Fórum Root.cz

Hlavní témata => Distribuce => Téma založeno: oss 23. 08. 2019, 08:59:16

Název: CentOS - šifrování souborů služby
Přispěvatel: oss 23. 08. 2019, 08:59:16: Mam u jedneho providera instanciu CentOS, chcem tam prevadzkovat jednu sluzbu, no chcem aby subory danej sluzby boli na disku sifrovane (spolu z datami, ktore sluzba vyuziva a logmi).
Provider mi ale neumoznije pouzit celodiskove sifrovane.

Da sa to vyriesit nejako tak, ze po restarte servera sa prihlasim cez ssh, zadam heslo na rozifrovanie foldra z binarkami sluzby a nastartujem ju? Ak ano ako?

Je to CentOS 7 (minimal install), sluzba pozostava je spustitelny subor (plus jeho kniznice a data) obsahujuca HTTP server. Ide mi hlavne o to, aby sluzba z datami nebola citatelna zo zaloh a obrazu disku.
Název: Re:CentOS - sifrovanie suborov sluzby
Přispěvatel: czechsys 23. 08. 2019, 09:25:40: Nechcete, aby byla videt data ze zalohy obrazu disku? Tak v tom pripade musi sifrovat/desifrovat data na disku primo dana sluzba.
Název: Re:CentOS - šifrování souborů služby
Přispěvatel: _Jenda 23. 08. 2019, 10:25:54: Citace: oss 23. 08. 2019, 08:59:16
Provider mi ale neumoznije pouzit celodiskove sifrovane.

Jak se to stane? To je kontejner?

Citace: oss 23. 08. 2019, 08:59:16
Da sa to vyriesit nejako tak, ze po restarte servera sa prihlasim cez ssh, zadam heslo na rozifrovanie foldra z binarkami sluzby a nastartujem ju? Ak ano ako?

truncate -s 1G soubor; cryptsetup luksFormat soubor; cryptsetup luksOpen soubor aa; mkfs.ext4 /dev/mapper/aa; mount /dev/mapper/aa /mnt/služba

Je ti předpokládám jasné, že provider klíč uvidí v paměti, a v případě kontejnerů je pak jeho extrakce ještě triviálnější.
Název: Re:CentOS - šifrování souborů služby
Přispěvatel: oss 23. 08. 2019, 13:33:19: Citace: _Jenda 23. 08. 2019, 10:25:54
truncate -s 1G soubor; cryptsetup luksFormat soubor; cryptsetup luksOpen soubor aa; mkfs.ext4 /dev/mapper/aa; mount /dev/mapper/aa /mnt/služba

Je ti předpokládám jasné, že provider klíč uvidí v paměti, a v případě kontejnerů je pak jeho extrakce ještě triviálnější.

Vdaka vyskusam.
To, ze je kluc v pameti nevadi (v pameti musi byt pri cinnosti nahrrana aj dana sluzba), ide o to aby nebola na zalohe disku.
Název: Re:CentOS - šifrování souborů služby
Přispěvatel: czipis 23. 08. 2019, 15:09:05: hlavne nezapomen, ze pri kazdem rebootu bude potreba budto zadat heslo rucne, nebo pouzit nejaky keyfile (asi stahnout z webu, rozsifrovat a klic zlikvidovat, aby nezustal na disku)
Název: Re:CentOS - šifrování souborů služby
Přispěvatel: k3dAR 23. 08. 2019, 22:31:36: Citace: oss 23. 08. 2019, 13:33:19
To, ze je kluc v pameti nevadi (v pameti musi byt pri cinnosti nahrrana aj dana sluzba), ide o to aby nebola na zalohe disku.
zalohu dela provider? jak? (lvm/btrs/zfs)snapshot toho co ti pridelil? nebo ~dela "rsync tvuj@stroj /jeho/zalohy" ? v druhem pripade samozrejme by zalohoval i siftrovnej-odemcenej-pripojenej-image, vzhledem k tomu ze ti neumoznuje plne sifrovanej disk, muze to teoreticky(?) byt i ta druha varianta...