LINUX.ORG.RU

т.е. дать на гипервизоре некую команду, которая смонтирует ФС гостя хотя бы в режиме только для чтения на наружном хосте?

sanyock ★★
() автор топика
Последнее исправление: sanyock (всего исправлений: 1)
Ответ на: комментарий от dober

да мне просто интересно, как защитить ключи и другое от чтения хостером? luks?

или он может монтировать даже из /dev/mapper/ виртуалки?

sanyock ★★
() автор топика
Последнее исправление: sanyock (всего исправлений: 1)
Ответ на: комментарий от sanyock

из оперативки, наверно, тоже все это легко извлекается на виртуалке XEN/KVM?

решается только аппаратным сервером и то только частично?

sanyock ★★
() автор топика
Ответ на: комментарий от dober

а оперативка?
он поди оттуда сможет прочитать слоты с ключами?

некоторые шифруют swap, оно помогает?

можно ли какой-либо командой временно загнать в swap некоторые программы на выбор?

в SSH и OpenSSL предприняты какие-либо меры по защите от обычного дампа?
например, от XEN core-dump ?

есть ли операционка в которой продумано хранение ключей в оперативке, чтобы делать безопасные шлюзы на VPS с защитой от дампов?

sanyock ★★
() автор топика
Последнее исправление: sanyock (всего исправлений: 2)
Ответ на: комментарий от sanyock

а оперативка?он поди оттуда сможет прочитать слоты с ключами?

Ну если это hvm, то сомнительно. Это же не контейнер.

некоторые шифруют swap, оно помогает?

Помогает

можно ли какой-либо командой временно загнать в swap некоторые программы на выбор?

Ты можешь указать какие именно процессы не складывать в своп.

По последним двум кастуй экспертов по безопасности.

dober
()
Последнее исправление: dober (всего исправлений: 1)
Ответ на: комментарий от sanyock

в SSH и OpenSSL предприняты какие-либо меры по защите от обычного дампа?

А какие тут меры предпримешь? Ключи в любом случае нужно где-то хранить, чтобы ими пользоваться, если не в памяти, то где-то ещё. Были попытки реализовать альтернативные решения (например, https://en.wikipedia.org/wiki/TRESOR), но как-то не взлетело, судя по всему.

безопасные шлюзы на VPS с защитой от дампов

В случае с виртуализацией скрыть какие-либо обрабатываемые данные, будь то память или состояние процессора, от хост-системы не получится впринципе. Можно разве что усложнить задачу поиска ключей в памяти, переделав соответствующее ПО, чтобы оно хранило ключи в каком-то нестандартном виде и менее ожидаемом месте.

С физическим железом несколько проще, на него можно хотя бы поставить датчики вторжения, и своевременно отключить систему / уничтожить ключи. Хотя всё равно остаётся актуальной угроза cold boot атаки в зависимости от особенностей оборудования.

frozen_twilight ★★
()
Ответ на: комментарий от frozen_twilight

С физическим железом несколько проще, на него можно хотя бы поставить датчики вторжения, и своевременно отключить систему / уничтожить ключи.

а как своевременно отключить при выдергивании провода питания?

надо UPS устанавливать внутрь охраняемого периметра? вентилируемого сейфа?

sanyock ★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.