kdpv - Reuters
Ti o ba ya olupin kan, lẹhinna o ko ni iṣakoso ni kikun lori rẹ. Eyi tumọ si pe ni eyikeyi akoko awọn eniyan ti o ni ikẹkọ pataki le wa si olutọju ati beere lọwọ rẹ lati pese eyikeyi data rẹ. Ati pe olugbala yoo fun wọn pada ti ibeere naa ba ṣe agbekalẹ ni ibamu si ofin.
Iwọ ko fẹ gaan awọn akọọlẹ olupin wẹẹbu rẹ tabi data olumulo lati jo si ẹnikẹni miiran. Ko ṣee ṣe lati kọ aabo to peye. O fẹrẹ jẹ pe ko ṣee ṣe lati daabobo ararẹ lọwọ olutọju kan ti o ni hypervisor ati pese fun ọ pẹlu ẹrọ foju kan. Ṣugbọn boya o yoo ṣee ṣe lati dinku awọn ewu diẹ. Awọn ọkọ ayọkẹlẹ yiyalo ti paroko kii ṣe asan bi o ṣe dabi ni wiwo akọkọ. Ni akoko kanna, jẹ ki a wo awọn irokeke ti isediwon data lati awọn olupin ti ara.
Awoṣe ewu
Gẹgẹbi ofin, olutọju yoo gbiyanju lati daabobo awọn anfani ti alabara bi o ti ṣee ṣe nipasẹ ofin. Ti lẹta lati ọdọ awọn alaṣẹ osise ba beere awọn iforukọsilẹ iwọle nikan, olutọju ko ni pese idalẹnu ti gbogbo awọn ẹrọ foju rẹ pẹlu awọn apoti isura data. O kere ko yẹ. Ti wọn ba beere fun gbogbo data naa, olutọju naa yoo daakọ awọn disiki foju pẹlu gbogbo awọn faili ati pe iwọ kii yoo mọ nipa rẹ.
Laibikita oju iṣẹlẹ naa, ibi-afẹde akọkọ rẹ ni lati jẹ ki ikọlu naa nira ati gbowolori. Nigbagbogbo awọn aṣayan irokeke akọkọ mẹta wa.
Osise
Ni ọpọlọpọ igba, lẹta iwe ni a fi ranṣẹ si ọfiisi osise ti olutọju pẹlu ibeere lati pese data pataki ni ibamu pẹlu ilana ti o yẹ. Ti ohun gbogbo ba ṣe ni deede, olutọju naa pese awọn iforukọsilẹ iwọle pataki ati data miiran si awọn alaṣẹ osise. Nigbagbogbo wọn kan beere lọwọ rẹ lati firanṣẹ data pataki.
Lẹẹkọọkan, ti o ba jẹ dandan, awọn aṣoju ti awọn ile-iṣẹ agbofinro wa si ile-iṣẹ data ni eniyan. Fun apẹẹrẹ, nigbati o ba ni olupin ifiṣootọ tirẹ ati data lati ibẹ nikan ni a le mu ni ti ara.
Ni gbogbo awọn orilẹ-ede, nini iraye si ohun-ini ikọkọ, ṣiṣe awọn iwadii ati awọn iṣẹ miiran nilo ẹri pe data le ni alaye pataki ninu fun iwadii irufin kan. Ni afikun, iwe-aṣẹ wiwa ti a ṣe ni ibamu pẹlu gbogbo awọn ilana nilo. Awọn nuances le wa ti o ni ibatan si awọn pataki ti ofin agbegbe. Ohun akọkọ ti o nilo lati ni oye ni pe ti ọna osise ba tọ, awọn aṣoju ile-iṣẹ data kii yoo jẹ ki ẹnikẹni kọja ẹnu-ọna.
Pẹlupẹlu, ni ọpọlọpọ awọn orilẹ-ede o ko le fa awọn ohun elo nṣiṣẹ jade nirọrun. Fun apẹẹrẹ, ni Russia, titi di opin ọdun 2018, ni ibamu si Abala 183 ti koodu ti Ilana Ọdaràn ti Russian Federation, apakan 3.1, o ni idaniloju pe lakoko ijagba, imudani ti awọn media ipamọ itanna ni a ṣe pẹlu ikopa pẹlu ikopa. ti alamọja. Ni ibeere ti oniwun ofin ti media ipamọ itanna ti o gba tabi oniwun alaye ti o wa ninu wọn, alamọja ti o kopa ninu ijagba, niwaju awọn ẹlẹri, awọn adakọ alaye lati awọn media ipamọ itanna ti o gba si awọn media ipamọ itanna miiran.
