ディスクの上書き

Question 1

パフォーマンス...

使用するたびに、ddより大きなブロックサイズを使用してください。 4MiBで十分です。デフォルトのブロックサイズ（512バイト）を使用すると、速度が大幅に遅くなります。

dd if=/dev/urandom of=/dev/sda bs=4M

回復不能なデータを上書きするには、dd上記のように簡単な方法とハンマーを使用します。ハンマーがなければ、読み取り可能な不良ブロックやSSDコンテンツなどがデバイスレベルでは見えませんが、物理レベルでは常に存在するようになります。

非常に非常に困難にしたい場合は、urandomを使用せず、/dev/zeroを使用してください。

dd（適切なサイズ）より速くなります。
セキュリティは、個人がデータを取得するために喜んで傾ける努力に関連する意味を持つ概念です。この観点から見るddと、shredおおよそのセキュリティレベルは同じです。

新しいドライブコストは、より安全なワイパーコストよりも低くなる可能性があるため、その時点からハンマーは正しいソリューションです。

更新：破砕には意味がありません。

~から細断文書、ここには多くの制限があります。

破砕は、ファイルシステムがデータを適切に上書きするという非常に重要な前提に依存します。これはタスクを実行する伝統的な方法ですが、多くの最新のファイルシステム設計はこれらの仮定を満たしていません。例外は次のとおりです。

AIXおよびSolarisはもちろん、JFS、ReiserFS、XFS、Ext3（データ=ジャーナル・モード）、BFS、NTFSなど（データ・ジャーナルで構成されている場合）によって提供されるようなジャーナル構造またはジャーナリング・ファイル・システム。

RAIDベースのファイルシステムなど、重複したデータを書き込んだり、一部の書き込みが失敗した場合でも引き続き機能できるファイルシステムです。

Network ApplianceのNFSサーバーなど、スナップショットが作成されるファイルシステム。

NFSバージョン3クライアントなどの一時的な場所にキャッシュされたファイルシステム。

圧縮ファイルシステム

これを行うには、ext4を追加できます（ロギングはデフォルトで有効になっています）。

さらに、個々のファイルを破砕しても、ファイルから関連するすべてのメタデータが削除されるわけではありません。同じ inode を指す他のハードリンクなどがある場合があり、メタデータはそのまま残ります。時には、ファイルが存在するという事実さえ知っていても、セキュリティの問題になることがあります。

ハンマーに戻って…

Answer

パフォーマンス...

使用するたびに、ddより大きなブロックサイズを使用してください。 4MiBで十分です。デフォルトのブロックサイズ（512バイト）を使用すると、速度が大幅に遅くなります。

dd if=/dev/urandom of=/dev/sda bs=4M

回復不能なデータを上書きするには、dd上記のように簡単な方法とハンマーを使用します。ハンマーがなければ、読み取り可能な不良ブロックやSSDコンテンツなどがデバイスレベルでは見えませんが、物理レベルでは常に存在するようになります。

非常に非常に困難にしたい場合は、urandomを使用せず、/dev/zeroを使用してください。

dd（適切なサイズ）より速くなります。
セキュリティは、個人がデータを取得するために喜んで傾ける努力に関連する意味を持つ概念です。この観点から見るddと、shredおおよそのセキュリティレベルは同じです。

新しいドライブコストは、より安全なワイパーコストよりも低くなる可能性があるため、その時点からハンマーは正しいソリューションです。

更新：破砕には意味がありません。

~から細断文書、ここには多くの制限があります。

破砕は、ファイルシステムがデータを適切に上書きするという非常に重要な前提に依存します。これはタスクを実行する伝統的な方法ですが、多くの最新のファイルシステム設計はこれらの仮定を満たしていません。例外は次のとおりです。

AIXおよびSolarisはもちろん、JFS、ReiserFS、XFS、Ext3（データ=ジャーナル・モード）、BFS、NTFSなど（データ・ジャーナルで構成されている場合）によって提供されるようなジャーナル構造またはジャーナリング・ファイル・システム。

RAIDベースのファイルシステムなど、重複したデータを書き込んだり、一部の書き込みが失敗した場合でも引き続き機能できるファイルシステムです。

Network ApplianceのNFSサーバーなど、スナップショットが作成されるファイルシステム。

NFSバージョン3クライアントなどの一時的な場所にキャッシュされたファイルシステム。

圧縮ファイルシステム

これを行うには、ext4を追加できます（ロギングはデフォルトで有効になっています）。

さらに、個々のファイルを破砕しても、ファイルから関連するすべてのメタデータが削除されるわけではありません。同じ inode を指す他のハードリンクなどがある場合があり、メタデータはそのまま残ります。時には、ファイルが存在するという事実さえ知っていても、セキュリティの問題になることがあります。

