Cloud 如何确保google compute engine上的防篡改/防篡改引导磁盘?
在gce上,您可以添加第二个磁盘并将其标记为只读。看起来这在引导盘上是不可能的。我不确定这是否与云初始化相关。至少当您从浏览器中ssh时,密钥会被复制到VM。但在某种程度上,这可以通过叠加解决。无论如何,几分钟后钥匙会自动删除。谷歌方面是否有其他文件需要一直可写?那么不只是在第一次安装之后? 我需要创建一个大多数时间都是不变的机器,当我想让它读写时,我只需要勾选一些选项Cloud 如何确保google compute engine上的防篡改/防篡改引导磁盘?,cloud,google-compute-engine,Cloud,Google Compute Engine,在gce上,您可以添加第二个磁盘并将其标记为只读。看起来这在引导盘上是不可能的。我不确定这是否与云初始化相关。至少当您从浏览器中ssh时,密钥会被复制到VM。但在某种程度上,这可以通过叠加解决。无论如何,几分钟后钥匙会自动删除。谷歌方面是否有其他文件需要一直可写?那么不只是在第一次安装之后? 我需要创建一个大多数时间都是不变的机器,当我想让它读写时,我只需要勾选一些选项 有屏蔽的虚拟机,但它们只检查引导顺序,之后什么也不检查。还有一些其他linux选项,如IMA,它们需要TPM,并可用于确保机器
有屏蔽的虚拟机,但它们只检查引导顺序,之后什么也不检查。还有一些其他linux选项,如IMA,它们需要TPM,并可用于确保机器引导到已知状态。您能否将TPM添加到一个标准,即非屏蔽gce实例中?为了回答您的第一个问题,Google大约每24小时更新一次比SSH密钥(如/etc/resolv.conf)更多的文件 关于GCP上的TPM主题,某些映像(如Debian 9)具有TPM支持,您可以在其上配置自己的模块(机器内安装的任何内容都不在GCP支持范围内)
在GCP(由Debian维护)中有一个已知的Debian 10映像重新配置,不再支持TPM,但已启动以再次启用它在第一次设置后是否确实需要更改某些配置,如resolv.conf?最后,您可以使用自己的ssh密钥并将名称服务器更改为其他名称。对于TPM:支持意味着什么?来自debian还是google的支持?当然,您需要一些软件来与TPM交互,这将是Debian的问题。但一开始你毕竟需要一个TPM。是否有将vTPM附加到gce实例的选项?屏蔽虚拟机会自动执行此操作,但我不知道这是否适用于标准虚拟机。计算引擎实例配置为每24小时续订DHCP租约。对于为区域DNS启用的实例,DHCP租约每小时到期一次。DHCP续订将覆盖此文件,撤消您可能进行的任何更改。为了澄清支持主题,这意味着操作系统允许您使用TPM,但如果您在配置方面需要任何帮助,GCP可能只是尽最大努力提供帮助,因为在您的实例中运行的任何内容都超出了它们的范围。一旦VM启动其引导过程,安全性是您的责任。为了实现您的目标,您需要安装第三方软件并设置外部资源来监视您的实例。您还需要创建异常列表,因为操作系统在运行时确实对系统进行了更改。带有应用程序的操作系统不是静态的。这里有一个第三方工具的例子:这个领域非常广泛,conder和该领域的许多供应商都有很多详细信息。