最近のアップデートの後、Debian Busterを再起動し、パスワードを含む以前にコピーして貼り付けたログがあることにショックを受けました。これはRAMにのみ存在する必要がありますか?
クイック検索では、ある種のオーバーライドがある可能性があることがわかります。
https://www.reddit.com/r/linux/comments/1134lcm/clipboard_just_got_an_update_that_makes_copying/
これについてどのような措置を講じており、セキュリティリスクを軽減する方法を知っている人はいますか?
答え1
これはRAMにのみ存在する必要がありますか?
正直なぜなのかわかりません!クリップボードの内容が保存される場所は、通常、ユーザーが気にする必要のない実装の詳細です。 :)
こう考えてみてください。クリップボードに入ると、クリップボードにアクセスできるすべてのプログラムがそれを取得できます。これらのクリップボード管理者が行うことは、すべてのプログラムで実行できます。
したがって、セキュリティが変化していることがわかります。唯一の違いは、コンピュータに物理的にアクセスできる人(ノートブックを盗んだ後など)が、コメントにログインしなくてもディスクから読み取ることができることです。今、この種の標的盗難がどのように多くのリスクに直面したかについての個人的な評価は、この回答を読むジェームズ・ボンドに任せます。しかし、これはセキュリティリスクです。
Debianで使用しているデスクトップ環境によっては、GNOMEシェル、プラズマなどの他のクリップボードマネージャプラグインを入手できるため、保存方法は異なります。
あなたのReddit投稿がリンクされているクリップボードプログラムは多くのプログラムの1つに過ぎず、私は見たことがありません。 Debianはそれをパッケージ化しません!
とにかく、そうです。コピーして貼り付けたパスワードは、ある時点で永久に保存される可能性が高いです。面白い事実:あなたが成功したログイン後にあなたが誰であるかを証明するためにあなたのブラウザが使用するCookieも同様です。があります。何百人ものユーザーからCookieを収集したケース。
ただし、電源がオフになっているコンピュータに物理的にアクセスできる人がクリップボードの内容(およびセッションCookie)を抽出するリスクを減らすには、ストレージ暗号化(通常はインストール時に設定されているフルディスク暗号化)を使用することを選択する必要があります。 (Debianインストーラを正しく覚えている場合は、Debianインストーラでインストールするターゲットデバイスを選択するときに「暗号化LVM」オプションがあります)。まあ、電源を切ったコンピュータを盗んだ人は何も手に入らないでしょう。なぜなら、彼らはまだデータを理解するために必要なストレージの復号秘密を知らないからです。
答え2
これは少なくともFedora 37のXFCEで動作します(他のものの中で/var/tmp)tmpfs。他のDE/クリップボードアプリケーション/ディストリビューションには異なるアプローチが必要な場合があります。これにより、XFCEクリップボードの履歴(/var/tmp/xdgcache-birdie/xfce4/clipman)が再起動/停電サイクル中に保存されなくなります。
$ cat /etc/profile.d/xdg_cache_in_var_tmp.sh
# could be more paranoid, and not accept any previously defined XDG_CACHE_HOME
if [ -z "${XDG_CACHE_HOME}" ] ; then
XDG_CACHE_HOME="/var/tmp/xdgcache-${USER}"
export XDG_CACHE_HOME
fi
if [ -d "${XDG_CACHE_HOME}" ]; then
# verify existing dir is suitable
if ! `test -G "${XDG_CACHE_HOME}" -a -w "${XDG_CACHE_HOME}"` ; then
# else, make a new/secure one with mktemp
XDG_CACHE_HOME="$(mktemp -d ${XDG_CACHE_HOME}-XXXXXX)"
export XDG_CACHE_HOME
fi
else
mkdir -p "${XDG_CACHE_HOME}"
fi