LINUX.ORG.RU
ФорумSecurity

Могут ли быть безопасные VPS?

 , , ,


0

1

Как удостовериться в безопасности ssh подключения?

Вот я зашел в ISP Manager(который был по самоподписанному SSL-сертификату), в ней прописал к своей новорожденной впске свой публичный ssh-ключ, переустановил систему. Коннекчусь, в ssh указываю что да, это верный fingerprint(хотя я его есесно впервые вижу).

Я вообще молчу про то, что у провайдера может быть дистрибутив с закладками или, например, при использовании OpenVZ может быть ядро с бэкдорами и вовсе дырами, особенно учитывая что OpenVZ запаздывает с поддержкой новых версий ядра.

Я правильно понимаю, безопасная VPS может быть только в случае если сделал ее сам?


Всё правильно понимаешь. Почти. На 100% уверенности в безопасности VPS не может быть вообще, поскольку у ты не можешь быть уверен в отсутствии закладок в железе.

Psych218 ★★★★★
()

если есть VNC-консоль, а она есть всегда - на KVM можно поставить любую ОС, какую душе взбредет, немного поизвращавшись с grub'ом.

pekmop1024 ★★★★★
()

Зависит от того какая безопасность нужна, в последний стадии это оборудование, приведённое на своём заводе, расположенное в своём бункере и так далее.

dinn ★★★★★
()
Ответ на: комментарий от dinn

Никогда не понимал «закладок в оборудовании», если честно. А если мое оборудование в клетке Фарадея находится, а из него только ethernet торчит и кабель питания? Как это оборудование тогда вообще можно «увидеть»? Я молчу про удаленное подключение и вообще нахождение этого самого оборудования (потому как ни одному здравому человеку не придет в голову, помещать свой ПК в клетку Фарадея для защиты от шпионов на квадрокоптерах под окном)

rtutin
() автор топика
Ответ на: комментарий от rtutin

Никогда не понимал «закладок в оборудовании», если честно. А если мое оборудование в клетке Фарадея находится, а из него только ethernet торчит и кабель питания? Как это оборудование тогда вообще можно «увидеть»?

Прошивка железки может, например, сама отправлять запрос на заданный сервер в случайный день и время каждый январь, а ответом получать необходимый код или просто символ от «а вот сейчас зависаем» до «а вот теперь весь исходящий трафик дублируем сюда». Теоретически это реализуемо. При этом ты, конечно, можешь на каком-то девайсе между сетью и целевым девайсом смотреть весь трафик, что там оно и куда шлёт, но действительно ли ты там увидишь один «левый» пакет в какой-нибудь один день месяца/года? Ну это чисто как пример, а так сделать можно по-разному. Ну и да, никто не помещает компьютер в клетку Фарадея.

Psych218 ★★★★★
()
Ответ на: комментарий от rtutin

А если мое оборудование в клетке Фарадея находится

Даже если нет контактов с внешним миром, то есть возможности с самоуничтожением через определённое время, реакции на специальную последовательность инструкций, да хоть случайные ошибки в случайные моменты времени тоже могут быть не случайными. И мировая история прецеденты знает.

dinn ★★★★★
()
Ответ на: комментарий от Psych218

А куда он, пакет этот, полетит, когда в белом списке только доверенные ip, например? Хотя если хорошо подумать, никто не запретит слать UDP пакеты с неверным ip, то есть по сути провайдер может услышать его. Но это так же можно решить доверенным промежуточным устройством(руками) между ПК и провайдером.

rtutin
() автор топика
Ответ на: комментарий от rtutin

Решить можно. В принципе на любую возможную дырку можно найти то или иное решение. Другое дело, что чем больше для этих самых дырок (как реальных так и потенциальных), тем больше шансов что-то да упустить из виду.

Psych218 ★★★★★
()
Последнее исправление: Psych218 (всего исправлений: 1)

Я правильно понимаю, безопасная VPS может быть только в случае если сделал ее сам?

При-чём в процессе надо носить шапочку из фольги. твой уровень притязаний уже приближается к этому головному убору

MrClon ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security