Windows Linux quraşdırılmış sistemlərinin tam disk şifrələməsi. Şifrələnmiş multiboot

Runet V0.2-də tam disk şifrələməsi üçün öz bələdçisi yeniləndi.

Kovboy strategiyası:

[A] Quraşdırılmış sistemin Windows 7 blok sistemi şifrələməsi;
[B] GNU/Linux blok sistemi şifrələməsi (Debian) quraşdırılmış sistem (o cümlədən /boot);
[C] GRUB2 quraşdırma, rəqəmsal imza/identifikasiya/heşinq ilə yükləyicinin qorunması;
[D] təmizləmə - şifrələnməmiş məlumatların məhv edilməsi;
[E] şifrələnmiş ƏS-nin universal ehtiyat nüsxəsi;
[F] hücumu <at [C6]> hədəfi - GRUB2 yükləyicisi;
[G] Faydalı sənədlər.

╭───Sxem #otaq 40# :
├──╼ Windows 7 quraşdırılıb - tam sistem şifrələməsi, gizli deyil;
├──╼ GNU/Linux quraşdırılıb (Debian və törəmə paylamalar) - tam sistem şifrələməsi gizli deyil(/, o cümlədən /boot; dəyişdirmə);
├──╼ müstəqil yükləyicilər: MBR-də quraşdırılmış VeraCrypt yükləyicisi, genişləndirilmiş bölmədə quraşdırılmış GRUB2 yükləyicisi;
├──╼ ƏS-nin quraşdırılması/yenidən quraşdırılması tələb olunmur;
└──╼ istifadə olunan kriptoqrafik proqram təminatı: VeraCrypt; Kriptosetup; gnupg; dəniz atı; hashdeep; GRUB2 - Pulsuz/Pulsuz.

Yuxarıdakı sxem "flash sürücüyə uzaqdan yükləmə" problemini qismən həll edir, şifrələnmiş Windows / Linux OS-dən istifadə etməyə və bir OS-dən digərinə "şifrlənmiş kanal" vasitəsilə məlumat mübadiləsinə imkan verir.

PC yükləmə sırası (seçimlərdən biri):

• maşını işə salmaq;
• VeraCrypt yükləyicisini endirmək (düzgün parol daxil edilməsi Windows 7-ni yükləməyə davam edəcək);
• "Esc" düyməsini basmaq GRUB2 yükləyicisini yükləyəcək;
• GRUB2 yükləyicisi (paylama seçimi/GNU/Linux/CLI), GRUB2 superuserinin autentifikasiyasını tələb edəcək <login/password>;
• uğurlu autentifikasiyadan və paylamanın seçilməsindən sonra "/boot/initrd.img" kilidini açmaq üçün parol daxil etməlisiniz;
• GRUB2-də düzgün parolları daxil etdikdən sonra parol daxil etmək "tələb olunur" (ard-arda üçüncü, BIOS parolu və ya GNU/Linux istifadəçi hesabı parolu - nəzərə alınmır) GNU/Linux ƏS-nin kilidini açmaq və yükləmək və ya gizli açarın avtomatik dəyişdirilməsi (iki parol + açar və ya parol + açar);
• GRUB2 konfiqurasiyasına xarici müdaxilə GNU/Linux yükləmə prosesini donduracaq.

Problemli? Yaxşı, gəlin prosesləri avtomatlaşdıraq.

Sərt diski bölmək zamanı (MBR cədvəli) PC-də 4-dən çox əsas arakəsmə və ya 3 əsas və bir uzadılmış, eləcə də bölüşdürülməmiş sahə ola bilər. Genişləndirilmiş bölmə, əsas hissədən fərqli olaraq, alt bölmələri ehtiva edə bilər. (məntiqi disklər = uzadılmış bölmə). Başqa sözlə, HDD-də "genişlənmiş bölmə" cari tapşırıq üçün LVM-i əvəz edir: tam sistem şifrələməsi. Əgər diskiniz 4 əsas hissəyə bölünübsə, siz lvm-dən istifadə etməlisiniz və ya transformasiya etməlisiniz (formatlama ilə) əsasdan qabaqcıl bölməyə keçin və ya dörd bölmənin hamısından bacarıqla istifadə edin və istədiyiniz nəticəni əldə edərək hər şeyi olduğu kimi buraxın. Diskinizdə yalnız bir bölməniz olsa belə, Gparted HDD-ni bölməyə kömək edəcək (əlavə bölmələr üçün) məlumat itkisi olmadan, lakin hələ də bu cür hərəkətlər üçün ödəmək üçün kiçik bir qiymətlə.

Bütün məqalənin şifahi şəkildə ifadə ediləcəyi sabit diskin yerləşdirmə sxemi aşağıdakı cədvəldə təqdim olunur.

1TB bölmələrinin cədvəli (No 1).

Bənzər bir şeyiniz olmalıdır.
sda1 - NTFS №1 əsas bölməsi (şifrələnmiş);
sda2 - uzadılmış bölmə markeri;
sda6 - məntiqi sürücü (onda GRUB2 yükləyicisi quraşdırılıb);
sda8 - dəyişdirmə (şifrlənmiş dəyişdirmə faylı / həmişə deyil);
sda9 - test məntiqi diski;
sda5 - maraqlananlar üçün məntiqi sürücü;
sda7 - GNU/Linux ƏS (şifrlənmiş məntiqi sürücüyə daşınan ƏS);
sda3 - Windows 2 ilə №7 əsas bölmə (şifrələnmiş);
sda4 - əsas bölmə №3 (burada şifrələnməmiş GNU / Linux var, ehtiyat nüsxə üçün istifadə olunur / həmişə deyil).

[A] Windows 7 Blok Sisteminin Şifrələnməsi

A1. VeraCrypt

-Dən yükləyin rəsmi saytıvə ya güzgüdən sourceforge VeraCrypt kriptoqrafik proqramının quraşdırma versiyası (v1.24-Update3 nəşri zamanı VeraCrypt-in portativ versiyası sistem şifrələməsi üçün uyğun deyil). Yüklənmiş proqram təminatının yoxlama məbləğini yoxlayın

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

və nəticəni VeraCrypt tərtibatçısının saytında yerləşdirilən CS ilə müqayisə edin.

HashTab proqramı quraşdırılıbsa, daha asan: RMB (VeraCrypt Quraşdırma 1.24.exe)-properties-faylların hash cəmi.

Proqramın imzasını yoxlamaq üçün proqram təminatı və tərtibatçının açıq pgp açarı sistemdə quraşdırılmalıdır. gnuPG; gpg4win.

A2. VeraCrypt Proqramının Administrator Hüquqları ilə Quraşdırılması/Başlanması

A3. Aktiv bölmə üçün sistem şifrələmə seçimlərinin seçilməsiVeraCrypt - Sistem - Sistem Bölməsi/Sürücünü Şifrələyin - Normal - Windows Sistem Bölməsini Şifrələyin - Multiboot - (Xəbərdarlıq: "Təcrübəsiz istifadəçilərə bu üsuldan istifadə etmək tövsiyə edilmir" və bu doğrudur, "Bəli" ilə razılaşın) - Yükləmə diski (“bəli”, belə olmasa belə, yenə də “bəli”) – Sistem sürücülərinin sayı “2 və ya daha çox” – Bir diskdə birdən çox sistem “Bəli” – Windows-dan olmayan yükləyici “Xeyr” (əslində “Bəli”, lakin VeraCrypt/GRUB2 yükləyiciləri MBR-ni öz aralarında paylaşmayacaqlar, daha doğrusu, yükləyici kodunun yalnız ən kiçik hissəsi MBR/boot trekində saxlanılır, onun əsas hissəsi fayl daxilində yerləşir. sistem) – Multiboot – Şifrələmə parametrləri…

Əgər yuxarıdakı addımlardan yayınsanız (blok sistemi şifrə sxemləri), sonra VeraCrypt xəbərdarlıq verəcək və bölmənin şifrələnməsinə icazə verməyəcək.

Məqsədli məlumatların qorunması istiqamətində növbəti addım “Sınaq” keçirmək və şifrələmə alqoritmini seçməkdir. Əgər köhnəlmiş CPU-nuz varsa, o zaman Twofish şifrələmə alqoritmi çox güman ki, ən sürətli olacaq. CPU güclüdürsə, fərqi görəcəksiniz: AES - test nəticələrinə görə şifrələmə kripto rəqiblərindən bir neçə dəfə daha sürətli olacaq. AES məşhur şifrələmə alqoritmidir, müasir CPU-ların aparatı xüsusi olaraq "gizli" və "hack" üçün optimallaşdırılmışdır.

VeraCrypt diskləri AES kaskadı ilə şifrələmək qabiliyyətini dəstəkləyir(iki balıq)/ və digər birləşmələr. On il əvvəl köhnə nüvə Intel CPU-da (AES aparat dəstəyi yoxdur, A/T kaskad şifrələməsi) performansın azalması mahiyyətcə hiss olunmur. (eyni dövrün/~parametrlərin AMD CPU-ları üçün performans bir qədər azalıb). ƏS dinamikada işləyir və şəffaf şifrələmə üçün resursların istehlakı hiss olunmur. Məsələn, Mate v1.20.1-dən fərqli olaraq, quraşdırılmış test qeyri-sabit masa üstü mühiti səbəbindən performansın nəzərəçarpacaq dərəcədə azalması. (və ya v1.20.2 dəqiq xatırlamıram) GNU/Linux-da və ya Windows7↑-də telemetriya proqramının işləməsi səbəbindən. Adətən, mürəkkəb istifadəçilər şifrələmədən əvvəl hardware performans testlərini həyata keçirirlər. Məsələn, Aida64 / Sysbench / systemd-də günahı təhlil edin və sistem şifrələndikdən sonra eyni testlərin nəticələri ilə müqayisə edin, bununla da "sistem şifrələməsi zərərlidir" mifini təkzib edin. Şifrələnmiş məlumatların ehtiyat nüsxəsini çıxararkən / bərpa edərkən maşının yavaşlaması və narahatçılıq nəzərə çarpır, çünki "sistem məlumatlarının ehtiyat nüsxəsi" əməliyyatının özü ms ilə ölçülmür və eyni <şifrəni aç / tez şifrələ> əlavə olunur. Nəhayət, kriptoqrafiya ilə məşğul olmağa icazə verilən hər bir istifadəçi tapşırıqların yerinə yetirilməsi, onların paranoyası dərəcəsi və istifadənin asanlığı ilə bağlı şifrələmə alqoritmi arasında tarazlıq yaradır.

