V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
shiji
V2EX  ›  站长

你们去机房托管服务器会全盘加密么?

  •  
  •   shiji · 2016-02-15 00:03:38 +08:00 · 6757 次点击
    这是一个创建于 3216 天前的主题,其中的信息可能已经有所发展或是发生改变。
    我之前用 LUKS 全盘加密,尝试用网上的方法(配置 dropbear 远程 ssh 输入密码),结果没成功,因为解锁之前网卡根本不上线。

    虽然服务器一般也不需要重启,但是我离机房实在太远了,一旦有啥问题赶过去输密码根本来不及也不值当。

    想问问大家有什么招数

    我能想到的还有, KVM over IP ,但是价格虚高,实在太贵了。
    或者干脆只加密数据盘?
    22 条回复    2022-08-20 19:56:37 +08:00
    vibbow
        1
    vibbow  
       2016-02-15 00:10:34 +08:00 via Android
    会, bitlocker 全盘加密
    重启用 iDRAC 连进去
    专门买了个独立 ip 干这事
    dalaomj
        2
    dalaomj  
       2016-02-15 00:13:55 +08:00
    不会。
    曾经对数据泄漏很敏感。后来意识到我的那点数据根本没人惦记。就麻木了。
    shiji
        3
    shiji  
    OP
       2016-02-15 00:33:06 +08:00
    @vibbow 我的 iDRAC 不是那个最高级的企业版..是 iDRAC8 Express,不支持远程终端输入..我个人感觉除了远程重启或者监控系统资源没什么别的用处了,
    heeroz
        4
    heeroz  
       2016-02-15 00:56:06 +08:00 via iPhone
    所以我服务器都再开层虚拟机,本身不加密,虚拟磁盘都加密
    sinxccc
        5
    sinxccc  
       2016-02-15 03:38:10 +08:00 via iPhone
    @heeroz 我印象中之间有看到过一篇文章说如果宿主机物理不安全的话,虚拟机即使磁盘加密也是可以被攻破的,同理 VPS 磁盘加密也不是非常的安全。

    当然安全和开销一直是连着的,一般人的数据大体上不用考虑那么多就是了。
    shiji
        6
    shiji  
    OP
       2016-02-15 07:13:45 +08:00
    @sinxccc 额,硬盘加密理论所不可能被攻破,除非是那台机器管理员在输入虚拟机硬盘启动密码的时候,信息被截获。因为宿主机被攻破了,如果用 SSHv1 ,拿到服务器 ssh 服务器的私钥能直接解密。( SSHv2 不能) 或者通过别的手段记录键盘。

    黑客直接把虚拟机硬盘删了,也算是攻击吧。。。。

    开销现在来说差距已经越来越小了, Haswell 貌似还有专门针对 AES 的优化
    bluefountain
        7
    bluefountain  
       2016-02-15 08:56:52 +08:00
    用 IPMI 啊
    sinxccc
        8
    sinxccc  
       2016-02-15 09:15:10 +08:00
    unkn369
        9
    unkn369  
       2016-02-15 09:39:42 +08:00
    如果要把硬盘加密,建议把网络通讯都加密, 要不然对机房也是明文
    shiji
        10
    shiji  
    OP
       2016-02-15 09:58:44 +08:00
    @unkn369 明文通讯对路过的每个节点都是明文啊
    BOYPT
        11
    BOYPT  
       2016-02-15 10:29:22 +08:00
    iDRAC8 Express 其实可以通过 ssh 链接 serial 口管理的,设置好系统的 serial tty 就可以了。
    vibbow
        12
    vibbow  
       2016-02-15 12:17:13 +08:00 via Android
    @shiji iDRAC 可以升级的,买个序列号就行了。
    zhuang
        13
    zhuang  
       2016-02-15 13:07:30 +08:00   ❤️ 3
    分两种情况:

    如果要全盘加密,包含 boot 的话,只能通过 IPMI 一类的旁路管理来实现,常见的有 iDRAC/iLO 等等。
    这种情况相当于你无限信任 IPMI 管理模块。

    如果可以不全盘加密,可以在 boot 部分加入 sshd 。
    对于有物理接触能力的入侵,这种做法会降低加密的可靠性。


    如果你真的非常在意托管服务器的数据安全,还有很多东西可以参考:

    箱体入侵检测,一旦机箱被开启,就关闭系统或者删除数据;
    禁用外部接口、外部显示以及外部媒介;
    使用 TPM 模块,敏感密钥存储在 TPM 模块中。


    严格意义上,如果有人可以无限制物理接触你托管的机器,你就没办法再信任这台机器了。

    如果从零开始构建信任链,那么可以考虑某些商业产品,比如 PrivateCore vCage 。
    shakoon
        14
    shakoon  
       2016-02-15 13:11:45 +08:00
    没有绝对的安全。磁盘加密其实是不够的,机器在人家那摆着,拦截你数据的方法实在太多了。
    heeroz
        15
    heeroz  
       2016-02-15 14:27:06 +08:00 via iPhone
    @sinxccc 这是说宿主机被攻破,获取到内存内容然后破解虚拟机加密磁盘么?其实一样的,你没通过外部设备加解密磁盘的话,就算你不用虚拟机并全盘加密,只要能获得主机内存内容就可以破解磁盘。
    c0878
        16
    c0878  
       2016-02-15 14:53:08 +08:00
    放心吧 你那点破数据没人惦记 IDC 员工路过 纠结全盘加密不如好好研究下服务器安全防止被黑 节约一点机房值班人员帮你重装系统的时间
    shiji
        17
    shiji  
    OP
       2016-02-15 16:23:58 +08:00 via Android
    @zhuang TPM 这个服务器还真有,是 2.0 版本,早些年记得可以用它作为 bitlocker 的密钥。但是在 Linux 上面貌似目前没有什么成熟的加密全盘的功能,另外,已经发现能用的是还可以在 uefi 模式下锁定各类启动设备的启动顺序,防止篡改
    shiji
        18
    shiji  
    OP
       2016-02-15 16:25:08 +08:00 via Android
    @vibbow 国内有什么优惠渠道么?我这里查到的升级到企业版得三五百美刀
    vibbow
        19
    vibbow  
       2016-02-15 17:43:56 +08:00   ❤️ 1
    @shiji 1. 万能的淘宝
    2. 问 Dell 销售

    我当时是随机出货的企业版,单独具体多钱我也不了解。
    反正肯定不会三五百刀这样子。
    shiji
        20
    shiji  
    OP
       2016-02-17 08:48:39 +08:00
    @vibbow 万能的淘宝!真便宜啊!!!!!!!!!
    wkl17
        21
    wkl17  
       2019-01-07 05:59:47 +08:00
    @shiji 多少钱买到的?
    @vibbow TPM BitLocker 的话,好像说如果 TPM 损坏,那加密过的数据就都废了?所以一直使用软 BitLocker。
    shiji
        22
    shiji  
    OP
       2022-08-20 19:56:37 +08:00 via iPhone
    @wkl17 当时几十块的样子
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1030 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 20:20 · PVG 04:20 · LAX 12:20 · JFK 15:20
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.