LUKS 加密磁盘后的 vps 是不是就彻底安全了,求指教

235 天前
 xingyue

环境

  1. 出于性价比考虑,购买了国内某家小型 IDC 的 VPS ,通过支付宝完成了实名认证流程。VPS 有 100G 的系统盘和 2T 的数据盘,宿主机采用 KVM 虚拟化。
  2. 家里的宽带有公网 IP ,路由器将一个端口转发到家里的 NAS 设备,供 WireGuard 连接使用。
  3. 本人从事前端开发,对后端知识了解有限。

需求

  1. 由于 IDC 运营方禁止机器与墙外互联,因此 VPS 通过 WireGuard 连接到家里,再使用 NAS 上的 Clash 局域网共享代理,从而可以访问 GitHub 等墙外开发资源。
  2. VPS 用于正常业务,作为个人练手学习 Golang 的环境,会有部分用户的音视频数据临时存储在数据盘上。

安全处理

安全疑虑

由于机器是通过 “小作坊” 购买的,而且我的 WireGuard 配置文件可直接用于连接家里的设备,一旦数据被拷贝,后果不堪设想。因此我对安全性存有担忧。按照各家 AI 的说法,我现在的安全措施已经足够(除非 IDC 直接拷贝我的内存数据),但仍不敢完全相信 AI 的评估,故发帖求教。

附件

3011 次点击
所在节点    信息安全
31 条回复
busier
235 天前
@xingyue 从控制台,例如 VNC 输入密码不够安全。

可以研究下 dropbear-initramfs 可以在引导阶段通过 ssh 输入密码解锁 luks root
xaxb
235 天前
感觉现在所有的云主机都会附加安装一些自己开发的驱动或服务,即使你上传的镜像也不例外,只要挂载上,它就能访问的到。
drymonfidelia
234 天前
dump 内存成本有多低
你用过虚拟机吗?几乎所有虚拟化软件都有个挂起功能,只要点一下就把内存 dump 到一个文件里了,你的密钥就在里面,宿主机怎么重启再恢复都不用密码
LnTrx
234 天前
如果只是为了远程转发一个端口,不一定需要组虚拟局域网。
另外既然楼主担心外人进到内网,说明内网可能有些不设防的服务。如果真的重视安全,就不能假设内网一定干净,建议考虑加固。
mayli
234 天前
感觉自己用的话,不算彻底安全,但是应该也没啥大问题。
zingl
234 天前
避免 vnc 输入 luks 密码,可以使用 mandos 通过网络传输密钥

如上面几楼说的,从防范服务商的角度,这些操作对于虚拟机没有意义,主要是方便自己
Betterr
234 天前
用就别怕,怕就别用。

技术层面讲,你的 vps 就是母鸡上的虚拟机,运行时快照一打内存啥的不都能看吗?

从商家角度讲,谁闲的没事干监控虚拟机里你干啥了?而且还有可能被你发现挂出去的风险,影响商家做生意的风险他干嘛做呢?
charles0
234 天前
如果要安全性,能不能实现这样的系统:即使所有文件包括 WireGuard 配置文件都泄露了,攻击者也只能通过它连接外网,做不了其它事情,与其它部分隔离。我不太熟悉 WireGuard ,但感觉这是可行的。这才安全吧。
catsnl
234 天前
可以通过链式代理访问到你家的 vpn ,需要再次认证,这样即使被 vps 被攻破还有也不至于家里内网全部暴露。我是 ss ( vps ) →wireguard (家里的路由器)→ss (内网)
louisxxx
233 天前
你是不是傻? 虚拟机快照一下就能拿到你数据,还包括内存快照
xingyue
233 天前
@charles0 WireGuard 可以通过 AllowedIPs 去限制节点可访问网段,但是因为我需要通过虚拟局域网去共享代理,所以 VPS 实际可以通过代理网络去访问我的整个内网,VPS--WireGuard-->NAS>--http-proxy-->内网其他设备。可以参考楼下的建议,使用链式代理。

@catsnl 非常感谢,这样配置成本极低,也避免了局域网代理共享引起的问题,再次感谢!!!

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://ex.noerr.eu.org/t/1109151

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX