kdpv - Reuters
Raha manofa mpizara ianao dia tsy manana fahefana feno amin'izany. Midika izany fa amin'ny fotoana rehetra dia afaka manatona ny mpampiantrano ny olona voaofana manokana ary mangataka anao hanome ny angonao. Ary ny mpampiantrano dia hamerina azy ireo raha toa ka ara-dalΓ na ny fangatahana araka ny lalΓ na.
Tena tsy tianao hivoaka any amin'ny olon-kafa ny diarin'ny mpizara tranonkalanao na ny angona mpampiasa anao. Tsy azo atao ny manangana fiarovana tsara indrindra. Saika tsy azo atao ny miaro tena amin'ny mpampiantrano manana ny hypervisor ary manome milina virtoaly ho anao. Fa angamba ho azo atao ny mampihena kely ny risika. Ny fametahana fiara fanofana dia tsy zava-poana tahaka ny hita amin'ny voalohany. Miaraka amin'izany, andeha hojerentsika ny fandrahonana amin'ny fitrandrahana angon-drakitra avy amin'ireo mpizara ara-batana.
Modely fandrahonana
Amin'ny maha-fitsipika, ny mpampiantrano dia hiezaka ny hiaro ny tombontsoan'ny mpanjifa araka izay azo atao araka ny lalΓ na. Raha ny taratasy avy amin'ny manam-pahefana ofisialy ihany no nangataka fidirana amin'ny diary, ny mpampiantrano dia tsy hanome fanariam-pako ny milina virtoaly rehetra misy angona. Farafaharatsiny tsy tokony. Raha mangataka ny angon-drakitra rehetra izy ireo, dia handika ny kapila virtoaly miaraka amin'ny rakitra rehetra ny mpampiantrano ary tsy ho fantatrao izany.
Na inona na inona toe-javatra, ny tanjonao dia ny hahatonga ny fanafihana ho sarotra sy lafo loatra. Matetika misy safidy telo fandrahonana lehibe.
ofisialy
Matetika ny taratasy taratasy dia alefa any amin'ny birao ofisialin'ny mpampiantrano miaraka amin'ny fepetra hanomezana ny angon-drakitra ilaina mifanaraka amin'ny fitsipika mifandraika amin'izany. Raha vita tsara ny zava-drehetra, ny mpampiantrano dia manome ny fidirana ilaina sy ny angona hafa amin'ny manampahefana ofisialy. Matetika izy ireo dia mangataka anao handefa ny angona ilaina.
Indraindray, raha tena ilaina tokoa, dia tonga mivantana any amin'ny foibem-pampahalalam-baovao ny solontenan'ny sampan-draharaha misahana ny fampiharana ny lalΓ na. Ohatra, rehefa manana lohamilina manokana ianao ary ny angona avy any dia tsy azo alaina ara-batana ihany.
Any amin'ny firenena rehetra, ny fahazoana miditra amin'ny fananan'olon-tsotra, ny fanaovana fikarohana ary ny hetsika hafa dia mitaky porofo fa mety ahitana fampahalalana manan-danja amin'ny fanadihadiana momba ny heloka bevava ny angon-drakitra. Fanampin'izany, ilaina ny didy fikarohana natao mifanaraka amin'ny fepetra rehetra. Mety misy ny nuance mifandraika amin'ny mampiavaka ny lalΓ na eo an-toerana. Ny zava-dehibe tokony ho takatrao dia ny hoe raha marina ny lalana ofisialy dia tsy hamela na iza na iza handalo ny fidirana ny solontenan'ny data center.
Ankoatra izany, any amin'ny ankamaroan'ny firenena dia tsy afaka misintona fotsiny ny fitaovana mihazakazaka ianao. Ohatra, any Rosia, hatramin'ny faran'ny taona 2018, araka ny andininy faha-183 ao amin'ny Fehezan-dalΓ na momba ny heloka bevava ao amin'ny Federasiona Rosiana, fizarana 3.1, dia azo antoka fa nandritra ny fisamborana dia natao ny fisamborana ny haino aman-jery fitahirizana elektronika miaraka amin'ny fandraisana anjara. an'ny manampahaizana manokana. Noho ny fangatahan'ny tompon'andraikitra ara-dalΓ na ireo haino aman-jery fitahirizana elektronika nosamborina na ny tompon'ny vaovao voarakitra ao aminy, ny manam-pahaizana manokana mandray anjara amin'ny fisamborana, eo anatrehan'ny vavolombelona, ββdia mandika ny vaovao avy amin'ny haino aman-jery fitahirizana elektronika nosamborina mankany amin'ny haino aman-jery elektronika hafa.
