Baustelle/Shell/shred überschreibt Dateien und löscht sie danach, wenn gewünscht. Im Gegensatz zu Dateien, die mit rm gelöscht wurden können Dateien die mit shred überschrieben und gelöscht worden sind, selbst mit forensischen Mitteln, nichtmehr wiederhergestellt werden. Shred arbeitet dabei mit der Gutmann-Methode .
Anmeldungsdatum: Beiträge: 2521 |
|
Anmeldungsdatum: Beiträge: 137 |
Hi Adna rim, weil shred nur funktioniert, wenn das Dateisystem nicht im Journalingmodus ist, ist es vielleicht sinnvoll den entsprechenden Abschnitt aus Tuning in einen eigenen Artikel auszugliedern und darauf verweisen. Grüße, abx. |
(Themenstarter)
Anmeldungsdatum: Beiträge: 2521 |
Glaub ich nicht. Der Tuning-Artikel beschäftigt sich nur mit ext2,3. Aber es gibt viel viel mehr Journaling-Dateisysteme wie Reiserfs, NTFS,... und man kann das nicht in jedem einfach abschalten. Das ist viel mehr ein Sonderfall von ext3. greets |
Anmeldungsdatum: Beiträge: 8691 Wohnort: Hamburg-Altona |
Ganz so einfach mit Journaling/Nicht-Journaling ist das aber nicht. Zum einen gibt es Journaling-Modes, wo nur Metadaten und keine eigentlichen Inhalte im Journal gespeichert werden. (Bei ext3 afaik Standard.) Außerdem liegt das Journal an einer bestimmten Stelle auf der Festplatte, die daher sehr häufig überschrieben wird. Meiner technisch relativ unfundierten Meinung nach ist deshalb die Wahrscheinlichkeit zwar gegeben, dass sich später Teile der gelöschten Daten aus dem Journal rekonstruieren lassen, aber trotzdem ist shred nicht komplett wirkungslos, insbesondere wenn man große Mengen shredded. Im Gegensatz dazu kann man aber mit der geeigneten technischen Ausrüstung u.U. auch bei nicht-journal Dateisystemen noch Daten rekonstruieren. Moderne Flashspeicher benutzen z.B. ihre eigene interne Organisation der Daten. Da jede Speicherzelle eines Flashspeichers nur eine bestimmte Menge an Schreibvorgängen verkraftet, organiseren insbesondere Solid State Disks und andere teure Flash-Geräte ihre Daten bei jedem Schreibvorgang um, um den kompletten Speicher gleichmäßig abzunutzen. Überschreibst du also einen bestimmten Block mehrmals, so wird jedesmal ein anderer Block überschrieben und die interne Adressierung jeweils geändert. Der ursprüngliche Block bleibt aber in den allermeisten Fällen unangetastet. Auch herkömmliche Festplatten haben ihre eigene interne Adressierung und ersetzen z.B. defekte Sektoren transparent durch andere. In so einem defekten Sektor könnten Teile der ursprünglichen Inhalte erhalten bleiben. Abgesehen davon würde ich noch ergänzen, dass man auch ganze Devices shredden kann. |
(Themenstarter)
Anmeldungsdatum: Beiträge: 2521 |
hmm magst du vielleicht die Hinweis-Box dementsprechend ausbauen, so dass es ein normaler User noch versteht? Ich schreibe gerade noch einen Artikel über wipe. Dessen komplette erste Hälfte der Man-Pages genau diese Problematik erklärt. Flash-Speicher ist doch relativ ungewöhnlich, die meisten benutzen ja normale Magnet-Festplatten, aber das sollte man dann auch besser erklären. Wobei bei wipe auch extra drin steht, dass es nur auf Magnet-Festplatten sinnvoll benutzt werden sollte. greets |
Ehemaliger
Anmeldungsdatum: Beiträge: 28954 Wohnort: WW |
Hallo, otzenpunk hat recht, Journaling ist nicht gleich Journaling, wobei es IMHO reicht wenn wir wüßten, ob es mit ReiserFS und ext3 vernünftig funktioniert (oder nicht...), dass sind ja die gängigsten. Der Einwand mit SSD ist gut, weil SSD IMHO in der Zukunft verstärkt Einzug findet, Vorreiter ist z.B. der eeePC. Die Frage ist halt: Ist der Artikel für "normal Nutzer", die ihre Daten "nur" sicher vor anderen "normalen Nutzer" schützen wollen, oder soll der Artikel auch vor forensischen Analysen in spezialisierten Labors schützen? Gruß |
(Themenstarter)
Anmeldungsdatum: Beiträge: 2521 |
Ich würde letzteres bevorzugen, nach dem Wahlspruch: "Wenn, dann richtig" 😉 . Ich werd mich morgen da mal richtig schlau machen, muss jetzt off und noch was lernen, schreib morgen ne Klausur... |
Anmeldungsdatum: Beiträge: 8691 Wohnort: Hamburg-Altona |
Adna rim hat geschrieben:
Wüsste nicht, wie das gehen sollte. Ist eben nicht gerade ein einfaches Thema. Ich hab mich nur zufällig vor ein paar Tagen durch die entsprechenden Wikipedia-Seiten gelesen (insbes. Solid_State_Drive#Flash-Besonderheiten), weil ich die Festplatte in meinem Router jetzt gerade durch Disk-On-Chip ersetze.