Lẹhinna, laanu, a yọ aaye yii kuro ninu nkan naa.
Asiri ati laigba aṣẹ
Eyi jẹ agbegbe ti iṣẹ ṣiṣe ti awọn ẹlẹgbẹ ikẹkọ pataki lati NSA, FBI, MI5 ati awọn ajọ leta mẹta miiran. Nigbagbogbo, ofin ti awọn orilẹ-ede n pese awọn agbara gbooro pupọ fun iru awọn ẹya. Pẹlupẹlu, o fẹrẹ jẹ nigbagbogbo wiwọle ofin lori eyikeyi ifihan taara tabi aiṣe-taara ti otitọ gidi ti ifowosowopo pẹlu iru awọn ile-iṣẹ agbofinro. Awọn iru kanna wa ni Russia .
Ni iṣẹlẹ ti iru irokeke ewu si data rẹ, wọn yoo fẹrẹ mu jade. Pẹlupẹlu, ni afikun si ijagba ti o rọrun, gbogbo ohun ija laigba aṣẹ ti awọn ile ẹhin, awọn ailagbara ọjọ-odo, isediwon data lati Ramu ti ẹrọ foju rẹ, ati awọn ayọ miiran le ṣee lo. Ni ọran yii, olutọju yoo jẹ dandan lati ṣe iranlọwọ fun awọn alamọja agbofinro bi o ti ṣee ṣe.
Òṣìṣẹ́ aláìṣiṣẹ́mọ́
Kii ṣe gbogbo eniyan ni o dara bakanna. Ọkan ninu awọn alakoso ile-iṣẹ data le pinnu lati ṣe afikun owo ati ta data rẹ. Awọn ilọsiwaju siwaju sii da lori awọn agbara ati wiwọle rẹ. Ohun ti o binu pupọ julọ ni pe oluṣakoso kan ti o ni iraye si console agbara agbara ni iṣakoso pipe lori awọn ẹrọ rẹ. O le nigbagbogbo ya aworan kan pẹlu gbogbo awọn akoonu ti Ramu ati lẹhinna kọ ẹkọ laiyara.
VDS
Nitorinaa o ni ẹrọ foju kan ti olutọju naa fun ọ. Bawo ni o ṣe le ṣe fifi ẹnọ kọ nkan lati daabobo ararẹ? Ni pato, Oba ohunkohun. Pẹlupẹlu, paapaa olupin iyasọtọ ti ẹnikan le pari ni jijẹ ẹrọ foju kan ninu eyiti a ti fi awọn ẹrọ pataki sii.
Ti iṣẹ-ṣiṣe ti eto latọna jijin kii ṣe lati tọju data nikan, ṣugbọn lati ṣe awọn iṣiro diẹ, lẹhinna aṣayan nikan fun ṣiṣẹ pẹlu ẹrọ ti ko ni igbẹkẹle yoo jẹ lati ṣe imuse. . Ni ọran yii, eto naa yoo ṣe awọn iṣiro laisi agbara lati ni oye kini gangan o n ṣe. Laanu, awọn idiyele ti o ga julọ fun imuse iru fifi ẹnọ kọ nkan jẹ giga ti lilo ilowo wọn lọwọlọwọ ni opin si awọn iṣẹ ṣiṣe dín.
Pẹlupẹlu, ni akoko ti ẹrọ foju n ṣiṣẹ ati ṣiṣe diẹ ninu awọn iṣe, gbogbo awọn ipele ti paroko wa ni ipo iraye si, bibẹẹkọ OS kii yoo ni anfani lati ṣiṣẹ pẹlu wọn. Eyi tumọ si pe nini iraye si console agbara agbara, o le ya aworan kan ti ẹrọ ti n ṣiṣẹ nigbagbogbo ki o jade gbogbo awọn bọtini lati Ramu.
Ọpọlọpọ awọn olutaja ti gbiyanju lati ṣeto fifi ẹnọ kọ nkan hardware ti Ramu ki paapaa olugbalejo ko ni iwọle si data yii. Fun apẹẹrẹ, imọ-ẹrọ Awọn amugbooro Ṣọ sọfitiwia Intel, eyiti o ṣeto awọn agbegbe ni aaye adirẹsi foju ti o ni aabo lati kika ati kikọ lati ita agbegbe yii nipasẹ awọn ilana miiran, pẹlu ekuro ẹrọ iṣẹ. Laanu, iwọ kii yoo ni anfani lati gbẹkẹle awọn imọ-ẹrọ wọnyi ni kikun, nitori iwọ yoo ni opin si ẹrọ foju rẹ. Ni afikun, awọn apẹẹrẹ ti a ti ṣetan tẹlẹ wa fun imọ-ẹrọ yii. Sibẹsibẹ, fifipamọ awọn ẹrọ foju ko jẹ asan bi o ti le dabi.
