Можно ли скрыть информацию, хранящуюся на VDS/VPS от администратора хостинга?

Шифрование чем не вариант?

паранойя?

Есть мысли?

Шифрование чем не вариант?

Шифровать что? Все не зашифруешь.

Шифровать что?

То, что нужно скрыть.

Все не зашифруешь.

Да ну?

В принципе, если рассматривать VDS с установленной на нём Windows Server 2012, то схема защиты мало отличается от схемы защиты стандартной домашней станции, точно такими же способами, с незначительными исключениями, можно защитить и удаленный выделенный сервер. Далее я постараюсь описать процесс защиты сервера по порядку:

• установка DiskCryptor любой версии, начиная с 0.2.6
• шифрование всего диска виртуального сервера с задаванием строки запроса пароля под видом ошибочного системного сообщения, например «NTLDR is missing», пароль запоминается
• заливка, установка и настройка на выделенном сервере антивируса и файрволла
• заливка генератора паролей
• заливка нескольких бесплатных криптографических программ, среди которых должны быть программы как для создания криптоконтейнеров (рекомендуется FreeOTFE или CrossCrypt), так и для шифрования отдельных файлов и папок

Да ну?

Ну а как она будет взаимодействовать с центральной системой? А конфиги?

А зачем тебе шифровать систему?

Это не важно в данном случае, Unix или Windows(в Unix это сделать даже проще), важно что от хостера вы диск и данными не зашифруете и не скроете, разве нет?

А зачем тебе шифровать систему?

Надо. Вопрос не в том зачем, вопрос в том-как это сделать, если возможно конечно?

если сервер физический можно бы было, а виртуальный - пока работает и знает ключ шифрования - нереально, ибо от паузы вм и дебаггера ничто не спасет.

Даже если это возможно, в памяти сервера все равно будут расшифрованные данные. Если тебе это действительно НАДО, то непонятно почему ты используешь VDS.

Те, кому данные реально важны - используют другие методы, вплоть до видеокамер, контролирующих физический доступ к серверу.

Нет.

• создать криптоконтейнер с использованием FreeOTFE размером, превышающим размер созданного в дальнейшем диска виртуальной машины; пароли и ключи для криптоконтейнера могут быть созданы в том числе с использованием генератора псевдопроизвольных паролей, исполняемый файл которого должен находиться на RAM-диске
• установить программы для виртуализации системы (виртуальная машина) с последующей записью файла диска виртуальной машины внутрь ранее созданного криптоконтейнера; шифрование диска виртуальной машины DiskCryptor'ом
• установить программу для создания виртуального RAM-диска размером, соответствующим размеру отправляемой в дальнейшем информации; в дальнейшем к нему будет открыт доступ из виртуальной машины и именно на него будет осуществляться запись информации, которая в дальнейшем будет передана в зашифрованную виртуальную машину
• проверить на постоянную работу вышеприведенную конфигурацию; необходимо несколько раз перезагрузить выделенный сервер и попытаться каждый раз выполнить действия по конечному доступу к виртуальной машине, если в течение нескольких перезагрузок результат будет успешным, значит система работает

как из вариантов, - можно, я скрыл, делается всего одной командой. man ssh -R

провайдер внешний IP не дает, а хостить бложек со своими жаббер/почта серверами хочется. VPS подарили, но информацию (аккаунты пользоателей хотя бы) так же, как и вы, не доверяю.

поэтому от локалхоста до vps был проброшен ssh «туннель», проксирующий все запросы от vps на мой локалхост и обратно (по портам).

ssh -fNnT -R *:80:localhost:80 root@IP

в данном примере ты включишь прослушивание 80 порта на vps, и все запросы sshd будет перенаправлять на твой localhost 80 порт, на котором у тебя уже крутится веб-сервер с приватными данными пользователей. аналогично для жаббера и почты, и всего остального.

на правах рекламы: http://spfng.com/blog/reverse-proxy-server-via-ssh-tunnel/

вобщем, если vps'ку использовать только как доступ во внешний мир - пожалуйста. а все данные остаются у тебя.

Хороший ход.

И что в этой конфигурации помешает админу сделать снимок VDS в тот момент когда криптоконтейнеры подключены и ключи в памяти, а потом в всю дальнейшую добычу данных производить из снимка?

Вопрос же был как защитить данные которые хранятся на сервере, а не как убрать данные с сервера.

И что в этой конфигурации помешает админу сделать снимок VDS в >тот момент когда криптоконтейнеры подключены и ключи в памяти, >а потом в всю дальнейшую добычу данных производить из снимка?

Вобщем-то да, вы правы, и тогда вся представленная последовательность действий теряет смысл. Но можно пропробовать «поймать момент»)))

Вопрос же был как защитить данные которые хранятся на сервере, >а не как убрать данные с сервера.

Тоже верно.

dm-crypt + luks + dropbear@initrd.
на дебиане и бубунте делается в полтычка.

Да тут уже три раза говорили, что на виртуалке это не спасёт. Делается снимок памяти и оттуда достается всё что хочешь.

Хранишь там зашифрованные данные, а расшифровываешь только на локальной машине. Профит.

Это одна из причин, почему я покупаю для критичных вещей целые дедики.

неопознаваема

http://ru.wikipedia.org/wiki/Стеганография

Это одна из причин, почему я покупаю для критичных вещей целые дедики.

И на вас есть проруха. Специально обученные люди с физическим доступом к вашему дедику легко положат в ядро/initrd код который сохранит введенные вами пароли в чистом виде где-то в конце hdd. А можно и dropbear пропатчить.

От физического доступа защиты не существует. :)

Купить у совсем других провайдеров, несколько других серверов, и шифровать все данные *на клиенте* одноразовыми ключами, хранящимися на других серверах(естественно, с другими параметрами авторизации).

блять, ЛОР, ну это же очередная школота типа сырожы, зенитарки и т.д.

кули вы ему/ей отвечаете?

Кстати, а ключи можно использовать составные)

Как вариант vps можно использовать для хранения на нем отдельных зашифрованых (с помощью сертификатов OpenSSL) файлов или запароленых архивов.