Skocz do zawartości
PCziomal

Bezpieczny VPS z "szyfrowaniem"

Polecane posty

Witam,

poszukuję bezpiecznego [i najlepiej w miarę taniego] VPS na backupy. Nie chciałbym, aby dostawca mógł przeglądać moje pliki [słyszałem, że tak czasami robią np. w Mintshost.pl]. Nie wiem czy istnieje jakaś możliwość "szyfrowania" np. przy KVM.

 

Serwer nie musi mieć dużych zasobów (ok. 50 GB HDD, 1 GHz CPU i ok. 512-1024 MB RAM).

 

Lokalizacja jest praktycznie obojętna, ale najchętniej wziąłbym coś w Polsce lub Niemczech.

 

Z góry dzięki za odpowiedź,

pozdrawiam.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zaszyfruj dane zanim je wrzucisz na VPS-a, nie widzę innej drogi. Możesz do tego użyć obnama albo duplicity na przykład.

 

Tylko pamiętaj, żeby też gdzieś klucz zbackupować. U kumpla, czy cioci.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

[słyszałem, że tak czasami robią np. w Mintshost.pl].

 

Kładziemy wysoki nacisk na bezpieczeństwo danych i żadna z naszych marek nie loguje się na serwery czy też nie przegląda plików swoich klientów bez wyraźnej prośby z jego strony - podobnie zreszta jak każda szanująca się firma.

 

Jeśli już otrzymałeś takie fałszywe informacje to proszę prześlij mi szczegóły na marek@biznes-host.pl - będziemy wdzięczni.

 

Zapraszam tez do sprawdzenia oferty backupftp.pl.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Backupftp jest ok, jednak szukałbym czegoś nieco słabszego i jednocześnie tańszego :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Taniej? To chyba będzie trudno.

 

A szyfrowanie to gpg przed wrzuceniem na VPSa i luzik, byle skryptem zrobisz sobie automat.

Możesz jeszcze szyfrować samego VPSa LUKSem, ale w momencie gdy masz go podmontowanego, ktoś kto ma dostęp do "serwera matki" będzie mógł Ci w plikach pogrzebać.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

PCziomal - w tiktaliku jest taniej niż w Backupftp

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

Korzystamy z własnej serwerowni w Warszawie. Fakt, że to może być istotna informacja! Postaramy się aby jak najszybciej znalazła się na stronie.
Pozdrawiamy!

Z pewnej strony.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Spoofy

Zamiast szyfrować dane skup się na zabezpieczaniu i administracji owego serwera - bo jak ktoś sie wbije to długo mu nie zajmie "odszyfrowywanie" Twoich danych (chyba że będziesz zarzynać serwer jakimś truecrypt'em albo podwójnymi algorytmami po spakowaniu). Tymbardziej że szyfrowanie backup'ów to beznadziejność totalna i kompletnie błędne rozumienie podstaw administracji jakimkolwiek serwerem (chyba że jest to serwer w jakiejś lokalnej sieci na którym trzyma się krytyczne prace zbiorcze - ale wtedy nie jest tego aż tak dużo). Jeżeli to jest na backup baz danych, stron internetowych czy jakiś danych to poczytaj na temat bezpiecznej komunikacji np. http://pl.wikipedia.org/wiki/Virtual_Private_Network.

Pozdrawiam.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Tak, jak zaszyfruje gpg, to mu ktoś odszyfruje ruskim kalkulatorem, ale tylko z bursztynowym wyświetlaczem ...

 

On się nie boi, że ktoś się włamie, chodzi o to, że admini od providera mają dostęp jako root do takiej maszyny i boi się, że mogą zobaczyć dane z backupu.

 

A backup się szyfruje, jeśli przesyła się go niebezpiecznym kanałem (Kurier, Poczta), lub trzyma się go w lokalizacji, której się nie jest właścicielem (bank, DC).

 

A odszyfrowanie czegoś co jest zaszyfrowane algorytmem strumieniowym i spakowane zajmuje mniej więcej tyle co samo odpakowane.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Spoofy

No dobra ale pytanie - po co? Cóż to za ważne są dane? Backup bazy danych? To już bardziej bym się bał mysqli....

Każdy provider ma dostęp do serwera - tymbardziej do vps'a. Jedyne co można zrobić to przy dedyku zblokować tty* - ale przecież zawsze mogą sobie dyski wyciągnąć w ekstremalnych przypadkach np. na żądanie prokuratury.

Nie zmienia to faktu że każdy szanujący się provider szanuje prywatność klientów i od tak sobie nie wchodzi na serwer, a już tymbardziej nie po to aby wyciągać z niego dane - może gimby myślą inaczej.

Zaszyfrowanie gpg to jedyna sensowna metoda ale i tak na "50 Gb" to dużo tych "danych" nie będzie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Tak, ale w przypadku jak ktoś ma produkcję u siebie w DC/serwerowni, a tylko backup chce trzymać gdzieś zdalnie (w obcym DC), to szyfrowanie ma sens. Zależy jak kto ceni swoje dane, ale ja np. nawet w przypadku prywatnego bloga, w którego bazie siedzą maile jego czytelników wysyłając dumpa na obcy serwer backupowy puściłbym go przez gpg. Nie chciałbym aby przez taki banał te dane wypłyneły.

