kdpv - Reuters
Má tá freastalaí ar cíos agat, níl smacht iomlán agat air. Ciallaíonn sé seo gur féidir le daoine oilte go speisialta teacht chuig an óstálaí ag am ar bith agus iarraidh ort aon chuid de do shonraí a sholáthar. Agus tabharfaidh an t-óstaer ar ais iad má dhéantar an t-éileamh ar bhonn foirmiúil de réir an dlí.
I ndáiríre ní mian leat do logaí freastalaí gréasáin nó sonraí úsáideora a sceitheadh chuig aon duine eile. Tá sé dodhéanta cosaint idéalach a thógáil. Tá sé beagnach dodhéanta tú féin a chosaint ó óstach ar leis an hypervisor é agus a sholáthraíonn meaisín fíorúil duit. Ach b'fhéidir go mbeifear in ann na rioscaí a laghdú beagán. Níl criptiú carranna ar cíos chomh húsáideach agus is cosúil ar an gcéad amharc. Ag an am céanna, déanaimis féachaint ar na bagairtí a bhaineann le heastóscadh sonraí ó fhreastalaithe fisiceacha.
Múnla bagairt
De ghnáth, déanfaidh an t-óstaer iarracht leasanna an chliaint a chosaint oiread agus is féidir de réir an dlí. Mura n-iarr an litir ó na húdaráis oifigiúla ach logaí rochtana, ní sholáthróidh an t-óstaí dumpaí de do mheaisíní fíorúla go léir le bunachair shonraí. Ar a laghad níor cheart. Má iarrann siad na sonraí go léir, déanfaidh an t-óstaer na dioscaí fíorúla a chóipeáil leis na comhaid go léir agus ní bheidh a fhios agat faoi.
Beag beann ar an scéal, is é an príomhsprioc atá agat ná an t-ionsaí a dhéanamh ró-dheacair agus costasach. Is gnách go mbíonn trí phríomhrogha bagairtí ann.
Oifigeach
Go minic, seoltar litir pháipéir chuig oifig oifigiúil an óstaigh le ceanglas na sonraí riachtanacha a sholáthar i gcomhréir leis an rialachán ábhartha. Má dhéantar gach rud i gceart, soláthraíonn an t-óstaer na logaí rochtana riachtanacha agus sonraí eile do na húdaráis oifigiúla. De ghnáth ní iarrann siad ort ach na sonraí riachtanacha a sheoladh.
Ó am go chéile, más fíor-riachtanach, tagann ionadaithe ó ghníomhaireachtaí forghníomhaithe an dlí chuig an ionad sonraí go pearsanta. Mar shampla, nuair a bhíonn do fhreastalaí tiomnaithe féin agat agus ní féidir sonraí a fháil uaidh sin ach go fisiciúil.
I ngach tír, teastaíonn fianaise chun rochtain a fháil ar mhaoin phríobháideach, cuardaigh agus gníomhaíochtaí eile a dhéanamh go bhféadfadh faisnéis thábhachtach a bheith sna sonraí chun coir a imscrúdú. Ina theannta sin, tá gá le barántas cuardaigh arna fhorghníomhú de réir na rialachán go léir. D’fhéadfadh go mbeadh nuances ann a bhaineann le peculiarities na reachtaíochta áitiúil. Is é an rud is mó a chaithfidh tú a thuiscint ná má tá an cosán oifigiúil i gceart, ní ligfidh ionadaithe an ionaid sonraí do dhuine ar bith dul thar an mbealach isteach.
Ina theannta sin, i bhformhór na dtíortha ní féidir leat trealamh reatha a tharraingt amach. Mar shampla, sa Rúis, go dtí deireadh na bliana 2018, de réir Airteagal 183 den Chód um Nós Imeachta Coiriúil de Chónaidhm na Rúise, cuid 3.1, ráthaíodh gur le linn urghabháil, rinneadh urghabháil meán stórála leictreonach leis an rannpháirtíocht. de speisialtóir. Ar iarratas ó úinéir dlíthiúil na meán stórála leictreonaí a urghabhadh nó úinéir na faisnéise atá orthu, déanann an speisialtóir atá rannpháirteach san urghabháil, i láthair finnéithe, faisnéis a chóipeáil ó na meáin stórála leictreonaigh a urghabhadh chuig meáin stórála leictreonacha eile.
