💾 Archived View for tilde.team › ~rami › redhat_erase_wipe.gmi captured on 2023-01-29 at 17:55:44. Gemini links have been rewritten to link to archived content
⬅️ Previous capture (2023-01-29)
-=-=-=-=-=-=-
רמי
SUBJECT: RedHat (RHEL, Fedora, CentOS): Уничтожение данных
AUTHOR: Rami Rosenfeld
DATE: 24/09/22
TIME: 15.00
LANG: ru, en
LICENSE: GNU FDL 1.3
TAGS: gnu, gnome, software, opensource, linux, system, man, manual, bash, privacy, security, rhel, centos, mate, xfce, lxde, spin, de, systemd, systemctl, selinux, firewalld, dnf, rpm, shred, wipe, nwipe
В этом разделе рассматриваются наиболее распространенные способы гарантированного уничтожения данных при помощи стандартных команд GNU/Linux.
shred -n 7 -f -u -z -v filename_1 filename_2
Опции:
- 7-проходное "затирание" данных (различными способами);
- принудительное изменение права на запись;
- удаление файла;
- последовательное цикличное перезаписывание имени файла нулями для сокрытия удаления;
- демонстрация прогресса уничтожения.
Пример:
$ shred ~/test/*
(удаление всех файлов в каталоге /test)
- полное уничтожение файлов НЕ ГАРАНТИРУЕТСЯ на твердотельных носителях и картах памяти: SSD/SD/SDHC - это связано с особенностями данных устройств;
- НЕ ИСПОЛЬЗУЙТЕ команду для удаления устройств целиком, например /dev/sdb и т.п.;
- команда НЕ УДАЛЯЕТ каталоги;
- будьте осторожны: восстановление вашей информации на HDD НЕВОЗМОЖНО!
Примечание: Для преодоления проблемы с SSD/SD/SDHC всегда осуществляйте полное шифрование твердотельных носителей при помощи LUKS2 (предварительно заполняя все пространство нулями), а затем, в процессе повседневной работы, уничтожайте файлы вышеуказанными методом.
Примечание: Для краткости удобно применить алиас, созданный в пользовательском .bashrc:
alias eraser='shred -n 7 -f -u -z -v'
Shredder (7-pass) for Nautilus (Caja, etc.) File Manager
Подробнее см.: man shred
Для быстрого удаления системных файлов GoCryptFS в критической ситуации можно использовать алиас .bashrc:
alias panic='shred -n 7 -f -u -z ~/.secret_folder/gocryptfs.conf ~/.secret_folder/gocryptfs.diriv'
Дальнейший доступ к пользовательским данным в зашифрованном каталоге будет не(?)возможен.
cryptsetup luksErase dev/sdb
Примечание: Вместо sdb подставьте имя носителя.
Эта операция удалит ВСЕ существующие парольные фразы из всех слотов. Она необратима, информация восстановлению не подлежит! Какая-либо парольная фраза (из наличествующих в слотах) при выполнении этой команды НЕ(!) запрашивается! Дальнейший доступ к зашифрованному носителю/разделу будет невозможен.
nwipe --autonuke --method=dodshort
Применение команды с опцией "autonuke" НЕМЕДЛЕННО УНИЧТОЖИТ ВСЕ ДАННЫЕ со ВСЕХ носителей на компьютере, включая USB. Если будет указана цель - конкретное устройство (sda, sdb и т.п.) - уничтожение не затронет остальные носители. См. также опцию "--exclude".
Возможные алгоритмы уничтожения (по умолчанию: dodshort):
- dod522022m / dod - 7 pass DOD 5220.22-M method;
- dodshort / dod3pass - 3 pass DOD method;
- gutmann - Peter Gutmann's Algorithm;
- ops2 - RCMP TSSIT OPS-II;
- random / prng / stream - PRNG Stream;
- zero / quick - Overwrite with zeros.
nwipe --autonuke --method=dod522022m --autopoweroff --nowait --nosignals --nogui
Это более серьезная команда. Она увеличит время выполнения за счет количество проходов (с 3 до 7), не будет ждать реакции пользователя по завершении, а также (важно!) запретит любые сигналы прерывания операции во время ее исполнения. Кроме того, не будет показан пользовательский интерфейс.
Примечание: Последняя опция "--nogui" применима только вместе с "--autonuke".
Примечание: Я рекомендую использовать алгоритм DoD (стандарт Министерства обороны США) в его полном варианте; метод Петера Гутманна очень надежен, но крайне длителен в выполнении.
См. также опции:
--nousb
--verbose
--rounds
--exclude
Подробнее см.: man nwipe
Весьма удобное, быстрое и надежное 32/64-разрядное средство для полного уничтожения носителей (большой плюс - отличная подробная документация на сайте производителя). Использует Nwipe.
Подробнее см.:
🄯 Rami Rosenfeld, 2022. GNU FDL 1.3.