ፕሮሆስተር > ጦማር > አስተዳደር > የዊንዶው ሊኑክስ የተጫኑ ስርዓቶች ሙሉ የዲስክ ምስጠራ። የተመሰጠረ ባለብዙ ቡት

የዊንዶው ሊኑክስ የተጫኑ ስርዓቶች ሙሉ የዲስክ ምስጠራ። የተመሰጠረ ባለብዙ ቡት

የዊንዶው ሊኑክስ የተጫኑ ስርዓቶች ሙሉ የዲስክ ምስጠራ። የተመሰጠረ ባለብዙ ቡት
Runet V0.2 ውስጥ ወደ ሙሉ-ዲስክ ምስጠራ የራሱ መመሪያ ተዘምኗል።

የካውቦይ ስልት፡

[A] ዊንዶውስ 7 የተጫነውን ስርዓት የማገድ ስርዓት ምስጠራ;
[ለ] ጂኤንዩ/ሊኑክስ የማገጃ ስርዓት ምስጠራ (ደቢያን) የተጫነ ስርዓት (ቡት ጨምሮ);
[C] GRUB2 ማዋቀር፣ የማስነሻ ጫኚ ጥበቃ በዲጂታል ፊርማ/ማረጋገጫ/ሃሽንግ;
[D] ማጽዳት - ያልተመሰጠረ መረጃን ማጥፋት;
ኢንክሪፕት የተደረገ ስርዓተ ክወና (ኢ) ሁለንተናዊ መጠባበቂያ;
[F] ጥቃት <at [C6]> ዒላማ - GRUB2 ጫኚ;
[ጂ] ጠቃሚ ሰነዶች።

╭───መርሃግብር #ክፍል 40# :
├──╼ ዊንዶውስ 7 ተጭኗል - ሙሉ የስርዓት ምስጠራ ፣ የተደበቀ አይደለም ፣
├──╼ ጂኤንዩ/ሊኑክስ ተጭኗል (ዴቢያን እና ተወላጅ ስርጭቶች) - ሙሉ የስርዓት ምስጠራ አልተደበቀም።(/፣/ቡትን ጨምሮ፣ ስዋፕ);
├──╼ ገለልተኛ ቡት ጫኚዎች፡ VeraCrypt bootloader MBR ውስጥ ተጭኗል፣ GRUB2 ቡት ጫኚ በተራዘመ ክፍልፍል ተጭኗል።
├──╼ የስርዓተ ክወናውን መጫን / መጫን አያስፈልግም;
└──╼ ጥቅም ላይ የዋለ ክሪፕቶግራፊክ ሶፍትዌር፡ VeraCrypt; ክሪፕቶሴፕፕ; gnupg; የባህር ፈረስ; hashdeep; GRUB2 - ነጻ/ነጻ።

ከላይ ያለው እቅድ በከፊል "የርቀት ቡት ወደ ፍላሽ አንፃፊ" ችግርን ይፈታል, በተመሰጠረ ዊንዶውስ / ሊኑክስ ኦኤስ እንዲደሰቱ እና ከአንድ ስርዓተ ክወና ወደ ሌላ በ "ኢንክሪፕትድ ቻናል" በኩል መረጃ እንዲለዋወጡ ያስችልዎታል.

የኮምፒተር ማስነሻ ቅደም ተከተል (ከአማራጮች ውስጥ አንዱ)

  • ማሽኑን ማብራት;
  • የ VeraCrypt ቡት ጫኚውን በማውረድ ላይ (ትክክለኛው የይለፍ ቃል ግቤት ዊንዶውስ 7 መጀመሩን ይቀጥላል);
  • የ "Esc" ቁልፍን መጫን የ GRUB2 ቡት ጫኚውን ይጭናል;
  • GRUB2 ቡት ጫኚ (የስርጭት ምርጫ/ጂኤንዩ/ሊኑክስ/CLI)የ GRUB2 ሱፐር ተጠቃሚ <login/password> ማረጋገጥ ያስፈልገዋል።
  • በተሳካ ሁኔታ ከተረጋገጠ እና ስርጭቱ ከተመረጠ በኋላ "/boot/initrd.img" ለመክፈት የይለፍ ሐረግ ማስገባት ያስፈልግዎታል;
  • በ GRUB2 ውስጥ ትክክለኛ የይለፍ ቃሎችን ካስገቡ በኋላ የይለፍ ቃል ለማስገባት "ያስፈልጋል". (በተከታታይ ሶስተኛ፣ ባዮስ ይለፍ ቃል ወይም የጂኤንዩ/ሊኑክስ ተጠቃሚ መለያ ይለፍ ቃል - ግምት ውስጥ አይገባም) ጂኤንዩ/ሊኑክስ ኦኤስን ለመክፈት እና ለማስነሳት ወይም ሚስጥራዊ ቁልፉን በራስ ሰር መተካት (ሁለት የይለፍ ቃላት + ቁልፍ ወይም የይለፍ ቃል + ቁልፍ);
  • በGRUB2 ውቅር ውስጥ የሚደረግ የውጭ ጣልቃገብነት የጂኤንዩ/ሊኑክስ ማስነሻ ሂደቱን ያቆማል።

የሚያስቸግር? እሺ፣ ሂደቶችን በራስ ሰር እንሂድ።

ሃርድ ድራይቭ ሲከፋፈሉ (MBR ሰንጠረዥ) ፒሲ ከ 4 ዋና ክፍልፋዮች ወይም 3 ዋና እና አንድ የተራዘመ እንዲሁም ያልተመደበ ቦታ ሊኖረው አይችልም። የተራዘመ ክፍል, ከዋናው በተለየ, ንዑስ ክፍሎችን ሊይዝ ይችላል. (ምክንያታዊ ድራይቮች=የተራዘመ ክፍልፍል). በሌላ አነጋገር በኤችዲዲ ላይ ያለው "የተራዘመ ክፍልፍል" ለአሁኑ ተግባር LVMን ይተካዋል-ሙሉ የስርዓት ምስጠራ። ዲስክዎ በ 4 ዋና ክፍልፋዮች ከተከፈለ, lvm ን መጠቀም ወይም መለወጥ ያስፈልግዎታል (ከቅርጸት ጋር) ክፍል ከዋናው ወደ የላቀ፣ ወይም አራቱንም ክፍሎች በብቃት ተጠቀም እና ሁሉንም ነገር እንዳለ ትተህ የተፈለገውን ውጤት እንድታገኝ አድርግ። በዲስክዎ ላይ አንድ ክፍልፋይ ብቻ ቢኖርዎትም Gparted የእርስዎን HDD እንዲከፋፍሉ ይረዳዎታል (ለተጨማሪ ክፍሎች) የውሂብ መጥፋት ሳይኖር, ነገር ግን አሁንም ለእንደዚህ አይነት ድርጊቶች ለመክፈል በትንሽ ዋጋ.

አጠቃላይ ጽሑፉ በቃል የሚገለጽበት የሃርድ ዲስክ አቀማመጥ እቅድ ከዚህ በታች ባለው ሠንጠረዥ ቀርቧል።

የዊንዶው ሊኑክስ የተጫኑ ስርዓቶች ሙሉ የዲስክ ምስጠራ። የተመሰጠረ ባለብዙ ቡት
ሠንጠረዥ (ቁጥር 1) የክፍል 1 ቴባ.

ተመሳሳይ ነገር ሊኖርዎት ይገባል.
sda1 - ዋና ክፍልፍል #1 NTFS (የተመሰጠረ);
sda2 - የተራዘመ ክፍል ምልክት ማድረጊያ;
sda6 - ምክንያታዊ ድራይቭ (የ GRUB2 ቡት ጫኚ በላዩ ላይ ተጭኗል);
sda8 - ስዋፕ (የተመሰጠረ ስዋፕ ፋይል / ሁልጊዜ አይደለም);
sda9 - የሙከራ ሎጂካዊ ዲስክ;
sda5 - የማወቅ ጉጉት ያለው ምክንያታዊ ድራይቭ;
sda7 - ጂኤንዩ/ሊኑክስ ኦኤስ (ተጭኗል OS ወደ ኢንክሪፕትድ ሎጂካዊ አንፃፊ)።
sda3 - ዋናው ክፍል #2 ከዊንዶውስ 7 ጋር (የተመሰጠረ);
sda4 - ዋናው ክፍል # 3 (ያልተመሰጠረ ጂኤንዩ/ሊኑክስ ይዟል፣ ለመጠባበቂያ ጥቅም ላይ ይውላል/ሁልጊዜ አይደለም).

[አንድ] ዊንዶውስ 7 የስርዓት ምስጠራን አግድ

A1. ቬራክሪፕትየዊንዶው ሊኑክስ የተጫኑ ስርዓቶች ሙሉ የዲስክ ምስጠራ። የተመሰጠረ ባለብዙ ቡት

አውርድ ከ ይፋዊ ጣቢያወይም ከመስታወት ሶፍትዌር የቬራክሪፕት ምስጠራ ሶፍትዌር የመጫኛ ሥሪት (v1.24-Update3 በሚታተምበት ጊዜ ተንቀሳቃሽ የቬራክሪፕት ሥሪት ለሥርዓት ምስጠራ ተስማሚ አይደለም). የወረደውን ሶፍትዌር ቼክ ድምር ያረጋግጡ

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

እና ውጤቱን በቬራክሪፕት ገንቢ ድረ-ገጽ ላይ ከተለጠፈው CS ጋር ያወዳድሩ።

HashTab ሶፍትዌር ከተጫነ የበለጠ ቀላል፡ RMB (VeraCrypt ማዋቀር 1.24.exe)ንብረቶች-ሃሽ የፋይሎች ድምር።

የፕሮግራሙን ፊርማ ለማረጋገጥ ሶፍትዌሩ እና የገንቢው የህዝብ ፒጂፒ ቁልፍ በስርዓቱ ውስጥ መጫን አለባቸው። gnuPG; ጂፒጂ4ዊን.

A2. የቬራክሪፕት ሶፍትዌርን ከአስተዳዳሪ መብቶች ጋር መጫን/ ማስጀመርየዊንዶው ሊኑክስ የተጫኑ ስርዓቶች ሙሉ የዲስክ ምስጠራ። የተመሰጠረ ባለብዙ ቡት

A3. ለንቁ ክፋይ የስርዓት ምስጠራ አማራጮችን መምረጥVeraCrypt - ስርዓት - የስርዓት ክፍልፍል/አሽከርክር - መደበኛ - የዊንዶውስ ሲስተም ክፍልፍልን ኢንክሪፕት - መልቲቡት - (ማስጠንቀቂያ፡- "ልምድ የሌላቸው ተጠቃሚዎች ይህን ዘዴ እንዲጠቀሙ አይመከሩም" እና እውነት ነው፣ "አዎ" ይስማሙ) - ቡት ዲስክ (“አዎ”፣ እንደዚያ ባይሆንም፣ አሁንም “አዎ”) - የስርዓት አንጻፊዎች ቁጥር "2 ወይም ከዚያ በላይ" - በአንድ ድራይቭ ላይ በርካታ ስርዓቶች "አዎ" - ዊንዶውስ ያልሆነ ቡት ጫኝ "አይ" (በእውነቱ፣ “አዎ”፣ ግን የቬራክሪፕት/GRUB2 ጫኚዎች MBR ን በመካከላቸው አይካፈሉም ፣ በትክክል ፣ የጫኛው ኮድ ትንሹ ክፍል በ MBR/boot ትራክ ውስጥ ይከማቻል ፣ ዋናው ክፍል በፋይሉ ውስጥ ይገኛል ። ስርዓት) - ባለብዙ ቡት - የምስጠራ ቅንብሮች…

ከላይ ከተዘረዘሩት እርምጃዎች ከወጡ (የስርዓት ምስጢራዊ እቅዶችን አግድ), ከዚያ VeraCrypt ማስጠንቀቂያ ይሰጣል እና ክፋዩ መመስጠርን አይፈቅድም.

ቀጣዩ ደረጃ፣ ወደ ኢላማ የውሂብ ጥበቃ፣ “ሙከራ” ማካሄድ እና ምስጠራ አልጎሪዝም መምረጥ ነው። ጊዜው ያለፈበት ሲፒዩ ካለዎት የ Twofish ምስጠራ ስልተ ቀመር በጣም ፈጣኑ ይሆናል። ሲፒዩ ኃይለኛ ከሆነ ልዩነቱን ያስተውላሉ: AES - በፈተና ውጤቶቹ መሰረት ምስጠራ ከክሪፕቶ ተወዳዳሪዎቹ ብዙ ጊዜ ፈጣን ይሆናል. AES ታዋቂ የኢንክሪፕሽን አልጎሪዝም ነው፣ የዘመናዊ ሲፒዩዎች ሃርድዌር በተለይ ለ"ሚስጥራዊ" እና "ለጠለፋ" የተመቻቸ ነው።

