要保证数据安全，冷储存比 nas 更好

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

请不要把任何和邀请码有关的内容发到 NAS 节点。

邀请码相关的内容请使用 /go/in 节点。

如果没有发送到 /go/in，那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动，会导致账号被禁用。

这里的安全指的是不会被其他人访问，群晖的 nas 提供了加密功能，但是开机会自动解密，密钥在内存里。如果这时候有人能物理碰到 nas ，还是能获取到里面的数据的。
对比热储存，bitlocker 加密或者其他文件加密，基本不可能被破解，哪怕是硬盘被抱走。
想象一下，nas 里储存了很多敏感数据，突然有人上门直接抱走整个机器，这时数据就没有绝对安全的。

安全

冷储存

NAS

23 条回复 • 2025-01-22 09:04:09 +08:00

ddczl

23 小时 42 分钟前

大部分用户，数据丢了也不会天塌了。就是麻烦一点

InkStone

23 小时 35 分钟前

很少有人说数据安全的时候，会考虑别人能物理接触到设备吧

除非是藏违法证据账本什么的

rockyastor

23 小时 34 分钟前

不存在 nas 被突然有人上门直接抱走整个机器的情况

v2tudnew

23 小时 34 分钟前

关于 BitLocker ，我这里阴谋论一下。
现在的软件基本都要 UAC 提权安装、联网，而 BitLocker 密钥也能内存提权（貌似已经有这类取证软件了）。
如果真有人要抱走你电脑，也许破解不那么麻烦。
防病毒、普通人确实好用，

BaymaxK

23 小时 31 分钟前

抱走整个机器，会断电的吧😅

BaymaxK

23 小时 30 分钟前

@rockyastor FBI, open the door!

Gesar

23 小时 19 分钟前

@BaymaxK 重新通电开机又会自动解密

Gesar

23 小时 18 分钟前

@v2tudnew 移动硬盘加密，只要弹出了，就是安全的。

crz

22 小时 37 分钟前

1. bitlocker 开机也解密吧？密钥内存不太清楚
2. 整机抱走 bitlocker 呢？
3. nas 哪怕是硬盘被抱走呢？
4. nas/bitlocker 不是一个维度的比较吧？

paopjian

22 小时 34 分钟前

不是,哥们, 你的 NAS 是要优先考虑禁止其他人读取数据吗?

git00ll

22 小时 34 分钟前

nas 也不是为了你说的这种安全做的

falcon05

22 小时 31 分钟前 via iPhone

有道理，要考虑开门查水表的情况

qiuhang

22 小时 26 分钟前

@rockyastor 举个栗子，你在网上说了什么话含沙射影了某人，然后触发某些规则，然后 fbi open the door 。或者是承德程序员这种情况，大概也会物理抱走你机器的。这种事情其实不少，只是很少曝出来。

ipengxh

22 小时 1 分钟前

根据个人经验，一般情况下两类人在查水表之后还不吐露密码的，一类是小偷小摸的比如说偷电瓶的，第二类是贩毒之类的。

lqs

21 小时 54 分钟前 via iPhone

开机自动解密等于没加密
应该要有个开机手动解密的流程（例如本地或远程输密码）

lengyuqu

20 小时 57 分钟前

网络存储和人身安全有什么关系？
你都上升到 open the door 了，你不得花点大价钱存海外银行的保险柜里？再租一个雇佣军里外三层把守？
你没这钱你考虑个屁

cc666

20 小时 1 分钟前

@v2tudnew bitlock 的破解不是提权来的，用的是 DMA 攻击，开启内存完整性保护后目前依然无解

https://support.microsoft.com/zh-cn/topic/%E9%98%BB%E6%AD%A2-sbp-2-%E9%A9%B1%E5%8A%A8%E7%A8%8B%E5%BA%8F%E5%92%8C-thunderbolt-%E6%8E%A7%E5%88%B6%E5%99%A8%E5%8F%AF%E5%87%8F%E5%B0%91%E5%AF%B9-bitlocker-%E7%9A%84-1394-dma-%E5%92%8C-thunderbolt-dma-%E5%A8%81%E8%83%81-bf0ef10b-f563-5cfc-9740-8340b1d86a0c

https://learn.microsoft.com/en-us/windows/security/hardware-security/kernel-dma-protection-for-thunderbolt

LnTrx

18 小时 47 分钟前

关键在于搞清楚防的是谁。如果是怕喝茶，那一般的薄弱点在社会工程学。实在要物理安全，那考虑放到另一地更合理一点。

v2tudnew

18 小时 42 分钟前

@Gesar
我说的是在你解锁的情况下像木马一样窃取你得密钥 XXXX-XXXX-XXXX 这样的，而且光改密码没用，得重新解密然后再加密才能改。

v2tudnew

18 小时 41 分钟前

@cc666
在解锁的情况下其实还有更简单的，直接控制命令行窃取就行，一条命令解决，不弹出命令行窗口相信大家都会。
manage-bde -protectors -get D:

fms

15 小时 55 分钟前 via Android

我树莓派开了 luks ，initrd 里要 ssh 远程上去手动解密才进入正常的开机阶段，断电后就启不来了，我认知范围里蛮安全的

Donaldo

15 小时 51 分钟前

一般来说普通人说的数据安全指的是数据可用性而不是机密性

billccn

58 分钟前

@cc666 旧版的 Windows Boot Manager 有一个漏洞 CVE-2023-21563 ，在特定的情形下没有清除内存里的 Bitlocker key 就引导第三方非 Windows 操作系统，导致密钥泄漏。虽然新版的已经没有漏洞，但是旧版太多，全部录进黑名单（证书吊销列表）会占用主板固件近一半的空间，而且会导致旧系统无法安装，于是微软决定不吊销。所以攻击者如果可以修改磁盘或者 BIOS 允许用其他载有旧版 Boot Manager 的介质启动的话都可以轻松解密 Bitlocker 。目前的解决方案是设置 TPM+PIN 的形式，但是 Windows Home 不支持。