我有一个VPS。我也许可以加密我的分区,但是我还没有尝试过。我相信我的VPS公司可以重设我的root密码,尽管我看到的唯一SSH密钥是我自己的。我将所有数据加密为encfs。以防万一黑客获得某种访问权限,encfs只有在我的密码正确的情况下才可以安装驱动器(SSH密钥无法安装该驱动器,因为新密码是不正确的密码,因此重置root密码也不会安装)
我的问题是我的VPS主机可以闯入我的盒子吗?实际上,数据是加密的。我相信无需重置该框即可更改根目录吗?如果是这样,那么他们可以访问我已经挂载的文件系统?如果另一个没有权限的用户登录,该用户可以执行某些操作来访问ram并转储敏感数据吗?VPS主机可以轻松读取我的RAM的内容吗?
注意:这是假设的。我在考虑是否有大客户,我想知道我能保证多少安全性,而这正是我想到的。我宁可不要在家中放一个盒子,也不要用管道来支撑它。
Answers:
通常,对计算机进行物理访问是危害计算机所需的全部。毕竟,您相信机器告诉您的内容是真实的。有身体接触的人可以使这种信任无效。考虑到具有物理访问权限的攻击者理论上可以执行任何操作(包括安装硬件/固件rootkit等)。
如果数据是加密的,那是很好的第一步,但是在每一步(当您输入身份验证以解密卷等时),您都在相信计算机不会骗您。当您没有对物理机的个人控制权时,这要困难得多。
至于您的某些特定查询:
如果另一个没有权限的用户登录,该用户可以执行某些操作来访问ram并转储敏感数据吗?
一般来说,没有。原始内存访问是特权操作。
vps主机可以轻松读取我的ram的内容吗?
是。虚拟环境中的隔离意味着您无法控制VPS在其中运行的外部操作环境。该操作环境确实可以做到这一点。
没有办法对付恶意的托管服务提供商,他们可以访问您的数据,无论您如何避免。一些简单的例子:
拥有服务器的唯一合理安全的方法是购买,安装机箱并将其放在共享或私有托管环境中的自己的机架中,设置加密的文件系统,受信任的启动设备,机架上的物理锁以及安全性控制台访问。
由于诸如软件版本中的安全性问题,锁定(针对物理锁定)之类的事情,即使这可能也会有漏洞。