• XSS.stack #1 – первый литературный журнал от юзеров форума

Как обезопасить сервер от хостера?

Отслеживать

user47

floppy-диск
Пользователь
Регистрация
24.07.2023
Сообщения
2
Реакции
0
Добрый вечер. Мне все понятно касаемо обратного прокси и абузоустойчивого хостинга. Но как можно обезопасить данные на сервере(код приложения, записи в базе данных, файлы) от хостера(или третьих лиц заполучивших прямой доступ к серверу)? Искал в материалы на эту тему, но там рассматривается лишь варианты с шифрованием системы через панель управления хостинга, но понятно что при желании пароль можно через эту же панель управления перехватить.
 
Сортировать по дате Сортировать по голосам
Пожалуйста, обратите внимание, что пользователь заблокирован
Никак нельзя. Разве что закодить какую-то сложную систему с шифрованием кода на лету, но там быстродействие будет на нуле, да и неясно где хранить пароль.
Опиши вообще, что нужно пошифровать , какая там схема .
 
За 0 Против
Глянь в сторону контейнера luks, в нем и работать не проблема, на хостинге с openvz не будет работать , надо патчить что хостер не даст.
При компроментации ни кто не сможет ящик вскрыть, если пасс не 123
 
За 0 Против
гарантированно: никак
не гарантированно: https://xss.pro/threads/94447/post-659366
</thread>
 
За 0 Против
Quake3 сказал(а):
Никак нельзя. Разве что закодить какую-то сложную систему с шифрованием кода на лету, но там быстродействие будет на нуле, да и неясно где хранить пароль.
Опиши вообще, что нужно пошифровать , какая там схема .
Ничего особенного, web приложение со всеми вытекающими. Интересуюсь скорей с заделом на будущие проекты. А информации о том как проекты и в частности серые проекты(форумы, обменики и т.п.) в интернете обеспечивают безопасность сервера от хостера в сети практически нет.
 
За 0 Против
Пожалуйста, обратите внимание, что пользователь заблокирован
Evil God сказал(а):
Можешь спросить у рансомварщиков (LockBitSupp, alphv) которых пока не поломали, живой пример, но не гарантированный
ТРМ + проксирование доменов
 
За 0 Против
За 0 Против
За 0 Против
Quake3 сказал(а):
Никак нельзя. Разве что закодить какую-то сложную систему с шифрованием кода на лету, но там быстродействие будет на нуле, да и неясно где хранить пароль.
Опиши вообще, что нужно пошифровать , какая там схема .
контролер на 30к строк кода))) и индусский стиль программирования поможет)
 
За 0 Против
user47 сказал(а):
Добрый вечер. Мне все понятно касаемо обратного прокси и абузоустойчивого хостинга. Но как можно обезопасить данные на сервере(код приложения, записи в базе данных, файлы) от хостера(или третьих лиц заполучивших прямой доступ к серверу)? Искал в материалы на эту тему, но там рассматривается лишь варианты с шифрованием системы через панель управления хостинга, но понятно что при желании пароль можно через эту же панель управления перехватить.
от физ доступа очень сложно защититься, в таком случае лучше железку на балконе хранить
 
За 0 Против
За 0 Против
Пожалуйста, обратите внимание, что пользователь заблокирован
Dread Pirate Roberts сказал(а):
https://xss.pro/threads/75760/post-674204
Сначала нужно найти сервер, чтобы его выдернуть и расшифровать, а чтобы его не нашли, у нас есть проксирование доменов, это когда 1 онион домен ссылается на другой домен, на третий, на четвертый и так сколько хочешь, в итоге получаем, что сервер не возможно найти или его не успели найти за 4 года, кроме того не забываем о том, что сервера можно менять хоть каждый месяц.
 
