Как удалить все данные с сервера без возможности восстановления?

Question

[Александр Карпов]

Есть задача, стереть все данные на удаленном сервере (dedicated).
iLO и чего-то подобного нет. Есть доступ по SSH и вероятность того, что сервер уже может не стартануть никогда, если его рестартануть.
Миграция с сервера прошла усешно, но стоит задача удалить все данные с него, чтобы шансов на восстановление было минимум. Я решил сделать это в два этапа:

1. Удаляю каталоги, где хранятся данные которые в первую очередь нужно удалить:
rm -rf /catalog/path
2. Смотрю какой диск в корне

$ df -h
Filesystem      Size  Used Avail Use% Mounted on
/dev/sda3       150G   100G   50G  60% /

3. Запускаю
dd if=/dev/urandom > /dev/sda3 & после этого меня скорее всего выбросит из `ssh`

Насколько решение опрометчиво? Есть ли способы надежнее?
Спасибо

Answer 1

[alex1478]

Способ надёжнее простого dd по ssh:

mkdir /target
mount none -t tmpfs -o size=1G /target/
debootstrap stable /target/ https://deb.debian.org/debian/
echo "Killer_system" > /target/etc/debian_chroot
chroot /target
mount none -t proc /proc/
mount none -t sysfs /sys/
mount none -t devtmpfs /dev/
mount none -t devpts /dev/pts/
apt install openssh-server
echo "Port 11122" >> /etc/ssh/sshd_config
echo "PermitRootLogin yes" >> /etc/ssh/sshd_config
/etc/init.d/ssh start
passwd root

Теперь подключаетесь к ssh, запущенному из озу:
ssh root@<IP> -p 11122
Передёргиваем диск:

echo 1 > /sys/block/sda/device/delete
for i in /sys/class/scsi_host/host?/scan ; do echo "- - -" > $i ; done

Теперь sda станет sdb
dd if=/dev/urandom of=/dev/sdb bs=4096
В конце работы:
echo b > /proc/sysrq-trigger
Это перезапустит сервак, но он конечно уже не загрузится.

В отличии от предыдущего способа, мы 100% сможем дождаться завершения работы dd

Comments

[xmoonlight]

Переставлять полностью linux с "нуля" удалённо таким же способом тоже можно, верно?

[alex1478]

xmoonlight, Да, верно. Единственное с отключением диска: если у вас VPS, скорее всего диск там virtio (Определяется как vda) и такой способ отключения не подойдёт (и как это сделать я в своё время тоже не нашёл).

[xmoonlight]

alex1478, наверно, vds Вы имели ввиду?..

[alex1478]

xmoonlight, VPS и VDS одно и то же.

[Александр Карпов]

alex1478, спасибо за дельный пример. В этот раз я наверное воспользуюсь dd.
Во-первых centos, во вторых что-то репы недоступны и yum сума сошел (на самом деле там у нас со всем ЦОД-ом беда, возможно поэтому некоторые хосты не резолвятся от туда)

Сначала думал скачаю debootstrap , благо есть в репо, но не скачалось.
Потом прочитал, что yum сам умеет в подкаталог ставить CentOS, но что-то пошло не так у меня )))

Но я отмечу решением ваш вариант, как и вариант Рональд Макдональд . Спасибо вам)

[xmoonlight]

alex1478, Если это не v?s, а обычная нормальная хардовая "железка" (физический сервер), то такой вариант 100% сработает. Правильно?

[alex1478]

xmoonlight, да, отключение диска через /sys/block/sdX/device/delete должно работать для любого диска, который определяется как sdX

[xmoonlight]

alex1478, Понял. Спасибо!

[alex1478]

xmoonlight, если нужно, могу рассказать о некоторых подводных камнями такой переустановки системы.

[xmoonlight]

alex1478, если контактик скинете мне на почту - буду очень Вам признателен.

[alex1478]

xmoonlight, Написал

[Алексей Харченко]

alex1478, статейки нет на эту тему? Интересная тема, я бы почитал с удовольствием :)

[alex1478]

Алексей Харченко, частично я использовал эту статью https://habr.com/ru/post/321696/.
У меня была мысль написать на хабре туториал, как я по ssh менял на дедике debian от хостера на чистый debian с шифрованием диска и lvm. Но решил что это будет не интересно. Вы считаете что стоит написать?

[Алексей Харченко]

alex1478, в принципе, той статьи мне достаточно, спасибо! И у меня смутное ощущение, что я её когда-то читал, но как-то вскользь, или просто подзабыл, т.к. надобности в таких делах не возникало (надеюсь, и не возникнет, но лучше быть готовым).