PIM parametrini standart olaraq tərk etmək daha yaxşıdır ki, OS-ni hər dəfə yüklədiyiniz zaman dəqiq iterasiya dəyərlərini daxil etməyəsiniz. VeraCrypt həqiqətən "yavaş hash" yaratmaq üçün çox sayda iterasiyadan istifadə edir. Qəddar qüvvə/göy qurşağı cədvəlləri metodundan istifadə edərək belə bir "kripto ilbiz"ə hücum yalnız qısa "sadə" parol və qurbanın şəxsi simvol siyahısı ilə məna kəsb edir. Parolun gücünə görə ödəniş - OS-ni yükləyərkən düzgün parolun daxil edilməsində gecikmə (GNU/Linux-da VeraCrypt həcmlərinin quraşdırılması əhəmiyyətli dərəcədə sürətlidir).
Kobud güc hücumları üçün pulsuz proqram (VeraCrypt/LUKS disk başlığından parolun çıxarılması) hashcat. John the Ripper "Veracrypt'i necə sındıracağını" bilmir və LUKS ilə işləyərkən Twofish kriptoqrafiyasını başa düşmür.

Şifrələmə alqoritmlərinin kriptoqrafik gücünə görə, qarşısıalınmaz cypherpunks fərqli hücum vektoru ilə proqram təminatı hazırlayır. Məsələn, RAM-dan metadata/açarların çıxarılması (soyuq ayaqqabı/DMA hücumu), bu məqsəd üçün xüsusi pulsuz və qeyri-azad proqramlar mövcuddur.

Şifrələnmiş aktiv bölmənin "unikal metadata"sının konfiqurasiyası/generasiyasının sonunda VeraCrypt kompüteri yenidən işə salmağı və onun yükləyicisinin işini yoxlamağı təklif edəcək. Windows-u yenidən başlatdıqdan / başladıqdan sonra VeraCrypt gözləmə rejimində yüklənəcək, şifrələmə prosesini təsdiqləmək qalır - Y.

Sistem şifrələməsinin son mərhələsində VeraCrypt aktiv şifrələnmiş bölmənin başlığının ehtiyat nüsxəsini "veracrypt rescue disk.iso" şəklində yaratmağı təklif edəcək - bunu etməlisiniz - bu proqramda belə əməliyyat tələb olunur (LUKS-də, tələb olaraq - bu, təəssüf ki, buraxılıb, lakin sənədlərdə vurğulanır). Xilasetmə diski hər kəs üçün faydalıdır, lakin kimsə üçün bir dəfədən çox. Zərər (başlığın yenidən yazılması/MBR) başlığın ehtiyat nüsxəsi Windows OS ilə şifrəsi açılmış bölməyə girişi həmişəlik rədd edəcək.

A4. Xilasedici usb/disk VeraCrypt yaradınVarsayılan olaraq, VeraCrypt "metadata ~2-3mb" CD-yə yazdırmağı təklif edir, lakin bütün insanların diskləri və ya DWD-ROM sürücüləri yoxdur və yüklənə bilən "VeraCrypt Rescue disk" fləş sürücüsü yaratmaq kimsə üçün texniki sürpriz olacaq: Rufus / GUIdd-ROSA ImageWriter və digər oxşar proqramlar - tapşırığın öhdəsindən gələ bilməyəcəklər, çünki dəyişdirilmiş metaməlumatları yüklənə bilən bir flash sürücüyə köçürməklə yanaşı, usb disk fayl sistemindən kənar görüntüdən kopyalama / yapışdırmaq lazımdır, bir sözlə, MBR / yolu açarlığa düzgün şəkildə köçürün. GNU / Linux OS altında, bu lövhəyə baxaraq "dd" yardım proqramından istifadə edərək yüklənə bilən bir flash sürücü yarada bilərsiniz.

Windows mühitində xilasetmə diskinin yaradılması fərqlidir. VeraCrypt-in tərtibatçısı bu problemin həllini rəsmiyə daxil etməyib sənədlər "xilasetmə diski"ndə, lakin fərqli bir şəkildə həll təklif etdi: o, VeraCrypt forumunda pulsuz girişdə "usb xilasetmə diski" yaratmaq üçün əlavə proqram yerləşdirdi. Bu Windows proqramının arxivçisi "usb veracrypt xilasetmə diski yarat"dır. Xilasetmə disk.iso-nu saxladıqdan sonra aktiv bölmənin blok sisteminin şifrələnməsi prosesi başlayacaq. Şifrələmə zamanı OS-nin işi dayanmır, PC-nin yenidən başlaması tələb olunmur. Şifrələmə əməliyyatı başa çatdıqdan sonra aktiv bölmə tam şifrələnir, siz ondan istifadə edə bilərsiniz. PC işə salındıqda VeraCrypt yükləyicisi görünmürsə və başlığın bərpası kömək etmirsə, "yükləmə" bayrağını yoxlayın, o, Windows-un mövcud olduğu bölməyə qoyulmalıdır. (şifrələmə və digər əməliyyat sistemlərindən asılı olmayaraq, cədvəl №1-ə baxın).
Bu, Windows OS ilə blok sisteminin şifrələməsinin təsvirini tamamlayır.

[B]LUKS. GNU/Linux Şifrələmə (~Debian) quraşdırılmış OS. Alqoritm və addımlar

Quraşdırılmış Debian/törəmə paylamanı şifrləmək üçün hazırlanmış bölməni virtual blok cihazı ilə əlaqələndirməli, onu xəritələşdirilmiş GNU/Linux sürücüsünə köçürməli və GRUB2-ni quraşdırmalı/konfiqurasiya etməlisiniz. Əgər çılpaq serveriniz yoxdursa və vaxtınızı qiymətləndirirsinizsə, onda siz GUI-dən istifadə etməlisiniz və aşağıda təsvir edilən terminal əmrlərinin əksəriyyəti "Chuck-Norris rejimində" işləmək üçün nəzərdə tutulub.

B1. PC canlı USB GNU/Linux-dan yüklənir

"Avadanlıq performansına dair kriptotest həyata keçirin"

lscpu && сryptsetup benchmark

Əgər siz AES aparat dəstəyi ilə güclü avtomobilin xoşbəxt sahibisinizsə, o zaman rəqəmlər terminalın sağ tərəfi kimi görünəcək, xoşbəxtsinizsə, ancaq antik dəmirlə sol tərəfə bənzəyəcək.

B2. Disk tərtibatı. Ext4 (Gparted)-də HDD məntiqi diskinin fs-nin quraşdırılması/formatlanması

B2.1. Şifrələnmiş sda7 bölmə başlığının yaradılmasıBölmə adlarını təsvir etmək üçün bundan sonra yuxarıda göstərilən bölmə cədvəlimə uyğun olacağam. Disk quruluşunuza uyğun olaraq, öz bölmə adlarınızı əvəz etməlisiniz.

Məntiqi Sürücü Şifrələmə Xəritəçəkmə (/dev/sda7 > /dev/mapper/sda7_crypt).
# "LUKS-AES-XTS bölməsinin" sadə yaradılması

cryptsetup -v -y luksFormat /dev/sda7

Seçimlər:

* luksFormat - LUKS başlığının işə salınması;
* -y -parol (açar/fayl deyil);
* -v - verbalizasiya (terminalda məlumatın çıxarılması);
* /dev/sda7 - genişləndirilmiş bölmədən məntiqi diskiniz (burada GNU/Linux portinqi/şifrlənməsi planlaşdırılır).

Defolt şifrələmə alqoritmi <LUKS1: aes-xts-plain64, Açar: 256 bit, LUKS başlıq hashing: sha256, RNG: /dev/urandom> (cryptsetup versiyasından asılıdır).

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

CPU-da AES üçün aparat dəstəyi yoxdursa, ən yaxşı seçim genişləndirilmiş "LUKS-Twofish-XTS-partition" yaratmaq olardı.

B2.2. "LUKS-Twofish-XTS-partition"-ın təkmil yaradılması

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

Seçimlər:
* luksFormat - LUKS başlığının işə salınması;
* /dev/sda7 sizin gələcək şifrələnmiş məntiqi diskinizdir;
* -v sözlə ifadə etmək;
* -y parol ifadəsi;
* -c verilənlərin şifrələmə alqoritminin seçilməsi;
* -s şifrələmə açarının ölçüsü;
* -h hashing alqoritmi/kriptofunksiya, RNG istifadə olunur (—istifadə-urandom) unikal məntiqi disk başlığı şifrələmə/şifrə açma açarı, ikinci dərəcəli başlıq açarı (XTS) yaratmaq; şifrələnmiş disk başlığında saxlanılan unikal əsas açar, ikinci dərəcəli XTS açarı, bütün bu metadata və əsas açardan və ikincil XTS açarından istifadə edərək bölmədəki hər hansı məlumatı şifrələyən / deşifrə edən şifrələmə proqramı (bölmə başlığı istisna olmaqla) seçilmiş sabit disk bölməsində ~3MB-da saxlanılır.
* -i "miqdar" əvəzinə millisaniyələrdə təkrarlamalar (parol ifadəsinin işlənməsində gecikmə OS yüklənməsinə və açarların kriptoqrafik gücünə təsir göstərir). "Rus" kimi sadə parol ilə kriptoqrafik gücün tarazlığını saxlamaq üçün -(i) dəyərini artırmaq lazımdır, "?8dƱob/øfh" kimi mürəkkəb parol ilə isə dəyəri azaltmaq olar.
* --use-urandom təsadüfi ədəd generatoru, açarlar və duz yaradır.

sda7 > sda7_crypt bölməsini xəritələşdirdikdən sonra (əməliyyat sürətlidir, çünki şifrlənmiş başlıq ~3 MB metadata ilə yaradılır və bu qədər), siz sda7_crypt fayl sistemini formatlamalı və quraşdırmalısınız.

B2.3. Xəritəçəkmə

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

seçimlər:
* açıq - bölməni "adı ilə" uyğunlaşdırın;
* /dev/sda7 - məntiqi sürücü;
* sda7_crypt - şifrələnmiş bölməni quraşdırmaq və ya OS işə salındıqda onu işə salmaq üçün istifadə olunan ad xəritələşdirilməsi.

B2.4. sda7_crypt fayl sisteminin ext4-ə formatlanması. ƏS-də diskin quraşdırılması(Qeyd: Gparted artıq şifrələnmiş bölmə ilə işləməyəcək)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt 

seçimlər:
* -v - verbalizasiya;
* -L - disk etiketi (digər disklər arasında Explorer-də göstərilir).

Sonra, virtual şifrələnmiş blok cihazını /dev/sda7_crypt sistemə quraşdırmalısınız

mount /dev/mapper/sda7_crypt /mnt

/mnt qovluğundakı fayllarla işləmək sda7-də məlumatları avtomatik olaraq şifrələyəcək / deşifrə edəcək.

Fayl Explorer-də bölməni xəritələşdirmək və quraşdırmaq daha rahatdır (nautilus/caja GUI), bölmə artıq disk seçim siyahısında olacaq, diski açmaq / deşifrə etmək üçün bir parol daxil etmək qalır. Xəritələnmiş ad avtomatik olaraq seçiləcək və "sda7_crypt" deyil, /dev/mapper/Luks-xx-xx…

B2.5. Disk başlığının ehtiyat nüsxəsi (metadata ~3mb)Ən çox biri vacib gecikmədən yerinə yetirilməsi lazım olan əməliyyatlar - "sda7_crypt" başlığının ehtiyat nüsxəsi. Başlığın üzərinə yazılsa/korrupsiyaya uğrayarsa (məsələn, sda2 bölməsində GRUB7 quraşdırmaq və s.), şifrələnmiş məlumatlar onu bərpa etmək imkanı olmadan həmişəlik itiriləcək, çünki eyni açarları yenidən yaratmaq mümkün olmayacaq, açarlar unikal yaradılmışdır.

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7 

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

seçimlər:
* luksHeaderBackup --header-backup-file - backup əmri;
* luksHeaderRestore --header-backup-file - bərpa əmri;
* ~/Backup_DebSHIFR - ehtiyat fayl;
* /dev/sda7 - şifrələnmiş disk başlığının ehtiyat nüsxəsi alınacaq bölmə.
Bu addımda <şifrələnmiş bölmənin yaradılması və redaktəsi> tamamlanır.

B3. GNU/Linux ƏS-nin miqrasiyası (sda4) şifrələnmiş bölməyə (sda7)

/mnt2 qovluğu yaradın (Qeyd - biz hələ də canlı usb ilə işləyirik, sda7_crypt /mnt-ə quraşdırılıb), və GNU/Linuxumuzu şifrələməsi lazım olan /mnt2-yə quraşdırın.

mkdir /mnt2
mount /dev/sda4 /mnt2

Rsync proqram təminatından istifadə edərək ƏS-nin düzgün ötürülməsini həyata keçiririk

rsync -avlxhHX --progress /mnt2/ /mnt

Rsync variantları E1 bölməsində təsvir edilmişdir.

Bundan sonra, gərək disk bölməsini defraqmentasiya edin

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

HDD-niz varsa, zaman-zaman şifrələnmiş GNU/LInux-da e4defrag etməyi bir qayda edin.
[GNU/Linux > GNU/Linux-şifrlənmiş] miqrasiya və sinxronizasiya bu addımda tamamlandı.

AT 4. Şifrələnmiş sda7 bölməsində GNU/Linux-un qurulması

Uğurlu OS transferindən sonra /dev/sda4 > /dev/sda7, şifrələnmiş bölmədə GNU/Linux-a daxil olmalı və əlavə konfiqurasiyanı yerinə yetirməlisiniz. (PC-ni yenidən başlatmadan) şifrələnmiş sistemlə bağlı. Yəni, canlı usb-də olmaq, lakin "şifrlənmiş OS-nin kökünə nisbətən" əmrləri yerinə yetirmək. Bənzər bir vəziyyətin simulyasiyası "chroot" olacaq. Hazırda hansı OS üzərində işlədiyiniz barədə məlumatı tez əldə etmək üçün (şifrələnmiş və ya deyil, çünki sda4 və sda7-dəki məlumatlar sinxronlaşdırılır), ƏS-ləri sinxronizasiyadan çıxarın. Kök qovluqlarda yaradın (sda4/sda7_crypt) /mnt/encryptedOS və /mnt2/decryptedOS kimi boş token faylları. Hansı OS-də olduğunuzu tez yoxlayın (gələcək üçün daxil olmaqla):

ls /<Tab-Tab>

B4.1. "Şifrələnmiş OS-yə girişin simulyasiyası"

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. İşin şifrələnmiş sistemə nisbətən yerinə yetirildiyinin yoxlanılması

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. Şifrələnmiş svop yaratmaq/konfiqurasiya etmək, crypttab/fstab-ı redaktə etməkMübadilə faylı hər dəfə ƏS işə salındıqda formatlaşdırıldığı üçün indi məntiqi diskə dəyişdirmə yaratmaq və xəritələşdirmək və B2.2-ci bənddə olduğu kimi əmrlər yazmaq mənasızdır. Swap üçün hər başlanğıcda onların müvəqqəti şifrələmə açarları avtomatik olaraq yaradılacaq. Swap-a açarlarının həyat dövrü: dəyişdirmə bölməsinin sökülməsi/sökülməsi (+təmiz RAM); və ya OS-ni yenidən başladın. Quraşdırmanı dəyişdirin, blok şifrəli cihazların konfiqurasiyasına cavabdeh olan faylı açın (fstab faylına bənzəyir, lakin kripto üçün cavabdehdir).

nano /etc/crypttab 

qayda

#"hədəf adı" "mənbə cihazı" "açar fayl" "seçimlər"
svop /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512

Seçimlər
* dəyişdirmə - /dev/mapper/swap-ı şifrələyərkən xəritələnmiş ad.
* /dev/sda8 - dəyişdirmə üçün məntiqi bölmənizi istifadə edin.
* /dev/urandom - dəyişdirmə üçün təsadüfi şifrələmə açarlarının generatoru (hər yeni OS açılışı ilə yeni açarlar yaradıldı). /dev/urandom generatoru /dev/random-dan daha az təsadüfidir, çünki təhlükəli paranoid şəraitdə işləyərkən /dev/random istifadə olunur. OS açılışında /dev/random bir neçə ± dəqiqə yükləməni yavaşlatır (bax systemd-analiz).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -partition dəyişdirildiyini bilir və ona uyğun formatlaşdırılır; şifrələmə alqoritmi.

#Открываем и правим fstab
nano /etc/fstab

qayda

# dəyişdirmə quraşdırma zamanı / dev / sda8-də idi
/dev/mapper/swap none swap sw 0 0

/dev/mapper/swap -ad crypttab-da verilmişdir.

Alternativ şifrələnmiş svop
Əgər nədənsə bütöv bir bölməni dəyişdirmə faylı kimi vermək istəmirsinizsə, o zaman alternativ və daha yaxşı bir şəkildə gedə bilərsiniz: şifrələnmiş ƏS bölməsində faylda dəyişdirmə faylı yaratmaq.

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

Swap bölməsinin quraşdırılması tamamlandı.

B4.4. Şifrələnmiş GNU/Linux-un qurulması (crypttab/fstab fayllarının redaktə edilməsi)/etc/crypttab faylı, yuxarıda yazdığım kimi, sistemin açılış zamanı konfiqurasiya edilmiş şifrələnmiş blok cihazlarını təsvir edir.

#правим /etc/crypttab 
nano /etc/crypttab 

B7 bəndində olduğu kimi sda7>sda2.1_crypt bölməsinə uyğun gəlmisinizsə

# "hədəf adı" "mənbə cihazı" "açar fayl" "seçimlər"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

B7 bəndində olduğu kimi sda7>sda2.2_crypt bölməsinə uyğun gəlmisinizsə

# "hədəf adı" "mənbə cihazı" "açar fayl" "seçimlər"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

B7 və ya B7-də olduğu kimi sda2.1>sda2.2_crypt bölməsinə uyğun gəlmisinizsə, lakin OS-nin kilidini açmaq və yükləmək üçün parolu yenidən daxil etmək istəmirsinizsə, onda parol əvəzinə gizli açarı / təsadüfi faylı əvəz edə bilərsiniz.

# "hədəf adı" "mənbə cihazı" "açar fayl" "seçimlər"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

Təsvir
*none - ƏS işə salındıqda kökün kilidini açmaq üçün gizli parol tələb olunduğunu göstərir.
* UUID - bölmə identifikatoru. Şəxsiyyət vəsiqənizi öyrənmək üçün terminala yazın (xatırladırıq ki, bütün bu müddət ərzində siz başqa canlı usb terminalında deyil, chroot mühitində terminalda işləyirsiniz).

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное 

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

bu xətt sda7_crypt quraşdırılmış canlı usb terminalından blkid tələb edərkən görünür).
UUID sdaX-dən götürülüb (sdaX_crypt deyil!, UUID sdaX_crypt - grub.cfg konfiqurasiyasını yaradan zaman avtomatik olaraq yox olacaq).
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks qabaqcıl rejim şifrələməsi.
* /etc/skey - OS açılışının kilidini açmaq üçün avtomatik olaraq əvəzlənən gizli açar faylı (3-cü parolu daxil etmək əvəzinə). Siz 8mb-a qədər istənilən faylı təyin edə bilərsiniz, lakin məlumat <1mb oxunacaq.

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7 

Bu kimi bir şey görünəcək:

(özünüz edin və özünüz baxın).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab müxtəlif fayl sistemləri haqqında təsviri məlumatları ehtiva edir.

#Правим /etc/fstab
nano /etc/fstab

# "fayl sistemi" "quraşdırma nöqtəsi" "növ" "seçimlər" "boşaltma" "keçid"
# / quraşdırma zamanı / dev / sda7 idi
/dev/mapper/sda7_crypt / ext4 səhvləri=remount-ro 0 1

seçim
* /dev/mapper/sda7_crypt /etc/crypttab faylında göstərilən sda7>sda7_crypt xəritəsinin adıdır.
crypttab/fstab quraşdırması artıq tamamlandı.

B4.5. Konfiqurasiya fayllarının redaktə edilməsi. Əsas məqamB4.5.1. /etc/initramfs-tools/conf.d/resume konfiqurasiyasının redaktə edilməsi

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

və şərh verin (əgər varsa) "#" sətri "cəm". Fayl tamamilə boş olmalıdır.

B4.5.2. /etc/initramfs-tools/conf.d/cryptsetup konfiqurasiyasının redaktə edilməsi

nano /etc/initramfs-tools/conf.d/cryptsetup

uyğun olmalıdır

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=bəli
CRYPTSETUP ixrac edin

B4.5.3. /etc/default/grub konfiqurasiyasının redaktə edilməsi (şifrələnmiş /boot ilə işləyərkən grub.cfg yaratmaq qabiliyyətinə cavabdeh olan bu konfiqurasiyadır)

nano /etc/default/grub

"GRUB_ENABLE_CRYPTODISK=y" sətirini əlavə edin
'y' olaraq təyin edildikdə, grub-mkconfig və grub-install şifrələnmiş diskləri yoxlayacaq və yükləmə zamanı onlara daxil olmaq üçün lazım olan əlavə əmrlər yaradacaq. (insmods ).
oxşar olmalıdır

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=vendor"
GRUB_CMDLINE_LINUX="səssiz sıçrayış noautomount"
GRUB_ENABLE_CRYPTODISK=y

B4.5.4. /etc/cryptsetup-initramfs/conf-hook konfiqurasiyasının redaktə edilməsi

nano /etc/cryptsetup-initramfs/conf-hook

xəttini yoxlayın şərh etdi <#>.
Gələcəkdə (və hətta indi də bu parametrin heç bir dəyəri olmayacaq, lakin bəzən initrd.img şəklinin yenilənməsinə mane olur).

B4.5.5. /etc/cryptsetup-initramfs/conf-hook konfiqurasiyasının redaktə edilməsi

nano /etc/cryptsetup-initramfs/conf-hook

əlavə edin

KEYFILE_PATTERN="/etc/skey"
UMASK=0077

Bu, gizli açar "skey" initrd.img-ə yığılacaq, açar OS açılışında kök kilidini açmaq üçün lazımdır. (əgər parolu yenidən daxil etmək istəyi olmadıqda, "skey" düyməsi avtomatik olaraq əvəz olunur).

B4.6. /boot/initrd.img [versiyanı] yeniləyinŞəxsi açarı initrd.img-də paketləmək və cryptsetup düzəlişlərini tətbiq etmək üçün şəkli yeniləyin

update-initramfs -u -k all

initrd.img-ni yeniləyərkən ("Bəlkə, amma qəti deyil" deyildiyi kimi) kriptosetup ilə bağlı xəbərdarlıqlar və ya məsələn, Nvidia modullarının itirilməsi barədə bildiriş olacaq - bu normaldır. Faylı yenilədikdən sonra onun həqiqətən yeniləndiyini yoxlayın (chroot mühitinə nisbətən ./boot/initrd.img). Diqqət! [update-initramfs -u -k all] əvvəl cryptsetup-un /dev/sda7-nin açıq olduğunu yoxlayın. sda7_crypt - bu, /etc/crypttab-da görünməli olan addır, əks halda rebootdan sonra - busybox xətası)
Bu addım konfiqurasiya fayllarının quraşdırılmasını tamamlayır.

[С] GRUB2/Protection-ın quraşdırılması və konfiqurasiyası

C1. Lazım gələrsə, yükləyici üçün xüsusi bölməni formatlaşdırın (bölmə üçün ən azı 20 MB kifayətdir)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. /dev/sda6-dan /mnt-ə bağlayınBiz chroot-da işlədiyimiz üçün kökdə /mnt2 kataloqu olmayacaq, /mnt qovluğu isə boş olacaq.
GRUB2 bölməsini quraşdırın

mount /dev/sda6 /mnt

Əgər sizdə GRUB2-nin köhnə versiyası quraşdırılıbsa, /mnt/boot/grub/i-386-pc-də (mümkün başqa platforma, məsələn, "i386-pc" deyil) kriptomodullar yoxdur (qısacası, qovluqda modullar olmalıdır, o cümlədən bunlar .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), belə halda GRUB2-ni silkələmək lazımdır.

apt-get update
apt-get install grub2 

Vacibdir! GRUB2 paketini depodan yeniləyərkən, yükləyicini harada quraşdırmaq barədə "seçim haqqında" soruşduqda, quraşdırmadan imtina etməlisiniz. (səbəb - GRUB2-ni "MBR"-də və ya canlı USB-də quraşdırmaq cəhdi). Əks halda, VeraCrypt başlığını/yükləyicisini korlayacaqsınız. GRUB2 paketlərini yenilədikdən və quraşdırmanı ləğv etdikdən sonra yükləyici "MBR"-də deyil, məntiqi sürücüyə əl ilə quraşdırılmalıdır. Əgər deponuzda GRUB2-nin köhnəlmiş versiyası varsa, cəhd edin yeniləmə rəsmi saytdan - yoxlamadı (təzə GRUB 2.02 ~BetaX yükləyiciləri ilə işləmişdir).

C3. Genişləndirilmiş bölmədə GRUB2 quraşdırılması [sda6]Sizdə quraşdırılmış bölmə olmalıdır [p.C.2]

grub-install --force --root-directory=/mnt /dev/sda6

seçimlər
* --force - demək olar ki, həmişə mövcud olan bütün xəbərdarlıqları keçərək yükləyicini quraşdırın və quraşdırmanı bloklayın (lazım bayraq).
* --root-directory - kataloq quraşdırılması sda6-nın kökünə.
* /dev/sda6 - sdaX bölməniz (/mnt /dev/sda6 arasında <boşluğu> atlamayın).

C4. Konfiqurasiya faylının yaradılması [grub.cfg]"update-grub2" əmrini unudun və tam konfiqurasiya faylı yaratma əmrindən istifadə edin

grub-mkconfig -o /mnt/boot/grub/grub.cfg

grub.cfg faylının yaradılması / yenilənməsi başa çatdıqdan sonra çıxış terminalında diskdə olan OS ilə sətirlər (a) olmalıdır. ("grub-mkconfig" çox güman ki, Windows 10 ilə çox yükləməli flash sürücünüz və bir dəstə canlı paylama varsa - bu normaldırsa, canlı USB-dən OS tapacaq və götürəcək). Terminal "boşdursa", "grub.cfg" faylı yaradılmırsa, sistemdə GRUB səhvləri olduqda belə olur. (və çox güman ki, deponun sınaq şöbəsindən yükləyici), GRUB2-ni etibarlı mənbələrdən yenidən quraşdırın.
"Sadə konfiqurasiya" quraşdırılması və GRUB2 konfiqurasiyası artıq tamamlandı.

C5. Şifrələnmiş GNU/Linux OS sübut testiKriptomissiyanı düzgün şəkildə tamamlayın. Şifrələnmiş GNU/Linux-u Diqqətlə tərk edin (chroot mühitindən çıxın).

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

Kompüteri yenidən başlatdıqdan sonra VeraCrypt yükləyicisi yüklənməlidir.


*Aktiv bölmə üçün parolun daxil edilməsi - Windows yükləməyə başlayacaq.
*"Esc" düyməsinə basmaq idarəetməni GRUB2-yə ötürəcək, əgər şifrələnmiş GNU / Linux seçsəniz - /boot/initrd.img-nin kilidini açmaq üçün sizə parol (sda7_crypt) lazımdır (əgər grub2 uuid "tapılmadı" deyirsə - bu grub2 yükləyicisi ilə bağlı problem, o, məsələn, test şöbəsindən/stabil və pd) yenidən quraşdırılmalıdır.


*Sistemi necə qurmağınızdan asılı olaraq (B4.4/4.5 bölməsinə baxın), /boot/initrd.img şəklinin kilidini açmaq üçün düzgün parol daxil etdikdən sonra sizə OS nüvəsini/kökünü yükləmək üçün parol lazımdır. gizli açar avtomatik olaraq " skey" ilə əvəzlənəcək və parolu yenidən daxil etmək ehtiyacını aradan qaldıracaq.

("gizli açarın avtomatik dəyişdirilməsi" ekran görüntüsü).

*Sonra, istifadəçi hesabının autentifikasiyası ilə tanış GNU / Linux yükləmə prosesi başlayacaq.


*İstifadəçi avtorizasiyasından və OS-yə daxil olduqdan sonra /boot/initrd.img-ni yenidən yeniləməlisiniz (bax. Q4.6).

update-initramfs -u -k all

Və GRUB2 menyusunda əlavə xətlər olduqda (canlı usb ilə alma OS-m-dən) onlardan qurtul

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

GNU/Linux sistem şifrələməsinin qısa xülasəsi:

• GNU/Linuxinux tam şifrələnib, o cümlədən /boot/kernel və initrd;
• gizli açar initrd.img-də paketlənir;
• cari icazə sxemi (initrd kilidini açmaq üçün parolun daxil edilməsi; OS-ni yükləmək üçün parol / açar; Linux hesabının avtorizasiya parolu).

"Sadə GRUB2 konfiqurasiyası" blok bölmə sisteminin şifrələnməsi tamamlandı.

C6. Təkmil GRUB2 konfiqurasiyası. Rəqəmsal imza + autentifikasiya mühafizəsi ilə yükləyicinin qorunmasıGNU/Linux tam şifrələnib, lakin yükləyicini şifrələmək mümkün deyil - bu şərt BIOS tərəfindən diktə edilir. Bu səbəbdən GRUB2 şifrəli zəncirvari yükləmə mümkün deyil, lakin sadə zəncirvari yükləmə mümkündür/mövcuddur, təhlükəsizlik baxımından lazım deyil [aşağıya bax]. P. F].
“Həssas” GRUB2 üçün tərtibatçılar “imzalama/autentifikasiya” yükləyicisini qoruma alqoritmini tətbiq etdilər.