За 0 Против
LockBitSupp сказал(а):
Сначала нужно найти сервер, чтобы его выдернуть и расшифровать, а чтобы его не нашли, у нас есть проксирование доменов, это когда 1 онион домен ссылается на другой домен, на третий, на четвертый и так сколько хочешь, в итоге получаем, что сервер не возможно найти или его не успели найти за 4 года, кроме того не забываем о том, что сервера можно менять хоть каждый месяц.
цепочки проксей - это понятно, всё же мне хотелось бы знать, как именно вы используете TPM. для расшифровки диска (храните ключ в TPM?) или для контроля целостности (используете HEADS?) или ещё как-то?
 
За 0 Против
Товарищ майор затеял опасную игру применив СИ и втянув других фигурантов для отвода глаз. Главная цель допроса - узнать рецепт ЛоскВитСуп (разновидность борща). Смотреть бесплатно без регистрации и смс.
 
За 0 Против
Пожалуйста, обратите внимание, что пользователь заблокирован
Dread Pirate Roberts сказал(а):
цепочки проксей - это понятно, всё же мне хотелось бы знать, как именно вы используете TPM. для расшифровки диска (храните ключ в TPM?) или для контроля целостности (используете HEADS?) или ещё как-то?
Я не могу раскрывать технические подробности, в целях безопасности.
 
За 0 Против
user47 сказал(а):
Добрый вечер. Мне все понятно касаемо обратного прокси и абузоустойчивого хостинга. Но как можно обезопасить данные на сервере(код приложения, записи в базе данных, файлы) от хостера(или третьих лиц заполучивших прямой доступ к серверу)? Искал в материалы на эту тему, но там рассматривается лишь варианты с шифрованием системы через панель управления хостинга, но понятно что при желании пароль можно через эту же панель управления перехватить.
Несколько подходов. Один из них просто не хранить данные на хостере.
Делаем

Код: 
ssh -D 8080 -f -N admin@myhoster.com

и имеем Socks5 через sshd-хостера.

Разуемеется, здесь есть проблема, что hoster подменил на этапе инсталла ваш sshd и производит man-in-the-middle аттаку.
Однако это легко проверяется.

Запускаем docker с хостерской системой, ставим openssh-server, смотрим на sha256sum.

например, для ubintu:focal:
Код: 
$ docker pull ubuntu:focal
$ docker run -it ubuntu:focal /bin/sh


внутри докера:

Код: 
# apt update
# apt install openssh-server -y
# sha256sum $(which sshd)
0234f72a402c069e394fda392349faca9fb1c01198aaf38ec6641a79a2cbef66  /usr/sbin/sshd

На хосте:

Код: 
$ sha256sum $(which sshd)
0234f72a402c069e394fda392349faca9fb1c01198aaf38ec6641a79a2cbef66  /usr/sbin/sshd

Хеши совпали - проблем нет.

Второй подход, если очень хочется держать данные на хосте, то EncFS и VeraCrypt вам в руки. Однако стоит помнить, что это довольно опасно, так как в любой момент (например, по запросу FBI), хостер поставит софт (руткит), который будет читать ваш инпут при декрипте или просто уже отдекрипченный вольюм. Даже если вы задекриптили весь диск, то хостеру не будет проблем перехватить ввод данных при декрипте, так как сервер в его руках.

Короче, не держите данные на хосте.

PS.
Теорeтически, вы можете использовать гомоморфную криптографию (https://ru.wikipedia.org/wiki/Гомоморфное_шифрование), добавляя данные, которые вы хотите. Но данные должны уже прийти в шифрованном виде в память, чтобы не позволить хостеру уже на этом этапе увидеть то,что вы собираетесь шифровать.
 
Последнее редактирование:
За 0 Против
paulmuller сказал(а):
Запускаем docker с хостерской системой, ставим openssh-server, смотрим на sha256sum.
бред какой-то.

paulmuller сказал(а):
Даже если вы задекриптили весь диск, то хостеру не будет проблем перехватить ввод данных при декрипте, так как сервер в его руках.
а тут верно :)

sm1.png




sm2.png
 
За 0 Против
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх