최근 업데이트 후 Debian Buster를 다시 시작하고 비밀번호를 포함하여 이전에 복사하여 붙여넣은 로그가 있다는 사실에 충격을 받았습니다. 이런 건 RAM에만 존재해야 하는 것 아닌가요?
빠른 검색을 통해 일종의 재정의가 있을 수 있음을 알 수 있습니다.
https://www.reddit.com/r/linux/comments/1134lcm/clipboard_just_got_an_update_that_makes_copying/
이에 대해 어떤 조치를 취했고 보안 위험을 완화하는 방법을 아는 사람이 있습니까?
답변1
이런 건 RAM에만 존재해야 하는 것 아닌가요?
솔직히 왜 그런지 이해가 안 돼요! 클립보드 내용이 저장되는 위치는 대체로 사용자가 신경 쓸 필요가 없는 구현 세부 사항입니다. :)
이렇게 생각해보세요. 클립보드에 있으면 클립보드에 접근할 수 있는 모든 프로그램이 이를 얻을 수 있습니다. 이러한 클립보드 관리자가 수행하는 작업은 모든 프로그램에서 수행할 수 있습니다.
따라서 보안이 변화하고 있음을 이해할 수 있습니다. 유일한 차이점은 귀하의 컴퓨터에 물리적으로 접근할 수 있는 사람(예: 노트북을 훔친 후)이 귀하가 Comment에 로그인하지 않고도 디스크에서 읽을 수 있다는 것입니다. 이제 이런 종류의 표적 도난으로 인해 얼마나 많은 위험에 직면했는지에 대한 개인적인 평가는 이 답변을 읽는 제임스 본드에게 맡길 것입니다. 그러나 이는 보안 위험입니다.
데비안에서 사용하는 데스크탑 환경에 따라 그놈 쉘, 플라즈마 등에 대한 다른 클립보드 관리자 플러그인을 얻을 수 있으므로 저장 방법이 다릅니다.
귀하의 Reddit 게시물이 링크된 클립보드 프로그램은 많은 프로그램 중 하나일 뿐이며 저는 본 적이 없습니다. 데비안은 그것을 패키지화하지도 않습니다!
어쨌든, 그렇습니다. 복사하여 붙여넣은 비밀번호는 어느 시점에는 영구적으로 저장될 가능성이 높습니다. 재미있는 사실: 성공적인 로그인 후 귀하가 누구인지 증명하기 위해 귀하의 브라우저가 사용하는 쿠키도 마찬가지이며, 이러한 쿠키는 즉시 유용하며, 언론인들이 수상한 인터넷 포럼에 들어가 그러한 세션을 위해 악성 코드 추출 키트를 구입한 기록이 있습니다. 수백 명의 사용자로부터 쿠키를 수집한 사례.
그러나 전원이 꺼진 컴퓨터에 물리적으로 접근할 수 있는 사람이 클립보드 내용(및 세션 쿠키)을 추출하는 위험을 줄이려면 저장소 암호화(일반적으로 설치 시 설정되는 전체 디스크 암호화)를 사용하도록 선택해야 합니다. (데비안 설치 프로그램을 올바르게 기억한다면, 데비안 설치 프로그램에서 설치할 대상 장치를 선택할 때 "암호화된 LVM" 옵션이 있습니다). 글쎄, 전원이 꺼진 컴퓨터를 훔친 사람은 아무것도 얻지 못할 것입니다. 왜냐하면 그들은 여전히 데이터를 이해하는 데 필요한 스토리지 암호 해독 비밀을 모르기 때문입니다.
답변2
이것은 적어도 Fedora 37의 XFCE에서 작동합니다(다른 것들 중에서 /var/tmp
) tmpfs
. 다른 DE/클립보드 애플리케이션/배포판에는 다른 접근 방식이 필요할 수 있습니다. 이렇게 하면 XFCE 클립보드 기록( /var/tmp/xdgcache-birdie/xfce4/clipman
)이 재부팅/정전 주기 동안 보존되지 않습니다.
$ cat /etc/profile.d/xdg_cache_in_var_tmp.sh
# could be more paranoid, and not accept any previously defined XDG_CACHE_HOME
if [ -z "${XDG_CACHE_HOME}" ] ; then
XDG_CACHE_HOME="/var/tmp/xdgcache-${USER}"
export XDG_CACHE_HOME
fi
if [ -d "${XDG_CACHE_HOME}" ]; then
# verify existing dir is suitable
if ! `test -G "${XDG_CACHE_HOME}" -a -w "${XDG_CACHE_HOME}"` ; then
# else, make a new/secure one with mktemp
XDG_CACHE_HOME="$(mktemp -d ${XDG_CACHE_HOME}-XXXXXX)"
export XDG_CACHE_HOME
fi
else
mkdir -p "${XDG_CACHE_HOME}"
fi