kdpv - Reuters
Idan kun yi hayan uwar garken, to ba ku da cikakken iko akan sa. Wannan yana nufin cewa a kowane lokaci ƙwararrun ƙwararrun mutane za su iya zuwa wurin mai ɗaukar hoto su tambaye ku don samar da kowane bayanan ku. Kuma mai masaukin baki zai mayar musu da su idan an tsara bukatar kamar yadda doka ta tanada.
Lallai ba kwa son rajistan ayyukan sabar gidan yanar gizonku ko bayanan mai amfani su watsa ga wani. Ba shi yiwuwa a gina ingantaccen tsaro. Yana da kusan ba zai yiwu ba don kare kanku daga mai ɗaukar hoto wanda ya mallaki hypervisor kuma yana ba ku injin kama-da-wane. Amma watakila zai yiwu a rage haɗari kaɗan. Rufe motocin haya ba shi da amfani kamar yadda ake gani da farko. A lokaci guda, bari mu dubi barazanar cire bayanai daga sabar ta jiki.
Samfurin barazana
A matsayinka na mai mulki, mai masaukin zai yi ƙoƙari ya kare bukatun abokin ciniki gwargwadon yiwuwar doka. Idan wasiƙar daga hukumomin hukuma ta buƙaci rajistar shiga kawai, mai ɗaukar hoto ba zai ba da jujjuya duk injinan ku tare da bayanan bayanai ba. A kalla bai kamata ba. Idan sun nemi duk bayanan, mai masaukin zai kwafi fayafai masu kama-da-wane tare da duk fayilolin kuma ba za ku sani ba game da shi.
Ba tare da la'akari da yanayin ba, babban burin ku shine sanya harin ya yi wahala da tsada. Yawancin manyan zaɓuɓɓuka uku na barazana.
Official
Mafi sau da yawa, ana aika wasiƙar takarda zuwa ofishin hukuma na mai masaukin baki tare da buƙata don samar da bayanan da suka dace daidai da ƙa'idar da ta dace. Idan an yi komai daidai, mai ɗaukar hoto yana ba da rajistan shiga da ake buƙata da sauran bayanai ga hukumomin hukuma. Yawancin lokaci suna tambayar ku kawai don aika bayanan da ake bukata.
Lokaci-lokaci, idan ya zama dole, wakilan hukumomin tilasta bin doka suna zuwa cibiyar bayanai da kansu. Misali, idan kana da sabar uwar garken da aka keɓe da kuma bayanai daga can za a iya ɗauka kawai ta jiki.
A cikin dukkan ƙasashe, samun damar yin amfani da kadarori masu zaman kansu, gudanar da bincike da sauran ayyuka na buƙatar shaida cewa bayanan na iya ƙunsar muhimman bayanai don binciken wani laifi. Bugu da kari, ana buƙatar garantin bincike da aka aiwatar daidai da duk ƙa'idodi. Ana iya samun nuances masu alaƙa da keɓantattun dokokin gida. Babban abin da kuke buƙatar fahimta shi ne cewa idan hanyar hukuma ta kasance daidai, wakilan cibiyar bayanai ba za su bari kowa ya wuce ƙofar ba.
Bugu da ƙari, a yawancin ƙasashe ba za ku iya fitar da kayan aiki kawai ba. Alal misali, a cikin Rasha, har zuwa karshen 2018, bisa ga Mataki na ashirin da 183 na Code of Criminal Code of Rasha Federation, sashe 3.1, an tabbatar da cewa a lokacin da aka kama, an gudanar da kama da na'urorin ajiya na lantarki tare da sa hannu. na gwani. Bisa bukatar mai shari'a na kafofin watsa labaru na ajiyar lantarki da aka kama ko kuma mai bayanan da ke cikin su, ƙwararrun da ke shiga cikin kamawa, a gaban shaidu, kwafin bayanai daga kafofin watsa labaru na lantarki da aka kama zuwa wasu kafofin watsa labaru na lantarki.