VeraCrypt ዲስኮችን በ AES ካስኬድ የማመስጠር ችሎታን ይደግፋል(ሁለት አሳ)/ እና ሌሎች ጥምረት. ከአስር አመታት በፊት በአሮጌው የኑክሌር ኢንቴል ሲፒዩ ላይ (ምንም የAES ሃርድዌር ድጋፍ የለም፣ A/T ካስኬድ ምስጠራ) የአፈፃፀም ውድቀት በመሠረቱ የማይታወቅ ነው። (ለ AMD ሲፒዩዎች ለተመሳሳይ ዘመን / ~ መለኪያዎች ፣ አፈፃፀሙ በትንሹ ይቀንሳል). ስርዓተ ክወናው በተለዋዋጭ ሁኔታ ውስጥ ይሰራል እና ለግልጽ ምስጠራ የሃብት ፍጆታ የማይታወቅ ነው። በተለየ፣ ለምሳሌ፣ በተጫነው ሙከራ ያልተረጋጋ የዴስክቶፕ አካባቢ Mate v1.20.1 ምክንያት የሚታይ የአፈጻጸም መቀነስ (ወይም v1.20.2 በትክክል አላስታውስም) በጂኤንዩ/ሊኑክስ፣ ወይም በWindows7↑ ውስጥ ባለው የቴሌሜትሪ አሠራር አሠራር ምክንያት። አብዛኛውን ጊዜ የተራቀቁ ተጠቃሚዎች ከማመስጠር በፊት የሃርድዌር አፈጻጸም ሙከራዎችን ያደርጋሉ። ለምሳሌ ፣ በ Aida64 / Sysbench / systemd-ጥፋተኝነትን መተንተን እና ስርዓቱ ከተመሰጠረ በኋላ ከተመሳሳይ ሙከራዎች ውጤቶች ጋር አወዳድር ፣ በዚህም “የስርዓት ምስጠራ ጎጂ ነው” የሚለውን ተረት ለራሳቸው ውድቅ ያደርጋሉ። የማሽኑ ፍጥነት መቀዛቀዝ እና ኢንክሪፕት የተደረገ ውሂብን ወደነበረበት ሲመልስ/ሲመልስ የሚታየው ችግር ይስተዋላል፣ ምክንያቱም “የስርዓት ዳታ መጠባበቂያ” ክዋኔው ራሱ በ ms ውስጥ አይለካም እና ተመሳሳይ <decrypt/encrypt on the fly> ተጨምሯል። በስተመጨረሻ፣ እያንዳንዱ ተጠቃሚ በምስጢር አጠራር እንዲታይ የተፈቀደለት ከተግባሮቹ እርካታ፣ ከፓራኖአያቸው መጠን እና ከአጠቃቀም ቀላልነት አንጻር በምስጠራ ስልተ-ቀመር መካከል ሚዛን ይፈጥራል።

ስርዓተ ክወናውን በጫኑ ቁጥር ትክክለኛውን የመድገም ዋጋዎች እንዳያስገቡ የ PIM መለኪያውን በነባሪነት መተው ይሻላል። ቬራክሪፕት በእውነቱ "ቀርፋፋ ሃሽ" ለመፍጠር እጅግ በጣም ብዙ ድግግሞሾችን ይጠቀማል። የብሩት ሃይል/ቀስተ ደመና ሰንጠረዦችን ዘዴ በመጠቀም እንዲህ ባለው “crypto snail” ላይ የሚሰነዘር ጥቃት ትርጉም ያለው በአጭር “ቀላል” የይለፍ ሐረግ እና በተጎጂው የግል ገበታ ዝርዝር ብቻ ነው። የይለፍ ቃል ጥንካሬን መክፈል - ስርዓተ ክወናውን ሲጭኑ ትክክለኛውን የይለፍ ቃል ለማስገባት መዘግየት (በጂኤንዩ/ሊኑክስ ላይ የVeraCrypt ጥራዞችን መጫን በጣም ፈጣን ነው)።
ለጭካኔ ጥቃቶች ነፃ ሶፍትዌር (የይለፍ ሐረግን ከVeraCrypt/LUKS ዲስክ ራስጌ ማውጣት) hashcat. ጆን ዘ ሪፐር "ቬራክሪፕት" እንዴት እንደሚሰበር አያውቅም, እና ከ LUKS ጋር በሚሰሩበት ጊዜ, Twofish cryptography አይረዳውም.

በኢንክሪፕሽን ስልተ ቀመሮች ምስጠራ ጥንካሬ ምክንያት የማይቆሙ ሳይፈርፐንክስ የተለየ የጥቃት ቬክተር ያለው ሶፍትዌር ያዘጋጃሉ። ለምሳሌ ሜታዳታ/ቁልፎችን ከ RAM ማውጣት (ቀዝቃዛ ጫማ/ዲኤምኤ ጥቃት) ለዚህ ዓላማ ልዩ ነፃ እና ነፃ ያልሆኑ ሶፍትዌሮች አሉ።

ኢንክሪፕት የተደረገው ንቁ ክፍልፍል “ልዩ ሜታዳታ” ውቅር/ትውልድ መጨረሻ ላይ ቬራክሪፕት ፒሲውን እንደገና ለማስጀመር እና የቡት ጫኙን አፈጻጸም ለመፈተሽ ያቀርባል። ዊንዶውስ እንደገና ከጀመረ / ከጀመረ በኋላ VeraCrypt በተጠባባቂ ሞድ ውስጥ ይጫናል ፣ የቀረው ሁሉ ምስጠራ ሂደቱን ማረጋገጥ ነው - Y.

በመጨረሻው የስርዓት ምስጠራ ደረጃ ላይ ቬራክሪፕት የነቃ ኢንክሪፕትድ ክፋይ ራስጌ ቅጂን በ "veracrypt save disk.iso" ለመፍጠር ያቀርባል - ይህ መደረግ አለበት - በዚህ ሶፍትዌር ውስጥ እንዲህ ዓይነቱ አሠራር አስፈላጊ ነው (በ LUKS ውስጥ, እንደ መስፈርት - ይህ በሚያሳዝን ሁኔታ ቀርቷል, ነገር ግን በሰነዱ ውስጥ ተዘርዝሯል). የማዳኛ ዲስክ ለሁሉም ሰው ጠቃሚ ነው, ግን ለአንድ ሰው ከአንድ ጊዜ በላይ. ኪሳራ (ራስጌ እንደገና ጻፍ/MBR) ራስጌ ምትኬ በስርዓተ ክወና ዊንዶውስ ዲክሪፕት የተደረገውን ክፍልፍል እስከመጨረሻው ይከለክላል።

A4. የማዳኛ ዩኤስቢ/ዲስክ VeraCrypt ይፍጠሩበነባሪነት ቬራክሪፕት "ሜታዳታ ~2-3mb" ወደ ሲዲ ለማቃጠል ያቀርባል ነገር ግን ሁሉም ሰው ዲስኮች ወይም DWD-ROM ድራይቮች የላቸውም እና ሊነሳ የሚችል ፍላሽ አንፃፊ መፍጠር "VeraCrypt Rescue disk" ለአንድ ሰው ቴክኒካል አስገራሚ ይሆናል፡- Rufus / GUIdd-ROSA ImageWriter እና ሌሎች ተመሳሳይ ሶፍትዌሮች - ተግባሩን መቋቋም አይችሉም, ምክንያቱም የተለወጠውን ሜታዳታ ወደ ቡት ፍላሽ አንፃፊ ከመቅዳት በተጨማሪ, ከዩኤስቢ ድራይቭ ፋይል ስርዓት ውጭ ያለውን ምስል መቅዳት / መለጠፍ አለብዎት. በአጭሩ፣ MBR/መንገዱን ወደ ኪይቼይን በትክክል ይቅዱ። ከጂኤንዩ/ሊኑክስ ኦኤስ ስር ሆነው ይህንን ሳህን በመመልከት “dd” መገልገያውን በመጠቀም ሊነሳ የሚችል ፍላሽ አንፃፊ መፍጠር ይችላሉ።

የዊንዶው ሊኑክስ የተጫኑ ስርዓቶች ሙሉ የዲስክ ምስጠራ። የተመሰጠረ ባለብዙ ቡት

በዊንዶውስ አካባቢ ውስጥ የማዳኛ ዲስክ መፍጠር የተለየ ነው. የቬራክሪፕት ገንቢ በይፋዊው ውስጥ የዚህን ችግር መፍትሄ አላካተተም። ሰነዶች በ "ማዳኛ ዲስክ" ላይ ግን መፍትሄውን በተለየ መንገድ አቅርቧል: በእሱ የቬራክሪፕት ፎረም ላይ "የዩኤስቢ ማዳን ዲስክ" ለመፍጠር ተጨማሪ ሶፍትዌሮችን አውጥቷል. የዚህ የዊንዶውስ ሶፍትዌር ማህደር "USb veracrypt አድን ዲስክ ፍጠር" ነው። አድን ዲስክ.ኢሶን ካስቀመጠ በኋላ የንቁ ክፋይ ስርዓት ምስጠራን የማገድ ሂደት ይጀምራል። በማመስጠር ጊዜ የስርዓተ ክወናው አሠራር አይቆምም, ፒሲውን እንደገና ማስጀመር አያስፈልግም. የኢንክሪፕሽን ክዋኔው ከተጠናቀቀ በኋላ ገባሪ ክፋይ ሙሉ በሙሉ ይመሰረታል, ሊጠቀሙበት ይችላሉ. የቬራክሪፕት ቡት ጫኚው ፒሲው ሲጀምር ካልታየ እና ራስጌውን ወደነበረበት የመመለስ ስራው ካልረዳ የ"ቡት" ባንዲራውን ያረጋግጡ ዊንዶውስ ወደሚገኝበት ክፍልፍሎች መዋቀር አለበት። (ምስጠራ እና ሌሎች ስርዓተ ክወናዎች ምንም ቢሆኑም, ሠንጠረዥ ቁጥር 1 ይመልከቱ).
ይህ በዊንዶውስ ኦኤስ የስርዓት ምስጠራን የማገድ መግለጫን ያጠናቅቃል።

[B]LUKS ጂኤንዩ/ሊኑክስ ምስጠራ (~ዴቢያን) የተጫነ ስርዓተ ክወና. አልጎሪዝም እና ደረጃዎች

የተጫነውን የዴቢያን/የተገኘ ስርጭትን ለማመስጠር የተዘጋጀውን ክፍልፍል ወደ ቨርቹዋል ብሎክ መሳሪያ ማተም እና ወደ ካርታ የተሰራ ጂኤንዩ/ሊኑክስ አንፃፊ ማንቀሳቀስ እና GRUB2 ን መጫን/ማዋቀር ያስፈልግዎታል። ባዶ አገልጋይ ከሌልዎት እና ጊዜዎን ከፍ አድርገው የሚመለከቱት ከሆነ GUI ን መጠቀም ያስፈልግዎታል እና ከዚህ በታች የተገለጹት አብዛኛዎቹ የተርሚናል ትዕዛዞች በ "Chuck-Noris mode" ውስጥ እንዲሄዱ የታሰቡ ናቸው።

B1. ፒሲ ከቀጥታ የዩኤስቢ ጂኤንዩ/ሊኑክስ መነሳት

"በሃርድዌር አፈጻጸም ላይ ክሪፕቶት ሙከራን ያከናውኑ"

lscpu && сryptsetup benchmark

የዊንዶው ሊኑክስ የተጫኑ ስርዓቶች ሙሉ የዲስክ ምስጠራ። የተመሰጠረ ባለብዙ ቡት

የ AES ሃርድዌር ድጋፍ ያለው ኃይለኛ መኪና ደስተኛ ባለቤት ከሆኑ ቁጥሮቹ የተርሚናል ቀኝ ጎን ይመስላሉ, ደስተኛ ከሆኑ, ግን በጥንታዊ ብረት, በግራ በኩል ይመስላሉ.

B2. የዲስክ አቀማመጥ. የኤችዲዲ ሎጂካዊ ዲስክን በ Ext4 (Gparted) ውስጥ ኤፍኤስን መጫን/መቅረጽ

B2.1. የተመሰጠረ sda7 ክፍልፍል ራስጌ በመፍጠር ላይየክፍፍል ስሞችን ለመግለጽ, ከዚህ በኋላ, እኔ ከላይ በተገለጸው የእኔ ክፍልፋይ ሰንጠረዥ መሰረት እሆናለሁ. በዲስክ አቀማመጥዎ መሰረት የራስዎን የክፋይ ስሞች መተካት አለብዎት.

አመክንዮአዊ የድራይቭ ምስጠራ ካርታ ስራ (/dev/sda7>/dev/mapper/sda7_crypt)።
#ቀላል የ"LUKS-AES-XTS ክፍልፍል" መፍጠር

cryptsetup -v -y luksFormat /dev/sda7

አማራጮች፡-

* luksFormat - የ LUKS ራስጌ ማስጀመሪያ;
* -y -የይለፍ ቃል (ቁልፍ/ፋይል አይደለም);
* -v - የቃላት አነጋገር (በተርሚናል ውስጥ ያለው የመረጃ ውጤት);
* / dev/sda7 - ከተራዘመ ክፍልፍል የእርስዎ ምክንያታዊ ድራይቭ (ጂኤንዩ/ሊኑክስ ወደብ ማድረግ/ምስጠራ በታቀደበት).

ነባሪ ምስጠራ አልጎሪዝም <LUKS1፡ aes-xts-plain64፣ ቁልፍ፡ 256 ቢትስ፣ የLUKS ራስጌ ሀሺንግ፡ sha256፣ RNG፡ /dev/urandom> (በ cryptsetup ስሪት ላይ ይወሰናል).

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

በሲፒዩ ላይ ለ AES ምንም የሃርድዌር ድጋፍ ከሌለ, ምርጡ ምርጫ የተራዘመ "LUKS-Twofish-XTS-ክፍል" መፍጠር ነው.

B2.2. የላቀ የ"LUKS-Twofish-XTS-ክፍል" መፍጠር

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

አማራጮች፡-
* luksFormat - የ LUKS ራስጌ ማስጀመሪያ;
* / dev/sda7 የእርስዎ የወደፊት የተመሰጠረ አመክንዮአዊ ድራይቭ ነው።
* -v በቃላት መናገር;
* -y የይለፍ ሐረግ;
* -c የውሂብ ምስጠራ አልጎሪዝም ምርጫ;
* -s ምስጠራ ቁልፍ መጠን;
* -h hashing algorithm/cryptofunction፣ RNG ጥቅም ላይ ይውላል (-ኡራንደም መጠቀም) ልዩ አመክንዮአዊ የዲስክ ራስጌ ምስጠራ/ዲክሪፕሽን ቁልፍ፣ ሁለተኛ አርዕስት ቁልፍ (XTS) ለመፍጠር; በተመሰጠረ የዲስክ ራስጌ ውስጥ የተከማቸ ልዩ ዋና ቁልፍ፣ ሁለተኛ XTS ቁልፍ፣ እነዚህ ሁሉ ሜታዳታ እና የኢንክሪፕሽን እለታዊ፣ ማስተር ቁልፍን እና ሁለተኛ XTS ቁልፍን በመጠቀም በክፋዩ ላይ ያለ ማንኛውንም መረጃ ኢንክሪፕት/ዲክሪፕት ያድርጉ። (ከክፍል ርዕስ በስተቀር) በተመረጠው የሃርድ ዲስክ ክፋይ በ ~ 3MB ውስጥ ተከማችቷል.
* - ድግግሞሾች በሚሊሰከንዶች፣ ከ"መጠን" ይልቅ (የይለፍ ሐረጉን ለማስኬድ ያለው የጊዜ መዘግየት የስርዓተ ክወናውን ጭነት እና የቁልፎቹን ምስጠራ ጥንካሬ ይነካል)። እንደ "ሩሲያኛ" ባለው ቀላል የይለፍ ቃል የምስጠራ ጥንካሬን ሚዛን ለመጠበቅ እሴቱን -(i) መጨመር አለብህ፣ እንደ "?8dƱob/øfh" ባለ ውስብስብ የይለፍ ቃል እሴቱ ሊቀንስ ይችላል።
* --Urandom የዘፈቀደ ቁጥር ጀነሬተር፣ ቁልፎች እና ጨው ያመነጫል።

የ sda7> sda7_crypt ክፍልፋይን ካርታ ካደረጉ በኋላ (የተመሰጠረ ራስጌ የተፈጠረው በ~3 ሜባ ሜታዳታ ስለሆነ እና ያ ነው) ክወናው ፈጣን ነው።, የ sda7_crypt ፋይል ስርዓትን መቅረጽ እና መጫን ያስፈልግዎታል.

B2.3. ካርታ ስራ

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

አማራጮች፡-
* ክፍት - ክፍሉን "ከስም ጋር" አዛምድ;
* / dev/sda7 - ምክንያታዊ ድራይቭ;
* sda7_crypt - የተመሰጠረውን ክፍልፋይ ለመጫን ወይም ስርዓተ ክወናው ሲነሳ ለማስጀመር የሚያገለግል የስም ካርታ።

B2.4. የ sda7_crypt ፋይል ስርዓት ወደ ext4 በመቅረጽ ላይ። በስርዓተ ክወናው ውስጥ ዲስክን መጫን(ማስታወሻ፡ Gparted ከአሁን በኋላ ከተመሰጠረ ክፍልፍል ጋር አይሰራም)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt

አማራጮች፡-
* -v - የቃላት አነጋገር;
* -L - የዲስክ መለያ (በሌሎች ዲስኮች መካከል በ Explorer ውስጥ የሚታየው)።

በመቀጠል ቨርቹዋል ኢንክሪፕት የተደረገ የማገጃ መሳሪያ /dev/sda7_crypt ወደ ስርዓቱ መጫን አለቦት

mount /dev/mapper/sda7_crypt /mnt

በ/mnt አቃፊ ውስጥ ካሉ ፋይሎች ጋር መስራት በራስ-ሰር በsda7 ውስጥ መረጃን ኢንክሪፕት ያደርጋል/ይፈታዋል።

በፋይል ኤክስፕሎረር ውስጥ ክፋይን ለመቅረጽ እና ለመጫን የበለጠ ምቹ (nautilus/caja GUI), ክፋዩ ቀድሞውኑ በዲስክ መምረጫ ዝርዝር ውስጥ ይሆናል, የሚቀረው ዲስኩን ለመክፈት / ለመክፈት የይለፍ ሐረግ ማስገባት ብቻ ነው. ካርታ የተደረገው ስም በራስ ሰር ይመረጣል እና "sda7_crypt" ሳይሆን እንደ /dev/mapper/Luks-xx-xx...

B2.5. የዲስክ ራስጌ ምትኬ (ሜታዳታ ~3ሜባ)በጣም አንዱ አስፈላጊ ሳይዘገይ መደረግ ያለባቸው ክዋኔዎች - የ "sda7_crypt" ራስጌ ቅጂ ቅጂ. አርእስት ከተተካ/የተበላሸ (ለምሳሌ፣ GRUB2 በ sda7 ክፍልፍል ላይ መጫን፣ ወዘተ.), ኢንክሪፕት የተደረገው መረጃ ምንም የማገገም እድል ሳይኖር በቋሚነት ይጠፋል, ምክንያቱም ተመሳሳይ ቁልፎችን እንደገና ማመንጨት ስለማይቻል, ቁልፎቹ ልዩ ሆነው የተፈጠሩ ናቸው.

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7 


#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

አማራጮች፡-
* luksHeaderBackup --header-backup-file - የመጠባበቂያ ትዕዛዝ;
* luksHeaderRestore --header-backup-file - እነበረበት መልስ ትዕዛዝ;
* ~/ Backup_DebSHIFR - የመጠባበቂያ ፋይል;
* / dev/sda7 - የተመሰጠረ የዲስክ ራስጌ ምትኬ የሚቀመጥበት ክፍል።
በዚህ ደረጃ፣ ኢንክሪፕትድ የተደረገ ክፍልፍል መፍጠር እና ማረም> አልቋል።

B3. የጂኤንዩ/ሊኑክስ ኦኤስ ፍልሰት (sda4) ወደ ኢንክሪፕት የተደረገ ክፍልፍል (sda7)

አቃፊ/mnt2 ፍጠር (ማስታወሻ - አሁንም ከቀጥታ ዩኤስቢ ጋር እየሰራን ነው፣ sda7_crypt በ /mnt ላይ ተጭኗል), እና የእኛን ጂኤንዩ/ሊኑክስ ወደ /mnt2 ይጫኑ፣ መመስጠር ያለበት።

mkdir /mnt2
mount /dev/sda4 /mnt2

የ Rsync ሶፍትዌርን በመጠቀም የስርዓተ ክወናውን ትክክለኛ ዝውውር እናከናውናለን

rsync -avlxhHX --progress /mnt2/ /mnt

የ Rsync አማራጮች በክፍል E1 ውስጥ ተገልጸዋል.

በተጨማሪም, አስፈላጊ ነው የዲስክ ክፍልፍልን ማበላሸት

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

ኤችዲዲ ካለህ ከጊዜ ወደ ጊዜ በተመሰጠረ GNU/Linux ላይ e4defrag ን ማድረግን ደንቡ አድርግ።
ፍልሰት እና ማመሳሰል (ጂኤንዩ/ሊኑክስ > ጂኤንዩ/ሊኑክስ-ኢንክሪፕትድ) በዚህ ደረጃ ተጠናቅቋል።

AT 4. በተመሰጠረ sda7 ክፍልፍል ላይ ጂኤንዩ/ሊኑክስን በማዋቀር ላይ

ከተሳካ የስርዓተ ክወና ማስተላለፍ/dev/sda4>/dev/sda7 በኋላ ወደ ጂኤንዩ/ሊኑክስ በተመሰጠረ ክፍልፍል መግባት እና ተጨማሪ ውቅረት ማከናወን አለቦት። (ፒሲውን እንደገና ሳያስነሳ) የተመሰጠረውን ስርዓት በተመለከተ. ማለትም፣ በቀጥታ ዩኤስቢ ውስጥ መሆን፣ ነገር ግን ትዕዛዞችን ለማስፈጸም "ከተመሰጠረው የስርዓተ ክወና ሥር ጋር በተያያዘ"። ተመሳሳይ ሁኔታን አስመስሎ "chroot" ይሆናል. በአሁኑ ሰዓት ከየትኛው ስርዓተ ክወና እየሰሩ እንዳሉ በፍጥነት መረጃ ለማግኘት በ sda4 እና sda7 ውስጥ ያለው መረጃ ስለተመሳሰለ (የተመሰጠረ ወይም አልተመሰጠረም)ኦኤስኦችን አታስምር። በስር ማውጫዎች ውስጥ ይፍጠሩ (sda4/sda7_crypt) ባዶ ማስመሰያ ፋይሎች፣ እንደ /mnt/encryptedOS እና /mnt2/decryptedOS። በምን ስርዓተ ክወና ላይ እንዳሉ በፍጥነት ያረጋግጡ (የወደፊቱን ጨምሮ)

ls /<Tab-Tab>

ብ4.1. "ወደ ኢንክሪፕት የተደረገ ስርዓተ ክወና የመግባት ማስመሰል"

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

ብ4.2. ስራው ከተመሰጠረው ስርዓት አንጻር መከናወኑን ማረጋገጥ

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"


history
#в выводе терминала должна появиться история команд su рабочей ОС.

ብ4.3. የተመሰጠረ ስዋፕ መፍጠር/ማዋቀር፣ crypttab/fstabን ማስተካከልስዋፕ ፋይሉ የሚቀረፀው ስርዓተ ክወናው በጀመረ ቁጥር ስለሆነ አሁን በሎጂክ ዲስክ ላይ መፍጠር እና መቀየር እና ትዕዛዞችን መተየብ ምንም ትርጉም የለውም በአንቀጽ B2.2. ለSwap በእያንዳንዱ ጅምር ጊዜያዊ የምስጠራ ቁልፎቻቸው በራስ-ሰር ይፈጠራሉ። የስዋፕ-a ቁልፎች የህይወት ዑደት፡ ስዋፕ ክፍልፍልን ማራገፍ/ማፍረስ (+ግልጽ RAM); ወይም ስርዓተ ክወናውን እንደገና ያስጀምሩ. ስዋፕ ማዋቀር፣ የተመሰጠሩ መሣሪያዎችን ለማገድ ኃላፊነት ያለበትን ፋይል ይክፈቱ (ከ fstab ፋይል ጋር ተመሳሳይ ነው ፣ ግን ለ crypto ተጠያቂ)።

nano /etc/crypttab

ደንብ

#"የዒላማ ስም" "ምንጭ መሳሪያ" "ቁልፍ ፋይል" "አማራጮች"
ስዋፕ /dev/sda8 /dev/urandom ስዋፕ፣cipher=twofish-xts-plain64፣size=512፣hash=sha512

አማራጮች
* ስዋፕ - /dev/mapper/swap ሲያመሰጥር ካርታ የተሰራ ስም።
* /dev/sda8 - ለመለዋወጥ የእርስዎን ምክንያታዊ ክፍልፍል ይጠቀሙ።
* /dev/urandom - ለመቀያየር የዘፈቀደ ምስጠራ ቁልፎች ጀነሬተር (በእያንዳንዱ አዲስ የስርዓተ ክወና ቡት, አዲስ ቁልፎች ተፈጥረዋል). የ/dev/urandom ጄኔሬተር በዘፈቀደ ከ/dev/ራንደም ያነሰ ነው፣ከሁሉም በኋላ/dev/random በአደገኛ ፓራኖይድ ሁኔታዎች ውስጥ ሲሰራ ጥቅም ላይ ይውላል። በስርዓተ ክወና ቡት ላይ፣ /dev/random ለጥቂት ± ደቂቃዎች መጫንን ይቀንሳል (የስርዓት-ትንተና ይመልከቱ).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -partition swap ያውቅና በዚሁ መሰረት ተቀርጿል; ምስጠራ አልጎሪዝም.

#Открываем и правим fstab
nano /etc/fstab

ደንብ

በመጫን ጊዜ # ስዋፕ በርቷል / dev / sda8 ነበር
/dev/mapper/swap ምንም ለውጥ የለም 0 0

/dev/mapper/swap በ crypttab የተሰጠ ስም ነው።

ተለዋጭ የተመሰጠረ ስዋፕ
በሆነ ምክንያት ሙሉ ክፍልፍልን እንደ ስዋፕ ፋይል መስጠት ካልፈለጉ፡ ወደ አማራጭ እና በተሻለ መንገድ መሄድ ይችላሉ፡ በተመሰጠረ የስርዓተ ክወና ክፍል ውስጥ በፋይል ውስጥ ስዋፕ ፋይል መፍጠር።

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

ስዋፕ ክፍልፍል ማዋቀር ተጠናቅቋል።

ብ4.4. ኢንክሪፕት የተደረገ ጂኤንዩ/ሊኑክስ (ክሪፕታብ/fstab ፋይሎችን ማስተካከል)ከላይ እንደጻፍኩት /etc/crypttab ፋይል በስርዓት ማስነሻ ጊዜ የተዋቀሩ የተመሰጠሩ ማገጃ መሳሪያዎችን ይገልጻል።

#правим /etc/crypttab 
nano /etc/crypttab

በአንቀጽ B7 ላይ እንደተገለጸው የsda7>sda2.1_crypt ክፍልን ካዛመድክ

# "የዒላማ ስም" "ምንጭ መሣሪያ" "ቁልፍ ፋይል" "አማራጮች"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

በአንቀጽ B7 ላይ እንደተገለጸው የsda7>sda2.2_crypt ክፍልን ካዛመድክ

# "የዒላማ ስም" "ምንጭ መሣሪያ" "ቁልፍ ፋይል" "አማራጮች"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

በአንቀጽ B7 ወይም B7 ላይ እንደተገለጸው የsda2.1>sda2.2_crypt ክፍልን ካመሳስሉ ነገር ግን ስርዓተ ክወናውን ለመክፈት እና ለማስነሳት የይለፍ ቃሉን እንደገና ማስገባት ካልፈለጉ በይለፍ ቃል ምትክ የምስጢር ቁልፍ / የዘፈቀደ ፋይልን መተካት ይችላሉ

# "የዒላማ ስም" "ምንጭ መሣሪያ" "ቁልፍ ፋይል" "አማራጮች"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

መግለጫ
* የለም - ስርዓተ ክወናው ሲነሳ ሥሩን ለመክፈት ሚስጥራዊ የይለፍ ሐረግ እንደሚያስፈልግ ያመለክታል።
* UUID - ክፍልፋይ መለያ። መታወቂያዎን ለማወቅ ተርሚናል ይተይቡ (ከዚህ ሁሉ ጊዜ በኋላ፣ እርስዎ በሌላ የቀጥታ የዩኤስቢ ተርሚናል ውስጥ ሳይሆን በ chroot አካባቢ ውስጥ ተርሚናል ውስጥ እየሰሩ መሆኑን አስታውስ)።

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное

/dev/sda7: UUID=ÂŤ81048598-5bb9-4a53-af92-f3f9e709e2f2Âť TYPE=ÂŤcrypto_LUKSÂť PARTUUID=ÂŤ0332d73c-07Âť
/dev/mapper/sda7_crypt: LABEL=ÂŤDebSHIFRÂť UUID=ÂŤ382111a2-f993-403c-aa2e-292b5eac4780Âť TYPE=ÂŤext4Âť

ይህ መስመር ከቀጥታ የዩኤስቢ ተርሚናል sda7_crypt mounted blkid ሲጠይቅ ይታያል)።
UUID ከእርስዎ sdaX የተወሰደ ነው። (sdaX_crypt አይደለም!፣ UUID sdaX_crypt - grub.cfg ውቅር ሲያመነጭ በራስ-ሰር ይጠፋል)።
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks የላቀ ሁነታ ምስጠራ።
* /etc/skey - የስርዓተ ክወና ማስነሻን ለመክፈት በራስ-ሰር የሚተካ የምስጢር ቁልፍ ፋይል (የ 3 ኛ የይለፍ ቃል ከማስገባት ይልቅ). ማንኛውንም ፋይል እስከ 8 ሜባ ድረስ መግለጽ ይችላሉ፣ ነገር ግን ውሂቡ <1mb ይነበባል።

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey


#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7

እንደዚህ ያለ ነገር ይመስላል።

(እራስዎ ያድርጉት እና ለራስዎ ይመልከቱ).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab ስለተለያዩ የፋይል ስርዓቶች ገላጭ መረጃ ይዟል።

#Правим /etc/fstab
nano /etc/fstab

# "ፋይል ሲስተም" "የማፈናጠጫ ነጥብ" "አይነት" "አማራጮች" "ማፍሰስ" "ማለፍ"
በመጫን ጊዜ # / በርቷል / dev / sda7
/dev/mapper/sda7_crypt/ext4 errors=remount-ro 0 1

አማራጭ
* /dev/mapper/sda7_crypt በ /etc/crypttab ፋይል ውስጥ የተገለጸው የsda7>sda7_crypt ካርታ ስም ነው።
የክሪፕታብ/fstab ማዋቀር አሁን ተጠናቅቋል።

ብ4.5. የማዋቀር ፋይሎችን ማረም. ቁልፍ አፍታብ4.5.1. ውቅሩን ማረም /etc/initramfs-tools/conf.d/resume

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

እና አስተያየት ይስጡ (ካለ) "#" መስመር "ቀጥል". ፋይሉ ሙሉ በሙሉ ባዶ መሆን አለበት.

ብ4.5.2. ውቅሩን ማረም /etc/initramfs-tools/conf.d/cryptsetup

nano /etc/initramfs-tools/conf.d/cryptsetup

መመሳሰል አለበት።

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=አዎ
CRYPTSETUP ወደ ውጪ ላክ

ብ4.5.3. የ /etc/default/grub config (ከተመሰጠረ/ቡት ጋር ሲሰራ grub.cfgን የማመንጨት ችሎታ ያለው ይህ ውቅር ነው)

nano /etc/default/grub

"GRUB_ENABLE_CRYPTODISK=y" የሚለውን መስመር አክል
ወደ 'y' ተዘጋጅቷል፣ grub-mkconfig እና grub-install የተመሰጠሩ ድራይቮች መኖራቸውን ይፈትሹ እና በሚነሳበት ጊዜ እንዲደርሱባቸው ተጨማሪ ትዕዛዞችን ያመነጫሉ። (insmods ).
ተመሳሳይ መሆን አለበት

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_መለቀቅ -i -s 2> /dev/null || አስተጋባ Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=አቅራቢ"
GRUB_CMDLINE_LINUX = "ጸጥ ያለ ስፕላሽ noautomount"
GRUB_ENABLE_CRYPTODISK=y

ብ4.5.4. ውቅሩን ማረም /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

መስመሩን ያረጋግጡ አስተያየት ሰጥቷል <#>
ወደፊት (እና አሁንም, ይህ ግቤት ምንም ዋጋ አይኖረውም, ነገር ግን አንዳንድ ጊዜ initrd.img ምስልን በማዘመን ላይ ጣልቃ ይገባል).

ብ4.5.5. ውቅሩን ማረም /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

ያክሉ

KEYFILE_PATTERN="/etc/skey"
UMASK=0077

ይህ የምስጢር ቁልፉን "skey" ወደ initrd.img ያስገባል, በስርዓተ ክወና ቡት ላይ ያለውን ስር ለመክፈት ቁልፉ ያስፈልጋል. (የይለፍ ቃል እንደገና ለማስገባት ምንም ፍላጎት ከሌለ, "ቁልፉ" ቁልፍ በራስ-ሰር ይተካል).

ብ4.6. አዘምን /boot/initrd.img [ስሪት]የግል ቁልፉን ወደ initrd.img ለማሸግ እና የcryptsetup ጥገናዎችን ለመተግበር ምስሉን ያዘምኑ

update-initramfs -u -k all

initrd.img ሲያዘምን (“ምናልባት፣ ግን እርግጠኛ አይደለም” እንደሚባለው) ከcryptsetup ጋር የተዛመዱ ማስጠንቀቂያዎች ይኖራሉ ፣ ወይም ለምሳሌ ፣ ስለ Nvidia ሞጁሎች መጥፋት ማሳወቂያ - ይህ የተለመደ ነው። ፋይሉን ካዘመኑ በኋላ፣ በጊዜ ለማየት የተሻሻለ መሆኑን ያረጋግጡ (ከ chroot አካባቢ ጋር በተዛመደ ./boot/initrd.img)። እባክዎ ልብ ይበሉ! ከ [update-initramfs -u -k all] በፊት ያንን cryptsetup /dev/sda7 መከፈቱን ያረጋግጡ። sda7_crypt - ይህ መሆን ያለበት ስም ነው ፣ በ /etc/crypttab ፣ ያለበለዚያ እንደገና ከተነሳ በኋላ-busybox ስህተት)
ይህ ደረጃ የማዋቀሪያ ፋይሎችን ማዋቀር ያጠናቅቃል.

[С] GRUB2 / ጥበቃን መጫን እና ማዋቀር

C1. አስፈላጊ ከሆነ ለቡት ጫኚው የተወሰነውን ክፍል ይቅረጹ (ቢያንስ 20MB ለክፍሉ በቂ ነው)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. ተራራ /dev/sda6 ወደ /mntበ chroot ውስጥ ስለምንሠራ በሥሩ ውስጥ ምንም /mnt2 ማውጫ አይኖርም, እና / mnt አቃፊው ባዶ ይሆናል.
የ GRUB2 ክፍልፍልን ይጫኑ

mount /dev/sda6 /mnt

የቆየ የGRUB2 ስሪት ከተጫነ በ /mnt/boot/grub/i-386-pc (ሌላ መድረክ ሊሆን ይችላል፣ ለምሳሌ "i386-pc" አይደለም) ምንም cryptomodules (በአጭሩ፣ ማህደሩ እነዚህን .mod ጨምሮ ሞጁሎችን መያዝ አለበት፡ cryptodisk፣ luks፣ gcry_twofish፣ gcry_sha512፣ signature_test.mod)፣ በእንደዚህ ዓይነት ሁኔታ, GRUB2 መንቀጥቀጥ ያስፈልገዋል. 

apt-get update
apt-get install grub2

አስፈላጊ! የ GRUB2 ጥቅልን ከማጠራቀሚያው ውስጥ ሲያዘምኑ የቡት ጫኚውን የት እንደሚጫኑ "ስለ ምርጫው" ሲጠየቁ, ለመጫን እምቢ ማለት አለብዎት. (ምክንያት - GRUB2 ን ለመጫን መሞከር - በ "MBR" ወይም በዩኤስቢ ቀጥታ). ያለበለዚያ የVeraCrypt ራስጌ/ጫኚውን ያበላሹታል። የ GRUB2 ፓኬጆችን ካዘመኑ እና መጫኑን ከሰረዙ በኋላ ቡት ጫኚው በ "MBR" ውስጥ ሳይሆን በሎጂካዊ አንፃፊ ላይ በእጅ መጫን አለበት። የእርስዎ ማከማቻ ጊዜው ያለፈበት የGRUB2 ስሪት ካለው ይሞክሩ አዘምን ከኦፊሴላዊው ጣቢያ - አላጣራም (ከአዲስ GRUB 2.02 ~BetaX bootloaders ጋር ሰርቷል)።

C3. GRUB2ን በተራዘመ ክፍልፍል ላይ በመጫን ላይ [sda6]የተገጠመ ክፍልፍል ሊኖርዎት ይገባል [p.C.2] 

grub-install --force --root-directory=/mnt /dev/sda6

አማራጮች።
* --force - ቡት ጫኚውን ጫን ፣ ሁል ጊዜ ያሉ ሁሉንም ማስጠንቀቂያዎች በማለፍ እና መጫኑን ያግዱ (አስፈላጊ ባንዲራ)።
* --root-directory - ማውጫ መጫኛ ወደ sda6 ሥር.
* /dev/sda6 - የእርስዎ sdaX ክፍልፍል (በ /mnt /dev/sda6 መካከል ያለውን <space> አይዝለሉ)።

C4. የማዋቀሪያ ፋይል መፍጠር [grub.cfg]የ"update-grub2" ትዕዛዙን ይረሱ እና ሙሉውን የማዋቀሪያ ፋይል ማመንጨት ትዕዛዝ ይጠቀሙ

grub-mkconfig -o /mnt/boot/grub/grub.cfg

የ grub.cfg ፋይል ማመንጨት / ማዘመን ከተጠናቀቀ በኋላ ፣ በውጤቱ ተርሚናል ውስጥ በዲስክ ላይ ካለው OS ጋር መስመሮች (ሀ) መኖር አለባቸው ። ("grub-mkconfig" ምናልባት ስርዓተ ክወናውን ከቀጥታ ዩኤስቢ ያገኝ ይሆናል፣ ባለ ብዙ ቡት ፍላሽ አንፃፊ በዊንዶውስ 10 እና ብዙ የቀጥታ ስርጭቶች ካሉዎት - ይህ የተለመደ ነው)። ተርሚናሉ "ባዶ" ከሆነ "grub.cfg" ፋይል አልተፈጠረም, ይህ በስርዓቱ ውስጥ የ GRUB ስህተቶች ሲኖሩ ነው. (እና ምናልባትም ከማጠራቀሚያው የሙከራ ቅርንጫፍ የመጣ ጫኝ) GRUB2 ከታመኑ ምንጮች እንደገና ጫን።
"ቀላል ውቅር" መጫን እና የ GRUB2 ውቅር አሁን ተጠናቅቋል።

C5. የማረጋገጫ ሙከራ የተመሰጠረ GNU/Linux OSክሪፕቶሚሽን በትክክል ያጠናቅቁ። የተመሰጠረውን ጂኤንዩ/ሊኑክስን በጥንቃቄ መተው (ከ chroot አካባቢ ውጣ)።

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

ፒሲውን እንደገና ከጀመረ በኋላ የቬራክሪፕት ቡት ጫኝ መጫን አለበት።
የዊንዶው ሊኑክስ የተጫኑ ስርዓቶች ሙሉ የዲስክ ምስጠራ። የተመሰጠረ ባለብዙ ቡት

* ለገቢር ክፍልፍል የይለፍ ቃል ማስገባት - ዊንዶውስ መጫን ይጀምራል.
*"Esc" ቁልፍን መጫን መቆጣጠሪያውን ወደ GRUB2 ያስተላልፋል፣ ኢንክሪፕት የተደረገ GNU/Linux ከመረጡ - /boot/initrd.img ለመክፈት የይለፍ ቃል (sda7_crypt) ያስፈልግዎታል ( grub2 uuid "አልተገኘም" ካለ - ይህ ነው በ grub2 bootloader ላይ ችግር, እንደገና መጫን አለበት, ለምሳሌ, ከሙከራው ቅርንጫፍ / የተረጋጋ እና ፒዲ).
የዊንዶው ሊኑክስ የተጫኑ ስርዓቶች ሙሉ የዲስክ ምስጠራ። የተመሰጠረ ባለብዙ ቡት

*ሲስተሙን እንዴት እንዳዘጋጁት (ክፍል B4.4/4.5 ይመልከቱ)/boot/initrd.img ምስሉን ለመክፈት ትክክለኛውን የይለፍ ቃል ካስገቡ በኋላ OS kernel/rootን ለመክፈት የይለፍ ቃል ያስፈልግዎታል ወይም የምስጢር ቁልፍ በራስ ሰር "skey" ይተካዋል፣ ይህም የይለፍ ሐረጉን እንደገና የማስገባት አስፈላጊነትን ያስወግዳል።
የዊንዶው ሊኑክስ የተጫኑ ስርዓቶች ሙሉ የዲስክ ምስጠራ። የተመሰጠረ ባለብዙ ቡት
(ቅጽበታዊ ገጽ እይታ "የምስጢር ቁልፍን በራስ ሰር መተካት").

* በመቀጠል የታወቀው የጂኤንዩ/ሊኑክስ ማስነሻ ሂደት በተጠቃሚ መለያ ማረጋገጥ ይጀምራል።
የዊንዶው ሊኑክስ የተጫኑ ስርዓቶች ሙሉ የዲስክ ምስጠራ። የተመሰጠረ ባለብዙ ቡት

*ከተጠቃሚ ፍቃድ በኋላ እና ወደ ስርዓተ ክወናው ከገባህ ​​በኋላ እንደገና ማዘመን አለብህ/boot/initrd.img (Q4.6 ይመልከቱ)።

update-initramfs -u -k all

እና በ GRUB2 ምናሌ ውስጥ ተጨማሪ መስመሮች ካሉ (ከቃሚ OS-m ከቀጥታ ዩኤስቢ ጋር) አስወግዳቸው

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

የጂኤንዩ/ሊኑክስ ስርዓት ምስጠራ ፈጣን ማጠቃለያ፡-

  • GNU/Linuxinux ሙሉ በሙሉ ተመስጥሯል፣ /boot/kernel እና initrd;
  • የምስጢር ቁልፉ በ initrd.img ውስጥ ተካትቷል;
  • የአሁኑ የፈቃድ እቅድ (initrd ለመክፈት የይለፍ ቃል ማስገባት፣ OSን ለማስነሳት የይለፍ ቃል/ቁልፍ፣ የሊኑክስ መለያ ፍቃድ የይለፍ ቃል).

