Hallo,
eines vorweg, ich vertraue meinem Hoster, aber da ich die Mitarbeiter nicht persönlich kenne und es immer wieder schwarze Schafe gibt, will ich meinen Root-Server (KVM) vor fremden Datenzugriff schützen.
Ich beabsichtige daher meinen Root-Server komplett mit dm-crypt zu verschlüsseln. Damit will ich verhindern, dass meine Daten ungeschützt auf dem physischen Datenträger des Hostsystems liegen und dass die Mitarbeiter einen verwertbaren Snapshot erstellen können.
Nun liest man immer wieder, dass eine Verschlüsselung auf einem Root-Server nichts bringt, da die Daten zur Laufzeit entschlüsselt sind und dass man daher auf diese zugreifen kann. Das ist mir vom Grundsatz her auch klar, aber wie soll man, ohne großen Aufwand zu betreiben, an die Daten rankommen, wenn man nicht im Besitz der Zugangsdaten des Servers ist? Das dürfte doch auch für den Hoster recht schwierig bis unmöglich sein oder sehen ich das falsch? Mir geht es hier auch nicht um Schutz vor Angreifern, die aufgrund von Sicherheitslücken Zugriff auf das System erhalten haben.
Was meint Ihr dazu?
Gruß
Jochen
Verschlüsselung Root-Server (KVM)
Re: Verschlüsselung Root-Server (KVM)
Die Zugangsdaten braucht man bei physikalischem Zugriff nicht: Image ziehen, auf Zweitsystem mounten, fertig.
Da auf die Daten zur Runtime entschlüsselt zugegriffen werden kann, lässt sich das Image einfach per tar, cpio etc erstellen und so die vorgebliche Verschlüsselung vollständig und ohne Hack umgehen. Den physikalischen Zugriff erlangt man auf diversen Wegen, zum Beispiel per vorhandener DMA-fähiger Schnittstellen oder bei virtuellen Systemen per Hostsystem oder durch IPMI und Co oder per manipulierter Firmware oder oder oder. Die einfachsten Möglichkeiten per RootKits, BootKits, Hypervisor und das BIOS lasse ich mal aussen vor ;)
Filesystem- bzw. Festplattenverschlüsselung hilft höchstens wenn das System komplett ausgeschaltet ist und selbst dann gibt es durchaus noch Möglichkeiten an die Rohdaten zu kommen.
Kurz: Es gibt keine effektive Möglichkeit den Zugriff auf die Rohdaten auf Filesystemen beziehungsweise Festplatten zu unterbinden.
Sensible Daten gehören per Definition nicht auf exponierte Systeme und falls es sich absolut nicht verhindern lässt, dann gehören sie zum frühstmöglichem Zeitpunkt seperat verschlüsselt. Wie man nun "sensible Daten" definiert, muss jeder für sich selbst entscheiden beziehungsweise den unternehmensinternen Sicherheitsrichtlinien entnehmen.
Da auf die Daten zur Runtime entschlüsselt zugegriffen werden kann, lässt sich das Image einfach per tar, cpio etc erstellen und so die vorgebliche Verschlüsselung vollständig und ohne Hack umgehen. Den physikalischen Zugriff erlangt man auf diversen Wegen, zum Beispiel per vorhandener DMA-fähiger Schnittstellen oder bei virtuellen Systemen per Hostsystem oder durch IPMI und Co oder per manipulierter Firmware oder oder oder. Die einfachsten Möglichkeiten per RootKits, BootKits, Hypervisor und das BIOS lasse ich mal aussen vor ;)
Filesystem- bzw. Festplattenverschlüsselung hilft höchstens wenn das System komplett ausgeschaltet ist und selbst dann gibt es durchaus noch Möglichkeiten an die Rohdaten zu kommen.
Kurz: Es gibt keine effektive Möglichkeit den Zugriff auf die Rohdaten auf Filesystemen beziehungsweise Festplatten zu unterbinden.
Sensible Daten gehören per Definition nicht auf exponierte Systeme und falls es sich absolut nicht verhindern lässt, dann gehören sie zum frühstmöglichem Zeitpunkt seperat verschlüsselt. Wie man nun "sensible Daten" definiert, muss jeder für sich selbst entscheiden beziehungsweise den unternehmensinternen Sicherheitsrichtlinien entnehmen.
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Re: Verschlüsselung Root-Server (KVM)
Dass man mit entsprechendem Aufwand dennoch an die Daten kommt ist mir schon klar, nur dürfte das Interesse an meinen Daten nicht so groß sein, dass man diesen Betreiben wird. Mir geht es ja auch eher darum, meine Daten vor den neugierigen Blicken von Mitarbeiten des Hosters und im Falle einer Kompromittierung des Hostsystems zu schützen. Zudem weiß nicht, was nach einer Regeneration des Hostsystems mit der alten Hardware und hier im speziellen mit den physischen Platten geschehen wird.
