腾讯云太恶心了，非常不安全

腾讯云都不能做中转么？这个太扯了吧。。。这玩意儿也不违法

@canyue7897 还把我家庭服务器给封了 一天不能 ssh 连登陆页面也不行。 而且估计偷看客户文件事情没少做。

快进到一个月后封帐户

是不是便宜购买的活动机器？
好像有个云清理不良用户已经很久了

digitalocean ，我之前 redis 被黑了立马就被停机了，客服告诉我去把配置改一下，不知道是什么防火墙

买国内的服务器之后要立马把对应的 agent 进程和定时任务清了，如果要做可视化监控的话自己用相应的工具

@yanyuechuixue 不算便宜，而且时间比较长。问题是它有什么权利不禁同意扫描文件。

@dialtcp ubuntu 系统有啥 agent 进程？

不知道 腾讯云轻量机器 能不能 DD 纯净版等 debian 或者 centos

这件事分成两件事情看。

frp 这个工具被灰黑利用太多了，被标记为疑似黑客入侵挺正常，其他几个国内云也有类似的操作，很多木马植入服务器或者家庭设备就是简单粗暴地放个 frp ，这点来说也是没啥太大问题的。如果你想内网穿透，可以试试别的工具，frp 树大招风。

腾讯云的云盾基础配置貌似会扫描 /var/www ，/home 等常见目录，我之前测试搞一个别的目录有时候就不会报毒了。阿里云、腾讯云这些云服务器从来不是主要保证客户安全和隐私的，至少政企、高校和医疗行业都称它为公有云，有一定的公共环境性质，自然不是纯私有的环境。如果你很介意这些，可以手动卸载掉监控程序，或者不使用公有云服务。

最后说下只要附带安全组件的，比如基础防火墙，安全告警等的东西，基本都是会扫描文件的，就像杀毒软件一个道理。在购买服务器时候我记得会有告知的，只不过从来没人看罢了。

@dizzylight https://cloud.tencent.com/developer/article/1381482

@cwcc aws 我也买过就没有这些幺蛾子。 隐私是任何云服务器的最基本要求吧。以后还是转 aws 了，虽然真的很贵...

@dialtcp 谢谢!

@dizzylight aws 不是免费的吗

扫描文件那真的挺恶心的

单走一个 frp 确实不安全，提醒一下没啥毛病。安全以外的东西就不清楚了。

国内主机最好先 dd 一个干净的系统

哈哈 笑死我了。
都用腾讯的东西了你和我谈安全，我都感到有些可笑。

@lepig 可以 dd ，我买国内云都是上去就换系统

你是第一次知道屎难吃, 还是已经听说了但非要自己尝一尝?

@cwcc 同学我不搞 cloud 我不懂，公有云的意思就是服务商能看到你的文件？

用 wireguard 更方便

内网穿透直接买成品服务也不错的，花点钱买放心

@hello2090 除非你买物理机，否则国内外哪个云厂商看不到你在他们云上的文件😂

之前腾讯云搭建 frp 也是提示攻击，后来自己家里路由器搭建 frp 了，宽带还大了 N 倍！

@BearD01001 这是两码事，我是问公有云这个概念里的公有就是你的文件云厂商可以随便看的意思吗？

他家不让用这种穿透服务的 后面会提示违规 帐号加黑名单 甚至删号

@hello2090 肯定是不能随便看的，楼主的这个情况类似于买了一台 windows 笔记本自了 window defend ，不需要的话可以卸载或安装其他系统的

#26 @hello2090 对于兜售名词新概念的商业营销人员而言是指云服务 as 公共资源，就像 infrastructure 这词本身，水电气通信这种基础设施是公共资源，而他们希望以 IaaS 为代表的计算服务也能像水电一样变成人类的必需品（人人都要买 xx 云）

@h0099 那公有云这个概念里的公有就是你的文件云厂商可以随便看的意思吗？

#30 @hello2090 这是两码事，我只是描述了最初把 iaas 称作公有云（资源）的商业人士为什么要这样叫，因为他们认为基础设施是公有公用共产的

@h0099 “那公有云这个概念里的公有就是你的文件云厂商可以随便看的意思吗？” 这是一个问题，答案是“是”或者“不是”

