Arch Linuxでramfsを作成する方法

Arch Linuxでramfsを作成する方法

24GBのRAMと8GBのスワップファイルがあります。 Arch Linuxでは/dev/shmこの目的があることを知っていますが、作業に敏感なファイルを一時的に保存できる場所が欲しいので、マウントポイントを作成したいと思いますtmpfsramfsこれらのファイルがどんな形や形でもディスクに触れないことが非常に重要です。

スペースが足りない場合は、tmpfsが私が望んでいないスワップファイルを使用することを知っているので、tmpfsの代わりにramfsを使用したいと思います。

私の質問は、少なくとも12Gのストレージスペースを持つramfsマウントポイントをどのように生成しますか?

試してみましたがmount none ~/RAM -t ramfs -o size=12G成功しませんでした。マウントポイントを作成しますが、ここにファイルを挿入しようとすると、Need more than 3.1G spaceファイルを保存するように求められます(5 GB ISOをコピーしてみました)。

答え1

Linuxでは、RAMベースのファイルシステムの2つの主なタイプはtmpfsとramfsです。 ramfsは、ほとんどの場合tmpfsに置き換えられた古いファイルシステムタイプです。 tmpfsはramfsの多くの欠点を克服した最新のRAMファイルシステムです。

ramfs関係がないと思います。今日、現在カーネルには適用されません。

少なくとも12Gのストレージスペースを持つRAMFSマウントポイントを作成するには?

mkdir /ramdisk
# ramdisk is slang here, reads better than tmpfsdisk.

# my server has 512gb ram, so

mount -t tmpfs -o size=500G tmpfs /ramdisk

# in your case with 24gb ram I would do

mkdir /whatever
mount -t tmpfs -o size=22G tmpfs /whatever

フォルダが作成されるため、サイズは動的であり、フォルダ/whateverに物を投げるまでメモリを占有しませんが、フォルダにsize到達すると失敗します。より多くの物理メモリを作成できsize、サイズも増やすことができます(実際には最大サイズ) 数値にかかわらず、実際のRAMより大きいと、すべてのメモリが使用されているときにOSがロックする危険があります。

/whatever_ramdiskビアdf -hディスプレイをご覧くださいFilesystem Size Used Avail Use% Mounted on

何か触れたくないならディスク、ディスクからマウントされたスワップパーティションを使用しないでください。最初からディスクにスワップパーティションを作成しないでください。またはあなたの場合は、8GBのディスクを紛失し、スワップパーティションをマウントしていないか、削除したり/etc/fstab。パーティションをに再フォーマットするext4か。xfs/data

カーネルスワップページ[常に]ディスクのスワップパーティションにデータを書き込むことを意味するものではありません。

過去10年間、ディスクはスワップパーティションを使用していません...スワップ戦争を再開する準備をしてください... 768 GBのRAMを搭載したサーバーがあり、1つの300 GBのディスクを使用している場合は、スワップの使用方法を教えてください。ディスク上のパーティションには値がありません。より良いことは、PXEブートとrhel 8のディスクレスクラスタノードがディスクレスノード(サーバー)のRAMで完全に実行されることです。セキュリティ上のリスクがあると思われる場合は、残りのtmpfsLinuxと同様に、ファイルは[権限]ベースです。 -/ramdiskこれがあなたが言う問題なら、/etcマウントされた/usr他のすべてのフォルダと24GBメモリの他のすべてのビットです。

答え2

ディスクに触れないデータの観点からは、ramfs は tmpfs よりも優れていません。

たとえはいramfs はスワップをサポートしていませんが、機密データを処理するアプリケーションページがスワップに書き込まれるのと同じ方法で、tmpfs ファイルがスワップに書き込まれます。

したがって、tmpfsの代わりにramfsを使用する場合の全体的なセキュリティ上の利点は、否定的ではなくてもゼロです!一般に、アプリケーションに複数の一時ファイルを生成させるのは比較的簡単です。 ramfsを使用すると、カーネルが一時ファイルに書き込まれていない機密データを含む、プロセススペースでページの置き換えを開始するように強制できます。突然安全な作業を試みると、システムがより脆弱になります。

なぜなら:tmpfsを使って暗号化置き換えると、tmpfsコンテンツの交換やアプリケーションデータの交換によってセキュリティ上の問題は発生しません。

さらに:私はあなたのシステムを信頼できますが、スワップストレージはそうではない脅威モデルに興味があります。ストレージを信頼できない場合は、少なくとも慎重なブートがあることを願っています。これにより、起動中のOSも信頼できないため、機密データを再販売したい人に送信することはできません。少額の手数料で。もしあなたなら持つブートを測定すると、スワップデバイスを信頼できなくなります(興味深い組み合わせ!コードを含むファイルシステムは実行時に攻撃者が変更できませんが、スワップはそうではありませんか?)。これは攻撃者が明らかに内容を修正するため、まだ失敗します。コード、スクリプト、構成ファイルを含む交換は、プロセスをすばやく引き継ぐことができます。

したがって、私の観点からは、暗号化された交換はこれらの脅威モデルで安全な唯一の交換であり、tmpfsを使用することもできます。したがって、交換を暗号化し、tmpfsを使用して幸せです:)

関連情報