• Yükləyici “öz rəqəmsal imzası” ilə qorunduğunda, faylların xarici modifikasiyası və ya bu yükləyiciyə əlavə modulların yüklənməsi cəhdi yükləmə prosesinin bloklanmasına gətirib çıxaracaq.
• Yükləyicini identifikasiya ilə qoruyarkən, hər hansı bir paylama dəstinin yüklənməsini seçmək və ya CLI-yə əlavə əmrlər daxil etmək üçün super istifadəçi GRUB2-nin giriş və şifrəsini daxil etməlisiniz.

C6.1. Yükləyicinin Doğrulama ilə qorunmasıŞifrələnmiş OS-də terminalda işlədiyinizi yoxlayın

ls /<Tab-Tab> #обнаружить файл-маркер

GRUB2-də avtorizasiya üçün super istifadəçi parolu yaradın

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. 

Parol hashını əldə edin. Bu kimi bir şey

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

GRUB bölməsini quraşdırın

mount /dev/sda6 /mnt 

konfiqurasiyanı redaktə edin

nano -$ /mnt/boot/grub/grub.cfg 

fayl axtarışında "grub.cfg" ("-məhdudiyyətsiz" "-user") heç bir yerdə bayraqların olmadığını yoxlayın.
sonda əlavə edin (### sətirindən əvvəl END /etc/grub.d/41_custom ###)
"superusers" təyin et="kök"
password_pbkdf2 kök hash".

Belə bir şey olmalıdır

# Bu fayl xüsusi menyu girişləri əlavə etmək üçün asan bir yol təqdim edir. Sadəcə yazın
Bu şərhdən sonra əlavə etmək istədiyiniz # menyu girişi. Dəyişməmək üçün diqqətli olun
# yuxarıdakı 'exec quyruğu' xətti.
### SON /etc/grub.d/40_custom ###

### BAŞLAYIN /etc/grub.d/41_custom ###
əgər [ -f ${config_directory}/custom.cfg ]; sonra
mənbə ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefiks/custom.cfg ]; sonra
mənbə $prefiks/custom.cfg;
fi
superusers = "kök" təyin edin
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### SON /etc/grub.d/41_custom ###
#

Əgər siz tez-tez "grub-mkconfig -o /mnt/boot/grub/grub.cfg" əmrindən istifadə edirsinizsə və hər dəfə grub.cfg-də dəyişiklik etmək istəmirsinizsə, yuxarıdakı sətirləri daxil edin. (Giriş: Şifrə) GRUB istifadəçi skriptinə ən aşağıya qədər

nano /etc/grub.d/41_custom 

cat<<EOF
superusers = "kök" təyin edin
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

"grub-mkconfig -o /mnt/boot/grub/grub.cfg" konfiqurasiyasını yaradan zaman autentifikasiyadan məsul olan sətirlər avtomatik olaraq grub.cfg-ə əlavə olunacaq.
Bu addım GRUB2 autentifikasiya quraşdırmasını tamamlayır.

C6.2. Yükləyicinin rəqəmsal imza ilə qorunmasıGüman edilir ki, sizdə artıq şəxsi pgp şifrələmə açarınız var (və ya belə bir açar yaradın). Sistemdə kriptoqrafik proqram quraşdırılmalıdır: gnuPG; kleopatra/GPA; Dəniz atı. Kripto-proqram təminatı bütün belə hallarda həyatınızı xeyli asanlaşdıracaq. Seahorse - 3.14.0 paketinin stabil versiyası (yuxarıdakı versiyalar, məsələn, V3.20 aşağı səviyyədədir və əhəmiyyətli səhvlərə malikdir).

PGP açarı yalnız su mühitində yaradılmalıdır/çalışdırılmalıdır/əlavə edilməlidir!

Şəxsi şifrələmə açarı yaradın

gpg - -gen-key

Açarınızı ixrac edin

gpg --export -o ~/perskey

Əgər məntiqi sürücü quraşdırılmayıbsa, onu OS-yə quraşdırın

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

GRUB2 bölməsini təmizləyin

rm -rf /mnt/

Şəxsi açarınızı əsas GRUB şəklinə "core.img" daxil etməklə GRUB2-ni sda6-da quraşdırın.

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

seçimlər
* --force - həmişə mövcud olan bütün xəbərdarlıqları keçərək yükləyicini quraşdırın (lazım bayraq).
* --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - GRUB2-yə PC işə salındıqda tələb olunan modulları əvvəlcədən yükləməyi göstəriş verir.
* -k ~/perskey - "PGP açarı"na gedən yol (açarı şəkilə yığdıqdan sonra onu silmək olar).
* --root-directory -boot qovluğunu sda6 kökünə təyin edin
/dev/sda6 sizin sdaX bölmənizdir.

grub.cfg yaradın/yeniləyin

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

"grub.cfg" faylının sonuna "trust /boot/grub/perskey" sətri əlavə edin. (pgp düyməsini istifadə etməyə məcbur edin.) GRUB2-ni “signature_test.mod” imza modulu da daxil olmaqla bir sıra modullarla quraşdırdığımız üçün bu, konfiqurasiyaya “set check_signatures=enforce” kimi əmrlərin əlavə edilməsi ehtiyacını aradan qaldırır.

Bu kimi bir şey görünməlidir (grub.cfg faylında son sətirlər)

### BAŞLAYIN /etc/grub.d/41_custom ###
əgər [ -f ${config_directory}/custom.cfg ]; sonra
mənbə ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefiks/custom.cfg ]; sonra
mənbə $prefiks/custom.cfg;
fi
etibar /boot/grub/perskey
superusers = "kök" təyin edin
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### SON /etc/grub.d/41_custom ###
#

"/boot/grub/perskey" yolunun konkret disk bölməsinə, məsələn, hd0,6-ya işarə etməsinə ehtiyac yoxdur, çünki yükləyicinin özü üçün "root" GRUB2-nin quraşdırıldığı bölmənin standart yoludur. (bax rot = .. təyin edin).

GRUB2 imzalanması (bütün /GRUB kataloqlarındakı bütün fayllar) "perskey" açarınızla.
İmzalanmağın asan həlli (nautilus/caja explorer üçün): kəşfiyyatçı üçün "dəniz atı" uzantısını depodan quraşdırın. Açarınız su mühitinə əlavə edilməlidir.
Sudo "/mnt/boot" - RMB - işarəsindən tədqiqatçı açın. Ekranda belə görünür

Açarın özü "/mnt/boot/grub/perskey"dir. (grub qovluğuna kopyalayın) həm də öz imzası ilə imzalanmalıdır. [*.sig] fayl imzalarının kataloq/alt kataloqlarda göründüyünü yoxlayın.
Yuxarıdakı şəkildə "/boot" imzalayırıq (kernelimiz, initrd). Əgər vaxtınız bir şeyə dəyərsə, onda bu üsul "bir çox fayl" imzalamaq üçün bash skripti yazmaq ehtiyacını aradan qaldırır.

Bütün yükləyici imzalarını silmək üçün (bir şey səhv olarsa)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

Sistemi yenilədikdən sonra yükləyiciyə imza atmamaq üçün GRUB2 ilə əlaqəli bütün yeniləmə paketlərini dondururuq.

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

Bu addımda <yükləyicinin rəqəmsal imza ilə qorunması> GRUB2-nin təkmil konfiqurasiyası tamamlanır.

C6.3. Rəqəmsal imza və autentifikasiya ilə qorunan GRUB2 yükləyicisinin sübut testiGRUB2. GNU/Linux paylanması seçərkən və ya CLI-yə daxil olduqda (komanda xətti) super istifadəçi icazəsi tələb olunur. Düzgün giriş / parol daxil etdikdən sonra initrd-dən parola ehtiyacınız olacaq

Ekran görüntüsü, GRUB2-superuserin uğurlu autentifikasiyası.

GRUB2 fayllarından hər hansı birini saxta etsəniz/grub.cfg-də dəyişiklik etsəniz və ya faylı/imzanı silsəniz, zərərli module.mod yükləyin, sonra müvafiq xəbərdarlıq görünəcək. GRUB2 açılışı dayandırılacaq.

Ekran görüntüsü, GRUB2-yə "kənardan" müdaxilə cəhdi.

"Normal" açılışda "intrusion yoxdur" altında sistemin çıxış kodu statusu "0"dır. Ona görə də mühafizənin işlək olub-olmaması məlum deyil. (yəni normal yükləmə zamanı "imza ilə yükləyicinin qorunması ilə və ya olmadan", status eyni "0"dır - bu pisdir).

Rəqəmsal imzanın qorunmasını necə yoxlamaq olar?

Yoxlamanın əlverişsiz yolu: GRUB2 tərəfindən istifadə edilən modulu saxtalaşdırmaq/çıxarmaq, məsələn, luks.mod.sig imzasını silmək və xəta almaq.

Düzgün yol, yükləyicinin CLI-yə getmək və əmri daxil etməkdir

trust_list

Cavab olaraq, onlar “perskey” barmaq izini almalıdırlar, əgər status “0”dırsa, imza mühafizəsi işləmir, C6.2 bəndini iki dəfə yoxlayın.
Bu addımda "GRUB2-ni rəqəmsal imza və autentifikasiya ilə qoruyun" təkmil parametri başa çatdı.

C7 GRUB2 yükləyicisini hashing ilə təmin etmək üçün alternativ üsulYuxarıda təsvir edilən "CPU yükləyicisinin qorunması / Doğrulama" üsulu klassikdir. GRUB2-nin qeyri-kamilliyinə görə, paranoid şəraitdə o, aşağıda [F] bəndində verəcəyim real hücuma məruz qalır. Bundan əlavə, OS / nüvəni yenilədikdən sonra yükləyicini yenidən imzalamaq lazımdır.

