Privacy VPS: OpenVZ vs KVM vs Xen

4

Considerando OpenVZ , KVM e Xen :

Quale tecnologia VM è la più difficile da accedere per gli amministratori dell'host a causa di una partizione root crittografata ?

Posso avere una ragionevole aspettativa che gli amministratori non autorizzati non possano diventare root all'interno del mio VPS eseguendo un semplice comando sul computer host?

Quale tipo di VM è più probabile che sia sicuro in questo scenario?

P.S .: Mi rendo conto che una VM non offrirà mai una sicurezza assoluta e persino un server dedicato potrebbe teoricamente disporre di dati sifonati via RAM.

Sto chiedendo di determinare se un VPS è abbastanza sicuro da gestire e-mail personali in grado di reimpostare le password o se un server dedicato è necessario e giustificato considerando i maggiori costi.

    
posta Crow 27.07.2014 - 23:58
fonte

3 risposte

9

Con KVM e Xen, l'amministratore rogue può scattare un'istantanea della tua macchina live, quindi esplorare a suo piacimento cosa c'è nella RAM della tua VM. In particolare, otterrà facilmente le chiavi di crittografia per il filesystem crittografato, quindi procederà a leggere tutti i tuoi file. Per la natura stessa del sistema di istantanee, non te ne accorgi.

Con OpenVZ, non hai una macchina virtuale ma una sua emulazione a basso costo, con un kernel condiviso (ma quel del kernel pretende che ogni utente abbia una macchina tutta per sé). L'amministratore host ha il pieno controllo su quel kernel, e quindi può alterarlo (in modo dinamico) per ispezionare la RAM di qualsiasi processo in esecuzione. In ogni caso, se ci fosse la crittografia del disco, sarebbe fatto da quel kernel.

In ogni caso, può essere fatto abbastanza facilmente e in silenzio.

I'm asking to determine if a VPS is secure enough to handle personal emails capable of resetting passwords or if a dedicated server is necessary and justified considering the increased costs.

Questo interamente dipende da cosa proteggono le tue password. Un malvagio sysadmin sarà interessato a reimpostare le tue password solo se ha qualcosa da guadagnare che compenserà i rischi (come mostrato sopra, lettura le tue e-mail saranno abbastanza prive di rischi per l'attaccante, ma in realtà ripristinano la tua password dovrebbe attirare la tua attenzione e potrebbe causare problemi all'attaccante se non fosse abbastanza attento)

Perché non usi Gmail come tutti gli altri? Google possiede già Internet, dopotutto.

    
risposta data 28.07.2014 - 20:02
fonte
6

Indipendentemente dalla tecnologia di virtualizzazione utilizzata. Una volta che l'attaccante ha accesso all'hardware, è game over. In caso di VPS, anche quando si crittografa la partizione di root, se la chiave è archiviata in memoria e non si ha il controllo dell'hypervisor, non è possibile proteggere la riservatezza del sistema con la crittografia.

Gli amministratori con accesso all'hypervisor saranno sempre in grado di accedere alla macchina se la macchina è in esecuzione. Per openVZ, considerando la sua virtualizzazione del kernel (l'amministratore avrà accesso al kernel, non è possibile proteggerlo come funziona), sarà molto meno difficile rispetto a KVM o Xen (che è l'hardware o la paravirtualizzazione).

    
risposta data 28.07.2014 - 04:29
fonte
-1

Utilizza un PC o una VM puliti per la tua connessione VPN e non utilizzare mai quel sistema al di fuori della VPN.

Una VM funzionerà solo se il tuo host è pulito. Se installi giochi gratuiti o software casuali, NON DEVI più avere fiducia nel tuo PC.

Non accedere mai agli account che utilizzi al di fuori del VPN !!!

Crea account separati per qualsiasi servizio che usi sulla VPN. Non accedere mai a nessuno di questi account da nessun altro sistema!

Quindi, fallo e basta. :)

    
risposta data 28.07.2014 - 15:12
fonte

Leggi altre domande sui tag