V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
请不要把任何和邀请码有关的内容发到 NAS 节点。

邀请码相关的内容请使用 /go/in 节点。

如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
Gesar
V2EX  ›  NAS

要保证数据安全,冷储存比 nas 更好

  •  
  •   Gesar · 10 天前 · 2514 次点击

    这里的安全指的是不会被其他人访问,群晖的 nas 提供了加密功能,但是开机会自动解密,密钥在内存里。如果这时候有人能物理碰到 nas ,还是能获取到里面的数据的。
    对比热储存,bitlocker 加密或者其他文件加密,基本不可能被破解,哪怕是硬盘被抱走。
    想象一下,nas 里储存了很多敏感数据,突然有人上门直接抱走整个机器,这时数据就没有绝对安全的。

    32 条回复    2025-01-26 22:52:26 +08:00
    ddczl
        1
    ddczl  
       10 天前
    大部分用户,数据丢了也不会天塌了。就是麻烦一点
    InkStone
        2
    InkStone  
       10 天前
    很少有人说数据安全的时候,会考虑别人能物理接触到设备吧

    除非是藏违法证据账本什么的
    rockyastor
        3
    rockyastor  
       10 天前
    不存在 nas 被突然有人上门直接抱走整个机器的情况
    v2tudnew
        4
    v2tudnew  
       10 天前
    关于 BitLocker ,我这里阴谋论一下。
    现在的软件基本都要 UAC 提权安装、联网,而 BitLocker 密钥也能内存提权(貌似已经有这类取证软件了)。
    如果真有人要抱走你电脑,也许破解不那么麻烦。
    防病毒、普通人确实好用,
    BaymaxK
        5
    BaymaxK  
       10 天前
    抱走整个机器,会断电的吧😅
    BaymaxK
        6
    BaymaxK  
       10 天前
    @rockyastor FBI, open the door!
    Gesar
        7
    Gesar  
    OP
       10 天前
    @BaymaxK 重新通电开机又会自动解密
    Gesar
        8
    Gesar  
    OP
       10 天前
    @v2tudnew 移动硬盘加密,只要弹出了,就是安全的。
    crz
        9
    crz  
       10 天前
    1. bitlocker 开机也解密吧?密钥内存不太清楚
    2. 整机抱走 bitlocker 呢?
    3. nas 哪怕是硬盘被抱走呢?
    4. nas/bitlocker 不是一个维度的比较吧?
    paopjian
        10
    paopjian  
       10 天前
    不是,哥们, 你的 NAS 是要优先考虑禁止其他人读取数据吗?
    git00ll
        11
    git00ll  
       10 天前
    nas 也不是为了你说的这种安全做的
    falcon05
        12
    falcon05  
       10 天前 via iPhone
    有道理,要考虑开门查水表的情况
    qiuhang
        13
    qiuhang  
       10 天前
    @rockyastor 举个栗子,你在网上说了什么话含沙射影了某人,然后触发某些规则,然后 fbi open the door 。或者是承德程序员这种情况,大概也会物理抱走你机器的。这种事情其实不少,只是很少曝出来。
    ipengxh
        14
    ipengxh  
       10 天前
    根据个人经验,一般情况下两类人在查水表之后还不吐露密码的,一类是小偷小摸的比如说偷电瓶的,第二类是贩毒之类的。
    lqs
        15
    lqs  
       10 天前 via iPhone
    开机自动解密 等于没加密
    应该要有个开机手动解密的流程(例如本地或远程输密码)
    lengyuqu
        16
    lengyuqu  
       9 天前
    网络存储和人身安全有什么关系?
    你都上升到 open the door 了,你不得花点大价钱存海外银行的保险柜里?再租一个雇佣军里外三层把守?
    你没这钱你考虑个屁
    LnTrx
        18
    LnTrx  
       9 天前
    关键在于搞清楚防的是谁。如果是怕喝茶,那一般的薄弱点在社会工程学。实在要物理安全,那考虑放到另一地更合理一点。
    v2tudnew
        19
    v2tudnew  
       9 天前
    @Gesar
    我说的是在你解锁的情况下像木马一样窃取你得密钥 XXXX-XXXX-XXXX 这样的,而且光改密码没用,得重新解密然后再加密才能改。
    v2tudnew
        20
    v2tudnew  
       9 天前   ❤️ 1
    @cc666
    在解锁的情况下其实还有更简单的,直接控制命令行窃取就行,一条命令解决,不弹出命令行窗口相信大家都会。
    manage-bde -protectors -get D:
    fms
        21
    fms  
       9 天前 via Android   ❤️ 1
    我树莓派开了 luks ,initrd 里要 ssh 远程上去手动解密才进入正常的开机阶段,断电后就启不来了,我认知范围里蛮安全的
    Donaldo
        22
    Donaldo  
       9 天前
    一般来说普通人说的数据安全指的是数据可用性而不是机密性
    billccn
        23
    billccn  
       9 天前
    @cc666 旧版的 Windows Boot Manager 有一个漏洞 CVE-2023-21563 ,在特定的情形下没有清除内存里的 Bitlocker key 就引导第三方非 Windows 操作系统,导致密钥泄漏。虽然新版的已经没有漏洞,但是旧版太多,全部录进黑名单(证书吊销列表)会占用主板固件近一半的空间,而且会导致旧系统无法安装,于是微软决定不吊销。所以攻击者如果可以修改磁盘或者 BIOS 允许用其他载有旧版 Boot Manager 的介质启动的话都可以轻松解密 Bitlocker 。目前的解决方案是设置 TPM+PIN 的形式,但是 Windows Home 不支持。
    cc666
        24
    cc666  
       9 天前
    @billccn 感谢指出

