Как забить нулями HDD удалённо, на рабочей ОС

От рута примерно так:

dd if=/dev/zero of=/dev/sda bs=1M

Как вообще это можно было сделать на работающей ОС, да ещё и удалённо?

Гм. Ну, затереть системные разделы в линуксе - не проблема.

чтобы в будущем избежать таких потерь

...сиди и думай, какие службы у тебя торчали наружу, как они были настроены и на чьи мониторы ты клеил бумажки с паролем рута.

«И класть в два слоя, что диск используется.» А как это сделать?

«И класть в два слоя, что диск используется.»

А как это сделать?

Примерно так https://www.youtube.com/watch?v=02VZEYyEgVk

Вы слепой? Вам команду полностью написали.
Но те кто это сделал идиоты, /dev/urandom надо пользовать, не так запалишся.

настроить selinux или apparmor или чего там ещё в ней есть.

Ну или заюзай FreeBSD, там такое не прокатит.

И ещё, проверь свой конфиг sshd на предмет permitrootlogin=yes; не исключено что подобрали просто пароль и нагадили.

И главное - вспомни кому так насолила/насолил контора/ты, что так вам наср…ли!

cat /dev/zero | tee /dev/sda | tee /dev/sdb | tee /dev/sdc > /dev/sdd &

Может он hdparm запустил случайно, вот ему и обнулилось всё.

есть shred, dd не нужно

Кстати бекапы должны хранится отдельно. Я правильно понимаю, что они были там же? Ну в таком случае, что я могу сказать. Всё правильно сделали, если это был кто-то посторонний.

dd есть почти всегда, shred не нужно (кстати а как у него с блочными устройствами не проверяли?)

hdparm может чего-то я про него не знаю, он умеет полностью заполнять диск нулями? Это действительно вопрос.

$ equery f coreutils | egrep 'shred|dd' /bin/dd /usr/bin/shred /usr/share/man/man1/dd.1.bz2 /usr/share/man/man1/shred.1.bz2

Оба часть coreutils. И с блочными устройствами все у него нормально.

Да, вроде запускается, но один фиг дольше будет чем dd.

Он может отдать команду диску, чтобы тот сам себя занулил. По-моему, эта фича именно так работает.

На самом деле все упрется в скорость диска. Рандом у него не тру, зато быстрый.

Быстро нашел только:

       --write-sector
              Writes zeros to the specified sector  number.   VERY  DANGEROUS.
              The  sector  number  must  be  given (base10) after this option.
              hdparm will issue a low-level write  (completely  bypassing  the
              usual  block  layer read/write mechanisms) to the specified sec-
              tor.  This can be used to force a drive to repair a  bad  sector
              (media error).

Рандом у него не тру, зато быстрый.

Не в тему. Возвращаясь к dd, вполне возможно и /dev/random прокатит вместо /dev/urandom при учете что это работа харда энтропии должно хватать. Во всяком случае я для простаивающих машинок, при генерации ключей тупо хард копированием нагружал, получалось шустренько, но конечно медленнее чем urandom.

https://ata.wiki.kernel.org/index.php/ATA_Secure_Erase

Тоже явно не в тему ТС. Слишком сложно.

urandom много не даст, это по идее источник качественного рандома. shred же - специально для перезаписи данных, байты отличаются и ладно :)

А от чего вообще энтропия накапливается?

Можно и собственное поделие закинуть для убиения. Сути не меняет.

Что, во FreeBSD нельзя переместить корень на ramdisk и потом очистить все диски? Команд больше, но если готовиться заранее, то можно всё быстро сделать.

Ты про remount rootfs на работающей системе? Неа, такое низя.

Плюс там есть kern.securelevel.

Как я понял, kern.securelevel хорош только когда закрыто вобще всё и для любого действия нужно уходить в single mode, но тогда удалённо обновлять этот сервер вобще не получится, мало какой админ так захочет. А иначе через ребут он убирается, за ночь можно сервак и не раз ребутнуть, если, конечно, какой-нибудь защиты от ребута нет, наподобие указания неправильного диска в BIOS.

А если 'sysctl kern.geom.debugflags=0x10' и в MBR прописать вместо boot-loader'а обнуляющую диски, так получится?

с чего бы такие сложности?

OpenBSD по-умолчанию работает при securelevel=1, все прекрасно обновляется и конфигурится, но диск убить не даст.

Она даёт себя удалённо через reboot перевести в securelevel=0?