如果您真想阻止服务商乱扫文件除了简单的卸掉他们在预装的系统镜像中内置的监视程序外还可以使用对硬盘数据进行 AES 对称加密一类的服务，我记得阿里云 aws azure 都有提供（阿里云的好像收费），可以使用他们提供的密钥或您自己上传密钥（当然 AES 不是非对称加密所以同时用于加 /解密的密钥最终还是得在他们手里，但这总比裸奔还用着默认镜像里自带的“安全”监视程序要好些）
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html
https://help.aliyun.com/document_detail/59643.html

也给我报过几次，扫盘是常规操作了，恶心人但是没法制止

我前两个月有一台阿里云服务器被禁了，也是随意扫描文件。国内的各种云没有值得信任的，违不违法都是他们说的算。

买下来第一件事 DD https://git.beta.gs/
然后防火墙和安全组设置好端口

#32 @hello2090 从密码学理论上讲很难将随时都需要加 /解密的数据（硬盘就是典型的同时有 IO 而不是只读）托管给他人却不提供给他任何密钥（不论对称还是非对称）
除非您的数据只读或只写，那就可以利用非对称加密而只提供给他公钥从而保证他只能解密信息不能加密（或只能加密而不能解密）
建议复习密码学基础与 TLS GPG PGP 等流行实践

都一样。

#36 @x2ve
> 特别感谢：Vicer 、cxt 、hiCasper 等各位技术大佬的脚本，站长只是脚本的"搬运工"。
> 版权申明：以上所有脚本、系统均为网络收集，站长不对资源的安全及版权纠纷负责，如有侵犯您的权益欢迎联系。

那您又如何保证他提供的这些系统镜像就是安全的呢？为什么不亲自去官网下镜像手动安装？

我也收到这个邮件了，当时还在群里吐槽了下

@hello2090 你真搞笑,你的什么信息在服务器看不到?

我前几天上传了一个 demo 到腾讯云上，昨天收到短信说您的服务器有一个 log4j 漏洞，当时我就觉得难道不定时全盘扫描文件了？！

@ZoeeoZ 那公有云这个概念里的公有就是你的文件云厂商可以随便看的意思吗？

我也是腾讯云轻量，装了 frps 没问题，是可能有挂马版本的 frp

自己重装个纯净系统基本上就没这事了，疼讯自带系统有监控进程的很正常

@h0099 你搞笑吗？理论上世界上所有密码都能破解，胡搅蛮缠真有意思

#43 @hello2090 别来回复制粘贴通过反问反讽了，我已经说了如果您的数据在服务商那里只读或只写，那您完全可以给他公钥 /他给您私钥来保证安全性，但现实中很少有这种场景
所以才会有各种把厂商的技术栈放在自己机房里自部署的政企私有云，严格限制部署区域和用户量 aws/azure govcloud ，以及保密行业连自部署厂商现成的技术栈都不敢用

和家长心态有关系，因为可能会有问题会给你造成损失，所以给你默认安装了一些“安全软件”，其实都不用管用户爱怎么完就怎么玩，造成了损失就是用户自己的事情。
但是因为这个家长心态的缘故，不管是厂商还是用户，都会觉得服务商应该提供对应的“保护”。或者会要求厂商提供赔偿因为我在你家买了服务，但是被攻击或者其他情况造成了我的损失，你们作为服务商应该负责。

所以在其实应该上来就 DD 完了自己配置好服务和端口。

-----
另外说“是不是可以随便看的”，你安装一个 XX 杀软之后下载的小黄油被杀软直接杀掉了，也可以说 XX 公司随便看你的系统和文件了。只能说被害妄想症有点严重，你的文件和其他人的文件没什么区别。不想被“扫”就把相关的服务卸载掉就行了。