Gruß
Jochen
Wenn man das so betrachtet, dann gibt es auch keine effektive Möglichkeit den Zugriff auf die Shell-Zugriff zu unterbinden. Aber dennoch wird man ja nicht auf ein Kennwort hierfür verzichten oder?Joe User wrote:Kurz: Es gibt keine effektive Möglichkeit den Zugriff auf die Rohdaten auf Filesystemen beziehungsweise Festplatten zu unterbinden.
Gruß
Jochen
Re: Verschlüsselung Root-Server (KVM)
Passworte für den Login und Co vergibt man selbstverständich trotzdem ;)
Bezüglich der ausgetauschten Platten und Backup-Images virtueller Maschinen muss man halt dem Hoster und seinen Mitarbeitern vertrauen. Dieses Vertrauen kann man bei Bedarf noch per vertraglicher Regelungen festigen, worauf sich allerdings nur wenige Hoster einlassen.
Bei Einbrüchen ins Hostsystem, egal auf welchem Wege und durch wen auch immer, hat man grundsätzlich verloren, da das Hostsystem immer vollen Zugriff (aka root) auf die Gastsysteme hat. Dagegen kann man sich nicht schützen und deshalb sind VServer aus sicherheitstechnischer Sicht auch zu keinem Zeitpunkt als vertrauenswürdig zu betrachten.
VServer sind unterm Strich nur erweiterte chroot-Umgebungen, bestenfalls erweiterte Jails (FreeBSD) oder Zones (Solaris).
Bezüglich der ausgetauschten Platten und Backup-Images virtueller Maschinen muss man halt dem Hoster und seinen Mitarbeitern vertrauen. Dieses Vertrauen kann man bei Bedarf noch per vertraglicher Regelungen festigen, worauf sich allerdings nur wenige Hoster einlassen.
Bei Einbrüchen ins Hostsystem, egal auf welchem Wege und durch wen auch immer, hat man grundsätzlich verloren, da das Hostsystem immer vollen Zugriff (aka root) auf die Gastsysteme hat. Dagegen kann man sich nicht schützen und deshalb sind VServer aus sicherheitstechnischer Sicht auch zu keinem Zeitpunkt als vertrauenswürdig zu betrachten.
VServer sind unterm Strich nur erweiterte chroot-Umgebungen, bestenfalls erweiterte Jails (FreeBSD) oder Zones (Solaris).
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Re: Verschlüsselung Root-Server (KVM)
Bezieht sich die Aussage auf vServer oder auf KVM basierte Root-Server bei denen das OS komplett selbst installiert wird?Joe User wrote:VServer sind unterm Strich nur erweiterte chroot-Umgebungen, bestenfalls erweiterte Jails (FreeBSD) oder Zones (Solaris).
Re: Verschlüsselung Root-Server (KVM)
Auf Beide beziehungsweise auf alle virtualisierten Systeme, egal auf welchem Host-System/OS.
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Re: Verschlüsselung Root-Server (KVM)
Technisch wirst Du Dich nicht schützen können. Zumindest nicht bei der von Dir geschilderten Konstellation. Du kannst allerhöchstens einen Vertragspartner finden, der die Intkrität per Vertrag mit Vertragsstrafe garantiert. Dann hast Du wenigsten eine Schmerzensgeld für den Fall der nachweisbaren Fälle.
Deine Meinung und Haltung kann ich verstehen. Es gibt so viele Kunden auf denen willkürlich ausgewählte Freelancer Zugriff auf alles mögliche haben. Dabei werden Dienstleister oft in einer Masse durchgehechelt, dass es eigentlich schon kein Zufall mehr ist, dass ein Missbrauch statt findet.
Natürlich kann sich auch ein Festangestellter absolut falsch verhalten. Aber ein Mitarbeiter der langfristig geplant eingesetzt wird ist meiner Meinung nach immer noch anders zu bewerten, als ein Dienstleister der an seiner Position häufig durch beliebige andere getauscht wird.
Deine Meinung und Haltung kann ich verstehen. Es gibt so viele Kunden auf denen willkürlich ausgewählte Freelancer Zugriff auf alles mögliche haben. Dabei werden Dienstleister oft in einer Masse durchgehechelt, dass es eigentlich schon kein Zufall mehr ist, dass ein Missbrauch statt findet.
Natürlich kann sich auch ein Festangestellter absolut falsch verhalten. Aber ein Mitarbeiter der langfristig geplant eingesetzt wird ist meiner Meinung nach immer noch anders zu bewerten, als ein Dienstleister der an seiner Position häufig durch beliebige andere getauscht wird.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.