V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
dizzylight
V2EX  ›  信息安全

腾讯云太恶心了,非常不安全

  •  
  •   dizzylight · 2023-01-15 23:31:16 +08:00 · 20090 次点击
    这是一个创建于 706 天前的主题,其中的信息可能已经有所发展或是发生改变。

    买了一个腾讯 ec2 服务器部署了 frp 作为中转间接可以外网访问家庭主机的一些服务。接到腾讯短信提醒:

    腾讯云] 尊敬的腾讯云用户,您好!您的腾讯云账号(账号 ID:100001xxxxxx ,昵称:100001xxxxxx )下的服务器:10.0.x.x [Ubuntu-DqgQ],实例 ID:lhins-krgdgxxx ,地域:华东地区 (上海),时间:2023-01-14 13:03:25(GMT+8:00),检测到存在待处理的恶意文件:/home/ubuntu/.local/FRP/frp_0.44.0_linux_amd64/frps ,威胁等级:严重,您的服务器疑似被黑客入侵,建议您及时确认,避免造成严重损失,请前往主机安全( https://mc.tencent.com/xxxxx )查看详细信息。

    打着安全名义在不经过客户同意下随意扫描文件,不知道是否只是腾讯云这么干,估计阿里华为更差(亚马逊就没有这些破事儿),基本上裸奔了没有任何隐私性,建议大家千万不要把重要敏感的东西放到云上。

    126 条回复    2023-01-31 17:01:20 +08:00
    1  2  
    canyue7897
        1
    canyue7897  
       2023-01-15 23:35:49 +08:00 via iPhone
    腾讯云都不能做中转么?这个太扯了吧。。。这玩意儿也不违法
    dizzylight
        2
    dizzylight  
    OP
       2023-01-15 23:39:40 +08:00
    @canyue7897 还把我家庭服务器给封了 一天不能 ssh 连登陆页面也不行。 而且估计偷看客户文件事情没少做。
    Yien
        3
    Yien  
       2023-01-15 23:41:43 +08:00
    快进到一个月后封帐户
    yanyuechuixue
        4
    yanyuechuixue  
       2023-01-15 23:45:42 +08:00
    是不是便宜购买的活动机器?
    好像有个云清理不良用户已经很久了
    Aloento
        5
    Aloento  
       2023-01-15 23:49:12 +08:00
    digitalocean ,我之前 redis 被黑了立马就被停机了,客服告诉我去把配置改一下,不知道是什么防火墙
    dialtcp
        6
    dialtcp  
       2023-01-15 23:49:40 +08:00 via Android
    买国内的服务器之后要立马把对应的 agent 进程和定时任务清了,如果要做可视化监控的话自己用相应的工具
    dizzylight
        7
    dizzylight  
    OP
       2023-01-15 23:51:47 +08:00
    @yanyuechuixue 不算便宜,而且时间比较长。问题是它有什么权利不禁同意扫描文件。
    dizzylight
        8
    dizzylight  
    OP
       2023-01-15 23:52:17 +08:00
    @dialtcp ubuntu 系统有啥 agent 进程?
    lepig
        9
    lepig  
       2023-01-15 23:52:53 +08:00
    不知道 腾讯云轻量机器 能不能 DD 纯净版等 debian 或者 centos
    cwcc
        10
    cwcc  
       2023-01-15 23:53:08 +08:00   ❤️ 19
    这件事分成两件事情看。

    frp 这个工具被灰黑利用太多了,被标记为疑似黑客入侵挺正常,其他几个国内云也有类似的操作,很多木马植入服务器或者家庭设备就是简单粗暴地放个 frp ,这点来说也是没啥太大问题的。如果你想内网穿透,可以试试别的工具,frp 树大招风。

    腾讯云的云盾基础配置貌似会扫描 /var/www ,/home 等常见目录,我之前测试搞一个别的目录有时候就不会报毒了。阿里云、腾讯云这些云服务器从来不是主要保证客户安全和隐私的,至少政企、高校和医疗行业都称它为公有云,有一定的公共环境性质,自然不是纯私有的环境。如果你很介意这些,可以手动卸载掉监控程序,或者不使用公有云服务。

