Portál AbcLinuxu, 7. května 2025 07:23

Dotaz: jak funguje VPS server z "druhe strany" ?

JiK avatar 13.2.2021 19:59 JiK | skóre: 13 | blog: Jirkoviny | Virginia
jak funguje VPS server z "druhe strany" ?
Přečteno: 418×
Odpovědět | Admin
Koukal jsem, ze existuje spousta poskytovatelu vps serveru za par korun mesicne. Celkem tusim, jak takovy server funguje ze strany toho, kdo si ho zaplati. vse by melo fungovat jako normalni sever, clovek tam ma bezici linux, nejake distro (jak se tam dostane? je ten obraz nejak specialni?) pri instalaci jim poskytne sve klice, oni mu daji roota a on si pak zalozi sve uzivatele, nainstaluje aplikace, provozuje treba webovou stranku nebo co chce.

Jak to ale funguje z te druhe strany? Jak funguje vpn kdyz ho chci poskytovat? Je kazdy z tech serveru 1 process? Vidim, do toho, co mi tam ti lide bezi? Vidim jejich tajne veci (klice, logy, kryptopenezenky, etc? ) vidim, kdo se jim k tomu pripojuje? Vidim co delaji? Co kdyz provozuji torrenty, nebo exit node od toru? Jak ziskam ty obrazy distribuci, ktere jim nabidnu k instalaci? Jak se lisi od normalnich instalacek? Jak se lisi ruzne virtualizace od sebe, jak se lisi vps a cloud? co s tim ma spolecneho docker a kubernetes?
Jirka Cech

Řešení dotazu:

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

Josef Kufner avatar 13.2.2021 21:02 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: jak funguje VPS server z "druhe strany" ?
Odpovědět | | Sbalit | Link | Blokovat | Admin
Ano, provozovatel vidí vše. Stejně jako u prakticky všech služeb.

Jak to je vidět na serveru záleží od použité technologie – plná virtualizace je jeden proces, kontejnery sdílí jádro hostitelského systému a jednotlivé procesy jsou vidět z hostitelského systému, ale jednotlivé kontejnery vidí jen ty své.
Hello world ! Segmentation fault (core dumped)
Jendа avatar 13.2.2021 21:20 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: jak funguje VPS server z "druhe strany" ?
Odpovědět | | Sbalit | Link | Blokovat | Admin
nejake distro (jak se tam dostane?
Všichni mají předinstalované různé distribuce a vybíráš si při založení. U většiny je dostupná konzole přes VNC a u některých se dá i připojovat vlastní ISO.
ten obraz nejak specialni?
Pokud je tam OpenVZ (nebo nástupnické technologie - nějaké to LXC nebo co teď frčí), tak je to trochu speciální v tom, že to nemá vlastní kernel a tak některé věci nefungují (ale jinak je systém normální). Pokud je to Xen tak potřebuješ speciální Xenové jádro (a jinak je systém opět normální). Ale většina je dneska KVM/VmWare a tam je to úplně normální x86_64 počítač.
Je kazdy z tech serveru 1 process?
U KVM ano; u kontejnerů vidí admin přímo ty procesy i filesystém jako kdyby běžely na jeho systému.
Vidim, do toho, co mi tam ti lide bezi? Vidim jejich tajne veci (klice, logy, kryptopenezenky, etc? ) vidim, kdo se jim k tomu pripojuje? Vidim co delaji?
Ano, tohle všechno bohužel admin serveru vidí. (u KVM to vyžaduje trochu jednoduchého ladění, u kontejnerů to vidí úplně automaticky)
JiK avatar 13.2.2021 21:53 JiK | skóre: 13 | blog: Jirkoviny | Virginia
Rozbalit Rozbalit vše Re: jak funguje VPS server z "druhe strany" ?
Pokud je tam OpenVZ (nebo nástupnické technologie - nějaké to LXC nebo co teď frčí), tak je to trochu speciální v tom, že to nemá vlastní kernel a tak některé věci nefungují (ale jinak je systém normální). Pokud je to Xen tak potřebuješ speciální Xenové jádro (a jinak je systém opět normální). Ale většina je dneska KVM/VmWare a tam je to úplně normální x86_64 počítač.
super, tohle pomohlo, budu mit o cem cist... jak jsou na tom tyhle tri technologie s rezii? overheadem? kdyz budu mit pet "stejnych" serveru a matersky pocitac vytizeny na 100%, kolik vykonu kazdy dostane? 20% by bylo zcela bez rezie, protoze 5x20% je 100%. Je to v realu treba 5x18% a 10% rezie? nebo 5x15%? Nebo 5x10%?
Vidim, do toho, co mi tam ti lide bezi? Vidim jejich tajne veci (klice, logy, kryptopenezenky, etc? ) vidim, kdo se jim k tomu pripojuje? Vidim co delaji?
Ano, tohle všechno bohužel admin serveru vidí. (u KVM to vyžaduje trochu jednoduchého ladění, u kontejnerů to vidí úplně automaticky)
a da se tomu nejak zabranit?
Jirka Cech
Jendа avatar 13.2.2021 22:07 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: jak funguje VPS server z "druhe strany" ?
OpenVZ žere maximálně trochu paměti (desítky MB na virtuál, asi víc pokud provozuješ nějaké enterprise Javy), protože sdílené knihovny se musí nahrát pokaždé zvlášť.

KVM žere paměť (každý virtuál má kompletní kernel a asi nějaké místo na page cache a tak), řekněme 100-200 MB na virtuál; co se CPU a IO týče, tak to je režie řádově několik procent, takže počítej že každý z pěti virtuálů dostane třeba 18% výkonu. Možná na 10Gb/s síti, s rychlým USB3 nebo nějakou rychlou PCIe periferií bys to poznal.
a da se tomu nejak zabranit?
V budoucnu pomocí Intel Trusted Execution Technology a AMD Secure Encrypted Virtualization, ale pro změnu musíš věřit, že tam nebude další Meltdown. V současnosti nijak.
Josef Kufner avatar 13.2.2021 23:36 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: jak funguje VPS server z "druhe strany" ?
a da se tomu nejak zabranit?
To tak nějak z principu nejde. Vždy tomu poskytovateli budeš muset prostě věřit. I kdyby tam bylo sebelepší šifrování, může ti tam kamkoliv dát vrátka navíc.
Hello world ! Segmentation fault (core dumped)
14.2.2021 08:43 PetebLazar | skóre: 34 | blog: l_eonardovo_odhodlani
Rozbalit Rozbalit vše Re: jak funguje VPS server z "druhe strany" ?
Neizolují právě AMD technologie SEV/SEV-ES dostupné v EPYCu vzájemně jednotlivá VM a hypervisor? https://developer.amd.com/sev/
Josef Kufner avatar 14.2.2021 11:51 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: jak funguje VPS server z "druhe strany" ?
Pokud máš kontrolu nad hypervisorem, tak máš kontrolu i nad vším, co v něm běží. Šifrování a podepisování může vypadat, že to je bezpečné, ale jako zákazník nikdy nebudeš mít jistotu, že si tam poskytovatel neudělal díru. Toto je v principu neřešitelný problém.

Teoreticky pokud budeš mít reprodukovatelně sestavené vše od jádra po šifrovaný kontejner a ověřené všechny podpisy v celém řetězci, tak by se tomu dalo trochu věřit. Prakticky však stačí ukecat jakoukoliv komponentu, aby dovolila něco navíc a z libovolného kontejneru si vytáhneš šifrovací klíče. Takovou komponentou může být například PCI karta nebo EFI služba, která ti vykopíruje kus paměti bez vědomí OS.

Lepší oddělení a šifrování může pomoci v případě útoků, návštěv nezvaných orgánů, či úniků dat, ale před místním adminem tě to neochrání.
Hello world ! Segmentation fault (core dumped)

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.