"ቀላል GRUB2 ውቅር" የማገጃ ክፍልፋይ ስርዓት ምስጠራ አልቋል።

C6. የላቀ የGRUB2 ውቅር። የቡት ጫኚ ጥበቃ በዲጂታል ፊርማ + የማረጋገጫ ጥበቃጂኤንዩ/ሊኑክስ ሙሉ በሙሉ የተመሰጠረ ነው፣ ነገር ግን ቡት ጫኚው መመስጠር አይቻልም - ይህ ሁኔታ በ BIOS የታዘዘ ነው። በዚህ ምክንያት, GRUB2 ኢንክሪፕት የተደረገ ሰንሰለት-ቡት አይቻልም, ነገር ግን ቀላል ሰንሰለት-ቡት ይቻላል / ይገኛል, ከደህንነት እይታ አስፈላጊ አይደለም [ከዚህ በታች ይመልከቱ]. ፒ.ኤፍ.
ለ "ተጋላጭ" GRUB2፣ ገንቢዎቹ የ"ፊርማ/ማረጋገጫ" የቡት ጫኚ ጥበቃ ስልተ-ቀመርን ተግባራዊ አድርገዋል።

  • ቡት ጫኚው “በራሱ ዲጂታል ፊርማ” ሲጠበቅ፣ የፋይሎችን ውጫዊ ማሻሻያ ወይም ተጨማሪ ሞጁሎችን በዚህ ቡት ጫኚ ውስጥ ለመጫን መሞከር የማስነሻ ሂደቱ እንዲታገድ ያደርጋል።
  • ቡት ጫኚውን በማረጋገጫ ሲከላከሉ፣የስርጭት ኪት ቡት ለመምረጥ ወይም ተጨማሪ ትዕዛዞችን በCLI ውስጥ ለማስገባት የሱፐርሰር-GRUB2 መግቢያ እና የይለፍ ቃል ማስገባት ያስፈልግዎታል።

C6.1. ቡት ጫኚውን በማረጋገጥ መጠበቅኢንክሪፕት በተደረገ OS ውስጥ ተርሚናል ውስጥ እየሮጡ መሆንዎን ያረጋግጡ

ls /<Tab-Tab> #обнаружить файл-маркер

በGRUB2 ውስጥ የሱፐር ተጠቃሚ ይለፍ ቃል ለፈቀዳ ይፍጠሩ 

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя.

የይለፍ ቃል ሃሽ ያግኙ። እንደዚህ ያለ ነገር

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

የ GRUB ክፍልፍልን ይጫኑ

mount /dev/sda6 /mnt

አወቃቀሩን ያርትዑ

nano -$ /mnt/boot/grub/grub.cfg

በ "grub.cfg" ("-unrestricted" "-user" ውስጥ የትኛውም ቦታ ባንዲራ እንደሌለ የፋይል ፍለጋውን ያረጋግጡ።
በመጨረሻው ላይ ይጨምሩ (ከመስመር በፊት ### መጨረሻ /etc/grub.d/41_custom ###)
" ሱፐር ተጠቃሚዎችን አዘጋጅ = "ሥር"
password_pbkdf2 root hash"

እንደዚህ ያለ ነገር መሆን አለበት

# ይህ ፋይል ብጁ የምናሌ ግቤቶችን ለመጨመር ቀላል መንገድ ያቀርባል። በቀላሉ ይተይቡ
ከዚህ አስተያየት በኋላ ማከል የምትፈልጋቸው # የሜኑ ግቤቶች። እንዳይለወጥ ተጠንቀቅ
ከላይ የ ‹exec tail› መስመር ፡፡
### መጨረሻ /etc/grub.d/40_custom ###

### BEGIN /etc/grub.d/41_custom ###
ከሆነ [-f ${config_directory}/custom.cfg ]; ከዚያም
ምንጭ ${config_directory}/custom.cfg
elif [-z "${config_directory}" -a -f $prefix/custom.cfg ]; ከዚያም
ምንጭ $prefix/custom.cfg;
fi
ሱፐር ተጠቃሚዎችን አዘጋጅ = "ሥር"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### መጨረሻ /etc/grub.d/41_custom ###
#

ብዙ ጊዜ "grub-mkconfig -o /mnt/boot/grub/grub.cfg" የሚለውን ትዕዛዝ የምትጠቀም ከሆነ እና በ grub.cfg ላይ በየጊዜው ለውጦችን ማድረግ ካልፈለግክ ከላይ ያሉትን መስመሮች አስገባ። (መግቢያ፡ የይለፍ ቃል) ወደ GRUB የተጠቃሚ ስክሪፕት እስከ ታች 

nano /etc/grub.d/41_custom

ድመት<<EOF
ሱፐር ተጠቃሚዎችን አዘጋጅ = "ሥር"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

"grub-mkconfig -o /mnt/boot/grub/grub.cfg" ን ሲያመነጭ የማረጋገጫ ኃላፊነት ያላቸው መስመሮች በራስ-ሰር ወደ grub.cfg ይታከላሉ።
ይህ እርምጃ የGRUB2 ማረጋገጫ ማዋቀሩን ያጠናቅቃል።

C6.2. ቡት ጫኚውን በዲጂታል ፊርማ መጠበቅየግል ፒጂፒ ምስጠራ ቁልፍ እንዳለህ ይገመታል። (ወይም እንደዚህ አይነት ቁልፍ ይፍጠሩ). ክሪፕቶግራፊክ ሶፍትዌር በስርዓቱ ላይ መጫን አለበት: gnuPG; kleopatra/GPA; የባህር ፈረስ ክሪፕቶ-ሶፍትዌር እንደዚህ ባሉ ጉዳዮች ሁሉ ህይወትዎን በጣም ቀላል ያደርገዋል። Seahorse - የጥቅሉ የተረጋጋ ስሪት 3.14.0 (ከላይ ያሉት ስሪቶች, ለምሳሌ, V3.20 ዝቅተኛ እና ጉልህ የሆኑ ስህተቶች አሉት).

የፒጂፒ ቁልፉ መፈጠር/ማሄድ/መጨመር ያለበት በሱ አካባቢ ብቻ ነው!

የግል ምስጠራ ቁልፍ ይፍጠሩ

gpg - -gen-key

ቁልፍህን ወደ ውጪ ላክ

gpg --export -o ~/perskey

በስርዓተ ክወናው ውስጥ ሎጂካዊ ድራይቭን ገና ካልተጫነ ይጫኑ

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

የ GRUB2 ክፍልፍልን ያጽዱ

rm -rf /mnt/

የግል ቁልፍዎን በዋናው የ GRUB ምስል "core.img" ላይ በማድረግ GRUB2ን በsda6 ጫን

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

አማራጮች።
* --force - ሁልጊዜ ያሉትን ሁሉንም ማስጠንቀቂያዎች በማለፍ ቡት ጫኚውን ይጫኑ (አስፈላጊ ባንዲራ)።
* --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - GRUB2 በፒሲ ጅምር ላይ የሚያስፈልጉትን ሞጁሎች ቀድሞ እንዲጭን ያዛል።
* -k ~/perskey - ወደ "PGP ቁልፍ" የሚወስደው መንገድ (ቁልፉን ወደ ምስል ካሸጉ በኋላ ሊሰረዝ ይችላል).
* --root-directory -የቡት ማውጫን ወደ sda6 root አዘጋጅ
/dev/sda6 የእርስዎ sdaX ክፍልፍል ነው።

grub.cfg ይፍጠሩ/ያዘምኑ

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

በ"grub.cfg" ፋይል መጨረሻ ላይ "trust /boot/grub/perskey" የሚለውን መስመር አክል (pgp ቁልፍ ለመጠቀም አስገድድ።) የ"signature_test.mod" ፊርማ ሞጁሉን ጨምሮ GRUB2ን ከሞጁሎች ስብስብ ጋር ስለጫንን ይህ እንደ "set check_signatures=enforce" ወደ ውቅሩ ላይ የመጨመር አስፈላጊነትን ያስወግዳል።

እንደዚህ ያለ ነገር መምሰል አለበት። (የመጨረሻ መስመሮች በ grub.cfg ፋይል)

### BEGIN /etc/grub.d/41_custom ###
ከሆነ [-f ${config_directory}/custom.cfg ]; ከዚያም
ምንጭ ${config_directory}/custom.cfg
elif [-z "${config_directory}" -a -f $prefix/custom.cfg ]; ከዚያም
ምንጭ $prefix/custom.cfg;
fi
እምነት /boot/grub/perskey
ሱፐር ተጠቃሚዎችን አዘጋጅ = "ሥር"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### መጨረሻ /etc/grub.d/41_custom ###
#

ወደ "/boot/grub/perskey" የሚወስደው መንገድ ወደ አንድ የተወሰነ የዲስክ ክፍልፍል ማመልከት አያስፈልግም ለምሳሌ hd0,6 ለቡት ጫኚው ራሱ "root" GRUB2 የተጫነበት ክፍል ነባሪ መንገድ ነው። (ስብስብ rot=... ይመልከቱ)።

GRUB2 በመፈረም ላይ (ሁሉም ፋይሎች በሁሉም / GRUB ማውጫዎች) በእርስዎ "ፐርስኪ" ቁልፍ።
ቀላል መፍትሄ እንዴት መፈረም እንደሚቻል (ለ nautilus/caja አሳሽ)፡- ለአሳሹ "የባህር ፈረስ" ቅጥያውን ከማከማቻው ውስጥ ጫን። ቁልፍዎ ወደ ሱ አካባቢ መታከል አለበት።
አሳሹን ከ sudo "/mnt/boot" - RMB - ምልክት ይክፈቱ። በስክሪኑ ላይ ይህን ይመስላል

የዊንዶው ሊኑክስ የተጫኑ ስርዓቶች ሙሉ የዲስክ ምስጠራ። የተመሰጠረ ባለብዙ ቡት

ቁልፉ ራሱ "/mnt/boot/grub/perskey" ነው (ወደ ግሩብ ማውጫ ቅዳ) እንዲሁም በራሱ ፊርማ መፈረም አለበት. [*.sig] የፋይል ፊርማዎች በማውጫው/ንዑስ ማውጫዎች ውስጥ መታየታቸውን ያረጋግጡ።
ከላይ ባለው መንገድ "/boot" እንፈርማለን (የእኛ ከርነል፣ initrd)። ጊዜዎ ምንም ዋጋ ያለው ከሆነ ይህ ዘዴ "ብዙ ፋይሎችን" ለመፈረም የባሽ ስክሪፕት መፃፍን ያስወግዳል.

ሁሉንም የማስነሻ ጫኝ ፊርማዎችን ለማስወገድ (የሆነ ችግር ከተፈጠረ)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

ስርዓቱን ካዘመኑ በኋላ ቡት ጫኚውን ላለመፈረም ከ GRUB2 ጋር የተያያዙ ሁሉንም የዝማኔ ፓኬጆችን እናቆማለን።

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

በዚህ ደረጃ <ቡት ጫኚውን በዲጂታል ፊርማ መጠበቅ> የላቀ የGRUB2 ውቅር ይጠናቀቃል።

C6.3. በዲጂታል ፊርማ እና በማረጋገጫ የተጠበቀው የGRUB2 ማስነሻ ጫኝ ማረጋገጫ-ሙከራGRUB2. የጂኤንዩ/ሊኑክስ ስርጭትን በሚመርጡበት ጊዜ ወይም ወደ CLI ሲገቡ (የትእዛዝ መስመር) የሱፐር ተጠቃሚ ፍቃድ ያስፈልጋል። ትክክለኛውን የመግቢያ/የይለፍ ቃል ካስገቡ በኋላ ከ initrd የይለፍ ቃሉን ያስፈልገዎታል

የዊንዶው ሊኑክስ የተጫኑ ስርዓቶች ሙሉ የዲስክ ምስጠራ። የተመሰጠረ ባለብዙ ቡት
ቅጽበታዊ ገጽ እይታ፣ የተሳካ የGRUB2-ሱፐር ተጠቃሚ ማረጋገጫ።

ማናቸውንም የGRUB2 ፋይሎች ከፈጠሩ/በ grub.cfg ላይ ለውጦችን ካደረጉ ወይም ፋይሉን/ፊርማውን ከሰረዙ፣malicious module.mod ከጫኑ፣ተዛማጁ ማስጠንቀቂያ ይመጣል። GRUB2 ማስነሻ ባለበት ይቆማል።

የዊንዶው ሊኑክስ የተጫኑ ስርዓቶች ሙሉ የዲስክ ምስጠራ። የተመሰጠረ ባለብዙ ቡት
ቅጽበታዊ ገጽ እይታ, በ GRUB2 "ከውጭ" ውስጥ ጣልቃ ለመግባት ሙከራ.

በ"መደበኛ" ቡት "ምንም ጣልቃ መግባት የለም" ስር የስርዓት መውጫ ኮድ ሁኔታ "0" ነው። ስለዚህ, ጥበቃው ይሠራል ወይም አይሠራም አይታወቅም. (ይህም “በፊርማ ያለ ወይም ያለ ቡት ጫኚ ጥበቃ ያለ ፊርማ” በመደበኛ ቡት ጊዜ ሁኔታው ​​ተመሳሳይ “0” ነው - ይህ መጥፎ ነው)።

የዲጂታል ፊርማ ጥበቃን እንዴት ማረጋገጥ ይቻላል?

ለመፈተሽ የማይመች መንገድ፡ በ GRUB2 የሚጠቀመውን ሞጁል ፎርጅ/አስወግድ፣ ለምሳሌ የ luks.mod.sig ፊርማውን ያስወግዱ እና ስህተት ያግኙ።

ትክክለኛው መንገድ ወደ ቡት ጫኚው CLI መሄድ እና ትዕዛዙን መተየብ ነው

trust_list

በምላሹ, የ "ፐርስኪ" አሻራ መቀበል አለባቸው, ሁኔታው ​​"0" ከሆነ, የፊርማ መከላከያው አይሰራም, አንቀጽ C6.2 ሁለት ጊዜ ያረጋግጡ.
በዚህ ደረጃ፣ የላቀ ቅንብር "GRUB2ን በዲጂታል ፊርማ እና ማረጋገጫ ጠብቅ" አልቋል።

C7 አማራጭ ዘዴ GRUB2 ማስነሻን በሃሺንግ ለመጠበቅከላይ የተገለፀው "የሲፒዩ ሎደር / ማረጋገጫ" ዘዴ ክላሲክ ነው። በ GRUB2 አለፍጽምና ምክንያት፣ በአያአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአአ በአንቀጽ [F]። በተጨማሪም, OS / kernel ን ካዘመኑ በኋላ የቡት ጫኚውን እንደገና መፈረም አስፈላጊ ነው.

