Truecrypt
sledge0303
20.11.08, 06:56
Gesetzt den Fall du hast eine Partition verschlüsselt und der Server muss neu gebootet werden, du kriegst es nicht mit. Wer gibt das Passwort in dem Fall ein? Per Skript den Container automatisch öffnen? Hahaha, geile Sicherheit.
Wenn ein Schlaumeier meint, Partionen wie /tmp zu verschlüsseln zu müssen, dahingehend MySQL zu laufen hat, meinst der Kasten wird problemlos starten?
Denke mal, der Sven weiss noch genau was dann passiert...
Die Worte von F4RR3LL zum Thema Verschlüsseln sind nicht nur wahr, man bremst sich selbst aus.
Den Rest der Antwort auf diese Frage zum Thema (Un-)Sinn Verschlüsselung einer HDD auf dem dedizierten Server kann man sich auch mit logischem Denken erklären.
Zitat von
F4RR3LL
Verschlüsseln erhört die Sicherheit auf nem Rootserver nichtmal um 0,01 % das hat nix mit ... bissl sicherer oder evtl etwas mehr sicherer oder ähnliches zu tun .... das bringt einfach gar nix. Ist zwar schon paar Tage alt hier aber dachte mal ich schreibs dennoch mal. TC und co sind lustige Zeitegnossen. Daheim am Homepc insbesondere am Laptop haben sie eine 100%ige Berechtigung aber im RZ sind sie absolut sinnlos.
Gruß Sven
da an einem RZ-Server auch im laufenden Betrieb das rootpw resettet werden könnte und man somit dann eh an den vermutlich eingehängten Zustand der verschlüsselten Partitionen/Festplatten/Container herankäme?
vielleicht denke ich auch grad einfach nur zu kurz weil ich um die Uhrzeit müde bin, aber würde es dir was ausmachen etwas detaillierter zu werden?
gruss
Crazymodder
16.11.08, 09:51
Endlich mal ne handfeste Aussage. Ich hoffe der Threadstarter is jetzt überzeugt!
Verschlüsseln erhört die Sicherheit auf nem Rootserver nichtmal um 0,01 % das hat nix mit ... bissl sicherer oder evtl etwas mehr sicherer oder ähnliches zu tun .... das bringt einfach gar nix. Ist zwar schon paar Tage alt hier aber dachte mal ich schreibs dennoch mal. TC und co sind lustige Zeitegnossen. Daheim am Homepc insbesondere am Laptop haben sie eine 100%ige Berechtigung aber im RZ sind sie absolut sinnlos.
Gruß Sven
Aber es kann sich ja i.d.R. nicht jeder einloggen, nur autorisierte Personen
Ein Automount würde keinen Sinn ergeben, dann kann ein Unbefugter bzw. der Hoster einfach das root Passwort ändern und hat dann nach dem booten Zugriff auf die Daten der Partition. Das ergibt nur Sinn wenn du immer von Hand mountest.
Zur Performance kann ich jetzt nicht ganz soviel sagen, hatte es nur mal kurz auf nem ISGENUG 2XL getestet. Da hatte ich mit Twofish um die 30-40 mb/s Schreibgeschwindigkeit.
Zitat von
s0cke
ja, das ist mir natürlich klar, wenn die partition eingehängt ist hat man zugriff. mir gings dabei nur um einen zusätzlichen schutz der daten, wenn die platte in andere hände kommt, der server kontrolliert wird oder sonstiges. ist jetzt nicht! auf ovh bezogen, sondern allgemein auf server die in irgendwelchen rechenzentren oder sonst wo rumstehen. ist einfach nochmal etwas sicherer.
Sicher, das verstehe ich schon. Sinnvoll, sollte der Server mal abhanden kommen. Weniger sinnvoll, wenn der Server 24/7 online ist und die encryptete Platte im System eingehängt ist, da dann jeder, der sich einloggen kann, auch Zugriff erhält.
Wie ist das eigentlich, wenn dein Server unerwartet rebootet, musst du dann jedes mal die Platte manuell einhängen (mit eingabe des Passworts)?
Und wie wirkt sich das encrypten in der Laufzeit aus, geht viel Performance verloren ?
Zitat von
whyte
Und wenn der Server läuft, sind die Daten doch entschlüsselt, wenn eine verschlüsselte Partition in das System eingehängt ist, oder ?
ja, das ist mir natürlich klar, wenn die partition eingehängt ist hat man zugriff. mir gings dabei nur um einen zusätzlichen schutz der daten, wenn die platte in andere hände kommt, der server kontrolliert wird oder sonstiges. ist jetzt nicht! auf ovh bezogen, sondern allgemein auf server die in irgendwelchen rechenzentren oder sonst wo rumstehen. ist einfach nochmal etwas sicherer.
Zitat von
s0cke
wie wärs ganz einfach mit dem datenschutz von möglichen kundendaten auf dem server?
wer in seinen datenschutzbestimmungen angibt, dass die daten nicht von 3. eingesehen werden können sollte die festplatte auch zusätlich verschlüsseln.
Siehe Beitrag von WHITE, ist dies nun ein unüberlegter Gedankengang oder ein genereller Irrtum. Plattenverschlüsselung hilft nicht, wenn der Zugang eh über z.B. den Apachen Zugang hat, sonst könnte auch selbiger Prozess ja nicht auf die Daten zugreifen.
Und wenn der Server läuft, sind die Daten doch entschlüsselt, wenn eine verschlüsselte Partition in das System eingehängt ist, oder ?
wie wärs ganz einfach mit dem datenschutz von möglichen kundendaten auf dem server?
wer in seinen datenschutzbestimmungen angibt, dass die daten nicht von 3. eingesehen werden können sollte die festplatte auch zusätlich verschlüsseln.
TF_SChw@rZl!cht
13.11.08, 17:08
ohne jemanden was zu unterstellen aber ich denke mal es handelt sich hier um graue oder schwarze zone :-P
Rein aus Interesse: Was ist der Sinn dahinter? Falls der Server aus dem RZ geklaut wird?
Wäre nur möglich, wenn du dann später das KVM zubuchst.
Crazymodder
13.11.08, 14:13
Mh das wird aufn Server wohl nicht gehen wie du schon sagts. SSh startet erst wenn dein BS läuft.
Tag,
Gibt es eine möglichkeit via Truecrypt die komplette Platte zu verschlüsseln.
So das man beim Booten das Passwort eingeben muss.
Das Problem ist ja eben das man beim Booten keine Verbindung zum Screen hat.
MFG ReduX08
