你们去机房托管服务器会全盘加密么？

会， bitlocker 全盘加密
重启用 iDRAC 连进去
专门买了个独立 ip 干这事

不会。
曾经对数据泄漏很敏感。后来意识到我的那点数据根本没人惦记。就麻木了。

@vibbow 我的 iDRAC 不是那个最高级的企业版..是 iDRAC8 Express,不支持远程终端输入..我个人感觉除了远程重启或者监控系统资源没什么别的用处了,

所以我服务器都再开层虚拟机，本身不加密，虚拟磁盘都加密

@heeroz 我印象中之间有看到过一篇文章说如果宿主机物理不安全的话，虚拟机即使磁盘加密也是可以被攻破的，同理 VPS 磁盘加密也不是非常的安全。

当然安全和开销一直是连着的，一般人的数据大体上不用考虑那么多就是了。

@sinxccc 额，硬盘加密理论所不可能被攻破，除非是那台机器管理员在输入虚拟机硬盘启动密码的时候，信息被截获。因为宿主机被攻破了，如果用 SSHv1 ，拿到服务器 ssh 服务器的私钥能直接解密。（ SSHv2 不能） 或者通过别的手段记录键盘。

黑客直接把虚拟机硬盘删了，也算是攻击吧。。。。

开销现在来说差距已经越来越小了， Haswell 貌似还有专门针对 AES 的优化

用 IPMI 啊

@shiji 这里有个类似的讨论 http://security.stackexchange.com/questions/20334/memory-dumping-cause-for-concern-in-virtualization

如果要把硬盘加密,建议把网络通讯都加密, 要不然对机房也是明文

@unkn369 明文通讯对路过的每个节点都是明文啊

iDRAC8 Express 其实可以通过 ssh 链接 serial 口管理的，设置好系统的 serial tty 就可以了。

@shiji iDRAC 可以升级的，买个序列号就行了。

分两种情况：

如果要全盘加密，包含 boot 的话，只能通过 IPMI 一类的旁路管理来实现，常见的有 iDRAC/iLO 等等。
这种情况相当于你无限信任 IPMI 管理模块。

如果可以不全盘加密，可以在 boot 部分加入 sshd 。
对于有物理接触能力的入侵，这种做法会降低加密的可靠性。


如果你真的非常在意托管服务器的数据安全，还有很多东西可以参考：

箱体入侵检测，一旦机箱被开启，就关闭系统或者删除数据；
禁用外部接口、外部显示以及外部媒介；
使用 TPM 模块，敏感密钥存储在 TPM 模块中。


严格意义上，如果有人可以无限制物理接触你托管的机器，你就没办法再信任这台机器了。

如果从零开始构建信任链，那么可以考虑某些商业产品，比如 PrivateCore vCage 。

没有绝对的安全。磁盘加密其实是不够的，机器在人家那摆着，拦截你数据的方法实在太多了。

@sinxccc 这是说宿主机被攻破，获取到内存内容然后破解虚拟机加密磁盘么？其实一样的，你没通过外部设备加解密磁盘的话，就算你不用虚拟机并全盘加密，只要能获得主机内存内容就可以破解磁盘。

放心吧 你那点破数据没人惦记 IDC 员工路过 纠结全盘加密不如好好研究下服务器安全防止被黑 节约一点机房值班人员帮你重装系统的时间

@zhuang TPM 这个服务器还真有，是 2.0 版本，早些年记得可以用它作为 bitlocker 的密钥。但是在 Linux 上面貌似目前没有什么成熟的加密全盘的功能，另外，已经发现能用的是还可以在 uefi 模式下锁定各类启动设备的启动顺序，防止篡改

@vibbow 国内有什么优惠渠道么？我这里查到的升级到企业版得三五百美刀

@shiji 1. 万能的淘宝
2. 问 Dell 销售

我当时是随机出货的企业版，单独具体多钱我也不了解。
反正肯定不会三五百刀这样子。

@vibbow 万能的淘宝！真便宜啊！！！！！！！！！

@shiji 多少钱买到的？
@vibbow TPM BitLocker 的话，好像说如果 TPM 损坏，那加密过的数据就都废了？所以一直使用软 BitLocker。

@wkl17 当时几十块的样子