您的数据存储在云端、服务提供商的服务器上,甚至是您自己的服务器上,是否安全,不会被窥探?
遗憾的是,恐怕不行。
如果你经营着一个国际走私集团,在拉特维利亚为自由而战,或者试图保守你专有的 AES 解密算法的秘密,你可能想知道你在不同的托管级别上拥有哪些保护措施。
在我们深入探讨之前,请不要惊慌失措,也不要以为每个初级系统管理员都在翻阅你的文件。
首先,他们可能并不感兴趣。其次,IT 界非常重视隐私,擅自访问他人的私人数据会让一般的系统管理员感到非常反感。第三,服务提供商深知恶名传播速度极快:一旦有人被发现有这种行为,消息就会迅速传遍互联网,服务提供商的声誉也会因此受损。最后,服务提供商这样做也存在法律风险,这也是一个重要的威慑因素。
当然,如果是政府机构持搜查令进入并进行检查,情况就不同了。服务提供商依法必须配合,如果他们拒绝,可以被强制执行。
我们来看看实际情况。以下所有规则都有例外:如果您在异地(而非服务器上)加密数据,然后再将其复制到服务器,则该数据的安全性取决于加密强度。
共享主机(cPanel、DirectAdmin 等)
这里没有任何保护措施。服务提供商只需登录服务器,切换到您的帐户目录,就能看到所有内容,完全无视您设置的任何权限。
OpenVZ VPS
服务提供商只需输入
vzctl 输入 <您的容器 ID>
他们以root用户身份登录你的虚拟机。那时,他们就可以看到你所有的文件内容。
KVM VPS
虽然没有“立即以root身份登录”的命令,但仍然没有真正的安全保障。服务提供商可以克隆你的VPS,启动它,重置root密码,然后登录。
您可以使用加密(例如 LUKS)来加密分区,但由于提供商控制着虚拟机管理程序,他们可以从虚拟机的内存中提取加密密钥并轻松解密。
专用服务器
在这里你稍微安全一些。但是,请记住,你无法控制 BIOS、固件、服务器上的 ISO 镜像、控制台等等。现在,安装自定义 BIOS、创建虚假控制台会话来窃取你的登录信息等等,工作量要大得多,所以你不用担心“凌晨两点无聊的初级系统管理员”的问题,但你仍然无法躲避那些三字母安全机构的调查。
归根结底
如果您需要在线存储/交换数据,请务必在数据离开您的控制范围之前对其进行加密。否则,不要抱有任何幻想,认为存储在云端的数据就能免受窥探。专用服务器可以让您达到“只需担心政府”的程度。除此之外,别无他法。
请在ZHUJIMAO.COM论坛的这个帖子里进行更多讨论!