A encrypt data lori VDS
Jẹ ki n ṣe ifiṣura lẹsẹkẹsẹ pe ohun gbogbo ti a ṣe ni isalẹ ko to aabo ni kikun. Hypervisor yoo gba ọ laaye lati ṣe awọn adakọ pataki laisi idaduro iṣẹ naa ati laisi akiyesi rẹ.
- Ti, ti o ba beere, olutọju naa n gbe aworan “tutu” ti ẹrọ foju rẹ, lẹhinna o wa ni ailewu. Eyi ni oju iṣẹlẹ ti o wọpọ julọ.
- Ti olutọju naa ba fun ọ ni aworan kikun ti ẹrọ nṣiṣẹ, lẹhinna ohun gbogbo buru pupọ. Gbogbo data yoo wa ni agesin ninu awọn eto ni ko o fọọmu. Ni afikun, yoo ṣee ṣe lati rummage nipasẹ Ramu ni wiwa awọn bọtini ikọkọ ati data ti o jọra.
Nipa aiyipada, ti o ba lo OS lati aworan fanila kan, olutọju ko ni iwọle gbongbo. O le gbe media nigbagbogbo pẹlu aworan igbala ki o yi ọrọ igbaniwọle gbongbo pada nipa lilọ kiri agbegbe ẹrọ foju. Ṣugbọn eyi yoo nilo atunbere, eyi ti yoo ṣe akiyesi. Pẹlupẹlu, gbogbo awọn ipin fifi ẹnọ kọ nkan yoo wa ni pipade.
Bibẹẹkọ, ti imuṣiṣẹ ẹrọ foju kan ko wa lati aworan fanila, ṣugbọn lati ọkan ti a ti pese tẹlẹ, lẹhinna olutọju le nigbagbogbo ṣafikun akọọlẹ anfani lati ṣe iranlọwọ ni ipo pajawiri ni alabara. Fun apẹẹrẹ, lati yi ọrọ igbaniwọle igbagbe pada.
Paapaa ninu ọran aworan aworan pipe, kii ṣe ohun gbogbo ni ibanujẹ pupọ. Olukọni ko ni gba awọn faili ti paroko ti o ba gbe wọn sori ẹrọ faili latọna jijin ti ẹrọ miiran. Bẹẹni, ni imọran, o le mu idalẹnu Ramu ati jade awọn bọtini fifi ẹnọ kọ nkan lati ibẹ. Ṣugbọn ni iṣe eyi kii ṣe nkan pupọ ati pe ko ṣeeṣe pe ilana naa yoo kọja gbigbe faili ti o rọrun.
Paṣẹ ọkọ ayọkẹlẹ kan
Fun awọn idi idanwo wa, a mu ẹrọ ti o rọrun ninu . A ko nilo awọn ohun elo pupọ, nitorinaa a yoo gba aṣayan ti isanwo fun megahertz ati ijabọ ti o lo ni otitọ. Kan to lati mu ni ayika pẹlu.
Dm-crypt Ayebaye fun gbogbo ipin ko ya kuro. Nipa aiyipada, disiki naa ni a fun ni nkan kan, pẹlu gbongbo fun gbogbo ipin. Dinku ipin ext4 lori ọkan ti o gbe gbongbo jẹ biriki ti o ni idaniloju dipo eto faili kan. Mo gbiyanju) Agbo ko ran.