[xmoonlight]

alex1478, я считаю, что нужно написать сначала к себе в блог, а уже через 2 недели - на хабр.
Ваш контент - должен работать на Вас, а не на другие площадки.
Кстати, есть блог у Вас?

[alex1478]

xmoonlight, у меня нет блога.

[xmoonlight]

alex1478, Самое время открыть с этой публикацией!

[alex1478]

xmoonlight, Спасибо

Answer 2

[Рональд Макдональд]

dd if=/dev/urandom > /dev/sda3

Давайте лучше:
dd if=/dev/zero of=/dev/sda bs=4096
Надёжнее некуда, прибьёт всё.
Ещё б ребутнуться после этого (есть вероятность, что из ssh не вышибет, кстати).

Comments

[Армянское Радио]

urandom надежнее!

[Александр Карпов]

В данном совете принципиально именно /dev/sda так? Чтоб ничего не осталось?

[Рональд Макдональд]

Александр Карпов, ага.

Армянское Радио,

urandom надежнее!

Чем? Один хрен всё затрётся. Или вы про те сказки со считыванием "электронных следов"?

[pfg21]

при всех идентичных условиях urandom затрет надежнее :)

[Рональд Макдональд]

pfg21, окей, вот два байта оригинальных данных:
0101 0010 1011 0110
Вот два байта, затёртых zero:
0000 0000 0000 0000
Вот два байта, затёртых urandom:
1001 0100 0100 0010
С чего бы вдруг urandom был надёжнее? Они одинаково испортят информацию, просто zero сделает это быстрее.

[Сергей Горностаев]

Армянское Радио, надёжнее выполнить несколько проходов, на одном их проходов затирая нулями, на другом единицами, а на третьем случайными данными. Так, например, работает стандартная виндовая утилита cipher.

[Александр Карпов]

Сергей Горностаев, Мне тоже кажется суть не меняется. Запустил zero. Параллельно открыл htop в другом ssh сеансе. Отпишусь что выйдет в итоге.

[xmoonlight]

Сергей Горностаев, почему не 2 раза случайными? Или даже 1?
Что-то где-то остаётся?

[profesor08]

Армянское Радио, Рональд Макдональд, pfg21, Александр Карпов, xmoonlight,
Давайте будем трезво смотреть на ситуацию? Что мы получим, затерев все нулями? Только нули. Что получим в результате затирания рандомными нулями и единицами? Некоторую случайную их последовательность. Но если мы имеем дело со случайностью, то у нас есть ненулевой шанс того, что часть данных может сохраниться, более того, есть крохотный шанс, что все данные сохранятся. Так что в некоторых случаях лучше не шутить с рандомом и гарантированно затереть все нулями, либо шуточным посланием.

[xmoonlight]

profesor08, по затиранию случайными - понятно.
Но почему в 2-3 прохода нужно - непонятно.

[Сергей Горностаев]

xmoonlight,

Most hard drives, have multiple layers of magnetic material to write to. So when you overwrite an area of the disk with new data, some of the old underlying data might have a chance to be around (magnetically), even though it's removed from the file table entries and there are new bytes written to that area, there are still some (expensive) methods of recovering some data (not all data, and not necessarily reliably, but a chance enough for people to try it).

To counter this paramagnetic effect, wiping utilities will overwrite the entire disk with 1's or 0's (to flip all bits on/off) and then possibly random data to ensure any underlying data is fully overwritten. It should be noted that there are various standards as to what is deemed appropriate for data removal from magnetic material by various entities.

В моей юности мне пришлось не мало пообщаться с сотрудниками отдела "К", которые утверждали, что у них есть оборудование способное частично восстанавливать данные с форматированных, перезаписанных и даже повреждённых дисков. Так что стандарты затирания данных появились не на ровном месте.

[xmoonlight]

Сергей Горностаев, раз пошла такая пьянка, я вставлю и свои 5 копеек.
Кроме изначальной инкапсуляции данных в крипт-контейнер (при новом диске!), всё остальное - уже мало поможет.
Алгоритмы микроконтроллера диска значительно поумнели и места у контроллера достаточно для запоминания цепочек часто запрашиваемых блоков, к которым был недавно запрошен доступ.
А именно: если нужно затереть - нужно немного сначала изменять существующие файлы, а не сносить сразу раздел(ы). Иначе - там всё останется в исходном виде.

[tester12]

Рональд Макдональд,

Чем? Один хрен всё затрётся.

