Re: M@il auf Server verschlüsselt aufbewahren - wie am einfachsten ?
Am 23.02.2017 um 12:52 schrieb Christian Knoke:
>
> haha
>
> Stefan Baur schrieb am 23. Feb um 12:37 Uhr:
>> Am 23.02.2017 um 12:36 schrieb Martin Steigerwald:
>>> Was möchtest Du mir damit sagen?
>
> gar nichts. Dem *OP* wollte ich damit sagen, dass es auch dropbear gibt, und
> dass es möglicherweise besser ist.
>
>> Dass *er* nicht begriffen hat, dass es mit einem OpenSSH-Daemon in einer
>> initrd nicht getan ist. ;-)
>
> Zum gelegentlichen Hochfahren? Warum nicht?
Siehe unten.
> Zumindest ist das eine bewährte Technologie (OpenSSH).
Ist es, aber löst das Problem eben nicht.
Zur Erinnerung, die Kernfrage war:
>>>> Und wie gibst du ein Passwort zur Plattenentschlüselung ein, ohne an
>>>> irgendeiner Stelle auf Infrastruktur des fraglichen Providers zu
>>>> verwenden?
"Infrastruktur des Providers" ist das Stichwort.
Selbst wenn der Server Dein Eigentum ist und Du ihn höchstpersönlich
irgendwann in das Rechenzentrum geschafft hast - Die Situation von der
wir hier reden, ist, die Maschine war "down" - ob regulär oder hart, ist
egal. Was in der Zeit bis zum Hochfahren passiert ist, weißt Du nicht.
Du gibst also Dein Passwort über eine verschlüsselte SSH-Verbindung ein,
aber kannst Dir nicht sicher sein, dass Dein Server noch integer ist.
Der Provider könnte ihn während der Downtime manipuliert haben, oder den
SSH-Host-Key kopiert haben und ein anderes System mit Deiner IP und den
geklauten Keys hochgefahren haben.
Selbst wenn Dein Server in einem Gitterkäfig mit Vorhängeschloss steht -
wie weißt Du, dass der Käfig noch intakt ist?
--> Deinem Rechenzentrumsbetreiber MUSST Du trauen. Oder allgemeiner
gesagt: Wer physischen Zugriff auf Deine Maschine nehmen kann, ohne dass
Du es mitbekommst, ist so oder so root bei Dir.
-Stefan
Reply to: