这里的安全指的是不会被其他人访问,群晖的 nas 提供了加密功能,但是开机会自动解密,密钥在内存里。如果这时候有人能物理碰到 nas ,还是能获取到里面的数据的。
对比热储存,bitlocker 加密或者其他文件加密,基本不可能被破解,哪怕是硬盘被抱走。
想象一下,nas 里储存了很多敏感数据,突然有人上门直接抱走整个机器,这时数据就没有绝对安全的。
1
ddczl 9 天前
大部分用户,数据丢了也不会天塌了。就是麻烦一点
|
2
InkStone 9 天前
很少有人说数据安全的时候,会考虑别人能物理接触到设备吧
除非是藏违法证据账本什么的 |
3
rockyastor 9 天前
|
4
v2tudnew 9 天前
关于 BitLocker ,我这里阴谋论一下。
现在的软件基本都要 UAC 提权安装、联网,而 BitLocker 密钥也能内存提权(貌似已经有这类取证软件了)。 如果真有人要抱走你电脑,也许破解不那么麻烦。 防病毒、普通人确实好用, |
5
BaymaxK 9 天前
抱走整个机器,会断电的吧😅
|
6
BaymaxK 9 天前
@rockyastor FBI, open the door!
|
9
crz 9 天前
1. bitlocker 开机也解密吧?密钥内存不太清楚
2. 整机抱走 bitlocker 呢? 3. nas 哪怕是硬盘被抱走呢? 4. nas/bitlocker 不是一个维度的比较吧? |
10
paopjian 9 天前
不是,哥们, 你的 NAS 是要优先考虑禁止其他人读取数据吗?
|
11
git00ll 9 天前
nas 也不是为了你说的这种安全做的
|
12
falcon05 9 天前 via iPhone
有道理,要考虑开门查水表的情况
|
13
qiuhang 9 天前
@rockyastor 举个栗子,你在网上说了什么话含沙射影了某人,然后触发某些规则,然后 fbi open the door 。或者是承德程序员这种情况,大概也会物理抱走你机器的。这种事情其实不少,只是很少曝出来。
|
14
ipengxh 9 天前
根据个人经验,一般情况下两类人在查水表之后还不吐露密码的,一类是小偷小摸的比如说偷电瓶的,第二类是贩毒之类的。
|
15
lqs 9 天前 via iPhone
开机自动解密 等于没加密
应该要有个开机手动解密的流程(例如本地或远程输密码) |
16
lengyuqu 9 天前
网络存储和人身安全有什么关系?
你都上升到 open the door 了,你不得花点大价钱存海外银行的保险柜里?再租一个雇佣军里外三层把守? 你没这钱你考虑个屁 |
18
LnTrx 9 天前
关键在于搞清楚防的是谁。如果是怕喝茶,那一般的薄弱点在社会工程学。实在要物理安全,那考虑放到另一地更合理一点。
|
20
v2tudnew 9 天前 1
|
21
fms 9 天前 via Android 1
我树莓派开了 luks ,initrd 里要 ssh 远程上去手动解密才进入正常的开机阶段,断电后就启不来了,我认知范围里蛮安全的
|
22
Donaldo 9 天前
一般来说普通人说的数据安全指的是数据可用性而不是机密性
|
23
billccn 8 天前
@cc666 旧版的 Windows Boot Manager 有一个漏洞 CVE-2023-21563 ,在特定的情形下没有清除内存里的 Bitlocker key 就引导第三方非 Windows 操作系统,导致密钥泄漏。虽然新版的已经没有漏洞,但是旧版太多,全部录进黑名单(证书吊销列表)会占用主板固件近一半的空间,而且会导致旧系统无法安装,于是微软决定不吊销。所以攻击者如果可以修改磁盘或者 BIOS 允许用其他载有旧版 Boot Manager 的介质启动的话都可以轻松解密 Bitlocker 。目前的解决方案是设置 TPM+PIN 的形式,但是 Windows Home 不支持。
|
25
Tomatopotato 8 天前
@lqs 开机自动解密=没加密这说法是错误的。如果真的这么蠢,为啥威联通群晖都做这功能,他们的产品经理程序员都是弱智吗?
你想想,假如你 nas 被人抱走,然后人家插上网线开机,硬盘开机自动解密了,但是访问硬盘的方式仍然是需要密码的,要么 WebUI 登录,要么 SMB ,要么 SSH ,你都不可能绕过系统去直接读硬盘,但凡你把硬盘直接拔下来,你还是无法直接读。这就是开机自动解密的设计理由。 |
26
rockyastor 7 天前
@qiuhang 但是我根本没必要在网上说什么话含沙射影某人啊
|
27
Gesar OP @Tomatopotato 只要是密钥在内存里,就能 dma 读。或者有 ttl 串口、主板测试点更简单。
|
28
Tomatopotato 6 天前
@Gesar 你觉得你的数据值得别人这么搞你吗?
|
29
lxh1983 6 天前 via iPhone
都突然有人上门了,他不能对你一顿严刑拷打?你能撑几轮不交密码? NAS 就不一样了,你可以用别人的名义租套房,把 nas 放到那里,冲到你家的人都不知道你还有这玩意,而且 nas 加密文件夹又不是必须开机自动挂载,就算自动挂载的,你没密码也登陆不上,不开机又是加密状态,安全性怎么也比移动硬盘高吧
|
30
Kite6 5 天前 via Android
没启动的时候,怎么 ssh ?
|
32
fms 4 天前 via Android
@Kite6 大概就是 ssh 集成到 initramfs 里,要是树莓派的话可以看这个工具,太细节的我也都忘了,当时是以这个工具为主线搞的
https://github.com/gitbls/sdm/blob/b02faaaef698053f23ca57e9da8a122049c6cae0/Docs/Disk-Encryption.md |