Fórum Root.cz
Hlavní témata => Server => Téma založeno: mise 10. 04. 2017, 10:10:12
-
Ahoj,
jak mám zabezpečit klíče na serveru? Ptám se zatím jen obecně a jako laik. Nejsem paranoik a stačí normální zabezpečení pro tyto účely. Mám PHP server, který komunikuje přes API s burzou a bankou. Chtěl bych k tomu využít jednoduchou krabičku typu RasPI.
Asi bych se měl zeptat na komplexnější zabezpečení systému?
-
Základ je fyzické zabezpečení serveru. Další level pak je HSM.
Šifrování klíčů a nebo celých disků je nepraktické, protože při každém rebootu musíš zadat heslo.
-
Základ je fyzické zabezpečení serveru. Další level pak je HSM.
Šifrování klíčů a nebo celých disků je nepraktické, protože při každém rebootu musíš zadat heslo.
vytvoris si USB stick s klicem? kdo by zadaval hesla na necem jinem nez desktop / nb..
-
vytvoris si USB stick s klicem? kdo by zadaval hesla na necem jinem nez desktop / nb..
Jo, to je urcite bezpecny ... asi tak stejne, jako kdyz ten klic na tom serveru proste nechas valet na nesifrovanym disku.
2mise: pokud to myslis vazne, tak jak bylo receno, predevsim musis zajistit ze se fyzicky k tomu serveru nikdo nedostane = mit ho nekde pod zamkem (tzn nikoli nekde v datacentru kam ma pristup hromada lidi). Pokud by to melo jit do extremu, tak se pouziva samostatna krabice, ze ktery ten klic nejde v idealnim pripade nijak dostat a muze obsahovat i neco na tema autodestrukce pri otevreni.
-
Na téma autodestrukce po otevření by mohli vyprávět na syrské ambasádě v Praze, no vlastně už nemohli :)
Jinak určitě se mrkni na hardwarové tokeny, případně TREZOR.io, jde do toho uložit snad všechno normálně používané.
-
Na téma autodestrukce po otevření by mohli vyprávět na syrské ambasádě v Praze, no vlastně už nemohli :)
Nebyla to spíš Palestinská ambasáda ? :)
-
Ahoj,
jak mám zabezpečit klíče na serveru? Ptám se zatím jen obecně a jako laik. Nejsem paranoik a stačí normální zabezpečení pro tyto účely. Mám PHP server, který komunikuje přes API s burzou a bankou. Chtěl bych k tomu využít jednoduchou krabičku typu RasPI.
Asi bych se měl zeptat na komplexnější zabezpečení systému?
Závisí od toho, proti čomu chceš kľúče chrániť. Ak proti fyzickej krádeži celého servera, šifrovaný oddiel je celkom účinný. Pozri napríklad LUKS.
Ak to chceš zabezpečiť proti hacknutiu a vykradnutiu "zvnútra", to je rozhodne ťažšie. Tam Ti šifrovaný oddiel príliš platný nebude. Zabezpečenie proti hacku je na celú knihu, ale vo všeobecnosti:
1. správne nakonfigurovať démony
2. pravidelne aktualizovať
3. orezať prístup cez firewall len na nutné služby a nutné IP adresy
4. oddeliť jednotlivé služby a aplikácie aspoň pod rozdielnych používateľov, ak už nie do kontajnerov (a nastaviť im oprávnenia tak, aby si navzájom nevideli súbory, ktoré nemusia, ani na čítanie)
5. nasadiť monitoring
6. mať nejaký plán čo budeš robiť potom až Ťa hacknú (zamedzenie ďalšieho zneužitia, obnova zo záloh, a pod.)
100% ochrana neexistuje, takže admini sa delia na tých, ktorých server už nabúrali, a na tých, ktorých to ešte len čaká.
-
pokud k tomu HP serverů máš i jejich řadič SmartArray, je možné za cca 10t dokoupit licenci na šifrování přímo na něm, umí si lokálně u sebe a nemá tolik omezení jako luks. jako luks a nemusíš při každém startu zadávat heslo. https://www.hpe.com/us/en/product-catalog/detail/pip.6532260.html
Jinak samozřejmost je fyzické zabezpečení serveru (co vím nejméně lze pronajmout housing 4U na zámek), monitoring a alerting přístup a ti paranoidní mažou klíče pokud zjistí neoprávněný zásah :).