GRUB2 yükləyicisinin hashing ilə qorunması

Klassiklərdən üstünlükləri:

• Daha yüksək etibarlılıq səviyyəsi (heşinq / yoxlama yalnız şifrələnmiş yerli resursdan baş verir. GRUB2 altında bütün ayrılmış bölmə hər hansı bir dəyişiklik üçün idarə olunur və qalan hər şey CPU yükləyicisinin qorunması / Doğrulama ilə klassik sxemdə şifrələnir, yalnız fayllar idarə olunur, lakin pulsuz deyil. boşluq, ona "pis bir şey" əlavə edilə bilər).
• Şifrələnmiş giriş (sxemə oxuna bilən şəxsi şifrəli jurnal əlavə olunur).
• Sürət (GRUB2 üçün ayrılmış bütün bölmənin qorunması / yoxlanılması demək olar ki, dərhal baş verir).
• Bütün kriptoqrafik proseslərin avtomatlaşdırılması.

Klassiklərin mənfi cəhətləri.

• İmza saxtakarlığı (nəzəri olaraq verilmiş hash funksiyasının toqquşmasını tapmaq mümkündür).
• Artan çətinlik səviyyəsi (klassiklərlə müqayisədə GNU/Linux ƏS haqqında bir az daha çox bilik tələb olunur).

GRUB2/partition hashing ideyası necə işləyir

GRUB2 bölməsi "imzalanır", OS yükləndikdə, yükləyici bölməsi dəyişməzlik üçün yoxlanılır, ardınca təhlükəsiz mühitə daxil olur (şifrələnmiş). Bootloader və ya onun bölməsi pozulubsa, işğal jurnalına əlavə olaraq, aşağıdakılar

şey.

Bənzər bir yoxlama gündə dörd dəfə baş verir, bu da sistem resurslarını yükləməz.
"-$ check_GRUB" əmrindən istifadə edərək ani yoxlama istənilən vaxt qeydiyyatdan keçmədən, lakin CLI-yə məlumat çıxışı ilə baş verir.
"-$ sudo GRUB_signature" əmrindən istifadə edərək, GRUB2 yükləyicisi / bölməsi dərhal yenidən imzalanır və onun yenilənmiş qeydi (OS/yükləmə yeniləməsindən sonra lazımdır) və həyat davam edir.

Yükləyicinin hashing metodunun və onun bölməsinin həyata keçirilməsi

0) Gəlin GRUB yükləyicisini/bölməsini əvvəlcə /media/username-ə quraşdıraraq imzalayaq

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) Şifrələnmiş OS ~/podpis-in kökündə uzadılmadan skript yaradırıq, ona lazımi hüquqlar 744 təhlükəsizlik və “axmaqdan” qorunma tətbiq edirik.

Onu məzmunla doldurmaq

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

Skripti buradan işə salın su, GRUB bölməsinin və onun yükləyicisinin hashingi yoxlanılacaq, jurnalı yadda saxlayın.

Məsələn, GRUB2 bölməsinə "zərərli fayl" [virus.mod] yaradaq və ya kopyalayaq və müvəqqəti yoxlama/test həyata keçirək:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

CLI bizim qalamızın işğalını görməlidir.#CLI-də giriş silindi

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

#Gördüyünüz kimi, “Fayllar köçürüldü: 1 və Audit uğursuz oldu” göründü, yəni yoxlama uğursuz oldu.
Test edilmiş bölmənin xüsusiyyətlərinə görə, "Yeni fayllar tapıldı" > "Fayllar köçürüldü" əvəzinə

2) Gif-i bura qoyun > ~/warning.gif, icazələri 744-ə təyin edin.

3) GRUB bölməsini yükləmə zamanı avtomatik quraşdırmaq üçün fstab konfiqurasiya edilir

-$ sudo nano /etc/fstab

LABEL=GRUB /media/istifadəçi adı/GRUB ext4 standartları 0 0

4) Günlüğü döndəririk

-$ sudo nano /etc/logrotate.d/podpis 

/var/log/subpis.txt {
gündəlik
döndürün 50
ölçüsü 5M
tarix mətni
kompres
gecikdirmək
olddir /var/log/old
}

/var/log/vtorjenie.txt {
aylıq
döndürün 5
ölçüsü 5M
tarix mətni
olddir /var/log/old
}

5) Cron-a iş əlavə edilir

-$ sudo crontab -e

reboot '/abunə'
0 */6 * * * '/subpis

6) Daimi ləqəblər yaradın

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

OS yeniləməsindən sonra -$ apt-get upgrade GRUB bölməmizi yenidən imzalayırıq
-$ подпись_GRUB
Bu addım GRUB bölməsinin hash qorunmasını tamamlayır.

[D] Təmizləmə - şifrələnməmiş məlumatların məhv edilməsi

Cənubi Karolina ştatının sözçüsü Trey Gowdy-nin sözlərinə görə, şəxsi fayllarınızı elə tamamilə silin ki, "hətta Allah onları oxuya bilməz".

Həmişə olduğu kimi, müxtəlif "miflər və əfsanələr”, məlumatların sabit diskdən silindikdən sonra bərpası haqqında. Əgər siz kiber-cadugərliyə inanırsınızsa və ya Dr veb icmasının üzvüsinizsə və silindikdən/yerinə yazdıqdan sonra heç vaxt məlumat bərpa etməyə cəhd etməmisinizsə (məsələn, R-studio ilə bərpa), onda təklif olunan üsul çətin ki, sizə uyğun gəlsin, sizə daha yaxın olanı istifadə edin.

GNU/Linux-u şifrələnmiş bölməyə uğurla köçürdükdən sonra köhnə nüsxə həmişəlik silinməlidir. Universal təmizləmə üsulu: Windows/Linux pulsuz GUI proqramı üçün proqram BleachBit.
Быстро bölmənin formatlaşdırılması, məhv etmək istədiyiniz məlumat (Gparted istifadə edərək), BleachBit-i işə salın, "Boş yer təmizləyin" seçin - bir bölmə seçin (GNU/Linux-un keçmiş nüsxəsi ilə sdaX), təmizləmə prosesi başlayacaq. BleachBit - diski bir keçiddə silir - "bizə lazım olan budur", Amma! bu, yalnız nəzəri olaraq sürücünü formatlaşdırdığınız və BB v2.0 proqramında təmizlədiyiniz halda işləyir.

Diqqət! BB diski silir, metadata buraxır, verilənlər məhv edildikdə fayl adları qorunur (Ccleaner - metadata qoymur).

Və məlumatların bərpası imkanı haqqında mif əslində mif deyil.Bleachbit V2.0-2 keçmiş qeyri-sabit OS Debian paketi (və hər hansı digər oxşar proqram: sfill; wipe-Nautilus - bu çirkli işdə də görüldü) əslində kritik bir səhv var idi: "boş yerin təmizlənməsi" xüsusiyyəti səhv işləyir HDD/Flash disklərdə (ntfs/ext4). Bu cür proqramlar, boş yerləri təmizləyərkən, bir çox istifadəçinin düşündüyü kimi, bütün diskin üzərinə yazmır. Və bəziləri (çox) silinmiş məlumat ƏS/proqram bu dataya silinməmiş/istifadəçi məlumatı kimi yanaşır və ƏS/ƏS-i təmizləyərkən bu faylları ötür. Problem ondadır ki, belə uzun müddətdən sonra diskin təmizlənməsi "silinmiş fayllar" bərpa edilə bilər hətta 3+ diskin silinməsindən sonra.
Bleachbit-də GNU/Linux-da 2.0-2 faylları və qovluqları daimi olaraq silmək funksiyaları etibarlı işləyir, lakin boş yerləri təmizləmir. Müqayisə üçün: CCleaner proqramında Windows-da "NTfs üçün OSB" funksiyası düzgün işləyir və Allah həqiqətən silinmiş məlumatları oxuya bilmir.

Və beləliklə, hərtərəfli çıxarmaq üçün "güzəşt edən" köhnə şifrələnməmiş məlumatlar, Bleachbit bu məlumatlara birbaşa giriş tələb edir, sonra "faylları / qovluqları geri qaytarılmayacaq şəkildə silmək" funksiyasından istifadə edin.
Windows-da "adi OS alətlərindən istifadə edərək silinmiş faylları" silmək üçün "OSB" funksiyası ilə CCleaner / BB istifadə edin. Bu məsələ ilə bağlı GNU/Linux-da (silinmiş faylların silinməsi) təkbaşına məşq etməlisən (məlumatların silinməsi + onları bərpa etmək üçün müstəqil cəhd və proqram versiyasına etibar etməyin (əgər əlfəcin deyilsə, səhvdir)), yalnız bu halda bu problemin mexanizmini başa düşə və silinmiş məlumatlardan tamamilə qurtula biləcəksiniz.

Bleachbit v3.0 yoxlamadı, bəlkə də problem artıq həll olunub.
Bleachbit v2.0 vicdanla işləyir.

Bu addım diskin təmizlənməsini tamamlayır.

[E] Ümumi Şifrələnmiş ƏS Yedəkləmə

Hər bir istifadəçi məlumatların ehtiyat nüsxəsini çıxarmaq üçün öz metoduna malikdir, lakin "Sistem OS" nin şifrəli məlumatları tapşırığa bir az fərqli yanaşma tələb edir. "Clonezilla" kimi vahid proqram təminatı və oxşar proqramlar birbaşa şifrələnmiş məlumatlarla işləyə bilməz.

Şifrələnmiş blok cihazları üçün ehtiyat nüsxə tapşırığının qurulması:

1. universallıq - Windows / Linux üçün eyni alqoritm / ehtiyat proqramı;
2. əlavə proqram yükləmələrinə ehtiyac olmadan istənilən canlı USB GNU / Linux ilə konsolda işləmək imkanı (lakin yenə də GUI-ni tövsiyə edin);
3. ehtiyat təhlükəsizliyi - saxlanılan "şəkillər" şifrələnməlidir / parolla qorunmalıdır;
4. şifrələnmiş məlumatların ölçüsü faktiki kopyalanan məlumatların ölçüsünə uyğun olmalıdır;
5. lazımi faylların ehtiyat nüsxədən rahat çıxarılması (əvvəlcə bütün bölmənin şifrəsini açmaq tələbi yoxdur).