Avy eo, indrisy, nesorina tao amin'ilay lahatsoratra io hevitra io.
Tsiambaratelo ary tsy ofisialy
Izany dia efa faritry ny asan'ny mpiara-miofana manokana avy amin'ny NSA, FBI, MI5 ary fikambanana telo-taratasy hafa. Matetika indrindra, ny lalΓ na ao amin'ny firenena dia manome fahefana lehibe ho an'ny rafitra toy izany. Fanampin'izany, saika misy foana ny fandrarana ataon'ny mpanao lalΓ na amin'ny fampahafantarana mivantana na ankolaka ny tena fisian'ny fiaraha-miasa amin'ireo sampan-draharaha misahana ny fampiharana ny lalΓ na. Misy toy izany koa any Rosia .
Raha misy fandrahonana toy izany amin'ny angon-drakitrao dia azo antoka fa hesorina izy ireo. Ankoatr'izay, ankoatry ny fisamborana tsotra dia azo ampiasaina ny fitaovam-piadiana tsy ofisialy an'ny backdoor, ny vulnerability aotra andro, ny fitrandrahana data avy amin'ny RAM an'ny milina virtoaly, ary ny hafaliana hafa. Amin'ity tranga ity, ny mpampiantrano dia tsy maintsy manampy ireo manam-pahaizana manokana momba ny fampiharana ny lalΓ na araka izay azo atao.
Mpiasa tsy manaja
Tsy ny olona rehetra no mahay tsara. Ny iray amin'ireo mpitantana foibe data dia mety hanapa-kevitra ny hahazo vola fanampiny sy hivarotra ny angonao. Miankina amin'ny heriny sy ny fidirany ny fivoarana fanampiny. Ny zavatra mahasosotra indrindra dia ny mpitantana manana fidirana amin'ny console virtoaly dia mifehy tanteraka ny milinanao. Azonao atao foana ny maka sary miaraka amin'ny atiny rehetra ao amin'ny RAM ary avy eo mandalina tsikelikely izany.
VDS
Noho izany dia manana milina virtoaly nomen'ny mpampiantrano anao ianao. Ahoana no ahafahanao mampihatra encryption mba hiarovana ny tenanao? Raha ny marina, tsy misy na inona na inona. Ankoatr'izay, na ny mpizara voatokana ho an'ny olon-kafa aza dia mety hiafara ho milina virtoaly izay hampidirana ireo fitaovana ilaina.
Raha ny asan'ny rafitra lavitra dia tsy ny fitahirizana angon-drakitra fotsiny, fa ny fanaovana kajy sasany, ny hany safidy hiasa amin'ny milina tsy itokisana dia ny fampiharana. . Amin'ity tranga ity, ny rafitra dia hanao kajy raha tsy misy ny fahafahana mahazo izay tena ataony. Indrisy anefa, ny vola lany amin'ny fampiharana ny fanafenana toy izany dia avo loatra ka ny fampiasana azo ampiharina amin'izao fotoana izao dia voafetra amin'ny asa tena tery.
Fanampin'izay, amin'izao fotoana izao rehefa mandeha ny milina virtoaly ary manao hetsika sasany, dia ao anatin'ny fanjakana azo idirana daholo ny boky voatahiry, raha tsy izany dia tsy ho afaka hiara-miasa aminy fotsiny ny OS. Midika izany fa manana fidirana amin'ny console virtoaly ianao dia afaka maka sary amin'ny milina mihazakazaka ary manala ny fanalahidy rehetra amin'ny RAM.
