On Mon, Dec 17, 2018 at 06:40:34PM +0300, sergio wrote: > On 17/12/2018 17:56, Artem Chuprina wrote: > > Ну и плюс, если речь о виртуалках у хостера, дополнительные риски с > > доступом злоумышленника к образу диска (по сравнению с доступом к > > памяти). > > Если виртуалка у хостера, то он уже и так имеет полный доступ ко всем > закрытым ключам хранящимся на диске (ssh) и ещё одни приватные данные > никаких рисков не добавят.
Вообще, у хостера есть доступ к памяти виртуалки... Так что прятать что-то от хостера глупо. :) Но зачем на хостинге приватные ключи ssh? Они должны быть на рабочей станции админа, а на хостинг следует пробрасывать лишь ssh-agent. Да и то не всегда, а лишь на доверенные хостинги. Если же на хостинге нужно автономно использовать приватный ключ, его применение следует ограничить в authorized_keys. Например, разрешить запуск бэкапалки и запретить всё лишнее (форвард портов, etc). -- Eugene Berdnikov