Məsələn, "dd" yardım proqramı vasitəsilə ehtiyat nüsxə / bərpa edin

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

Tapşırığın demək olar ki, bütün bəndlərinə uyğundur, lakin 4-cü bəndə görə, o, tənqidlərə dözmür, çünki boş yer də daxil olmaqla, bütün disk bölməsini kopyalayır - maraqlı deyil.

Məsələn, [tar" | vasitəsilə GNU/Linux ehtiyat nüsxəsi gpg] rahatdır, lakin Windows ehtiyat nüsxəsi üçün başqa bir həll axtarmaq lazımdır - maraqlı deyil.

E1. Universal Windows/Linux Yedəkləmə. Rsync paketi (Grsync) + VeraCrypt həcmiEhtiyat nüsxəsinin yaradılması alqoritmi:

1. şifrələnmiş konteyner yaratmaq (həcm/fayl) ƏS üçün VeraCrypt;
2. Rsync proqramından istifadə edərək OS-nin VeraCrypt kriptokonteynerinə ötürülməsi / sinxronizasiyası;
3. lazım gələrsə, VeraCrypt həcmini www.

Şifrələnmiş VeraCrypt konteynerinin yaradılması öz xüsusiyyətlərinə malikdir:
dinamik həcm yaratmaq (DT yaradılması yalnız Windows-da mövcuddur, o, GNU/Linux-da da istifadə edilə bilər);
normal həcm yaratmaq, lakin "paranoyak təbiət" tələbi var. (inkişafçıya görə) - konteyner formatı.

Dinamik həcm demək olar ki, dərhal Windows-da yaradılır, lakin GNU/Linux > VeraCrypt DT-dən məlumatları kopyalayarkən, ehtiyat əməliyyatının ümumi performansı əhəmiyyətli dərəcədə azalır.

Adi 70 GB Twofish həcmi yaradılır (Deyək ki, orta kompüter gücü) HDD-yə ~ yarım saat ərzində (təhlükəsizlik tələblərinə görə keçmiş konteyner məlumatlarının bir keçiddə üzərinə yazılması). VeraCrypt Windows/Linux-dan həcmin yaradılması zamanı tez formatlaşdırılması funksiyası silindi, ona görə də konteynerin yaradılması yalnız “bir keçiddə üzərinə yazma” və ya aşağı performanslı dinamik həcmin yaradılması ilə mümkündür.

Daimi VeraCrypt Həcmi yaradın (dinamik/ntfs deyil), heç bir problem olmamalıdır.

VeraCrypt GUI > GNU/Linux canlı usb-də konteyner qurun/yaradın/açın (həcmi /media/veracrypt2-də avtomatik quraşdırılacaq, Windows OS həcmi /media/veracrypt1-də quraşdırılacaq). Rsync GUI-dən istifadə edərək Şifrələnmiş Windows Yedəkləməsinin yaradılması (grsync)qutuları yoxlayaraq.

Prosesin sonunu gözləyin. Yedəkləmə tamamlandıqdan sonra bir şifrələnmiş faylımız olacaq.

Eynilə, "Windows uyğun" rsync GUI işarəsini silməklə GNU / Linux ƏS-nin ehtiyat nüsxəsini yaradın.

Diqqət! fayl sistemində “GNU/Linux ehtiyat nüsxəsi” üçün Veracrypt konteyneri yaradın ext4. Bir ntfs konteynerinə ehtiyat nüsxəsini çıxarsanız, belə bir nüsxəni bərpa etdikdə, bütün məlumatlarınız üçün bütün hüquqlarınızı / qruplarınızı itirəcəksiniz.

Bütün əməliyyatları terminalda həyata keçirə bilərsiniz. Rsync üçün əsas seçimlər:
* -g - qrupları saxlamaq;
* -P --progress - fayl üzərində iş vaxtının vəziyyəti;
* -H -sərt bağlantıları olduğu kimi kopyalayın;
* -a -arxiv rejimi (bir neçə rlptgoD bayrağı);
* -v -verbalizasiya.

Əgər kriptosetup proqramında konsol vasitəsilə "Windows VeraCrypt həcmi" quraşdırmaq istəyirsinizsə, ləqəb (su) yarada bilərsiniz.

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

İndi "veramount şəkillər" əmrində sizdən parol sözünü daxil etməyiniz istəniləcək və şifrələnmiş Windows sisteminin həcmi ƏS-də quraşdırılacaq.

Cryptsetup əmrində VeraCrypt sistem həcmini xəritələyin/mount edin

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

Cryptsetup əmrində VeraCrypt bölməsini/konteynerini xəritələyin/mount edin

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

Ləqəb əvəzinə, GNU/Linux avtomatik yükləməsinə Windows OS ilə sistem həcmi və məntiqi şifrələnmiş ntfs diski əlavə edək (avtomatik yükləmə üçün skript)

Skript yaradın və onu ~/VeraOpen.sh ünvanında saxlayın

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

Biz "həqiqi" hüquqlar veririk:

sudo chmod 100 /VeraOpen.sh

/etc/rc.local və ~/etc/init.d/rc.local-da iki eyni fayl (eyni ad!) yaradın
Faylların doldurulması

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

Biz "həqiqi" hüquqlar veririk:

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local 

Budur, indi GNU/Linux-u yükləyərkən şifrələnmiş ntfs disklərini quraşdırmaq üçün parol daxil etməyə ehtiyac yoxdur, disklər avtomatik quraşdırılır.

Addım-addım E1 paraqrafında yuxarıda təsvir olunanlar haqqında qısa qeyd (lakin indi OS GNU/Linux üçün)
1) Veracrypt [Kripto qutusu] Linux-da fs ext4 > 4gb (fayl üçün) həcmində həcm yaradın.
2) Canlı USB üçün yenidən başladın.
3) ~$ cryptsetup açıq /dev/sda7 Lunux #şifrələnmiş bölmənin xəritəsi.
4) ~$ mount /dev/mapper/Linux /mnt #şifrlənmiş bölməni /mnt-də quraşdırın.
5) ~$ mkdir mnt2 #gələcək ehtiyat nüsxəsi üçün kataloq yaradın.
6) ~$ cryptsetup open --veracrypt --type tcrypt ~/Cryptobox Cryptobox && mount /dev/mapper/Cryptobox /mnt2 #"Cryptobox" adlı Veracrypt həcminin xəritəsini qurun və Cryptobox-u /mnt2-də quraşdırın.
7) ~$ rsync -avlxhHX --progress /mnt /mnt2/ #şifrələnmiş bölmənin Veracrypt şifrələnmiş həcminə ehtiyat nüsxəsini çıxarmaq üçün əməliyyat.

(p/s/ Diqqət! Şifrələnmiş GNU/Linux-u bir arxitekturadan/maşından digərinə köçürürsinizsə, məsələn, Intel > AMD (yəni bir şifrələnmiş bölmədən digər Intel > AMD şifrəli bölməsinə ehtiyat nüsxəsini yerləşdirmək), Unutma şifrlənmiş OS-ni köçürdükdən sonra, bəlkə parol əvəzinə gizli əvəzlənmiş açarı redaktə edin. əvvəlki açar ~/etc/skey - artıq başqa şifrələnmiş bölməyə uyğun gəlməyəcək və chroot altından yeni "cryptsetup luksAddKey" açarının yaradılması arzuolunmazdır - nasazlıq mümkündür, sadəcə ~/etc/crypttab-da müvəqqəti olaraq "heç biri" təyin edin. " "/etc/skey" əvəzinə ", reboot və ƏS-ə daxil olduqdan sonra gizli əvəzlənmiş açarınızı yenidən bərpa edin).

İT veteranları olaraq, şifrələnmiş Windows/Linux ƏS bölmələrinin başlıqlarının ehtiyat nüsxəsini çıxarmağı unutmayın, əks halda şifrələmə sizə qarşı olacaq.
Bu addımda şifrələnmiş əməliyyat sistemlərinin ehtiyat nüsxəsi tamamlanır.

[F] GRUB2 yükləyicisinə hücum

ƏtraflıƏgər siz yükləyicinizi rəqəmsal imza və/yaxud autentifikasiya ilə qorumusunuzsa (C6 bəndinə baxın.), onda bu fiziki girişdən qorunmayacaq. Şifrələnmiş məlumatlar hələ də əlçatmaz olacaq, lakin qorunma keçəcək (rəqəmsal imzanın qorunmasını sıfırlayın) GRUB2 kibercinayətkarlara şübhə doğurmadan kodlarını yükləyiciyə yeritməyə imkan verir. (istifadəçi yükləyicinin vəziyyətinə əl ilə nəzarət etmədikdə və ya grub.cfg üçün öz möhkəm xüsusi skript kodu ilə gəlmədikdə).

hücum alqoritmi. təcavüzkar

*Canlı USB-dən kompüteri yükləyir. İstənilən dəyişiklik (cinayətkar) faylları kompüterin əsl sahibini yükləyiciyə müdaxilə barədə xəbərdar edəcək. Amma grub.cfg saxlayarkən GRUB2-nin sadə yenidən qurulması (və sonradan redaktə etmək imkanı) təcavüzkara istənilən faylı redaktə etməyə imkan verəcək (bu ssenaridə GRUB2 yüklənərkən real istifadəçiyə bildiriş verilməyəcək. Vəziyyət eynidir <0>)
* Şifrələnməmiş bölməni quraşdırır, "/mnt/boot/grub/grub.cfg" yaddaşını saxlayır.
* Yükləyicini yenidən quraşdırın (core.img şəklindən "perskey" silinir)

grub-install --force --root-directory=/mnt /dev/sda6

* "grub.cfg" > "/mnt/boot/grub/grub.cfg" qaytarır, lazım olduqda onu redaktə edir, məsələn, "grub.cfg" daxilində "keylogger.mod" modulunu yükləyici modulları olan qovluğa əlavə etməklə > sətir "insmod keylogger". Və ya, məsələn, düşmən hiyləgərdirsə, GRUB2-ni yenidən quraşdırdıqdan sonra (bütün imzalar yerində qalır) o, "(-c) seçimi ilə grub-mkimage" istifadə edərək əsas GRUB2 şəklini qurur. "-c" seçimi əsas "grub.cfg" yükləməzdən əvvəl konfiqurasiyanızı yükləməyə imkan verəcək. Konfiqurasiya yalnız bir sətirdən ibarət ola bilər: məsələn, ~400 fayl ilə qarışdırılmış istənilən "modern.cfg"-ə yönləndirmə (modullar+imzalar) /boot/grub/i386-pc qovluğunda. Bu halda, istifadəçi fayla "hashsum" tətbiq etsə və onu müvəqqəti olaraq ekranda göstərsə belə, cinayətkar "/boot/grub/grub.cfg"-ə təsir etmədən ixtiyari kod təqdim edə və modulları yükləyə bilər.
Təcavüzkarın GRUB2 super istifadəçisinin giriş / parolunu sındırmağa ehtiyac qalmayacaq, sadəcə sətirləri kopyalamalıdır. (identifikasiyaya cavabdehdir) "/boot/grub/grub.cfg" "modern.cfg" üçün

superusers = "kök" təyin edin
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

Və PC sahibi hələ də GRUB2 superuser identifikasiyasına sahib olacaq.

