web-dev-qa-db-ja.com

linux / unixシステムでの機密データの作成と破棄について

最新のファイルシステム(および最新のSSD)では、従来のユーティリティ(ddなど)を使用してファイルを上書きした場合、データがインプレースで上書きされ、ジャーナルバックアップが破棄されるという保証はありません。その結果、データが回復する可能性があります。したがって、少し調査した結果、一時的なramfs(tmpfsはスワップされる可能性があるため除外されました)をマウントすることが道であることがわかりました。

# mkdir -p /mnt/tmp/ram
# mount -t ramfs -o size=[size, but ramfs grows as needed] ramfs /mnt/tmp/ram
# [create the sensitive data, secure it, copy out secured data]
# umount /mnt/tmp/ram

Q1:ramfsをアンマウントすると、その中に含まれるデータが破壊されますか?

Q2:データが破壊されることが保証されていない場合、そのデータを回復するための実行可能な方法はありますか(または私はただ妄想的です)?

Q3:データが回復可能である場合、

# dd if=/dev/zero of=/mnt/tmp/ram/[filename]

データを適切に破棄しますか、それともramfsがファイルをインプレースで上書きすることが保証されていませんか?

制約:システム強制的に再起動することはできませんこれらの操作の前/最中/後。

興味がある場合は、この場合の「機密データ」は、pamデータベースの無塩でハッシュ化されていないユーザー名とパスワードです。 「保護されたデータ」は、ソルト/ハッシュされたデータベースであり、最終的にプライマリドライブに配置されます。機密データがドライブに触れないようにします(ext3を使用しているため、私が理解している限り、パーティション全体をワイプしないとデータが回復できないことを保証できません)。

これを行うためのより良い方法を知っているなら、私に教えてください、ありがとう。

linuxtmpfsramdiskdata-destruction
5
Schives

Q1:はい

Q2:データを回復することは不可能です。それにもかかわらず、あなたが極端になりたいなら、あなたはこのようにそれをすることができます:)

  1. RAMにスペースを作成します:mkdir ram mount -t ramfs -o size=1000M ramfs ram/
  2. RAMスペースで暗号化するランダムに入力されたファイルを作成します。ランダムなデータでいっぱいになると、ランダムなデータと暗号化されたデータの境界を確立できなくなります。dd if=/dev/urandom of=ram/test bs=1M count=512
  3. 暗号化の設定cryptsetup -y luksFormat ram/test cryptsetup luksOpen ram/test encypted
  4. 新しいセキュアスペースをフォーマットしてマウントします:mkfs.ext4 /dev/mapper/encypted mkdir securedir mount /dev/mapper/encypted securedir/
  5. Umontは、時間の終わりまでデータを失うために、ir /そしてram /を保護しました。 umount securedir/ umount ram/
5
Bogdan