好奇很久的问题：云主机提供商能不能读取到用户放在主机中的数据？

@realpg 这个如果有个键盘记录器的话，照样可以还原的。

@yuzenan888 你这种根本不需要扫文件，直接分析一下你的网络特征就啥都出来了……包括但不限于 DNS 查询记录，出站连接 IP，出入站流量统计…………

技术上可以实现，但是存在巨大法律风险

对于 vps 来说，你所有的软硬件包括系统在内都是基于别人的 infra，如果只是问可不可以的话，答案当然是可以。

即便是 Host 直连或者机柜托管，对方如果愿意的话也可以实现中间人攻击或者基于物理接触的 bootkit/rootkit 攻击，从而控制你的进出站流量乃至窥视到系统底层。

但是上述不论哪种方法，在没有法律支持、法院授权的情况下，都是明显违反针对客户服务的可用性、完整性承诺的。

所以能，但是基本不可能有。

@xy90321 谢谢大佬。不过我想问一下，机柜托管的话，如果磁盘加密以及网络流量工作做到位，使用诸如 TPM 模块安全启动有没有可能窃取到数据？

@yuzenan888
机柜托管的话，一般来说防护做足（包括物理入侵防护、检测）以后基本很难窃取到。虽然理论上可以种 bootkit/rootkit 来获得底层控制，但是一般没有 0day 配合怕是不太现实。军用或者国家级别的攻击除外～

明确的说是可以的，不管是他的安全监控客户端，还是高级权限的用户。
然后，你忘记阿里云 /腾讯云网页控制台，可以直接远程登陆系统或者修改管理员密码了吗？
只要他们想，登陆到你系统里是分分钟的事。

但是，你有这个资格，让普通技术冒着毁前途的风险越过权限来偷窥你的隐私？让大厂冒着法律风险来看你的东西？
除非是“上头”要求的，没人有空管你。

能，同事呼叫技术支持的时候亲眼见过 VNC 上在自动打字

@Reficul 给了 VNC 密码吧。

@ndd200 总的来说，技术上完全可以做到获取用户数据的，但是这种行为受行政和法律的约束，对吧。

必然能读取，所以要选择大厂商，至少大厂商能做到各种规范制度约束员工操作

现在的原则是，安全高于一切。
政府行业里，如果业务可以运行，但不能保证安全，宁愿不要业务运行。

@realpg 全盘加密，比如 BitLocker 或者 LUKS，磁盘加载后密钥必定是在内存里的，此时 dump 内存理论上也是能找到密钥的。

@mytsing520 政府行业所谓的安全有具体标准么？

居然指望法律来约束大厂

明确的告诉你。除非你将文件系统本身加密，否则服务商只要愿意是可以读取用户数据的。

要读取数据时，做一个目标磁盘的快照，然后 mount 即可看到数据。没什么难度。

@FifiLyu 即使你把文件系统加密，你要使用这个文件系统的时候，密钥也会存在内存中。VMM 可以任意访问虚拟机的内存。
我觉得唯一靠谱的办法就是数据加密之后上传到云主机，需要使用时下载数据，然后在可信的主机上解密。

@jimzhong 这样难度相对较大，没点价值也没人愿意去搞。以前我们公司处理加密文件系统的办法是，将 VM “休眠”，将内存 dump 到文件系统。

使用时，从文件加载内存数据到 OS 内存并开机。

不过，机密数据更多依靠法律方面的方式处理。有“内鬼”的情况下，是没安全可言的。

@FifiLyu 上述这样的操作，我们是得到了用户授权。仅仅用于满足用户需求。

别说盘里的数据了，就是你注册的网站，比如某些日记类、涉及个人隐私之类的，db 里都看得到的，只是没被人用来搞事而已