Hat der Hosting-Anbieter Zugriff auf meinen dedizierten Server?

7

Ich möchte einen dedizierten Server für meine Webanwendung kaufen. Ich bin jedoch besorgt über die Sicherheit meines Anwendungscodes und darüber, wer auf meinen Server zugreifen kann, auch auf dedizierte Server. Da der Hosting-Anbieter mir ein vorinstalliertes Betriebssystem zur Verfügung stellt, habe ich Bedenken hinsichtlich des Zugriffs auf den Hosting-Anbieter zu meinem Server ändere ich sogar Passwort.

Gibt es auf jeden Fall die Möglichkeit, über einen Hosting-Anbieter auf meinen Server zuzugreifen?

Ashwin Mekala
quelle
7
Es sei denn, Sie besitzen die physische Hardware und bewahren sie in Ihrem eigenen Gebäude / Rechenzentrum auf (oder zumindest in einem verschlossenen Käfig, auf den nur Sie Zugriff haben): Ja, es besteht immer die Möglichkeit, dass jemand die Daten abruft davon.
David W
9
Wenn ein Angreifer physischen Zugriff auf Ihre Hardware erhält, kann er grundsätzlich alles tun. Die Verschlüsselung kann in Frage gestellt werden (da sie auf den Speicher zugreifen und Schlüssel auslesen können). Wenn Sie Ihren Hosting-Anbieter als Angreifer betrachten , würde ich einen anderen Anbieter vorschlagen.
Nick T
1
Is there an chance to access my server by hosting provider in any case?- Ja. In jedem Fall. Wenn Sie die Hardware nicht besitzen oder nicht steuern, hat die Entität, die dies tut, jederzeit einen gewissen Zugriff darauf. Aber nur weil sie es können, heißt das nicht, dass sie es tun werden. Der Unterschied ist zwischen können sie und werden sie? F: Können sie auf einer bestimmten Ebene darauf zugreifen? A: Natürlich können sie. F: Werden sie das für schändliche Zwecke nutzen? A: Wahrscheinlich nicht.
Joeqwerty
Einige Anbieter installieren Software, die ihnen den Verwaltungszugriff auf den Knoten ermöglicht. "Verwaltungszugriff" kann böswillig verwendet werden. In diesem Fall nennen wir ihn unter dem anderen Namen "Hintertür".
Stefan Lasiewski
Wenn Sie so besorgt sind, besorgen Sie sich ernsthaft einen eigenen Server und kaufen Sie Colocation-Speicherplatz. Es ist wahrscheinlich nicht viel teurer als das, was Sie für einen dedizierten Server bezahlen. Sie können einen billigen Server mit geringem Stromverbrauch für ein paar hundert Dollar, einen Mac mini für ungefähr das gleiche oder einen echten Server für mehrere tausend Dollar oder einen gebrauchten echten Server von ebay oder craigslist kaufen (normalerweise bekommt jemand neue Server für sein colo / dc). Ich habe mit all dem Erfolg gehabt.
SnakeDoc

Antworten:

22

Ja, sie haben Zugriff auf Ihren Server. Wenn sie virtuell sind, haben sie Zugriff über die Virtualisierungskonsole oder das Container-Stammverzeichnis. Wenn physisch, bieten IPMI und Out-of-Band-Verwaltung Zugriff. Sie haben möglicherweise Zugriff auf Ihre Backups. Sie haben definitiv Zugriff auf Ihre Festplatten ...

ewwhite
quelle
6
Nur weil sie Zugang haben, heißt das nicht, dass sie davon profitieren werden.
ewwhite
10
"Wenn du etwas auf die schlimmste Weise willst, bekommst du es im Allgemeinen so." Entweder können Sie Ihrem Gastgeber vertrauen oder Sie können nicht. Wenn Sie nicht können, fragen Sie sich, ob das Geld, das Sie durch die Verwendung dieses Hosts sparen, das Risiko wert ist. Denken Sie daran, dass dies dieselben Personen sind, denen Sie vertrauen, um Ihre Website vor Angriffen von außen zu schützen.
Keshlam
1
Sie benötigen lediglich Zugriff über KVM Over IP. Sobald sie das haben, können sie den Server neu starten und ihn im Einzelbenutzermodus starten lassen oder von einer Live-CD booten, und sie haben Zugriff auf die Festplatte. Einige Anbieter installieren auch Betriebssysteme mit modifizierten Kerneln, mit denen sie die dedizierten Server einfacher überwachen / darauf zugreifen können (ich denke, HostGator tut dies).
ub3rst4r
7
@ashwinreddy In der Wirtschaft behandeln wir dieses "Problem" durch Verträge und andere Arten von rechtlichen Vereinbarungen. Überprüfen Sie Ihren Vertrag mit dem Dienstanbieter, um sicherzustellen, dass Ihre Geschäftsdaten ausreichend geschützt sind.
Michael Hampton
2
Es sollte auch erwähnt werden, dass manchmal Ihr Provider, der Zugriff auf Ihre Box hat, gewünscht wird. Stellen Sie sich das Szenario vor, in dem Sie eine schlechte Firewall-Regel anwenden und sich selbst blockieren?! Wenn Sie kein IMPI haben, ist es fast unbezahlbar, wenn lokale "helfende Hände" beim Aufstehen helfen können.
SnakeDoc
7

Im Jahr 2000 veröffentlichte Microsoft etwas sehr Kluges und ist bis heute (meistens) relevant. Die 10 unveränderlichen Sicherheitsgesetze http://technet.microsoft.com/library/cc722487.aspx

Regel Nummer drei lautet: "Wenn der Bösewicht physischen Zugriff auf Ihren Computer hat, ist er nicht mehr Ihr Computer."

Tatsache ist, dass Sie jeden Computer in Betracht ziehen sollten, bei dem Sie keine vollständige physische und technische Kontrolle über ein potenzielles Kompromissziel haben. Hier ist ein Link zum Nachdenken: http://felipeferreira.net/?p=1259

user216984
quelle
6

Kommt auf den Anbieter an.
Wenn Sie das Passwort ändern, haben sie normalerweise keinen Zugriff mehr.

Allerdings: Sie haben physischen Zugang.
Sie können einfach eine Festplatte aus Ihrem RAID1 herausnehmen und alle Ihre Daten haben.
Sie können Ihren Server neu starten und Ihr Passwort zurücksetzen oder von einer CD booten und alles lesen, ...

Schwindler
quelle
5

Wenn Sie wirklich die bestmögliche Privatsphäre benötigen, verschlüsseln Sie einfach die Daten. Wie die anderen Antworten und Kommentare sagen, gibt es Methoden, um die Daten von Ihrem Server abzurufen, wenn Sie dies nicht tun.

Florin Asăvoaie
quelle
Vorschläge zur Datenverschlüsselung?
Ashwin Mekala
4
@ashwinreddy Wenn der Server etwas unternehmen will, muss er die Daten entschlüsseln. Ein entschlossener Gastgeber wäre in der Lage, darauf zuzugreifen. Wenn Sie Ihrem Host nicht vertrauen können, hosten Sie dort nicht.
Ceejayoz
cryptosetup für Linux und Truecrypt für Windows. @ceejayoz Der Server kann den Hauptschlüssel im RAM haben, aber wenn der Server physisch ist und Sie ihn neu starten, haben Sie keinen Schlüssel zum Entschlüsseln (es sei denn, Sie missbrauchen Datenverschlüsselungstechniken), keine einfache oder praktikable Methode zum Lesen der Daten raus, während es läuft.
Florin Asăvoaie
2
@FlorinAsavoaie Nein, falsch. Kaltstartangriffe, Seitenkanalangriffe usw. Es gibt viele Möglichkeiten, einen Kryptoschlüssel von einem Computer zu extrahieren, auf den Sie physischen Zugriff haben, und dies mit nur minimalen technischen Fähigkeiten.
HopelessN00b
1
Die einzige Möglichkeit, verschlüsselte Daten auf einem gefährdeten Computer sicher zu machen (Angreifer müssen den Algorithmus entweder brutal erzwingen oder brechen), besteht darin, dass Sie die Daten auf diesem Computer niemals entschlüsseln , sodass Sie im Grunde einen Dateiserver haben, der verschlüsselte Dateien hostet. Nicht sehr funktionell.
Nick T
4

Ja, sie haben Zugriff auf Ihren Server.

Sie könnten mit Verschlüsselung, einem gesperrten Käfig in einem Colo usw. herumspielen. Sie können jedoch die Sperren des Käfigs aufheben oder DRAC / KVM über IP / was auch immer verwenden. Wie andere gesagt haben, können sie, wenn sie physischen Zugriff auf Ihren Server haben, in diesen einbrechen.