-
At uz SSH klice ci jine je zaklad sifrovat, pokud to jde. Napr. ssh klice jsou sifrovany AES256. Heslo musi byt dostatecne silne. Proti kameram a odkoukani je lepsi cast hesla napsat a cast hesla pomoci copy-paste zadat (kopirovany retezec samozrejme musi byt dobre ukryty).
Dale pak sifrovat systemovy disk + home, a pokud to jde, tak zastavit v biosu heslo.
Kazde heslo musi byt jine a vsechna dostatecne silna.
Pomuze i whitelistIP, ze kterych na server pristupujes (jine IP nepovoli). Jde nastavit napr. v IP tables.
To by pro beznou praxi melo byt vice nez dostacujici.
-
Základ je fyzické zabezpečení serveru. Další level pak je HSM.
Šifrování klíčů a nebo celých disků je nepraktické, protože při každém rebootu musíš zadat heslo.
Si delas srandu ?
Kazdy zamek jde otevrit (picking, bumping, flexa, autogen). Nebo utocnik si rovnou sezene klice (at uz legalne nebo ne).
Sifrovani disku je samozrejmost.
-
To je dobrý, naprostej dutohlav a tupoň si dá nick CryptoGuru a přitom tu o cryptování píše bludy.
Četl jsi vůbec původní dotaz? Má jít o zabezpečení klíčů na serveru, tudíž šifrování disků dost dobře použít nejde. A nebo si myslíš, že někdo bude po každém reloadu jezdit do datacentra zadávat heslo?
A ty tvoje ostatní výblitky, to je opravdu něco:
"Proti kameram a odkoukani je lepsi cast hesla napsat a cast hesla pomoci copy-paste zadat (kopirovany retezec samozrejme musi byt dobre ukryty)."
Jasně, takže ty bys chtěl všechno šifrovat, ale potom si část hesla necháš válet někde v texťáku. A místo toho, aby útočník pozoroval co píšeš na klávesnici, tak to jednoduše uvidí na monitoru při kopírování, to je naprosto geniální.
-
@Tomas2
"umí si lokálně u sebe a nemá tolik omezení jako luks. jako luks a nemusíš při každém startu zadávat heslo."
A v čem pak spočívá ta výhoda šifrování, když to po tobě nechce při bootu heslo?
-
Díky Trupík:
Server bude fyzicky pod zámkem - pro mě dostačující. Jen bych nechtěl, aby mi to někdo hacknul na první pokus. Udělat takové normální zabezpečení. A na co si dát pozor, alespoň obecně. Vím, že by to bylo na několik knih. Spíše mi šlo o to oddělení klíčů od jednotlivých služeb. Ale na druhou stranu chci, aby to po výpadku napájení opět normálně najelo (tady je asi šifrování disku zbytečné).
-
Díky Trupík:
Server bude fyzicky pod zámkem - pro mě dostačující. Jen bych nechtěl, aby mi to někdo hacknul na první pokus. Udělat takové normální zabezpečení. A na co si dát pozor, alespoň obecně. Vím, že by to bylo na několik knih. Spíše mi šlo o to oddělení klíčů od jednotlivých služeb. Ale na druhou stranu chci, aby to po výpadku napájení opět normálně najelo (tady je asi šifrování disku zbytečné).
Ak to vie prečítať ten PHP skript, bude to vedieť prečítať aj útočník až sa tam dostane. Ako základné opatrenie by si mohol začať s tým, že súbor s kľúčom bude vlastniť iný používateľ (vytvorený len pre túto jednu vec) a budú na ňom práva -r--------. Potom musíš zabezpečiť (napr. cez apache MPM peruser), aby tento používateľ bol použitý len na túto jednu vec a na nič iné, tzn. aby ďalšie weby bežali pod inými používateľmi. Ak je kód projektu zložitejší, dá sa kritická časť skyť do nejakého API a nechať ju prístupnú len na localhoste a z webového rozhrania sa pripájať k tomuto API (cez curl a pod.). Tak môže byť kód, ktorý narába s kľúčmi relatívne jednoduchý a bezpečný, a webové rozhranie postavené hoci aj na wordpresse ak niekto hackne, tak sa dostane len k tomu, že bude vedieť volať toto API, ale už nie ku samotnému kľúču.