    最后说下只要附带安全组件的,比如基础防火墙,安全告警等的东西,基本都是会扫描文件的,就像杀毒软件一个道理。在购买服务器时候我记得会有告知的,只不过从来没人看罢了。
    dialtcp
        11
    dialtcp  
       2023-01-15 23:56:17 +08:00
    dizzylight
        12
    dizzylight  
    OP
       2023-01-15 23:56:22 +08:00
    @cwcc aws 我也买过就没有这些幺蛾子。 隐私是任何云服务器的最基本要求吧。以后还是转 aws 了,虽然真的很贵...
    dizzylight
        13
    dizzylight  
    OP
       2023-01-15 23:57:31 +08:00
    @dialtcp 谢谢!
    Thecosy
        14
    Thecosy  
       2023-01-16 00:07:09 +08:00
    @dizzylight aws 不是免费的吗
    cweijan
        15
    cweijan  
       2023-01-16 00:14:00 +08:00
    扫描文件那真的挺恶心的
    laqow
        16
    laqow  
       2023-01-16 00:15:19 +08:00
    单走一个 frp 确实不安全,提醒一下没啥毛病。安全以外的东西就不清楚了。
    BanShe
        17
    BanShe  
       2023-01-16 00:34:10 +08:00
    国内主机最好先 dd 一个干净的系统
    game159
        18
    game159  
       2023-01-16 00:39:51 +08:00   ❤️ 12
    哈哈 笑死我了。
    都用腾讯的东西了你和我谈安全,我都感到有些可笑。
    longsays
        19
    longsays  
       2023-01-16 01:12:08 +08:00 via Android
    @lepig 可以 dd ,我买国内云都是上去就换系统
    xy629
        20
    xy629  
       2023-01-16 01:18:29 +08:00   ❤️ 3
    你是第一次知道屎难吃, 还是已经听说了但非要自己尝一尝?
    hello2090
        21
    hello2090  
       2023-01-16 05:00:44 +08:00 via iPhone   ❤️ 4
    @cwcc 同学我不搞 cloud 我不懂,公有云的意思就是服务商能看到你的文件?
    azure2023us
        22
    azure2023us  
       2023-01-16 06:49:11 +08:00 via Android   ❤️ 2
    用 wireguard 更方便
    liu99
        23
    liu99  
       2023-01-16 07:41:14 +08:00
    内网穿透直接买成品服务也不错的,花点钱买放心
    BearD01001
        24
    BearD01001  
       2023-01-16 08:05:28 +08:00 via iPhone   ❤️ 1
    @hello2090 除非你买物理机,否则国内外哪个云厂商看不到你在他们云上的文件😂
    idragonet
        25
    idragonet  
       2023-01-16 08:07:31 +08:00
    之前腾讯云搭建 frp 也是提示攻击,后来自己家里路由器搭建 frp 了,宽带还大了 N 倍!
    hello2090
        26
    hello2090  
       2023-01-16 08:37:30 +08:00   ❤️ 2
    @BearD01001 这是两码事,我是问公有云这个概念里的公有就是你的文件云厂商可以随便看的意思吗?
    imnpc
        27
    imnpc  
       2023-01-16 08:38:13 +08:00
    他家不让用这种穿透服务的 后面会提示违规 帐号加黑名单 甚至删号
    BearD01001
        28
    BearD01001  
       2023-01-16 08:44:36 +08:00 via iPhone
    @hello2090 肯定是不能随便看的,楼主的这个情况类似于买了一台 windows 笔记本自了 window defend ,不需要的话可以卸载或安装其他系统的
    h0099
        29
    h0099  
       2023-01-16 08:49:03 +08:00   ❤️ 1
    #26 @hello2090 对于兜售名词新概念的商业营销人员而言是指云服务 as 公共资源,就像 infrastructure 这词本身,水电气通信这种基础设施是公共资源,而他们希望以 IaaS 为代表的计算服务也能像水电一样变成人类的必需品(人人都要买 xx 云)
    hello2090
        30
    hello2090  
       2023-01-16 08:50:28 +08:00   ❤️ 1
    @h0099 那公有云这个概念里的公有就是你的文件云厂商可以随便看的意思吗?
    h0099
        31
    h0099  
       2023-01-16 08:55:42 +08:00
    #30 @hello2090 这是两码事,我只是描述了最初把 iaas 称作公有云(资源)的商业人士为什么要这样叫,因为他们认为基础设施是公有公用共产的
    hello2090
        32
    hello2090  
       2023-01-16 09:00:35 +08:00   ❤️ 1
    @h0099 “那公有云这个概念里的公有就是你的文件云厂商可以随便看的意思吗?” 这是一个问题,答案是“是”或者“不是”
    h0099
        33
    h0099  
       2023-01-16 09:03:34 +08:00
    如果您真想阻止服务商乱扫文件除了简单的卸掉他们在预装的系统镜像中内置的监视程序外还可以使用对硬盘数据进行 AES 对称加密一类的服务,我记得阿里云 aws azure 都有提供(阿里云的好像收费),可以使用他们提供的密钥或您自己上传密钥(当然 AES 不是非对称加密所以同时用于加 /解密的密钥最终还是得在他们手里,但这总比裸奔还用着默认镜像里自带的“安全”监视程序要好些)
    https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html
    https://help.aliyun.com/document_detail/59643.html
    shuxhan
        34
    shuxhan  
       2023-01-16 09:06:30 +08:00
    也给我报过几次,扫盘是常规操作了,恶心人但是没法制止
    hoopan
        35
    hoopan  
       2023-01-16 09:07:02 +08:00
    我前两个月有一台阿里云服务器被禁了,也是随意扫描文件。国内的各种云没有值得信任的,违不违法都是他们说的算。
    x2ve
        36
    x2ve  
       2023-01-16 09:07:33 +08:00   ❤️ 1
    买下来第一件事 DD https://git.beta.gs/
    然后防火墙和安全组设置好端口
    h0099
        37
    h0099  
       2023-01-16 09:07:46 +08:00
    #32 @hello2090 从密码学理论上讲很难将随时都需要加 /解密的数据(硬盘就是典型的同时有 IO 而不是只读)托管给他人却不提供给他任何密钥(不论对称还是非对称)
    除非您的数据只读或只写,那就可以利用非对称加密而只提供给他公钥从而保证他只能解密信息不能加密(或只能加密而不能解密)
    建议复习密码学基础与 TLS GPG PGP 等流行实践
    rainhabitoops
        38
    rainhabitoops  
       2023-01-16 09:08:53 +08:00 via Android
    都一样。
    h0099
        39
    h0099  
       2023-01-16 09:10:03 +08:00   ❤️ 1
    #36 @x2ve
    > 特别感谢:Vicer 、cxt 、hiCasper 等各位技术大佬的脚本,站长只是脚本的"搬运工"。
    > 版权申明:以上所有脚本、系统均为网络收集,站长不对资源的安全及版权纠纷负责,如有侵犯您的权益欢迎联系。

    那您又如何保证他提供的这些系统镜像就是安全的呢?为什么不亲自去官网下镜像手动安装?
    Cat7373
        40
    Cat7373  
       2023-01-16 09:10:46 +08:00
    我也收到这个邮件了,当时还在群里吐槽了下
    ZoeeoZ
        41
    ZoeeoZ  
       2023-01-16 09:20:19 +08:00
    @hello2090 你真搞笑,你的什么信息在服务器看不到?
    DosLee
        42
    DosLee  
       2023-01-16 09:20:32 +08:00
    我前几天上传了一个 demo 到腾讯云上,昨天收到短信说您的服务器有一个 log4j 漏洞,当时我就觉得难道不定时全盘扫描文件了?!
    hello2090
        43
    hello2090  
       2023-01-16 09:23:18 +08:00   ❤️ 2
    @ZoeeoZ 那公有云这个概念里的公有就是你的文件云厂商可以随便看的意思吗?
    Seanfuck
        44
    Seanfuck  
       2023-01-16 09:24:12 +08:00
    我也是腾讯云轻量,装了 frps 没问题,是可能有挂马版本的 frp
    kissice
        45
    kissice  
       2023-01-16 09:32:21 +08:00
    自己重装个纯净系统基本上就没这事了,疼讯自带系统有监控进程的很正常
    maggch97
        46
    maggch97  
       2023-01-16 09:36:19 +08:00 via Android
    @h0099 你搞笑吗?理论上世界上所有密码都能破解,胡搅蛮缠真有意思
    h0099
        47
    h0099  
       2023-01-16 09:41:25 +08:00
    #43 @hello2090 别来回复制粘贴通过反问反讽了,我已经说了如果您的数据在服务商那里只读或只写,那您完全可以给他公钥 /他给您私钥来保证安全性,但现实中很少有这种场景
    所以才会有各种把厂商的技术栈放在自己机房里自部署的政企私有云,严格限制部署区域和用户量 aws/azure govcloud ,以及保密行业连自部署厂商现成的技术栈都不敢用
    dfkjgklfdjg
        48
    dfkjgklfdjg  
       2023-01-16 09:42:09 +08:00   ❤️ 2
    和家长心态有关系,因为可能会有问题会给你造成损失,所以给你默认安装了一些“安全软件”,其实都不用管用户爱怎么完就怎么玩,造成了损失就是用户自己的事情。
    但是因为这个家长心态的缘故,不管是厂商还是用户,都会觉得服务商应该提供对应的“保护”。或者会要求厂商提供赔偿因为我在你家买了服务,但是被攻击或者其他情况造成了我的损失,你们作为服务商应该负责。

