Como evitar vazamento de dados de /tmp sem ramfs ou tmpfs ?
Existe uma maneira simples de configurar a montagem automática de /tmp durante a inicialização, de forma que os arquivos sejam gravados no disco sem deixar dados recuperáveis após o computador ser desligado? Como ecryptfs com uma chave aleatória, por exemplo ...
Estou usando o Ubuntu 10.10.
Eu não uso a criptografia de discos completos porque a inicialização autônoma é importante para mim. Eu estou bem com os arquivos do sistema sendo descriptografados. Minha preocupação é que dados pessoais, navegação na Internet, etc, eventualmente, toquem o disco não criptografado, porque ele é gravado em /tmp por alguns aplicativos.
Eu não posso usar tmpfs ou ramfs porque estou com falta de RAM (não quero usar swap).
A solução em nível de aplicativo não é aceitável porque não posso garantir (e não quero) que todos os aplicativos sejam configurados para não gravar em /tmp .
Pode ou não funcionar, mas ... você pode tentar definir / tmp para não ser gravável pelos usuários e definir export TMPDIR="$HOME/tmp" (assumindo que $ HOME esteja criptografado) em algum lugar que será usado no env de todas as sessões ( como, / etc / profile, talvez?). Eu acho que muitas coisas deveriam respeitar a variável de ambiente TMPDIR, mas todas elas não honrariam isso necessariamente.
Você pode tentar executar o firefox em um sandbox
Não tenho certeza de quão útil isso seria no Ubuntu, mas depois de alguma personalização funciona bem no meu Fedora (15).
all the applications behave the same except that what they write to /tmp doesn't reach my disk
Para que os dados em /tmp não atinjam o disco, você precisa colocá-lo na RAM (ramfs ou tmpfs).
Por outro lado, como essas não são opções para você, você tem mais duas opções (com dados no disco):
Altere os atalhos padrão ou crie aliases para os comandos que você teme e que podem vazar informações, como por exemplo:
alias vi='sandbox -M -H sehome/ -T tmp/ vi'
Assim, o usuário (ou você) não deve se lembrar de executar uma sandbox toda vez que o aplicativo for iniciado.
Automaticamente esvazie /tmp quando não houver mais arquivos bloqueados nele (uma tarefa cron que possa ser executada a cada 1 a 30 minutos) ou no logout.
Esta é minha escolha pessoal:
Adicione esta linha ao seu arquivo ~ / bash_logout. rm -rf / tmp / * 2 > & / dev / null
Ou você pode mexer em usar / dev / zero e dd para limpar os dados do / tmp
Você pode usar um overlayfs ou uma montagem de bind, etc.
Além disso, depois que o / tmp é criado e montado, você apenas monta nele qualquer caminho que seja um contêiner criptografado; ele fará o truque.
Além disso, você pode fazer algo realmente estranho e talvez entrar em modo de pânico.
Você pode montar / dev / null over / tmp, portanto, qualquer gravação em / tmp não leva a lugar nenhum.
Por que muitas pessoas pensam em soluções tão complexas que não atendem ao que você realmente quer ...
Você disse que quer que os dados não atinjam o HDD ... apenas monte sobre o caminho o / dev / null
Naturalmente, os dados não serão legíveis depois de escritos ... eles serão perdidos como estão sendo gravados ... isto é o que é para / dev / null projetado.
Mas se você quiser que os dados cheguem ao disco, mas não sejam simples (também conhecidos como criptografados) ... faça o seguinte:
Assim, qualquer gravação irá para o disco, mas será criptografada.
Devo avisá-lo sobre isso:
Se você tiver certeza de que todos os seus aplicativos só gravam em caminhos "controlados", tente primeiro montar com um caminho que tenha uma montagem (substitui a montagem até desmontar).
Às vezes, as pessoas pesquisam uma solução complexa e não vêem a solução fácil.
Quero dizer, isso funcionará:
Após 1 os arquivos / pastas vistos em / mnt / MyHDD estão na unidade sda na primeira partição, depois de 2 os arquivos / pastas vistos em / mnt / MyHDD estão na partição sdb 2, após 3 os arquivos / pastas vistos em / mnt / MyHDD estão na unidade sda na primeira partição, depois de 4 ¿? depende do que foi montado lá antes de 1.
Então você pode montar:
Espero que ajude.
Tags security encryption linux ubuntu