Ansin, ar an drochuair, baineadh an pointe seo as an alt.
Rúnda agus neamhoifigiúil
Is é seo críoch gníomhaíochta cheana féin ag gcomrádaithe sainoilte ón NSA, FBI, MI5 agus eagraíochtaí trí litir eile. Go minic, cuireann reachtaíocht na dtíortha cumhachtaí an-leathan ar fáil do struchtúir dá leithéid. Ina theannta sin, bíonn cosc reachtach beagnach i gcónaí ar aon nochtadh díreach nó indíreach ar fhíoras an chomhair le gníomhaireachtaí forghníomhaithe an dlí den sórt sin. Tá cinn den chineál céanna sa Rúis .
I gcás bagairt den sórt sin ar do shonraí, is beagnach cinnte go dtógfar amach iad. Ina theannta sin, i dteannta le hurghabháil shimplí, is féidir úsáid a bhaint as an Arsenal neamhoifigiúil iomlán de chúldoirse, leochaileachtaí náid-lá, eastóscadh sonraí ó RAM do mheaisín fíorúil, agus sólás eile. Sa chás seo, beidh sé d'oibleagáid ar an óstach cúnamh a thabhairt do speisialtóirí forfheidhmithe dlí oiread agus is féidir.
Fostaí neamhscrupallacha
Níl gach duine chomh maith céanna. Féadfaidh duine de riarthóirí an ionaid sonraí cinneadh a dhéanamh airgead breise a dhéanamh agus do shonraí a dhíol. Braitheann tuilleadh forbairtí ar a chumhachtaí agus a rochtain. Is é an rud is measa ná go bhfuil smacht iomlán ag riarthóir a bhfuil rochtain aige ar an gconsól fíorúlaithe ar do mheaisíní. Is féidir leat i gcónaí a ghlacadh pictiúr chomh maith le gach ábhar an RAM agus ansin staidéar a dhéanamh go mall é.
VDS
Mar sin tá meaisín fíorúil agat a thug an t-óstaer duit. Conas is féidir leat criptiú a chur i bhfeidhm chun tú féin a chosaint? Go deimhin, beagnach rud ar bith. Ina theannta sin, d’fhéadfadh fiú freastalaí tiomnaithe duine eile a bheith ina mheaisín fíorúil ina gcuirtear na gléasanna riachtanacha isteach.
Más é tasc an chianchórais ní hamháin sonraí a stóráil, ach roinnt ríomhaireachtaí a dhéanamh, is é an t-aon rogha a bheadh ann oibriú le meaisín neamhiontaofa ná é a chur i bhfeidhm. . Sa chás seo, déanfaidh an córas ríomhaireachtaí gan an cumas a thuiscint cad go díreach atá á dhéanamh aige. Ar an drochuair, tá na forchostais chun criptiúchán den sórt sin a chur chun feidhme chomh hard sin go bhfuil a n-úsáid phraiticiúil teoranta faoi láthair do thascanna an-chúng.
Ina theannta sin, i láthair na huaire nuair a bhíonn an meaisín fíorúil ag rith agus ag déanamh roinnt gníomhartha, tá gach imleabhar criptithe i riocht inrochtana, nó ní bheidh an OS in ann oibriú leo. Ciallaíonn sé seo go bhfuil rochtain agat ar an consól fíorúlaithe, is féidir leat i gcónaí a ghlacadh pictiúr de mheaisín ag rith agus a bhaint as na heochracha go léir ó RAM.
