LINUX.ORG.RU
ФорумAdmin

Сервер, к которому нет доверия

 , ,


0

1

Добрый день.

Так как мой провайдер не хочет выдавать белый ip, возникла идея купить у местного хостера vds/vps, чтоб организовать vpn-сервер. Но к самому хостеру у меня доверия нет.

Собственно вопрос - можно генерировать ключи на другой машине и подсовывать серверу? Или как сделать так, чтоб хостер никак не смог получить доступ к ключам шифрования на сервере?


по идее хостре не может залазить на твой сервак и что то там делать это как виртуалка в vsphere созданая тобой но логин и пароль ты не знаешь, но по закону РФ он может предоставить доступ органам так что думай сам какой трафик будет через тебя идти и поверь тебя быстро отследят если что

srubtsov ()
Ответ на: комментарий от snake266

А причём тут органы. Чаще всего паранойя связана с бизнесом. У тебя проект или разработка программы. Ушлый работник хостера или даже сам хостер как юрлицо может в тихоря ковырять файлики. Воровать разработки да и вообще.

anonymous ()

А зачем на vpn вообще что-то держать? Хочется вешний роутер с реальным ip? Ну так надо его так и использовать. Да и взять vpn можно за пределами благодарной родины. :)

Oleg_Iu ()

Для openvpn развернуть CA можешь хоть где. Только приватный ключ сервера нужен на самом сервере и не скрыть его толком, но это ничего и не даст, т.к. тебе надо доверять хостеру с его каналом интернета.

boowai ★★★★ ()

что значит белый ip? рандомный ip не из-за 100.xx.xx.xx NAT? Так что за провайдер то? Вон у Ростелекома примерно 50/50 что выпадет белый IP при подключении в не загруженные моменты дня. В загруженные час пики шанс 1 к 10 что попадешь не на NAT. Да и вообще ipv4 как бы закончились давно, если твой провайдер организован по принципу шайки банды прокладки между твоим домом и Ростелекома/МТС/Мегафона/Билайна то инфа сотка у них нет белых IP.

bhfq ★★★★★ ()
Ответ на: комментарий от Result-Code

И давно ты в России менял провайдера или видел дома с более чем 1-2 провайдером в нем? Рынок провайдерских услуг давно был поделен. Ровно также как и мусорный и похоронный бизнесы.

bhfq ★★★★★ ()
Ответ на: комментарий от bhfq

В моём случае таких проблем нет (СПб, SkyNet). Правда, на скоростях выше 100 метров/секунду за постоянный белый IP просят денюжку (тем больше, чем выше скорость), однако всё равно дешевле VPS получается.

И да, вполне: по данным 2гис, в моём доме 29 провайдеров доступны (правда, не факт, что на самом деле доступны для физлиц).

Result-Code ()
Ответ на: комментарий от Result-Code

по данным 2гис, в моём доме 29 провайдеров доступны

у тебя в доме установлено 29 пар провайдерских маршрутизаторов? чет я очень в этом сомнваюсь 🙂 skynet, rostelecom и 27 сотовых операторов паразитирующих на одной и той же сотовой вышке.

bhfq ★★★★★ ()
Ответ на: комментарий от bhfq

Да, посмотрел подробнее: там действительно 3 оператора для физлиц только (РТ, SKNT, Домру), и несколько для бизнеса (в доме также есть небольшая торговая точка рядом, как пристройка к высотке).

С другой стороны, вопросов к статическому IP ни у одного из них нет.

P.S. только потом понял фишку про вышку. ;)

Result-Code ()
Последнее исправление: Result-Code (всего исправлений: 1)
Ответ на: комментарий от bhfq

И давно ты в России менял провайдера или видел дома с более чем 1-2 провайдером в нем?

По данным этих ваших интернетов в моем доме 9 провов. От услуг одного из них я давно отказался. Сейчас подключено два из этих 9-ти. 1-2 прова скорее свойственен:
1. Бизнес зданиям, по причине того что владельцы получают с этого, но при упорстве можно подключить прова который отсутствует в этом здании, во всяком случае я проходил истории успеха без особого гемороя.
2. То что раньше называлось кооперативные дома и т.п., забыл новое название. Вот это реально трэшак. Дяденька/тетенька председатель получает с подключенного прова и не пускает других ни под каким соусом. Проходил истории НЕ успеха. Да и от самих провов слышал, что в подобные дома зайти анрил. Причем выдвигают(тетеньки/дяденьки) абсолютно конские условия и даже если ты соглашаешься на них, тебе придумывают следующий квест... типа «перестелите мне крышу тогда пущу» (без шуток, реальная история).

anc ★★★★★ ()
Ответ на: комментарий от Result-Code

Правда, на скоростях выше 100 метров/секунду за постоянный белый IP просят денюжку (тем больше, чем выше скорость), однако всё равно дешевле VPS получается.

Интересно. В ДС, с кем сталкивался, цена за белую статику фиксированная и не зависит от скорости.

anc ★★★★★ ()

Собственно вопрос - можно генерировать ключи на другой машине и подсовывать серверу?

