我正在考虑设置一个邮件服务器(当然是运行 Ubuntu),但我需要它可靠地运行(如果它足够好,可以开始使用它而不是只使用 Gmail),所以我找到了一个看起来值得信赖的 VPS 提供商,它使用 KVM,而不是我家里的 Ubuntu 服务器。作为预防措施,我希望我的邮件能够安全存储和加密(尽管我知道它无法防止黑客在它仍在运行时访问它)。这可以通过使用 Encfs 轻松完成(前提是我在启动后登录并解密它)。
在研究在 VPS 中运行邮件服务器时,我了解到提供商(或黑客)始终能够读取我的 VPS 正在做什么。据称(第二段)如果您使用 OpenVZ,这很容易做到,但如果我的提供商(或者更可能是黑客)想对 KVM 或 Xen VM 执行相同操作,则他/她需要重新启动我的 VM。但是,我找不到有关此的更多信息。
我的问题: 如果有人可以访问我的 KVM VM 并想查看我的 VM 上的数据,那么这个人可以读取什么?例如,这个人是否只会在未启动状态下获得我的 VM 的副本,因此如果他们不知道我的加密密码,那么加密的 Encfs 文件夹在启动时仍处于锁定状态?或者他们可以使用我解密的 Encfs 文件夹访问正在运行的 VM?(我希望我的问题有意义。)
我知道我的提供商或黑客不会对阅读我的电子邮件感兴趣,但谨慎一点总比后悔好。GPG 尚未被广泛使用。
答案1
物理访问是 root 访问,因此如果有人对服务器有物理访问权,无论它是在 VM 还是裸机上,他们都拥有 root 访问权。在 KVM 的情况下,裸机主机的所有者可以访问客户机。您始终可以加密数据,但这可能好处有限,因为当您访问数据时,数据将被解密。
网络也一样。虚拟机的所有者可以看到您的网络流量。同样,您可以加密部分流量(https、ssh 等)。