En Linux, los archivos pueden borrarse pero aún así ser recuperables. Esto es lo que debes hacer cuando quieres que se pierdan para siempre.
El comando rm hace que los archivos desaparezcan fácilmente de nuestros listados de archivos, pero ¿qué es lo que realmente hace y cómo podemos garantizar que los archivos no sean recuperables? Veamos….
1. Qué sucede al eliminar un archivo en Linux
Para comprender qué sucede cuando elimina un archivo de un sistema Linux con rm, primero piense en los inodos, esas intrigantes estructuras de datos que hacen un seguimiento de todos los atributos de un archivo (a menudo llamados “metadatos”) que lo describen. Esto incluye su nombre, su propietario y grupo, qué permisos se han establecido y dónde se puede encontrar el contenido del archivo en el disco.
Luego, piense en los directorios de Linux. Si bien toman la apariencia de las carpetas (es decir, simplemente contenedores para almacenar archivos), en realidad son archivos en sí mismos, archivos que incluyen solo los nombres y los números de inodo de los archivos que “contienen”. Entonces, lo que obtenemos es una forma conveniente de pensar en directorios y archivos de la misma manera que podrías pensar sobre las carpetas y el papeleo en archivadores.
El contenido de tus archivos en realidad está almacenado, a menudo en fragmentos, en cualquier parte de tu disco. Por lo tanto, cuando eliminas un archivo, el inodo del archivo se libera y el (archivo) directorio se ajusta para eliminar sus referencias al archivo que acaba de eliminar. Los datos del archivo seguirán almacenados en ubicaciones de disco que eventualmente estarán disponibles para su reutilización.
2. Cómo y cuándo eliminar/destuir archivos de Linux
La mayoría de las veces, es probable que no importe que el contenido de los archivos borrados permanezca en tu disco. A menudo son archivos que ya no necesitas: documentos semanales del mes pasado, versiones anteriores de scripts que desde entonces han sido reemplazados por otros mejores, etc. Cuando sí importa, hay una serie de herramientas que puedes usar para reducir la posibilidad de que alguien más las recupere.
3. Herramientas de eliminación de archivos
3.1. shred
El comando shred sobrescribirá un archivo y, opcionalmente, lo eliminará también. La sobrescritura asegurará que los bloques de datos que contienen el contenido anterior ahora tengan un contenido diferente.
Observa cómo, de manera predeterminada, el contenido se superpone en múltiples pasadas (passes). Las opciones que se utilizan a continuación incluyen z (agrega una sobrescritura final con ceros), v (verbose: para visualizar lo que está sucediendo) y u (truncar y, a continuación, eliminar el archivo una vez finalizada la sobrescritura). Esto supone una sobreescritura a fondo del contenido del archivo.
shred -zvu 
3.2. wipe
Wipe funciona contra algo llamado “magnetic force microscopy” que permite que otros recuperen las dos o tres últimas “capas” de datos que podrían haber sido grabadas en tu disco, pero funciona solo con medios magnéticos y no todos los discos califican.
Puede determinar qué tipo de disco tiene tu sistema y si el borrado puede funcionar con ellos mirando la salida del siguiente comando: donde 0 = SSD y 1 = HDD (disco duro)
cat /sys/block/sda/queue/rotational
El comando wipe borra de forma segura los archivos de la memoria magnética y, por lo tanto, hace imposible recuperar los archivos eliminados o el contenido del directorio .
Primero, necesitas instalar la herramienta wipe así que ejecuta el siguiente comando:
apt-get install wipe
yum install wipe El siguiente comando destruirá todo bajo el directorio Imágenes.
wipe -rfi Imágenes/*
En este ejemplo,
- r hace un borrado recursivo de un directorio
- f evita tener que confirmar el borrado de cada archivo
- i hace que la orden se ejecute detalladamente (piense en esto como “i” de “informativo“).
3.3. secure-delete
Otra herramienta para la eliminación de archivos de manera segura se denomina “secure-delete“, aunque el comando que el paquete agregará a tu sistema se llama srm — es decir, “secure rm”.
- Instalación de secure-delete:
sudo apt-get install secure-delete
sudo yum install secure-delete Aquí hay un ejemplo del uso de esta herramienta:
srm -vz 
Tenga en cuenta cuántas pasadas (passes) se realizaron para garantizar la eliminación segura del archivo.
4. Comprobar la eliminación de archivos
Dado que hay varias opciones para eliminar archivos de forma segura de los sistemas Linux, decidí ejecutar una prueba simple: hacer varias copias del mismo archivo y eliminarlas de forma segura con cada una de las tres herramientas mencionadas anteriormente. Utilicé una herramienta llamada foremost para tratar de recuperar archivos del mismo tipo de la partición afectada.
apt-get install foremostEjemplo de uso:
shred -zvu imagen1.png
wipe -fi imagen2.png
srm -vz imagen3.pngforemost -i /dev/sda1 -t png -o /root/geek
El comando foremost tarda varios minutos en ejecutar y puede encontrar una cantidad excesiva de archivos. En cualquier caso, un punto para recordar es que los archivos extraídos de tu disco durante un proceso de recuperación no tendrán sus nombres originales, ya que se perdieron cuando el archivo de directorio afectado se modificó junto con la eliminación del archivo. En cambio, tus archivos recuperados tendrán nombres como 2865515280.png.
El comando foremost tiene opciones para seleccionar el tipo de archivo que deseas recuperar (incluido “all” —todos). Verifica la página de manual para más detalles. Y tenga en cuenta que no puedes limitar tu búsqueda a un directorio en particular porque, en este punto, los directorios ya no son relevantes.
man foremostPuede que te guste saber que no detecté ningún archivo imagen.png en mis archivos recuperados.
5. Conclusión
Si estás inclinado a experimentar la trituración, borrado o eliminación segura de archivos de un sistema y luego usar una herramienta como foremost para ver qué se puede recuperar, considera recuperar los archivos en medios separados o al menos no simplemente eliminar los archivos cuando has terminado de examinarlos porque sino duplicarás la cantidad de archivos que recuperarás durante tu siguiente experimento.
Los archivos recuperados son independientes de los archivos originales aunque tengan el mismo contenido.
¡No olvides compartir el artículo! :’)