Sa'an nan, da rashin alheri, an cire wannan batu daga labarin.
Sirri da na hukuma
Wannan ya riga ya zama yanki na ayyuka na musamman horar da comrades daga NSA, FBI, MI5 da sauran uku-wasiku kungiyoyin. Mafi sau da yawa, dokokin ƙasashe suna ba da iko mai fa'ida ga irin waɗannan tsarin. Haka kuma, kusan ko da yaushe akwai dokar hana duk wani bayanin kai tsaye ko kai tsaye na haƙiƙanin haɗin kai da irin waɗannan hukumomin tabbatar da doka. Akwai makamantan su a Rasha .
A irin wannan barazana ga bayananku, tabbas za a fitar da su. Bugu da ƙari, ƙari ga kamawa mai sauƙi, ana iya amfani da duk kayan aikin da ba na hukuma ba na bayan gida, rashin lahani na kwana-kwana, cire bayanai daga RAM na na'urar ku, da sauran abubuwan farin ciki. A wannan yanayin, za a wajabta wa mai masaukin baki don taimaka wa ƙwararrun tilasta bin doka gwargwadon yiwuwa.
Ma'aikaci mara mutunci
Ba dukan mutane ne daidai da kyau. Ɗaya daga cikin masu kula da cibiyar bayanai na iya yanke shawarar yin ƙarin kuɗi da sayar da bayanan ku. Ƙarin ci gaba ya dogara da ikonsa da samun dama. Abin da ya fi ban haushi shi ne cewa mai gudanarwa da ke da damar yin amfani da na'ura mai ba da hanya tsakanin hanyoyin sadarwa yana da cikakken iko akan injinan ku. Kuna iya ɗaukar hoto koyaushe tare da duk abubuwan da ke cikin RAM sannan ku yi nazarinsa a hankali.
VDS
Don haka kuna da injin kama-da-wane wanda mai ɗaukar hoto ya ba ku. Ta yaya za ku iya aiwatar da boye-boye don kare kanku? A zahiri, kusan babu komai. Haka kuma, hatta uwar garken da aka keɓe na wani na iya ƙarewa ya zama na'ura mai kama-da-wane wanda aka shigar da na'urorin da suka dace a ciki.
Idan aikin tsarin nesa ba kawai don adana bayanai ba ne, amma don yin wasu ƙididdiga, to, zaɓin kawai don aiki tare da injin da ba a amince da shi ba shine aiwatarwa. . A wannan yanayin, tsarin zai aiwatar da lissafin ba tare da ikon fahimtar ainihin abin da yake yi ba. Abin baƙin ciki shine, kuɗin da ake kashewa don aiwatar da irin wannan ɓoyayyen ɓoyayyen abu ya yi yawa wanda amfanin su na yau da kullun yana iyakance ga ayyuka kunkuntar.
Bugu da ƙari, a lokacin da injin kama-da-wane ke gudana kuma yana aiwatar da wasu ayyuka, duk kundin da aka ɓoye suna cikin yanayi mai sauƙi, in ba haka ba OS ɗin ba zai iya aiki tare da su kawai ba. Wannan yana nufin cewa samun damar yin amfani da na'ura mai ba da hanya tsakanin hanyoyin sadarwa, koyaushe kuna iya ɗaukar hoto na na'ura mai aiki da cire duk maɓallan daga RAM.
Dillalai da yawa sun yi ƙoƙarin tsara ɓoyayyen kayan aikin RAM ta yadda ko da mai ɗaukar hoto ba shi da damar yin amfani da wannan bayanan. Misali, fasaha na Intel Software Guard Extensions, wanda ke tsara wurare a cikin sararin adireshi mai kama-da-wane waɗanda aka kiyaye su daga karantawa da rubutu daga wajen wannan yanki ta wasu matakai, gami da tsarin aiki. Abin takaici, ba za ku iya amincewa da waɗannan fasahohin gaba ɗaya ba, tunda za a iyakance ku ga na'urar ku. Bugu da kari, akwai misalan shirye-shiryen da aka yi don wannan fasaha. Duk da haka, rufaffen injunan kama-da-wane ba shi da ma'ana kamar yadda ake iya gani.