    所以在其实应该上来就 DD 完了自己配置好服务和端口。

    -----
    另外说“是不是可以随便看的”,你安装一个 XX 杀软之后下载的小黄油被杀软直接杀掉了,也可以说 XX 公司随便看你的系统和文件了。只能说被害妄想症有点严重,你的文件和其他人的文件没什么区别。不想被“扫”就把相关的服务卸载掉就行了。
    stoneabc
        49
    stoneabc  
       2023-01-16 09:44:59 +08:00
    @hello2090 你把默认的主机安全之类的服务关了,就不能随便看了。
    h0099
        50
    h0099  
       2023-01-16 09:49:40 +08:00   ❤️ 5
    #46 @maggch97 但阁下需要超过宇宙已经存在的寿命( 137 亿年)的时间才能积累出足够的算力以破解目前常用的对称加密之 4096 位的 AES-256
    而密码学家们对于量子计算机带来的幻影威胁早已提出了一系列冠以后量子密码的更先进的算法,但事实是目前的量子位数量还没有发展到能够在可接受的时间内(哪怕跑几十年)直接解密目前常用的算法加密结构
    而如果阁下通过传统计算方式就能实现解密任何加密算法,那您可能需要先证明`P=NP`

    而我也可以可以假定阁下可能连何谓可计算性问题和 NP hard/complete 等词汇都不知道

    建议先复习理论知识
    https://en.wikipedia.org/wiki/P_versus_NP_problem
    https://en.wikipedia.org/wiki/NP-hardness
    https://en.wikipedia.org/wiki/Computational_complexity_theory
    neilxu
        51
    neilxu  
       2023-01-16 09:49:50 +08:00
    我三年的阿里云刚到期,frp 没啥问题
    qbuer
        52
    qbuer  
       2023-01-16 09:53:54 +08:00
    我是用 openvpn3 来做内网访问的,腾讯轻量云,用了大半年了
    hello2090
        53
    hello2090  
       2023-01-16 09:54:41 +08:00 via iPhone   ❤️ 2
    @h0099 我这算反问?我的问题是公有云里的公有是否意味着云厂商可以合法合理的查看你的所有文件啊。这算啥反问?
    hello2090
        54
    hello2090  
       2023-01-16 09:56:38 +08:00 via iPhone
    @maggch97 我哪里提到密码破解了?
    mysalt
        55
    mysalt  
       2023-01-16 10:01:37 +08:00
    我之前用腾讯轻量云的 frps 倒是没问题,不过我是把它当作一个正常的 systemd 服务来跑的。后来它续费太贵了,就转用阿里云了。
    janus77
        56
    janus77  
       2023-01-16 10:02:55 +08:00
    是这样的,虽然我也觉得很恶心,但是你回头去翻翻注册的用户协议,说不定他还真写了“我可以随便扫你的文件”,而你正好点了同意。所以你最多也只能从道德层面谴责一下,剩下的除了换服务商没有任何办法。
    h0099
        57
    h0099  
       2023-01-16 10:05:10 +08:00   ❤️ 2
    #53 @hello2090 我说了这么多但阁下在#32 里只想得到二极管的回答,实际上您想都不用想也能自己得出`是`的结果,那阁下不就是为了反讽而一直追问?
    我的评价是:没必要在这种地方试图叫醒装睡的人,真睡着了的人是不会听您的跑去学习背景知识而是只做复读二极管的
    #53 他应该是在回我#37 对您的回复
    h0099
        58
    h0099  
       2023-01-16 10:05:28 +08:00
    typo:第二个#53 换成#54
    allence
        59
    allence  
       2023-01-16 10:05:37 +08:00
    因域名不是国内运营商注册,给我的备案取消了,备案半个月,注销 20 秒
    crazyMan233
        60
    crazyMan233  
       2023-01-16 10:07:04 +08:00   ❤️ 1
    为什么这么信任亚马逊?也许它也干过只是不告诉你?
    h0099
        61
    h0099  
       2023-01-16 10:08:53 +08:00
    #56 @janus77 回顾经典之各种国产云服务 TOS 中必不可少的免责不可抗力复制粘贴:
    http://www.gov.cn/gongbao/content/2000/content_60531.htm
    第十五条 互联网信息服务提供者不得制作、复制、发布、传播含有下列内容的信息:
    (一)反对宪法所确定的基本原则的;
    (二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
    (三)损害国家荣誉和利益的;
    (四)煽动民族仇恨、民族歧视,破坏民族团结的;
    (五)破坏国家宗教政策,宣扬邪教和封建迷信的;
    (六)散布谣言,扰乱社会秩序,破坏社会稳定的;
    (七)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
    (八)侮辱或者诽谤他人,侵害他人合法权益的;
    (九)含有法律、行政法规禁止的其他内容的。
    第十六条 互联网信息服务提供者发现其网站传输的信息明显属于本办法第十五条所列内容之一的,应当立即停止传输,保存有关记录,并向国家有关机关报告。
    maggch97
        62
    maggch97  
       2023-01-16 10:11:26 +08:00 via Android   ❤️ 6
    看这个帖子。我只能说,中国的开发者配得上中国的云服务
    h0099
        63
    h0099  
       2023-01-16 10:12:40 +08:00
    #60 @crazyMan233 我只提到 aws 了?
    #33 > 我记得阿里云 aws azure 都有提供(阿里云的好像收费)

    实际上腾讯云和大量三线云厂商也有硬盘加密服务但我想你们也不敢用

    #47 有各种把厂商的技术栈放在自己机房里自部署的政企私有云,严格限制部署区域和用户量 aws/azure govcloud
    govcloud 是他们两家的产品名词( az 叫 for gov ),第一个子句不就囊括了阿里腾讯云所提供的类似的政企云?
    https://www.aliyun.com/solution/govcloud
    https://cloud.tencent.com/solution/tcx
    hronro
        64
    hronro  
       2023-01-16 10:12:55 +08:00
    腾讯云、阿里云,应该都会这么干吧。

