Linux cho SET FILE / ERASE_ON_DELETE là gì?

16

Trong VMS, người ta có thể yêu cầu hệ thống tệp ghi rác lên nội dung hiện có của tệp khi tệp bị xóa. Dưới đây là lệnh DCL để xác định tệp cho loại điều trị này:

 $ SET FILE/ERASE_ON_DELETE SAMPLE.TXT

Điều này cho phép chính sách được đặt tại một thời điểm sau đó người dùng tệp sau này không phải xử lý chi tiết bảo mật đó. Xóa tiêu chuẩn sẽ lấy tên tệp ra khỏi thư mục và giải phóng không gian cho một tệp khác sử dụng cũng sẽ sửa đổi nội dung hiện có để ngăn người dùng tiếp theo đọc nó. Việc xóa bình thường:

$ DELETE SAMPLE.TXT.*

Linux cho cái này là gì?

linux  filesystems  security  rm  openvms 
CW Holeman II
nguồn

Câu trả lời:

19

Điều này chỉ được hỗ trợ bởi một số hệ thống tập tin Linux:

chattr +s sample.txt

có thể (hoặc có thể không) làm những gì bạn muốn.

Từ man chattr:

NAME
       chattr - change file attributes on a Linux second extended file system
...
       When a file with the ‘s’ attribute set is deleted, its blocks are
       zeroed and written back to the disk.  Note: please make sure to read
       the bugs and limitations section at the end of this document.
...
BUGS AND LIMITATIONS
       The  ‘c’, ’s’, and ‘u’ attributes are not honored by the ext2
       and ext3 filesystems as implemented in the current mainline Linux
       kernels. These attributes may be implemented in future versions of
       the ext2 and ext3 filesystems.

Tôi không biết phiên bản kernel chính cụ thể nào (nếu có) thực hiện điều này.

Anthon
nguồn
2
Wow, bạn học được điều gì đó mới mỗi ngày. Xfs hoặc zfs có thực hiện cờ này không?
8

Lưu ý rằng với công nghệ hiện tại đôi khi bạn sẽ không kiểm soát được điều đó. Với các ổ SSD, mỗi lần ghi có thể được thực hiện ở các vị trí khác nhau, giữ dữ liệu cũ ... và điều này không thể bị ghi đè bởi HĐH, hệ thống tệp hoặc bất cứ thứ gì trong phần mềm. Thêm thông tin về http://www.anandtech.com/printarticle.aspx?i=3531 .

liori
nguồn
7

Tương đương gần nhất mà bạn thường tìm thấy trên các hệ thống unix là mã hóa. Một cách dễ dàng để thiết lập một thư mục được mã hóa trên Linux (và hầu hết các thông báo khác) là Encfs . Bắt đầu nhanh:

mkdir .ciphertext encrypted
encfs .ciphertext encrypted
# work on encrypted/file
fusermount -u encrypted

Có một số tùy chọn khác để mã hóa hệ thống tập tin. Xem Cách mã hóa và giải mã tốt nhất một thư mục thông qua dòng lệnh hoặc tập lệnh? , Cách tốt nhất để làm mã hóa toàn bộ đĩa? và một số luồng khác trên Super User , Server FaultHỏi Ubuntu .

Tôi không biết những mối đe dọa FILE/ERASE_ON_DELETEbảo vệ chống lại. Lưu ý rằng trên unix, người quản trị hệ thống hoặc người nào đó có quyền truy cập vật lý vào ổ đĩa chỉ có thể nhìn thấy nội dung trước đây của tệp bị xóa hoặc xóa. tình cờ ở trong vùng đĩa được sử dụng bởi tập tin.

Gilles 'SO- ngừng là ác'
nguồn
4

Tôi không chắc đây có phải là thứ bạn đang tìm kiếm không:

dd if=/dev/urandom of=FILE

Nó ghi các byte ngẫu nhiên vào FILE.

Alan Haggai Alavi
nguồn
Không hoàn toàn giống như vậy, nhưng có lẽ nó gần giống như bạn sẽ có trong Linux tiêu chuẩn.
Ồ tôi hiểu rồi. Cảm ơn đã cho tôi biết, Paul.
Alan Haggai Alavi
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.