Security
Blind Operator
Kernel-modul som raderar möjligheten för oss att se IP-adresser och sniffa trafik på våra servrar. Modulen tar bland annat bort allowed-ips i WireGuard samt access till sockets som tcpdump and liknande verktyg behöver för att kunna användas. Modulen laddas vid start och går inte att avladda efter den finns i systemet.
- Inaktiverar laddning och avladding av andra kernel-moduler.
- Inaktiverar tillgång till /dev/{mem,kmem,port} och /proc/kcore.
- Inaktiverar skapning av AF_RAW och AF_INET(6)/SOCK_RAW sockets, för att blockera tcpdump.
- Inaktiverar Ptrace, /proc/PID/mem och coredumps för att förhindra att data kan läsas ur userspace-applicationer som t.ex. OpenVPN.
- Inaktiverar fälten endpoint och allowedips i WireGuard, för att förhindra åtkomst till klientinformation.
root@es1-wg1:~# tcpdump -ni eth0 tcpdump: eth0: You don't have permission to capture on that device (socket: Operation not permitted)
root@es1-wg1:~# rmmod blind_operator_mode rmmod: ERROR: ../libkmod/libkmod-module.c:777 kmod_module_remove_module() could not remove 'blind_operator_mode': Operation not permitted rmmod: ERROR: could not remove module blind_operator_mode: Operation not permitted
root@es1-wg1:~# wg | head -n 15 interface: wg0 public key: ZcFmXAL9JWCQoS//5w9WRDKTzTcOlhXXNOX/8d/cSF8= private key: (hidden) listening port: 51820 peer: xxx allowed ips: (none) latest handshake: 1 minute, 20 seconds ago transfer: 5.14 GiB received, 1.64 GiB sent peer: yyy allowed ips: (none)
Inga hårddiskar
Våra VPN-servrar körs helt utan hårddiskar och annan typ av permanent lagringsmedia. Vi använder PXE för att boota Operativsystemet med hjälp av iPXE och en egenutvecklad Debian-version.
Inga loggar
Vi upprätthåller en 100% no-logging policy, vilket betyder att vi sparar varken accessloggar, trafikloggar, DNS-loggar eller någon annan typ av loggar som kan användas för att identifiera en kund.
- AzireVPN loggar INGEN typ av trafik eller användarinformation vid användande av tjänsten.
- AzireVPN loggar INTE tidsstämplar eller annan information som är relaterad till när en användare ansluter till/kopplar ifrån tjänsten.
- AzireVPN loggar INTE bandbreddsanvändning, samt tillämpar INGEN bandbreddsbegränsning.
- AzireVPN loggar INTE Kundens privata IP-adress, ELLER den IP-adress som blir allokerad från AzireVPN när Kunden kopplar upp sig till Tjänsten.
- AzireVPN loggar INTE antalet aktiva sessioner eller totala sessioner en Kund har.
- AzireVPN loggar INTE några DNS-förfrågningar.