Tá iarracht déanta ag go leor díoltóirí criptiú crua-earraí RAM a eagrú ionas nach mbeidh rochtain ag fiú an t-óstaer ar na sonraí seo. Mar shampla, teicneolaíocht Eisínteachtaí Garda Bogearraí Intel, a eagraíonn réimsí sa spás seoladh fíorúil atá cosanta ó léamh agus scríobh ón taobh amuigh den réimse seo ag próisis eile, lena n-áirítear eithne an chórais oibriúcháin. Ar an drochuair, ní bheidh tú in ann muinín iomlán a bheith agat as na teicneolaíochtaí seo, toisc go mbeidh tú teoranta do do mheaisín fíorúil. Ina theannta sin, tá samplaí réamhdhéanta ann cheana féin don teicneolaíocht seo. Fós féin, níl criptiú meaisíní fíorúla chomh neamhthábhachtach agus a d'fhéadfadh sé a bheith cosúil.
Criptímid sonraí ar VDS
Lig dom a chur in áirithe ar an bpointe boise nach ionann gach rud a dhéanaimid thíos agus cosaint iomlán. Ligfidh an hypervisor duit na cóipeanna riachtanacha a dhéanamh gan an tseirbhís a stopadh agus gan do thabhairt faoi deara.
- Más rud é, arna iarraidh sin, go n-aistríonn an t-óstaer íomhá “fuar” de do mheaisín fíorúil, tá tú sách sábháilte. Is é seo an cás is coitianta.
- Má thugann an t-óstaer léargas iomlán ar mheaisín reatha, tá gach rud dona go leor. Beidh na sonraí go léir suite sa chóras i bhfoirm shoiléir. Ina theannta sin, beifear in ann rummage trí RAM agus tú ag cuardach eochracha príobháideacha agus sonraí comhchosúla.
De réir réamhshocraithe, má d'imscar tú an OS ó íomhá fanaile, níl rochtain fhréamh ag an óstach. Is féidir leat na meáin a shuiteáil i gcónaí leis an íomhá tarrthála agus an focal faire fréimhe a athrú trí thimpeallacht an mheaisín fhíorúil a chrootadh. Ach beidh gá le atosaigh, rud a thabharfar faoi deara. Ina theannta sin, dúnfar gach deighilt criptithe gléasta.
Mar sin féin, mura dtagann imscaradh meaisín fíorúil ó íomhá fanaile, ach ó íomhá réamhullmhaithe, is minic gur féidir leis an óstach cuntas pribhléid a chur leis chun cabhrú le cás éigeandála an chliaint. Mar shampla, pasfhocal fréimhe dearmadta a athrú.
Fiú i gcás pictiúr iomlán, níl gach rud chomh brónach. Ní bhfaighidh ionsaitheoir comhaid criptithe má shuiteálann tú iad ó chianchóras comhaid meaisín eile. Sea, go teoiriciúil, is féidir leat an dumpáil RAM a phiocadh amach agus na heochracha criptithe a bhaint as sin. Ach i gcleachtas nach bhfuil sé seo an-fánach agus tá sé an-dócha go rachaidh an próiseas níos faide ná aistriú comhad simplí.
Ordú carr
Chun ár gcríocha tástála, cuirimid meaisín simplí isteach . Níl mórán acmhainní ag teastáil uainn, mar sin glacfaimid an rogha íoc as an meigeavata agus an trácht a chaitear i ndáiríre. Díreach go leor chun imirt timpeall leis.
Níor éirigh leis an dm-crypt clasaiceach don chríochdheighilt iomlán. De réir réamhshocraithe, tugtar an diosca i bpíosa amháin, le fréamh don chríochdheighilt iomlán. Is bríce ráthaithe go praiticiúil é críochdheighilt ext4 a chrapadh ar cheann fréamh-suite in ionad córas comhaid. Bhain mé triail as) Níor chabhraigh an tambóirín.
Coimeádán criptithe a chruthú
Mar sin, ní dhéanfaimid an deighilt iomlán a chriptiú, ach úsáidfimid coimeádáin criptithe comhaid, eadhon VeraCrypt iniúchta agus iontaofa. Chun ár gcríoch is leor é seo. Ar dtús, déanaimid an pacáiste a tharraingt amach agus a shuiteáil leis an leagan CLI ón láithreán gréasáin oifigiúil. Is féidir leat an síniú a sheiceáil ag an am céanna.
