推荐书目
› 高性能网站建设进阶指南
› High Performance Web Sites
› Google Hacks: Tips & Tools for Finding and Using the World's Information
关于 Google SEO 最好的一本书
› High Performance Web Sites
› Google Hacks: Tips & Tools for Finding and Using the World's Information
关于 Google SEO 最好的一本书
这是一个创建于 3196 天前的主题,其中的信息可能已经有所发展或是发生改变。
我之前用 LUKS 全盘加密,尝试用网上的方法(配置 dropbear 远程 ssh 输入密码),结果没成功,因为解锁之前网卡根本不上线。
虽然服务器一般也不需要重启,但是我离机房实在太远了,一旦有啥问题赶过去输密码根本来不及也不值当。
想问问大家有什么招数
我能想到的还有, KVM over IP ,但是价格虚高,实在太贵了。
或者干脆只加密数据盘?
虽然服务器一般也不需要重启,但是我离机房实在太远了,一旦有啥问题赶过去输密码根本来不及也不值当。
想问问大家有什么招数
我能想到的还有, KVM over IP ,但是价格虚高,实在太贵了。
或者干脆只加密数据盘?
 |
1
vibbow 2016-02-15 00:10:34 +08:00 via Android
会, bitlocker 全盘加密
重启用 iDRAC 连进去 专门买了个独立 ip 干这事 |
 |
2
dalaomj 2016-02-15 00:13:55 +08:00
不会。
曾经对数据泄漏很敏感。后来意识到我的那点数据根本没人惦记。就麻木了。 |
 |
3
shiji OP @vibbow 我的 iDRAC 不是那个最高级的企业版..是 iDRAC8 Express,不支持远程终端输入..我个人感觉除了远程重启或者监控系统资源没什么别的用处了,
|
 |
4
heeroz 2016-02-15 00:56:06 +08:00 via iPhone
所以我服务器都再开层虚拟机,本身不加密,虚拟磁盘都加密
|
 |
5
sinxccc 2016-02-15 03:38:10 +08:00 via iPhone
@heeroz 我印象中之间有看到过一篇文章说如果宿主机物理不安全的话,虚拟机即使磁盘加密也是可以被攻破的,同理 VPS 磁盘加密也不是非常的安全。
当然安全和开销一直是连着的,一般人的数据大体上不用考虑那么多就是了。 |
|
6
shiji OP @sinxccc 额,硬盘加密理论所不可能被攻破,除非是那台机器管理员在输入虚拟机硬盘启动密码的时候,信息被截获。因为宿主机被攻破了,如果用 SSHv1 ,拿到服务器 ssh 服务器的私钥能直接解密。( SSHv2 不能) 或者通过别的手段记录键盘。
黑客直接把虚拟机硬盘删了,也算是攻击吧。。。。 开销现在来说差距已经越来越小了, Haswell 貌似还有专门针对 AES 的优化 |
 |
7
bluefountain 2016-02-15 08:56:52 +08:00
用 IPMI 啊
|
|
8
sinxccc 2016-02-15 09:15:10 +08:00
|
 |
9
unkn369 2016-02-15 09:39:42 +08:00
如果要把硬盘加密,建议把网络通讯都加密, 要不然对机房也是明文
|
 |
11
BOYPT 2016-02-15 10:29:22 +08:00
iDRAC8 Express 其实可以通过 ssh 链接 serial 口管理的,设置好系统的 serial tty 就可以了。
|
 |
13
zhuang 2016-02-15 13:07:30 +08:00  3
分两种情况:
如果要全盘加密,包含 boot 的话,只能通过 IPMI 一类的旁路管理来实现,常见的有 iDRAC/iLO 等等。 这种情况相当于你无限信任 IPMI 管理模块。 如果可以不全盘加密,可以在 boot 部分加入 sshd 。 对于有物理接触能力的入侵,这种做法会降低加密的可靠性。 如果你真的非常在意托管服务器的数据安全,还有很多东西可以参考: 箱体入侵检测,一旦机箱被开启,就关闭系统或者删除数据; 禁用外部接口、外部显示以及外部媒介; 使用 TPM 模块,敏感密钥存储在 TPM 模块中。 严格意义上,如果有人可以无限制物理接触你托管的机器,你就没办法再信任这台机器了。 如果从零开始构建信任链,那么可以考虑某些商业产品,比如 PrivateCore vCage 。 |
 |
14
shakoon 2016-02-15 13:11:45 +08:00
没有绝对的安全。磁盘加密其实是不够的,机器在人家那摆着,拦截你数据的方法实在太多了。
|
|
15
heeroz 2016-02-15 14:27:06 +08:00 via iPhone
@sinxccc 这是说宿主机被攻破,获取到内存内容然后破解虚拟机加密磁盘么?其实一样的,你没通过外部设备加解密磁盘的话,就算你不用虚拟机并全盘加密,只要能获得主机内存内容就可以破解磁盘。
|
 |
16
c0878 2016-02-15 14:53:08 +08:00
放心吧 你那点破数据没人惦记 IDC 员工路过 纠结全盘加密不如好好研究下服务器安全防止被黑 节约一点机房值班人员帮你重装系统的时间
|
|
17
shiji OP @zhuang TPM 这个服务器还真有,是 2.0 版本,早些年记得可以用它作为 bitlocker 的密钥。但是在 Linux 上面貌似目前没有什么成熟的加密全盘的功能,另外,已经发现能用的是还可以在 uefi 模式下锁定各类启动设备的启动顺序,防止篡改
|
|
19
vibbow 2016-02-15 17:43:56 +08:00 1
|
 |
21
wkl17 2019-01-07 05:59:47 +08:00
|
Select Language