    @v2tudnew 这个完全称不上漏洞或者 BUG ,设备的控制权在别人手里,别人以管理员解锁了设备了,可以获得 bitlock 密钥是预期行为
    Tomatopotato
        25
    Tomatopotato  
       8 天前
    @lqs 开机自动解密=没加密这说法是错误的。如果真的这么蠢,为啥威联通群晖都做这功能,他们的产品经理程序员都是弱智吗?

    你想想,假如你 nas 被人抱走,然后人家插上网线开机,硬盘开机自动解密了,但是访问硬盘的方式仍然是需要密码的,要么 WebUI 登录,要么 SMB ,要么 SSH ,你都不可能绕过系统去直接读硬盘,但凡你把硬盘直接拔下来,你还是无法直接读。这就是开机自动解密的设计理由。
    rockyastor
        26
    rockyastor  
       8 天前
    @qiuhang 但是我根本没必要在网上说什么话含沙射影某人啊
    Gesar
        27
    Gesar  
    OP
       8 天前
    @Tomatopotato 只要是密钥在内存里,就能 dma 读。或者有 ttl 串口、主板测试点更简单。
    Tomatopotato
        28
    Tomatopotato  
       6 天前
    @Gesar 你觉得你的数据值得别人这么搞你吗?
    lxh1983
        29
    lxh1983  
       6 天前 via iPhone
    都突然有人上门了,他不能对你一顿严刑拷打?你能撑几轮不交密码? NAS 就不一样了,你可以用别人的名义租套房,把 nas 放到那里,冲到你家的人都不知道你还有这玩意,而且 nas 加密文件夹又不是必须开机自动挂载,就算自动挂载的,你没密码也登陆不上,不开机又是加密状态,安全性怎么也比移动硬盘高吧
    Kite6
        30
    Kite6  
       5 天前 via Android
    没启动的时候,怎么 ssh ?
    Kite6
        31
    Kite6  
       5 天前 via Android
    @fms 没启动的时候,怎么 ssh ?
    fms
        32
    fms  
       4 天前 via Android
    @Kite6 大概就是 ssh 集成到 initramfs 里,要是树莓派的话可以看这个工具,太细节的我也都忘了,当时是以这个工具为主线搞的
    https://github.com/gitbls/sdm/blob/b02faaaef698053f23ca57e9da8a122049c6cae0/Docs/Disk-Encryption.md
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1777 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 04:29 · PVG 12:29 · LAX 20:29 · JFK 23:29
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.