@hello2090 你把默认的主机安全之类的服务关了，就不能随便看了。

#46 @maggch97 但阁下需要超过宇宙已经存在的寿命（ 137 亿年）的时间才能积累出足够的算力以破解目前常用的对称加密之 4096 位的 AES-256
而密码学家们对于量子计算机带来的幻影威胁早已提出了一系列冠以后量子密码的更先进的算法，但事实是目前的量子位数量还没有发展到能够在可接受的时间内（哪怕跑几十年）直接解密目前常用的算法加密结构
而如果阁下通过传统计算方式就能实现解密任何加密算法，那您可能需要先证明`P=NP`

而我也可以可以假定阁下可能连何谓可计算性问题和 NP hard/complete 等词汇都不知道

建议先复习理论知识
https://en.wikipedia.org/wiki/P_versus_NP_problem
https://en.wikipedia.org/wiki/NP-hardness
https://en.wikipedia.org/wiki/Computational_complexity_theory

我三年的阿里云刚到期，frp 没啥问题

我是用 openvpn3 来做内网访问的，腾讯轻量云，用了大半年了

@h0099 我这算反问？我的问题是公有云里的公有是否意味着云厂商可以合法合理的查看你的所有文件啊。这算啥反问？

@maggch97 我哪里提到密码破解了？

我之前用腾讯轻量云的 frps 倒是没问题，不过我是把它当作一个正常的 systemd 服务来跑的。后来它续费太贵了，就转用阿里云了。

是这样的，虽然我也觉得很恶心，但是你回头去翻翻注册的用户协议，说不定他还真写了“我可以随便扫你的文件”，而你正好点了同意。所以你最多也只能从道德层面谴责一下，剩下的除了换服务商没有任何办法。

#53 @hello2090 我说了这么多但阁下在#32 里只想得到二极管的回答，实际上您想都不用想也能自己得出`是`的结果，那阁下不就是为了反讽而一直追问？
我的评价是：没必要在这种地方试图叫醒装睡的人，真睡着了的人是不会听您的跑去学习背景知识而是只做复读二极管的
#53 他应该是在回我#37 对您的回复

typo：第二个#53 换成#54

因域名不是国内运营商注册，给我的备案取消了，备案半个月，注销 20 秒

为什么这么信任亚马逊？也许它也干过只是不告诉你?

#56 @janus77 回顾经典之各种国产云服务 TOS 中必不可少的免责不可抗力复制粘贴：
http://www.gov.cn/gongbao/content/2000/content_60531.htm
第十五条　互联网信息服务提供者不得制作、复制、发布、传播含有下列内容的信息：
(一)反对宪法所确定的基本原则的；
(二)危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；
(三)损害国家荣誉和利益的；
(四)煽动民族仇恨、民族歧视，破坏民族团结的；
(五)破坏国家宗教政策，宣扬邪教和封建迷信的；
(六)散布谣言，扰乱社会秩序，破坏社会稳定的；
(七)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；
(八)侮辱或者诽谤他人，侵害他人合法权益的；
(九)含有法律、行政法规禁止的其他内容的。
第十六条　互联网信息服务提供者发现其网站传输的信息明显属于本办法第十五条所列内容之一的，应当立即停止传输，保存有关记录，并向国家有关机关报告。

看这个帖子。我只能说，中国的开发者配得上中国的云服务

#60 @crazyMan233 我只提到 aws 了？
#33 > 我记得阿里云 aws azure 都有提供（阿里云的好像收费）

实际上腾讯云和大量三线云厂商也有硬盘加密服务但我想你们也不敢用

#47 有各种把厂商的技术栈放在自己机房里自部署的政企私有云，严格限制部署区域和用户量 aws/azure govcloud
govcloud 是他们两家的产品名词（ az 叫 for gov ），第一个子句不就囊括了阿里腾讯云所提供的类似的政企云？
https://www.aliyun.com/solution/govcloud
https://cloud.tencent.com/solution/tcx