Можно.
Если не секрет, а в чем проблема от того что хостер прочитает ваши файлики?

anc ★★★★★ ()
Ответ на: комментарий от bhfq

Вон у Ростелекома примерно 50/50 что выпадет белый IP при подключении в не загруженные моменты дня. В загруженные час пики шанс 1 к 10 что попадешь не на NAT.

Ростелеком это сферический и ваккуме что ли? Для сведения, RT как и все остальные крупные провы, скупали средних, средние скупали мелких... итого, что в наследство осталось то и досталось.

anc ★★★★★ ()
Ответ на: комментарий от anc

Москва - это внезапно не вся Россия

Сейчас схема новая, в том же соседнем Казани, строят новые дома, во воздуху у них там запрещено кабеля натягивать, только при строительстве закладывать под землю. Как это выглядит - закладывает один Ростелеком, и закладывает он много про запас, дальше у провайдеров выбор либо платить РТ либо все один провайдер монополист даже если в соседнем доме их 3.

Хотя по факту платит в итоге обычный жилец дома. Скажем найти новых 20 абонентов и тогда wifire придет и в этот дом, собирет с них по условных 5 тысяч за подключение и поделится с тем же РТ, удобно, бизнес. Цифры примерные.

bhfq ★★★★★ ()
Последнее исправление: bhfq (всего исправлений: 2)
Ответ на: комментарий от anc

У Скайнета за 400 метров/с статика стоит 200р, за 800 метров/с статика стоит 400р.

В общем то, скорости выдерживаются, так что претензий нет. У меня 400 метров тариф, так как мой 802.11ax нестабильно переваривает скорости выше. А вот статический IP себе отключил, нет железки, которая бы сейчас работала 24/7.

Result-Code ()
Ответ на: комментарий от snake266

Надо шифровать еще оперативную память, защитить кэш и регистры. Такие разработки ведутся всеми производителями, но они еще довольно новые. https://www.vmgu.ru/news/amd-secure-encrypted-virtualization-sev-es-and-vmware-vsphere

И повторю. Зачем хостеру ключ? Создавать подставной сервер vpn смысла ему нет, т.к. он итак контролирует сеть, а тебе только она нужна.

boowai ★★★★ ()

сдампить память, где все лежит в открытом виде, в том числе ключ для люкса, провайдер всегда сможет.

для ядра были патчи, которые хранили ключ для люкса в регистре, но вся остальная память все-равно будет в открытом виде.

s-o ()
Ответ на: Москва - это внезапно не вся Россия от bhfq

Сейчас схема новая, в том же соседнем Казани, строят новые дома, во воздуху у них там запрещено кабеля натягивать, только при строительстве закладывать под землю. Как это выглядит - закладывает один Ростелеком, и закладывает он много про запас, дальше у провайдеров выбор либо платить РТ либо все один провайдер монополист даже если в соседнем доме их 3.

Было время я имел в некотором роде отношение к строительству. Так вот по Станиславскому «не верю», что к новострою закладывают трубы под низкоточку диаметром который целиком оккупирует РТ. И окупирует чем? От что бетоном заливает их? Потому как столько опты это больше на мини ДЦ похоже.

anc ★★★★★ ()
Ответ на: комментарий от anc

Так это нетехническая проблема. Это скорей антимонопольное дело. Да и начинается это с того, что который год

Правительство РФ определило ПАО «Ростелеком» единственным исполнителем осуществляемых Минкомсвязью России в 2021 году закупок ряда услуг

А потом уж левая рука государства (ФАС) не удавит правую (Ростелеком).

https://www.rbc.ru/technology_and_media/05/12/2019/5de8cf9a9a7947f2c36df71c

boowai ★★★★ ()
Последнее исправление: boowai (всего исправлений: 2)
Ответ на: комментарий от Oleg_Iu

Приватный ключ не обязательно должен лежать на сервере

Приватный(полный, «закрытая часть») ключ сервера должен лежать на сервере, а клиента у клиента. Публичный (открытая часть) наоборот. Этим достигается взаимный auth. А если на сервере нет его публичного ключа, то он не может представиться клиенту и тому придется довериться основываясь только на том, что сервер оказался по известному адресу.

У openvpn принято использовать сертификаты(которые по сути публичные ключи), где удостоверяющий центр теоретически независим. Хотя многие ленятся и генерируют все прямо на сервере, т.к. там же комплектный easyrsa, но лучше там сгенерировать только ключ сервера и запрос на сертификат. А заверять его можно и на своей машине, где роль удостоверяющего центра сыграет тот же easyrsa, или если не в консоли, то xca (если лениво, то можно и ключ сервера сгенерировать на своей машине). Т.е. даже не используя схему разделения сервера УЦ и клиентов по разным машинам, а используя вместо ленивой схемы сервер+УЦ и отдельного клиента ленивую схему сервер и отдельный клиент+УЦ, безопасность кажется больше.

boowai ★★★★ ()
Последнее исправление: boowai (всего исправлений: 3)
Ответ на: комментарий от boowai

Приватный(полный, «закрытая часть») ключ сервера должен лежать на сервере, а клиента у клиента.

