Sedikit paranoia yang sehat belum menyakiti siapa pun. Selain messenger dengan enkripsi ujung-ke-ujung, enkripsi file pada smartphone "di luar kotak" dan penggunaan wajib SSL di situs web, tidak akan berlebihan untuk melindungi data
di server virtual. Selain itu, teknologi modern telah membuatnya sederhana dan dapat diakses oleh semua pengguna. Penyedia besar yang menyediakan layanan hosting VPS menawarkan untuk mengenkripsi data pengguna menggunakan alat sistem operasi standar. Misalnya, Microsoft, di cloud Azure-nya, menggunakan BitLocker untuk server di Windows , dan
DM-Crypt untuk mesin virtual di Linux. ... Alat-alat ini memungkinkan Anda untuk menjaga privasi data Anda bahkan jika penyerang mendapatkan akses ke pusat data tempat server berada atau komputer lokal Anda. Anda dapat mempercayai data Anda kepada host yang menyediakan VPS, Anda tidak dapat mempercayai, tetapi tidak ada yang akan melarang Anda menggunakan metode yang sama dengan penyedia VPS mana pun, yang dikonfigurasi sendiri. Dalam artikel ini, saya akan menunjukkan cara melakukannya. Mengenkripsi data di Windows dengan BitLocker Setelah login, kita akan melihat desktop biasa dan panel administrasi. Mari hubungkan layanan BitLocker langsung darinya dengan memilih opsi "Tambahkan peran dan fitur". Pada layar pertama, centang kotak "Lewati ..." agar tidak membaca peringatan setiap kali Anda mengubah konfigurasi, lalu klik
"Berikutnya" dan pilih "Penginstalan berbasis peran atau berbasis fitur", lalu pilih server lokal kami dan di bagian "Fitur", tandai "BitLocker Drive Encryption". Karena kami memiliki server virtual, server ini tidak memiliki prosesor kripto " Modul Platform Tepercaya ", yang berarti kami perlu mengonfigurasi kebijakan akses agar BitLocker meminta kata sandi saat
boot sistem. Jika Anda tidak melakukannya, saat Anda mencoba mengaktifkan enkripsi, sistem akan menampilkan pesan kesalahan: Tetap memilih drive yang ingin Anda enkripsi di Explorer. Selanjutnya, kita akan diminta untuk memilih cara penyimpanan kunci pemulihan akses jika kita lupa kata sandi BitLocker. Lihat
Layar berikutnya
memerlukan konfirmasi bahwa kami benar-benar ingin mengenkripsi disk, klik "Lanjutkan", kami mendapat pesan bahwa proses akan dimulai setelah reboot dan proposal untuk mem-boot ulang komputer. Semuanya - disk sistem server kami dienkripsi. Kami mencoba menghubungkannya dan ... Tidak ada yang berhasil! Semuanya logis. BitLocker akan meminta Anda memasukkan kata sandi saat boot, dan ini terjadi bahkan sebelum sistem siap
untuk operasi jarak jauh. Ini tidak dapat dilakukan melalui RDP. Kami pergi ke halaman RuVDS, yang berisi informasi tentang server yang sedang berjalan, dan kami melihat gambar yang menarik: Sekarang, ketika kita membuka menu drive, kita melihat item baru di dalamnya: "Ubah sandi BitLocker" dan "Kelola BitLocker". Setelah membuka item kedua, kita dapat melihat status disk dan manajemen enkripsi nya. Karena saya sengaja memilih SSD kecil untuk demonstrasi, enkripsi memakan waktu kurang dari lima menit. Ketika itu berakhir, antarmukanya
terlihat seperti ini: Hal
utama adalah jangan melihat file yang berisi kunci untuk memulihkan akses! Omong-omong, bagaimana Anda menggunakan kunci ini jika Anda lupa kata sandi BitLocker Anda? Ini sangat sederhana, Anda perlu me-reboot server dan pergi ke konsol darurat, tetapi sekarang memilih untuk tidak masuk, tetapi memulihkan.
Tekan ESC dan dapatkan undangan untuk memasukkan kunci. Satu kehalusan, Anda hanya perlu memasukkan angka, dan pemisah minus akan dimasukkan secara otomatis. Jika Anda salah memasukkan, Anda akan menerima pesan kesalahan dan permintaan untuk memasukkan kunci lagi. Jika dimasukkan dengan benar, sistem akan melanjutkan booting. Mengonfigurasi BitLocker di Server Jarak Jauh - Selesai. Mengenkripsi data di Linux dengan dm-crypt dm-crypt - sistem enkripsi disk standar berdasarkan kernel Linux, berdasarkan: d evice m apper , subsistem
membuat dan memberikan transparansi untuk bekerja dengan perangkat virtual; dan crypt o API- subsistem enkripsi yang digunakan untuk VPN melalui IPsec dan sejumlah fungsi lainnya. Dm-crypt memiliki dua cara untuk bekerja dengan cryptocontainer, biasa - di mana datanya tidak berisi format yang terlihat dan terlihat seperti
sekumpulan byte acak, dan LUKS - yang menyediakan lebih banyak opsi, misalnya, deteksi otomatis wadah kripto oleh sistem, tetapi file tersebut akan berisi metadata, menurut yang dapat menentukan fakta enkripsi. Kami akan menggunakan metode kedua, melalui protokol LUKS . Server dipilih dengan cara yang sama seperti di bagian pertama, kecuali untuk sistem operasi. Mari lewati langkah - langkah untuk
presetting, mereka dapat ditemukan di manual RuVDSdan lanjutkan ke menginstal sistem enkripsi. Mari perbarui daftar paket dan instal cryptsetup - antarmuka baris perintah dm-crypt (untuk kesederhanaan, semua perintah akan dimasukkan sebagai root):
Salah satunya dengan perintah fallocate. Buat file 512 MB bernama test-crypt di direktori utama pengguna root:
Lebih aman membuat file menggunakan utilitas dd (definisi dataset), ini memungkinkan Anda tidak hanya membuat file, tetapi juga menulis informasi ke dalamnya yang akan menimpa konten sebelumnya dari area yang dipilih. Misalnya nol dari / dev / zero perangkat virtual:
Mari kita periksa apa yang kita dapatkan dengan menggunakan utilitas
Untuk menyelesaikan pekerjaan dengan penampung kripto, Anda harus melepasnya lalu menonaktifkannya:
Untuk menggunakan penampung crypto lagi, Anda perlu menginisialisasi dan memasangnya lagi:
Koneksi yang bagus semuanya! |