Не факт. Современные SSD умеют сжимать данные. Миллиард нулей фактически займёт гораздо меньше гига т.е. затрётся далеко не всё. И теоретически (если вынуть диски и долго в них копаться на уровне контроллера) есть шанс добыть данные, которые пытались затереть нулями.

Вот urandom в этом смысле значительно лучше (но всё равно не 100% гарантия).

[Александр Карпов]

tester12, очень интересный аргумент

[Lord_Dantes]

tester12, минимальный шанс, так как данные которые были уже сжатыми SSD, уже будут перезаписаны и вероятность добыть их равна один на кол-во нулей которые фактически займут меньше гига.

[xmoonlight]

tester12, Александр Карпов, s l a v e, место, которое вы видите как total/всего - это лишь пользовательская область. Не забывайте про это!
Кроме - есть ещё и системная, недоступная к просмотру без спец. оборудования.

[Lord_Dantes]

xmoonlight, ну так если диск разбит правильно то данные будут перезаписаны правильно

[xmoonlight]

s l a v e, разницу между пользовательской и системной областью - понимаете?!

[Lord_Dantes]

xmoonlight, да!)

[xmoonlight]

s l a v e, значит должны понимать, что разбивка диска ни на что не влияет)

[Александр Маджугин]

Сергей Горностаев, сотрудники научились делать "sudo apt install testdisk"?
Поразительно.

[АртемЪ]

tester12,

Не факт. Современные SSD умеют сжимать данные. Миллиард нулей фактически займёт гораздо меньше гига т.е. затрётся далеко не всё

Так и есть.
Но есть один ньюанс - если записать 100Гигабайт нулей - фактически будет записано несколько килобайт, но вот эти 100Гигабайт окажутся помеченными как свободные, и с ними начнет работать сборщик мусора.
В результате через некоторое время все данные которые хранились по этим адресам будут затерты сборщиком мусора, и готовы к записи.

[Сергей Горностаев]

Александр Маджугин, testdisk помогает восстановить данные с винта, в который выстрелили из ПМ в процессе работы?

[Александр Маджугин]

Сергей Горностаев, ну вобщем - да. А как ты думашь данные востанавливают? Вынимают пластины, переставляют в специальную приблуду, а дальше какая-то магия что ли? Тот же самый testdisk. Возможно с красивым с красивым GUI интерфейсам и лейблом "Супер Востановитель Попова". Но внутри один хрен testdisk

[Александр Маджугин]

Сергей Горностаев, и да - я не очень верю, что с погнутых/разбиты блинов что-то вообще можно востановить.

[Сергей Горностаев]

Александр Маджугин, я не видел сам процесс восстановления и не исключаю, что информация была получена из других источников, но сами сотрудники уверяли, что достали его именно с простреленного насквозь диска.

[tester12]

АртемЪ,

но вот эти 100Гигабайт окажутся помеченными как свободные, и с ними начнет работать сборщик мусора.

\
Сборщик мусора начнёт работать при записи новых данных. И не нулей, а чего-то более энтропийного.

Так что если сразу после записи нулей диск отключат, изымут и начнут в нём копаться, то есть приличная вероятность, что копание приведёт к нахождению "уничтоженной" информации.

[АртемЪ]

tester12,

Сборщик мусора начнёт работать при записи новых данных.

Это на флешке ячейки подготавливаются при записи.
А на SSD сборщик мусора работает в фоновом режиме. Если нагрузка позволяет он запускается и очищает все что есть в списке.
Список формируется командой TRIM при ее наличии, при попытке записи в адреса помеченные как занятые, и.т.п.

[xmoonlight]

АртемЪ, Да я уже объяснял - бесполезно...

Answer 3

[АртемЪ]

Я бы для начала удалил критично важные данные - все что не относится к системе.
После чего забил бы все диски под завязку левыми данными - фильмы, музыка, белый шум - это гарантированно сотрет их с диска, без возможности восстановления.
После чего уже удаляете левые данные -тогда можно и систему сносить.

Comments

[Astrohas]

славо богу, хоть до кого то дошло

[Александр Маджугин]

Только если это сделать два, три раза.

[АртемЪ]

Александр Маджугин, Зачем? Достаточно одного раза, больше не надо.

