태그 보관물: virtual-machine

virtual-machine

상자에 물리적으로 침입? (메모리 및 디스크) 할 수 있습니까? 물리적으로 데이터가

VPS가 있습니다. 파티션을 암호화 할 수는 있지만 시도하지 않았습니다. 내가 보는 유일한 SSH 키는 내 것이지만 내 VPS 회사는 루트 암호를 재설정 할 수 있다고 생각합니다. 내 모든 데이터를 사용하여 암호화했습니다 encfs. 해커가 일종의 액세스 권한을 얻는 경우를 대비하여 encfs내 비밀번호가 올바른 경우에만 드라이브를 마운트 할 수 있습니다 (SSH 키가 마운트하지 않으면 루트 비밀번호를 재설정하면 새 비밀번호가 잘못된 비밀번호 문구이므로 마운트되지 않습니다)

내 질문은 VPS 호스트가 상자에 침입 할 수 있습니까? 물리적으로 데이터가 암호화됩니다. 상자를 재설정하지 않고 루트를 변경할 수 있다고 생각합니까? 그렇다면 이미 마운트 된 파일 시스템에 액세스 할 수 있습니까? 권한이없는 다른 사용자가 로그인 한 경우 사용자는 램에 액세스하여 중요한 데이터를 덤프 할 수 있습니까? VPS 호스트가 내 RAM 내용을 쉽게 읽을 수 있습니까?

참고 : 이것은 가상의 것입니다. 나는 큰 고객이 있는지에 대해 생각하고 있는데, 얼마나 많은 보안을 약속 할 수 있는지 알고 싶습니다. 차라리 집에 상자를 주거나 파이프를 지탱하고 싶지 않습니다.



답변

일반적으로 머신에 대한 물리적 액세스는 머신을 손상시키는 데 필요한 모든 것입니다. 결국, 당신은 기계가 당신에게 말하는 것이 사실임을 신뢰하고 있습니다. 물리적 접근이 가능한 사람은 그러한 신뢰를 무효화 할 수 있습니다. 물리적 액세스 권한을 가진 공격자는 이론적으로 하드웨어 (펌웨어 / 펌웨어 루트킷 설치 등)를 수행 할 수 있습니다.

데이터가 암호화 된 경우 이는 첫 번째 단계이지만 볼륨을 해독하기 위해 인증을 입력하는 등의 모든 단계에서 컴퓨터가 사용자에게 거짓말을하지 않는 것을 신뢰합니다. 물리적 시스템을 개인적으로 제어 할 수없는 경우에는 훨씬 더 어렵습니다.

특정 쿼리 중 일부는 다음과 같습니다.

권한이없는 다른 사용자가 로그인 한 경우 사용자가 램에 액세스하여 중요한 데이터를 덤프 할 수 있습니까?

일반적으로 아닙니다. 원시 메모리 액세스는 특권 작업입니다.

vps 호스트가 내 램의 내용을 쉽게 읽을 수 있습니까?

예. 가상 환경에서의 격리는 VPS가 실행중인 외부 운영 환경을 제어 할 수 없음을 의미합니다. 이 운영 환경은 실제로 이것을 할 수 있습니다.


답변

데이터를 사용하려면 해독해야하므로 런타임 중에 암호화되지 않은 상태로 사용할 수 있습니다.

공급자가 사용자 모르게 언제든지 실시간 실행 시스템에 액세스 할 수있는 것처럼 취급해야합니다. 여기에는 디스크에 저장된 데이터, 메모리에 포함 된 데이터 (예 : 암호 해독 키) 및 전송 한 키 입력이 포함됩니다 (예 : 입력 한 암호를 확인하고 기록 할 수 있다고 가정).


답변

악의적 인 호스팅 제공 업체로부터 안전 할 수있는 방법은 없습니다. 데이터를 피하려는 방법에 관계없이 데이터에 액세스 할 수 있습니다. 몇 가지 간단한 예 :

  1. 암호화 된 SSH 트래픽은 호스트 파일 시스템에서 호스트 키를 가져 와서 다른 SSH 서버를 트래픽을 해독하고 SSH 서버와 협상하는 중간자 (man-in-the-middle)로 설정하여 감지 할 수 있습니다.
  2. 루트 파일 시스템 또는 ssh 호스트 키를 암호화하려면 터미널에서 암호를 입력해야하며 터미널이 공급자에 의해 제어되므로 안전한 것으로 간주 할 수 없습니다.

서버를 구입하는 데있어 합리적으로 안전한 유일한 방법은 박스를 구입하여 공유 또는 개인 호스팅 환경에서 자신의 케이지에 넣고 암호화 된 파일 시스템 설정, 신뢰할 수있는 부팅 장치, 케이지의 물리적 잠금 및 보안입니다. 콘솔 액세스.

소프트웨어 버전의 보안 문제, 잠금 선택 (물리적 잠금의 경우) 등으로 인해 여기에도 구멍이 생길 수 있습니다.


답변