CentOS - šifrování souborů služby

[oss]

Mam u jedneho providera instanciu CentOS, chcem tam prevadzkovat jednu sluzbu, no chcem aby subory danej sluzby boli na disku sifrovane (spolu z datami, ktore sluzba vyuziva a logmi).
Provider mi ale neumoznije pouzit celodiskove sifrovane.

Da sa to vyriesit nejako tak, ze po restarte servera sa prihlasim cez ssh, zadam heslo na rozifrovanie foldra z binarkami sluzby a nastartujem ju? Ak ano ako?

Je to CentOS 7 (minimal install), sluzba pozostava je spustitelny subor (plus jeho kniznice a data) obsahujuca HTTP server. Ide mi hlavne o to, aby sluzba z datami nebola citatelna zo zaloh a obrazu disku.

[Reklama]

[czechsys]

Nechcete, aby byla videt data ze zalohy obrazu disku? Tak v tom pripade musi sifrovat/desifrovat data na disku primo dana sluzba.

[_Jenda]

Provider mi ale neumoznije pouzit celodiskove sifrovane.

Jak se to stane? To je kontejner?

Da sa to vyriesit nejako tak, ze po restarte servera sa prihlasim cez ssh, zadam heslo na rozifrovanie foldra z binarkami sluzby a nastartujem ju? Ak ano ako?

truncate -s 1G soubor; cryptsetup luksFormat soubor; cryptsetup luksOpen soubor aa; mkfs.ext4 /dev/mapper/aa; mount /dev/mapper/aa /mnt/služba

Je ti předpokládám jasné, že provider klíč uvidí v paměti, a v případě kontejnerů je pak jeho extrakce ještě triviálnější.

[oss]

truncate -s 1G soubor; cryptsetup luksFormat soubor; cryptsetup luksOpen soubor aa; mkfs.ext4 /dev/mapper/aa; mount /dev/mapper/aa /mnt/služba

Je ti předpokládám jasné, že provider klíč uvidí v paměti, a v případě kontejnerů je pak jeho extrakce ještě triviálnější.

Vdaka vyskusam.
To, ze je kluc v pameti nevadi (v pameti musi byt pri cinnosti nahrrana aj dana sluzba), ide o to aby nebola na zalohe disku.

[czipis]

hlavne nezapomen, ze pri kazdem rebootu bude potreba budto zadat heslo rucne, nebo pouzit nejaky keyfile (asi stahnout z webu, rozsifrovat a klic zlikvidovat, aby nezustal na disku)

[Reklama]

[k3dAR]

To, ze je kluc v pameti nevadi (v pameti musi byt pri cinnosti nahrrana aj dana sluzba), ide o to aby nebola na zalohe disku.

zalohu dela provider? jak? (lvm/btrs/zfs)snapshot toho co ti pridelil? nebo ~dela "rsync tvuj@stroj /jeho/zalohy" ? v druhem pripade samozrejme by zalohoval i siftrovnej-odemcenej-pripojenej-image, vzhledem k tomu ze ti neumoznuje plne sifrovanej disk, muze to teoreticky(?) byt i ta druha varianta...