wget https://launchpad.net/veracrypt/trunk/1.24-update4/+download/veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
dpkg -i veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
Anois cruthóimid an coimeádán féin áit éigin inár dteach ionas gur féidir linn é a shuiteáil de láimh nuair a bheidh sé atosaithe. Sa rogha idirghníomhach, socraigh méid an choimeádáin, pasfhocal agus halgartaim criptithe. Is féidir leat an dreoilín sile tírghrá agus an fheidhm hash Stribog a roghnú.
veracrypt -t -c ~/my_super_secretAnois, déanaimis nginx a shuiteáil, mount an coimeádán agus é a líonadh le faisnéis rúnda.
mkdir /var/www/html/images
veracrypt ~/my_super_secret /var/www/html/images/
wget https://upload.wikimedia.org/wikipedia/ru/2/24/Lenna.pngDéanaimis beagán ceart /var/www/html/index.nginx-debian.html chun an leathanach atá ag teastáil a fháil agus is féidir leat é a sheiceáil.
Ceangail agus seiceáil
Tá an coimeádán suite, tá na sonraí inrochtana agus seolta.
Agus seo é an meaisín tar éis atosaigh. Stóráiltear na sonraí go slán i ~/my_super_secret.
Más gá duit é i ndáiríre agus é a bheith ag teastáil uait, is féidir leat an OS iomlán a chriptiú ionas gur gá nascadh trí ssh agus pasfhocal a iontráil nuair a atosaíonn tú. Beidh sé seo leordhóthanach freisin sa chás go dtarraingeofar siar "sonraí fuara". Anseo agus criptiú diosca cianda. Cé go bhfuil sé deacair agus iomarcach i gcás VDS.
Miotal lom
Níl sé chomh héasca sin do fhreastalaí féin a shuiteáil i lárionad sonraí. Seans gur meaisín fíorúil é inneall tiomnaithe duine éigin eile ina n-aistrítear gach feiste. Ach tosaíonn rud éigin suimiúil i dtéarmaí cosanta nuair a bhíonn an deis agat do fhreastalaí fisiceach iontaofa a chur i lárionad sonraí. Anseo is féidir leat úsáid iomlán a bhaint as dm-crypt traidisiúnta, VeraCrypt nó aon chriptiú eile de do rogha féin.
Ní mór duit a thuiscint, má chuirtear criptiú iomlán i bhfeidhm, ní bheidh an freastalaí in ann aisghabháil leis féin tar éis atosaigh. Beidh sé riachtanach an nasc leis an IP-KVM áitiúil, IPMI nó comhéadan eile dá samhail a ardú. Ina dhiaidh sin cuirimid isteach an máistir-eochair de láimh. Breathnaíonn an scéim amhlaidh i dtéarmaí leanúnachais agus lamháltas lochtanna, ach níl aon roghanna speisialta ann má tá na sonraí chomh luachmhar.
Modúl Slándála Crua-earraí NCipher nShield F3
Glacann rogha níos boige leis go bhfuil na sonraí criptithe agus go bhfuil an eochair suite go díreach ar an bhfreastalaí féin i HSM speisialta (Modúl Slándála Crua-earraí). De ghnáth, is feistí an-fheidhmiúla iad seo a sholáthraíonn ní hamháin cripteagrafaíocht crua-earraí, ach tá meicníochtaí acu freisin chun iarrachtaí hackála fisiceacha a bhrath. Má thosaíonn duine ag poking timpeall do fhreastalaí le grinder uillinn, athshocróidh an HSM le soláthar cumhachta neamhspleách na heochracha a stórálann sé ina chuimhne. Gheobhaidh an t-ionsaitheoir an mionra criptithe. Sa chás seo, is féidir leis an atosaigh tarlú go huathoibríoch.
Is rogha i bhfad níos tapúla agus níos daonnúla é eochracha a bhaint ná buama teirmít nó gabhálaí leictreamaighnéadach a ghníomhachtú. I gcás feistí den sórt sin, beidh tú buailte ar feadh tréimhse an-fhada ag do chomharsana ag an raca san ionad sonraí. Thairis sin, i gcás úsáid a bhaint as criptithe ar na meáin féin, taithí agat beagnach aon forchostais. Tarlaíonn sé seo go léir go trédhearcach don OS. Fíor, sa chás seo caithfidh tú muinín a bheith agat as an Samsung coinníollach agus tá súil agam go bhfuil AES256 macánta aige, agus ní an XOR banal.
Ag an am céanna, ní mór dúinn dearmad a dhéanamh go gcaithfidh gach calafort neamhriachtanach a bheith faoi mhíchumas fisiciúil nó go simplí a líonadh le cumaisc. Seachas sin, tugann tú deis d'ionsaitheoirí a chur i gcrích . Má tá PCI Express nó Thunderbolt ag gobadh amach, lena n-áirítear USB lena thacaíocht, tá tú leochaileach. Beidh ionsaitheoir in ann ionsaí a dhéanamh trí na calafoirt seo agus rochtain dhíreach a fháil ar chuimhne le heochracha.
I leagan an-sofaisticiúil, beidh an t-ionsaitheoir in ann ionsaí tosaithe fuar a dhéanamh. Ag an am céanna, ní dhéanann sé ach cuid mhaith de nítrigin leachtach a dhoirteadh isteach i do fhreastalaí, bainfidh sé na bataí cuimhne reoite go garbh agus tógann sé dumpáil uathu leis na heochracha go léir. Go minic, is leor spraeála fuaraithe rialta agus teocht thart ar -50 céim chun ionsaí a dhéanamh. Tá rogha níos cruinne ann freisin. Mura bhfuil luchtú ó ghléasanna seachtracha díchumasaithe agat, beidh algartam an ionsaitheora níos simplí fós:
- Reo bataí cuimhne gan an cás a oscailt
- Ceangail do thiomáint USB flash bootable
- Bain úsáid as fóntais speisialta chun sonraí a bhaint as RAM a tháinig slán ón atosaigh de bharr reo.
Roinn agus riail
Ceart go leor, níl ach meaisíní fíorúla againn, ach ba mhaith liom na rioscaí a bhaineann le sceitheadh sonraí a laghdú ar bhealach éigin.
Féadfaidh tú, i bprionsabal, iarracht a dhéanamh an ailtireacht a athbhreithniú agus stóráil agus próiseáil sonraí a dháileadh thar dhlínsí éagsúla. Mar shampla, tá an t-éadan le heochracha criptithe ón óstach i bPoblacht na Seice, agus tá an t-inneall le sonraí criptithe áit éigin sa Rúis. I gcás iarracht urghabhála caighdeánach, tá sé fíordhóchúil go mbeidh gníomhaireachtaí um fhorghníomhú an dlí in ann é seo a dhéanamh go comhuaineach i ndlínsí éagsúla. Ina theannta sin, cuireann sé seo árachú i bpáirt orainn i gcoinne an scéil maidir le pictiúr a ghlacadh.
Bhuel, nó is féidir leat rogha go hiomlán íon a mheas - criptiú Deireadh go Deireadh. Ar ndóigh, téann sé seo thar raon feidhme na sonraíochta agus ní thugann sé le tuiscint ríomhaireachtaí a dhéanamh ar thaobh an mheaisín iargúlta. Mar sin féin, is rogha breá inghlactha é seo nuair a thagann sé chun sonraí a stóráil agus a shioncronú. Mar shampla, cuirtear é seo i bhfeidhm go han-áisiúil i Nextcloud. Ag an am céanna, ní rachaidh sioncrónú, leagan agus earraí eile ar an bhfreastalaí.
Ar an iomlán
Níl aon chórais atá slán sábháilte. Is é an sprioc go simplí a dhéanamh ar an ionsaí fiú níos mó ná an gnóthachan féideartha.
Is féidir laghdú éigin a dhéanamh ar na rioscaí a bhaineann le rochtain a fháil ar shonraí ar shuíomh fíorúil trí chriptiú agus stóráil ar leith a chomhcheangal le hóstóirí éagsúla.
Rogha iontaofa atá níos mó nó níos lú ná do fhreastalaí crua-earraí féin a úsáid.
Ach ní mór muinín a bheith ag an óstach ar bhealach amháin nó ar bhealach eile. Luíonn an tionscal ar fad air seo.
Foinse: will.com