    反正我 VPS 到手第一件事情就是 DD 重装系统 + 全盘加密,看你还怎么扫。
    h0099
        65
    h0099  
       2023-01-16 10:12:56 +08:00
    看这个帖子。我只能说,中国的开发者配得上中国的云服务
    zhongjidalao
        66
    zhongjidalao  
       2023-01-16 10:13:54 +08:00
    我一直用腾讯云做 frp ,几年了,没有任何问题
    h0099
        67
    h0099  
       2023-01-16 10:14:57 +08:00
    看这个帖子。我只能说,中国的开发者配得上机翻 en 互联网然后搬进简中互联网垃圾站的二手信息排泄链如 https://www.v2ex.com/t/909128
    h0099
        68
    h0099  
       2023-01-16 10:18:41 +08:00   ❤️ 1
    然后为了那点 v 圈二手屎信息还要以`知识付费`的名义支付数元巨款,或是求爷爷告奶奶地让别人来免费`私人定制`解决他的迫真`私人问题`,殊不知大多数问题抽象泛话都早已在 stackexchange 上甚至各种互联网角落的文档 /部落格里得到了解答 就像 /t/908231 的 OP @shendaowu
    h0099
        69
    h0099  
       2023-01-16 10:19:15 +08:00
    typo:抽象泛话->抽象泛化后的形式
    mozhizhu
        70
    mozhizhu  
       2023-01-16 10:21:04 +08:00
    我是腾讯云轻量服务器做 frp ,没提示过;
    mozhizhu
        71
    mozhizhu  
       2023-01-16 10:21:52 +08:00
    至于所说的扫描,所有的云厂商提供的系统镜像,都内置他们的安全系统软件,很正常。。。
    zhchyu999
        72
    zhchyu999  
       2023-01-16 10:22:09 +08:00
    有点好笑,但凡能在 web 端后台看到内存,Cpu 利用率这些的,哪个不用 agent 进程,谁能保证不扫文件,国外不通知大家就没有么
    不觉得幼稚么
    h0099
        73
    h0099  
       2023-01-16 10:30:37 +08:00
    #60 @crazyMan233 如果阁下真的喜欢 cosplay EFF FSF 精神会员隐私人上壬那还是先多读整天黑美帝数字巨头的英国科技媒体 https://www.theregister.com
    我搜了 hn 都没找到多少黑料: ( via https://www.google.com/search?q=aws+data+security+site%3Anews.ycombinator.com 当然阁下也可以说 google 同为美帝 FAAMG 科技辛迪加自然要为 aws 辩护,所以应该用依托于 MSFT bing 的欧盟隐私人上壬最爱的 duckduckgo 搜索)
    https://news.ycombinator.com/item?id=34276986
    https://news.ycombinator.com/item?id=23929044#23930531
    https://news.ycombinator.com/item?id=34014429
    ila
        74
    ila  
       2023-01-16 10:31:51 +08:00
    nps 也有提示
    zxCoder
        75
    zxCoder  
       2023-01-16 10:35:29 +08:00
    leeton
        76
    leeton  
       2023-01-16 10:37:56 +08:00
    我就是腾讯云,以前弄过 frp ,没有提示,估计是最新才有的
    lshang
        77
    lshang  
       2023-01-16 10:53:14 +08:00
    是不是开了主机安全组件?还是默认就扫盘告警了?
    h0099
        78
    h0099  
       2023-01-16 10:54:59 +08:00   ❤️ 1
    同样是云厂商扫描硬盘 /静态存储(下称存储)上的文件,建议根据方式做区分:程序化和非程序化的
    - 程序化:云厂商写了一些程序来定期 /按事件扫描某些 /全部存储中的文件,当程序遇到某些特征(如文件名 文件内容 hash fs 元数据)时将他的存在记录下来,然后可能会有打点上报 给安全部门作为汇总统计 和 /或 给 end user 发送通知告诉他发现存储了符合特征的文件
    - 非程序化:云厂商的人员受到某些命令或是他们闲的打开了存储空间上的某些 /全部文件,人肉操作在其中达成他需要的目的(比如找到什么 log 作为证据提交)

    当然直接这样一刀切同样是二极管行径,非程序化的人工法务调查也可以掩盖在 agent 那样的程序化流程之下,反之亦然

    所以从(云厂商的)合规性的角度讲应该是尽可能避免非程序化的扫描,而是将这些需求都写成固定程序来执行
    还要给用户提供选择性,比如在创建实例时加个默认选择的复选框允许他 optout 不安装 agent
    当然即便 不安装 agent 启用硬盘加密 也无法对厂商掩盖什么,只是对厂商而已扫描时更麻烦一些(那他就可能只出于法律目的而扫描了)

    据我所知国外云厂商的客服您主动给他 ssh 登录方式请他来解决疑似厂商造成的诡异问题他们都不敢来登录并要求您撤回,因为处理工单的客服的也没那个权限去操作用户托管数据
    但即便您订阅了厂商的`高级`支持服务那群工程师同样不敢亲自登录您服进行调查,工程师们也只能在他们熟悉的厂商那一套技术栈上协助调查您遇到的疑似厂商造成的问题
    liuidetmks
        79
    liuidetmks  
       2023-01-16 11:01:48 +08:00
    免费给你提供了 病毒扫描服务。就像 windows 😄
    leoleoleo
        80
    leoleoleo  
       2023-01-16 11:08:26 +08:00   ❤️ 1
    国内的云为了卖他们的额外增值服务,创建服务器的时候默认会带有各种的 agent ,阿里云创建云主机的时候是可选的,默认会勾上,不想要可以选择不安装,这会导致无法在云控台上看到各种监控信息而已。另外从技术上,云厂商如果想要登录你的云主机,轻而易举,无论国内国外,只不过是各种法律法规要求,在限制厂商。底层硬件服务器和系统都是云厂商控制的,真的想作恶,根本不可能让普通用户发现。op 这种,估计是创建服务器的时候没有仔细看条款和选项,默认让厂商的 agent 运行了。
    wangyu17455
        81
    wangyu17455  
       2023-01-16 11:09:08 +08:00
    安全加固那个勾不是你自己勾上的?勾上了就等于预装杀毒软件,杀毒软件扫你盘很奇怪吗,你不想让他扫就别勾安全加固啊
    cwcc
        82
    cwcc  
       2023-01-16 11:10:52 +08:00
    @hello2090 服务商看到文件和监控软件扫描文件也是两回事。服务商能接触到物理机理论上当然能看到你的文件,只要你不全盘加密。扫描文件是防毒软件和监控软件必须做的事情,没有办法不扫描就找到病毒的杀毒软件。当然基础的隐私还是会有保障的,比如扫描文件不等于随便上传文件内容到别的服务器。但这就和苹果的口头承诺一样,如果想知道真实的答案,最后总要实事求是,自己去论证这些服务的安全性。
    hello2090
        83
    hello2090  
       2023-01-16 11:14:21 +08:00 via iPhone
    @cwcc 至少政企、高校和医疗行业都称它为公有云,有一定的公共环境性质,自然不是纯私有的环境

    那公共环境和私有环境的区别是什么?肯定不光光是扫描病毒吧
    AngryPanda
        84
    AngryPanda  
       2023-01-16 11:17:08 +08:00
    用自己的镜像可以避免楼主的问题吗?
    Depth
        85
    Depth  
       2023-01-16 11:28:21 +08:00
    我刚看了一下,腾讯购买云主机有两个界面,一个是快速配置(包含了安全加固、防 DDOS 等服务)一个是自定义配置,镜像啥自己选,默认不包含。有可能楼主在创建云主机的时候没有看,直接购买默认包含该服务了。
    cwcc
        86
    cwcc  
       2023-01-16 11:29:59 +08:00
    @hello2090 部署环境就是很大的区别。比如政企都是自己部署局域网、机房和服务器的。即使部分是云租户,也在验收等保安测等过程中会要求云提供商授予客户端可控得加解密和数据访问权限才行。所以,你可能把我说得公共环境理解错了,我说的是和互联网环境直连的,并且是面向大众的共同使用的平台就是公共环境,私有环境就是自行部署机器的环境,物理层面和其他计算设备和上级管理进行了隔离。当然这个对于我们个人来说,是不是私有和公有的意义不大,个人云的数据保护力度是最基础的。如果个人真的很在意安全,那最好都上企业级服务了,还有专人客服。
    azure2023us
        87
    azure2023us  
       2023-01-16 11:34:15 +08:00
    跑个题,

