I
при шифровании прокса целиком, в случае если гипервизор перестанет запускаться, то решать проблемы будет несколько сложнее )
Size: a a a
2019 June 11
TF
могу сказать, что даже если изымут сервер - будет предлог ебать мозги и садить клиента, а так - я не я и хата не моя
IH
Да там все законно, скорее боятся рейдеров
TF
я об этом
IH
при шифровании прокса целиком, в случае если гипервизор перестанет запускаться, то решать проблемы будет несколько сложнее )
Тоже так думаю. Еще уточняющий вопрос. Вы предлогает вирант уже при установке виртуальной машины шифровать данные внутри или сам физический диск зашифровать?
I
Тоже так думаю. Еще уточняющий вопрос. Вы предлогает вирант уже при установке виртуальной машины шифровать данные внутри или сам физический диск зашифровать?
Да. Тут конечное решение от задач зависит. Чуть больше безопасности будет при шифровании всего и запуска только подписанного в UEFI debootstrap прокса. Менее всего при подключении к виртуалке зашифрованного диска. Если рассматривать только кейс с изъятием, то вполне подходит даже самый небезопасный вариант в этой цепочке.
IH
Да. Тут конечное решение от задач зависит. Чуть больше безопасности будет при шифровании всего и запуска только подписанного в UEFI debootstrap прокса. Менее всего при подключении к виртуалке зашифрованного диска. Если рассматривать только кейс с изъятием, то вполне подходит даже самый небезопасный вариант в этой цепочке.
Да, тут заоблачная безопасность не нужна
I
Опасность возникает когда ты не знаешь об изъятии, а тебе уже подсунули левый загрузчик, в который ты впишешь пароль от зашифрованно диска.
IH
Ну хз, это уже некст лвл думаю. Кто в Украине такое умеет?
I
Тогда самые ненапряжные варианты подходят:
1.Если ставится новая ОС - сразу выбрать установку в luks целиком.
2.Если ось уже поставлена - добавить новый виртуальный диск или раздел, перенести на него всё что нужно прятать.
Каждую перезагрузку придется в первом случае вводить пароль в консоли гипервизора или настроить debootstrap и вводить по ssh. Во втором случае вводить пароль на подключение по ssh в ОС. Автоматизировать ввод пароля по разумным причинам не стоит.
1.Если ставится новая ОС - сразу выбрать установку в luks целиком.
2.Если ось уже поставлена - добавить новый виртуальный диск или раздел, перенести на него всё что нужно прятать.
Каждую перезагрузку придется в первом случае вводить пароль в консоли гипервизора или настроить debootstrap и вводить по ssh. Во втором случае вводить пароль на подключение по ssh в ОС. Автоматизировать ввод пароля по разумным причинам не стоит.
IH
Сейчас установлен только гипервизор, который можно переустановить.
IH
То есть создаем виртуалку и там уже во время установки создаем шифрованные разделы.
IH
Или второй вариант - зашифровать сами диски - стореджи.
IH
И после загрузки гипервизора коннектится к по SSH > вводить пароли/монтировать > запускать виртуалки
I
Я имел ввиду что оба варианта для вм будут делаться.
I
Для гипервизора нагрузка проца при большом IO может быть заметна. Всмысле если весь гипервизор шифровать хочешь.
IH
Нет, весь не хочу
IH
Я хоть это не буду админить, но если сломается, то скорей всего чинить буду я =)
h
Для гипервизора нагрузка проца при большом IO может быть заметна. Всмысле если весь гипервизор шифровать хочешь.
Шта
h
На современных процах это почти бесплатно