这里的安全指的是不会被其他人访问,群晖的 nas 提供了加密功能,但是开机会自动解密,密钥在内存里。如果这时候有人能物理碰到 nas ,还是能获取到里面的数据的。
对比热储存,bitlocker 加密或者其他文件加密,基本不可能被破解,哪怕是硬盘被抱走。
想象一下,nas 里储存了很多敏感数据,突然有人上门直接抱走整个机器,这时数据就没有绝对安全的。
1
ddczl 28 天前
大部分用户,数据丢了也不会天塌了。就是麻烦一点
|
![]() |
2
InkStone 28 天前
很少有人说数据安全的时候,会考虑别人能物理接触到设备吧
除非是藏违法证据账本什么的 |
![]() |
3
rockyastor 28 天前
|
4
v2tudnew 28 天前
关于 BitLocker ,我这里阴谋论一下。
现在的软件基本都要 UAC 提权安装、联网,而 BitLocker 密钥也能内存提权(貌似已经有这类取证软件了)。 如果真有人要抱走你电脑,也许破解不那么麻烦。 防病毒、普通人确实好用, |
![]() |
5
BaymaxK 28 天前
抱走整个机器,会断电的吧😅
|
![]() |
6
BaymaxK 28 天前
@rockyastor FBI, open the door!
|
![]() |
9
crz 28 天前
1. bitlocker 开机也解密吧?密钥内存不太清楚
2. 整机抱走 bitlocker 呢? 3. nas 哪怕是硬盘被抱走呢? 4. nas/bitlocker 不是一个维度的比较吧? |
10
paopjian 28 天前
不是,哥们, 你的 NAS 是要优先考虑禁止其他人读取数据吗?
|
![]() |
11
git00ll 28 天前
nas 也不是为了你说的这种安全做的
|
![]() |
12
GG668v26Fd55CP5W 28 天前 via iPhone
有道理,要考虑开门查水表的情况
|
![]() |
13
qiuhang 28 天前
@rockyastor 举个栗子,你在网上说了什么话含沙射影了某人,然后触发某些规则,然后 fbi open the door 。或者是承德程序员这种情况,大概也会物理抱走你机器的。这种事情其实不少,只是很少曝出来。
|
14
ipengxh 28 天前
根据个人经验,一般情况下两类人在查水表之后还不吐露密码的,一类是小偷小摸的比如说偷电瓶的,第二类是贩毒之类的。
|
![]() |
15
lqs 28 天前 via iPhone
开机自动解密 等于没加密
应该要有个开机手动解密的流程(例如本地或远程输密码) |
![]() |
16
lengyuqu 28 天前
网络存储和人身安全有什么关系?
你都上升到 open the door 了,你不得花点大价钱存海外银行的保险柜里?再租一个雇佣军里外三层把守? 你没这钱你考虑个屁 |
![]() |
18
LnTrx 28 天前
关键在于搞清楚防的是谁。如果是怕喝茶,那一般的薄弱点在社会工程学。实在要物理安全,那考虑放到另一地更合理一点。
|
20
v2tudnew 28 天前 ![]() |
![]() |
21
fms 28 天前 via Android ![]() 我树莓派开了 luks ,initrd 里要 ssh 远程上去手动解密才进入正常的开机阶段,断电后就启不来了,我认知范围里蛮安全的
|
22
Donaldo 28 天前
一般来说普通人说的数据安全指的是数据可用性而不是机密性
|
23
billccn 27 天前
@cc666 旧版的 Windows Boot Manager 有一个漏洞 CVE-2023-21563 ,在特定的情形下没有清除内存里的 Bitlocker key 就引导第三方非 Windows 操作系统,导致密钥泄漏。虽然新版的已经没有漏洞,但是旧版太多,全部录进黑名单(证书吊销列表)会占用主板固件近一半的空间,而且会导致旧系统无法安装,于是微软决定不吊销。所以攻击者如果可以修改磁盘或者 BIOS 允许用其他载有旧版 Boot Manager 的介质启动的话都可以轻松解密 Bitlocker 。目前的解决方案是设置 TPM+PIN 的形式,但是 Windows Home 不支持。
|
24
cc666 27 天前
|
25
Tomatopotato 27 天前
@lqs 开机自动解密=没加密这说法是错误的。如果真的这么蠢,为啥威联通群晖都做这功能,他们的产品经理程序员都是弱智吗?
你想想,假如你 nas 被人抱走,然后人家插上网线开机,硬盘开机自动解密了,但是访问硬盘的方式仍然是需要密码的,要么 WebUI 登录,要么 SMB ,要么 SSH ,你都不可能绕过系统去直接读硬盘,但凡你把硬盘直接拔下来,你还是无法直接读。这就是开机自动解密的设计理由。 |
![]() |
26
rockyastor 26 天前
@qiuhang 但是我根本没必要在网上说什么话含沙射影某人啊
![]() |
27
Gesar OP @Tomatopotato 只要是密钥在内存里,就能 dma 读。或者有 ttl 串口、主板测试点更简单。
|
28
Tomatopotato 25 天前
@Gesar 你觉得你的数据值得别人这么搞你吗?
|
29
Od37v61n5s89gXx8 25 天前 via iPhone
都突然有人上门了,他不能对你一顿严刑拷打?你能撑几轮不交密码? NAS 就不一样了,你可以用别人的名义租套房,把 nas 放到那里,冲到你家的人都不知道你还有这玩意,而且 nas 加密文件夹又不是必须开机自动挂载,就算自动挂载的,你没密码也登陆不上,不开机又是加密状态,安全性怎么也比移动硬盘高吧
|
30
Kite6 24 天前 via Android
没启动的时候,怎么 ssh ?
|
![]() |
32
fms 23 天前 via Android
@Kite6 大概就是 ssh 集成到 initramfs 里,要是树莓派的话可以看这个工具,太细节的我也都忘了,当时是以这个工具为主线搞的
https://github.com/gitbls/sdm/blob/b02faaaef698053f23ca57e9da8a122049c6cae0/Docs/Disk-Encryption.md |
33
huangdog 16 天前 via Android
你多机密的数据需要加密啊?
|