腾讯云、阿里云，应该都会这么干吧。

反正我 VPS 到手第一件事情就是 DD 重装系统 + 全盘加密，看你还怎么扫。

看这个帖子。我只能说，中国的开发者配得上中国的云服务

我一直用腾讯云做 frp ，几年了，没有任何问题

看这个帖子。我只能说，中国的开发者配得上机翻 en 互联网然后搬进简中互联网垃圾站的二手信息排泄链如 https://www.v2ex.com/t/909128

然后为了那点 v 圈二手屎信息还要以`知识付费`的名义支付数元巨款，或是求爷爷告奶奶地让别人来免费`私人定制`解决他的迫真`私人问题`，殊不知大多数问题抽象泛话都早已在 stackexchange 上甚至各种互联网角落的文档 /部落格里得到了解答 就像 /t/908231 的 OP @shendaowu

typo：抽象泛话->抽象泛化后的形式

我是腾讯云轻量服务器做 frp ，没提示过；

至于所说的扫描，所有的云厂商提供的系统镜像，都内置他们的安全系统软件，很正常。。。

有点好笑，但凡能在 web 端后台看到内存，Cpu 利用率这些的，哪个不用 agent 进程，谁能保证不扫文件，国外不通知大家就没有么
不觉得幼稚么

#60 @crazyMan233 如果阁下真的喜欢 cosplay EFF FSF 精神会员隐私人上壬那还是先多读整天黑美帝数字巨头的英国科技媒体 https://www.theregister.com 罢
我搜了 hn 都没找到多少黑料： （ via https://www.google.com/search?q=aws+data+security+site%3Anews.ycombinator.com 当然阁下也可以说 google 同为美帝 FAAMG 科技辛迪加自然要为 aws 辩护，所以应该用依托于 MSFT bing 的欧盟隐私人上壬最爱的 duckduckgo 搜索）
https://news.ycombinator.com/item?id=34276986
https://news.ycombinator.com/item?id=23929044#23930531
https://news.ycombinator.com/item?id=34014429

nps 也有提示

@hello2090 对

我就是腾讯云，以前弄过 frp ，没有提示，估计是最新才有的

是不是开了主机安全组件？还是默认就扫盘告警了？

同样是云厂商扫描硬盘 /静态存储（下称存储）上的文件，建议根据方式做区分：程序化和非程序化的
- 程序化：云厂商写了一些程序来定期 /按事件扫描某些 /全部存储中的文件，当程序遇到某些特征（如文件名 文件内容 hash fs 元数据）时将他的存在记录下来，然后可能会有打点上报 给安全部门作为汇总统计 和 /或 给 end user 发送通知告诉他发现存储了符合特征的文件
- 非程序化：云厂商的人员受到某些命令或是他们闲的打开了存储空间上的某些 /全部文件，人肉操作在其中达成他需要的目的（比如找到什么 log 作为证据提交）

当然直接这样一刀切同样是二极管行径，非程序化的人工法务调查也可以掩盖在 agent 那样的程序化流程之下，反之亦然

所以从（云厂商的）合规性的角度讲应该是尽可能避免非程序化的扫描，而是将这些需求都写成固定程序来执行
还要给用户提供选择性，比如在创建实例时加个默认选择的复选框允许他 optout 不安装 agent
当然即便 不安装 agent 启用硬盘加密 也无法对厂商掩盖什么，只是对厂商而已扫描时更麻烦一些（那他就可能只出于法律目的而扫描了）

据我所知国外云厂商的客服您主动给他 ssh 登录方式请他来解决疑似厂商造成的诡异问题他们都不敢来登录并要求您撤回，因为处理工单的客服的也没那个权限去操作用户托管数据
但即便您订阅了厂商的`高级`支持服务那群工程师同样不敢亲自登录您服进行调查，工程师们也只能在他们熟悉的厂商那一套技术栈上协助调查您遇到的疑似厂商造成的问题

免费给你提供了 病毒扫描服务。就像 windows 😄

国内的云为了卖他们的额外增值服务，创建服务器的时候默认会带有各种的 agent ，阿里云创建云主机的时候是可选的，默认会勾上，不想要可以选择不安装，这会导致无法在云控台上看到各种监控信息而已。另外从技术上，云厂商如果想要登录你的云主机，轻而易举，无论国内国外，只不过是各种法律法规要求，在限制厂商。底层硬件服务器和系统都是云厂商控制的，真的想作恶，根本不可能让普通用户发现。op 这种，估计是创建服务器的时候没有仔细看条款和选项，默认让厂商的 agent 运行了。