Noch. Aber im Eee-PC ist z.B. schon eine Flash-Platte drin. |
(Themenstarter)
Anmeldungsdatum: Beiträge: 2521 |
Also ich habe mich ein bischen informiert. ext3 bietet drei Stufen:
writeback und ordered erstellen nur Metadaten im Journal und der journal-Modus erzeugt ein richtiges Journal. Standardmässig denke ich ist journal aktiviert, weil ich gelesen habe, dass ich auf writeback oder ordered manuell umstellen soll um kein journal zu haben. Allerdings bietet ext3 auch einen Vorteil:
Ein einmaliges Überschreiben hilft aber nicht bei forensischen Untersuchungen.... ReiserFS erstellt immer ein Meta-Journal. Also was haltet ihr von dem hier als Hinweis im shred- und wipe-Artikel? :
|
Anmeldungsdatum: Beiträge: 8691 Wohnort: Hamburg-Altona |
Adna rim hat geschrieben:
Klingt wie ein Widerspruch für mich.
Allerdings landen die shred-Schreibzugriffe natürlich auch im Journal und überschreibt damit frühere Journaldaten. Wie hoch dann die Wahrscheinlichkeit ist, dass noch was wichtiges im Journal unangetastet bleibt, hängt dann von der Menge der geshreddeten Daten ab.
Das ganze Device zu shredden löst auf jeden Fall das Journal-Problem, und auch bei SSDs sollte spätestens nach ein paar Durchläufen jede Speicherzelle mindestens einmal dran gewesen sein. |
(Themenstarter)
Anmeldungsdatum: Beiträge: 2521 |
Hi, $ dmesg | grep 'EXT3-fs' [ 4.852000] EXT3-fs: mounted filesystem with ordered data mode. [ 279.052000] EXT3-fs: mounted filesystem with ordered data mode. [ 279.084000] EXT3-fs: mounted filesystem with ordered data mode.
Ja wenn man die ganze Partition über die Device-File shredded ist auch das Journal weg. Bei SSD's hängt es halt vom Zufall ab. Grob gesehen müsste bei einer korrekten Funktionsweise und Implementation spätestens nach dem zweiten Shredden der ganzen Festplatte jeder Block einmal dran gewesen sein. Fraglich ist jedoch wie oft bei einer SSD ein Block überschrieben werden muss damit selbst mit forensischen Mitteln der ursprüngliche Inhalt nichtmehr wieder herzustellen ist? Ob es da wohl schon Wissen drüber gibt. Flash ist ja recht neu...zumindest für den Endverbraucher-Otto-Normal-PC-Nutzer. Hab den Text mal abgeändert:
greets |
Ehemaliger
Anmeldungsdatum: Beiträge: 28954 Wohnort: WW |
Hallo, IMHO ist der Text ok. Und vielleicht FAT32 noch bei den non-Journal Dateisystemen dazu nehmen. Gruß |
(Themenstarter)
Anmeldungsdatum: Beiträge: 2521 |
So ich habe den Shell/shred-Artikel soweit fertig. Jetzt werde ich den wipe-Artikel fertig machen, doch habe entdeckt, dass wir im Wiki einen Artikel haben: Daten löschen. Wie soll ich den Aufbau machen von shred,wipe und diesem general-Artikel? Shred und Wipe nur drin verlinken oder einen einheitlichen Artikel? greets |
(Themenstarter)
Anmeldungsdatum: Beiträge: 2521 |
Okay ich hab den Artikel Baustelle/Daten löschen umgeschrieben, jetzt sollte alles passen. greets |
Ehemaliger
Anmeldungsdatum: Beiträge: 28954 Wohnort: WW |
Hallo, in Baustelle/Daten löschen solltest du auf jeden Fall Shell/rm erwähnen, weil dass ja nun mal die gängisten Methode zum einfachen Löschen ist. Ansonsten ist alle IMHO ok. Gruß |