Hallo,
ist es bei root-Zugriff (nicht "root-server") prinzipiel möglich seinen Linux basierten vServer so zu verschlüsseln, dass der vServer-Anbieter die Daten des vServer-Mieters nicht einsehen, insb. Emails, die von einem IMAP-Server wie devcot auf dem vServer verwaltet werden, nicht lesen kann?
Wenn ja, ist die Verschlüsselung nur mit den fuse basierten Lösungen, wie EncFs oder Cryptofs oder aber sogar mit Block basierten Verschlüsselungsverfahren möglich, wie dm-crypt möglich (natürlich nur, wenn der Kernel das unterstützt - bzw. beim Fehlen der Konfig das Kernelkompilieren beim vServer unterstützt wird)? Wobei dm-crypt wohl ausscheiden würde, weil bei vServer (zumindest der billigen Sorte) AFAIK kein Zugang über fstab zu der "eigenen" Partition besteht, oder? Würden denn loop-aes-utils als dritte Alternative funktionieren?
Falls eine Verschlüsselung möglich ist, gibt es irgendwo ein HowTo dazu? Habe über google leider nichts konkretes gefunden zu dem Thema. Oder gibt es da nur ein paar kurze Hinweise woran man achten muss, damit der Schlüssel für die Verschlüsselung nicht vom vServer-Anbieter mitgelesen werden kann (Authentifizierung würde über ssh vom heimischen PC laufen).
Falls eine Verschlüsslung des ganzen Dateisystem eines vServerkunden über fuse Mittel prinzipiell nicht möglich ist, ist es denn wenigstens möglich eine chroot-Umgebung, in die man devcot installiert zu verschlüsseln?
Stimmt eigentlich das Gerücht, dass (manche oder alle) vServer-Anbieter automatisch oder mindestens bei Bedarf (wie technische Störung oder Missbrauchsverdacht) sowieso Zugang zum Dateisystem des vServer-Kunden haben und damit "root-user ähnlich" alles kontrolieren können?
vServer-Anbieter wäre der Billigheimer star-hosting (netdirect selbst bietet wohl offiziel zumindest nicht auf seiner homepage ein vServer-Angebot - in niedrigster Preisklasse). Wobei ich nicht in Erfahrung bringen möchte (aber dennoch testen werde), wie schlecht deren Leistung sein müsste, wenn sie vServer für 2EUR/Monat anbieten.
Hauptaufgabe des vServers wäre eigentlich nur Email-Server. Es ist klar, dass star-hosting den Eingang der Emails an seinem Gateway theoretisch überwachen und gar aufzeichnen könnte (zB indem er den eingehenden Datenverkehr spiegeln könnte), was ich aber erstmal bezweifeln würde (weil zu aufwendig für so einen kleinen Preisbrecher). Ich möchte aber zB nicht, dass der Betreiber im Nachhinein zumindest theoretisch in meinen Email-Eingang reinschauen kann. Was die Staatsgewalt bei begründetem Verdacht macht ist natürlich etwas anderes.
Ein eigenener root-server als Alternative zu vServer kommt aus finanziellen Gründen nicht in Frage. Falls mein Vorhaben mit star-hosting nicht möglich ist, gibt es Vorschläge für Alternativen, wenn man seine vertraulichen privaten Emails nicht so offen in den Händen der Anbieter überlassen möchte. Nennt mich paranoid aber ich möchte es dennoch. Und ein Emailserver am heimischen DSL-Anschluss mangels statischer IP nur per dyndns erreichbar, würde wohl in vielen Spamlisten/Spamregeln automatisch einsortiert werden.
Diesen Beitrag habe ich in diesem Subforum gepostet, weil es sich nicht um Sicherheit allgemein, sondern um Dateisystemverschlüsslung beim speziellen Fall von vServer handelt.
ist es bei root-Zugriff (nicht "root-server") prinzipiel möglich seinen Linux basierten vServer so zu verschlüsseln, dass der vServer-Anbieter die Daten des vServer-Mieters nicht einsehen, insb. Emails, die von einem IMAP-Server wie devcot auf dem vServer verwaltet werden, nicht lesen kann?
Wenn ja, ist die Verschlüsselung nur mit den fuse basierten Lösungen, wie EncFs oder Cryptofs oder aber sogar mit Block basierten Verschlüsselungsverfahren möglich, wie dm-crypt möglich (natürlich nur, wenn der Kernel das unterstützt - bzw. beim Fehlen der Konfig das Kernelkompilieren beim vServer unterstützt wird)? Wobei dm-crypt wohl ausscheiden würde, weil bei vServer (zumindest der billigen Sorte) AFAIK kein Zugang über fstab zu der "eigenen" Partition besteht, oder? Würden denn loop-aes-utils als dritte Alternative funktionieren?
Falls eine Verschlüsselung möglich ist, gibt es irgendwo ein HowTo dazu? Habe über google leider nichts konkretes gefunden zu dem Thema. Oder gibt es da nur ein paar kurze Hinweise woran man achten muss, damit der Schlüssel für die Verschlüsselung nicht vom vServer-Anbieter mitgelesen werden kann (Authentifizierung würde über ssh vom heimischen PC laufen).
Falls eine Verschlüsslung des ganzen Dateisystem eines vServerkunden über fuse Mittel prinzipiell nicht möglich ist, ist es denn wenigstens möglich eine chroot-Umgebung, in die man devcot installiert zu verschlüsseln?
Stimmt eigentlich das Gerücht, dass (manche oder alle) vServer-Anbieter automatisch oder mindestens bei Bedarf (wie technische Störung oder Missbrauchsverdacht) sowieso Zugang zum Dateisystem des vServer-Kunden haben und damit "root-user ähnlich" alles kontrolieren können?
vServer-Anbieter wäre der Billigheimer star-hosting (netdirect selbst bietet wohl offiziel zumindest nicht auf seiner homepage ein vServer-Angebot - in niedrigster Preisklasse). Wobei ich nicht in Erfahrung bringen möchte (aber dennoch testen werde), wie schlecht deren Leistung sein müsste, wenn sie vServer für 2EUR/Monat anbieten.
Hauptaufgabe des vServers wäre eigentlich nur Email-Server. Es ist klar, dass star-hosting den Eingang der Emails an seinem Gateway theoretisch überwachen und gar aufzeichnen könnte (zB indem er den eingehenden Datenverkehr spiegeln könnte), was ich aber erstmal bezweifeln würde (weil zu aufwendig für so einen kleinen Preisbrecher). Ich möchte aber zB nicht, dass der Betreiber im Nachhinein zumindest theoretisch in meinen Email-Eingang reinschauen kann. Was die Staatsgewalt bei begründetem Verdacht macht ist natürlich etwas anderes.
Ein eigenener root-server als Alternative zu vServer kommt aus finanziellen Gründen nicht in Frage. Falls mein Vorhaben mit star-hosting nicht möglich ist, gibt es Vorschläge für Alternativen, wenn man seine vertraulichen privaten Emails nicht so offen in den Händen der Anbieter überlassen möchte. Nennt mich paranoid aber ich möchte es dennoch. Und ein Emailserver am heimischen DSL-Anschluss mangels statischer IP nur per dyndns erreichbar, würde wohl in vielen Spamlisten/Spamregeln automatisch einsortiert werden.
Diesen Beitrag habe ich in diesem Subforum gepostet, weil es sich nicht um Sicherheit allgemein, sondern um Dateisystemverschlüsslung beim speziellen Fall von vServer handelt.
