ProHoster > بلاګ > اداره > څه وکړئ که چیرې سلیوکي ستاسو کوربه ته راشي

څه وکړئ که چیرې سلیوکي ستاسو کوربه ته راشي

څه وکړئ که چیرې سلیوکي ستاسو کوربه ته راشيkdpv - رویټرز

که تاسو یو سرور کرایه کوئ، نو تاسو په هغې باندې بشپړ کنټرول نلرئ. دا پدې مانا ده چې په هر وخت کې ځانګړي روزل شوي خلک کولی شي کوربه ته راشي او له تاسو څخه وغواړي چې ستاسو کوم معلومات چمتو کړي. او کوربه به دوی بیرته ورکړي که چیرې غوښتنه د قانون سره سم رسمي شي.

تاسو واقعیا نه غواړئ ستاسو د ویب سرور لاګ یا د کارونکي ډیټا بل چا ته لیک شي. د مثالي دفاع جوړول ناممکن دي. دا تقریبا ناممکن دی چې خپل ځان د هغه کوربه څخه خوندي کړئ چې د هایپروایزر مالکیت لري او تاسو ته یو مجازی ماشین چمتو کوي. مګر شاید دا ممکن وي چې خطرونه یو څه کم کړي. د کرایې موټرو کوډ کول هغومره بې ګټې ندي لکه څنګه چې په لومړي نظر کې ښکاري. په ورته وخت کې، راځئ چې د فزیکي سرورونو څخه د معلوماتو استخراج ګواښونه وګورو.

د ګواښ ماډل

د یوې قاعدې په توګه، کوربه به هڅه وکړي چې د قانون له مخې څومره چې ممکنه وي د پیرودونکي ګټې خوندي کړي. که چیرې د رسمي چارواکو لیک یوازې د لاسرسي لاګونو غوښتنه وکړي ، کوربه به ستاسو د ټولو مجازی ماشینونو ډمپونه د ډیټابیسونو سره چمتو نکړي. لږترلږه دا باید نه وي. که دوی د ټولو معلوماتو غوښتنه وکړي، کوربه به د ټولو فایلونو سره مجازی ډیسکونه کاپي کړي او تاسو به یې په اړه نه پوهیږئ.

د سناریو په پام کې نیولو پرته، ستاسو اصلي هدف دا دی چې برید خورا ستونزمن او ګران کړي. معمولا درې اصلي ګواښ انتخابونه شتون لري.

رسمي

ډیری وختونه، یو کاغذ لیک د کوربه رسمي دفتر ته د اړتیا سره لیږل کیږي ترڅو د اړونده مقرراتو سره سم اړین معلومات چمتو کړي. که هر څه په سمه توګه ترسره شوي وي، کوربه رسمي چارواکو ته د لاسرسي لاګ او نور معلومات چمتو کوي. معمولا دوی یوازې تاسو څخه د اړین معلوماتو لیږلو غوښتنه کوي.

کله ناکله، که اړتیا وي، د قانون پلي کونکو ادارو استازي په شخصي توګه د معلوماتو مرکز ته راځي. د مثال په توګه ، کله چې تاسو خپل وقف شوی سرور ولرئ او له هغه ځایه ډاټا یوازې په فزیکي توګه اخیستل کیدی شي.

په ټولو هیوادونو کې، شخصي ملکیت ته السرسی، د لټون او نورو فعالیتونو ترسره کول شواهدو ته اړتیا لري چې ډاټا ممکن د جرم د تحقیق لپاره مهم معلومات ولري. برسېره پردې، د ټولو مقرراتو سره سم د پلټلو امر ته اړتیا ده. کیدای شي د سیمه ایزو قوانینو ځانګړتیاوو پورې اړه ولري. اصلي شی چې تاسو ورته اړتیا لرئ پوهیدل دا دي چې که رسمي لاره سمه وي ، د ډیټا مرکز استازي به اجازه ورنکړي چې څوک د ننوتلو څخه تیر شي.

سربیره پردې ، په ډیری هیوادونو کې تاسو نشئ کولی په ساده ډول د چلولو تجهیزات وباسي. د مثال په توګه، په روسیه کې، د 2018 تر پایه پورې، د روسیې فدراسیون د جزایی اجرااتو قانون 183 مادې، 3.1 برخې سره سم، دا تضمین شوی چې د نیولو په وخت کې، د بریښنایی ذخیرې رسنیو ضبط د ګډون سره ترسره شوی. د یو متخصص څخه. د ضبط شوي الکترونیکي ذخیرې میډیا د قانوني مالک یا په دوی کې د معلوماتو د مالک په غوښتنه ، په ضبط کې برخه اخیستونکی متخصص د شاهدانو په شتون کې ، د نیول شوي بریښنایی ذخیره کولو میډیا څخه نورو بریښنایی ذخیره کولو رسنیو ته معلومات کاپي کوي.

بیا، له بده مرغه، دا ټکی د مقالې څخه لیرې شو.

پټ او غیر رسمي

دا دمخه د NSA، FBI، MI5 او نورو درې لیکو سازمانونو څخه د ځانګړي روزل شوي ملګرو د فعالیت ساحه ده. ډیری وختونه، د هیوادونو قانون د داسې جوړښتونو لپاره خورا پراخ واکونه چمتو کوي. سربیره پردې، د قانون پلي کونکو ادارو سره د همکارۍ واقعیت په مستقیم یا غیر مستقیم افشا کولو باندې تقریبا تل یو مقننه بندیز شتون لري. په روسیه کې ورته ورته دي قانوني نورمونه.

ستاسو معلوماتو ته د داسې ګواښ په صورت کې، دوی به تقریبا یقینا لرې شي. سربیره پردې ، د ساده ضبط سربیره ، د شاته دروازو بشپړ غیر رسمي وسلې ، د صفر ورځې زیانونه ، ستاسو د مجازی ماشین رام څخه د معلوماتو استخراج ، او نورې خوښۍ کارول کیدی شي. په دې حالت کې، کوربه مکلف دی چې د امکان تر حده د قانون پلي کولو متخصصینو سره مرسته وکړي.

بې کفایته کارمند

ټول خلک یو شان ښه نه دي. د معلوماتو مرکز مدیرانو څخه یو ممکن پریکړه وکړي چې اضافي پیسې وګټي او ستاسو معلومات وپلوري. نور پرمختګونه د هغه په ​​واکونو او لاسرسي پورې اړه لري. ترټولو ځورونکی شی دا دی چې یو مدیر چې د مجازی کولو کنسول ته لاسرسی لري ستاسو په ماشینونو بشپړ کنټرول لري. تاسو کولی شئ تل د رام د ټولو مینځپانګو سره یو سنیپ شاټ واخلئ او بیا ورو ورو مطالعه کړئ.

VDS

نو تاسو یو مجازی ماشین لرئ چې کوربه تاسو ته درکوي. تاسو څنګه کولی شئ د ځان ساتنې لپاره کوډ کول پلي کړئ؟ په حقیقت کې، په عملي توګه هیڅ نه. سربیره پردې ، حتی د بل چا وقف شوی سرور ممکن د مجازی ماشین په توګه پای ته ورسیږي چیرې چې اړین وسایل داخل شوي.

که د ریموټ سیسټم دنده یوازې د معلوماتو ذخیره کول نه وي، مګر د ځینې محاسبې ترسره کول وي، نو د بې باوره ماشین سره د کار کولو یوازینۍ لاره به پلي کول وي. هومومورفیک کوډ کول. په دې حالت کې، سیسټم به محاسبه ترسره کړي پرته له دې چې پوه شي چې دا واقعیا څه کوي. له بده مرغه، د دې ډول کوډ کولو پلي کولو لپاره د سر لګښتونه دومره لوړ دي چې د دوی عملي کارول اوس مهال خورا محدود کارونو پورې محدود دي.

برسیره پردې، په اوس وخت کې کله چې مجازی ماشین روان وي او ځینې کړنې ترسره کوي، ټول کوډ شوي حجمونه د لاسرسي وړ حالت کې دي، که نه نو OS به په ساده ډول د دوی سره کار ونه کړي. دا پدې مانا ده چې د مجازی کولو کنسول ته د لاسرسي سره، تاسو کولی شئ تل د چلولو ماشین سنیپ شاټ واخلئ او د رام څخه ټولې کیلي راوباسئ.

ډیری پلورونکو هڅه کړې چې د RAM هارډویر کوډ کول تنظیم کړي ترڅو حتی کوربه دې معلوماتو ته لاسرسی ونلري. د مثال په توګه، د Intel Software Guard Extensions ټیکنالوژي، کوم چې د مجازی پتې ځای کې ساحې تنظیموي چې د نورو پروسو لخوا د دې سیمې څخه بهر د لوستلو او لیکلو څخه خوندي دي، په شمول د عملیاتي سیسټم کرنل. له بده مرغه، تاسو به په دې ټیکنالوژیو بشپړ باور ونلرئ، ځکه چې تاسو به په خپل مجازی ماشین پورې محدود یاست. سربیره پردې، چمتو شوي مثالونه لا دمخه شتون لري بریالی برید د دې ټیکنالوژۍ لپاره. بیا هم، د مجازی ماشینونو کوډ کول هغومره بې معنی ندي لکه څنګه چې ښکاري.

موږ په VDS کې ډاټا کوډ کوو

اجازه راکړئ سمدلاسه ریزرویشن وکړم چې هرڅه چې موږ لاندې کوو د بشپړ محافظت اندازه نه ده. هایپروایزر به تاسو ته اجازه درکړي پرته له دې چې خدمت ودروي او ستاسو له پام کولو پرته اړین کاپيونه جوړ کړئ.

  • که چیرې د غوښتنې سره سم، کوربه ستاسو د مجازی ماشین "سړه" عکس لیږدوي، نو تاسو نسبتا خوندي یاست. دا تر ټولو عام سناریو ده.
  • که کوربه تاسو ته د چلولو ماشین بشپړ سنیپ شاټ درکړي، نو هرڅه خورا خراب دي. ټول معلومات به په سیسټم کې په روښانه بڼه نصب شي. سربیره پردې ، دا به ممکنه وي چې د شخصي کیلي او ورته معلوماتو په لټون کې د رام له لارې رمج وکړئ.

په ډیفالټ ، که تاسو د وینیلا عکس څخه OS ځای په ځای کړی وي ، کوربه د ریښې لاسرسی نلري. تاسو کولی شئ تل د ریسکیو عکس سره میډیا نصب کړئ او د مجازی ماشین چاپیریال په کروټ کولو سره د روټ پاسورډ بدل کړئ. مګر دا به ریبوټ ته اړتیا ولري ، کوم چې به یې په پام کې ونیول شي. برسیره پردې، ټول نصب شوي کوډ شوي برخې به وتړل شي.

په هرصورت، که چیرې د مجازی ماشین ځای پرځای کول د وینیلا عکس څخه نه وي، مګر د مخکې چمتو شوي څخه، نو بیا کوربه کولی شي د پیرودونکي په بیړني حالت کې د مرستې لپاره یو امتیازي حساب اضافه کړي. د مثال په توګه ، د هیر شوي روټ پاسورډ بدلولو لپاره.

حتی د بشپړ سنیپ شاټ په حالت کې، هرڅه دومره غمجن ندي. یو برید کونکی به کوډ شوي فایلونه ترلاسه نکړي که تاسو دا د بل ماشین له ریموټ فایل سیسټم څخه نصب کړي. هو، په تیوري کې، تاسو کولی شئ د رام ډمپ غوره کړئ او له هغه ځایه د کوډ کولو کیلي راوباسئ. مګر په عمل کې دا خورا کوچنی ندی او دا خورا امکان نلري چې پروسه به د ساده فایل لیږد څخه هاخوا وي.

د موټر امر وکړئ

څه وکړئ که چیرې سلیوکي ستاسو کوربه ته راشي

زموږ د ازموینې موخو لپاره، موږ یو ساده ماشین اخلو د سرورونو امر کولو برخه. موږ ډیرو سرچینو ته اړتیا نلرو، نو موږ به د میګاهارتز او ټرافیک لپاره د پیسو ورکولو اختیار په حقیقت کې مصرف کړو. یوازې د شاوخوا لوبې کولو لپاره کافي.

د ټولې برخې لپاره کلاسیک dm-crypt خلاص نه شو. په ډیفالټ ډول، ډیسک په یوه ټوټه کې ورکول کیږي، د ټولې برخې لپاره د روټ سره. په روټ کې نصب شوي د ext4 برخې کمول په عملي ډول د فایل سیسټم پرځای تضمین شوی خښته ده. ما هڅه وکړه) تیمبورین مرسته ونه کړه.

د کریپټو کانټینر رامینځته کول

له همدې امله، موږ به ټوله برخه کوډ نه کړو، مګر د فایل کریپټو کانټینرونه به وکاروو، د بیلګې په توګه پلټل شوي او د باور وړ VeraCrypt. زموږ د موخو لپاره دا کافي دي. لومړی، موږ د رسمي ویب پاڼې څخه د CLI نسخه سره کڅوړه راوباسئ او نصب کړئ. تاسو کولی شئ په ورته وخت کې لاسلیک چیک کړئ.

wget https://launchpad.net/veracrypt/trunk/1.24-update4/+download/veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
dpkg -i veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb

اوس به موږ کانټینر پخپله زموږ په کور کې یو ځای جوړ کړو ترڅو موږ وکولی شو دا په لاسي ډول د ریبوټ پرمهال نصب کړو. په متقابل اختیار کې، د کانټینر اندازه، پټنوم او د کوډ کولو الګوریتم تنظیم کړئ. تاسو کولی شئ د وطن دوستۍ سایفر ګراسشاپر او سټریبوګ هش فنکشن غوره کړئ.

