Bezpieczny VPS z "szyfrowaniem"

[PCziomal 16]

Witam,

poszukuję bezpiecznego [i najlepiej w miarę taniego] VPS na backupy. Nie chciałbym, aby dostawca mógł przeglądać moje pliki [słyszałem, że tak czasami robią np. w Mintshost.pl]. Nie wiem czy istnieje jakaś możliwość "szyfrowania" np. przy KVM.

 

Serwer nie musi mieć dużych zasobów (ok. 50 GB HDD, 1 GHz CPU i ok. 512-1024 MB RAM).

 

Lokalizacja jest praktycznie obojętna, ale najchętniej wziąłbym coś w Polsce lub Niemczech.

 

Z góry dzięki za odpowiedź,

pozdrawiam.

[Lokator 137]

Szyfrowanie plików jakimś oprogramowaniem?

[spindritf 240]

Zaszyfruj dane zanim je wrzucisz na VPS-a, nie widzę innej drogi. Możesz do tego użyć obnama albo duplicity na przykład.

 

Tylko pamiętaj, żeby też gdzieś klucz zbackupować. U kumpla, czy cioci.

[Marek607 655]

[słyszałem, że tak czasami robią np. w Mintshost.pl].

 

Kładziemy wysoki nacisk na bezpieczeństwo danych i żadna z naszych marek nie loguje się na serwery czy też nie przegląda plików swoich klientów bez wyraźnej prośby z jego strony - podobnie zreszta jak każda szanująca się firma.

 

Jeśli już otrzymałeś takie fałszywe informacje to proszę prześlij mi szczegóły na marek@biznes-host.pl - będziemy wdzięczni.

 

Zapraszam tez do sprawdzenia oferty backupftp.pl.

[Gość Pokuć]

backupftp.pl

[Kszysiu 136]

tiktalik.com vps standard;)

[PCziomal 16]

Backupftp jest ok, jednak szukałbym czegoś nieco słabszego i jednocześnie tańszego

[Dentarg 46]

Taniej? To chyba będzie trudno.

 

A szyfrowanie to gpg przed wrzuceniem na VPSa i luzik, byle skryptem zrobisz sobie automat.

Możesz jeszcze szyfrować samego VPSa LUKSem, ale w momencie gdy masz go podmontowanego, ktoś kto ma dostęp do "serwera matki" będzie mógł Ci w plikach pogrzebać.

[Kszysiu 136]

PCziomal - w tiktaliku jest taniej niż w Backupftp

[PCziomal 16]

Jaka jest lokalizacja serwerów i transfer w tiktalik.com?

Edytowano Lipiec 31, 2014 przez PCziomal (zobacz historię edycji)

[bjN 30]

 

Korzystamy z własnej serwerowni w Warszawie. Fakt, że to może być istotna informacja! Postaramy się aby jak najszybciej znalazła się na stronie.
Pozdrawiamy!

Z pewnej strony.

[Gość Spoofy]

Zamiast szyfrować dane skup się na zabezpieczaniu i administracji owego serwera - bo jak ktoś sie wbije to długo mu nie zajmie "odszyfrowywanie" Twoich danych (chyba że będziesz zarzynać serwer jakimś truecrypt'em albo podwójnymi algorytmami po spakowaniu). Tymbardziej że szyfrowanie backup'ów to beznadziejność totalna i kompletnie błędne rozumienie podstaw administracji jakimkolwiek serwerem (chyba że jest to serwer w jakiejś lokalnej sieci na którym trzyma się krytyczne prace zbiorcze - ale wtedy nie jest tego aż tak dużo). Jeżeli to jest na backup baz danych, stron internetowych czy jakiś danych to poczytaj na temat bezpiecznej komunikacji np. http://pl.wikipedia.org/wiki/Virtual_Private_Network.

Pozdrawiam.

[Dentarg 46]

Tak, jak zaszyfruje gpg, to mu ktoś odszyfruje ruskim kalkulatorem, ale tylko z bursztynowym wyświetlaczem ...

 

On się nie boi, że ktoś się włamie, chodzi o to, że admini od providera mają dostęp jako root do takiej maszyny i boi się, że mogą zobaczyć dane z backupu.

 

A backup się szyfruje, jeśli przesyła się go niebezpiecznym kanałem (Kurier, Poczta), lub trzyma się go w lokalizacji, której się nie jest właścicielem (bank, DC).

 

A odszyfrowanie czegoś co jest zaszyfrowane algorytmem strumieniowym i spakowane zajmuje mniej więcej tyle co samo odpakowane.

[Gość Spoofy]

No dobra ale pytanie - po co? Cóż to za ważne są dane? Backup bazy danych? To już bardziej bym się bał mysqli....

Każdy provider ma dostęp do serwera - tymbardziej do vps'a. Jedyne co można zrobić to przy dedyku zblokować tty* - ale przecież zawsze mogą sobie dyski wyciągnąć w ekstremalnych przypadkach np. na żądanie prokuratury.

Nie zmienia to faktu że każdy szanujący się provider szanuje prywatność klientów i od tak sobie nie wchodzi na serwer, a już tymbardziej nie po to aby wyciągać z niego dane - może gimby myślą inaczej.

Zaszyfrowanie gpg to jedyna sensowna metoda ale i tak na "50 Gb" to dużo tych "danych" nie będzie.

[Dentarg 46]

Tak, ale w przypadku jak ktoś ma produkcję u siebie w DC/serwerowni, a tylko backup chce trzymać gdzieś zdalnie (w obcym DC), to szyfrowanie ma sens. Zależy jak kto ceni swoje dane, ale ja np. nawet w przypadku prywatnego bloga, w którego bazie siedzą maile jego czytelników wysyłając dumpa na obcy serwer backupowy puściłbym go przez gpg. Nie chciałbym aby przez taki banał te dane wypłyneły.

Oczywiście wiadomo, że i strona i baza musi być najpierw dobrze zabezpieczona, zeby zabezpieczanie backupów miało sens.

 

Niektórzy nie cenią prywatności swojej i swoich klientów - trzymają swoje prywatne zdjęcia w publicznych cloudach, albo wysyłają wiadomości z CC z 500+ adresami mail.

 

pzdr,

[Gość Spoofy]

Ok, rozumiem ale teza że "provider przegląda od tak moje backup'y" jest śmieszna.

Oczywiście można zabezpieczać dane przez szyfrowanie ale takie co by nie zakłócało pracy - wydajności. Oczywiście gpg będzie wydajne i mocne. Oczywiście w idealnym założeniu mamy zabezpieczony serwer i wysyłamy owe backup'y do zewnętrznego serwera np. po vpn'ie gdzie ten serwer z backup'ami nie wychodzi kompletnie na świat i do niego można się łączyć np. tylko z dwóch adresów (serwera backup'ującego i ew. klienta).
Jeżeli ktoś ceni dane które chce ochraniać robi to w każdy możliwy sposób i to jest zrozumiałe ale szyfrowanie całego serwera albo poleganie tylko na nim mija się z celem.

Pozdrawiam.

[www.ionic.pl 535]

szyfruj i tyle, zabezpiecze maszyne,

ps jak maszyna jest w kolokacji czy jest to dedyk to też ktoś tam ma do tego fizyczny dostęp // firma musi mieć jakies poziomy bezpieczeństwa danych // - trzeba stosować zasady ograniczonego zaufania i tyle, jak na drodze za kółkiem

[kafi 2425]

Kiedyś był sobie taki temat o szyfrowaniu VPS.

Powtórze się - w przypadku jakiejkolwiek wirtualizacji szyfrowanie partycji nie ma jakiegokolwiek sensu.

Bo jeżeli administrator hypervisora będzie chciał, to zrobi snapshot serwera + pamięci RAM i wyciągnie z niego to,

co jest mu potrzebne. Jeśli chodzi o backupy - to najrozsądniej jest zaszyfrować poszczególne pliki z kopiami

(np. przez wspomniane GPG), które dostatecznie ograniczą ryzyko vzctl enter 101 / mc / enter / f3 przez dostawcę vps.

[PCziomal 16]

Czyli co - nie mam nawet co myśleć o wrzucaniu jakiś wrażliwych plików na VPSa? Może bezpieczniej kupić najtańszego kimsufi?

 

Nie dodałem w pierwszym poście - zależy mi, aby taki serwer miał dobre połączenie z OVH (trzymałem przez jakiś czas rzeczy właśnie w Mintshost.pl i transfer stamtąd DO OVH to ok. 2.5 mB/s).

Edytowano Sierpień 1, 2014 przez PCziomal (zobacz historię edycji)

[spindritf 240]

Tak, serwer dedykowany będzie nieco bezpieczniejszy niż VPS, ale jeszcze raz: zaszyfruj dane zanim je gdziekolwiek wyślesz. Nie ma innej metody. No i jeśli chcesz dobry transfer do OVH, to oczywiście najlepiej wziąć drugi serwer też w OVH.

[PCziomal 16]

Ogólnie na takim serwerze trzymałbym m.in. obrazy dysków więc potrzebuję je czasami dość szybko przerzucać między maszynami (właśnie głównie w OVH). Szyfrując za każdym razem dane trwałoby to trochę czasu - nie ma do tego jakiegoś automatu który by to po jednej stronie szyfrował i po pobraniu "deszyfrował"?

Edytowano Sierpień 1, 2014 przez PCziomal (zobacz historię edycji)

[Kszysiu 136]

http://jakilinux.org/uncategorized/sztuczki-z-ssh/

 

EDIT:
Wróć! tam jest sztuczka na kompresowanie i dekompresowanie z drugiej strony - sorry za pomyłkę

Edytowano Sierpień 1, 2014 przez Kszysiu (zobacz historię edycji)

[Dentarg 46]

Ale jak chce tylko bezpiecznie przesyłać to ssh jak znalazł.

 

Przecież przez gpg można bezobsługowo zaszyfrować. Do odszyfrowania będziesz potrzebować hasło do klucza, więc automatem się nie da.

 

Obraz dysku z LVMa szyfrowany w locie (oczywiscie źródłem jest snapshot):

 

/bin/dd if=/dev/vg/lvm_snap bs=16MB | /usr/bin/gpg --cipher-algo AES256 --compress-algo ZLIB -r nazwa@odbiorcy.ktorego.klucz.publiczny.jest.w.repo.pl -e -o /backup/obrazy/nazwa_obrazu.`date +%Y-%m-%d-%H.%M.%S`.zlib.gpg

 

Można taki strumień od razu pipe przez ssh przesłać (pewnie w powyższym linku jest jak), jeśli nie chce się tworzyć kopi lokalnie. Ale jeśli duże pliki, to lepiej wcześniej lokalnie zaszyfrować i przesłać rsyncem przez ssh na drugą stronę.

 

[Dentarg 46]

BTW, ale czy na pewno potrzebujesz VPSa? Może starczy Ci konto ftp albo jeszcze lepiej sftp? Takie konta można mieć już od 8gr netto na GB (czyli mniej niż 5PLN/mc za 50GB), a pewnie za granicą jeszcze taniej. Chyba, że dużo będziesz wrzucać/ściągać z tego konta, wtedy chyba już tak różowo nie jest.