Hallo,
eines vorweg, ich vertraue meinem Hoster, aber da ich die Mitarbeiter nicht persönlich kenne und es immer wieder schwarze Schafe gibt, will ich meinen Root-Server (KVM) vor fremden Datenzugriff schützen.
Ich beabsichtige daher meinen Root-Server komplett mit dm-crypt zu verschlüsseln. Damit will ich verhindern, dass meine Daten ungeschützt auf dem physischen Datenträger des Hostsystems liegen und dass die Mitarbeiter einen verwertbaren Snapshot erstellen können.
Nun liest man immer wieder, dass eine Verschlüsselung auf einem Root-Server nichts bringt, da die Daten zur Laufzeit entschlüsselt sind und dass man daher auf diese zugreifen kann. Das ist mir vom Grundsatz her auch klar, aber wie soll man, ohne großen Aufwand zu betreiben, an die Daten rankommen, wenn man nicht im Besitz der Zugangsdaten des Servers ist? Das dürfte doch auch für den Hoster recht schwierig bis unmöglich sein oder sehen ich das falsch? Mir geht es hier auch nicht um Schutz vor Angreifern, die aufgrund von Sicherheitslücken Zugriff auf das System erhalten haben.
Was meint Ihr dazu?
Gruß
Jochen
eines vorweg, ich vertraue meinem Hoster, aber da ich die Mitarbeiter nicht persönlich kenne und es immer wieder schwarze Schafe gibt, will ich meinen Root-Server (KVM) vor fremden Datenzugriff schützen.
Ich beabsichtige daher meinen Root-Server komplett mit dm-crypt zu verschlüsseln. Damit will ich verhindern, dass meine Daten ungeschützt auf dem physischen Datenträger des Hostsystems liegen und dass die Mitarbeiter einen verwertbaren Snapshot erstellen können.
Nun liest man immer wieder, dass eine Verschlüsselung auf einem Root-Server nichts bringt, da die Daten zur Laufzeit entschlüsselt sind und dass man daher auf diese zugreifen kann. Das ist mir vom Grundsatz her auch klar, aber wie soll man, ohne großen Aufwand zu betreiben, an die Daten rankommen, wenn man nicht im Besitz der Zugangsdaten des Servers ist? Das dürfte doch auch für den Hoster recht schwierig bis unmöglich sein oder sehen ich das falsch? Mir geht es hier auch nicht um Schutz vor Angreifern, die aufgrund von Sicherheitslücken Zugriff auf das System erhalten haben.
Was meint Ihr dazu?
Gruß
Jochen