veracrypt -t -c ~/my_super_secret

اوس راځئ چې نګینکس نصب کړو، کانټینر نصب کړئ او د پټو معلوماتو سره ډک کړئ.

mkdir /var/www/html/images
veracrypt ~/my_super_secret /var/www/html/images/
wget https://upload.wikimedia.org/wikipedia/ru/2/24/Lenna.png

راځئ چې لږ څه سم کړو /var/www/html/index.nginx-debian.html د غوښتل شوي پاڼې ترلاسه کولو لپاره او تاسو یې وګورئ.

نښلول او چک کول

څه وکړئ که چیرې سلیوکي ستاسو کوربه ته راشي
کانټینر ایښودل شوی، ډاټا د لاسرسي وړ او لیږل کیږي.

څه وکړئ که چیرې سلیوکي ستاسو کوربه ته راشي
او دلته د ریبوټ وروسته ماشین دی. معلومات په خوندي ډول په ~/my_super_secret کې زیرمه شوي.

که تاسو واقعیا ورته اړتیا لرئ او دا سخت غواړئ ، نو تاسو کولی شئ ټول OS کوډ کړئ نو کله چې تاسو ریبوټ کوئ نو دا د ssh له لارې وصل کیدو او پاسورډ داخلولو ته اړتیا لري. دا به په ساده ډول د "سرد معلوماتو" وتلو سناریو کې هم کافي وي. دلته د dropbear کارولو لپاره لارښوونې او ریموټ ډیسک کوډ کول. که څه هم د VDS په قضیه کې دا ستونزمن او بې ځایه دی.

بې فلزي

دا دومره اسانه نده چې خپل سرور په ډیټا مرکز کې نصب کړئ. د بل چا وقف ممکن یو مجازی ماشین وګرځي چیرې چې ټول وسایل لیږدول کیږي. مګر د محافظت شرایطو کې یو څه په زړه پوري پیل کیږي کله چې تاسو فرصت لرئ خپل باوري فزیکي سرور د ډیټا مرکز کې ځای په ځای کړئ. دلته تاسو کولی شئ دمخه په بشپړ ډول دودیز dm-crypt، VeraCrypt یا ستاسو د خوښې کوم بل کوډ کړئ.

تاسو اړتیا لرئ پوه شئ چې که ټول کوډ کول پلي شي ، نو سرور به ونشي کولی د ریبوټ وروسته پخپله بیرته راستون شي. دا به اړین وي چې سیمه ایز IP-KVM، IPMI یا نورو ورته انٹرفیس سره پیوستون لوړ کړئ. له هغې وروسته موږ په لاسي ډول ماسټر کیلي دننه کوو. دا سکیم د دوام او د غلطۍ زغم له مخې داسې ښکاري، مګر که چیرې معلومات خورا ارزښتناک وي نو کوم ځانګړي بدیلونه شتون نلري.

څه وکړئ که چیرې سلیوکي ستاسو کوربه ته راشي
د NCipher nShield F3 هارډویر امنیت ماډل

یو نرم اختیار داسې انګیرل کیږي چې ډاټا کوډ شوې او کیلي په مستقیم ډول پخپله سرور کې په ځانګړي HSM (د هارډویر امنیت ماډل) کې موقعیت لري. د یوې قاعدې په توګه، دا خورا فعال وسایل دي چې نه یوازې د هارډویر کریپټوګرافي چمتو کوي، بلکې د فزیکي هیک کولو هڅو موندلو لپاره میکانیزمونه هم لري. که څوک ستاسو د سرور شاوخوا د زاویه ګرینډر سره ځړول پیل کړي، HSM د خپلواک بریښنا رسولو سره به هغه کیلي بیا تنظیم کړي چې دا په خپل حافظه کې ساتي. برید کوونکی به کوډ شوی ماین ترلاسه کړي. پدې حالت کې ، ریبوټ په اوتومات ډول پیښ کیدی شي.

د کیلي لرې کول د ترمایټ بم یا بریښنایی مقناطیسي ګرفتار فعالولو په پرتله خورا ګړندي او ډیر انساني اختیار دی. د داسې وسیلو لپاره، تاسو به د ډیټا مرکز کې په ریک کې ستاسو د ګاونډیانو لخوا د ډیر وخت لپاره وهل کیږي. سربیره پردې، د کارولو په صورت کې د TCG اوپل 2 پخپله په رسنیو کې کوډ کول، تاسو په حقیقت کې هیڅ سر نه تجربه کوئ. دا ټول په OS کې په شفاف ډول پیښیږي. ریښتیا ، پدې حالت کې تاسو باید په مشروط سامسنګ باور وکړئ او امید ولرئ چې دا صادق AES256 لري ، نه د بندیز XOR.

