บุกเข้าไปในกล่อง? (หน่วยความจำ & ดิสก์)

ฉันมี VPS ฉันอาจเข้ารหัสพาร์ทิชันของฉัน แต่ฉันยังไม่ได้ลอง บริษัท VPS ของฉันฉันเชื่อว่าสามารถรีเซ็ตรหัสผ่านรูทของฉันได้แม้ว่าคีย์ SSH เดียวที่ฉันเห็นคือของฉันเอง encfsด้วยข้อมูลทั้งหมดของฉันฉันได้มันเข้ารหัสด้วย ในกรณีที่แฮ็กเกอร์เข้าถึงบางประเภทencfsสามารถติดตั้งไดรฟ์ได้เท่านั้นหากรหัสผ่านของฉันถูกต้อง (คีย์ SSH จะไม่ติดตั้งใหม่การรีเซ็ตรหัสผ่านรูทจะไม่ถูกเมาท์เนื่องจากรหัสผ่านใหม่เป็นรหัสผ่านไม่ถูกต้อง)

คำถามของฉันคือโฮสต์ VPS ของฉันสามารถบุกเข้าไปในกล่องของฉันได้หรือไม่ ข้อมูลจะถูกเข้ารหัสทางกายภาพ ฉันเชื่อว่ารูทสามารถเปลี่ยนแปลงได้โดยไม่ต้องรีเซ็ตกล่องหรือไม่ ถ้าเป็นเช่นนั้นพวกเขาสามารถเข้าถึงระบบไฟล์ที่ถูกเมานต์แล้วได้หรือไม่? หากผู้ใช้รายอื่นที่ไม่มีสิทธิ์ลงชื่อเข้าใช้ผู้ใช้สามารถทำบางสิ่งเพื่อเข้าถึง ram และการถ่ายโอนข้อมูลที่สำคัญได้หรือไม่ โฮสต์ VPS สามารถอ่านเนื้อหาของ RAM ของฉันได้อย่างง่ายดายหรือไม่

หมายเหตุ: นี่เป็นสมมุติฐาน ฉันกำลังคิดว่าถ้าฉันมีลูกค้ารายใหญ่ฉันต้องการทราบว่าความปลอดภัยที่ฉันสามารถสัญญาได้มากแค่ไหน ฉันไม่อยากฝากกล่องที่บ้านหรือมีท่อเพื่อรองรับ

ตามกฎทั่วไปการเข้าถึงตัวเครื่องเป็นสิ่งที่จำเป็นสำหรับการประนีประนอม คุณเชื่อมั่นในสิ่งที่เครื่องบอกคุณว่าเป็นความจริง บุคคลที่มีสิทธิ์เข้าถึงทางกายภาพอาจทำให้ความเชื่อถือนั้นเป็นโมฆะ พิจารณาว่าผู้โจมตีที่มีการเข้าถึงทางกายภาพสามารถทำอะไรในทางทฤษฎี (รวมถึงการติดตั้งฮาร์ดแวร์ / เฟิร์มแวร์รูทคิท ฯลฯ )

หากข้อมูลถูกเข้ารหัสนั่นเป็นขั้นตอนแรกที่ดี แต่ในทุกขั้นตอน (เมื่อคุณป้อนการรับรองความถูกต้องของคุณเพื่อถอดรหัสระดับเสียง ฯลฯ ) คุณเชื่อว่าคอมพิวเตอร์จะไม่โกหกคุณ นั่นเป็นเรื่องยากมากเมื่อคุณไม่สามารถควบคุมเครื่องทางกายภาพได้

สำหรับข้อความค้นหาเฉพาะบางรายการของคุณ:

หากผู้ใช้รายอื่นที่ไม่มีสิทธิ์ลงชื่อเข้าใช้ผู้ใช้สามารถทำอะไรบางอย่างเพื่อเข้าถึง ram และข้อมูลสำคัญ

โดยทั่วไปไม่มี การเข้าถึงหน่วยความจำแบบ Raw เป็นการดำเนินการที่มีสิทธิพิเศษ

โฮสต์ vps สามารถอ่านเนื้อหาของ ram ของฉันได้อย่างง่ายดายหรือไม่

ใช่. การแยกในสภาพแวดล้อมเสมือนจริงหมายความว่าคุณไม่สามารถควบคุมสภาพแวดล้อมการทำงานภายนอกที่ VPS ทำงานอยู่ได้ สภาพแวดล้อมการทำงานนี้สามารถทำได้อย่างแน่นอน

เนื่องจากข้อมูลจะต้องถูกถอดรหัสเพื่อให้สามารถใช้งานได้จึงจะสามารถใช้งานได้ในสถานะที่ไม่ได้เข้ารหัสในระหว่างการใช้งานจริง

คุณควรปฏิบัติต่อราวกับว่าผู้ให้บริการสามารถเข้าถึงระบบการทำงานสดได้ตลอดเวลาโดยที่คุณไม่รู้ตัว ซึ่งรวมถึงข้อมูลที่วางอยู่บนดิสก์ข้อมูลที่อยู่ในหน่วยความจำ (เช่นคีย์ถอดรหัส) และแม้กระทั่งการกดแป้นใด ๆ ที่คุณส่ง (เช่นสมมติว่าคุณสามารถสังเกตและบันทึกรหัสผ่านที่พิมพ์ไว้ได้)

ไม่มีวิธีที่ปลอดภัยกับผู้ให้บริการโฮสต์ที่เป็นอันตรายพวกเขาสามารถเข้าถึงข้อมูลของคุณได้ไม่ว่าคุณจะพยายามหลีกเลี่ยง ตัวอย่างง่ายๆ:

1. ทราฟฟิก SSH แบบเข้ารหัสสามารถค้นพบได้โดยการรับโฮสต์คีย์จากระบบไฟล์โฮสต์และวางเซิร์ฟเวอร์ SSH อื่นเป็นแบบคนกลางที่ถอดรหัสการรับส่งข้อมูลและเจรจากับเซิร์ฟเวอร์ SSH ของคุณ
2. การเข้ารหัสระบบไฟล์รูทหรือคีย์โฮสต์ ssh จะต้องให้คุณป้อนรหัสผ่านที่เทอร์มินัลและเนื่องจากเทอร์มินัลถูกควบคุมโดยผู้ให้บริการจึงไม่ถือว่าปลอดภัย

วิธีเดียวที่ปลอดภัยพอสมควรสำหรับการซื้อเซิร์ฟเวอร์คือการติดตั้งกล่องและวางไว้ในกรงของคุณเองในสภาพแวดล้อมที่ใช้ร่วมกันหรือเป็นส่วนตัวโฮสติ้งการตั้งค่าระบบไฟล์ที่เข้ารหัสอุปกรณ์บูตที่เชื่อถือได้ล็อคทางกายภาพบนกรง เข้าถึงคอนโซล

แม้นี่อาจมีช่องโหว่เนื่องจากสิ่งต่างๆเช่นปัญหาด้านความปลอดภัยในเวอร์ชันซอฟต์แวร์การล็อก (สำหรับการล็อกแบบฟิสิคัล)