2 votes

Peut la ramdisk de macOS être échangée sur le disque par le système d'exploitation ?

Je veux créer un système de provisionnement secret qui, lors du déploiement, décrypte les secrets sur la machine cible et les place en RAM. Ils devraient être accessibles en tant que fichier afin que les services sur la même machine puissent les ouvrir

Sous Linux, il existe un système de fichiers appelé ramfs qui ne sera jamais échangé sur le disque. Sous macOS, il semble n'y avoir qu'un ramdisk. Ce ramdisk est-il échangé sur le disque par le système d'exploitation (ce qui placerait les données secrètes sur le disque) ?

0 votes

Quelle commande utilisez-vous pour créer un ramdisk?

0 votes

Veuillez expliquer votre modèle d'utilisation d'un disque RAM. Comment prévoyez-vous de l'utiliser, quelle sera sa taille et pourquoi voudriez-vous le copier sur un disque ? Franchement, nous ne les voyons tout simplement pas beaucoup utilisés de nos jours. Ils étaient utiles pour les vitesses extrêmes et les données jetables. Ou comme espace de cache où les données n'étaient pas importantes. Les lecteurs SSD / PCIe NVMe d'aujourd'hui sont tellement rapides qu'il n'a guère de sens d'exécuter un disque RAM.

0 votes

Il serait possible de créer un script pour sauvegarder les données d'un disque RAM.

2voto

Zabba Points 26372

Depuis macOS High Sierra 10.13.x, la mémoire virtuelle "swapfile(s)" est cryptée même si le chiffrement du disque FileVault2 est désactivé. Évidemment, je testerais cette théorie et examinerais tout rapport CVE pour la valider.

https://support.apple.com/guide/mac-help/what-is-secure-virtual-memory-on-mac-mh11852/mac

Vous pourriez vous gratter l'oreille gauche avec votre main droite de manière compliquée. Envisagez de créer un trousseau supplémentaire et d'utiliser celui-ci à la place. C'est bien plus sécurisé et c'est précisément ce pour quoi les trousseaux sont conçus. Ils sécurisent des secrets.

Documentation API développeur: https://developer.apple.com/documentation/security

Ligne de commande (script) : man security

1voto

Old Pro Points 5634

Oui, les disques RAM créés par hdiutil sont dans une mémoire ordinaire et échangeable. Vous pourriez trouver un autre moyen de verrouiller la mémoire, mais les outils d'Apple ne prennent pas en charge la création d'un disque RAM avec de la mémoire câblée. J'ai trouvé une documentation disant que hdiutil pourrait le prendre en charge de façon détournée, mais j'ai testé et j'ai constaté que dans Catalina 10.5.6, le noyau ne l'autorisera pas.

Si vous craignez qu'un secret en mémoire soit écrit sur le disque via l'échange, vous devrez trouver une autre solution.

LesApples.com

LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.

Powered by:

X