Quiero crear un secreto sistemas de aprovisionamiento que en el despliegue descifra secretos en la máquina de destino y los puso en la memoria RAM. Deben ser accesibles como archivos para que los servicios en la misma máquina puedan abrirlos.
En Linux existe un sistema de archivos llamado ramfs que nunca será intercambiado a disco. En MacOS parece haber sólo un ramdisk. ¿Este ramdisk es intercambiado al disco por el sistema operativo (que pondría los datos secretos en el disco)?
Desde MacOS High Sierra 10.13.x la memoria virtual "swapfile(s)" ha sido encriptada incluso si la encriptación de disco FileVault2 está desactivada. Obviamente, yo probaría esa teoría y revisaría cualquier informe CVE y lo validaría.
https://support.apple.com/guide/mac-help/what-is-secure-virtual-memory-on-mac-mh11852/mac
Puede que te rasques la oreja izquierda con la mano derecha por las malas. Considere la posibilidad de crear un llavero adicional y utilizarlo en su lugar. Es mucho más seguro y esto es precisamente para lo que están diseñados los llaveros. Aseguran secretos.
Documentación de la API para desarrolladores: https://developer.apple.com/documentation/security
Línea de comandos (scripting): man seguridad
Sí, los discos RAM creados por hdiutil están en la memoria intercambiable ordinaria. Podrías encontrar otra forma de bloquear la memoria, pero las herramientas de Apple no admiten la creación de un disco RAM con memoria cableada. He encontrado documentación que dice hdiutil podría soportarlo de forma indirecta, pero lo he probado y he descubierto que en Catalina 10.5.6 el kernel no lo permite.
Si te preocupa que un secreto en memoria se escriba en disco a través de swap, vas a tener que encontrar otra manera.
AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.
0 votos
¿Qué comando utilizar para crear un ramdisk?
0 votos
Por favor, explique su patrón de uso de un disco RAM. ¿Cómo piensa utilizarlo, qué tamaño tendrá y por qué querría copiarlo en disco? Francamente, hoy en día no se utilizan tanto. Eran útiles para las velocidades extremas y los datos desechables. O como espacio de memoria caché cuando los datos no eran importantes. Las unidades SSD / PCIe NVMe de hoy en día son tan rápidas que tiene poco sentido ejecutar un disco RAM.
0 votos
Sería posible script una solución para hacer una copia de seguridad de los datos desde un disco RAM.
1 votos
@James Brickley, El OP quiere saber si el SO intercambia datos almacenados en un disco RAM al HDD/SSD porque no quiere que eso ocurra. Probablemente hice demasiado pesado de una edición en la pregunta original.
0 votos
Gracias por la edición, ahora tiene mucho más sentido. Una idea interesante.