په ورته وخت کې، موږ باید هیر نکړو چې ټول غیر ضروري بندرونه باید په فزیکي توګه معیوب شي یا په ساده ډول د مرکب سره ډک شي. که نه، تاسو برید کونکو ته د ترسره کولو فرصت ورکوئ د DMA بریدونه. که تاسو د PCI اکسپریس یا تندربولټ چپک پاتې یاست ، په شمول د دې ملاتړ سره USB ، تاسو زیان منونکي یاست. یو برید کونکی به وکولی شي د دې بندرونو له لارې برید ترسره کړي او د کیلي سره حافظې ته مستقیم لاسرسی ومومي.

په خورا پیچلي نسخه کې، برید کوونکی به وکوالی شي د سړې بوټ برید ترسره کړي. په ورته وخت کې، دا په ساده ډول ستاسو په سرور کې د مایع نایټروجن ښه برخه اچوي، په عمدي توګه منجمد حافظې لرګي لیرې کوي او د ټولو کیليو سره یو ډمپ اخلي. ډیری وختونه ، د یخولو منظم سپری او شاوخوا -50 درجې تودوخې د برید لپاره کافي دي. یو ډیر دقیق اختیار هم شتون لري. که تاسو د بهرني وسیلو څخه بار کول غیر فعال نه کړي ، نو د برید کونکي الګوریتم به خورا ساده وي:

  1. د قضیې خلاصولو پرته د حافظې سټیکونه منجمد کړئ
  2. خپل د بوټ وړ USB فلش ډرایو سره وصل کړئ
  3. د RAM څخه ډیټا لرې کولو لپاره ځانګړي اسانتیاوې وکاروئ چې د یخنۍ له امله له ریبوټ څخه ژوندي پاتې شوي.

تقسیم او فتح کړئ

ښه، موږ یوازې مجازی ماشینونه لرو، مګر زه غواړم یو څه د ډیټا لیک خطرونه کم کړم.
تاسو کولی شئ، په اصولو کې، هڅه وکړئ چې جوړښت بیاکتنه وکړئ او د معلوماتو ذخیره کولو او پروسس کولو په مختلفو صالحیتونو کې توزیع کړئ. د مثال په توګه، د کوډ کولو کیلي سره مخکنی پای په چک جمهوریت کې د کوربه څخه دی، او د کوډ شوي ډیټا سره پس منظر په روسیه کې چیرته دی. د معیاري ضبطي هڅې په صورت کې، دا خورا ناشونې ده چې د قانون پلي کونکي ادارې به وکولی شي دا په مختلفو قضایاوو کې په ورته وخت کې ترسره کړي. برسیره پردې، دا په جزوي توګه موږ ته د سنیپ شاټ اخیستلو سناریو په وړاندې بیمه کوي.

ښه، یا تاسو کولی شئ په بشپړ ډول خالص اختیار په پام کې ونیسئ - له پای څخه تر پایه کوډ کول. البته، دا د مشخصاتو له دائرې څخه بهر دی او د ریموټ ماشین په اړخ کې د محاسبې ترسره کول معنی نلري. په هرصورت، دا په بشپړه توګه د منلو وړ انتخاب دی کله چې د معلوماتو ذخیره کولو او همغږي کولو خبره راځي. د مثال په توګه ، دا په نیکسټ کلاډ کې خورا اسانه پلي کیږي. په ورته وخت کې، همغږي کول، نسخه کول او د سرور اړخ نور سامانونه به نه ځي.

ټول

هیڅ بشپړ خوندي سیسټمونه شتون نلري. هدف یوازې دا دی چې برید د احتمالي ګټې څخه ډیر ارزښت ولري.

په مجازی سایټ کې ډیټا ته د لاسرسي خطرونو کې ځینې کمښت د کوډ کولو او مختلف کوربه توبونو سره جلا ذخیره کولو سره ترلاسه کیدی شي.

یو ډیر یا لږ معتبر اختیار ستاسو د هارډویر سرور کارول دي.

مګر کوربه به لاهم په یوه یا بل ډول باور ولري. ټول صنعت په دې تکیه کوي.

څه وکړئ که چیرې سلیوکي ستاسو کوربه ته راشي

څه وکړئ که چیرې سلیوکي ستاسو کوربه ته راشي

سرچینه: www.habr.com

Add a comment