Насколько безопасно / приватно полное шифрование диска на VPS? [дубликат]
На этот вопрос уже есть ответ здесь:
Принципы безопасности гласят, что если кто-то другой имеет физический доступ к машине, то нет никакой безопасности / конфиденциальности. Мне интересно несколько примеров этого в случае, когда я хочу иметь размещенный виртуальный частный сервер (VPS) с полным шифрованием диска. Это тот вид шифрования, который вам предлагается настроить при установке Ubuntu, где каждый ваш раздел (корневой, домашний, подкачка и т. Д.) Находится в одном большом томе, зашифрованном LUKS.
Предположим, вы не настроили автоматический ввод пароля LUKS на этом VPS (вместо этого вводите его вручную через SSH при каждой перезагрузке, используя творческое решение вроде https://unix.stackexchange.com/questions / 5017 / ssh-to-decrypt-encrypted-lvm-during-headless-server-boot ), чтобы кто-то другой, пытающийся перезагрузить вашу систему, должен был знать пароль.
Каковы риски безопасности или конфиденциальности при использовании такого решения? Могли ли сотрудники VPS-хостинговых компаний или какой-то посредник каким-то образом получить доступ к вашим данным? Конечно, они могут сделать снимок всего вашего сервера в любое время, но для его загрузки им понадобится пароль, так как же они могут получить доступ к тому, что находится внутри образа?
Могли ли они каким-то образом отследить ключи SSH или шифрование пароль?
Поскольку у них есть root-права на физической машине, на которой размещены экземпляры VPS, насколько возможно для них получить root-права на моем VPS?
Могут ли они регистрировать нажатия клавиш, отправленные на VPS по SSH? Если SSH защищает только связь, пока она не будет расшифрована на сервере, тогда смогут ли они увидеть, что вы на самом деле отправляете на сервер?
Я предполагаю, что ущерб будет возможен, когда ваш сервер работает, а не когда он включен выкл, это правильно? Итак, когда сервер запущен (после того, как вы уже ввели пароль LUKS), что они могли сделать? Если они сделают снимок вашей системы, что они могут с этим сделать?
Просто пытаюсь понять, какую безопасность / конфиденциальность я получаю по сравнению с тем, что я не получаю, выполняя полное шифрование диска на сервере, который есть у кого-то другого. физический доступ к (т.е. VPS).
Итак, как они могли получить доступ к тому, что находится внутри образа?
Перехватить часть, в которой вы вводите пароль, записать ее, готово.
Загрузочная сторона должна быть незашифрованной - что-то должно запустить SSH-соединение.
Не думаю, что это легко, но возможно. Они могли сделать дамп памяти виртуальной машины и искать на ней ключи. У вас должны быть некоторые навыки отладки памяти, но вы можете получить ключ таким образом. Полагаю, системные администраторы обычного хостинг-провайдера не обладают этими навыками.