安全加固那个勾不是你自己勾上的？勾上了就等于预装杀毒软件，杀毒软件扫你盘很奇怪吗，你不想让他扫就别勾安全加固啊

@hello2090 服务商看到文件和监控软件扫描文件也是两回事。服务商能接触到物理机理论上当然能看到你的文件，只要你不全盘加密。扫描文件是防毒软件和监控软件必须做的事情，没有办法不扫描就找到病毒的杀毒软件。当然基础的隐私还是会有保障的，比如扫描文件不等于随便上传文件内容到别的服务器。但这就和苹果的口头承诺一样，如果想知道真实的答案，最后总要实事求是，自己去论证这些服务的安全性。

@cwcc 至少政企、高校和医疗行业都称它为公有云，有一定的公共环境性质，自然不是纯私有的环境

那公共环境和私有环境的区别是什么？肯定不光光是扫描病毒吧

用自己的镜像可以避免楼主的问题吗？

我刚看了一下，腾讯购买云主机有两个界面，一个是快速配置（包含了安全加固、防 DDOS 等服务）一个是自定义配置，镜像啥自己选，默认不包含。有可能楼主在创建云主机的时候没有看，直接购买默认包含该服务了。

@hello2090 部署环境就是很大的区别。比如政企都是自己部署局域网、机房和服务器的。即使部分是云租户，也在验收等保安测等过程中会要求云提供商授予客户端可控得加解密和数据访问权限才行。所以，你可能把我说得公共环境理解错了，我说的是和互联网环境直连的，并且是面向大众的共同使用的平台就是公共环境，私有环境就是自行部署机器的环境，物理层面和其他计算设备和上级管理进行了隔离。当然这个对于我们个人来说，是不是私有和公有的意义不大，个人云的数据保护力度是最基础的。如果个人真的很在意安全，那最好都上企业级服务了，还有专人客服。

跑个题，

中转用 wireguard 。云端 wiregurad server ，内网软路由 部属 wireguard client （ openwrt ）

云端 server 添加下面的 iptables 策略，就可以实现 2 个 client 之间相互通信。

````
iptables -I FORWARD -i wg0 -o wg0 -j ACCEPT

我昨天刚在腾讯云轻量服务器装了 frp😹

其实玩过私有云的就知道了 什么虚拟机都可以直接进入 只要有管理员权限 所有不管啥公有云都是一样的不保险 因为没有真正的 root 权限

@hello2090 "那公有云这个概念里的公有就是你的文件云厂商可以随便看的意思吗？" => "是"。我几年前因为做彩票预测（站内说不定还能搜到）被杭州警方调查，警方本来是直接让阿里云给接口进去机器看文件，但是阿里云极力协调最终以给磁盘镜像的形式提供。在律师的鼎力相助下最终获得了几万块的国家赔偿，虽然全部给律师了。

@cwcc 什么灰产？

上了云其实就没有多少安全可言了, 只不是有些厂商还是掩饰一下, 有些甚至不屑于掩饰.
通常来说都是增加获取成本和法律约束来达到相对的安全 /心理防线. 但是实际操作嘛, 你跟我讲 XX, 我都想笑

国内云供应商提供的 OS image 里面都有自己的扫描 agent 来做一些增值业务。可以使用自己制作的干净的 image 来创建 vm 。并且对数据进行 AES 加密。

我用 docker 部署的 frp ，一直没啥事

其实都是政策要求，厂商也是被迫扫盘。

同样腾讯云，买来就 DD 了个纯净的系统，跑过 xray 、trojan 、frp 、ss 等都没有被封啥的

买回来首先第一件事 DD 一个干净的系统（自己认为干净就行），然后随便干啥都不理你了

选系统的时候，默认勾选了安装安全组件。但可以取消。取消选择应该就没这些事情吧！

盲猜是这样:本来是不扫的,但是有人真的被黑了以后去闹,最后不得不加上扫描.国内很多事情都是这样,双向选择罢了.

这种随意扫描用户文件的事儿又不是第一次。不管腾讯，阿里，还是其他的厂商都会这样做。用国内的服务要有觉悟。