你们去机房托管服务器会全盘加密么?

2016-02-15 00:03:38 +08:00
 shiji
我之前用 LUKS 全盘加密,尝试用网上的方法(配置 dropbear 远程 ssh 输入密码),结果没成功,因为解锁之前网卡根本不上线。

虽然服务器一般也不需要重启,但是我离机房实在太远了,一旦有啥问题赶过去输密码根本来不及也不值当。

想问问大家有什么招数

我能想到的还有, KVM over IP ,但是价格虚高,实在太贵了。
或者干脆只加密数据盘?
6774 次点击
所在节点    站长
22 条回复
vibbow
2016-02-15 00:10:34 +08:00
会, bitlocker 全盘加密
重启用 iDRAC 连进去
专门买了个独立 ip 干这事
dalaomj
2016-02-15 00:13:55 +08:00
不会。
曾经对数据泄漏很敏感。后来意识到我的那点数据根本没人惦记。就麻木了。
shiji
2016-02-15 00:33:06 +08:00
@vibbow 我的 iDRAC 不是那个最高级的企业版..是 iDRAC8 Express,不支持远程终端输入..我个人感觉除了远程重启或者监控系统资源没什么别的用处了,
heeroz
2016-02-15 00:56:06 +08:00
所以我服务器都再开层虚拟机,本身不加密,虚拟磁盘都加密
sinxccc
2016-02-15 03:38:10 +08:00
@heeroz 我印象中之间有看到过一篇文章说如果宿主机物理不安全的话,虚拟机即使磁盘加密也是可以被攻破的,同理 VPS 磁盘加密也不是非常的安全。

当然安全和开销一直是连着的,一般人的数据大体上不用考虑那么多就是了。
shiji
2016-02-15 07:13:45 +08:00
@sinxccc 额,硬盘加密理论所不可能被攻破,除非是那台机器管理员在输入虚拟机硬盘启动密码的时候,信息被截获。因为宿主机被攻破了,如果用 SSHv1 ,拿到服务器 ssh 服务器的私钥能直接解密。( SSHv2 不能) 或者通过别的手段记录键盘。

黑客直接把虚拟机硬盘删了,也算是攻击吧。。。。

开销现在来说差距已经越来越小了, Haswell 貌似还有专门针对 AES 的优化
bluefountain
2016-02-15 08:56:52 +08:00
用 IPMI 啊
sinxccc
2016-02-15 09:15:10 +08:00
unkn369
2016-02-15 09:39:42 +08:00
如果要把硬盘加密,建议把网络通讯都加密, 要不然对机房也是明文
shiji
2016-02-15 09:58:44 +08:00
@unkn369 明文通讯对路过的每个节点都是明文啊
BOYPT
2016-02-15 10:29:22 +08:00
iDRAC8 Express 其实可以通过 ssh 链接 serial 口管理的,设置好系统的 serial tty 就可以了。
vibbow
2016-02-15 12:17:13 +08:00
@shiji iDRAC 可以升级的,买个序列号就行了。
zhuang
2016-02-15 13:07:30 +08:00
分两种情况:

如果要全盘加密,包含 boot 的话,只能通过 IPMI 一类的旁路管理来实现,常见的有 iDRAC/iLO 等等。
这种情况相当于你无限信任 IPMI 管理模块。

如果可以不全盘加密,可以在 boot 部分加入 sshd 。
对于有物理接触能力的入侵,这种做法会降低加密的可靠性。


如果你真的非常在意托管服务器的数据安全,还有很多东西可以参考:

箱体入侵检测,一旦机箱被开启,就关闭系统或者删除数据;
禁用外部接口、外部显示以及外部媒介;
使用 TPM 模块,敏感密钥存储在 TPM 模块中。


严格意义上,如果有人可以无限制物理接触你托管的机器,你就没办法再信任这台机器了。

如果从零开始构建信任链,那么可以考虑某些商业产品,比如 PrivateCore vCage 。
shakoon
2016-02-15 13:11:45 +08:00
没有绝对的安全。磁盘加密其实是不够的,机器在人家那摆着,拦截你数据的方法实在太多了。
heeroz
2016-02-15 14:27:06 +08:00
@sinxccc 这是说宿主机被攻破,获取到内存内容然后破解虚拟机加密磁盘么?其实一样的,你没通过外部设备加解密磁盘的话,就算你不用虚拟机并全盘加密,只要能获得主机内存内容就可以破解磁盘。
c0878
2016-02-15 14:53:08 +08:00
放心吧 你那点破数据没人惦记 IDC 员工路过 纠结全盘加密不如好好研究下服务器安全防止被黑 节约一点机房值班人员帮你重装系统的时间
shiji
2016-02-15 16:23:58 +08:00
@zhuang TPM 这个服务器还真有,是 2.0 版本,早些年记得可以用它作为 bitlocker 的密钥。但是在 Linux 上面貌似目前没有什么成熟的加密全盘的功能,另外,已经发现能用的是还可以在 uefi 模式下锁定各类启动设备的启动顺序,防止篡改
shiji
2016-02-15 16:25:08 +08:00
@vibbow 国内有什么优惠渠道么?我这里查到的升级到企业版得三五百美刀
vibbow
2016-02-15 17:43:56 +08:00
@shiji 1. 万能的淘宝
2. 问 Dell 销售

我当时是随机出货的企业版,单独具体多钱我也不了解。
反正肯定不会三五百刀这样子。
shiji
2016-02-17 08:48:39 +08:00
@vibbow 万能的淘宝!真便宜啊!!!!!!!!!

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/256499

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX