Tam disk şifrələmə Windows Linux quraşdırılmış sistemlər. Şifrəli çoxlu yükləmə

Runet V0.2-də tam disk şifrələməsi üçün öz bələdçisi yeniləndi.

Kovboy strategiyası:

[A] blok sistemi şifrəsi Windows 7 quraşdırılmış sistem;
[B] GNU Blok Sistemi Şifrəsi/Linux (Debian) quraşdırılmış sistem (o cümlədən /boot);
[C] GRUB2 quraşdırma, rəqəmsal imza/identifikasiya/heşinq ilə yükləyicinin qorunması;
[D] təmizləmə - şifrələnməmiş məlumatların məhv edilməsi;
[E] şifrələnmiş ƏS-nin universal ehtiyat nüsxəsi;
[F] hücumu <at [C6]> hədəfi - GRUB2 yükləyicisi;
[G] Faydalı sənədlər.

╭───Sxem #otaq 40# :
├──╼ Windows 7 quraşdırılıb - tam sistem şifrələməsi, gizli deyil;
├──╼ GNU/Linux quraşdırılıb (Debian və törəmə paylanmalar) - tam sistem şifrələməsi gizli deyil(/, o cümlədən /boot; dəyişdirmə);
├──╼ müstəqil yükləyicilər: MBR-də quraşdırılmış VeraCrypt yükləyicisi, genişləndirilmiş bölmədə quraşdırılmış GRUB2 yükləyicisi;
├──╼ ƏS-nin quraşdırılması/yenidən quraşdırılması tələb olunmur;
└──╼ istifadə olunan kriptoqrafik proqram təminatı: VeraCrypt; Kriptosetup; gnupg; dəniz atı; hashdeep; GRUB2 - Pulsuz/Pulsuz.

Yuxarıda təsvir edilən sxem "fləş sürücüdə uzaqdan yükləmə" problemini qismən həll edir və şifrələnmiş ƏS-dən zövq almağa imkan verir. Windows/Linux və bir əməliyyat sistemindən digərinə "şifrəli kanal" vasitəsilə məlumat mübadiləsi aparın.

PC yükləmə sırası (seçimlərdən biri):

• maşını işə salmaq;
• VeraCrypt yükləyicisini endirmək (düzgün parol daxil etmək yükləməyə davam edəcək Windows 7);
• "Esc" düyməsini basmaq GRUB2 yükləyicisini yükləyəcək;
• GRUB2 yükləyicisi (paylanma seçimi/GNU/Linux/CLI), GRUB2 superuserinin autentifikasiyasını tələb edəcək <login/password>;
• uğurlu autentifikasiyadan və paylamanın seçilməsindən sonra "/boot/initrd.img" kilidini açmaq üçün parol daxil etməlisiniz;
• GRUB2-də düzgün parolları daxil etdikdən sonra parol daxil etmək "tələb olunur" (ardıcıl üçüncü, BIOS parolu və ya GNU istifadəçi hesabı parolu/Linux - nəzərə almıram) GNU/OS-un kilidini açmaq və yükləmək üçünLinux, və ya gizli açarın avtomatik əvəzlənməsi (iki parol + açar və ya parol + açar);
• GRUB2 konfiqurasiyasına xarici müdaxilə GNU/ faylını donduracaqLinux.

Problemli? Yaxşı, gəlin prosesləri avtomatlaşdıraq.

Sərt diski bölmək zamanı (MBR cədvəli) PC-də 4-dən çox əsas arakəsmə və ya 3 əsas və bir uzadılmış, eləcə də bölüşdürülməmiş sahə ola bilər. Genişləndirilmiş bölmə, əsas hissədən fərqli olaraq, alt bölmələri ehtiva edə bilər. (məntiqi disklər = uzadılmış bölmə). Başqa sözlə, HDD-də "genişlənmiş bölmə" cari tapşırıq üçün LVM-i əvəz edir: tam sistem şifrələməsi. Əgər diskiniz 4 əsas hissəyə bölünübsə, siz lvm-dən istifadə etməlisiniz və ya transformasiya etməlisiniz (formatlama ilə) əsasdan qabaqcıl bölməyə keçin və ya dörd bölmənin hamısından bacarıqla istifadə edin və istədiyiniz nəticəni əldə edərək hər şeyi olduğu kimi buraxın. Diskinizdə yalnız bir bölməniz olsa belə, Gparted HDD-ni bölməyə kömək edəcək (əlavə bölmələr üçün) məlumat itkisi olmadan, lakin hələ də bu cür hərəkətlər üçün ödəmək üçün kiçik bir qiymətlə.

Bütün məqalənin şifahi şəkildə ifadə ediləcəyi sabit diskin yerləşdirmə sxemi aşağıdakı cədvəldə təqdim olunur.

1TB bölmələrinin cədvəli (No 1).

Bənzər bir şeyiniz olmalıdır.
sda1 - NTFS №1 əsas bölməsi (şifrələnmiş);
sda2 - uzadılmış bölmə markeri;
sda6 - məntiqi sürücü (onda GRUB2 yükləyicisi quraşdırılıb);
sda8 - dəyişdirmə (şifrlənmiş dəyişdirmə faylı / həmişə deyil);
sda9 - test məntiqi diski;
sda5 - maraqlananlar üçün məntiqi sürücü;
sda7 — GNU ƏS/Linux (ƏS-i şifrələnmiş məntiqi diskə köçürdü);
sda3 — OS ilə əsas bölmə #2 Windows 7 (şifrələnmiş);
sda4 - əsas bölmə №3 (şifrələnməmiş GNU/ ehtiva edirdiLinux, ehtiyat nüsxə üçün istifadə olunur/həmişə deyil).

[A] Blok sistemi şifrələməsi Windows 7

A1. VeraCrypt

-Dən yükləyin rəsmi saytıvə ya güzgüdən sourceforge VeraCrypt kriptoqrafik proqramının quraşdırma versiyası (v1.24-Update3 nəşri zamanı VeraCrypt-in portativ versiyası sistem şifrələməsi üçün uyğun deyil). Yüklənmiş proqram təminatının yoxlama məbləğini yoxlayın

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

və nəticəni VeraCrypt tərtibatçısının saytında yerləşdirilən CS ilə müqayisə edin.

HashTab proqramı quraşdırılıbsa, daha asan: RMB (VeraCrypt Quraşdırma 1.24.exe)-properties-faylların hash cəmi.

Proqramın imzasını yoxlamaq üçün proqram təminatı və tərtibatçının açıq pgp açarı sistemdə quraşdırılmalıdır. gnuPG; gpg4win.

A2. VeraCrypt Proqramının Administrator Hüquqları ilə Quraşdırılması/Başlanması

A3. Aktiv bölmə üçün sistem şifrələmə seçimlərinin seçilməsiVeraCrypt – Sistem – Sistem bölməsini/diskini şifrələyin – Normal – Sistem bölməsini şifrələyin Windows – Çoxlu yükləmə – (Xəbərdarlıq: "Təcrübəsiz istifadəçilərə bu üsuldan istifadə etmək tövsiyə edilmir" və bu doğrudur, "Bəli" ilə razılaşın) - Yükləmə diski (“bəli”, belə olmasa belə, yenə də “bəli”) – Sistem disklərinin sayı “2 və ya daha çox” – Bir diskdə birdən çox sistem “Bəli” – Xeyr Windows bootloader "Xeyr" (əslində “Bəli”, lakin VeraCrypt/GRUB2 yükləyiciləri MBR-ni öz aralarında paylaşmayacaqlar, daha doğrusu, yükləyici kodunun yalnız ən kiçik hissəsi MBR/boot trekində saxlanılır, onun əsas hissəsi fayl daxilində yerləşir. sistem) – Multiboot – Şifrələmə parametrləri…

Əgər yuxarıdakı addımlardan yayınsanız (blok sistemi şifrə sxemləri), sonra VeraCrypt xəbərdarlıq verəcək və bölmənin şifrələnməsinə icazə verməyəcək.

Məqsədli məlumatların qorunması istiqamətində növbəti addım “Sınaq” keçirmək və şifrələmə alqoritmini seçməkdir. Əgər köhnəlmiş CPU-nuz varsa, o zaman Twofish şifrələmə alqoritmi çox güman ki, ən sürətli olacaq. CPU güclüdürsə, fərqi görəcəksiniz: AES - test nəticələrinə görə şifrələmə kripto rəqiblərindən bir neçə dəfə daha sürətli olacaq. AES məşhur şifrələmə alqoritmidir, müasir CPU-ların aparatı xüsusi olaraq "gizli" və "hack" üçün optimallaşdırılmışdır.

VeraCrypt diskləri AES kaskadı ilə şifrələmək qabiliyyətini dəstəkləyir(iki balıq)/ və digər birləşmələr. On il əvvəl köhnə nüvə Intel CPU-da (AES aparat dəstəyi yoxdur, A/T kaskad şifrələməsi) performansın azalması mahiyyətcə hiss olunmur. (eyni dövrün/~parametrlərin AMD CPU-ları üçün performans bir qədər azalıb). ƏS dinamikada işləyir və şəffaf şifrələmə üçün resursların istehlakı hiss olunmur. Məsələn, Mate v1.20.1-dən fərqli olaraq, quraşdırılmış test qeyri-sabit masa üstü mühiti səbəbindən performansın nəzərəçarpacaq dərəcədə azalması. (və ya v1.20.2 dəqiq xatırlamıram) GNU-da/Linuxvə ya telemetriya altproqramının işləməsi səbəbindən Windows7↑. Təcrübəli istifadəçilər adətən şifrələmədən əvvəl aparat performans testləri aparırlar. Məsələn, Aida64/Sysbench/systemd-analyze-də onlar nəticələri sistem şifrələməsindən sonra eyni testlərlə müqayisə edir və bununla da "sistem şifrələməsinin zərərli olduğu" mifini təkzib edirlər. Şifrələnmiş məlumatların ehtiyat nüsxəsini çıxararkən/bərpa edərkən maşının yavaşlaması və narahatlığı nəzərə çarpır, çünki "sistem məlumatlarının ehtiyat nüsxəsi" əməliyyatının özü millisaniyələrlə ölçülmür və eyni "tezliklə deşifrələmə/şifrələmə" əməliyyatları əlavə olunur. Nəticədə, kriptoqrafiya ilə məşğul olmağa icazə verilən hər bir istifadəçi şifrələmə alqoritmini ehtiyacları, paranoya səviyyəsi və istifadə rahatlığı arasında tarazlaşdırır.

PIM parametrini standart olaraq tərk etmək daha yaxşıdır ki, OS-ni hər dəfə yüklədiyiniz zaman dəqiq iterasiya dəyərlərini daxil etməyəsiniz. VeraCrypt həqiqətən "yavaş hash" yaratmaq üçün çox sayda iterasiyadan istifadə edir. Qəddar qüvvə/göy qurşağı cədvəlləri metodundan istifadə edərək belə bir "kripto ilbiz"ə hücum yalnız qısa "sadə" parol və qurbanın şəxsi simvol siyahısı ilə məna kəsb edir. Parolun gücünə görə ödəniş - OS-ni yükləyərkən düzgün parolun daxil edilməsində gecikmə (VeraCrypt cildlərini GNU-da quraşdırmaq/Linux — xeyli sürətli).
Kobud güc hücumları üçün pulsuz proqram (VeraCrypt/LUKS disk başlığından parolun çıxarılması) hashcat. John the Ripper "Veracrypt'i necə sındıracağını" bilmir və LUKS ilə işləyərkən Twofish kriptoqrafiyasını başa düşmür.

Şifrələmə alqoritmlərinin kriptoqrafik gücünə görə, qarşısıalınmaz cypherpunks fərqli hücum vektoru ilə proqram təminatı hazırlayır. Məsələn, RAM-dan metadata/açarların çıxarılması (soyuq ayaqqabı/DMA hücumu), bu məqsəd üçün xüsusi pulsuz və qeyri-azad proqramlar mövcuddur.

VeraCrypt şifrələnmiş aktiv bölmə üçün "unikal metaməlumat"ı konfiqurasiya etməyi/yaratmağı başa çatdırdıqdan sonra, kompüterinizi yenidən başlatmağı və onun yükləyicisinin funksionallığını yoxlamağı təklif edəcək. Yenidən başlatdıqdan/başladıqdan sonra Windows, VeraCrypt gözləmə rejimində yüklənəcək, qalan tək şey şifrələmə prosesini təsdiqləməkdir - Y.

Sistem şifrələməsinin son mərhələsində VeraCrypt aktiv şifrələnmiş bölmənin başlığının ehtiyat nüsxəsini "veracrypt rescue disk.iso" şəklində yaratmağı təklif edəcək - bunu etməlisiniz - bu proqramda belə əməliyyat tələb olunur (LUKS-də, tələb olaraq - bu, təəssüf ki, buraxılıb, lakin sənədlərdə vurğulanır). Xilasetmə diski hər kəs üçün faydalıdır, lakin kimsə üçün bir dəfədən çox. Zərər (başlığın yenidən yazılması/MBR) Başlığın ehtiyat nüsxəsi, əməliyyat sistemi ilə şifrələnmiş bölməyə girişi birdəfəlik rədd edəcək Windows.

A4. Xilasedici usb/disk VeraCrypt yaradınVarsayılan olaraq, VeraCrypt "~2-3MB metaməlumat"ı CD-yə yazmağı təklif edir, lakin hər kəsin CD və ya DVD-ROM sürücüləri yoxdur və yüklənə bilən "VeraCrypt Xilasetmə Diski" fləş sürücüsü yaratmaq bəziləri üçün texniki sürpriz olacaq: Rufus/GUIDD-ROSA ImageWriter və digər oxşar proqram təminatı bu vəzifənin öhdəsindən gələ bilməyəcək, çünki köçürülmüş metaməlumatları yüklənə bilən fləş sürücüyə kopyalamaqla yanaşı, şəkli USB sürücüsünün fayl sistemindən kənara kopyalamalı/yapışdırmalısınız - bir sözlə, MBR/yolunu fləş sürücüyə düzgün şəkildə kopyalamalısınız. GNU/Linux OS altından/Linux Bu cədvələ baxaraq "dd" yardım proqramından istifadə edərək önyüklenebilir bir flash sürücü yarada bilərsiniz.

Ətraf mühitdə xilasetmə diskinin yaradılması Windows — əks halda. VeraCrypt-in tərtibatçısı bu problemin həllini rəsmi sənədə daxil etməyib sənədlər "xilasetmə diski" üzərində işlədi, lakin fərqli bir həll yolu təklif etdi: o, VeraCrypt forumunda sərbəst şəkildə əldə edilə bilən "USB xilasetmə diski" yaratmaq üçün əlavə proqram təminatı hazırladı. Bu proqram təminatının arxivçisi Windows – “USB Veracrypt Xilasetmə Diskini Yaradın.” Xilasetmə diski.iso faylını saxladıqdan sonra aktiv bölmənin blok sistemi şifrələmə prosesi başlayacaq. Şifrələmə zamanı ƏS işləməyi dayandırmır və kompüterin yenidən başlaması tələb olunmur. Şifrələmə prosesi başa çatdıqdan sonra aktiv bölmə tam şifrələnmiş və istifadəyə hazırdır. Əgər kompüteri işə saldıqda VeraCrypt bootloader görünmürsə və başlıq bərpa əməliyyatı kömək etmirsə, “boot” bayrağını yoxlayın; o, faylı ehtiva edən bölmədə təyin olunmalıdır. Windows (şifrələmə və digər əməliyyat sistemlərindən asılı olmayaraq, cədvəl №1-ə baxın).
Bu, ƏS ilə blok sistemi şifrələməsinin təsviridir Windows bitdi.

[B] LUKS. GNU Şifrələmə/Linux (~Debian) quraşdırılmış OS. Alqoritm və addımlar

Quraşdırılmış faylları şifrələmək üçün Debian/törəmə paylanması, hazırlanmış bölmənin virtual blok cihazına xəritələşdirilməsini və xəritələşdirilmiş GNU diskinə köçürülməsini tələb edir/Linux, və GRUB2-ni quraşdırın/konfiqurasiya edin. Əgər əsas serveriniz yoxdursa və vaxtınıza dəyər verirsinizsə, GUI-dən istifadə etməlisiniz və aşağıda təsvir edilən terminal əmrlərinin əksəriyyətinin "Chuck Norris rejimində" daxil edilməsi nəzərdə tutulub.

B1. Kompüteri canlı usb GNU/-dən yükləməkLinux

"Avadanlıq performansına dair kriptotest həyata keçirin"

lscpu && сryptsetup benchmark

Əgər siz AES aparat dəstəyi ilə güclü avtomobilin xoşbəxt sahibisinizsə, o zaman rəqəmlər terminalın sağ tərəfi kimi görünəcək, xoşbəxtsinizsə, ancaq antik dəmirlə sol tərəfə bənzəyəcək.

B2. Disk tərtibatı. Ext4 (Gparted)-də HDD məntiqi diskinin fs-nin quraşdırılması/formatlanması

B2.1. Şifrələnmiş sda7 bölmə başlığının yaradılmasıBölmə adlarını təsvir etmək üçün bundan sonra yuxarıda göstərilən bölmə cədvəlimə uyğun olacağam. Disk quruluşunuza uyğun olaraq, öz bölmə adlarınızı əvəz etməlisiniz.

Məntiqi Sürücü Şifrələmə Xəritəçəkmə (/dev/sda7 > /dev/mapper/sda7_crypt).
# "LUKS-AES-XTS bölməsinin" sadə yaradılması

cryptsetup -v -y luksFormat /dev/sda7

Seçimlər:

* luksFormat - LUKS başlığının işə salınması;
* -y -parol (açar/fayl deyil);
* -v - verbalizasiya (terminalda məlumatın çıxarılması);
* /dev/sda7 - genişləndirilmiş bölmədən məntiqi diskiniz (GNU-nun köçürülməsi/şifrələnməsi planlaşdırılır/Linux).

Defolt şifrələmə alqoritmi <LUKS1: aes-xts-plain64, Açar: 256 bit, LUKS başlıq hashing: sha256, RNG: /dev/urandom> (cryptsetup versiyasından asılıdır).

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

CPU-da AES üçün aparat dəstəyi yoxdursa, ən yaxşı seçim genişləndirilmiş "LUKS-Twofish-XTS-partition" yaratmaq olardı.

B2.2. "LUKS-Twofish-XTS-partition"-ın təkmil yaradılması

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

Seçimlər:
* luksFormat - LUKS başlığının işə salınması;
* /dev/sda7 sizin gələcək şifrələnmiş məntiqi diskinizdir;
* -v sözlə ifadə etmək;
* -y parol ifadəsi;
* -c verilənlərin şifrələmə alqoritminin seçilməsi;
* -s şifrələmə açarının ölçüsü;
* -h hashing alqoritmi/kriptofunksiya, RNG istifadə olunur (—istifadə-urandom) unikal məntiqi disk başlığı şifrələmə/şifrə açma açarı, ikinci dərəcəli başlıq açarı (XTS) yaratmaq; şifrələnmiş disk başlığında saxlanılan unikal əsas açar, ikinci dərəcəli XTS açarı, bütün bu metadata və əsas açardan və ikincil XTS açarından istifadə edərək bölmədəki hər hansı məlumatı şifrələyən / deşifrə edən şifrələmə proqramı (bölmə başlığı istisna olmaqla) seçilmiş sabit disk bölməsində ~3MB-da saxlanılır.
* -i "miqdar" əvəzinə millisaniyələrdə təkrarlamalar (parol ifadəsinin işlənməsində gecikmə OS yüklənməsinə və açarların kriptoqrafik gücünə təsir göstərir). "Rus" kimi sadə parol ilə kriptoqrafik gücün tarazlığını saxlamaq üçün -(i) dəyərini artırmaq lazımdır, "?8dƱob/øfh" kimi mürəkkəb parol ilə isə dəyəri azaltmaq olar.
* --use-urandom təsadüfi ədəd generatoru, açarlar və duz yaradır.

sda7 > sda7_crypt bölməsini xəritələşdirdikdən sonra (əməliyyat sürətlidir, çünki şifrlənmiş başlıq ~3 MB metadata ilə yaradılır və bu qədər), siz sda7_crypt fayl sistemini formatlamalı və quraşdırmalısınız.

B2.3. Xəritəçəkmə

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

seçimlər:
* açıq - bölməni "adı ilə" uyğunlaşdırın;
* /dev/sda7 - məntiqi sürücü;
* sda7_crypt - şifrələnmiş bölməni quraşdırmaq və ya OS işə salındıqda onu işə salmaq üçün istifadə olunan ad xəritələşdirilməsi.

B2.4. sda7_crypt fayl sisteminin ext4-ə formatlanması. ƏS-də diskin quraşdırılması(Qeyd: Gparted artıq şifrələnmiş bölmə ilə işləməyəcək)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt 

seçimlər:
* -v - verbalizasiya;
* -L - disk etiketi (digər disklər arasında Explorer-də göstərilir).

Sonra, virtual şifrələnmiş blok cihazını /dev/sda7_crypt sistemə quraşdırmalısınız

mount /dev/mapper/sda7_crypt /mnt

/mnt qovluğundakı fayllarla işləmək sda7-də məlumatları avtomatik olaraq şifrələyəcək / deşifrə edəcək.

Fayl Explorer-də bölməni xəritələşdirmək və quraşdırmaq daha rahatdır (nautilus/caja GUI), bölmə artıq disk seçim siyahısında olacaq, diski açmaq / deşifrə etmək üçün bir parol daxil etmək qalır. Xəritələnmiş ad avtomatik olaraq seçiləcək və "sda7_crypt" deyil, /dev/mapper/Luks-xx-xx…

B2.5. Disk başlığının ehtiyat nüsxəsi (metadata ~3mb)Ən çox biri vacib gecikmədən yerinə yetirilməsi lazım olan əməliyyatlar - "sda7_crypt" başlığının ehtiyat nüsxəsi. Başlığın üzərinə yazılsa/korrupsiyaya uğrayarsa (məsələn, sda2 bölməsində GRUB7 quraşdırmaq və s.), şifrələnmiş məlumatlar onu bərpa etmək imkanı olmadan həmişəlik itiriləcək, çünki eyni açarları yenidən yaratmaq mümkün olmayacaq, açarlar unikal yaradılmışdır.

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7 

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

seçimlər:
* luksHeaderBackup --header-backup-file - backup əmri;
* luksHeaderRestore --header-backup-file - bərpa əmri;
* ~/Backup_DebSHIFR - ehtiyat fayl;
* /dev/sda7 - şifrələnmiş disk başlığının ehtiyat nüsxəsi alınacaq bölmə.
Bu addımda <şifrələnmiş bölmənin yaradılması və redaktəsi> tamamlanır.

B3. GNU OS-nin portlaşdırılması/Linux (sda4) şifrələnmiş bölməyə (sda7)

/mnt2 qovluğu yaradın (Qeyd - biz hələ də canlı usb ilə işləyirik, sda7_crypt /mnt-ə quraşdırılıb), və biz GNU/-mizi quraşdırırıqLinux şifrələnməli olan /mnt2 faylına.

mkdir /mnt2
mount /dev/sda4 /mnt2

Rsync proqram təminatından istifadə edərək ƏS-nin düzgün ötürülməsini həyata keçiririk

rsync -avlxhHX --progress /mnt2/ /mnt

Rsync variantları E1 bölməsində təsvir edilmişdir.

Bundan sonra, gərək disk bölməsini defraqmentasiya edin

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

HDD-niz varsa, zaman-zaman şifrələnmiş GNU/LInux-da e4defrag etməyi bir qayda edin.
Transfer və Sinxronizasiya [GNU/Linux > GNU/Linux-şifrəli] bu addımda tamamlandı.

B4. GNU/-ni konfiqurasiya etməkLinux şifrələnmiş sda7 bölməsində

ƏS-i /dev/sda4 > /dev/sda7 uğurla köçürdükdən sonra GNU/ daxil etməlisinizLinux şifrələnmiş bölmədə yerləşdirin və əlavə konfiqurasiyanı yerinə yetirin (PC-ni yenidən başlatmadan) şifrələnmiş sistemlə bağlı. Yəni, canlı usb-də olmaq, lakin "şifrlənmiş OS-nin kökünə nisbətən" əmrləri yerinə yetirmək. Bənzər bir vəziyyətin simulyasiyası "chroot" olacaq. Hazırda hansı OS üzərində işlədiyiniz barədə məlumatı tez əldə etmək üçün (şifrələnmiş və ya deyil, çünki sda4 və sda7-dəki məlumatlar sinxronlaşdırılır), ƏS-ləri sinxronizasiyadan çıxarın. Kök qovluqlarda yaradın (sda4/sda7_crypt) /mnt/encryptedOS və /mnt2/decryptedOS kimi boş token faylları. Hansı OS-də olduğunuzu tez yoxlayın (gələcək üçün daxil olmaqla):

ls /<Tab-Tab>

B4.1. "Şifrələnmiş OS-yə girişin simulyasiyası"

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. İşin şifrələnmiş sistemə nisbətən yerinə yetirildiyinin yoxlanılması

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. Şifrələnmiş svop yaratmaq/konfiqurasiya etmək, crypttab/fstab-ı redaktə etməkMübadilə faylı hər dəfə ƏS işə salındıqda formatlaşdırıldığı üçün indi məntiqi diskə dəyişdirmə yaratmaq və xəritələşdirmək və B2.2-ci bənddə olduğu kimi əmrlər yazmaq mənasızdır. Swap üçün hər başlanğıcda onların müvəqqəti şifrələmə açarları avtomatik olaraq yaradılacaq. Swap-a açarlarının həyat dövrü: dəyişdirmə bölməsinin sökülməsi/sökülməsi (+təmiz RAM); və ya OS-ni yenidən başladın. Quraşdırmanı dəyişdirin, blok şifrəli cihazların konfiqurasiyasına cavabdeh olan faylı açın (fstab faylına bənzəyir, lakin kripto üçün cavabdehdir).

nano /etc/crypttab 

qayda

#"hədəf adı" "mənbə cihazı" "açar fayl" "seçimlər"
svop /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512

Seçimlər
* dəyişdirmə - /dev/mapper/swap-ı şifrələyərkən xəritələnmiş ad.
* /dev/sda8 - dəyişdirmə üçün məntiqi bölmənizi istifadə edin.
* /dev/urandom - dəyişdirmə üçün təsadüfi şifrələmə açarlarının generatoru (hər yeni OS açılışı ilə yeni açarlar yaradıldı). /dev/urandom generatoru /dev/random-dan daha az təsadüfidir, çünki təhlükəli paranoid şəraitdə işləyərkən /dev/random istifadə olunur. OS açılışında /dev/random bir neçə ± dəqiqə yükləməni yavaşlatır (bax systemd-analiz).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -partition dəyişdirildiyini bilir və ona uyğun formatlaşdırılır; şifrələmə alqoritmi.

#Открываем и правим fstab
nano /etc/fstab

qayda

# dəyişdirmə quraşdırma zamanı / dev / sda8-də idi
/dev/mapper/swap none swap sw 0 0

/dev/mapper/swap -ad crypttab-da verilmişdir.

Alternativ şifrələnmiş svop
Əgər nədənsə bütöv bir bölməni dəyişdirmə faylı kimi vermək istəmirsinizsə, o zaman alternativ və daha yaxşı bir şəkildə gedə bilərsiniz: şifrələnmiş ƏS bölməsində faylda dəyişdirmə faylı yaratmaq.

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

Swap bölməsinin quraşdırılması tamamlandı.

B4.4. Şifrəli GNU/-nin qurulmasıLinux (crypttab/fstab fayllarını redaktə edir)/etc/crypttab faylı, yuxarıda yazdığım kimi, sistemin açılış zamanı konfiqurasiya edilmiş şifrələnmiş blok cihazlarını təsvir edir.

#правим /etc/crypttab 
nano /etc/crypttab 

B7 bəndində olduğu kimi sda7>sda2.1_crypt bölməsinə uyğun gəlmisinizsə

# "hədəf adı" "mənbə cihazı" "açar fayl" "seçimlər"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

B7 bəndində olduğu kimi sda7>sda2.2_crypt bölməsinə uyğun gəlmisinizsə

# "hədəf adı" "mənbə cihazı" "açar fayl" "seçimlər"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

B7 və ya B7-də olduğu kimi sda2.1>sda2.2_crypt bölməsinə uyğun gəlmisinizsə, lakin OS-nin kilidini açmaq və yükləmək üçün parolu yenidən daxil etmək istəmirsinizsə, onda parol əvəzinə gizli açarı / təsadüfi faylı əvəz edə bilərsiniz.

# "hədəf adı" "mənbə cihazı" "açar fayl" "seçimlər"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

Təsvir
*none - ƏS işə salındıqda kökün kilidini açmaq üçün gizli parol tələb olunduğunu göstərir.
* UUID - bölmə identifikatoru. Şəxsiyyət vəsiqənizi öyrənmək üçün terminala yazın (xatırladırıq ki, bütün bu müddət ərzində siz başqa canlı usb terminalında deyil, chroot mühitində terminalda işləyirsiniz).

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное 

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

bu xətt sda7_crypt quraşdırılmış canlı usb terminalından blkid tələb edərkən görünür).
UUID sdaX-dən götürülüb (sdaX_crypt deyil!, UUID sdaX_crypt - grub.cfg konfiqurasiyasını yaradan zaman avtomatik olaraq yox olacaq).
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks qabaqcıl rejim şifrələməsi.
* /etc/skey - OS açılışının kilidini açmaq üçün avtomatik olaraq əvəzlənən gizli açar faylı (3-cü parolu daxil etmək əvəzinə). Siz 8mb-a qədər istənilən faylı təyin edə bilərsiniz, lakin məlumat <1mb oxunacaq.

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7 

Bu kimi bir şey görünəcək:

(özünüz edin və özünüz baxın).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab müxtəlif fayl sistemləri haqqında təsviri məlumatları ehtiva edir.

#Правим /etc/fstab
nano /etc/fstab

# "fayl sistemi" "quraşdırma nöqtəsi" "növ" "seçimlər" "boşaltma" "keçid"
# / quraşdırma zamanı / dev / sda7 idi
/dev/mapper/sda7_crypt / ext4 səhvləri=remount-ro 0 1

seçim
* /dev/mapper/sda7_crypt /etc/crypttab faylında göstərilən sda7>sda7_crypt xəritəsinin adıdır.
crypttab/fstab quraşdırması artıq tamamlandı.

B4.5. Konfiqurasiya fayllarının redaktə edilməsi. Əsas məqamB4.5.1. /etc/initramfs-tools/conf.d/resume konfiqurasiyasının redaktə edilməsi

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

və şərh verin (əgər varsa) "#" sətri "cəm". Fayl tamamilə boş olmalıdır.

B4.5.2. /etc/initramfs-tools/conf.d/cryptsetup konfiqurasiyasının redaktə edilməsi

nano /etc/initramfs-tools/conf.d/cryptsetup

uyğun olmalıdır

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=bəli
CRYPTSETUP ixrac edin

B4.5.3. /etc/default/grub konfiqurasiyasının redaktə edilməsi (şifrələnmiş /boot ilə işləyərkən grub.cfg yaratmaq qabiliyyətinə cavabdeh olan bu konfiqurasiyadır)

nano /etc/default/grub

"GRUB_ENABLE_CRYPTODISK=y" sətirini əlavə edin
'y' olaraq təyin edildikdə, grub-mkconfig və grub-install şifrələnmiş diskləri yoxlayacaq və yükləmə zamanı onlara daxil olmaq üçün lazım olan əlavə əmrlər yaradacaq. (insmods ).
oxşar olmalıdır

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=vendor"
GRUB_CMDLINE_LINUX="səssiz sıçrayış noautomount"
GRUB_ENABLE_CRYPTODISK=y

B4.5.4. /etc/cryptsetup-initramfs/conf-hook konfiqurasiyasının redaktə edilməsi

nano /etc/cryptsetup-initramfs/conf-hook

xəttini yoxlayın şərh etdi <#>.
Gələcəkdə (və hətta indi də bu parametrin heç bir dəyəri olmayacaq, lakin bəzən initrd.img şəklinin yenilənməsinə mane olur).

B4.5.5. /etc/cryptsetup-initramfs/conf-hook konfiqurasiyasının redaktə edilməsi

nano /etc/cryptsetup-initramfs/conf-hook

əlavə edin

KEYFILE_PATTERN="/etc/skey"
UMASK=0077

Bu, gizli açar "skey" initrd.img-ə yığılacaq, açar OS açılışında kök kilidini açmaq üçün lazımdır. (əgər parolu yenidən daxil etmək istəyi olmadıqda, "skey" düyməsi avtomatik olaraq əvəz olunur).

B4.6. /boot/initrd.img [versiyanı] yeniləyinŞəxsi açarı initrd.img-də paketləmək və cryptsetup düzəlişlərini tətbiq etmək üçün şəkli yeniləyin

update-initramfs -u -k all

initrd.img-ni yeniləyərkən ("Bəlkə, amma qəti deyil" deyildiyi kimi) kriptosetup ilə bağlı xəbərdarlıqlar və ya məsələn, Nvidia modullarının itirilməsi barədə bildiriş olacaq - bu normaldır. Faylı yenilədikdən sonra onun həqiqətən yeniləndiyini yoxlayın (chroot mühitinə nisbətən ./boot/initrd.img). Diqqət! [update-initramfs -u -k all] əvvəl cryptsetup-un /dev/sda7-nin açıq olduğunu yoxlayın. sda7_crypt - bu, /etc/crypttab-da görünməli olan addır, əks halda rebootdan sonra - busybox xətası)
Bu addım konfiqurasiya fayllarının quraşdırılmasını tamamlayır.

[С] GRUB2/Protection-ın quraşdırılması və konfiqurasiyası

C1. Lazım gələrsə, yükləyici üçün xüsusi bölməni formatlaşdırın (bölmə üçün ən azı 20 MB kifayətdir)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. /dev/sda6-dan /mnt-ə bağlayınBiz chroot-da işlədiyimiz üçün kökdə /mnt2 kataloqu olmayacaq, /mnt qovluğu isə boş olacaq.
GRUB2 bölməsini quraşdırın

mount /dev/sda6 /mnt

Əgər sizdə GRUB2-nin köhnə versiyası quraşdırılıbsa, /mnt/boot/grub/i-386-pc-də (mümkün başqa platforma, məsələn, "i386-pc" deyil) kriptomodullar yoxdur (qısacası, qovluqda modullar olmalıdır, o cümlədən bunlar .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), belə halda GRUB2-ni silkələmək lazımdır.

apt-get update
apt-get install grub2 

Vacibdir! GRUB2 paketini depodan yeniləyərkən, yükləyicini harada quraşdırmaq barədə "seçim haqqında" soruşduqda, quraşdırmadan imtina etməlisiniz. (səbəb - GRUB2-ni "MBR"-də və ya canlı USB-də quraşdırmaq cəhdi). Əks halda, VeraCrypt başlığını/yükləyicisini korlayacaqsınız. GRUB2 paketlərini yenilədikdən və quraşdırmanı ləğv etdikdən sonra yükləyici "MBR"-də deyil, məntiqi sürücüyə əl ilə quraşdırılmalıdır. Əgər deponuzda GRUB2-nin köhnəlmiş versiyası varsa, cəhd edin yeniləmə rəsmi saytdan - yoxlamadı (təzə GRUB 2.02 ~BetaX yükləyiciləri ilə işləmişdir).

