Я хочу зашифровать диск нашей виртуальной машины в нашей платформе виртуализации KVM и обратиться к: https://libvirt.org/formatstorageencryption.html#StorageEncryption.
Мы можем сделать это в виде простых шагов:
- Создать секрет
- Создание зашифрованного тома
- В определении виртуальной машины укажите секретный uuid, например
<disk type='block' device='disk'>
<driver name='qemu' type='raw' cache='none' io='native'/>
<source dev='/dev/vg/test-vm01'/>
<target dev='vda' bus='virtio'/>
<encryption format='luks'>
<secret type='passphrase' uuid='ebb28309-fb26-4a2a-a5a8-e25adea4bc8c'/>
</encryption>
<address type='pci' domain='0x0000' bus='0x00' slot='0x06' function='0x0'/>
</disk>
Однако на самом деле libvirt хранит значение секрета в кодировке base64.в / etc / libvirt / secrets на hyper, если у злоумышленника есть физический доступ к hyper, он может легко получить секретное значение.
Я полагаю, что хакер не может проникнуть удаленно, но если у него есть физический доступ, любой может сбросить пароль root, а затем войти в систему с помощью гиперссылки, чтобы получить все.
Есть ли какой-нибудь метод?
Или эта угроза вообще не существует.
Спасибо.