Muna ɓoye bayanai akan VDS
Bari in yi ajiyar wuri nan da nan cewa duk abin da muke yi a ƙasa bai kai cikakkiyar kariya ba. Mai hypervisor zai ba ku damar yin kwafin da suka dace ba tare da dakatar da sabis ɗin ba kuma ba tare da lura da ku ba.
- Idan, bisa buƙata, mai ɗaukar hoto yana canja wurin hoton “sanyi” na injin kama-da-wane, to kuna da lafiya. Wannan shi ne yanayin da aka fi sani.
- Idan mai masaukin baki ya ba ku cikakken hoton inji mai gudana, to komai yayi kyau. Duk bayanai za a saka a cikin tsarin a fili tsari. Bugu da kari, zai yiwu a yi rumma ta hanyar RAM don neman maɓallan sirri da makamantansu.
Ta hanyar tsoho, idan kun tura OS daga hoton vanilla, mai ɗaukar hoto ba shi da tushen tushen. Kuna iya hawa kafofin watsa labarai koyaushe tare da hoton ceto kuma canza tushen kalmar sirri ta chrooting yanayin injin kama-da-wane. Amma wannan zai buƙaci sake yi, wanda za a lura. Ƙari ga haka, za a rufe duk ɓoyayyen ɓoyayyen ɓoyayyen ɓoyayyen ɓoyayyen ɓoyayyen ɓoyayyen ɓoyayyen ɓoyayyen ɓoyayyen ɓoyayyen ɓoyayyen ɓoyayyen ɓoyayyen ɓoyayyen ɓoyayyen ɓoyayyen ɓoyayyen ɓoyayyen ɓoyayyen ɓoyayyen ɓoyayyen ɓoyayyen ɓoyayyen ɓoyayyen ɓoyayyiya.
Duk da haka, idan ƙaddamar da na'ura mai mahimmanci ba ta fito daga hoton vanilla ba, amma daga shirye-shiryen da aka riga aka shirya, sa'an nan mai ɗaukar hoto na iya ƙara yawan asusun gata don taimakawa a yanayin gaggawa a abokin ciniki. Misali, don canza kalmar sirri da aka manta.
Ko da a cikin yanayin cikakken hoto, ba duk abin da ke bakin ciki ba ne. Mai hari ba zai karɓi rufaffiyar fayiloli ba idan kun ɗora su daga tsarin fayil mai nisa na wata na'ura. Ee, a ka'idar, zaku iya fitar da juji na RAM kuma ku cire maɓallan ɓoyewa daga can. Amma a aikace wannan ba ƙaramin abu bane kuma yana da wuya cewa tsarin zai wuce sauƙin canja wurin fayil.
oda mota
Don dalilai na gwaji, muna ɗaukar inji mai sauƙi a ciki . Ba ma buƙatar albarkatu masu yawa, don haka za mu ɗauki zaɓin biyan kuɗin megahertz da zirga-zirgar da aka kashe a zahiri. Kawai ya isa yin wasa da.
dm-crypt na al'ada na gaba dayan bangare bai tashi ba. Ta hanyar tsoho, ana ba da faifai a cikin yanki ɗaya, tare da tushen duka ɓangaren. Rage sashin ext4 akan tushen tushen shine a zahiri tubali mai garanti maimakon tsarin fayil. Na gwada) Tambourine bai taimaka ba.
