ディレクトリやファイルが実際に削除されたことをどのように確認できますか?

ディレクトリやファイルが実際に削除されたことをどのように確認できますか?

ほとんどのファイルは、削除時にディスクから実際には削除されず、後で回復できることがわかります。

削除したディレクトリが実際にディスクから削除されたことをどのように確認できますか?ユーティリティはありますか?

私はDebian Linuxを使用しています。

答え1

データを保存する前に暗号化してください。データを削除するには、キーを削除してください。

すでにプレーンテキストでデータを書き込んでいる場合は、単に消去するには遅すぎます。複数のデータコピーを複数の場所に展開できます。

  • ファイルシステムでファイルが複数回記録(上書きまたは交換)された場合。
  • ファイルシステム(フラグメントコレクションの一部として再配置された場合)
  • ログから(データが最後に作成された後にすばやく消えることがあります)
  • バックアップ中;
  • 無効なセクタ(特にSSD)。

ファイルシステムからデータのコピーを削除するおおよその方法は、空き容量を埋めることです(cat /dev/zero >somefileファイルシステムがいっぱいになるまで停止するのを待つ)。これにはすべての完全なブロックが含まれます。

データの小さな部分は不完全なブロックのままであり、部分的に別のファイルで使用されます。これは、ディレクトリの内容を格納するブロックに残ることができるファイル名の場合に特に重要です。すべてを消去するには、すべてのファイルをバックアップし、ファイルシステムを含むデバイスを完全に上書きしてファイルを復元します。

記憶媒体は、使用されなくなったブロックにデータを保持することができる。ハードドライブでは、これは不良ブロックが再割り当てされたことを意味します。これは、ディスクが磨耗し始めるまでほとんど起こりません。 SSDでは、摩耗の平準化により、この現象が一般的である。どちらの場合も、このデータにアクセスするには経験豊富な攻撃者、かなり高価なハードウェア、時間の無駄が必要なため、脅威は低くなります。これらの脅威に興味がある場合は、データを暗号化してキーを放置しないでください。

マルチパスを介してデータを消去するか、ゼロではなくランダムデータを使用することを提案することができます(「Gutmann erasure」)。忘れてください。これは1980年代のハードドライブにのみ適用されます(それでもデータの再構築はあまり安くなく、再構築はかなり信頼できません)。ゼロで覆うだけで十分です。複数のランダムパスを実行することは、旧時代のアドバイスまたはヘビ油です。バラよりハードドライブに0(またはランダムデータ)を1回だけ書き込むよりも何回も書き込む方が良いのはなぜですか?

答え2

という非常に人気のあるツールがありますshred。このツールは、削除される前に各ファイルを25回上書きします。これがあなたが探しているものかもしれません。

シュレッドの使い方はとても簡単です。

$ shred secret_archive.tar.gz

ただし、最新のシステムでは、次のことがshred発生する可能性があります。低効率または役に立たない場合:

  • あなたのプログラムはあなたが知らない一時ファイルを生成します(多くのGUIアプリケーションと同様に)。
  • FSは書き込み中のコピー(ZFSやBtrfsなど)に基づいています。
  • FSはログベースです(例:NILFS)。
  • FSはデータログ(たとえば、一部の構成ではJFS、ReiserFS、XFS、ext3、またはext4)を使用します。
  • FSは圧縮を使用します。
  • FS は別の場所に新しいバージョンのファイルを割り当てます。
  • スナップショットまたはバックアップがあります。
  • あなたはネットワークFSにいます
  • ウェアレベリングアルゴリズムを含むSSDを使用しています。

より安全な他のオプションは次のとおりです。

  • 重要データ暗号化
  • パーティション全体またはストレージデバイスをカバーします。
  • 機器の物理的損傷

答え3

bcwipeはまだその用途があります。プライバシーではありません。私のProxMox kvmシステムの空き領域をゼロで埋める人はまたいますか?空き容量の多いkvmシステムでは、vzdumpサイズが20倍に縮小されます。ゼロに過ぎず、スペースが高い圧縮率で保存されることを除いて、以前と同じ量の空きスペースがあります。

関連情報