Mpivarotra maro no nanandrana nandamina ny encryption hardware an'ny RAM ka na ny mpampiantrano aza dia tsy mahazo miditra amin'ity data ity. Ohatra, ny teknolojia Intel Software Guard Extensions, izay mandamina faritra ao amin'ny habaka adiresy virtoaly izay voaaro amin'ny famakiana sy fanoratana avy any ivelan'ity faritra ity amin'ny alΓ lan'ny dingana hafa, anisan'izany ny kernel rafitra fandidiana. Mampalahelo fa tsy ho afaka hatoky tanteraka ireo teknolojia ireo ianao, satria ho voafetra amin'ny milina virtoaly anao. Ankoatra izany, efa misy ny ohatra efa vita ho an'ity teknolojia ity. Na izany aza, ny fanafenana milina virtoaly dia tsy misy dikany araka ny mety ho hita.
Manao encryption ny angona amin'ny VDS izahay
MamelΓ ahy hanao famandrihana avy hatrany fa ny zavatra rehetra ataontsika etsy ambany dia tsy mitovitovy amin'ny fiarovana tanteraka. Ny hypervisor dia hamela anao hanao kopia ilaina nefa tsy miato ny serivisy ary tsy voamarikao.
- Raha toa ka mamindra sary "mangatsiaka" amin'ny milina virtoaly anao ny mpampiantrano, dia azo antoka fa azo antoka ianao. Ity no scenario mahazatra indrindra.
- Raha manome sary feno momba ny milina mandeha ny mpampiantrano anao, dia ratsy ny zava-drehetra. Ny angon-drakitra rehetra dia hapetraka ao amin'ny rafitra amin'ny endrika mazava. Ho fanampin'izay, azo atao ny mamakivaky ny RAM amin'ny fitadiavana fanalahidy manokana sy data mitovy.
Amin'ny alΓ lan'ny default, raha nametraka ny OS avy amin'ny sary lavanila ianao dia tsy manana fidirana amin'ny fakany ny mpampiantrano. Azonao atao foana ny mametraka ny haino aman-jery miaraka amin'ny sary famonjena ary manova ny tenimiafina fototra amin'ny alΓ lan'ny chrooting ny tontolon'ny milina virtoaly. Fa izany dia mitaky reboot, izay ho tsikaritra. Fanampin'izay, hikatona avokoa ny fizarazarana voapetaka rehetra.
Na izany aza, raha tsy avy amin'ny sary lavanila ny fametrahana milina virtoaly, fa avy amin'ny efa nomanina mialoha, dia matetika ny mpampiantrano dia afaka manampy kaonty manokana hanampy amin'ny toe-javatra maika amin'ny mpanjifa. Ohatra, hanova ny tenimiafina root hadino.
Na dia amin'ny sary feno aza dia tsy mampalahelo ny zava-drehetra. Ny mpanafika iray dia tsy hahazo rakitra miafina raha ampidirinao amin'ny rafi-drakitra lavitra an'ny milina hafa. Eny, amin'ny teoria, azonao atao ny maka ny fanariana RAM ary manala ny fanalahidin'ny encryption avy eo. Saingy amin'ny fampiharana dia tsy dia kely loatra izany ary tsy dia azo inoana loatra fa ny dingana dia hihoatra ny famindrana rakitra tsotra.
Manafatra fiara

Ho an'ny tanjona andrana dia maka milina tsotra izahay . Tsy mila loharanon-karena be dia be izahay, ka handray ny safidy handoavana ny megahertz sy ny fifamoivoizana tena lany. Ampy hilalaovana fotsiny.
Ny dm-crypt mahazatra ho an'ny fisarahana manontolo dia tsy nesorina. Amin'ny alΓ lan'ny default, ny kapila dia omena amin'ny ampahany iray, miaraka amin'ny faka ho an'ny fisarahana manontolo. Ny fampihenana ny fizarazarana ext4 amin'ny fakany dia azo antoka fa biriky azo antoka fa tsy rafitra fichier. Nanandrana aho) Tsy nanampy ny ampongatapaka.
Mamorona container crypto
Noho izany, tsy hanisy encryption ny fizarazarana manontolo izahay, fa hampiasa rakitra crypto container, izany hoe VeraCrypt voamarina sy azo itokisana. Ho an'ny tanjonay dia ampy izany. Voalohany, misintona izahay ary mametraka ny fonosana miaraka amin'ny dikan-teny CLI avy amin'ny tranokala ofisialy. Azonao atao ny manamarina ny sonia amin'ny fotoana iray ihany.
wget https://launchpad.net/veracrypt/trunk/1.24-update4/+download/veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
dpkg -i veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
Amin'izao fotoana izao dia hamorona ny kaontenera any amin'ny toerana iray ao an-tranontsika isika mba hahafahantsika mametraka azy amin'ny tanana rehefa reboot. Ao amin'ny safidy interactive, apetraho ny haben'ny kaontenera, ny tenimiafina ary ny algorithm fanafenana. Azonao atao ny misafidy ny Grasshopper cipher tia tanindrazana sy ny fiasan'ny hash Stribog.
veracrypt -t -c ~/my_super_secret
Andeha isika hametraka nginx, apetaho ny fitoeran-javatra ary fenoy fampahalalana miafina.
mkdir /var/www/html/images
veracrypt ~/my_super_secret /var/www/html/images/
wget https://upload.wikimedia.org/wikipedia/ru/2/24/Lenna.png
Andao amboarina kely ny /var/www/html/index.nginx-debian.html mba hahazoana ny pejy irina ary azonao jerena izany.
Ampifandraiso ary jereo

Apetaka ny kaontenera, azo idirana sy alefa ny angona.

Ary eto ny milina aorian'ny reboot. Ny angon-drakitra dia voatahiry tsara ao amin'ny ~/my_super_secret.
Raha tena mila izany ianao ary maniry mafy azy, dia azonao atao ny manidy ny OS manontolo ka rehefa reboot ianao dia mila mifandray amin'ny ssh sy mampiditra tenimiafina. Ho ampy ihany koa izany amin'ny scenario amin'ny fanesorana tsotra izao ny "data mangatsiaka". Eto ary encryption kapila lavitra. Na dia amin'ny trangan'ny VDS aza dia sarotra sy tafahoatra.
metaly miboridana
Tsy dia mora ny mametraka ny mpizara anao manokana amin'ny foibe data. Mety hivadika ho milina virtoaly izay nafindran'ny fitaovana rehetra natokana ho an'ny olon-kafa. Saingy misy zavatra mahaliana momba ny fiarovana dia manomboka rehefa manana fahafahana hametraka ny mpizara ara-batana azo itokisana ao amin'ny foibe data ianao. Eto ianao dia afaka mampiasa tanteraka ny dm-crypt nentim-paharazana, VeraCrypt na encryption hafa tianao.
Mila takatrao fa raha ampiharina ny fanafenana tanteraka, dia tsy ho tafarina irery ny mpizara aorian'ny famerenana indray. Ilaina ny mampiakatra ny fifandraisana amin'ny IP-KVM eo an-toerana, IPMI na interface hafa mitovy. Aorian'izay dia ampidiro amin'ny tanana ny lakile master. Ny tetika dia toa toy izany koa amin'ny resaka fitohizana sy fandeferana diso, saingy tsy misy safidy manokana raha toa ka sarobidy tokoa ny angon-drakitra.

NCipher nShield F3 Hardware Security Module
Ny safidy malefaka kokoa dia mihevitra fa ny angon-drakitra dia miafina ary ny lakile dia hita mivantana eo amin'ny lohamilina ao amin'ny HSM manokana (Hardware Security Module). Amin'ny maha-fitsipika azy, ireo dia fitaovana tena miasa izay tsy vitan'ny hoe manome kriptografika hardware, fa koa manana rafitra hamantarana ny fikasana hacking ara-batana. Raha misy olona manomboka manodinkodina ny lohamilinao amin'ny fikosoham-bary, ny HSM miaraka amin'ny famatsiana herinaratra tsy miankina dia hamerina ny fanalahidy izay tehiriziny ao amin'ny fitadidiany. Ny mpanafika dia hahazo ny henan-kisoa misy miafina. Amin'ity tranga ity, ny reboot dia mety hitranga ho azy.
Ny fanesorana ny fanalahidy dia safidy haingana sy maha-olombelona kokoa noho ny fampandehanana baomba thermite na fisamborana elektromagnetika. Ho an'ny fitaovana toy izany dia hokapohin'ny mpifanolo-bodirindrina aminao mandritra ny fotoana maharitra eo amin'ny fitoeran'ny data center. Ankoatra izany, amin'ny fampiasana encryption amin'ny haino aman-jery, saika tsy misy overhead ianao. Izany rehetra izany dia mitranga mangarahara amin'ny OS. Marina fa amin'ity tranga ity dia tsy maintsy matoky ny Samsung misy fepetra ianao ary manantena fa manana AES256 marina izy, fa tsy XOR banal.