    中转用 wireguard 。云端 wiregurad server ,内网软路由 部属 wireguard client ( openwrt )

    云端 server 添加下面的 iptables 策略,就可以实现 2 个 client 之间相互通信。

    ````
    iptables -I FORWARD -i wg0 -o wg0 -j ACCEPT
    15855pm
        88
    15855pm  
       2023-01-16 11:37:18 +08:00 via iPhone
    我昨天刚在腾讯云轻量服务器装了 frp😹
    ltkun
        89
    ltkun  
       2023-01-16 12:29:11 +08:00 via Android
    其实玩过私有云的就知道了 什么虚拟机都可以直接进入 只要有管理员权限 所有不管啥公有云都是一样的不保险 因为没有真正的 root 权限
    ragnaroks
        90
    ragnaroks  
       2023-01-16 12:39:06 +08:00   ❤️ 1
    @hello2090 "那公有云这个概念里的公有就是你的文件云厂商可以随便看的意思吗?" => "是"。我几年前因为做彩票预测(站内说不定还能搜到)被杭州警方调查,警方本来是直接让阿里云给接口进去机器看文件,但是阿里云极力协调最终以给磁盘镜像的形式提供。在律师的鼎力相助下最终获得了几万块的国家赔偿,虽然全部给律师了。
    codingbody
        91
    codingbody  
       2023-01-16 12:46:02 +08:00 via iPhone
    @cwcc 什么灰产?
    wu67
        92
    wu67  
       2023-01-16 12:56:23 +08:00
    上了云其实就没有多少安全可言了, 只不是有些厂商还是掩饰一下, 有些甚至不屑于掩饰.
    通常来说都是增加获取成本和法律约束来达到相对的安全 /心理防线. 但是实际操作嘛, 你跟我讲 XX, 我都想笑
    HarrisonZ
        93
    HarrisonZ  
       2023-01-16 13:13:04 +08:00
    国内云供应商提供的 OS image 里面都有自己的扫描 agent 来做一些增值业务。可以使用自己制作的干净的 image 来创建 vm 。并且对数据进行 AES 加密。
    lrabbit
        94
    lrabbit  
       2023-01-16 13:16:31 +08:00
    我用 docker 部署的 frp ,一直没啥事
    iamkiptim
        95
    iamkiptim  
       2023-01-16 13:19:49 +08:00
    其实都是政策要求,厂商也是被迫扫盘。
    FrankAdler
        96
    FrankAdler  
       2023-01-16 13:24:03 +08:00
    同样腾讯云,买来就 DD 了个纯净的系统,跑过 xray 、trojan 、frp 、ss 等都没有被封啥的
    yanwen
        97
    yanwen  
       2023-01-16 13:27:14 +08:00   ❤️ 1
    买回来首先第一件事 DD 一个干净的系统(自己认为干净就行),然后随便干啥都不理你了
    lyping
        98
    lyping  
       2023-01-16 13:28:15 +08:00
    选系统的时候,默认勾选了安装安全组件。但可以取消。取消选择应该就没这些事情吧!
    ptrees
        99
    ptrees  
       2023-01-16 14:17:35 +08:00
    盲猜是这样:本来是不扫的,但是有人真的被黑了以后去闹,最后不得不加上扫描.国内很多事情都是这样,双向选择罢了.
    aver4vex
        100
    aver4vex  
       2023-01-16 14:27:38 +08:00
    这种随意扫描用户文件的事儿又不是第一次。不管腾讯,阿里,还是其他的厂商都会这样做。用国内的服务要有觉悟。
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2865 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 14:25 · PVG 22:25 · LAX 06:25 · JFK 09:25
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.