在最近的更新后,我很震惊地重新启动 Debian Buster,发现有以前复制和粘贴的日志,包括密码。这种东西不是应该只存在于 RAM 中吗?
快速搜索表明可能存在某种重写:
https://www.reddit.com/r/linux/comments/1134lcm/clipboard_just_got_an_update_that_makes_copying/
有谁知道他们对此做了什么以及如何减轻安全风险?
答案1
这种东西不是应该只存在于 RAM 中吗?
老实说我不明白为什么!剪贴板内容的存储位置很大程度上是一个实现细节,希望没有用户需要关心:)
这样想:如果它在剪贴板上,那么任何具有剪贴板访问权限的程序都可以获取它。这些剪贴板管理器所做的事情,任何程序都可以做。
因此,在这里我可以理解您看到安全性的转变,唯一的区别是能够物理访问您的计算机的人(例如在偷了您的笔记本电脑后)可以在您未登录的情况下从磁盘读取评论。现在,我将把你个人面临这种有针对性的盗窃的风险有多大的评估留给詹姆斯·邦德阅读这个答案,但这是一个安全风险。
根据您在 debian 上使用的桌面环境,这些内容的存储方式会有所不同,因为您可能会获得不同的剪贴板管理器插件,用于 gnome shell、plasma 等。
你的 Reddit 帖子链接到的剪贴板程序只是众多剪贴板程序之一,我从未见过它。 Debian 甚至没有打包它!
所以,无论如何,是的,您复制和粘贴的密码很可能会在某个时刻被永久存储。有趣的事实:您的浏览器在成功登录后用来证明您就是您的 cookie 也是如此,并且这些 cookie 立即有用,并且有记录的记者进入阴暗的互联网论坛并购买此类会话的恶意软件提取包的案例从数百名用户收集的 cookie。
但是,为了降低剪贴板内容(和会话 cookie)被对您未通电的计算机进行物理访问的人提取的风险,您会选择使用存储加密 - 通常是在安装时设置的全磁盘加密。 (如果我没记错 debian 安装程序,在 debian 安装程序中选择安装目标设备时有一个“加密 LVM”选择)。那么,窃取您未通电的机器的人将一无所获,因为他们仍然不知道理解您的数据所需的存储解密秘密。
答案2
这至少适用于 Fedora 37 下的 XFCE(其中/var/tmp)tmpfs,其他 DE/剪贴板应用程序/发行版可能需要不同的方法。这样,XFCE 剪贴板历史记录 ( /var/tmp/xdgcache-birdie/xfce4/clipman) 就无法在重新启动/断电周期中保存下来。
$ cat /etc/profile.d/xdg_cache_in_var_tmp.sh
# could be more paranoid, and not accept any previously defined XDG_CACHE_HOME
if [ -z "${XDG_CACHE_HOME}" ] ; then
XDG_CACHE_HOME="/var/tmp/xdgcache-${USER}"
export XDG_CACHE_HOME
fi
if [ -d "${XDG_CACHE_HOME}" ]; then
# verify existing dir is suitable
if ! `test -G "${XDG_CACHE_HOME}" -a -w "${XDG_CACHE_HOME}"` ; then
# else, make a new/secure one with mktemp
XDG_CACHE_HOME="$(mktemp -d ${XDG_CACHE_HOME}-XXXXXX)"
export XDG_CACHE_HOME
fi
else
mkdir -p "${XDG_CACHE_HOME}"
fi