.png)
VPSがあります。私のパーティションを暗号化することもできますが、まだ試していません。私が見る唯一のSSHキーが私のものであるにもかかわらず、私は私のVPS会社が私のルートパスワードをリセットすると信じています。私のすべてのデータはencfs、.hackerが何らかのアクセス権を持っている場合に備えて、encfs私のパスワードが正しい場合にのみドライブをマウントできます。新しいパスワードはSSHキーでマウントされず、ルートパスワードもリセットされません。無効なパスワード)
私の質問は、私のVPSホストが私のボックスをハックできるかどうかということです。データは物理的に暗号化されます。ボックスをリセットせずにルートを変更できると思いますか?もしそうなら、彼らは私のマウントされたファイルシステムにアクセスできますか?権限のない他のユーザーがログインしている場合は、そのユーザーがRAMにアクセスして機密データをダンプする方法はありますか? VPSホストは私のRAMの内容を簡単に読むことができますか?
注:これは仮定的なものです。大きな顧客がいれば、どれくらいのセキュリティを約束できるか知りたいと思いました。私は家に箱があり、それを支えるパイプがあることを望んでいませんでした。
答え1
一般的に言えば、単に物理的にアクセスするだけでシステムを損傷する可能性があります。結局のところ、あなたは機械があなたに真実であると言うことを信頼します。実際のアクセス権を持つ誰かがその信頼を無効にすることができます。物理的なアクセス権を持つ攻撃者は、理論的には何でもできることを考慮してください(ハードウェア/ファームウェアルートキットのインストールなど)。
データが暗号化されている場合、これは良い最初のステップですが、すべてのステップ(ボリュームの暗号化を解除するために認証を入力する場合など)でコンピュータがうそをつくとは限りません。機械を直接制御できない場合、これははるかに困難です。
お客様の特定のお問い合わせについては次のとおりです。
権限のない他のユーザーがログインしている場合は、そのユーザーがRAMにアクセスして機密データをダンプする方法はありますか?
一般的に言えばそうではありません。生のメモリアクセスは特権操作です。
VPNホストは自分のメモリの内容を簡単に読み取ることができますか?
はい。仮想環境での分離は、VPSが実行される外部オペレーティング環境を制御できないことを意味します。この動作環境は実際にこれを行うことができます。
答え2
データを使用するには、まず復号化する必要があるため、実行時に暗号化されていない状態で使用できます。
これは、プロバイダが自分の知らないうちにいつでもリアルタイム実行システムにアクセスできると考えるべきです。これには、ディスクに保存されているデータ、メモリに含まれるデータ(復号化キーなど)、ユーザーが送信するすべてのキーストローク(入力したパスワードを監視して記録できると仮定)などが含まれます。
答え3
悪意のあるホスティングプロバイダから安全な方法はありません。どんなに避けようとしても、プロバイダはあなたのデータにアクセスできます。いくつかの簡単な例:
- 暗号化されたSSHトラフィックは、ホスト上のファイルシステムからホストキーを取得し、他のSSHサーバーを仲介者として使用してトラフィックを復号化し、SSHサーバーとネゴシエートすることによって取得できます。
- ルートファイルシステムまたはSSHホストキーを暗号化するには、端末にパスワードを入力する必要があり、端末はプロバイダによって制御されるため安全であるとは見えません。
サーバーを所有する合理的で安全な唯一の方法は、ボックスを購入して共有またはプライベートホスティング環境のケージに入れ、暗号化されたファイルシステム、信頼できるブートデバイス、ケージに物理ロックを設定し、セキュリティサーバー。コンソールアクセス。
それにもかかわらず、ソフトウェアバージョンのセキュリティ問題、ロック解除(物理ロックの場合)の問題などにより、脆弱性がある可能性があります。