Linux/Unixシステムの機密データの生成と破棄について

Linux/Unixシステムの機密データの生成と破棄について

最新のファイルシステム(および最新のSSD)が既存のユーティリティ(ddなど)を使用してファイルに書き込む場合、データが適切に上書きされ、ログバックアップが破損するという保証はありません。したがって、データ復旧が可能です。それで、いくつかの研究の終わりに一時的なramfs(スワップの可能性のためtmpfsを除く)をマウントするのが良い方法だと思いました。

# mkdir -p /mnt/tmp/ram
# mount -t ramfs -o size=[size, but ramfs grows as needed] ramfs /mnt/tmp/ram
# [create the sensitive data, secure it, copy out secured data]
# umount /mnt/tmp/ram

Q1:ramfsを削除するとramfsに含まれているデータは削除されますか?

Q2:データが破棄されるという保証がない場合は、そのデータを回復するための可能な方法はありますか?それとも私は妄想的ですか?

Q3: データを回復できる場合

# dd if=/dev/zero of=/mnt/tmp/ram/[filename]

データが正しく破壊されましたか?それとも、ramfsがファイルを上書きすることを保証しませんか?

制限事項:システム強制的に再起動できません。この作業の前/中/後。

不思議な場合に備えて、この例では、「機密データ」は、ソルト処理されていないハッシュ処理されていないユーザー名+ pamデータベースのパスワードです。 「セキュリティデータ」は、最終的にメインドライブに保存されるソルト/ハッシュデータベースです。私は機密データがドライブに触れたくありません。 (私はext3を使用しているため、パーティション全体を消去せずにデータを回復できないという保証はありません。)

より良い方法ご存知の方は、お知らせいただければ幸いです。

答え1

質問1:はい

Q2: データを回復できません。しかし、少し極端に行きたい場合は、これを行うことができます:)

  1. メモリにスペースを作成します。 mkdir ram mount -t ramfs -o size=1000M ramfs ram/
  2. ランダムに埋め込まれたファイルを作成し、対応するRAMスペースで暗号化します。ランダムデータでいっぱいなので、ランダムデータと暗号化データの境界を設定することはできません。 dd if=/dev/urandom of=ram/test bs=1M count=512
  3. 暗号化設定 cryptsetup -y luksFormat ram/test cryptsetup luksOpen ram/test encypted
  4. 新しい安全スペースをフォーマットしてマウントします。 mkfs.ext4 /dev/mapper/encypted mkdir securedir mount /dev/mapper/encypted securedir/
  5. Umont secureir/ と ram/ を実行して、時間が終わるまでデータを公開します。 umount securedir/ umount ram/

関連情報