-
@Tomas2
"umí si lokálně u sebe a nemá tolik omezení jako luks. jako luks a nemusíš při každém startu zadávat heslo."
A v čem pak spočívá ta výhoda šifrování, když to po tobě nechce při bootu heslo?
No je to sice na hovno, ale budeš compliant a o pár tisícovek chudší. Fakt terno. Navíc dotazující hledá HSM a ne šifrování disků.
-
Základ je fyzické zabezpečení serveru. Další level pak je HSM.
Šifrování klíčů a nebo celých disků je nepraktické, protože při každém rebootu musíš zadat heslo.
Si delas srandu ?
Kazdy zamek jde otevrit (picking, bumping, flexa, autogen). Nebo utocnik si rovnou sezene klice (at uz legalne nebo ne).
Sifrovani disku je samozrejmost.
Tady s tebou nemohu úplně souhlasit, u nás máme HSM které když se do něj pokusíš dostat hrubou silou (fyzicky) tak zničí veškerá data která jsou uvnitř. Je ale pravda že tam může být nějaká chyba v SW :)
-
To je dobrý, naprostej dutohlav a tupoň si dá nick CryptoGuru a přitom tu o cryptování píše bludy.
Četl jsi vůbec původní dotaz? Má jít o zabezpečení klíčů na serveru, tudíž šifrování disků dost dobře použít nejde. A nebo si myslíš, že někdo bude po každém reloadu jezdit do datacentra zadávat heslo?
A ty tvoje ostatní výblitky, to je opravdu něco:
"Proti kameram a odkoukani je lepsi cast hesla napsat a cast hesla pomoci copy-paste zadat (kopirovany retezec samozrejme musi byt dobre ukryty)."
Jasně, takže ty bys chtěl všechno šifrovat, ale potom si část hesla necháš válet někde v texťáku. A místo toho, aby útočník pozoroval co píšeš na klávesnici, tak to jednoduše uvidí na monitoru při kopírování, to je naprosto geniální.
Ano Lojziku duta hlavo, spravny postreh. Pri reebotu musi clovek prijit do serverovny a zadat heslo rucne vpripade sifrovaneho boot disku. Coz ale neni takovy problem, pokud ma spravce server nekde ve firme, proste si tam dojde. Restarty nejsou kazdy den, jako v pripade staryh widli. Casto vydrzim bez restartu vic nez rok.
Tuponi Lojziku, utocnik nemisi videt heslo na monitoru, a ani nebude nekde v textaku volne lezet. Jde o to, ze jsou casto pouzivany HWi SW keylogerry, ktere zaznamenavaji stisky klavesnice a to same kamera v mistnosti. Kopirovany text bude znacne slozity, narozdil od psane casti, takze utocnik by si ho pohledem na monitor nezapamatoval a kamera v mistnosti proste nema dobre rozliseni, navic nesnima smerem kolmo namonitor (ano, vim, ze existuji programy i hardware pro snimani monitoru, i kdyz to neni tolik rozsirene).
To ze heslo bude ze 2 casyi, psane i kopirovane, ti evidentne nedoslo. A je celkem logicke, ze se rozhlidnu pred psaim hesla kolem, zdali mi nekdo nestoji zazady. Mimochodem kopirovana cast nebude volne lezet v textaku, moznosti ukryti je spousty.
Takze Tuponi Lojziku duta hlavo, priste mysli a jeste lepe, nastuduj si pravidla pro psani na foru (cimz se omlouvam ostatnim, ze jsem reagoval stejnym oslovenim).
-
Debile, evidentně nevíš, která bije, takže radši nikomu neraď.
Nikdo soudný nebude šifrovat disky na serveru, u kterého je důležité, aby byl stále online. Že někdo musí k serveru přijít a zadat klíč je skutečně problém. Jak dlouho asi bude trvat, než správce dojede v noci o víkendu do firmy? A není to spíš bezpečnostní problém, že někdo kvůli každému rebootu bude chodit k serveru?
