자체적으로 전체 Linux 서버를 안전하게 정리


22

원격 ssh 액세스 및 루트 액세스 권한이 있습니다. 물리적 접근 권한이 없습니다. 아무것도 부팅하지 않는 솔루션을 찾고 있지 않습니다. 현재 실행중인 작업 에서이 작업을 수행하고 싶습니다.

OS는 SL6입니다. 필요한 모든 것을 RAM에로드하고 dd 등을 사용하여 전체 디스크를 안전하게 지울 수있는 방법이 있습니까? 분명히 이것은 결국 의도하지 않은 결과로 작동하지 않는 상자를 초래할 것입니다.

이것이 가능해야합니다.

두 가지 흥미로운 추가 사항 :

  1. ssh in, screen 실행, dd 명령 실행 및 분리 가능 완료되면 일주일 후 로그인하십시오. :)

  2. 어떻게 진행 표시 줄이 있습니까?

업데이트 : 이제 chroot 옵션을 사용하겠습니다. 현재하고있는 일 :

mkdir /dev/shm/ramdisk/ && cd ramdisk && mkdir bin lib64 && cd /lib64 && cp ld-linux-x86-64.so.2 libc.so.6 libdl.so.2 libpthread.so.0 librt.so.1 libtinfo.so.5 /dev/shm/ramdisk/lib64 && cd /bin && cp bash dd /dev/shm/ramdisk/bin && cd /dev/shm/ramdisk && chroot .

어느 것이 작동하지만 (/) 여전히 / dev / zero 및 / dev / sda가 필요합니다. 거기에 아이디어가 있습니까?

2012-07-20 업데이트 :

mkdir /dev/shm/ramdisk/ && cd /dev/shm/ramdisk && mkdir bin lib64 && cd /lib64 && cp ld-linux-x86-64.so.2 libc.so.6 libdl.so.2 libpthread.so.0 librt.so.1 libtinfo.so.5 /dev/shm/ramdisk/lib64 && cd /bin && cp bash dd /dev/shm/ramdisk/bin && mkdir /dev/shm/ramdisk/dev && cd /dev/shm/ramdisk/dev && cp -a /dev/zero . && cp -a /dev/sda . && cd .. && chroot . dd if=/dev/zero of=/dev/sda bs=1M

어느 것이 무언가를하고있는 것처럼 보이지만 가능한 경우 일종의 진행률 표시기 및 나중에 새로운 ssh 연결을 분리하고 설정하는 방법을 원합니다.


3
VM에서 먼저 시도해보십시오.)
Frederik Nielsen

2
부팅이 옵션이 아니라고 말하면 콘솔을 터치하거나 미디어를 삽입하는 것이 옵션이 아니거나 머신을 전혀 재부팅 할 수 없다는 말입니까? 잠재적으로 디스크에 livecd 이미지를 추가 할 수 있기 때문입니다. 시스템이 재부팅되면 livecd 이미지가 부팅되고 메모리로로드되고 SSH 서버가 시작됩니다.
Zoredache

실제로, 나는 물리적 인 접근이 없다. 어쨌든 라이브 CD 솔루션을 알고 있으므로 다른 솔루션을 배우는 데 관심이 있습니다. 특히이 문제에 대한 조건이 있습니다. 감사!!
고양이 바지

순수한 추측 : chrootRAM 디스크에 들어가면 도움이 될지 궁금합니다 . 두 번째 추측 : 드라이브의 일부를 파티션하고, grub을 다시 쓰고, 재부팅하십시오.
Hyppy

데이터 기밀성이 정말로 우려되는 경우 하나의 보안 옵션 만 있습니다 . 디스크를 폐기해야합니다. 일반적인 옵션은 다음과 같습니다 : 1) 디가 우저, 2) 디스크 샌더, 3) 볼 피닝 해머. 재부팅 할 수있는 경우 일부 DoD 수준 디스크 와이프 도구를 실행하는 옵션이 있지만 옵션으로 재부팅을 제거했습니다.
Mike Pennington

답변:


12

시스템을 핵화하는 데 필요한 도구가 들어있는 램 디스크에 이미지를 생성 한 다음 pivot_root도구를 실행하고 멀리하십시오. 전체 시스템에서 피봇 팅 하는 것은 쉬운 일이 아니지만 수행중인 작업을 알고 있으면 수행 할 수 있습니다.


1
멋진 생각입니다. 그렇다면 문제는 다음과 같습니다.이 작업을 수행하기 위해 램 디스크에 넣을 수있는 최소한의 것은 무엇입니까? 스스로 알아 내려고 시도한 다음 이해할 수 없으면 여기에 댓글을 달거나 새 스레드를 게시합니다. 감사!
고양이 바지

9

나는 몇 번 실행했다

dd if=/dev/zero of=/dev/sda

추가 준비가 없습니다. 효과가있었습니다. dd가 완료된 후 며칠 동안 시스템이 제대로 실행 중이었습니다 [핑에 응답, 패킷 전달].


1
/ dev / zero를 사용하는 단일 패스는 OP가 얼마나 안전한지에 따라 매우 안전하지 않습니다.
Aaron Copley

1
방금 시도한 결과 커널 패닉이 발생했습니다. 나는 이것을 시도 할 수있는 약 10 대 이상의 기계를 가지고 있습니다. 다음에 무엇을 시도해야합니까?
고양이 바지

2
기밀 데이터가있는 특정 파티션이 있습니까? 상자를 분해 할 수있는 작업을 수행하기 전에 먼저 샌드 블 래스팅을 시도 할 수 있습니다.
cjc

2
한 번 이상의 패스가 필요한 것은 일반적인 오해라는 인상을 받았습니다. anti-forensics.com/disk-wiping-one-pass-is-re 충분히 / dev / zero로 단일 패스 후 데이터를 복구해야하는 문제가 있으며 지금까지 아무도이를 수행 할 수 없었습니다.
고양이 바지

4
@catpants : vmtouch를 사용하여 필요한 파일을 메모리에 고정한 다음 필요한 것을 실행하십시오.
울다

0

제안 : dd 대신 닦기를 사용하십시오. 다중 패스 보안 삭제를 지원합니다.

또 다른 제안 : 가능한 많은 서비스를 중지하고 가능한 많은 패키지를 삭제하십시오. 필요하지 않은 모든 데이터와 이전 로그 파일 및 데이터를 모두 삭제하십시오. 가능한 빈 공간을 최대한 단일 파일로 채우고 해당 파일에 대해 지우기를 실행하십시오. 해당 파일을 삭제하지 마십시오. 시스템을 사용할 수 없게되기 전에 대부분의 디스크를 정리해야합니다.

그런 다음 chroot 램 디스크 아이디어는 상자에 다시 들어가서 드라마를 지나칠 수 있도록해야하지만, 로깅 및 디스크에 쓰는 다른 데몬 때문에 최종 지우기를 수행하기 전에 가능한 한 시스템을 정지 시키려고 할 것입니다 파일 시스템 구조가 완전히 손상되기 전에 지우기가 발생하는 동안 실제 데이터가 사용 가능한 데이터 블록에 기록됨을 의미 할 수 있습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.