› High Performance Web Sites
› Google Hacks: Tips & Tools for Finding and Using the World's Information
关于 Google SEO 最好的一本书
 |
1
vibbow Feb 15, 2016 via Android
会, bitlocker 全盘加密
重启用 iDRAC 连进去 专门买了个独立 ip 干这事 |
 |
2
dalaomj Feb 15, 2016
不会。
曾经对数据泄漏很敏感。后来意识到我的那点数据根本没人惦记。就麻木了。 |
 |
3
shiji OP @vibbow 我的 iDRAC 不是那个最高级的企业版..是 iDRAC8 Express,不支持远程终端输入..我个人感觉除了远程重启或者监控系统资源没什么别的用处了,
|
 |
4
heeroz Feb 15, 2016 via iPhone
所以我服务器都再开层虚拟机,本身不加密,虚拟磁盘都加密
|
 |
5
sinxccc Feb 15, 2016 via iPhone
@heeroz 我印象中之间有看到过一篇文章说如果宿主机物理不安全的话,虚拟机即使磁盘加密也是可以被攻破的,同理 VPS 磁盘加密也不是非常的安全。
当然安全和开销一直是连着的,一般人的数据大体上不用考虑那么多就是了。 |
|
6
shiji OP @sinxccc 额,硬盘加密理论所不可能被攻破,除非是那台机器管理员在输入虚拟机硬盘启动密码的时候,信息被截获。因为宿主机被攻破了,如果用 SSHv1 ,拿到服务器 ssh 服务器的私钥能直接解密。( SSHv2 不能) 或者通过别的手段记录键盘。
黑客直接把虚拟机硬盘删了,也算是攻击吧。。。。 开销现在来说差距已经越来越小了, Haswell 貌似还有专门针对 AES 的优化 |
 |
7
bluefountain Feb 15, 2016
用 IPMI 啊
|
|
8
sinxccc Feb 15, 2016
|
 |
9
unkn369 Feb 15, 2016
如果要把硬盘加密,建议把网络通讯都加密, 要不然对机房也是明文
|
 |
11
BOYPT Feb 15, 2016
iDRAC8 Express 其实可以通过 ssh 链接 serial 口管理的,设置好系统的 serial tty 就可以了。
|
 |
13
zhuang Feb 15, 2016  3
分两种情况:
如果要全盘加密,包含 boot 的话,只能通过 IPMI 一类的旁路管理来实现,常见的有 iDRAC/iLO 等等。 这种情况相当于你无限信任 IPMI 管理模块。 如果可以不全盘加密,可以在 boot 部分加入 sshd 。 对于有物理接触能力的入侵,这种做法会降低加密的可靠性。 如果你真的非常在意托管服务器的数据安全,还有很多东西可以参考: 箱体入侵检测,一旦机箱被开启,就关闭系统或者删除数据; 禁用外部接口、外部显示以及外部媒介; 使用 TPM 模块,敏感密钥存储在 TPM 模块中。 严格意义上,如果有人可以无限制物理接触你托管的机器,你就没办法再信任这台机器了。 如果从零开始构建信任链,那么可以考虑某些商业产品,比如 PrivateCore vCage 。 |
 |
14
shakoon Feb 15, 2016
没有绝对的安全。磁盘加密其实是不够的,机器在人家那摆着,拦截你数据的方法实在太多了。
|
|
15
heeroz Feb 15, 2016 via iPhone
@sinxccc 这是说宿主机被攻破,获取到内存内容然后破解虚拟机加密磁盘么?其实一样的,你没通过外部设备加解密磁盘的话,就算你不用虚拟机并全盘加密,只要能获得主机内存内容就可以破解磁盘。
|
 |
16
c0878 Feb 15, 2016
放心吧 你那点破数据没人惦记 IDC 员工路过 纠结全盘加密不如好好研究下服务器安全防止被黑 节约一点机房值班人员帮你重装系统的时间
|
|
17
shiji OP @zhuang TPM 这个服务器还真有,是 2.0 版本,早些年记得可以用它作为 bitlocker 的密钥。但是在 Linux 上面貌似目前没有什么成熟的加密全盘的功能,另外,已经发现能用的是还可以在 uefi 模式下锁定各类启动设备的启动顺序,防止篡改
|
 |
21
wkl17 Jan 7, 2019
|
Select Language