Ƙirƙirar kwandon crypto
Don haka, ba za mu ɓoye dukkan ɓangaren ba, amma za mu yi amfani da kwantena na crypto fayil, watau VeraCrypt da aka bincika kuma abin dogaro. Don dalilanmu wannan ya wadatar. Da farko, muna cirewa da shigar da kunshin tare da sigar CLI daga gidan yanar gizon hukuma. Kuna iya duba sa hannun a lokaci guda.
wget https://launchpad.net/veracrypt/trunk/1.24-update4/+download/veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
dpkg -i veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
Yanzu za mu ƙirƙiri akwati da kanta a wani wuri a cikin gidanmu domin mu iya hawa shi da hannu bayan sake yi. A cikin zaɓin mu'amala, saita girman akwati, kalmar sirri da algorithms na ɓoyewa. Kuna iya zaɓar ɗan kishin ƙasa Grasshopper da aikin hash Stribog.
veracrypt -t -c ~/my_super_secretYanzu bari mu shigar da nginx, sanya akwati kuma mu cika shi da bayanin sirri.
mkdir /var/www/html/images
veracrypt ~/my_super_secret /var/www/html/images/
wget https://upload.wikimedia.org/wikipedia/ru/2/24/Lenna.pngBari mu ɗan gyara /var/www/html/index.nginx-debian.html don samun shafin da ake so kuma kuna iya duba shi.
Haɗa kuma duba
An ɗora kwantena, ana iya samun damar bayanan kuma an aika.
Kuma ga inji bayan sake yi. Ana adana bayanan cikin amintaccen ~/my_super_secret.
Idan da gaske kuna buƙatar shi kuma kuna son shi hardcore, to zaku iya ɓoye dukkan OS ta yadda lokacin da kuka sake kunnawa yana buƙatar haɗi ta ssh da shigar da kalmar wucewa. Wannan kuma zai wadatar a yanayin cire "bayanan sanyi". nan da kuma boye-boye na nesa. Ko da yake a cikin yanayin VDS yana da wuya kuma mai wuya.
Bare karfe
Ba shi da sauƙi don shigar da uwar garken ku a cikin cibiyar bayanai. Keɓewar wani na iya zama injin kama-da-wane wanda ake canja wurin duk na'urori a ciki. Amma wani abu mai ban sha'awa game da kariya yana farawa lokacin da kake da damar sanya amintaccen uwar garken jiki a cikin cibiyar bayanai. Anan kun riga kun yi amfani da dm-crypt na gargajiya, VeraCrypt ko duk wani ɓoyayyen da kuka zaɓa.
Kuna buƙatar fahimtar cewa idan an aiwatar da ɓoyewa gabaɗaya, uwar garken ba zai iya murmurewa da kanta ba bayan sake kunnawa. Zai zama dole don tayar da haɗin kai zuwa IP-KVM na gida, IPMI ko wani nau'i mai kama da juna. Bayan haka muna shigar da maɓallin maɓalli da hannu. Tsarin ya yi kama da haka dangane da ci gaba da haƙuri da kuskure, amma babu wasu hanyoyi na musamman idan bayanan suna da mahimmanci.
Ncipher nShield F3 Tsarin Tsaro na Hardware
Wani zaɓi mai laushi yana ɗauka cewa an rufaffen bayanan kuma maɓallin yana tsaye kai tsaye akan uwar garken kanta a cikin HSM na musamman (Module Tsaro na Hardware). A matsayinka na mai mulki, waɗannan na'urori ne masu aiki da yawa waɗanda ba wai kawai suna samar da cryptography na hardware ba, har ma suna da hanyoyin gano yunƙurin hacking na jiki. Idan wani ya fara wasa a kusa da sabar ku tare da injin niƙa, HSM tare da samar da wutar lantarki mai zaman kansa zai sake saita maɓallan da yake adanawa a ƙwaƙwalwar ajiyarsa. Wanda ya kai harin zai sami rufaffen mince naman. A wannan yanayin, sake kunnawa na iya faruwa ta atomatik.
Cire maɓalli zaɓi ne mafi sauri da ɗan adam fiye da kunna bam ɗin zafi ko kama mai na'urar lantarki. Don irin waɗannan na'urorin, maƙwabta za su yi muku duka na dogon lokaci a ma'ajin bayanai a cibiyar bayanai. Har ila yau, a cikin yanayin amfani boye-boye a kan kafofin watsa labarai da kanta, ba za ku taɓa samun abin wuce gona da iri ba. Duk wannan yana faruwa a bayyane ga OS. Gaskiya ne, a cikin wannan yanayin dole ne ku amince da yanayin Samsung kuma kuna fatan yana da gaskiya AES256, kuma ba banal XOR ba.
A lokaci guda kuma, kada mu manta cewa duk tashar jiragen ruwa da ba dole ba dole ne su kasance nakasassu ta jiki ko kuma a cika su da fili. In ba haka ba, kuna ba maharan damar yin hakan . Idan kana da PCI Express ko Thunderbolt mai tsayawa, gami da USB tare da tallafin sa, kuna da rauni. Mai kai hari zai iya kai hari ta waɗannan tashoshin jiragen ruwa kuma ya sami damar shiga ƙwaƙwalwar ajiya kai tsaye tare da maɓalli.
A cikin salo mai mahimmanci, maharin zai iya kai harin takalmin sanyi. A lokaci guda, kawai yana zuba wani yanki mai kyau na nitrogen a cikin sabar ku, yana cire daskararrun sandunan ƙwaƙwalwar ajiya kuma yana ɗaukar juji daga gare su tare da duk maɓallan. Sau da yawa, feshin sanyi na yau da kullun da zafin jiki na kusan -50 digiri sun isa don kai hari. Hakanan akwai ingantaccen zaɓi. Idan baku kashe kaya daga na'urorin waje ba, to algorithm na maharin zai zama mafi sauƙi:
- Daskare sandunan ƙwaƙwalwar ajiya ba tare da buɗe akwati ba
- Haɗa kebul na USB ɗinku mai bootable
- Yi amfani da kayan aiki na musamman don cire bayanai daga RAM waɗanda suka tsira daga sake kunnawa saboda daskarewa.
Raba da cin nasara
Ok, muna da injunan kama-da-wane kawai, amma ina so in rage haɗarin zubewar bayanai.
Kuna iya, bisa ƙa'ida, ƙoƙarin sake fasalin gine-gine da rarraba ma'ajin bayanai da sarrafawa a cikin yankuna daban-daban. Misali, gaban gaba tare da maɓallan boye-boye ya fito ne daga mai masaukin baki a cikin Jamhuriyar Czech, kuma bayanan baya tare da rufaffiyar bayanai yana wani wuri a cikin Rasha. A cikin yanayin yunƙurin kamawa, da wuya hukumomin tilasta bin doka su iya aiwatar da hakan a lokaci guda a yankuna daban-daban. Bugu da kari, wannan wani bangare yana tabbatar mana da yanayin daukar hoto.
Da kyau, ko kuna iya yin la'akari da zaɓi mai tsafta gaba ɗaya - ɓoye-ɓoye-zuwa-ƙarshe. Tabbas, wannan ya wuce iyakar ƙayyadaddun ƙayyadaddun bayanai kuma baya nufin yin lissafin a gefen injin nesa. Koyaya, wannan ingantaccen zaɓi ne mai karɓuwa idan ana maganar adanawa da aiki tare da bayanai. Misali, ana aiwatar da wannan cikin dacewa a Nextcloud. A lokaci guda, aiki tare, jujjuyawar da sauran kayan aikin uwar garken ba za su shuɗe ba.
Jimlar
Babu ingantaccen tsarin tsaro. Manufar ita ce kawai a sanya harin ya fi daraja fiye da yuwuwar riba.
Ana iya samun wasu raguwa a cikin haɗarin samun damar bayanai akan rukunin yanar gizo mai kama-da-wane ta hanyar haɗa boye-boye da keɓancewar ajiya tare da masu ɗaukar hoto daban-daban.
Zaɓuɓɓuka mafi girma ko žasa abin dogaro shine amfani da sabar kayan aikin ku.
Amma har yanzu dole ne a amince da mai masaukin baki ɗaya ko wata. Dukan masana'antu sun dogara akan wannan.
source: www.habr.com