C3. Genişləndirilmiş bölmədə GRUB2 quraşdırılması [sda6]Sizdə quraşdırılmış bölmə olmalıdır [p.C.2]

grub-install --force --root-directory=/mnt /dev/sda6

seçimlər
* --force - demək olar ki, həmişə mövcud olan bütün xəbərdarlıqları keçərək yükləyicini quraşdırın və quraşdırmanı bloklayın (lazım bayraq).
* --root-directory - kataloq quraşdırılması sda6-nın kökünə.
* /dev/sda6 - sdaX bölməniz (/mnt /dev/sda6 arasında <boşluğu> atlamayın).

C4. Konfiqurasiya faylının yaradılması [grub.cfg]"update-grub2" əmrini unudun və tam konfiqurasiya faylı yaratma əmrindən istifadə edin

grub-mkconfig -o /mnt/boot/grub/grub.cfg

grub.cfg faylının yaradılması / yenilənməsi başa çatdıqdan sonra çıxış terminalında diskdə olan OS ilə sətirlər (a) olmalıdır. (grub-mkconfig, çoxbucaqlı flash sürücünüz varsa, əməliyyat sistemini canlı USB-dən tapıb yükləyə bilər) Windows 10 və bir dəstə canlı yayım - bu normaldır). Terminal "boşdursa", "grub.cfg" faylı yaradılmırsa, sistemdə GRUB səhvləri olduqda belə olur. (və çox güman ki, deponun sınaq şöbəsindən yükləyici), GRUB2-ni etibarlı mənbələrdən yenidən quraşdırın.
"Sadə konfiqurasiya" quraşdırılması və GRUB2 konfiqurasiyası artıq tamamlandı.

C5. Şifrəli GNU ƏS-nin sübut testi/LinuxKripto missiyasını düzgün şəkildə yerinə yetirin. Şifrəli GNU/-dan diqqətlə çıxınLinux (chroot mühitindən çıxın).

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

Kompüteri yenidən başlatdıqdan sonra VeraCrypt yükləyicisi yüklənməlidir.


*Aktiv bölmə üçün parol daxil edin - əməliyyat sistemi yüklənməyə başlayacaq Windows.
*Şifrəli GNU/seçim zamanı "Esc" düyməsini basmaqla idarəetmə GRUB2-yə ötürüləcək.Linux – /boot/initrd.img faylının kilidini açmaq üçün parola (sda7_crypt) ehtiyacınız olacaq (grub2 uuid "tapılmadı" yazırsa - bu, grub2 bootloader ilə bağlı problemdir, onu yenidən quraşdırmaq lazımdır, məsələn, testing branch/stable və pd-dən).


*Sistemi necə qurmağınızdan asılı olaraq (B4.4/4.5 bölməsinə baxın), /boot/initrd.img şəklinin kilidini açmaq üçün düzgün parol daxil etdikdən sonra sizə OS nüvəsini/kökünü yükləmək üçün parol lazımdır. gizli açar avtomatik olaraq " skey" ilə əvəzlənəcək və parolu yenidən daxil etmək ehtiyacını aradan qaldıracaq.

("gizli açarın avtomatik dəyişdirilməsi" ekran görüntüsü).

*Bundan sonra tanış GNU açılış prosesi başlayacaq.Linux istifadəçi hesabı identifikasiyası ilə.


*İstifadəçi avtorizasiyasından və OS-yə daxil olduqdan sonra /boot/initrd.img-ni yenidən yeniləməlisiniz (bax. Q4.6).

update-initramfs -u -k all

Və GRUB2 menyusunda əlavə xətlər olduqda (canlı usb ilə alma OS-m-dən) onlardan qurtul

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

GNU Sistem Şifrələməsinin Qısa XülasəsiLinux:

• GNU/Linuxinux, /boot/kernel və initrd daxil olmaqla, tamamilə şifrələnmişdir;
• gizli açar initrd.img-də paketlənir;
• cari icazə sxemi (initrd kilidini açmaq üçün parol daxil edin; əməliyyat sistemini yükləmək üçün parol/açar; hesabın avtorizasiya parolu Linux).

"Sadə GRUB2 konfiqurasiyası" blok bölmə sisteminin şifrələnməsi tamamlandı.

C6. Təkmil GRUB2 konfiqurasiyası. Rəqəmsal imza + autentifikasiya mühafizəsi ilə yükləyicinin qorunmasıGNU/Linux Yükləyici tamamilə şifrələnib, lakin yükləmə cihazı şifrələnə bilməz - bu, BIOS tələbidir. Bu səbəbdən, GRUB2-nin zəncirli şifrələnmiş açılışı mümkün deyil, lakin sadə zəncirli açılış mümkündür/mövcuddur. Təhlükəsizlik baxımından bu lazım deyil [F bölməsinə baxın].
“Həssas” GRUB2 üçün tərtibatçılar “imzalama/autentifikasiya” yükləyicisini qoruma alqoritmini tətbiq etdilər.

• Yükləyici “öz rəqəmsal imzası” ilə qorunduğunda, faylların xarici modifikasiyası və ya bu yükləyiciyə əlavə modulların yüklənməsi cəhdi yükləmə prosesinin bloklanmasına gətirib çıxaracaq.
• Yükləyicini identifikasiya ilə qoruyarkən, hər hansı bir paylama dəstinin yüklənməsini seçmək və ya CLI-yə əlavə əmrlər daxil etmək üçün super istifadəçi GRUB2-nin giriş və şifrəsini daxil etməlisiniz.

C6.1. Yükləyicinin Doğrulama ilə qorunmasıŞifrələnmiş OS-də terminalda işlədiyinizi yoxlayın

ls /<Tab-Tab> #обнаружить файл-маркер

GRUB2-də avtorizasiya üçün super istifadəçi parolu yaradın

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. 

Parol hashını əldə edin. Bu kimi bir şey

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

GRUB bölməsini quraşdırın

mount /dev/sda6 /mnt 

konfiqurasiyanı redaktə edin

nano -$ /mnt/boot/grub/grub.cfg 

fayl axtarışında "grub.cfg" ("-məhdudiyyətsiz" "-user") heç bir yerdə bayraqların olmadığını yoxlayın.
sonda əlavə edin (### sətirindən əvvəl END /etc/grub.d/41_custom ###)
"superusers" təyin et="kök"
password_pbkdf2 kök hash".