Ve skutečnosi se řeší ochrana klíčů naprosto jinak - pomocí HSM.
Je jedno, co tady budeš plácat. Ukládat půlku hesla do texťáku, který se bude někde nezabezpečeně válet, to fakt může vymyslet jenom debil.
Mimo to, kde by se v ZABEZPEČENÉ serverovně vzal keyloger? A když bys připustil, že by se tam nějak dostal, proč by se tam nemohla dostat kamera, která by viděla přímo na monitor?
Takové věci se totiž, milý tuponi, řeší zcela jinak. Když už někomu hrábne a bude chtít šifrovat a zároveň bude mít strach z keyloggerů nebo kamer použije pro dešifrování třeba USB token.
-
Debile, evidentně nevíš, která bije, takže radši nikomu neraď.
Nikdo soudný nebude šifrovat disky na serveru, u kterého je důležité, aby byl stále online. Že někdo musí k serveru přijít a zadat klíč je skutečně problém. Jak dlouho asi bude trvat, než správce dojede v noci o víkendu do firmy? A není to spíš bezpečnostní problém, že někdo kvůli každému rebootu bude chodit k serveru?
Ve skutečnosi se řeší ochrana klíčů naprosto jinak - pomocí HSM.
Je jedno, co tady budeš plácat. Ukládat půlku hesla do texťáku, který se bude někde nezabezpečeně válet, to fakt může vymyslet jenom debil.
Mimo to, kde by se v ZABEZPEČENÉ serverovně vzal keyloger? A když bys připustil, že by se tam nějak dostal, proč by se tam nemohla dostat kamera, která by viděla přímo na monitor?
Takové věci se totiž, milý tuponi, řeší zcela jinak. Když už někomu hrábne a bude chtít šifrovat a zároveň bude mít strach z keyloggerů nebo kamer použije pro dešifrování třeba USB token.
Debilku Lojzicku, melby jsi se uklidnit. Jinak jiste existuji servery, kde tuponi jako ty mohu vyradit. Ale to by jsi musel umet na internetu hledat
Nebo jeste lepe - takovy hnup jako ty se spolehlive uklidni, kdyz dostane jisty druh tropickeho ovoce.
-
Výborně, v posledním komentáři ses k uložení klíčů, šifrování a bezpečnosti nevyjádřil, tudíž předpokládám, že sis uvědomil, že jsi psal nesmysly.
-
Další level pak je HSM.
O akych cenovych hladinach sa bavime?
-
A nebo si myslíš, že někdo bude po každém reloadu jezdit do datacentra zadávat heslo?
Mat dnes server bez ILO/OOB/Drac/ILOM/IMM je diletantstvo prveho stupna. Aj pri VPS mas nejaku KVM konzolu.
-
Ano Lojziku duta hlavo, spravny postreh. Pri reebotu musi clovek prijit do serverovny a zadat heslo rucne vpripade sifrovaneho boot disku. Coz ale neni takovy problem, pokud ma spravce server nekde ve firme, proste si tam dojde.
Tohle se řešilo tak, že v initramdisku byl dropbear, na který se dalo připojit a heslo zadat.
-
Výborně, v posledním komentáři ses k uložení klíčů, šifrování a bezpečnosti nevyjádřil, tudíž předpokládám, že sis uvědomil, že jsi psal nesmysly.
Spise postradam smysl debatovat na urovni, se kterou debatujes.
Pro diskuze na podobne urovni existuji jine servery.
Jinak nevim presne k cemu se vyjadrovat. Sifrovani disku, stejne tak jako kterekoliv jine zabezpeceni, prinasi vyhody i nevyhody a kazdy si musi zvolit co prevazuje. 100% ochrana stejne neexistuje,. Sifrovany disk znamena, ze je nutne zajit na misto, kde server bezi a zprovoznit jej po restartu. Jak casto je restart ? Bude moc velky prusvih, kdyz server vypadne v noci a nepobezi do pracovni doby ? Jak daleko je serverovna ? Atd.