Zəncir yükləmə (yükləyici başqa bir yükləyici yükləyir), yuxarıda qeyd edildiyi kimi, mənası yoxdur (başqa məqsəd üçündür). BIOS səbəbiylə şifrələnmiş yükləyicini yükləmək mümkün deyil (zəncirvari yükləmə zamanı GRUB2 yenidən başladır > şifrələnmiş GRUB2, xəta!). Bununla belə, hələ də zəncir yükləmə ideyasından istifadə edirsinizsə, bunun yüklənən şifrəli olduğuna əmin ola bilərsiniz. (təkmilləşdirilməyib) Şifrələnmiş bölmədən "grub.cfg". Və bu da yanlış təhlükəsizlik hissidir, çünki şifrələnmiş "grub.cfg" siyahısında olan hər şey (modulun yüklənməsi) şifrələnməmiş GRUB2-dən yüklənən modulları olan yığınlar.

Bunu yoxlamaq istəyirsinizsə, başqa sdaY bölməsini ayırın/şifrələyin, GRUB2-ni ona kopyalayın (şifrələnmiş bölmədə qrup quraşdırma əməliyyatı mümkün deyil) və "grub.cfg" də (şifrlənməmiş konfiqurasiya) xətləri belə dəyişdirin

menyu 'GRUBx2' --class tutuquşu --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
load_video
insmod gzio
əgər [ x$grub_platform = xxen ]; sonra insmod xzio; insmod lzopio; fi
insmod hissəsi_msdos
insmod kriptodisk
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
normal /boot/grub/grub.cfg
}

simlər
* insmod - şifrələnmiş disklə işləmək üçün lazımi modulların yüklənməsi;
* GRUBx2 - GRUB2 yükləmə menyusunda göstərilən xəttin adı;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 - bax fdisk -l (sda9);
* kök təyin etmək - kök qəbulu;
* normal /boot/grub/grub.cfg - şifrələnmiş bölmədə icra edilə bilən konfiqurasiya faylı.

Yüklənən şifrələnmiş “grub.cfg” olduğuna əminlik GRUB menyusunda “GRUBx2” xəttini seçərkən parolun daxil edilməsinə / “sdaY” kilidinin açılmasına müsbət cavabdır.

Qarışıq olmamaq üçün CLI-də işləyərkən (və "kök təyin et" mühit dəyişəninin işlədiyini yoxlayın), boş marker faylları yaradın, məsələn, şifrələnmiş "/shifr_grub" bölməsində, şifrələnməmiş "/noshifr_grub" bölməsində. CLI-də doğrulama

cat /Tab-Tab

Yuxarıda qeyd edildiyi kimi, əgər belə modullar kompüterinizdə olarsa, bu, zərərli modulları yükləməkdə sizə kömək etməyəcək. Məsələn, kompüterə fiziki girişi olan təcavüzkar tərəfindən endirilənə qədər "~/i386"-da düymə vuruşlarını faylda saxlaya bilən və digər fayllarla qarışdıra bilən keylogger.

Rəqəmsal imzanın qorunmasının aktiv olduğunu yoxlamağın ən asan yolu (sıfırlanmır), və heç kim yükləyicini işğal etmədi, CLI-də biz əmr yazırıq

list_trusted

cavab olaraq, "perskey"imizin bir castını alırıq və ya hücuma məruz qalsaq, heç nə almırıq (həmçinin "set check_signatures=enforce"-ni yoxlamaq lazımdır).
Belə bir addımın əhəmiyyətli çatışmazlığı əmrləri əl ilə yazmaqdır. Bu əmri "grub.cfg"-ə əlavə etsəniz və konfiqurasiyanı rəqəmsal imzalasanız, o zaman ekrana ötürülən açarın ilkin çıxışı vaxt baxımından çox qısadır və GRUB2 açılışını əldə edərkən çıxışı görməyə vaxtınız olmaya bilər. .
Xüsusilə şikayət edəcək heç kim yoxdur: onun içərisindəki tərtibatçı sənədləşdirmə 18.2-ci bənd rəsmi olaraq bəyan edilir

“Qeyd edək ki, GRUB parol mühafizəsi ilə belə, GRUB özü maşına fiziki girişi olan birinin maşının başqa (hücumçu tərəfindən idarə olunan) cihazdan yüklənməsinə səbəb olmaq üçün həmin maşının proqram təminatının (məsələn, Coreboot və ya BIOS) konfiqurasiyasını dəyişdirməsinə mane ola bilməz. GRUB ən yaxşı halda təhlükəsiz yükləmə zəncirində yalnız bir keçiddir."

GRUB2 yalançı təhlükəsizlik hissi verə bilən funksiyalarla həddən artıq yüklənib və onun inkişafı artıq MS-DOS-un funksionallığını üstələyib və bu, sadəcə yükləyicidir. Maraqlıdır ki, GRUB2 - "sabah" ƏS və bunun üçün yüklənə bilən GNU / Linux virtual maşınları ola bilər.

GRUB2 rəqəmsal imza qorunmasını necə sıfırladığım və real istifadəçiyə müdaxiləmi elan etdiyim haqqında qısa video (Sizi qorxutdum ama videoda gosterilenlerin yerine zehersiz ixtiyari kod yaza bilersiz/.mod).

Sonuç:

1) Windows üçün blok sistem şifrələməsi - həyata keçirmək daha asandır və bir parol ilə qorunma GNU / Linux blok sistemi şifrələməsi ilə bir neçə parolla qorunmaqdan daha rahatdır, ədalətlə: sonuncu avtomatlaşdırılmışdır.

2) Məqaləni aktual, ətraflı yazdım sadə VeraCrypt/LUKS tam disk şifrələməsi üçün bələdçi bir evdə maşındır ki, bu da runetdə (IMHO) ən yaxşısıdır. Təlimat > 50 min simvoldan ibarətdir, ona görə də bəzi maraqlı fəsilləri əhatə etməmişdir: yoxa çıxan/kölgədə qalan kriptoqraflar haqqında; müxtəlif GNU / Linux kitablarında kriptoqrafiya haqqında yazıların az olması / olmaması haqqında; Rusiya Federasiyası Konstitusiyasının 51-ci maddəsi haqqında; O lisenziyalaşdırma/qadağa Rusiyada şifrələmə, niyə "root / boot" şifrələməniz lazım olduğuna dair. Təlimat artıq əhəmiyyətli, lakin ətraflı olduğu ortaya çıxdı (hətta sadə addımları təsvir edir), öz növbəsində, bu, "real şifrələmə"yə girdiyiniz zaman çox vaxtınıza qənaət edəcəkdir.

3) Windows 7 64-də tam disk şifrələməsi həyata keçirilib; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.

4) Uğurlu bir hücum həyata keçirdi onun GRUB2 yükləyicisi.

5) Dərslik şifrələmənin qanuni olaraq icazə verildiyi MDB-də bütün paranoidlərə kömək etmək üçün yaradılmışdır. Və ilk növbədə, konfiqurasiya edilmiş sistemlərini sökmədən tam disk şifrələməsini yaymaq istəyənlər üçün.

6) 2020-ci ildə aktual olan təlimatına yenidən baxıldı və yeniləndi.

[G] Faydalı sənədlər

1. TrueCrypt istifadəçi təlimatı (Fevral 2012 RU)
2. VeraCrypt Sənədləri
3. /usr/share/doc/cryptsetup(-run) [yerli paylaşım] (cryptsetup ilə GNU/Linux şifrələməsinin qurulmasına dair rəsmi ətraflı sənədlər)
4. Rəsmi kriptosetup tez-tez verilən suallar (cryptsetup ilə GNU/Linux şifrələməsinin qurulmasına dair qısa sənədlər)
5. LUKS Cihaz Şifrələməsi (archlinux sənədləri)
6. Kriptsetup sintaksisinin ətraflı təsviri (arch təlimat səhifəsi)
7. Kripttabın ətraflı təsviri (arch təlimat səhifəsi)
8. GRUB2 rəsmi sənədləri.

Teqlər: tam disk şifrələməsi, bölmə şifrələməsi, Linux tam disk şifrələməsi, LUKS1 tam sistem şifrələməsi.

Sorğuda yalnız qeydiyyatdan keçmiş istifadəçilər iştirak edə bilər. Daxil olunxahiş edirəm.

Şifrələyirsiniz?

• 17,1%Əlimdən gələni şifrələyirəm. Mən paranoyam.14

• 34,2%Mən yalnız vacib məlumatları şifrələyirəm.28

• 14,6%Bəzən şifrələyirəm, bəzən unuduram.12

• 34,2%Xeyr, mən şifrələmirəm, bu, əlverişsiz və baha başa gəlir.28

82 istifadəçi səs verdi. 22 istifadəçi bitərəf qalıb.

Mənbə: www.habr.com