好奇很久的问题:云主机提供商能不能读取到用户放在主机中的数据?

2018-02-18 07:36:54 +08:00
 yuzenan888

我总感觉,使用云主机就是把数据存放在装有各种监控设施的别人的电脑上。

云主机提供商如果别有用心的话,岂不是就可以肆意的读取数据了?

即使数据加了密,设置了密码,云主机提供商应该完全可以使用类似键盘记录器等东西获取密码吧。

不过如果是这样的话,应该就不会有人用套路云搭建跨国代理服务器了。

可能问题有点幼稚,请大佬们嘴下留情,谢谢!

10945 次点击
所在节点    云计算
50 条回复
yuzenan888
2018-02-18 15:00:44 +08:00
@realpg 这个如果有个键盘记录器的话,照样可以还原的。
gy911201
2018-02-18 16:16:15 +08:00
@yuzenan888 你这种根本不需要扫文件,直接分析一下你的网络特征就啥都出来了……包括但不限于 DNS 查询记录,出站连接 IP,出入站流量统计…………
loveminds
2018-02-18 16:49:47 +08:00
技术上可以实现,但是存在巨大法律风险
xy90321
2018-02-18 17:14:26 +08:00
对于 vps 来说,你所有的软硬件包括系统在内都是基于别人的 infra,如果只是问可不可以的话,答案当然是可以。

即便是 Host 直连或者机柜托管,对方如果愿意的话也可以实现中间人攻击或者基于物理接触的 bootkit/rootkit 攻击,从而控制你的进出站流量乃至窥视到系统底层。

但是上述不论哪种方法,在没有法律支持、法院授权的情况下,都是明显违反针对客户服务的可用性、完整性承诺的。

所以能,但是基本不可能有。
yuzenan888
2018-02-18 17:27:54 +08:00
@xy90321 谢谢大佬。不过我想问一下,机柜托管的话,如果磁盘加密以及网络流量工作做到位,使用诸如 TPM 模块安全启动有没有可能窃取到数据?
xy90321
2018-02-18 17:33:04 +08:00
@yuzenan888
机柜托管的话,一般来说防护做足(包括物理入侵防护、检测)以后基本很难窃取到。虽然理论上可以种 bootkit/rootkit 来获得底层控制,但是一般没有 0day 配合怕是不太现实。军用或者国家级别的攻击除外~
ndd200
2018-02-18 17:36:25 +08:00
明确的说是可以的,不管是他的安全监控客户端,还是高级权限的用户。
然后,你忘记阿里云 /腾讯云网页控制台,可以直接远程登陆系统或者修改管理员密码了吗?
只要他们想,登陆到你系统里是分分钟的事。

但是,你有这个资格,让普通技术冒着毁前途的风险越过权限来偷窥你的隐私?让大厂冒着法律风险来看你的东西?
除非是“上头”要求的,没人有空管你。
Reficul
2018-02-18 17:40:35 +08:00
能,同事呼叫技术支持的时候亲眼见过 VNC 上在自动打字
yuzenan888
2018-02-18 20:55:14 +08:00
@Reficul 给了 VNC 密码吧。
yuzenan888
2018-02-18 20:56:29 +08:00
@ndd200 总的来说,技术上完全可以做到获取用户数据的,但是这种行为受行政和法律的约束,对吧。
opengps
2018-02-18 21:10:46 +08:00
必然能读取,所以要选择大厂商,至少大厂商能做到各种规范制度约束员工操作
mytsing520
2018-02-18 21:52:29 +08:00
现在的原则是,安全高于一切。
政府行业里,如果业务可以运行,但不能保证安全,宁愿不要业务运行。
hanru
2018-02-18 22:10:05 +08:00
@realpg 全盘加密,比如 BitLocker 或者 LUKS,磁盘加载后密钥必定是在内存里的,此时 dump 内存理论上也是能找到密钥的。
hanru
2018-02-18 22:10:55 +08:00
@mytsing520 政府行业所谓的安全有具体标准么?
woyaojizhu8
2018-02-18 22:18:35 +08:00
居然指望法律来约束大厂
FifiLyu
2018-02-18 22:18:36 +08:00
明确的告诉你。除非你将文件系统本身加密,否则服务商只要愿意是可以读取用户数据的。

要读取数据时,做一个目标磁盘的快照,然后 mount 即可看到数据。没什么难度。
jimzhong
2018-02-18 22:24:34 +08:00
@FifiLyu 即使你把文件系统加密,你要使用这个文件系统的时候,密钥也会存在内存中。VMM 可以任意访问虚拟机的内存。
我觉得唯一靠谱的办法就是数据加密之后上传到云主机,需要使用时下载数据,然后在可信的主机上解密。
FifiLyu
2018-02-18 22:31:10 +08:00
@jimzhong 这样难度相对较大,没点价值也没人愿意去搞。以前我们公司处理加密文件系统的办法是,将 VM “休眠”,将内存 dump 到文件系统。

使用时,从文件加载内存数据到 OS 内存并开机。

不过,机密数据更多依靠法律方面的方式处理。有“内鬼”的情况下,是没安全可言的。
FifiLyu
2018-02-18 22:33:55 +08:00
@FifiLyu 上述这样的操作,我们是得到了用户授权。仅仅用于满足用户需求。
ycz0926
2018-02-18 23:39:04 +08:00
别说盘里的数据了,就是你注册的网站,比如某些日记类、涉及个人隐私之类的,db 里都看得到的,只是没被人用来搞事而已

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/431090

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX