VPS file-rendszer-titkosítás?

Security-all

Sziasztok!

Egy olyan VPS-re kell(ene) rendszert telepítenem, melyen sok olyan program fut(na), amit én fejlesztettem, de a VPS környezetet a megrendelő biztosítaná. Ezek a fejlesztések nemcsak a home, hanem globálisan értendők.
A fejlesztések nem részei a megállapodásnak, és kizárt, hogy azok is lehetnének.

Félek a lopástól.

Mit tehetnék annak érdekében, hogy a lopás ne következhessék be (fájlrendszer szinten sem)?

Előre is köszönöm a válaszokat.

  • 2285 megtekintés

( andrej_ v | 2016. 10. 18., k – 23:04 )

Olyan VM-et kérsz, ami két diszkes (valszin particiós a dom0-ból nézve) és a második diszket ízlés szerint titkosítod, esetedben nyilván úgy, hogy a kulcsot nem tartalmazza a VM és csak kézzel tudod mountolni.

( o_O v | 2016. 10. 18., k – 23:44 )

Ha PHP akkor ZendGuard vagy IonCube. Amatorok ellen hatasos vedelem :).
--
"ssh in a for loop is not a solution" – Luke Kanies, Puppet developer

( mrceeka v | 2016. 10. 18., k – 23:57 )

Milyen szintű hozzáférése van/lesz a megrendelőnek a VPS géphez?

Üdv,
Marci

( joco01 v | 2016. 10. 19., sze – 01:03 )

Technikai értelemben véve a feladat megoldhatatlan. Mindegy mit csinálsz, ha nekik van admin hozzáférésük a géphez, akkor akár a memóriából is ki tudnak olvasni bármilyen titkos kulcsot vagy a futó programot. Nehezíteni lehet esetleg a dolgukat, de ez már csak olyan, hogy az neked is kihívás lesz és esetleg még az ügyfélnek is kellemetlenséget okozhat (lásd fentebb javasolt remote unlock, 24/7-ben rendelkezésre kell állnod, különben nélküled nem indul el a gép, ez szerintem kb. elfogadhatatlan mindkét félnek). Lehet obfuszkálni, ha az éppen olyan programnyelv, amiben ez könnyen megoldható, de akkor is maximum a forrást nehezebb visszafejteni, de ugyanúgy ellopható. Lehet licencelgetős megoldásokat fejleszteni, vagy venni, stb. stb.

Keress inkább egy szellemi termékekkel foglalkozó ügyvédet, pl. www.knip.hu. Vagy ha annyira értékesnek gondolod, akkor inkább ne add ki a kezedből a fejlesztéseidet, keress más megoldást.

--

és a szerződést. Az, hogy a megrendelő megkapja a forrást - még nem jelenti azt, hogy sajátjaként kezelheti.
Ez egy biztosítás a részére, ha 3 év múlva elválnak útjaitok, esetleg meg tudja fixálni magának amit akar (ha ezt így rögzítitek), de pl 3. fél részére a tudtod nélkül semmi módon nem adhatja át sem a forrást, sem a binárist, mert ha igen...

De tényleg, minek kéne történnie?
Tegyük fel ez egy belső használatú rendszer. Elválnak útjaik, megkéri, hogy légyszi ne használjátok tovább a saját szervereteken a programomat. És utána?
Következő évben úgy "érzi", hogy biztos továbbra is használják még és kihivja a rendőrséget, akik lefoglalják a szervereket és ő átnézi, hogy használják-e. Vagy hogy? Komolyan érdekel. (mert ezt teljesen kizártnak tartom)

felteszem, az Ügyfél a program használati jogát veszi meg, saját célra, korlátlan ideig.
Ha adott időre (pl 1évre) veszi igénybe, akkor nyilván a megvalósítás is olyan, h garantálni tudja az idő lejárta után a használatot. Pl hw kulcs használata, ahol az ellenőrző rutin bináris library formájában van átadva.

Szó nincs arról, hogy 1 év múlva rendőrségi ellenőrzést kér, h még használják-e a softwaret v nem. Ellenben, ha tudomására jut,h 3. fél részére át lett adva a bináris (netovább a forrás is) akkor aktiválódik a szerződés ezen záradéka, ami alapján elmaradt haszon/üzleti titok etc alapján nagyon jelentős kötbér fizetendő.

( an0n | 2016. 10. 19., sze – 01:25 )

titkosíthatod akár a teljes fájlrendszert úgy, hogy a rootfs titkosítási kulcsát te oldod fel a vps bootolásakor (mondjuk pl. linuxon initrd-vel felhúzott dropbear ssh szerveren keresztül).

de ez sem jelenti az ott tárolt adatok biztonságát egy olyan valakivel szemben, aki hozzáfér fizikailag a géphez és/vagy a vps-t futtató környezethez. ugyanis működés közben bármikor csinálhat egy snapshotot a memóriáról, amiből simán kinyerhető a feloldott titkosítási kulcs.

( dotnetlinux | 2016. 10. 19., sze – 06:52 )

Ha fizikailag hozzafer, akkor csokken a rejtes szintje. Ne fejlessz, hanem szolgaltass neki! Vps-t is te add, szamolj fel 5e ftot a vps-ert es meg 5e-t a yum update miatt. Ugyfel orulni fog. Te is ha meglesz a 10. ilyen megrendelesed.

2016-ban szolgaltatunk, nem fejlesztunk

( mrceeka v | 2016. 10. 20., cs – 23:25 )

"Mit tehetnék annak érdekében, hogy a lopás ne következhessék be"

A szerződésben egyértelműsítsétek, hogy mit lehet és mit nem.

Üdv,
Marci