[Александр Маджугин]

АртемЪ, хз - я обычный пользователь и не знаю как оно там устроено все на низком уровне, но как обычный пользователь знаю что если флэшку стереть, а потом забить под завязку файлами, то tesdisk все равно может вытащить некоторые фрагменты, а иногда и файлы целиком, которые были на ней до того как ее потерли и перезаписали. А вот если флэшка долго юзалась, то шансов уже совсем мало становится. То же и hdd.
Почти уверен что и с ssd такая же картина будет.

[АртемЪ]

Александр Маджугин, Тут надо различать HDD и SSD.
HDD гарантированно затрет все с одного раза.
SSD и флешки - не затрет, потому что пользователю попросту не доступен для записи весь объем диска.
Вы не сможете забить SSD под завязку, - только забить под завязку пользовательскую область, а служебная область останется нетронутой. И данные оттуда будут стерты только когда сборщик мусора почистит.

[Александр Маджугин]

АртемЪ, то-то с hdd все прекрасно востанавливается даже после форматирования и нескольких месяцев использования.

[АртемЪ]

Александр Маджугин,

то-то с hdd все прекрасно востанавливается даже после форматирования и нескольких месяцев использования.

А что не должно?
Форматирование это создание файловой системы - записывает над диск несколько мегабайт. Поэтому информация хранящаяся на диске при форматировании почти не повреждается.
А дальше все зависит от объема и типа записи. В HDD нет выравнивания, поэтому вполне вероятно что информация будет записываться и перезаписываться в начале диска, а в конце останется нетронутая информация, которую зачастую можно и через пару лет восстановить.

Чтобы стереть информацию ее нужно - перезаписать.
Взять и записать на место этой информации другую информацию. Один раз, этого достаточно. И это гарантированно уничтожает информацию.

[Александр Маджугин]

логично

Answer 4

[pfg21]

shred nwipe bleachbit

Answer 5

[Karpion]

Нормальные провайдеры хостинга - бэкапят данные юзеров. Так что там наверняка есть (должен быть) бэкап, который Вы не сотрёте в принципе.

Как правило, на хостинге есть возможность переустановить систему с нуля. Имеет смысл так и сделать, причём установить её в маленький раздел, чтобы только она и влезла. Тогда будут перезаписаны почти все секторы этого раздела.
Затем затираем свободное пространство диска. И на всякий случай - затираем раздел с системой.

PS: Вот ещё одна причина ставить систему в один раздел, а данные держать в другом разделе.

Comments

[АртемЪ]

Нормальные провайдеры хостинга - бэкапят данные юзеров.

Такое бывает только на хостинге, или VDS.
Но никак не на дедике.

Answer 6

[Germanjon]

1. Можно пробежаться командами shred (для файлов) и wipe (для папок) по важным данным, которые хотите гарантированно грохнуть, а вот остальное действительно делать незачем.
2. Можно прописать dd в crontab, чтобы он выполнился в определённое время.
3. Можно прописать dd в .bash_logout, чтобы он выполнился, когда вы выйдете из консоли (например, завершится сеанс ssh).
4. Можно создать service, удаляющий все данные, сделать его активным в режиме перезагрузки/выключения и отправить сервер в ребут, из которого он не вернётся.

Answer 7

[Alexey Dmitriev]

Что мешает удалить с сервера все критические данные и любым wiper очистить свободное место?
В чем смысл удалять полностью? Оставьте рабочую ОС - в вычищенной системе не останется ничего секретного-кроме хешей паролей root и т.п.

Answer 8

[mayton2019]

Автор правильно написал в первом посту.
dd if=/dev/urandom > /dev/sda3
Запись рандомного шума лучше чем любые фильмы. И быстрее.
Можно добавить через точку с запятой последовательность диск-дубликаций для всех дисков в системе.

dd if=/dev/urandom > /dev/sda1 ; dd if=/dev/urandom > /dev/sda2 ; dd if=/dev/urandom > /dev/sda3

Выбросит или нет из ssh уже не имеет значения. 3 команды пошли в исполнение.

Answer 9

[Александр Маджугин]

Если диск вашего сервера поддерживаем OPAL - просто смените пароль. Если нет и он удаленный - у вас нет надежного способа уничтожить данные на нем.
В принципе то что вы собираетесь сделать сработает. И даже из ssh вас не выкинет скорее всего. С чего бы?
Но как правильно заметил Alexey Dmitriev нет смысла стирать все - лучше стереть только важное. Правильное решене у АртемЪ - забить диск данными до отказа, но только после этого еще раз стереть мусор и еще раз забить до отказа. Повторить раза 3-4 это даст больше уверенности что данные нельзя будет востановить чем просто dd.
Но нет никаких гарантий что у хостера не осталось резервных копий :)