የGRUB2 ቡት ጫኚን በሃሽ መጠበቅ

በክላሲኮች ላይ ያሉ ጥቅሞች:

  • ከፍተኛ አስተማማኝነት ደረጃ (ሀሽግ/ማረጋገጫ የሚከናወነው ከተመሰጠረ የአካባቢ ሃብት ብቻ ነው። በ GRUB2 ሾር ያለው ሙሉው ክፍልፋይ ለማንኛውም ለውጦች ቁጥጥር የሚደረግበት ነው፣ እና ሁሉም ነገር የተመሰጠረ ነው፣ በጥንታዊው እቅድ በሲፒዩ ሎደር ጥበቃ/ማረጋገጫ ፋይሎች ብቻ ነው የሚቆጣጠሩት ግን ነፃ አይደሉም። ቦታ፣ “አስከፊ የሆነ ነገር” የሚጨመርበት)።
  • የተመሰጠረ ምዝግብ ማስታወሻ (ሊነበብ የሚችል የግል ኢንክሪፕትድ መዝገብ በእቅዱ ውስጥ ተጨምሯል)።
  • ፍጥነት (ለ GRUB2 የተመደበው አጠቃላይ ክፍልፍል ጥበቃ/ማረጋገጫ ወዲያውኑ ማለት ይቻላል ይከሰታል)።
  • የሁሉም ምስጠራ ሂደቶች አውቶማቲክ።

ወደ አንጋፋዎቹ አሉታዊ ጎኖች.

  • የሐሰት ፊርማ (በንድፈ ሃሳቡ, የተሰጠው የሃሽ ተግባር ግጭት ማግኘት ይቻላል).
  • የችግር ደረጃ ጨምሯል። (ከአንጋፋዎቹ ጋር ሲነጻጸር የጂኤንዩ/ሊኑክስ ስርዓተ ክወና ትንሽ ተጨማሪ እውቀት ያስፈልጋል)።

የ GRUB2/partition hashing ሃሳብ እንዴት እንደሚሰራ

የ GRUB2 ክፍል "የተፈረመ" ነው, ስርዓተ ክወናው ሲጫን, የቡት ጫኚው ክፍል የማይለዋወጥ መሆኑን ያረጋግጣል, ከዚያም ደህንነቱ በተጠበቀ አካባቢ (የተመሰጠረ). ቡት ጫኚው ወይም ክፍፍሉ ከተጣሰ፣ ከወረራ መዝገብ በተጨማሪ የሚከተለው

ነገር.የዊንዶው ሊኑክስ የተጫኑ ስርዓቶች ሙሉ የዲስክ ምስጠራ። የተመሰጠረ ባለብዙ ቡት

ተመሳሳይ የሆነ ቼክ በቀን አራት ጊዜ ይካሄዳል, ይህም የስርዓት ሀብቶችን አይጭንም.
የ"-$ check_GRUB" ትዕዛዙን በመጠቀም ፈጣን ፍተሻ በማንኛውም ጊዜ ሳይመዘገብ ይከሰታል፣ ነገር ግን ከ CLI መረጃ ጋር።
የ"-$ sudo GRUB_signature" ትዕዛዙን በመጠቀም የGRUB2 ቡት ጫኚ/ክፍልፋይ በቅጽበት እንደገና ተፈርሟል እና ምዝግብ ማስታወሻው ተዘምኗል። (ከስርዓተ ክወና/ቡት ማዘመኛ በኋላ ያስፈልጋል) እና ህይወት ይቀጥላል።

የቡት ጫኚው እና ክፍፍሉ የሃሺንግ ዘዴን መተግበር

0) የ GRUB ቡት ጫኚ/ክፍልፋይ መጀመሪያ ወደ /ሚዲያ/ተጠቃሚ ስም በመጫን እንፈርም።

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) ኢንክሪፕት በተደረገው OS ~/podpis ስር ያለ ቅጥያ ስክሪፕት እንፈጥራለን፣ አስፈላጊዎቹን መብቶች 744 ደህንነት እና ከ"ሞኝ" ጥበቃን ይተግብሩ።

በይዘት መሙላት

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

ስክሪፕቱን ከ su፣ የ GRUB ክፍልፍል እና የቡት ጫኚው hashing ይጣራሉ፣ ሎግ ያስቀምጡ።

ለምሳሌ “ተንኮል-አዘል ፋይል” [virus.mod] ወደ GRUB2 ክፍልፍል እንፍጠር ወይም እንቀዳ እና ጊዜያዊ ፍተሻ/ሙከራ እንሰራ።

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

CLI የእኛን ጠንካራ ምሽግ- ወረራ ማየት አለበት#የተራቆተ መዝገብ CLI

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

#እንደምታየው "ፋይሎች ተንቀሳቅሰዋል: 1 እና ኦዲት አልተሳካም" ታየ ይህም ማለት ቼኩ አልተሳካም ማለት ነው.
በተሞከረው ክፍል ልዩነት ምክንያት ከ"አዲስ ፋይሎች ተገኝተዋል" > "ፋይሎች ተንቀሳቅሰዋል" ከማለት ይልቅ

2) gif እዚህ > ~/warning.gif አስቀምጥ፣ ፈቃዶችን ወደ 744 አዘጋጅ።

3) በቡት ላይ የ GRUB ክፋይን በራስ-ሰር ለመጫን fstabን በማዋቀር ላይ

-$ sudo nano /etc/fstab

LABEL=GRUB /ሚዲያ/የተጠቃሚ ስም/GRUB ext4 ነባሪ 0 0

4) ምዝግብ ማስታወሻውን እናዞራለን

-$ sudo nano /etc/logrotate.d/podpis

/var/log/subpis.txt {
በየቀኑ
50 አሽከርክር
መጠን 5M
ቀን ቁጥር
ጨርቅ
መዘግየት
olddir /var/log/old
}

/var/log/vtorjenie.txt {
ወርሃዊ
5 አሽከርክር
መጠን 5M
ቀን ቁጥር
olddir /var/log/old
}

5) ወደ ክሮን ሥራ መጨመር

-$ sudo crontab -e

ዳግም አስነሳ '/የደንበኝነት ምዝገባ'
0 */6 * * * '/ subpis

6) ቋሚ ተለዋጭ ስሞችን ይፍጠሩ 

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

ከስርዓተ ክወና ዝመና በኋላ -$ apt-get upgrade የእኛን የ GRUB ክፍልፍል እንደገና በመፈረም ላይ
-$ подпись_GRUB
ይህ እርምጃ የ GRUB ክፍልፍል የሃሽ ጥበቃን ያጠናቅቃል።

[D] ማጽዳት - ያልተመሰጠረ ውሂብን ማጥፋት

የደቡብ ካሮላይና ቃል አቀባይ ትሬይ ጎውዲ እንዳሉት "እግዚአብሔር እንኳን ሊያነባቸው እንዳይችል" የግል ፋይሎችዎን ሙሉ በሙሉ ይሰርዙ።

እንደተለመደው የተለያዩ "አፈ ታሪኮች እና አፈ ታሪኮች", ከሃርድ ድራይቭ ላይ ከተሰረዘ በኋላ መረጃን ስለ መልሶ ማግኘት. በሳይበር-ጥንቆላ የሚያምኑ ከሆነ ወይም የዶክተር ድር ማህበረሰብ አባል ከሆኑ እና ከተሰረዙ/ከፃፉ በኋላ መረጃን መልሶ ለማግኘት ሞክረው የማያውቁ ከሆነ (ለምሳሌ በR-ስቱዲዮ ማገገም), ከዚያም የታቀደው ዘዴ እርስዎን ለማስማማት የማይመስል ነገር ነው, ወደ እርስዎ የሚቀርበውን ይጠቀሙ.

ጂኤንዩ/ሊኑክስን ወደ ኢንክሪፕት የተደረገ ክፍልፍል በተሳካ ሁኔታ ከተሸጋገረ በኋላ የድሮው ቅጂ እስከመጨረሻው መሰረዝ አለበት። ሁለንተናዊ የጽዳት ዘዴ፡ ሶፍትዌር ለዊንዶውስ/ሊኑክስ ነፃ GUI ሶፍትዌር ብሉክቢት.
በፍጥነት ክፋዩን መቅረጽ, ለማጥፋት የሚፈልጉትን ውሂብ (Gparted በመጠቀም) BleachBit ን ያሂዱ ፣ “ነፃ ቦታን ያፅዱ” ን ይምረጡ - ክፋይ ይምረጡ (የእርስዎ sdaX ካለፈው የጂኤንዩ/ሊኑክስ ቅጂ ጋር), የጽዳት ሂደቱ ይጀምራል. BleachBit - ዲስኩን በአንድ ማለፊያ ያብሳል - ይህ "የምንፈልገው" ነው, ግን! ይህ በንድፈ ሀሳብ የሚሰራው ድራይቭን ፎርማት ካደረጉት እና በ BB v2.0 ሶፍትዌር ውስጥ ካጸዱት ብቻ ነው።

ትኩረት! BB ዲስኩን ያብሳል፣ ሜታዳታን ይተዋል፣ መረጃ ሲጠፋ የፋይል ስሞች ይጠበቃሉ። (Ccleaner - ምንም ሜታዳታ አይተውም).

እና የውሂብ መልሶ ማግኛ ዕድል አፈ ታሪክ በእውነቱ ተረት አይደለም።Bleachbit V2.0-2 የቀድሞ ያልተረጋጋ ኦኤስ ዴቢያን ጥቅል (እና ሌሎች ተመሳሳይ ሶፍትዌሮች: sfill; wipe-Nautilus - በዚህ ቆሻሻ ንግድ ውስጥም ታይተዋል) በእርግጥ ወሳኝ ስህተት ነበረው፡ "ነጻ ቦታን የማጽዳት" ተግባር በስህተት ይሰራል በኤችዲዲ/ፍላሽ አንፃፊዎች ላይ (ntfs/ext4). የዚህ ዓይነቱ ሶፍትዌር, ነፃ ቦታን ሲያጸዱ, ብዙ ተጠቃሚዎች እንደሚያስቡት ሙሉውን ዲስክ አይጽፍም. እና አንዳንዶቹ (ብዙ) የተሰረዘ ውሂብ ኦኤስ/ሶፍትዌር ይህንን ውሂብ ያልተሰረዘ/የተጠቃሚ ውሂብ አድርጎ ይመለከተዋል እና ስርዓተ ክወናውን ሲያጸዱ እነዚህን ፋይሎች ይዘለላሉ። ችግሩ ከእንደዚህ አይነት ረጅም ጊዜ በኋላ ዲስኩን ማጽዳት ነው "የተሰረዙ ፋይሎች" መልሶ ማግኘት ይቻላል ከ 3+ ማለፍ በኋላ የዲስክ መጥረግ.
በጂኤንዩ/ሊኑክስ በብሌችቢት 2.0-2 ፋይሎችን እና ማውጫዎችን በቋሚነት የመሰረዝ ተግባራት በአስተማማኝ ሁኔታ ይሰራሉ ​​፣ ግን ነፃ ቦታን አያፀዱም። ለማነፃፀር በዊንዶውስ በሲክሊነር ሶፍትዌር ውስጥ "OSB for ntfs" ተግባር በትክክል ይሰራል እና እግዚአብሔር የተሰረዘውን ውሂብ ማንበብ አይችልም.

እና ስለዚህ, በደንብ ለማስወገድ "አቋራጭ" የድሮ ያልተመሰጠረ ውሂብ፣ Bleachbit ወደዚህ ውሂብ ቀጥተኛ መዳረሻ ይፈልጋል, እንግዲያውስ "ፋይሎችን / ማውጫዎችን መሰረዝ በማይቻል ሁኔታ" የሚለውን ተግባር ተጠቀም.
በዊንዶውስ ውስጥ "በተለምዶ የስርዓተ ክወና መሳሪያዎችን በመጠቀም የተሰረዙ ፋይሎችን" ለመሰረዝ ሲክሊነር / BB በ "OSB" ተግባር ይጠቀሙ. በዚህ ጉዳይ ላይ በጂኤንዩ/ሊኑክስ ላይ (የተሰረዙ ፋይሎችን በማስወገድ ላይ) በራስዎ ልምምድ ማድረግ ያስፈልግዎታል (ውሂብን መሰረዝ + እነሱን ወደነበሩበት ለመመለስ ገለልተኛ ሙከራ እና በሶፍትዌር ሥሪት ላይ አይተማመኑ (ዕልባት ካልሆነ ፣ ከዚያ ስህተት)), በዚህ ሁኔታ ውስጥ ብቻ የዚህን ችግር ዘዴ መረዳት እና የተሰረዘውን ውሂብ ሙሉ በሙሉ ማስወገድ ይችላሉ.

Bleachbit v3.0 አልፈተሸም፣ ምናልባት ችግሩ አስቀድሞ ተስተካክሏል።
Bleachbit v2.0 በታማኝነት ይሰራል።

ይህ ደረጃ የዲስክ ማጽጃውን ያጠናቅቃል.

[ኢ] አጠቃላይ የተመሰጠረ የስርዓተ ክወና ምትኬ

እያንዳንዱ ተጠቃሚ የውሂብ ምትኬን የማስቀመጥ የራሱ ዘዴ አለው፣ ነገር ግን የተመሰጠረው የ"System OS" ዳታ ለተግባሩ ትንሽ የተለየ አቀራረብ ይፈልጋል። እንደ "Clonezilla" እና ተመሳሳይ ሶፍትዌሮች ያሉ የተዋሃዱ ሶፍትዌሮች ከተመሰጠረ ውሂብ ጋር በቀጥታ መስራት አይችሉም።

ለተመሰጠሩ ማገጃ መሳሪያዎች የመጠባበቂያ ተግባሩን በማዘጋጀት ላይ፡

  1. ሁለንተናዊነት - ተመሳሳይ አልጎሪዝም / የመጠባበቂያ ሶፍትዌር ለዊንዶውስ / ሊኑክስ;
  2. ተጨማሪ የሶፍትዌር ማውረዶች ሳያስፈልግ በኮንሶል ውስጥ ከማንኛውም የቀጥታ ዩኤስቢ ጂኤንዩ/ሊኑክስ ጋር የመስራት ችሎታ (ግን አሁንም GUI ን እንመክራለን);
  3. የመጠባበቂያ ደህንነት - የተከማቹ "ምስሎች" መመስጠር አለባቸው / በይለፍ ቃል የተጠበቀ;
  4. የተመሰጠረው መረጃ መጠን ከትክክለኛው የተቀዳ ውሂብ መጠን ጋር መዛመድ አለበት;
  5. አስፈላጊ የሆኑትን ፋይሎች ከመጠባበቂያው ውስጥ ምቹ ማውጣት (መጀመሪያ ሙሉውን ክፍል ዲክሪፕት ለማድረግ ምንም መስፈርት የለም)።

ለምሳሌ፣ በ"dd" መገልገያ በኩል ምትኬ/ወደነበረበት መመለስ

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

ከሞላ ጎደል ሁሉንም የተግባር ነጥቦች ጋር ይዛመዳል, ነገር ግን በአንቀጽ 4 መሰረት ለትችት አይቆምም, ነፃ ቦታን ጨምሮ ሙሉውን የዲስክ ክፍልፍል ስለሚገለበጥ - አስደሳች አይደለም.

ለምሳሌ GNU/Linux ምትኬ በ[tar" | gpg] ምቹ ነው, ነገር ግን ለዊንዶውስ ምትኬ ሌላ መፍትሄ መፈለግ አለብዎት - አስደሳች አይደለም.

E1. ሁለንተናዊ ዊንዶውስ/ሊኑክስ ምትኬ። Bundle rsync (Grsync) + VeraCrypt ድምጽምትኬን ለመፍጠር አልጎሪዝም፡-

  1. የተመሰጠረ መያዣ መፍጠር (ድምጽ/ፋይል) VeraCrypt ለስርዓተ ክወና;
  2. የ Rsync ሶፍትዌርን በመጠቀም የስርዓተ ክወናውን ማስተላለፍ / ማመሳሰል ወደ ቬራክሪፕት ክሪፕቶ ኮንቴይነር;
  3. አስፈላጊ ከሆነ የVeraCrypt ድምጽን ወደ www.

የተመሰጠረ የቬራክሪፕት መያዣ መፍጠር የራሱ ባህሪያት አሉት፡-
ተለዋዋጭ መጠን መፍጠር (የዲቲ መፈጠር በዊንዶውስ ውስጥ ብቻ ይገኛል፣ በጂኤንዩ/ሊኑክስም መጠቀም ይቻላል);
መደበኛ መጠን መፍጠር, ነገር ግን "ፓራኖይድ ተፈጥሮ" አንድ መስፈርት አለ. (እንደ ገንቢው) - መያዣ ቅርጸት.

ተለዋዋጭ የድምጽ መጠን በዊንዶውስ ውስጥ ወዲያውኑ ይፈጠራል, ነገር ግን ከጂኤንዩ/ሊኑክስ> ቬራክሪፕት ዲቲ ውሂብ ሲገለበጥ አጠቃላይ የመጠባበቂያ ክዋኔው አፈጻጸም በእጅጉ ይቀንሳል.

መደበኛ 70 ጂቢ የሁለት ዓሣ መጠን ይፈጠራል። (በአማካይ ፒሲ ሃይል እንበል) ወደ HDD ~ በግማሽ ሰዓት ውስጥ (በደህንነት መስፈርቶች ምክንያት የቀድሞውን መያዣ ውሂብ በአንድ ማለፊያ መገልበጥ). ከቬራክሪፕት ዊንዶውስ/ሊኑክስ በተፈጠረበት ጊዜ የድምጽ መጠንን በፍጥነት የመቅረጽ ተግባር ተወግዷል፣ ስለዚህ የእቃ መያዢያ መፈጠር የሚቻለው “በአንድ ማለፊያ መፃፍ” ወይም ዝቅተኛ አፈጻጸም ያለው ተለዋዋጭ መጠን በመፍጠር ብቻ ነው።

መደበኛ የቬራክሪፕት መጠን ይፍጠሩ (ተለዋዋጭ/ntfs አይደለም)፣ ምንም ችግሮች ሊኖሩ አይገባም።

መያዣውን በVeraCrypt GUI> ጂኤንዩ/ሊኑክስ የቀጥታ ዩኤስቢ ውስጥ ያቀናብሩ/ፍጠር/ ክፈት (ድምጹ በራስ-ሰር በ / media/veracrypt2 ይጫናል ፣ የዊንዶውስ ኦኤስ ድምጽ በ / ሚዲያ / veracrypt1 ላይ ተጭኗል)። የ rsync GUI በመጠቀም የተመሰጠረ የዊንዶውስ ምትኬ መፍጠር (grsync)ሳጥኖቹን በማጣራት.

የዊንዶው ሊኑክስ የተጫኑ ስርዓቶች ሙሉ የዲስክ ምስጠራ። የተመሰጠረ ባለብዙ ቡት

የሂደቱን መጨረሻ ይጠብቁ. መጠባበቂያው ሲጠናቀቅ አንድ የተመሰጠረ ፋይል ይኖረናል።

በተመሳሳይ፣ የ "Windows ተኳሃኝ" Rsync GUI ን ምልክት በማድረግ የጂኤንዩ/ሊኑክስ ኦኤስ የመጠባበቂያ ቅጂ ይፍጠሩ።

ትኩረት! በፋይል ስርዓቱ ላይ ለ "ጂኤንዩ/ሊኑክስ ምትኬ" የቬራክሪፕት መያዣ ይፍጠሩ EX4. በ ntfs መያዣ ላይ ምትኬን ከሰሩ ፣ እንደዚህ ዓይነቱን ቅጂ ወደነበረበት ሲመልሱ ለሁሉም ውሂብዎ ሁሉንም መብቶች / ቡድኖች ያጣሉ ።

በተርሚናል ውስጥ ሁሉንም ስራዎች ማከናወን ይችላሉ. ለ rsync መሰረታዊ አማራጮች
* -g - ቡድኖችን ማስቀመጥ;
* -P - እድገት - በፋይሉ ላይ ያለው የሥራ ጊዜ ሁኔታ;
* -ኤች - ሃርድሊንኮችን እንደ ሁኔታው ​​ይቅዱ;
* -የማህደር ሁነታ (በርካታ rlptgoD ባንዲራዎች);
* -v -የቃላት አነጋገር።

"Windows VeraCrypt volume" በኮንሶሉ በኩል በcryptsetup ሶፍትዌር ላይ መጫን ከፈለክ ተለዋጭ ስም መፍጠር ትችላለህ (ሱ)

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

አሁን, በ "veramount images" ትዕዛዝ, የይለፍ ሐረግ እንዲያስገቡ ይጠየቃሉ, እና ኢንክሪፕት የተደረገው የዊንዶውስ ስርዓት ድምጽ በስርዓተ ክወናው ውስጥ ይጫናል.

ካርታ/ ተራራ ቬራክሪፕት የስርዓት መጠን በክሪፕትሴፕት ትእዛዝ

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

ካርታ/ ተራራ የቬራክሪፕት ክፋይ/መያዣ በcryptsetup ትዕዛዝ

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

ከቅጽል ስም ይልቅ፣ የስርዓት ድምጽ ከዊንዶውስ ኦኤስ ጋር እና ሎጂካዊ ኢንክሪፕት የተደረገ ntfs ዲስክን ወደ ጂኤንዩ/ሊኑክስ አውቶሞቢል እንጨምር።

ስክሪፕት ይፍጠሩ እና ወደ ~/VeraOpen.sh ያስቀምጡት።

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

"እውነተኛ" መብቶችን እንሰጣለን- 

sudo chmod 100 /VeraOpen.sh

በ /etc/rc.local እና ~/etc/init.d/rc.local ውስጥ ሁለት ተመሳሳይ ፋይሎችን ይፍጠሩ (ተመሳሳይ ስም!)
ፋይሎቹን መሙላት 

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will ÂŤexit 0Âť on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

"እውነተኛ" መብቶችን እንሰጣለን- 

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local

ያ ብቻ ነው፣ አሁን GNU/Linux ን ስንነሳ ኢንክሪፕትድ የተደረጉ ntfs ዲስኮችን ለመጫን የይለፍ ቃሎችን ማስገባት አያስፈልገንም፣ ዲስኮች በራስ-ሰር ይጫናሉ።

ከላይ በአንቀጽ E1 ላይ ስለተገለጸው በአጭሩ ማስታወሻ ደረጃ በደረጃ (አሁን ግን ለ OS GNU/Linux)
1) በfs ext4> 4gb (ለፋይል) ሊኑክስ በቬራክሪፕት [ክሪፕቶ ቦክስ] ውስጥ ድምጽ ይፍጠሩ።
2) ወደ ዩኤስቢ ቀጥታ አስነሳ.
3) ~$ cryptsetup open /dev/sda7 Lunux #የተመሰጠረውን ክፋይ ያፕሉ።
4) ~$ mount /dev/mapper/Linux /mnt #የተመሰጠረውን ክፍልፍል በ /mnt ጫን።
5) ~$ mkdir mnt2 #ለወደፊቱ ምትኬ የሚሆን ማውጫ ይፍጠሩ።
6) ~$ cryptsetup open --veracrypt --type tcrypt ~/Cryptobox Cryptobox && mount /dev/mapper/Cryptobox /mnt2 # "Cryptobox" የተሰየመውን የቬራክሪፕት መጠን ካርታ እና ክሪፕቶቦክስን በ /mnt2 ይጫኑ።
7) ~$ rsync -avlxhHX --progress /mnt /mnt2/ #ኦፕሬሽን ኢንክሪፕትድ የተደረገ ክፍልፍልን ወደ ቬራክሪፕት ኢንክሪፕት የተደረገ የድምጽ መጠን መጠባበቂያ።

(ገጽ/ሰ/ ትኩረት! ኢንክሪፕት የተደረገ ጂኤንዩ/ሊኑክስን ከአንድ አርክቴክቸር/ማሽን ወደ ሌላ እያስተላለፉ ከሆነ፣ ለምሳሌ ኢንቴል> AMD (ማለትም መጠባበቂያ ቅጂ ከአንድ ኢንክሪፕት የተደረገ ክፍል ወደ ሌላ ኢንቴል> AMD ኢንክሪፕትድ ክፋይ ማሰማራት)። አንዳትረሳው ኢንክሪፕት የተደረገውን OS ካስተላለፉ በኋላ በይለፍ ቃል ምትክ ሚስጥራዊ ምትክ ቁልፍን ያርትዑ ፣ ምናልባት ። የቀደመው ቁልፍ ~/ወዘተ/ስካይ - ከአሁን በኋላ ከሌላ ኢንክሪፕትድ ክፍልፋይ ጋር አይመጣጠንም እና አዲስ ቁልፍ ለመፍጠር የማይፈለግ ነው "cryptsetup luksAddKey" ከ chroot ስር - ችግር ሊኖር ይችላል ፣ ልክ በ ~/ወዘተ/crypttab ውስጥ ለጊዜው "ምንም ይግለጹ" " ከ"/ወዘተ/skey" ይልቅ፣ ዳግም ከተጫነ በኋላ እና ስርዓተ ክወናውን ከገባህ ​​በኋላ ሚስጥራዊ የተተካ ቁልፍህን እንደገና አሳድገው።

የአይቲ አርበኞች እንደመሆናችሁ፣ የተመሰጠሩ የዊንዶውስ/ሊኑክስ ኦኤስ ክፍልፋዮችን ራስጌዎች ለየብቻ ምትኬ ማስቀመጥን አይርሱ፣ አለበለዚያ ምስጠራው በእርስዎ ላይ ይሆናል።
በዚህ ደረጃ, የተመሰጠሩት ስርዓተ ክወናዎች መጠባበቂያ ይጠናቀቃል.

[ኤፍ] በGRUB2 ቡት ጫኚ ላይ ጥቃት

ዝርዝሮችን ይመልከቱቡት ጫኚዎን በዲጂታል ፊርማ እና/ወይም በማረጋገጥ ከጠበቁት። (ንጥል C6 ይመልከቱ።), ከዚያ ይህ ከአካላዊ ተደራሽነት አይከላከልም. የተመሰጠረ ውሂብ አሁንም ተደራሽ አይሆንም፣ ግን የጥበቃ ማለፍ (የዲጂታል ፊርማ ጥበቃን ዳግም አስጀምር) GRUB2 ሳይበርቪላኖች ያለምንም ጥርጣሬ ኮዳቸውን ወደ ቡት ጫኚው ውስጥ እንዲያስገቡ ያስችላቸዋል (ተጠቃሚው የቡት ጫኙን ሁኔታ በእራሱ ካልተከታተለ፣ ወይም የራሳቸውን ጠንካራ ብጁ ስክሪፕት-ኮድ ለ grub.cfg ካላመጡ በስተቀር)።