Mandritra izany fotoana izany, tsy tokony hohadinointsika fa ny seranana tsy ilaina rehetra dia tsy maintsy kilemaina ara-batana na feno fitambarana fotsiny. Raha tsy izany, dia manome fahafahana ny mpanafika hanatanteraka . Raha manana PCI Express na Thunderbolt mipetaka ianao, anisan'izany ny USB miaraka amin'ny fanohanana azy, dia marefo ianao. Ny mpanafika dia afaka manao fanafihana amin'ny alalan'ireo seranana ireo ary mahazo fidirana mivantana amin'ny fitadidiana miaraka amin'ny fanalahidy.
Amin'ny dikan-teny be pitsiny, ny mpanafika dia ho afaka hanao fanafihana boot mangatsiaka. Amin'izay fotoana izay ihany koa dia mandrotsaka ampahany betsaka amin'ny azota ranon-javatra ao amin'ny servero izy, manaisotra amin'ny ankapobeny ireo tapa-tadidy mangatsiaka ary manary azy ireo miaraka amin'ny fanalahidy rehetra. Matetika ny tifitra mangatsiaka tsy tapaka sy ny mari-pana manodidina ny -50 degre dia ampy hanaovana fanafihana. Misy safidy marina kokoa koa. Raha toa ka tsy nesorinao ny entana avy amin'ny fitaovana ivelany, dia ho mora kokoa ny algorithm an'ny mpanafika:
- Atsaharo ny kitapo fitadidiana fa tsy manokatra ny vata
- Ampifandraiso amin'ny USB flash drive bootable ianao
- MampiasΓ fitaovana manokana hanesorana ny angona ao amin'ny RAM izay tafavoaka velona tamin'ny famerenana indray noho ny hatsiaka.
Mizara sy manapaka
Ok, milina virtoaly ihany no ananantsika, saingy tiako ny hampihenana ny mety hisian'ny fiparitahan'ny data.
Azonao atao, amin'ny ankapobeny, ny manandrana manavao ny maritrano ary mizara fitahirizana sy fanodinana angon-drakitra amin'ny faritra samihafa. Ohatra, ny frontend misy fanalahidin'ny encryption dia avy amin'ny mpampiantrano ao amin'ny Repoblika Tseky, ary ny backend misy angon-drakitra voatahiry dia any amin'ny toerana iray any Rosia. Amin'ny tranganΓ andrana fisamborana manara-penitra, dia tena tsy azo inoana loatra fa ny sampan-draharahan'ny fampiharana ny lalΓ na dia afaka manatanteraka izany miaraka amin'ny sehatra samihafa. Fanampin'izany, ity dia manome antoka antsika amin'ny ampahany amin'ny scenario amin'ny fakana sary.
Eny, na azonao atao ny mandinika safidy madio tanteraka - End-to-End encryption. Mazava ho azy, izany dia mihoatra noho ny fepetra voafaritra ary tsy midika hoe manao kajy eo amin'ny sisin'ny milina lavitra. Na izany aza, safidy azo ekena tanteraka izany raha ny momba ny fitehirizana sy ny fampifanarahana ny angona. Ohatra, izany dia azo ampiharina amin'ny Nextcloud. Mandritra izany fotoana izany, ny fampifanarahana, ny famoahana ary ny zavatra hafa amin'ny lafiny server dia tsy hiala.
ΠΡΠΎΠ³ΠΎ
Tsy misy rafitra azo antoka tanteraka. Ny tanjona dia ny hahatonga ny fanafihana ho sarobidy kokoa noho ny mety ho tombony.
Ny fampihenana ny loza mety hitranga amin'ny fidirana angon-drakitra amin'ny tranokala virtoaly dia azo atao amin'ny fampifangaroana ny encryption sy ny fitehirizana misaraka amin'ny mpampiantrano samihafa.
Safidy azo antoka kokoa na latsaka dia ny fampiasana ny mpizara hardware anao manokana.
Saingy ny mpampiantrano dia mbola tsy maintsy atokisana amin'ny fomba iray na amin'ny fomba hafa. Miankina amin'izany ny indostria manontolo.
Source: www.habr.com
