如果我在某个远程提供商、运营商(如 amazon 或 aruba 等)上安装了 vps,并且在那里安装了 ubuntu,那么我的目录已加密但已解密,例如通过 encfs。(启动、登录到 shell、使用密码安装、注销并保持运行)。并且这个已安装的文件夹、目录通过 nginx 或 ftp 服务器共享给我,因此我可以远程访问它而无需解密。但由于它是在这个远程 vps 上解密的,并且密钥在 vps 机器内存中,如果 vps 公司、aruba 或 amazon 员工想要嗅探它,我该如何保护它?
答案1
没有技术手段可以确保任何物理访问服务器的人都无法访问你的数据,因为他同时拥有加密数据和密钥。你必须相信您的服务提供商。如果服务提供商作为一家公司不值得信赖,请不要将您的数据提供给他们,无论是否加密!
对于个别员工,公司可能会有严格的政策、背景调查和审计方法。这么大的公司不能失去客户的信任。例如,亚马逊在他们的AWS 安全白皮书,第 AWS 访问一章:
AWS 生产网络与 Amazon 公司网络隔离 - AWS 生产网络需要通过堡垒主机进行 SSH 公钥身份验证。
需要访问 AWS 云组件的 Amazon Corporate 网络上的 AWS 开发人员和管理员必须通过 AWS 访问管理系统明确请求访问权限。所有请求均由相应的所有者或经理审核和批准。
如果你有一些非常敏感的信息,这还不够,那么只能自己存储这些数据。(如果锡箔帽级别敏感,也不要将这台机器放在互联网上。
另一方面,这真的让我害怕:
目录通过 nginx 或 ftp 服务器共享给我,因此我可以远程访问它
如果您确实使用 FTP 或纯 HTTP 流量,您的数据将泄露给 AWS 云和您之间的任何人。这才是您应该担心的事情!