个人本地服务器磁盘加密方案。

断电重启可以在 initrd 里开个 sshd/dropbear 远程 ssh 上来填密码。

@thedrwu 我之前没想到这种方法，只想到全盘加密了。

veracrypt 在解密后,会把解密和数据存放在内存里,只要别人没有 memory-dump ，数据就不会泄露。当然，如果在虚拟机使用 veracrypt ，数据没有任何安全性。虚拟机拍一个快照，直接把内存也保存下来了。话说虚拟机也不知道自己被暂停了，对于想解密的人来说，有暂停的快照可以无限分析

@huahsiung 用 pve 呢，有密码应该安全点吧

@gant pve 的密码只是访问密码，用 lxc 比 kvm 还好解密。
说个题外话，其实加密后，只要别人没有拿到 root ，是没有权限 dump 所有内存的。如果宿主机失陷，虚拟机 100%失陷。

lxc 的内存和宿主机共享同样区域，只是提供 namespace&cgroups 隔离。有了 root 权限很好 dump 内存，连虚拟机的内存地址计算都不用。veracrypt 在你没有解密的时候，别人基本没法解密。如果你文件解密了，别人还在内存中拿到解密数据了，那么别人 100%解密。

tls 加密也是可以在本机上直接 dump 内存，拿到 aes 对称密钥解密的。
还是要做好本地安全，你看很多机密文件的机房都有重要安保设施。

当然，如果查你服务器文件的人直接把电拔了（内存数据直接消失），取走你的硬盘去解密。如果没有密钥，几乎不可能解密。

@huahsiung 保障的主要是硬盘丢了，主机丢了，不会被解密，不需要防内存 dump

@gant 只要不是犯傻把密钥直接放到主机上，没有这个问题，在冷状态下一般很安全

我反正是用 dropbear 挺好的！可以在 Linux 引导过程中通过网络 sshd 输入密码！
我所有的 VPS 也是全盘 luks 加密，只要你网络没问题 dropbear 很稳定！

@busier 你怎么 ssh 进去的，是本地吗，还是有公网，还是其他啥。

@gant Linux 引导过程中 initrd 加载的网络支持和 dropbear 开启的 sshd 服务器，监听 22/tcp 。当你输入完系统根目录卷密码，系统继续启动时这个 sshd 进程就会销毁。系统正常启动后由正常的 OpenSSH Server 监听 22/tcp （如果有的话）
正常在有公网 ip 的宽带上做个 22/tcp 端口映射就可以了！
很方便！

@busier 我是想 initrd 过程能不能内网穿透，或者 ddnsv6 。

@gant 你这还是在额外的软路由上做吧！

可以通过一个云服务盐加密

在 http://eliooyang.com 可以购买不同地域服务器云