የጥቃት ስልተ ቀመር. ሰርጎ ገዳይ

* ፒሲን ከቀጥታ ዩኤስቢ ያስነሳል። ማንኛውም ለውጥ (ወንጀለኛ) ፋይሎች ወደ ቡት ጫኚው ውስጥ ስለመግባት እውነተኛውን የፒሲ ባለቤት ያሳውቃሉ። ግን grub.cfg ን በማቆየት የ GRUB2 ቀላል ዳግም መጫን (እና እሱን ለማረም የሚቀጥለው እድል) አጥቂ ማንኛውንም ፋይሎች እንዲያርትዕ ይፈቅድለታል (በዚህ ሁኔታ GRUB2ን ሲጭኑ እውነተኛው ተጠቃሚ አይታወቅም። ሁኔታው ​​ተመሳሳይ ነው <0>)
* ያልተመሰጠረ ክፍልፍል ይሰቀል፣ "/mnt/boot/grub/grub.cfg" ያስቀምጣል።
* ቡት ጫኚን እንደገና ጫን ("perskey" ከcore.img ምስል በማስወገድ ላይ)

grub-install --force --root-directory=/mnt /dev/sda6

* "grub.cfg"> "/mnt/boot/grub/grub.cfg" ይመልሳል፣ ካስፈለገ ያስተካክለዋል፣ ለምሳሌ የ"keylogger.mod" ሞጁሉን ከሎደር ሞጁሎች ጋር ወደ ማህደሩ በማከል በ"grub.cfg" > መስመር "insmod ኪይሎገር". ወይም ለምሳሌ ፣ ጠላት ተንኮለኛ ከሆነ ፣ ከዚያ GRUB2 ን እንደገና ከጫኑ በኋላ (ሁሉም ፊርማዎች በቦታቸው ይቆያሉ) "grub-mkimage with the (-c) አማራጭ" በመጠቀም ዋናውን GRUB2 ምስል ይገነባል። የ "-c" አማራጭ ዋናውን "grub.cfg" ከመጫንዎ በፊት የእርስዎን ውቅረት እንዲጭኑ ይፈቅድልዎታል. አወቃቀሩ አንድ መስመር ብቻ ሊይዝ ይችላል፡ ወደ ማንኛውም "modern.cfg" አዙር፣ ከለምሳሌ ~400 ፋይሎች ጋር ተቀላቅሏል። (ሞጁሎች+ ፊርማዎች) በ / boot/grub/i386-pc አቃፊ ውስጥ. በዚህ አጋጣሚ ወንጀለኛው የዘፈቀደ ኮድ ማስተዋወቅ እና ሞጁሎችን "/boot/grub/grub.cfg" ሳይነካው ተጠቃሚው "hashsum" በፋይሉ ላይ ቢተገበርም እና ለጊዜው በስክሪኑ ላይ ቢያሳየውም።
አጥቂው የ GRUB2 ሱፐር ተጠቃሚ መግቢያ / ይለፍ ቃል መሰንጠቅ አያስፈልገውም ፣ መስመሮቹን መቅዳት ብቻ ይፈልጋል ። (የማረጋገጫ ሃላፊነት ያለው) "/boot/grub/grub.cfg" ወደ የእርስዎ "modern.cfg"

ሱፐር ተጠቃሚዎችን አዘጋጅ = "ሥር"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

እና የፒሲ አስተናጋጁ አሁንም GRUB2 ሱፐር ተጠቃሚ ማረጋገጫ ይኖረዋል።

ሰንሰለት መጫን (ቡት ጫኚ ሌላ ቡት ጫኝ ይጭናል), ከላይ እንደተገለጸው, ትርጉም አይሰጥም (የተለየ አላማ ነው). በ BIOS ምክንያት, ኢንክሪፕት የተደረገው ቡት ጫኝ መጫን አይቻልም (በሰንሰለት ሲጫኑ GRUB2 እንደገና ይጀምራል > የተመሰጠረ GRUB2፣ ስህተት!). ነገር ግን፣ የሰንሰለት ጭነት ሃሳብን አሁንም ከተጠቀሙ፣ እየተጫነ ያለው ኢንክሪፕትድ የተደረገው መሆኑን እርግጠኛ መሆን ይችላሉ። (አልተሻሻለም) "grub.cfg" ከተመሰጠረ ክፍልፍል። እና ይህ ደግሞ የተሳሳተ የደህንነት ስሜት ነው, ምክንያቱም ሁሉም ነገር በተመሰጠረ "grub.cfg" ውስጥ የተዘረዘሩ ናቸው. (ሞዱል መጫን) ካልተመሰጠረ GRUB2 ከተጫኑ ሞጁሎች ጋር ቁልል።

ይህንን መፈተሽ ከፈለጉ ሌላ የsdayY ክፍልፋይ ይመድቡ/ማመስጠሩት፣ GRUB2ን ወደ እሱ ይቅዱ። (የተመሰጠረ ክፋይ ላይ grub-install ክወና ማድረግ አይቻልም) እና በ "grub.cfg" (ያልተመሰጠረ ውቅር) መስመሮችን እንደዚህ ይቀይሩ

menuentry 'GRUBx2' --class parrot --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
ጫን_ቪዲዮ
insmod gzio
ከሆነ [x$ grub_platform = xxen]; ከዚያም insmod xzio; insmod lzopio; fi
insmod ክፍል_msdos
insmod cryptodisk
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
ኢሞሞድ ኤክስ 2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
መደበኛ /boot/grub/grub.cfg
}

መስመሮች
* insmod - ከተመሰጠረ ዲስክ ጋር ለመስራት አስፈላጊ የሆኑትን ሞጁሎች መጫን;
* GRUBx2 - በ GRUB2 ማስነሻ ምናሌ ውስጥ የሚታየው መስመር ስም;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 - ይመልከቱ fdisk -l (sda9);
* ሥር አዘጋጅ - ሥር ቅንብር;
* መደበኛ /boot/grub/grub.cfg - በተመሰጠረ ክፋይ ላይ ሊተገበር የሚችል የውቅር ፋይል።

እየተጫነ ያለው ኢንክሪፕትድ የተደረገው “grub.cfg” መሆኑን መተማመን በ GRUB ሜኑ ውስጥ “GRUBx2” የሚለውን መስመር ሲመርጡ የይለፍ ቃሉን ለማስገባት / “sdaY” ን ለመክፈት አዎንታዊ ምላሽ ነው።

በ CLI ውስጥ ሲሰሩ, ግራ እንዳይጋቡ (እና "የስር ስር" የአካባቢ ተለዋዋጭ መስራቱን ያረጋግጡ) ባዶ ምልክት ማድረጊያ ፋይሎችን ይፍጠሩ፣ ለምሳሌ፣ በተመሰጠረው ክፍል "/ shifr_grub"፣ ባልተመሰጠረ ክፍል"/noshifr_grub" ውስጥ። በ CLI ውስጥ ማረጋገጫ 

cat /Tab-Tab

ከላይ እንደተገለፀው, እንደዚህ ያሉ ሞጁሎች በፒሲዎ ላይ ካበቁ ይህ ተንኮል አዘል ሞጁሎችን ለማውረድ አይረዳዎትም. ለምሳሌ፣ ኪይሎገር የፒሲ አካላዊ መዳረሻ ባለው አጥቂ እስኪወርድ ድረስ ቁልፎችን ወደ ፋይል ማስቀመጥ እና በ"~/i386" ውስጥ ከሌሎች ፋይሎች ጋር መቀላቀል ይችላል።

የዲጂታል ፊርማ ጥበቃ ንቁ መሆኑን ለማረጋገጥ ቀላሉ መንገድ (ዳግም አልተጀመረም), እና ማንም ሰው ቡት ጫኚውን አልወረረውም, በ CLI ውስጥ ትዕዛዙን እንጽፋለን

list_trusted

በምላሹ የኛን "ፐርስኪ" ውሰድ ወይም ጥቃት ከደረሰብን ምንም ነገር አናገኝም (እንዲሁም "set check_signatures=enforce" የሚለውን ማረጋገጥ ያስፈልጋል).
የእንደዚህ አይነት እርምጃ ትልቅ ኪሳራ ትዕዛዞችን በእጅ መተየብ ነው። ይህንን ትእዛዝ ወደ "grub.cfg" ካከሉ እና አወቃቀሩን በዲጂታዊ መንገድ ከፈረሙ፣ በስክሪኑ ላይ ያለው ቀዳሚ ውፅዓት በስክሪኑ ላይ ያለው የጊዜ ገደብ በጣም አጭር ነው፣ እና የ GRUB2 ቡት ሲያገኙ ውጤቱን ለማየት ጊዜ ላይኖርዎት ይችላል። .
በተለይ የሚያማርር ሰው የለም፡ ገንቢው በእሱ ውስጥ ሰነድ አንቀጽ 18.2 በይፋ ይናገራል

“በ GRUB የይለፍ ቃል ጥበቃ እንኳን GRUB ራሱ ወደ ማሽኑ አካላዊ መዳረሻ ያለው ሰው የማሽኑን ፈርምዌር (ለምሳሌ Coreboot ወይም BIOS) ውቅር በማስተካከል ማሽኑ ከተለየ (በአጥቂ ቁጥጥር ስር ያለ) መሳሪያ እንዳይነሳ መከላከል እንደማይችል ልብ ይበሉ። GRUB በአስተማማኝ የቡት ሰንሰለት ውስጥ አንድ አገናኝ ብቻ ነው።

GRUB2 የውሸት ደህንነትን ሊሰጡ በሚችሉ ባህሪያት ከመጠን በላይ ተጭኗል፣ እና እድገቱ አስቀድሞ ከኤምኤስ-DOS ተግባር በልጦታል፣ እና ቡት ጫኚ ብቻ ነው። GRUB2 - "ነገ" ስርዓተ ክወና እና ሊነሳ የሚችል ጂኤንዩ / ሊኑክስ ቨርቹዋል ማሽኖች ሊሆን መቻሉ አስቂኝ ነው።

የGRUB2 ዲጂታል ፊርማ ጥበቃን እንዴት ዳግም እንዳስጀመርኩ እና ጣልቃ መግባቴን ለእውነተኛ ተጠቃሚ እንዳወኩ አጭር ቪዲዮ (ፈራሁህ፣ ግን በቪዲዮው ላይ ከሚታየው ነገር ይልቅ፣ ምንም ጉዳት የሌለው የዘፈቀደ ኮድ/.mod) መጻፍ ትችላለህ።.

መደምደሚያ-

1) ለዊንዶውስ የስርዓት ምስጠራን አግድ - ለመተግበር ቀላል እና በአንድ የይለፍ ቃል ጥበቃ ከብዙ የይለፍ ቃሎች በጂኤንዩ / ሊኑክስ ማገጃ ስርዓት ምስጠራ ከመጠበቅ የበለጠ ምቹ ነው ፣ በፍትሃዊነት: የኋለኛው በራስ-ሰር ነው።

2) ጽሑፉን እንደ አስፈላጊነቱ ፣ በዝርዝር ጻፍኩት ቀላል የሙሉ ዲስክ ምስጠራ መመሪያ ቬራክሪፕት/LUKS በአንድ ቤት ማሽኑ፣ ይህም በ runet (IMHO) እጅግ በጣም ጥሩ ነው። መመሪያው> 50k ቁምፊዎች ስለሆነ አንዳንድ አስደሳች ምዕራፎችን አላካተተም: ስለ ሚጠፉ / በጥላ ውስጥ ስለሚቆዩ ክሪፕቶግራፈር; በተለያዩ የጂኤንዩ / ሊኑክስ መጽሃፎች ውስጥ ስለ ክሪፕቶግራፊ ትንሽ መፃፍ አለመኖሩን ፣ ስለ የሩሲያ ፌዴሬሽን ሕገ መንግሥት አንቀጽ 51; ኦ ፈቃድ መስጠት/እገዳ በሩሲያ ውስጥ ምስጠራ, ለምን "root / boot" ማመስጠር ያስፈልግዎታል. መመሪያው ቀድሞውንም ጠቃሚ ሆኖ ተገኝቷል፣ ግን ዝርዝር ነው። (ቀላል ደረጃዎችን እንኳን ይገልጻል), በተራው, ይህ ወደ "እውነተኛ ምስጠራ" ሲገቡ ብዙ ጊዜ ይቆጥብልዎታል.

3) ሙሉ-ዲስክ ምስጠራን በዊንዶውስ 7 64 አከናውኗል; ጂኤንዩ/ሊኑክስ ፓሮት 4x; ጂኤንዩ/ዴቢያን 9.0/9.5.

4) የተሳካ ጥቃትን ተግባራዊ አድርጓል የእሱ GRUB2 ቡት ጫኚ።

5) ማጠናከሪያ ትምህርቱ የተፈጠረው በሲአይኤስ ውስጥ ያሉትን ሁሉንም ፓራኖይድ ለመርዳት ሲሆን ምስጠራ በህጋዊ መንገድ የተፈቀደ ነው። እና በመጀመሪያ ፣ የተዋቀሩ ስርዓቶቻቸውን ሳያፈርሱ ሙሉ-ዲስክ ምስጠራን ማንከባለል ለሚፈልጉ።

6) በ2020 ጠቃሚ የሆነውን መመሪያውን ተሻሽሎ አዘምኗል።

[ጂ] ጠቃሚ ሰነዶች

  1. የትሩክሪፕት የተጠቃሚ መመሪያ (የካቲት 2012 ዓ.ም.)
  2. የቬራክሪፕት ሰነድ
  3. /usr/share/doc/cryptsetup(-run) [አካባቢያዊ ማጋራት] (የጂኤንዩ/ሊኑክስ ምስጠራን ከክሪፕትሴፕት ጋር ስለማዋቀር ይፋዊ ዝርዝር ሰነድ)
  4. ይፋዊ ምስጠራ ተደጋጋሚ ጥያቄዎች (ጂኤንዩ/ሊኑክስ ምስጠራን ከክሪፕትሴፕ ጋር በማቀናበር ላይ አጭር ሰነድ)
  5. የLUKS መሣሪያ ምስጠራ (የአርክሊኑክስ ሰነድ)
  6. የ cryptsetup አገባብ ዝርዝር መግለጫ (የቅስት መመሪያ ገጽ)
  7. የ crypttab ዝርዝር መግለጫ (የቅስት መመሪያ ገጽ)
  8. GRUB2 ኦፊሴላዊ ሰነዶች.

መለያዎች፡ ሙሉ የዲስክ ምስጠራ፣ ክፍልፋይ ምስጠራ፣ ሊኑክስ ሙሉ የዲስክ ምስጠራ፣ LUKS1 ሙሉ የስርዓት ምስጠራ።

በዳሰሳ ጥናቱ ውስጥ የተመዘገቡ ተጠቃሚዎች ብቻ መሳተፍ ይችላሉ። ስግን እንእባክህን።

ኢንክሪፕት ያደርጋሉ?

  • 17,1%የምችለውን ሁሉ ኢንክሪፕት አደርጋለሁ። ፓራኖይድ ነኝ።14

  • 34,2%ጠቃሚ ዳታ ብቻ ነው የምመሰጥርው።28

  • 14,6%አንዳንዴ ኢንክሪፕት አደርጋለሁ አንዳንዴ እረሳለሁ።12

  • 34,2%አይ, አላመሰጥርም, የማይመች እና ውድ ነው.28

82 ተጠቃሚዎች ድምጽ ሰጥተዋል። 22 ተጠቃሚዎች ድምፀ ተአቅቦ አድርገዋል።

ምንጭ: hab.com

አስተያየት ያክሉ