要保证数据安全，冷储存比 nas 更好

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

请不要把任何和邀请码有关的内容发到 NAS 节点。

邀请码相关的内容请使用 /go/in 节点。

如果没有发送到 /go/in，那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动，会导致账号被禁用。

这里的安全指的是不会被其他人访问，群晖的 nas 提供了加密功能，但是开机会自动解密，密钥在内存里。如果这时候有人能物理碰到 nas ，还是能获取到里面的数据的。
对比热储存，bitlocker 加密或者其他文件加密，基本不可能被破解，哪怕是硬盘被抱走。
想象一下，nas 里储存了很多敏感数据，突然有人上门直接抱走整个机器，这时数据就没有绝对安全的。

安全

冷储存

NAS

25 条回复 • 2025-01-23 02:59:54 +08:00

ddczl

1 天前

大部分用户，数据丢了也不会天塌了。就是麻烦一点

InkStone

1 天前

很少有人说数据安全的时候，会考虑别人能物理接触到设备吧

除非是藏违法证据账本什么的

rockyastor

1 天前

不存在 nas 被突然有人上门直接抱走整个机器的情况

v2tudnew

1 天前

关于 BitLocker ，我这里阴谋论一下。
现在的软件基本都要 UAC 提权安装、联网，而 BitLocker 密钥也能内存提权（貌似已经有这类取证软件了）。
如果真有人要抱走你电脑，也许破解不那么麻烦。
防病毒、普通人确实好用，

BaymaxK

1 天前

抱走整个机器，会断电的吧😅

BaymaxK

1 天前

@rockyastor FBI, open the door!

Gesar

1 天前

@BaymaxK 重新通电开机又会自动解密

Gesar

1 天前

@v2tudnew 移动硬盘加密，只要弹出了，就是安全的。

crz

1 天前

1. bitlocker 开机也解密吧？密钥内存不太清楚
2. 整机抱走 bitlocker 呢？
3. nas 哪怕是硬盘被抱走呢？
4. nas/bitlocker 不是一个维度的比较吧？

paopjian

1 天前

不是,哥们, 你的 NAS 是要优先考虑禁止其他人读取数据吗?

git00ll

1 天前

nas 也不是为了你说的这种安全做的

falcon05

1 天前 via iPhone

有道理，要考虑开门查水表的情况

qiuhang

1 天前

@rockyastor 举个栗子，你在网上说了什么话含沙射影了某人，然后触发某些规则，然后 fbi open the door 。或者是承德程序员这种情况，大概也会物理抱走你机器的。这种事情其实不少，只是很少曝出来。

ipengxh

1 天前

根据个人经验，一般情况下两类人在查水表之后还不吐露密码的，一类是小偷小摸的比如说偷电瓶的，第二类是贩毒之类的。

lqs

1 天前 via iPhone

开机自动解密等于没加密
应该要有个开机手动解密的流程（例如本地或远程输密码）

lengyuqu

1 天前

网络存储和人身安全有什么关系？
你都上升到 open the door 了，你不得花点大价钱存海外银行的保险柜里？再租一个雇佣军里外三层把守？
你没这钱你考虑个屁

cc666

1 天前

@v2tudnew bitlock 的破解不是提权来的，用的是 DMA 攻击，开启内存完整性保护后目前依然无解

https://support.microsoft.com/zh-cn/topic/%E9%98%BB%E6%AD%A2-sbp-2-%E9%A9%B1%E5%8A%A8%E7%A8%8B%E5%BA%8F%E5%92%8C-thunderbolt-%E6%8E%A7%E5%88%B6%E5%99%A8%E5%8F%AF%E5%87%8F%E5%B0%91%E5%AF%B9-bitlocker-%E7%9A%84-1394-dma-%E5%92%8C-thunderbolt-dma-%E5%A8%81%E8%83%81-bf0ef10b-f563-5cfc-9740-8340b1d86a0c

https://learn.microsoft.com/en-us/windows/security/hardware-security/kernel-dma-protection-for-thunderbolt

LnTrx

1 天前

关键在于搞清楚防的是谁。如果是怕喝茶，那一般的薄弱点在社会工程学。实在要物理安全，那考虑放到另一地更合理一点。

v2tudnew

1 天前

@Gesar
我说的是在你解锁的情况下像木马一样窃取你得密钥 XXXX-XXXX-XXXX 这样的，而且光改密码没用，得重新解密然后再加密才能改。

v2tudnew

1 天前

@cc666
在解锁的情况下其实还有更简单的，直接控制命令行窃取就行，一条命令解决，不弹出命令行窗口相信大家都会。
manage-bde -protectors -get D:

fms

1 天前 via Android

我树莓派开了 luks ，initrd 里要 ssh 远程上去手动解密才进入正常的开机阶段，断电后就启不来了，我认知范围里蛮安全的

Donaldo

1 天前

一般来说普通人说的数据安全指的是数据可用性而不是机密性

billccn

18 小时 19 分钟前

@cc666 旧版的 Windows Boot Manager 有一个漏洞 CVE-2023-21563 ，在特定的情形下没有清除内存里的 Bitlocker key 就引导第三方非 Windows 操作系统，导致密钥泄漏。虽然新版的已经没有漏洞，但是旧版太多，全部录进黑名单（证书吊销列表）会占用主板固件近一半的空间，而且会导致旧系统无法安装，于是微软决定不吊销。所以攻击者如果可以修改磁盘或者 BIOS 允许用其他载有旧版 Boot Manager 的介质启动的话都可以轻松解密 Bitlocker 。目前的解决方案是设置 TPM+PIN 的形式，但是 Windows Home 不支持。

cc666

15 小时 6 分钟前

@billccn 感谢指出

@v2tudnew 这个完全称不上漏洞或者 BUG ，设备的控制权在别人手里，别人以管理员解锁了设备了，可以获得 bitlock 密钥是预期行为

Tomatopotato

24 分钟前

@lqs 开机自动解密=没加密这说法是错误的。如果真的这么蠢，为啥威联通群晖都做这功能，他们的产品经理程序员都是弱智吗？

你想想，假如你 nas 被人抱走，然后人家插上网线开机，硬盘开机自动解密了，但是访问硬盘的方式仍然是需要密码的，要么 WebUI 登录，要么 SMB ，要么 SSH ，你都不可能绕过系统去直接读硬盘，但凡你把硬盘直接拔下来，你还是无法直接读。这就是开机自动解密的设计理由。