Помимо домашних каталогов, существует три иерархии каталогов с доступными для записи данными: / etc
, / tmp
и / var
.
/ etc
] содержит файлы конфигурации системы, большинство из которых обычно не являются конфиденциальными, но там могут быть конфиденциальные данные, например пароли Wi-Fi.
/ tmp
потенциально может содержать конфиденциальные данные; практически любая программа может помещать туда временные файлы. С этим легко справиться, превратив ее в файловую систему в памяти ( tmpfs
). Таким образом, если ее содержимое когда-либо окажется на диске, оно будет в свопе, который должен быть зашифрован, если вам не все равно. о шифровании чего-либо.
/ var
имеет много подкаталогов. В частности:
/ var / tmp
похож на / tmp
, но предполагается, что он находится на диске. w программы пишут туда, но когда он вообще используется, это обычно для больших файлов. Трудно предсказать, кому это понадобится, поэтому его следует зашифровать. / var / mail
(или / var / spool / mail
) может в конечном итоге содержать конфиденциальные данные, а может и нет.Это зависит от того, как вы используете локальную почту и могут ли сообщения об ошибках из задания cron содержать конфиденциальные данные. / var / spool / cups
или / var / spool / lp
(или несколько других вариантов) содержат временные файлы во время печати. Если вы когда-нибудь распечатываете конфиденциальные документы, они также должны быть зашифрованы. / var / spool
могут содержать конфиденциальные данные, такие как исходящие электронные письма. / var / log
. / var / cache / locate
или / var / lib / mlocate
или вариациях на эту тему. Если вы хотите спокойствия, просто зашифруйте все, кроме / boot
. В настоящее время большинство компьютеров достаточно мощны, поэтому стоимость шифрования ЦП незначительна, а большинство дистрибутивов легко поддерживают шифрование всего диска.
В более общем случае вы не имеете доступа к данным из другого процесса. Можно настроить разделы общей памяти, которые, как следует из названия, используются несколькими процессами. Я не верю, что они доступны из любой оболочки, такой как bash или dash. Но доступ к обычной памяти другим процессам невозможен. Это сделано специально для безопасности.
Однако вы можете установить переменные среды, которые будут унаследованы дочерним процессом при его создании. В bash вы export
переменная для этого:
x=foo
export x
dash
echo $x