홈 디렉토리만 암호화하는 경우 파일 시스템의 암호화되지 않은 부분으로 정보가 유출되는 일반적인 방법은 무엇입니까? 다음과 같은 명백한 문제 외에도
- 스왑 공간
- 파일은 다음 위치에 있습니다.
/tmp
당신은 가지고 있습니까?흔한Linux 프로그램 정보 유출(거의 확실히 일반 설치의 일부)?
예를 들면 다음과 같습니다 . 모든 파일 이름이 파일의 일부 locate
에도 유출됩니다./var/lib/mlocate/mlocate.db
가장 작은Debian 또는 Arch Linux 설치.
답변1
홈 디렉토리 외에도 쓰기 가능한 데이터가 있는 세 개의 디렉토리 계층( /etc
, /tmp
및 ) 이 있습니다 /var
.
/etc
시스템 구성 파일이 포함되어 있으며 대부분은 일반적으로 민감하지 않습니다. 그러나 WiFi 비밀번호와 같은 민감한 데이터가 있을 수 있습니다./tmp
민감한 데이터가 포함될 수 있으며 거의 모든 프로그램이 임시 파일을 저장할 수 있습니다. 이 문제는 인메모리 파일 시스템( )으로 만들면tmpfs
쉽게 해결할 수 있습니다 . 이렇게 하면 해당 콘텐츠가 디스크에 저장되면 스왑 상태가 되며 암호화하려는 항목이 있으면 암호화해야 합니다./var
많은 하위 디렉토리가 있습니다. 특히:/var/tmp
와 비슷/tmp
하지만 디스크에 있어야 합니다. 거기에 쓰는 프로그램은 거의 없지만 사용되는 경우 일반적으로 대용량 파일에 사용됩니다. 누가 필요할지 예측하기 어렵기 때문에 암호화해야 합니다./var/mail
(또는/var/spool/mail
) 민감한 데이터가 포함될 수도 있고 포함되지 않을 수도 있습니다. 이는 로컬 메일을 사용하는 방법과 cron 작업의 오류 메시지에 민감한 데이터가 포함될 수 있는지 여부에 따라 다릅니다./var/spool/cups
또는/var/spool/lp
(또는 다른 변형) 인쇄 중에 임시 파일을 포함합니다. 기밀 문서를 인쇄하는 경우에도 암호화해야 합니다.- 내부의 다른 디렉터리에는
/var/spool
발신 이메일과 같은 민감한 데이터가 포함될 수 있습니다. - 민감한 정보는 시스템 로그인에 포함될 수 있습니다
/var/log
. /var/cache/locate
지적하신 대로 민감한 파일 이름이 있는 경우 이 테마 또는 그 변형이 포함될 수 있습니다/var/lib/mlocate
.
마음의 평화를 원한다면 /boot
. 오늘날 대부분의 컴퓨터는 CPU 암호화 비용이 무시할 만큼 강력하며 대부분의 배포판은 전체 디스크 암호화를 쉽게 지원할 수 있습니다.