LINUX.ORG.RU
ФорумAdmin

Доступ к базе данных Percona 5.7

 , ,


0

1

Всем привет.

Возник такой вопрос. Есть сервер базы данных Percona 5.7 на шаред хостинге. Как я понимаю, админы хостинга имеет доступ к данным в базе данных.

Есть ли какие-либо варианты запретить доступ к содержимому базы данных на шаред хостинге?

В случае с VPS?

Меня просьба не пинать, это вопрос потенциального заказчика.

Спасибо

На шаредхостинге ты гость. Запрещать руту этого сервера ничего не получится как и бесполезно шифровать что-то в базе, ключом, который лежит в ФС на том же хостинге. Если у рута будет жедание получить доступ – он его получит.

BOOBLIK ★★★
()
Последнее исправление: BOOBLIK (всего исправлений: 1)
Ответ на: комментарий от savsoft

А в случае с VPS?

Все что находится на железе «у дяди» может быть ему доступно с разной степенью сложности.

Если же ты даже зашифруешь ФС и будешь вводить пароль при загрузки ОСи ручками, через удаленный доступ, «дядя» сможет перехватить вводимый тобой пароль, сделать снапшот своей VPS и поковыряться в твоих данных.

Если ты внутри VPS создать шифрованый образ диска и будешь его подключать ручкми, «дядя» может подсунуть тебе кастомное ядро, которое будет перехватывать подключение файловой системы и доставать вводимый тобой пароль.

Так что, либо юзай dedicated сервер, либо не храни на хостинге/VPS то, что может быть интересно кому-то заполучить.

iron ★★★★★
()
Ответ на: комментарий от iron

Против dedicated сервер работает отвертка и снятие ssd. Значит в итоге, выбор между собственным админом в своей организации и админами у хостера. Думаю на хостинге таки безопаснее.

Всем спасибо.

savsoft
() автор топика
Ответ на: комментарий от savsoft

Значит в итоге, выбор между собственным админом в своей организации и админами у хостера. Думаю на хостинге таки безопаснее.

Все верно. Но хотя бы у тебя есть возможность безопасно подключиться к серваку и зашифровать данные.

Значит в итоге, выбор между собственным админом в своей организации и админами у хостера.

Собственный админ с паяльником в жопе становится уже не собственным. Так что это тоже нужно учитывать.

iron ★★★★★
()

На шаред, однозначно нет. На VPS тоже нет, можно попытаться усложнить доступ, но это не даст 100% гарантии. VPS это по сути кусок отрезанный от хранилища хостера, также как и память это кусок памяти хостера, это я намекаю, что криптованная fs не спасёт если захотят именно вами заняться.

anc ★★★★★
()
Ответ на: комментарий от iron

либо юзай dedicated сервер

Тоже не вариант. Для того что бы ввести пароль для дешифровки fs надо получить физический доступ к серверу или ipkvm. Первое нереально, никто вас не подпустит. Второе не гарантирует что “ipkvm чей нужно ipkvm”, плюс стоит денег, плюс не всегда возможен ( в смысле сейчас все заняты, вы в очереди пятый, ждите когда освободится)

anc ★★★★★
()
Ответ на: комментарий от anc

Для того что бы ввести пароль для дешифровки fs надо получить физический доступ к серверу или ipkvm.

В случае дедика - не обязательно шифровать корень. Можно шифровать отдельный раздел или диск. И пароль вводить уже после загрузки ОСи по безопасному подключению, который уже сам организовываешь как душе угодно. Об этом была речь в предыдущих сообщениях.

iron ★★★★★
()
Ответ на: комментарий от iron

Можно шифровать отдельный раздел или диск. И пароль вводить уже после загрузки ОСи по безопасному подключению, который уже сам организовываешь как душе угодно. Об этом была речь в предыдущих сообщениях.

А кто вам сказал, что вы вводите пароль куда надо вводите? На каждую хитрую опу найдется... ну вы поняли.

anc ★★★★★
()
Admin