Belə bir şey olmalıdır

# Bu fayl xüsusi menyu girişləri əlavə etmək üçün asan bir yol təqdim edir. Sadəcə yazın
Bu şərhdən sonra əlavə etmək istədiyiniz # menyu girişi. Dəyişməmək üçün diqqətli olun
# yuxarıdakı 'exec quyruğu' xətti.
### SON /etc/grub.d/40_custom ###

### BAŞLAYIN /etc/grub.d/41_custom ###
əgər [ -f ${config_directory}/custom.cfg ]; sonra
mənbə ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefiks/custom.cfg ]; sonra
mənbə $prefiks/custom.cfg;
fi
superusers = "kök" təyin edin
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### SON /etc/grub.d/41_custom ###
#

Əgər siz tez-tez "grub-mkconfig -o /mnt/boot/grub/grub.cfg" əmrindən istifadə edirsinizsə və hər dəfə grub.cfg-də dəyişiklik etmək istəmirsinizsə, yuxarıdakı sətirləri daxil edin. (Giriş: Şifrə) GRUB istifadəçi skriptinə ən aşağıya qədər

nano /etc/grub.d/41_custom 

cat<<EOF
superusers = "kök" təyin edin
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

"grub-mkconfig -o /mnt/boot/grub/grub.cfg" konfiqurasiyasını yaradan zaman autentifikasiyadan məsul olan sətirlər avtomatik olaraq grub.cfg-ə əlavə olunacaq.
Bu addım GRUB2 autentifikasiya quraşdırmasını tamamlayır.

C6.2. Yükləyicinin rəqəmsal imza ilə qorunmasıGüman edilir ki, sizdə artıq şəxsi pgp şifrələmə açarınız var (və ya belə bir açar yaradın). Sistemdə kriptoqrafik proqram quraşdırılmalıdır: gnuPG; kleopatra/GPA; Dəniz atı. Kripto-proqram təminatı bütün belə hallarda həyatınızı xeyli asanlaşdıracaq. Seahorse - 3.14.0 paketinin stabil versiyası (yuxarıdakı versiyalar, məsələn, V3.20 aşağı səviyyədədir və əhəmiyyətli səhvlərə malikdir).

PGP açarı yalnız su mühitində yaradılmalıdır/çalışdırılmalıdır/əlavə edilməlidir!

Şəxsi şifrələmə açarı yaradın

gpg - -gen-key

Açarınızı ixrac edin

gpg --export -o ~/perskey

Əgər məntiqi sürücü quraşdırılmayıbsa, onu OS-yə quraşdırın

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

GRUB2 bölməsini təmizləyin

rm -rf /mnt/

Şəxsi açarınızı əsas GRUB şəklinə "core.img" daxil etməklə GRUB2-ni sda6-da quraşdırın.

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

seçimlər
* --force - həmişə mövcud olan bütün xəbərdarlıqları keçərək yükləyicini quraşdırın (lazım bayraq).
* --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - GRUB2-yə PC işə salındıqda tələb olunan modulları əvvəlcədən yükləməyi göstəriş verir.
* -k ~/perskey - "PGP açarı"na gedən yol (açarı şəkilə yığdıqdan sonra onu silmək olar).
* --root-directory -boot qovluğunu sda6 kökünə təyin edin
/dev/sda6 sizin sdaX bölmənizdir.

grub.cfg yaradın/yeniləyin

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

"grub.cfg" faylının sonuna "trust /boot/grub/perskey" sətri əlavə edin. (pgp düyməsini istifadə etməyə məcbur edin.) GRUB2-ni “signature_test.mod” imza modulu da daxil olmaqla bir sıra modullarla quraşdırdığımız üçün bu, konfiqurasiyaya “set check_signatures=enforce” kimi əmrlərin əlavə edilməsi ehtiyacını aradan qaldırır.

Bu kimi bir şey görünməlidir (grub.cfg faylında son sətirlər)

### BAŞLAYIN /etc/grub.d/41_custom ###
əgər [ -f ${config_directory}/custom.cfg ]; sonra
mənbə ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefiks/custom.cfg ]; sonra
mənbə $prefiks/custom.cfg;
fi
etibar /boot/grub/perskey
superusers = "kök" təyin edin
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### SON /etc/grub.d/41_custom ###
#

"/boot/grub/perskey" yolunun konkret disk bölməsinə, məsələn, hd0,6-ya işarə etməsinə ehtiyac yoxdur, çünki yükləyicinin özü üçün "root" GRUB2-nin quraşdırıldığı bölmənin standart yoludur. (bax rot = .. təyin edin).

GRUB2 imzalanması (bütün /GRUB kataloqlarındakı bütün fayllar) "perskey" açarınızla.
İmzalanmağın asan həlli (nautilus/caja explorer üçün): kəşfiyyatçı üçün "dəniz atı" uzantısını depodan quraşdırın. Açarınız su mühitinə əlavə edilməlidir.
Sudo "/mnt/boot" - RMB - işarəsindən tədqiqatçı açın. Ekranda belə görünür

Açarın özü "/mnt/boot/grub/perskey"dir. (grub qovluğuna kopyalayın) həm də öz imzası ilə imzalanmalıdır. [*.sig] fayl imzalarının kataloq/alt kataloqlarda göründüyünü yoxlayın.
Yuxarıdakı şəkildə "/boot" imzalayırıq (kernelimiz, initrd). Əgər vaxtınız bir şeyə dəyərsə, onda bu üsul "bir çox fayl" imzalamaq üçün bash skripti yazmaq ehtiyacını aradan qaldırır.

Bütün yükləyici imzalarını silmək üçün (bir şey səhv olarsa)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

Sistemi yenilədikdən sonra yükləyiciyə imza atmamaq üçün GRUB2 ilə əlaqəli bütün yeniləmə paketlərini dondururuq.

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

Bu addımda <yükləyicinin rəqəmsal imza ilə qorunması> GRUB2-nin təkmil konfiqurasiyası tamamlanır.

C6.3. Rəqəmsal imza və autentifikasiya ilə qorunan GRUB2 yükləyicisinin sübut testiGRUB2. İstənilən GNU/seçim edərkənLinux və ya CLI-yə daxil olun (komanda xətti) super istifadəçi icazəsi tələb olunur. Düzgün giriş / parol daxil etdikdən sonra initrd-dən parola ehtiyacınız olacaq

Ekran görüntüsü, GRUB2-superuserin uğurlu autentifikasiyası.

GRUB2 fayllarından hər hansı birini saxta etsəniz/grub.cfg-də dəyişiklik etsəniz və ya faylı/imzanı silsəniz, zərərli module.mod yükləyin, sonra müvafiq xəbərdarlıq görünəcək. GRUB2 açılışı dayandırılacaq.

Ekran görüntüsü, GRUB2-yə "kənardan" müdaxilə cəhdi.

"Normal" açılışda "intrusion yoxdur" altında sistemin çıxış kodu statusu "0"dır. Ona görə də mühafizənin işlək olub-olmaması məlum deyil. (yəni normal yükləmə zamanı "imza ilə yükləyicinin qorunması ilə və ya olmadan", status eyni "0"dır - bu pisdir).

Rəqəmsal imzanın qorunmasını necə yoxlamaq olar?

Yoxlamanın əlverişsiz yolu: GRUB2 tərəfindən istifadə edilən modulu saxtalaşdırmaq/çıxarmaq, məsələn, luks.mod.sig imzasını silmək və xəta almaq.

