недоверенной загрузки, но опять же - если стоимость проекта превышает затраты на внедрение в него - проберутся и на дедик.
Стопроцентную гарантию дает только собственная серверная (или ДЦ) с круглосуточным наблюдением и охраной. Что полностью согласуется с обычным моим приницпом - если ты не контролируешь железо - ты не контролируешь ничего.

Answer 4

[Руслан Федосеев]

Задаться вопросом - зачем хостеру заглядывать в ваш проект.
Чтобы ответить на этот вопрос - поработать в ТП хостера и понять, что заглядывать в каждую из тысяч виртуалок - нафиг не надо...

Comments

[CityCat4]

Разумеется не надо и все мы в общем-то равны. Но некоторые равнее - звезды, политические активисты, всяческая зелень (экошизики и прочие) - к ним уже могут и заглянуть. А в ТП тоже люди работают и среди них тоже могут найтись любители "новостей про звезды", экошизики и политические активисты (ну или просто жадные люди, готовые за бабло сделать что угодно)...