Ṣiṣẹda a crypto eiyan
Nitorinaa, a kii yoo ṣe ifipamo gbogbo ipin, ṣugbọn yoo lo awọn apoti crypto faili, eyun iṣatunṣe ati igbẹkẹle VeraCrypt. Fun awọn idi wa eyi to. Ni akọkọ, a fa jade ati fi sori ẹrọ package pẹlu ẹya CLI lati oju opo wẹẹbu osise. O le ṣayẹwo ibuwọlu ni akoko kanna.
wget https://launchpad.net/veracrypt/trunk/1.24-update4/+download/veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
dpkg -i veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
Bayi a yoo ṣẹda eiyan funrararẹ ibikan ni ile wa ki a le gbe e pẹlu ọwọ lori atunbere. Ninu aṣayan ibaraenisepo, ṣeto iwọn eiyan, ọrọ igbaniwọle ati awọn algoridimu fifi ẹnọ kọ nkan. O le yan olufẹ orilẹ-ede Grasshopper ati iṣẹ hash Stribog.
veracrypt -t -c ~/my_super_secretBayi jẹ ki a fi nginx sori ẹrọ, gbe apoti naa ki o kun pẹlu alaye aṣiri.
mkdir /var/www/html/images
veracrypt ~/my_super_secret /var/www/html/images/
wget https://upload.wikimedia.org/wikipedia/ru/2/24/Lenna.pngJẹ ki a ṣe atunṣe die-die /var/www/html/index.nginx-debian.html lati gba oju-iwe ti o fẹ ati pe o le ṣayẹwo.
Sopọ ati ṣayẹwo
Eiyan ti wa ni agesin, awọn data ti wa ni wiwọle ati ki o rán.
Ati pe eyi ni ẹrọ lẹhin atunbere. Awọn data ti wa ni ipamọ ni aabo ni ~/my_super_secret.
Ti o ba nilo gaan ati pe o fẹ ni lile, lẹhinna o le encrypt gbogbo OS nitori pe nigba ti o tun atunbere o nilo sisopọ nipasẹ ssh ati titẹ ọrọ igbaniwọle kan. Eyi yoo tun to ni oju iṣẹlẹ ti yiyọkuro “data tutu”. Nibi ati isakoṣo latọna jijin disk. Botilẹjẹpe ninu ọran ti VDS o nira ati laiṣe.
Irin igboro
Ko rọrun pupọ lati fi sori ẹrọ olupin tirẹ ni ile-iṣẹ data kan. Iyasọtọ ẹlomiran le tan lati jẹ ẹrọ foju kan eyiti gbogbo awọn ẹrọ ti wa ni gbigbe. Ṣugbọn nkan ti o nifẹ ni awọn ofin aabo bẹrẹ nigbati o ni aye lati gbe olupin ti ara ti o ni igbẹkẹle si ile-iṣẹ data kan. Nibi o ti le lo dm-crypt ibile ni kikun, VeraCrypt tabi eyikeyi fifi ẹnọ kọ nkan miiran ti o fẹ.
O nilo lati ni oye pe ti fifi ẹnọ kọ nkan lapapọ ti wa ni imuse, olupin naa kii yoo ni anfani lati gba pada funrararẹ lẹhin atunbere. Yoo jẹ pataki lati gbe asopọ pọ si IP-KVM agbegbe, IPMI tabi wiwo iru miiran. Lẹhin eyi a tẹ bọtini titun sii pẹlu ọwọ. Eto naa dabi bẹ-bẹ ni awọn ofin ti ilosiwaju ati ifarada ẹbi, ṣugbọn ko si awọn omiiran pataki ti data naa ba niyelori to.
Ncipher nShield F3 Hardware Aabo Module
Aṣayan rirọ kan dawọle pe data ti paroko ati bọtini naa wa taara lori olupin funrararẹ ni HSM pataki kan (Module Aabo Hardware). Gẹgẹbi ofin, iwọnyi jẹ awọn ẹrọ ti o ṣiṣẹ pupọ ti kii ṣe pese cryptography hardware nikan, ṣugbọn tun ni awọn ilana fun wiwa awọn igbiyanju gige gige ti ara. Ti ẹnikan ba bẹrẹ lilọ kiri ni ayika olupin rẹ pẹlu olutẹ igun kan, HSM pẹlu ipese agbara ominira yoo tun awọn bọtini ti o fipamọ sinu iranti rẹ. Olukọni naa yoo gba ẹran-ara ti paroko naa. Ni idi eyi, atunbere le waye laifọwọyi.
Yiyọ awọn bọtini kuro ni iyara pupọ ati aṣayan eniyan diẹ sii ju ṣiṣiṣẹ bombu igbona kan tabi imuni itanna eletiriki. Fun iru awọn ẹrọ, iwọ yoo lu fun igba pipẹ nipasẹ awọn aladugbo rẹ ni agbeko ni ile-iṣẹ data. Pẹlupẹlu, ninu ọran lilo fifi ẹnọ kọ nkan lori media funrararẹ, o ni iriri fere ko si oke. Gbogbo eyi ṣẹlẹ ni gbangba si OS. Otitọ, ninu ọran yii o ni lati gbẹkẹle Samsung majemu ati nireti pe o ni AES256 ooto, kii ṣe banal XOR.
Ni akoko kanna, a ko gbọdọ gbagbe pe gbogbo awọn ebute oko oju omi ti ko ni dandan gbọdọ jẹ alaabo ti ara tabi nirọrun kun pẹlu yellow. Bibẹẹkọ, o fun awọn ikọlu ni aye lati ṣe . Ti o ba ni PCI Express tabi Thunderbolt duro jade, pẹlu USB pẹlu atilẹyin rẹ, o jẹ ipalara. Olukọni yoo ni anfani lati gbe ikọlu nipasẹ awọn ebute oko oju omi wọnyi ati ni iwọle taara si iranti pẹlu awọn bọtini.
Ni ẹya ti o ni ilọsiwaju pupọ, ikọlu yoo ni anfani lati gbe ikọlu bata tutu kan. Ni akoko kanna, o kan tú ipin ti o dara ti nitrogen olomi sinu olupin rẹ, ni aijọju yọ awọn ọpá iranti tio tutunini ati gba idalẹnu lati ọdọ wọn pẹlu gbogbo awọn bọtini. Nigbagbogbo, sokiri itutu agbaiye deede ati iwọn otutu ti iwọn -50 jẹ to lati gbe ikọlu kan. Aṣayan deede tun wa. Ti o ko ba ni alaabo ikojọpọ lati awọn ẹrọ ita, lẹhinna algoridimu ikọlu yoo rọrun paapaa:
- Di awọn ọpá iranti laisi ṣiṣi ọran naa
- So rẹ bootable USB filasi drive
- Lo awọn ohun elo pataki lati yọ data kuro lati Ramu ti o ye atunbere nitori didi.
Pin ati jọba
O dara, a ni awọn ẹrọ foju nikan, ṣugbọn Emi yoo fẹ lati dinku awọn eewu ti jijo data.
O le, ni ipilẹ, gbiyanju lati ṣe atunyẹwo faaji ati pinpin ibi ipamọ data ati sisẹ kọja awọn sakani oriṣiriṣi. Fun apẹẹrẹ, iwaju iwaju pẹlu awọn bọtini fifi ẹnọ kọ nkan jẹ lati ọdọ oluṣeto ni Czech Republic, ati ẹhin pẹlu data ti paroko wa ni ibikan ni Russia. Ninu ọran ti igbiyanju ijagba boṣewa, ko ṣeeṣe pupọ pe awọn ile-iṣẹ agbofinro yoo ni anfani lati ṣe eyi nigbakanna ni awọn sakani oriṣiriṣi. Pẹlupẹlu, eyi jẹ idaniloju ni apakan kan lodi si oju iṣẹlẹ ti yiya aworan kan.
O dara, tabi o le ronu aṣayan mimọ patapata - fifi ẹnọ kọ nkan Ipari-si-Ipari. Nitoribẹẹ, eyi lọ kọja ipari ti sipesifikesonu ati pe ko tumọ si ṣiṣe awọn iṣiro ni ẹgbẹ ti ẹrọ isakoṣo latọna jijin. Sibẹsibẹ, eyi jẹ aṣayan itẹwọgba pipe nigbati o ba de titoju ati mimuuṣiṣẹpọ data. Fun apẹẹrẹ, eyi jẹ imuse ni irọrun pupọ ni Nextcloud. Ni akoko kanna, amuṣiṣẹpọ, ikede ati awọn ohun rere ẹgbẹ olupin miiran kii yoo lọ.
Lapapọ
Ko si awọn ọna ṣiṣe to ni aabo to pe. Ibi-afẹde ni nìkan lati jẹ ki ikọlu naa ni iye diẹ sii ju ere ti o pọju lọ.
Diẹ ninu awọn eewu ti iraye si data lori oju opo wẹẹbu le ṣee ṣe nipasẹ apapọ fifi ẹnọ kọ nkan ati ibi ipamọ lọtọ pẹlu oriṣiriṣi awọn alejo gbigba.
Aṣayan igbẹkẹle diẹ sii tabi kere si ni lati lo olupin ohun elo tirẹ.
Ṣugbọn olutọju naa yoo tun ni lati ni igbẹkẹle ni ọna kan tabi omiiran. Gbogbo ile-iṣẹ duro lori eyi.
orisun: www.habr.com