V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
gant
V2EX  ›  服务器

个人本地服务器磁盘加密方案。

  •  
  •   gant · 2023-04-18 22:53:14 +08:00 via Android · 2860 次点击
    这是一个创建于 618 天前的主题,其中的信息可能已经有所发展或是发生改变。

    数据最起码保证被偷了不会泄露。

    方案一:安装自带的加密(现在就是)

    留 /boot/efi ,把 swap (可以不要),/root ,/data 全加密了。缺点是因为每次开机都要先输入密码,断电恢复自动开机他就卡在这了。

    方案二:只加密数据盘

    好处是自动开机后我可以 ssh 进来挂载硬盘并启动服务。准备用 veracrypt 。

    方案二是最近看别的帖子突然想到的,都没想到重要数据也可以不用全盘加密,有啥我没想到的问题和风险吗,能不能执行。

    14 条回复    2023-04-27 18:05:52 +08:00
    thedrwu
        1
    thedrwu  
       2023-04-18 23:08:27 +08:00   ❤️ 1
    断电重启可以在 initrd 里开个 sshd/dropbear 远程 ssh 上来填密码。
    gant
        2
    gant  
    OP
       2023-04-18 23:12:19 +08:00 via Android
    @thedrwu 我之前没想到这种方法,只想到全盘加密了。
    huahsiung
        3
    huahsiung  
       2023-04-23 20:40:14 +08:00
    veracrypt 在解密后,会把解密和数据存放在内存里,只要别人没有 memory-dump ,数据就不会泄露。当然,如果在虚拟机使用 veracrypt ,数据没有任何安全性。虚拟机拍一个快照,直接把内存也保存下来了。话说虚拟机也不知道自己被暂停了,对于想解密的人来说,有暂停的快照可以无限分析
    gant
        4
    gant  
    OP
       2023-04-23 20:57:06 +08:00 via Android
    @huahsiung 用 pve 呢,有密码应该安全点吧
    huahsiung
        5
    huahsiung  
       2023-04-23 21:37:11 +08:00
    @gant pve 的密码只是访问密码,用 lxc 比 kvm 还好解密。
    说个题外话,其实加密后,只要别人没有拿到 root ,是没有权限 dump 所有内存的。如果宿主机失陷,虚拟机 100%失陷。

    lxc 的内存和宿主机共享同样区域,只是提供 namespace&cgroups 隔离。有了 root 权限很好 dump 内存,连虚拟机的内存地址计算都不用。veracrypt 在你没有解密的时候,别人基本没法解密。如果你文件解密了,别人还在内存中拿到解密数据了,那么别人 100%解密。

    tls 加密也是可以在本机上直接 dump 内存,拿到 aes 对称密钥解密的。
    还是要做好本地安全,你看很多机密文件的机房都有重要安保设施。

    当然,如果查你服务器文件的人直接把电拔了(内存数据直接消失),取走你的硬盘去解密。如果没有密钥,几乎不可能解密。
    gant
        6
    gant  
    OP
       2023-04-23 21:54:39 +08:00 via Android
    @huahsiung 保障的主要是硬盘丢了,主机丢了,不会被解密,不需要防内存 dump
    huahsiung
        7
    huahsiung  
       2023-04-23 22:01:13 +08:00
    @gant 只要不是犯傻把密钥直接放到主机上,没有这个问题,在冷状态下一般很安全
    busier
        8
    busier  
       2023-04-26 15:57:40 +08:00
    我反正是用 dropbear 挺好的!可以在 Linux 引导过程中通过网络 sshd 输入密码!
    我所有的 VPS 也是全盘 luks 加密,只要你网络没问题 dropbear 很稳定!
    gant
        9
    gant  
    OP
       2023-04-26 16:52:15 +08:00 via Android
    @busier 你怎么 ssh 进去的,是本地吗,还是有公网,还是其他啥。
    busier
        10
    busier  
       2023-04-26 17:03:05 +08:00
    @gant Linux 引导过程中 initrd 加载的网络支持和 dropbear 开启的 sshd 服务器,监听 22/tcp 。当你输入完系统根目录卷密码,系统继续启动时这个 sshd 进程就会销毁。系统正常启动后由正常的 OpenSSH Server 监听 22/tcp (如果有的话)
    正常在有公网 ip 的宽带上做个 22/tcp 端口映射就可以了!
    很方便!
    gant
        11
    gant  
    OP
       2023-04-26 17:28:59 +08:00 via Android
    @busier 我是想 initrd 过程能不能内网穿透,或者 ddnsv6 。
    busier
        12
    busier  
       2023-04-26 17:37:12 +08:00
    @gant 你这还是在额外的软路由上做吧!
    elioo
        13
    elioo  
       2023-04-27 18:05:13 +08:00 via Android
    可以通过一个云服务盐加密
    elioo
        14
    elioo  
       2023-04-27 18:05:52 +08:00 via Android
    http://eliooyang.com 可以购买不同地域服务器云
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2683 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 11:47 · PVG 19:47 · LAX 03:47 · JFK 06:47
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.