题 使用后EBS卷被擦除了吗?


我试图从我意外运行的ebs卷中恢复一些数据 wipefs 上。

我用过PhotoRec(http://www.cgsecurity.org/wiki/PhotoRec)...它得到了我的文件,但也有大量其他不属于我的文件。

它有图像,文本文件,代码等...它们都是有效的数据,而不是来自我的帐户。

这导致我问...当我删除EBS卷时,我猜我的数据显然可供其他人使用?


7
2018-01-26 01:33






答案:


https://d0.awsstatic.com/whitepapers/aws-security-whitepaper.pdf 描述亚马逊发布的处理w / EBS的流程。两个引用似乎相关:

Amazon EBS卷作为原始未格式化的块设备呈现给您 在被提供之前擦拭

但是也

EBS快照是整个EBS卷的块级视图。请注意,通过文件系统看不到的数据   卷,例如已删除的文件,可能存在于EBS快照中。

最可能的情况是您从已删除数据的快照创建卷。

我尝试使用新的PIOPS,gp2和磁卷在us-east-1中重现您的场景,并且无法恢复任何数据。

也就是说,您可以通过使用KMS加密卷来进一步保护您的EBS数据。


1
2018-01-26 16:27





来自 AWS文档

已删除的EBS卷使用的物理块存储将被覆盖   在将其分配给另一个帐户之前使用零。

来自AWS代表 他们的论坛

我可以确认任何客户交易量终止时(无论是EBS   或实例存储卷)它在被完全擦除之前   供其他客户使用。

如果这是真的,并且您确实拥有其他人的数据,则需要与AWS联系。特殊要求需要特殊证据。

TLDR; 我做了两组测试,无法重现@stevelandiss产生的结果。

更新 - 测试一个

我自己试了一下。这是我做的和我的结果。

TLDR;无法复制。

0)我分配了一个m3.medium spot实例,其中包含gp2和io1(预配置IOPS)卷,每个10GB。我使用标准的Ubuntu 16.04 AMI(ami-b7a114d7)。请注意,我无法像OP建议的那样挂载/ dev / xvdb,AWS强迫我使用更长的名称,例如/ dev / xvdba,这让我有点怀疑。

1)我安装了photorec / testdisk

apt-get install testdisk

2)我使用lsblk来查看可用的卷

lsblk
NAME    MAJ:MIN   RM SIZE RO TYPE MOUNTPOINT
xvda    202:0      0   8G  0 disk
└─xvda1 202:1      0   8G  0 part /
xvdba   202:13312  0  10G  0 disk
xvdbb   202:13568  0  10G  0 disk
xvdca   202:19968  0   4G  0 disk
  1. 我试图安装磁盘只是为了检查,但当然他们没有文件系统,所以它失败了

    mount / dev / xvdba / gp2 / mount:错误的fs类型,错误选项,/ dev / xvdba上的错误超级块,    丢失代码页或帮助程序,或其他错误

    在某些情况下,在syslog中找到有用的信息 - 试试    dmesg |尾巴左右。

3)我在每个设备上制作了文件系统

mkfs -t ext4 /dev/xvdba
mke2fs 1.42.13 (17-May-2015)
Creating filesystem with 2621440 4k blocks and 655360 inodes
Filesystem UUID: e32b2ed1-a0f8-49df-895d-c56b9802a009
Superblock backups stored on blocks:
    32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632

Allocating group tables: done
Writing inode tables: done
Creating journal (32768 blocks): done
Writing superblocks and filesystem accounting information: done

root@ip-11-0-2-184:/home/ubuntu# mkfs -t ext4 /dev/xvdbb
mke2fs 1.42.13 (17-May-2015)
Creating filesystem with 2621440 4k blocks and 655360 inodes
Filesystem UUID: 4f1f7c75-bbce-4887-aac7-02e197a36c89
Superblock backups stored on blocks:
    32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632

Allocating group tables: done
Writing inode tables: done
Creating journal (32768 blocks): done
Writing superblocks and filesystem accounting information: done

4)我安装了磁盘

mount /dev/xvdba /gp2/
mount /dev/xvdbb /pio/

5)我在每个卷上运行photorec

photorec /dev/xvdba

GP2

Photorec results on new AWS GP2 volume

IO1配置IOPS

Photorec results on new AWS IO1volume

如您所见,没有找到任何文件。如果@stevelandiss可以指出他做的不同,我可以再试一次。例如,他没有提到任何安装,他使用了不同的设备名称。我会在没有安装几分钟的情况下再试一次,但是我想保存这个更新,所以我不会丢失它。

更新 - 测试二

这次我做了很多相同的事情,但我没有创建文件系统或挂载磁盘。这更接近于@stevelandiss所做的事情。这没有任何区别,没有文件被恢复。

GP2

GP2 Photorec on new AWS volume

IO1配置IOPS

IO1 Photorec on new AWS volume


13
2018-01-26 01:48



repro的步骤(1)启动Linux实例(我使用Ubuntu)...(2)将任何PIOPS EBS卷分配给实例...调用它 /dev/xvdb  (3)安装photorec ...... sudo apt-get install testdisk   (4)跑 photorec /dev/xvdb。 - steve landiss
@stevelandiss我只是尝试创建一个新的音量和hexdump-ing它,我得到的只是零。 - jrdn
如果没有其他人尝试它,我会在接下来的几天内试一试。如果你能编辑你的问题以便给出明确无误的复制步骤,我将不胜感激。 - Tim
没意思冒犯,但我敢打赌100欧元,这是一个8层问题。 - lauc.exon.nod
@ lauc.exon.nod它也可能是一个PEBKAC问题 - Tim


来自 wipefs 手册页:

wipefs不会擦除文件系统本身,也不会擦除设备中的任何其他数据


5
2018-01-26 01:45



理解......这仍然意味着当ai获得EBS卷时,可以看到其他人的数据...... - steve landiss
@stevelandiss您需要与您的调查结果联系AWS支持。 - jscott
哎呀,放下“wipefs”作为有史以来命名不对的头号。 :-) - Brian Knoblauch


我们需要有关音量的更多信息。你是怎么创造它的?您是否100%确定没有其他人创建它但你呢?

AWS不会分享他们设计技术的方式,因此我猜测它是NetApp认证的存储人员。 EBS卷是基于RAID组构建的抽象层。我怀疑它只会是一个磁盘。因此,每次配置卷时,您将(将)从不同的物理设备获取组件。这使得你不太可能获得完整的文件。

向我们提供有关您如何配置卷的更多信息。但我猜你在某些方面犯了一个错误。否则,这将是AWS对这种基本功能的巨大安全违规。

这是我做的测试,我创建了一个新的卷,一个新的实例。将卷附加到实例,然后运行photoRec测试。我按预期找到了0个文件。

PhotoRec 7.0, Data Recovery Utility, April 2015
Christophe GRENIER <grenier@cgsecurity.org>
http://www.cgsecurity.org

Disk /dev/xvdf - 1073 MB / 1024 MiB (RO)
 Partition                  Start        End    Size in sectors
P Unknown                  0   0  1   130 138  8    2097152


0 files saved in /home/ec2-user/testdisk-7.0/recup_dir directory.
Recovery completed.

您的帐户中是否还有其他IAM用户?也许他们将那个卷附加到他们的实例并使用那种方式。


2
2018-01-26 08:39



卷可能是从快照创建的? d0.awsstatic.com/whitepapers/aws-security-whitepaper.pdf 说'EBS快照是整个EBS卷的块级视图。请注意,通过卷上的文件系统无法看到的数据(例如已删除的文件)可能存在于EBS快照中。 - Jason Martin