ハンマーに戻って…

Question 2

このdd方法は、次のことを行います。

ディレクトリ構造を参照する必要がないので、より高速です。
現在ファイルが占有していないディスク領域を上書きします。

プログラムは、任意のデータでファイルを繰り返し上書きするため、要件に応じてファイルを。shredより「安全」にすることができます。dd

ただし、その効果はshredファイルシステムによって異なります。マニュアルページから：

注：破砕は、ファイルシステムが現在の場所からデータを上書きするという非常に重要な前提に従います。これはタスクを実行する伝統的な方法ですが、多くの最新のファイルシステム設計はこれらの仮定を満たしていません。

特に、shredSSDでは有用な作業を実行できない場合があります。

Answer

このdd方法は、次のことを行います。

ディレクトリ構造を参照する必要がないので、より高速です。
現在ファイルが占有していないディスク領域を上書きします。

プログラムは、任意のデータでファイルを繰り返し上書きするため、要件に応じてファイルを。shredより「安全」にすることができます。dd

ただし、その効果はshredファイルシステムによって異なります。マニュアルページから：

注：破砕は、ファイルシステムが現在の場所からデータを上書きするという非常に重要な前提に従います。これはタスクを実行する伝統的な方法ですが、多くの最新のファイルシステム設計はこれらの仮定を満たしていません。

特に、shredSSDでは有用な作業を実行できない場合があります。

Question 3

その他のオプション昨日読んだだけ:

openssl enc -aes-256-ctr -pass pass:"$(dd if=/dev/urandom bs=128 count=1 2>/dev/null | base64)" -nosalt < /dev/zero > randomfile.bin

もちろん、randomfile.bin次のようなものに置き換えることもできます。/dev/sda

これしなければならないカーネルに任意のデータを提供させるよりも高速です。

Answer

その他のオプション昨日読んだだけ:

openssl enc -aes-256-ctr -pass pass:"$(dd if=/dev/urandom bs=128 count=1 2>/dev/null | base64)" -nosalt < /dev/zero > randomfile.bin

もちろん、randomfile.bin次のようなものに置き換えることもできます。/dev/sda

これしなければならないカーネルに任意のデータを提供させるよりも高速です。

Question 4

このshred方法は、現在存在するファイルのみを上書きします。再利用されていない領域に存在するファイルの以前のバージョンを含む、削除されたファイルは削除されません。

このdd方法はディスク全体に適用されます。

このdd方法はランダムなデータで上書きされるため、遅すぎます。 0で上書きすることもうまく機能します。

dd if=/dev/zero of=/dev/sda

次の方法を使用してこれを実行することもできますcat。少し速いかもしれません。

cat /dev/zero >/dev/sda

0回繰り返す代わりにランダムデータで上書きするという提案は、20年前のディスク技術では正しかったです。それでもゼロで上書きするのはうまくいきました。最新のハードドライブの場合は、0で上書きするだけで十分です。バラよりハードドライブに0（またはランダムデータ）を1回だけ書き込むよりも何回も書き込む方が良いのはなぜですか？。

SSDはハードディスクよりも新しい技術であり、書き込み後の残留磁性については知られているものがほとんどありません。私が知っている限り、フラッシュ技術でゼロで上書きされたデータを回復したという公開報告はありません。（政府機関について話すことはできませんが、とにかくすでにあなたのデータがあるかもしれません。）あなたは見たいかもしれませんセキュリティ消去 EEPROMとフラッシュメモリ更新のため。

セクタ（SSDドライブなど）を再割り当てするフラッシュ技術には追加の問題があります。ソフトウェアでサーフェス全体を覆った後、一部のセクタは現在マッピングされていませんが、それでも独自のコンテンツを持っています。これらのセクタは通常のインターフェイスを使用して読み取ることはできませんが、ストレージデバイスの内部を検索して読み取ることができます。（私が知っている限り、これは既知の技術ですが、価格はフラッシュデバイスのモデルによって通常のレベルから非常に高価なレベルまで異なります。）原則として、フラッシュドライブを完全に消去するには発行する必要があります。セキュリティの削除ただし、[多くのデバイスがこのコマンドを正しく実行しません]（SSDのATAセキュリティの削除）、したがって、まずソフトウェアの削除を実行する必要があります。

Answer