Gehen Sie mit einem seriösen, qualitativ hochwertigen Anbieter und denken Sie nicht daran, dass dieser Zugriff auf Ihren Server hat (den er für Sie sichert). Stellen Sie sich vor, Sie hätten Schergen, die mitten in der Nacht schlechte Hardware für Sie ersetzen. Wenn Ihr Anbieter PCI-kompatibel ist, entspricht dies den Anforderungen von PCI (auch HIPAA, FERPA) usw. Wenn Ihre Sicherheitsanforderungen höher sind, benötigen Sie wahrscheinlich Ihr eigenes persönliches Rechenzentrum.

Katherine Villyard
quelle
1

Die meisten dedizierten Hosting-Anbieter (unter Linux) ignorieren die Hardware für einen Moment und geben Ihnen die Anmeldeinformationen für das Root-Konto. Wenn sie jedoch das Betriebssystem installieren, erstellen sie einen Benutzer in der Radgruppe, damit sie sich anmelden und Wartungsarbeiten durchführen können, wenn Sie dies anfordern, oder für wenn Sie unerfahren sind und Ihr Passwort vergessen.

Ich habe noch keinen Anbieter gefunden, der dies nicht tut (mein aktueller, iWeb, tut dies), aber ich weiß, dass Sie mit iWeb verlangen können, dass er dies entfernt.

Sie können verwenden:

getent group root wheel adm admin

um alle Benutzer auf dem Server in einer beliebigen Verwaltungsrolle aufzulisten, z. B. Rad (Root-Berechtigungen), Administrator usw.

Sam Heather
quelle
1
Warum sollten Sie verlangen, dass sie ihren Benutzer von Ihrem Computer entfernen? Warum würden Sie es nicht einfach selbst entfernen?
Devicenull
1
@devicenull, da das Entfernen selbst möglicherweise gegen Ihren Vertrag mit ihnen verstößt.
Sam Heather
1

"Dedizierter Server" + "billiges Hosting" bedeutet, dass Sie einen virtuellen Server mieten, nicht Ihre eigene Hardware. Voll dedizierte Hardware kostet normalerweise viele hundert Dollar pro Monat.

Auf virtuelle Server kann über die Hypervisor- / Virtualisierungssoftware vollständig zugegriffen werden. Sie werden nie erfahren, dass dies geschehen ist, und sie benötigen kein lokales Konto. Die Verschlüsselung hilft hier nicht weiter, da auch auf die Schlüssel zugegriffen werden kann und die Verschlüsselung nur anzeigt, dass Sie etwas zu verbergen haben.

Co-lo-Dienstanbieter (Co-Location) bieten Ihnen Rack-Platz für Ihre Hardware, unter der Bedingung, dass Sie, nicht sie, für den Hardwaredienst verantwortlich sind. Sie werden den Ein- / Ausschalter drücken, aber das ist alles. Wenn der RAM geht, Sie fahren in das Rechenzentrum über und verändern. Sie haben immer noch Zugriff auf die Hardware, müssen jedoch die Werkzeuge herausziehen, um darauf zuzugreifen.

Letztendlich ist die Sicherheit Ihres Servers ein Gleichgewicht zwischen der Wichtigkeit / Einzigartigkeit Ihres Prozesses, der Wertigkeit für Sie und der Wertigkeit für andere. Im Allgemeinen ist es den Mitarbeitern des Rechenzentrums egal, was Sie tun, bis sie sich durch übermäßige Bandbreite oder eine Vorladung darum kümmern.

paul
quelle
Ich habe noch nie von jemandem gehört, der "dedizierte Server" mietet, die virtualisiert sind. Dedicated => Die Hardware wird nur von Ihnen verwendet. Es sei denn, Sie werden betrogen.
Fälscher
Das hängt davon ab, was Sie billig nennen. Es ist nicht ungewöhnlich, dass dedizierte Serverangebote unter 30 US-Dollar pro Monat liegen, manchmal unter 20 US-Dollar (normalerweise jedoch mit einer Einrichtungsgebühr im Voraus). Es wird keine hohe Spezifikation sein (ein Atom oder ein alter Core2, vielleicht nur 80 GB Speicher und damit der vierte), aber es wird echte Hardware sein, die Sie mieten. Für die meisten Anwendungen bietet ein VPS einen besseren Wert, aber wenn Sie ein spezielles Kit benötigen (um möglicherweise keine E / A-Konflikte zu garantieren oder um eine stabile, vorhersehbare Leistung im Allgemeinen zu gewährleisten, oder um Ihren Speicher so sicher wie möglich zu verschlüsseln, und so weiter)
David Spillett