--- title: Основы Linux. Безопасное стирание дисков АТА. tags: Преподавание в МИРЭА description: Практические работы --- # Безопасное стирание дисков АТА **Цель работы** * Научиться безопасному стиранию информации с жестких дисков, функция переписывает все данные на диске в Linux. **Защита практической работы:** * Рассказать, что такое безопасному стиранию, продемонстрировать; * Предоставить отчёт со скриншотами; * Ответить на вопросы. Начиная с 2000 года диски РАТА и АТА реализуют команду “безопасного стирания”, которая переписывает все данные на диске, используя метод, разработанный производителями для защиты от несанкционированного извлечения информации. Безопасное стирание сертифицировано Национальным институтом стандартов и технологии (NIST) и в большинстве случаев вполне удовлетворяет пользователей. По классификации Министерства обороны США, оно одобрено к использованию на уровне конфиденциальности ниже, чем “секретно”. ## Зачем вообще нужна такая функциональная возможность? * Во-первых, файловые системы сами ничего не стирают, поэтому команды вроде rm -rf* оставляют данные, находящиеся на диске, нетронутыми и допускают их восстановление с помощью специальных программ. При ликвидации дисков об этом очень важно помнить, чтобы конфиденциальная информация попала в мусоросборник, а не на аукцион eBay. * Во-вторых, даже неавтоматическая запись каждого сектора на диске может оставлять магнитные следы, которые злоумышленник может выявить в лаборатории. Безопасное стирание переписывает данные столько раз, сколько нужно для того, чтобы уничтожить побочные сигналы. Остаточные магнитные сигналы для большинства организаций не составляют большой проблемы, но всегда полезно знать, что вы защищены от разглашения конфиденциальных данных организации. * В заключение, безопасное стирание делает накопители SSD абсолютно пустыми. Это позволяет повысить их производительность в ситуациях, в которых нельзя использовать команду TRIM в стандарте АТА (команду для стирания блока) либо потому, что файловая система, используемая на накопителе SSD, не способна ее выполнить, либо потому, что накопитель SSD присоединен через адаптер компьютера или интерфейс RAID, которые не пропускают команду TRIM. :::warning К сожалению, поддержка команды безопасного стирания диска в системе UNIX остается слабой. С этой точки зрения для очистки накопителей их лучше переключить в систему Windows или Linux. ::: ## Стирание дисков ### В системе Linux можно использовать команду hdparm 1. проводим установку `apt install hdparm`.  2. Требуется установить пароль безопасности (это обязательно для безопасного удаления диска)`$ sudo hdparm --user-master u --security-set-pass [ваш пароль] /dev/sda`  3. Запустите `$ sudo hdparm --user-master u -security-erase password /dev/sda` для безопасного удаления диска  Команда безопасного стирания в стандарте АТА не имеет аналогов в стандарте SCSI, но команда “форматировать модуль” в стандарте SCSI, описанная выше, представляется вполне разумной альтернативой. Другой возможностью является обнуление секторов с помощью команды `dd if=/dev/sdb of=sdb bs=8k`.  :::info Многие системы имеют утилиту shred, которая выполняет безопасное стирание отдельных файлов. К сожалению, ее работа основана на предположении, что блоки файлов могут быть перезаписаны на том же месте. Однако во многих ситуациях это условие не выполняется (в частности, это относится к любым файловым системам на любых накопителях SSD, любым логическим томам, имеющим механизм мгновенных копий, и,возможно, ко всей файловой системе ZFS), поэтому полезность универсальной утилиты shred вызывает сомнения. ::: Для очистки всей дисковой системы на персональном компьютере существует программа Darik’s Boot and Nuke ( dban.org ). Этот инструмент запускается со своего загрузочного диска, поэтому он не используется каждый день. Тем не менее он довольно удобен для вывода из эксплуатации старого аппаратного обеспечения. ### Команда hdparm: параметры диска и интерфейса (Linux) :::info В системе Linux команда hdparm имеет немного больше возможностей, чем команды безопасного стирания. Обычно она используется для взаимодействия со встроенными программами жестких дисков SATA, IDE и SAS. Помимо прочего, команда hdparm может