Oczywiście wiadomo, że i strona i baza musi być najpierw dobrze zabezpieczona, zeby zabezpieczanie backupów miało sens.

 

Niektórzy nie cenią prywatności swojej i swoich klientów - trzymają swoje prywatne zdjęcia w publicznych cloudach, albo wysyłają wiadomości z CC z 500+ adresami mail.

 

pzdr,

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Spoofy

Ok, rozumiem ale teza że "provider przegląda od tak moje backup'y" jest śmieszna.

Oczywiście można zabezpieczać dane przez szyfrowanie ale takie co by nie zakłócało pracy - wydajności. Oczywiście gpg będzie wydajne i mocne. Oczywiście w idealnym założeniu mamy zabezpieczony serwer i wysyłamy owe backup'y do zewnętrznego serwera np. po vpn'ie gdzie ten serwer z backup'ami nie wychodzi kompletnie na świat i do niego można się łączyć np. tylko z dwóch adresów (serwera backup'ującego i ew. klienta).
Jeżeli ktoś ceni dane które chce ochraniać robi to w każdy możliwy sposób i to jest zrozumiałe ale szyfrowanie całego serwera albo poleganie tylko na nim mija się z celem.

Pozdrawiam.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

szyfruj i tyle, zabezpiecze maszyne,

ps jak maszyna jest w kolokacji czy jest to dedyk to też ktoś tam ma do tego fizyczny dostęp // firma musi mieć jakies poziomy bezpieczeństwa danych // - trzeba stosować zasady ograniczonego zaufania i tyle, jak na drodze za kółkiem ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Kiedyś był sobie taki temat o szyfrowaniu VPS.

Powtórze się - w przypadku jakiejkolwiek wirtualizacji szyfrowanie partycji nie ma jakiegokolwiek sensu.

Bo jeżeli administrator hypervisora będzie chciał, to zrobi snapshot serwera + pamięci RAM i wyciągnie z niego to,

co jest mu potrzebne. Jeśli chodzi o backupy - to najrozsądniej jest zaszyfrować poszczególne pliki z kopiami

(np. przez wspomniane GPG), które dostatecznie ograniczą ryzyko vzctl enter 101 / mc / enter / f3 przez dostawcę vps.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Czyli co - nie mam nawet co myśleć o wrzucaniu jakiś wrażliwych plików na VPSa? Może bezpieczniej kupić najtańszego kimsufi?

 

Nie dodałem w pierwszym poście - zależy mi, aby taki serwer miał dobre połączenie z OVH (trzymałem przez jakiś czas rzeczy właśnie w Mintshost.pl i transfer stamtąd DO OVH to ok. 2.5 mB/s).

Edytowano przez PCziomal (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Tak, serwer dedykowany będzie nieco bezpieczniejszy niż VPS, ale jeszcze raz: zaszyfruj dane zanim je gdziekolwiek wyślesz. Nie ma innej metody. No i jeśli chcesz dobry transfer do OVH, to oczywiście najlepiej wziąć drugi serwer też w OVH.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ogólnie na takim serwerze trzymałbym m.in. obrazy dysków więc potrzebuję je czasami dość szybko przerzucać między maszynami (właśnie głównie w OVH). Szyfrując za każdym razem dane trwałoby to trochę czasu - nie ma do tego jakiegoś automatu który by to po jednej stronie szyfrował i po pobraniu "deszyfrował"? :P

Edytowano przez PCziomal (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ale jak chce tylko bezpiecznie przesyłać to ssh jak znalazł.

 

Przecież przez gpg można bezobsługowo zaszyfrować. Do odszyfrowania będziesz potrzebować hasło do klucza, więc automatem się nie da.

 

Obraz dysku z LVMa szyfrowany w locie (oczywiscie źródłem jest snapshot):

 

/bin/dd if=/dev/vg/lvm_snap bs=16MB | /usr/bin/gpg --cipher-algo AES256 --compress-algo ZLIB -r nazwa@odbiorcy.ktorego.klucz.publiczny.jest.w.repo.pl -e -o /backup/obrazy/nazwa_obrazu.`date +%Y-%m-%d-%H.%M.%S`.zlib.gpg

 

Można taki strumień od razu pipe przez ssh przesłać (pewnie w powyższym linku jest jak), jeśli nie chce się tworzyć kopi lokalnie. Ale jeśli duże pliki, to lepiej wcześniej lokalnie zaszyfrować i przesłać rsyncem przez ssh na drugą stronę.

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

BTW, ale czy na pewno potrzebujesz VPSa? Może starczy Ci konto ftp albo jeszcze lepiej sftp? Takie konta można mieć już od 8gr netto na GB (czyli mniej niż 5PLN/mc za 50GB), a pewnie za granicą jeszcze taniej. Chyba, że dużo będziesz wrzucać/ściągać z tego konta, wtedy chyba już tak różowo nie jest.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×