История изменений

в продолжение темы защиты от злоумышленников в colocation:

шифрование разделом

для слабенького сервера на базе десктопной материнки без PXE загрузки, наверно, можно сделать следующее:

1) Вклеить модули памяти эпоксидкой с ватой, аналогично заклеить все порты данных (USB, SATA, IDE, PCI и т.п.) на материнке и с обратной стороны в местах пайки тоже и поверх залепить их одноразовыми стикерами. Аналогично заклеить ROM, например CD-ROM от выдвигания, хорошенько приклеить к нему шлейф данных, аналогично HDD

2) Как упоминали в ветке, грузить ядро1 с ROM, цепляться по SSH, автоскриптом проверять целостность среды, потом по SSH доставлять свое ядро2 (с вкомпиленными метками/флагами), передавать ему управление через kexec, еще раз автоскриптом проверять целостность среды, и по флагам ядра то ли правильное ядро2 загрузилось, может быть, по SSH заменять SSHD и SSL библиотеки на свои или копировать статический SSH демон

3) По SSH монтировать криптоконтейнеры, сверять их целостность с эталоном, делать chroot на них, можно заново заполнять их скриптами и запускать нужные сервисы

в продолжение темы защиты от злоумышленников в colocation:

шифрование разделом

для слабенького сервера на базе десктопной материнки без PXE загрузки, наверно, можно сделать следующее:

1) Вклеить модули памяти эпоксидкой с ватой, аналогично заклеить все порты данных (USB, SATA, IDE, PCI и т.п.) на материнке и с обратной стороны в местах пайки тоже и поверх залепить их одноразовыми стикерами. Аналогично заклеить ROM, например CD-ROM, хорошенько приклеить к нему шлейф данных, аналогично HDD

2) Как упоминали в ветке, грузить ядро1 с ROM, цепляться по SSH, автоскриптом проверять целостность среды, потом по SSH доставлять свое ядро2 (с вкомпиленными метками/флагами), передавать ему управление через kexec, еще раз автоскриптом проверять целостность среды, и по флагам ядра то ли правильное ядро2 загрузилось, может быть, по SSH заменять SSHD и SSL библиотеки на свои или копировать статический SSH демон

3) По SSH монтировать криптоконтейнеры, сверять их целостность с эталоном, делать chroot на них, можно заново заполнять их скриптами и запускать нужные сервисы

в продолжение темы защиты от злоумышленников в colocation:

шифрование разделом

для слабенького сервера на базе десктопной материнки без PXE загрузки, наверно, можно сделать следующее:

1) Вклеить модули памяти эпоксидкой с ватой, аналогично заклеить все порты данных (USB, SATA, IDE, PCI и т.п.) на материнке и с обратной стороны в местах пайки тоже и поверх залепить их одноразовыми стикерами. Аналогично заклеить ROM, например CD-ROM, хорошенько приклеить к нему шлейф данных

2) Как упоминали в ветке, грузить ядро1 с ROM, цепляться по SSH, автоскриптом проверять целостность среды, потом по SSH доставлять свое ядро2 (с вкомпиленными метками/флагами), передавать ему управление через kexec, еще раз автоскриптом проверять целостность среды, и по флагам ядра то ли правильное ядро2 загрузилось, может быть, по SSH заменять SSHD и SSL библиотеки на свои или копировать статический SSH демон

3) По SSH монтировать криптоконтейнеры, сверять их целостность с эталоном, делать chroot на них, можно заново заполнять их скриптами и запускать нужные сервисы

в продолжение темы защиты от злоумышленников в colocation:

шифрование разделом

для слабенького сервера на базе десктопной материнки без PXE загрузки, наверно, можно сделать следующее:

1) Вклеить модули памяти эпоксидкой с ватой, аналогично заклеить все порты данных (USB, SATA, IDE, PCI и т.п.) на материнке и с обратной стороны в местах пайки тоже и поверх залепить их одноразовыми стикерами. Аналогично заклеить ROM, например CD-ROM, хорошенько приклеить к нему шлейф данных

2) Как упоминали в ветке, грузить ядро1 с ROM, цепляться по SSH, автоскриптом проверять целостность среды, потом по SSH доставлять свое ядро2 (с вкомпиленными метками/флагами), передавать ему управление через kexec, еще раз автоскриптом проверять целостность среды и по флагам ядра то ли правильное ядро2 загрузилось.

3) По SSH монтировать криптоконтейнеры, сверять их целостность с эталоном, делать chroot на них, можно заново заполнять их скриптами и запускать нужные сервисы

в продолжение темы защиты от злоумышленников в colocation:

шифрование разделом

для слабенького сервера на базе десктопной материнки без PXE загрузки, наверно, можно сделать следующее:

1) Вклеить модули памяти эпоксидкой с ватой, аналогично заклеить все порты данных (USB, SATA, IDE, PCI и т.п.) на материнке и с обратной стороны в местах пайки тоже и поверх залепить их одноразовыми стикерами. Аналогично заклеить ROM, например CD-ROM, хорошенько приклеить к нему шлейф данных

2) Как упоминали в ветке, грузить ядро1 с ROM, цепляться по SSH, автоскриптом проверять целостность среды, потом по SSH доставлять свое ядро2 (с вкомпиленными метками/флагами), передавать ему управление через kexec, еще раз автоскриптом проверять целостность среды и по флагам ядра то ли правильное ядро2 загрузилось.

3) По SSH монтировать криптоконтейнеры, делать chroot на них, заново заполнять их скриптами и запускать нужные сервисы

в продолжение темы защиты от злоумышленников в colocation:

шифрование разделом

для слабенького сервера на базе десктопной материнки без PXE загрузки, наверно, можно сделать следующее:

1) Вклеить модули памяти эпоксидкой с ватой, аналогично заклеить все порты данных (USB, SATA, IDE, PCI и т.п.) на материнке и с обратной стороны в местах пайки тоже и поверх залепить их одноразовыми стикерами. Аналогично заклеить ROM, например CD-ROM, хорошенько приклеить к нему шлейф данных

2) Как упоминали в ветке, грузить ядро1 с ROM, цепляться по SSH, автоскриптом проверять целостность среды, потом по SSH доставлять свое ядро2 (с вкомпиленными метками/флагами), передавать ему управление через kexec, еще раз автоскриптом проверять целостность среды и по флагам ядра то ли правильное ядро2 загрузилось.

3) По SSH монтировать криптоконтейнеры, заново заполнять их скриптами и запускать нужные сервисы

в продолжение темы защиты от злоумышленников в colocation:

шифрование разделом

для слабенького сервера на базе десктопной материнки без PXE загрузки, наверно, можно сделать следующее:

1) Вклеить модули памяти эпоксидкой с ватой, аналогично заклеить все порты данных (USB, SATA, IDE, PCI и т.п.) на материнке и с обратной стороны в местах пайки тоже и поверх залепить их одноразовыми стикерами. Аналогично заклеить ROM, например CD-ROM.

2) Как упоминали в ветке, грузить ядро1 с ROM, цепляться по SSH, автоскриптом проверять целостность среды, потом по SSH доставлять свое ядро2 (с вкомпиленными метками/флагами), передавать ему управление через kexec, еще раз автоскриптом проверять целостность среды и по флагам ядра то ли правильное ядро2 загрузилось.

3) По SSH монтировать криптоконтейнеры, заново заполнять их скриптами и запускать нужные сервисы