устанавливать настройки электропитания накопителя, включать или отключать подавление шумов, устанавливать флаг “только для чтения” и распечатывать информацию о накопителе. Некоторые из этих опций относятся и к накопителям SCSI (в современных ядрах системы Linux). ::: Синтаксис этой команды выглядит следующим образом:`$ hdparm [параметры] накопитель` **Параметры команды hdparm , полезные для системных администраторов** | Параметр| Функция | | -------- | -------- | | -I | Выдает много идентифицирующей информации и данных о состоянии накопителя | | -M | Устанавливает акустические параметры | | -S | Устанавливает временную задержку для режима ожидания (замедление вращения) | | -Y | Немедленно переводит накопитель в режим ожидания | | -C | Посылает запросы о текущем состоянии системы управления электропитанием накопителя | | -T | Быстро тестирует полосу пропускания интерфейса (без реального чтения диска) | | -t | Быстро тестирует скорость считывания данных с пластины в компьютер | Для того чтобы проверить, что каждое устройство работает в максимально быстром режиме DMA, следует использовать команду `hdparm -I`. Команда `hdparm` перечисляет все поддерживаемые модели дисков и помечает их текущий режим звездочкой, как в примере: `$ sudo hdparm -I /dev/sda` ``` dev/sdf АТА device, with non-removable media Model number: WDC WD1001FALS-00J7B0 Serial Number: WD-WMATV0998277 Firmware Revision: 05.00K05 Transport: Serial, SATA 1.0a, SATA II Extensions, SATA Rev 2.5 Capabilities: LBA, IORDY (can be disabled) Queue depth: 32 Standby timer values: spec'd by Standard, with device specific minimum R/W multiple sector transfer: Max = 16 Current =16 Recommended acoustic management value: 128, current value: 254 DMA: mdma0 mdma1 mdma2 udma0 udma1 udma2 udma3 udma4 udma5 *udma6 Cycle time: min=120ns recommended=120ns PIO: pio0 pio1 pio2 pio3 pio4 Cycle time: no flow control=120ns IORDY flow control=120 ns ``` Во всех современных системах оптимальный режим DMA устанавливается по умолчанию. Если это не так, проверьте систему BIOS и журналы ядра для поиска информации, которая поможет понять причины. :::info Многие накопители предлагают управление акустическим режимом, позволяя замедлять движение считывающих головок и уменьшать громкость тиканья и звуковых импульсов. Накопители, поддерживающие такую возможность, обычно поставляются с уже включенным механизмом управления акустическим режимом, но это иногда не важно для накопителей, установленных в серверной комнате. Для того чтобы отключить эту возможность, следует выполнить команду `hdparm -М 254`. ::: Большая часть электроэнергии, потребляемой накопителем, расходуется на вращение пластин. Если ваши диски используются редко и вы имеете возможность установить задержку на 20 с или управлять повторным запуском двигателя дисков, выполните команду `hdparm -S`, чтобы включить возможность внутреннего управления электропитанием дисков. * Аргумент `-S` задает время простоя, после которого накопитель переходит в режим ожидания и отключает двигатель. Эта величина занимает один байт, поэтому кодирование представляет собой нелинейную задачу. Например, значения от 1 до 240 умножаются на 5 секунд, а значения от 241 до 251 — на 30 минут. В ходе выполнения команда `hdparm` демонстрирует свою интерпретацию этого значения. Его проще угадать, подобрать и повторить, чем определить, точно следуя правилам кодирования. Команда `hdparm` предусматривает простой тест производительности накопителя, позволяющий оценить влияние изменений конфигурации. * Параметр `-Т` означает считывание данных из кеша накопителя и выдачу скорости передачи данных по шине, не зависящую от пропускной способности физических устройств накопителя. * Параметр `-t` означает считывание с пластин. Как и следовало ожидать, считывание с пластин происходит намного медленнее. `$ sudo /sbin/hdparm -Tt /dev/hdb` ``` /dev/sdf: Timing cached reads: 2092 MB in 2.00 seconds = 104 6.41 MB/sec Timing buffered disk reads: 304 MB in 3.00 seconds = 101.30 MB/sec ``` Скорость, равная 100 Мбайт/с, близка к максимальному пределу современных накопителей емкостью 1 Тбайт, так что эти результаты (и информация, приведенная выше при иллюстрации команды hdparm -l) подтверждают, что накопитель настроен правильно.