机房不可信的情况下，怎么保护服务器安全？

2021-05-31 13:31:43 +08:00

gamexg

碰到一个恶心的事情，机房内部的 ipmi 密码泄露，不少服务器被通过 ipmi 入侵。机房的 ipmi 都有公网 ip，目前要求机房断开 ipmi 网线临时处理了问题

现在想请教下，是否有办法在机房不可靠的情况下保证服务器安全？

我想到的只有全盘加密，启动时通过 ipmi 手工输入密码解密。这样通过 ipmi 去重启服务器进单用户模式或者 winpe 也无法留下后门。

windows 下用 bitlocker 可以做到，linux 下就不清楚有什么方案比较好了。

不过实际最好的解决办法还是直接换机房。

2029 次点击

所在节点

站长

14 条回复

ReferenceE

2021-05-31 14:08:42 +08:00

你问问苹果人的云上贵州如何解决数据泄露，他们懂隐私

line

2021-05-31 14:14:34 +08:00

veracrypt

julyclyde

2021-05-31 17:47:11 +08:00

这不是机房的问题啊，这是你自己的问题啊
怎么就“机房不可信的情况下”了？

henvm

2021-05-31 17:52:47 +08:00

机房要看是哪种机房，机房也有级别的

2021-05-31 17:57:59 +08:00

@julyclyde 看着是 ip mi 只能用机房提供的公网服务，这个服务有泄露的可能。

我们以前一般不会需要用到这个，顶多也就是联系机房帮忙重启下服务器。如果非要使用，一般去机房解决。

gamexg

2021-05-31 18:25:15 +08:00

@ReferenceE #1 额...

@line #2 谢谢，我去看下

@julyclyde #3 机房服务器自带公网 ip 的 ipmi 。
查看日志，发现是机房内部的 ipmi 账号完成的入侵，出问题的账号密码并未提供给我们，是机房自用的。
机房不允许关闭 ipmi，出问题后交涉了半天，机房才同意临时断掉 ipmi 网线。

@henvm #4 机房服务商不算小，想不到会出这种问题。

@wd #5 基本也没用过 ipmi，但是机房为了管理方便，不允许停掉 ipmi 。

henvm

2021-05-31 18:38:35 +08:00

@gamexg 有 SLA 和隐私条款吧。

2021-05-31 19:12:23 +08:00

按说现在都用云服务器了，伸缩自如，硬件层面的问题还不用管。

Jirajine

2021-05-31 19:36:21 +08:00

一般来说机房不可信是指云服务商不可信。
解决办法也有，如全同态加密。

julyclyde

2021-06-01 12:16:30 +08:00

@gamexg 我尝试理解一下，机器的产权不是你们的？供应商出租机器给你们且他们自己掌握 ipmi 且公网，且被黑了？
如果是这样，那就别提 ipmi 的事了，直接索赔就行了
你和供应商是纯洁的金钱关系，不要插手人家的内部做法

q428202849

2021-06-02 16:54:02 +08:00

云服务器吗？

gamexg

2021-06-03 11:44:50 +08:00

@henvm #7 @julyclyde #10
准备起诉了
但是一朝被蛇咬十年怕井绳，目前是想知道这种情况是否有技术手段防御。

@wd #8 云服务提供商内部出问题一样惨...

@q428202849 #11 物理机

q428202849

2021-06-03 11:56:00 +08:00

@gamexg 直接换机房吧看名字
香港自营机房需要可以找我~

julyclyde

2021-06-03 16:09:57 +08:00

@gamexg IPMI 别放在公网上；密码改掉

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/780311

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.