Буду краток - не должен.

Если полнее, то он должен лежать там, где подписываются хеши. А хеши не обязательно должны подписываться непосредственно на сервере или клиенте.

Oleg_Iu ()
Ответ на: комментарий от Oleg_Iu

Ты всё про УЦ(CA). После (где угодно) генерации ключей и формировании сертификатов нужно чтобы на сервере были его ключ, сертификат с этого ключа и корневой сертификат (точней корневой относительно клиентских).
https://github.com/OpenVPN/openvpn/blob/master/sample/sample-config-files/server.conf

ca ca.crt
cert server.crt
key server.key  # This file should be kept secret

А клиент запрашивает сертификат сервера и доказательство ключа сервера из-за remote-cert-tls server
https://github.com/OpenVPN/openvpn/blob/master/sample/sample-config-files/client.conf
И там соответственно

ca ca.crt
cert client.crt
key client.key

А ещё там такая фигня:

# The server and each client must have
# a copy of this key.
# The second parameter should be '0'
# on the server and '1' on the clients.
tls-auth ta.key 0 # This file is secret

Как и на сервере, дополнительный общий ключ.

boowai ★★★★ ()
Ответ на: комментарий от boowai

Друзья, openvps, как любой другой софт, использующий ключи, замечательно работает с pkcs11 провайдерами. В частности в openvpn, вместо:

cert client.crt
key client.key

указываем в конфиге openvpn.conf или в командной строке с двумя дефисами перед, опции:


pkcs11-providers /usr/lib/my_super_puper-pkcs11.so
pkcs11-id ...id_string...

и спокойно пользуетесь ключами, например, из НЕЭКСПОРТИРУЕМОГО кремния.

Вся остальная суета с публичными ключами, сертификатами, запросами, подписями, происходит уже в реальном мире с нулевым доверием.

Oleg_Iu ()

Можно подсовывать разными путями, или хранить в криптоконтейнерах, но это не сильно поможет от взлома например через эксплоиты или через доступ к вашему хосту провайдера услуг, тем более, в случае использование гипервизоров или облачных технологий, в таких случаях провайдеры имеют полный доступ к данным, ничто не помешает скачать целиком место на хранилище, диск или раздел, используемый вашей ВПСкой, либо войти на ВПСку программными средствами самого гипервизора, итд.

ChAnton ★★ ()
Последнее исправление: ChAnton (всего исправлений: 1)
Ответ на: комментарий от ChAnton

А можно просто поднять ssh-tunnel с использованием ProxyJump, и не городить огород, не беря дурного в голову. :)

PS А ТС надо просто ерундой не заниматься, генерить хост-ключи, как это делают все, и спокойно работать через vps. Если он не доверяет хостеру, то хостер будет и без ключей весь его трафик монитроить.

Oleg_Iu ()
Последнее исправление: Oleg_Iu (всего исправлений: 1)
Ответ на: комментарий от anc

То есть москвичам можно судить за всю россию по одной москве, а мне нельзя? Квартира в новом доме в новом микрорайоне, некоторые дома подключили к тому же wifire да когда жильцы скинулись круглой суммой за то что те пошли к РТ и/или урпавляющей компании на поклон. Еще раз. Кабеля заложены. Тебе никто не дост положить свой кабель даже если это возможно так как все уже шито крыто между компаниями.

Не у всех есть возможность подключить более 1 првоайдера как бы в ваших элитных бизнес районах не казалось. У меня в соседнем доме (170м расстояние) есть wifire(netbynet), во второй половине 2017 году весь РТ кошмарило по вечерами так что даже 3G/4G были быстрее в разы его 2 мбит, видимо усердно внедряли фильтрацию трафика таким образом. В 2019 мы договорились с wifire подключить дом, нашли им 10 клиентов, нужно было получить разрешение от городской администрации, а затем короновирус случился и все заглохло угу.

bhfq ★★★★★ ()
Последнее исправление: bhfq (всего исправлений: 1)
Ответ на: комментарий от bhfq

То есть москвичам можно судить за всю россию по одной москве, а мне нельзя?

Все верно, за мкадом жизни нет :)

Не у всех есть возможность подключить более 1 првоайдера как бы в ваших элитных бизнес районах не казалось.

Вот теперь сужу по ДС. Обычно с точностью до наоборот, в ылитном толкают одного прова по договоренности с ним и других не пускают.

anc ★★★★★ ()
Ответ на: комментарий от anonymous

У тебя проект или разработка программы. Ушлый работник хостера или даже сам хостер как юрлицо может в тихоря ковырять файлики. Воровать разработки да и вообще.

Эм.. Думаю что это быстро теряем смысл, если представить количество этих самых VPS у хостера и количество пользователей. Кому нужен конкретно твой сервер?

Zhbert ★★★★★ ()
Ответ на: комментарий от Oleg_Iu

Не поможет вам ssh туннель в данном случае от слова никак. Это очевидно, если вы конечно хоть что-то понимаете в технологиях безопасности и в технологиях вообще, и тогда дурного в голове не будет, а будет понимание как правильно себя обезопасить.

ChAnton ★★ ()