Düzgün yol, yükləyicinin CLI-yə getmək və əmri daxil etməkdir

trust_list

Cavab olaraq, onlar “perskey” barmaq izini almalıdırlar, əgər status “0”dırsa, imza mühafizəsi işləmir, C6.2 bəndini iki dəfə yoxlayın.
Bu addımda "GRUB2-ni rəqəmsal imza və autentifikasiya ilə qoruyun" təkmil parametri başa çatdı.

C7 GRUB2 yükləyicisini hashing ilə təmin etmək üçün alternativ üsulYuxarıda təsvir edilən "CPU yükləyicisinin qorunması / Doğrulama" üsulu klassikdir. GRUB2-nin qeyri-kamilliyinə görə, paranoid şəraitdə o, aşağıda [F] bəndində verəcəyim real hücuma məruz qalır. Bundan əlavə, OS / nüvəni yenilədikdən sonra yükləyicini yenidən imzalamaq lazımdır.

GRUB2 yükləyicisinin hashing ilə qorunması

Klassiklərdən üstünlükləri:

• Daha yüksək etibarlılıq səviyyəsi (heşinq / yoxlama yalnız şifrələnmiş yerli resursdan baş verir. GRUB2 altında bütün ayrılmış bölmə hər hansı bir dəyişiklik üçün idarə olunur və qalan hər şey CPU yükləyicisinin qorunması / Doğrulama ilə klassik sxemdə şifrələnir, yalnız fayllar idarə olunur, lakin pulsuz deyil. boşluq, ona "pis bir şey" əlavə edilə bilər).
• Şifrələnmiş giriş (sxemə oxuna bilən şəxsi şifrəli jurnal əlavə olunur).
• Sürət (GRUB2 üçün ayrılmış bütün bölmənin qorunması / yoxlanılması demək olar ki, dərhal baş verir).
• Bütün kriptoqrafik proseslərin avtomatlaşdırılması.

Klassiklərin mənfi cəhətləri.

• İmza saxtakarlığı (nəzəri olaraq verilmiş hash funksiyasının toqquşmasını tapmaq mümkündür).
• Artan çətinlik səviyyəsi (klassik versiya ilə müqayisədə, GNU OS-də bir az daha çox bacarıq tələb edir/Linux).

GRUB2/partition hashing ideyası necə işləyir

GRUB2 bölməsi "imzalanır", OS yükləndikdə, yükləyici bölməsi dəyişməzlik üçün yoxlanılır, ardınca təhlükəsiz mühitə daxil olur (şifrələnmiş). Bootloader və ya onun bölməsi pozulubsa, işğal jurnalına əlavə olaraq, aşağıdakılar

şey.

Bənzər bir yoxlama gündə dörd dəfə baş verir, bu da sistem resurslarını yükləməz.
"-$ check_GRUB" əmrindən istifadə edərək ani yoxlama istənilən vaxt qeydiyyatdan keçmədən, lakin CLI-yə məlumat çıxışı ilə baş verir.
"-$ sudo GRUB_signature" əmrindən istifadə edərək, GRUB2 yükləyicisi / bölməsi dərhal yenidən imzalanır və onun yenilənmiş qeydi (OS/yükləmə yeniləməsindən sonra lazımdır) və həyat davam edir.

Yükləyicinin hashing metodunun və onun bölməsinin həyata keçirilməsi

0) Gəlin GRUB yükləyicisini/bölməsini əvvəlcə /media/username-ə quraşdıraraq imzalayaq

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) Şifrələnmiş OS ~/podpis-in kökündə uzadılmadan skript yaradırıq, ona lazımi hüquqlar 744 təhlükəsizlik və “axmaqdan” qorunma tətbiq edirik.

Onu məzmunla doldurmaq

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

Skripti buradan işə salın su, GRUB bölməsinin və onun yükləyicisinin hashingi yoxlanılacaq, jurnalı yadda saxlayın.

Məsələn, GRUB2 bölməsinə "zərərli fayl" [virus.mod] yaradaq və ya kopyalayaq və müvəqqəti yoxlama/test həyata keçirək:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

CLI bizim qalamızın işğalını görməlidir.#CLI-də giriş silindi

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

#Gördüyünüz kimi, “Fayllar köçürüldü: 1 və Audit uğursuz oldu” göründü, yəni yoxlama uğursuz oldu.
Test edilmiş bölmənin xüsusiyyətlərinə görə, "Yeni fayllar tapıldı" > "Fayllar köçürüldü" əvəzinə

2) Gif-i bura qoyun > ~/warning.gif, icazələri 744-ə təyin edin.

3) GRUB bölməsini yükləmə zamanı avtomatik quraşdırmaq üçün fstab konfiqurasiya edilir

-$ sudo nano /etc/fstab

LABEL=GRUB /media/istifadəçi adı/GRUB ext4 standartları 0 0

4) Günlüğü döndəririk

-$ sudo nano /etc/logrotate.d/podpis 

/var/log/subpis.txt {
gündəlik
döndürün 50
ölçüsü 5M
tarix mətni
kompres
gecikdirmək
olddir /var/log/old
}

/var/log/vtorjenie.txt {
aylıq
döndürün 5
ölçüsü 5M
tarix mətni
olddir /var/log/old
}

5) Cron-a iş əlavə edilir

-$ sudo crontab -e

reboot '/abunə'
0 */6 * * * '/subpis

6) Daimi ləqəblər yaradın

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

OS yeniləməsindən sonra -$ apt-get upgrade GRUB bölməmizi yenidən imzalayırıq
-$ подпись_GRUB
Bu addım GRUB bölməsinin hash qorunmasını tamamlayır.

[D] Təmizləmə - şifrələnməmiş məlumatların məhv edilməsi

Cənubi Karolina ştatının sözçüsü Trey Gowdy-nin sözlərinə görə, şəxsi fayllarınızı elə tamamilə silin ki, "hətta Allah onları oxuya bilməz".

Həmişə olduğu kimi, müxtəlif "miflər və əfsanələr”, məlumatların sabit diskdən silindikdən sonra bərpası haqqında. Əgər siz kiber-cadugərliyə inanırsınızsa və ya Dr veb icmasının üzvüsinizsə və silindikdən/yerinə yazdıqdan sonra heç vaxt məlumat bərpa etməyə cəhd etməmisinizsə (məsələn, R-studio ilə bərpa), onda təklif olunan üsul çətin ki, sizə uyğun gəlsin, sizə daha yaxın olanı istifadə edin.

GNU/nin uğurlu portundan sonraLinux Şifrəli bölməyə köhnə nüsxə məlumatların bərpası imkanı olmadan silinməlidir. Universal təmizləmə metodu: proqram təminatı Windows/Linux pulsuz GUI proqramı BleachBit.
Быстро bölmənin formatlaşdırılması, məhv etmək istədiyiniz məlumat (Gparted istifadə edərək), BleachBit-i işə salın, "Boş yer təmizləyin" seçin - bir bölmə seçin (GNU-nun əvvəlki surəti ilə sdaX-ınız/Linux), təmizləmə prosesi başlayacaq. BleachBit - diski bir keçiddə silir - "bizə lazım olan budur", Amma! bu, yalnız nəzəri olaraq sürücünü formatlaşdırdığınız və BB v2.0 proqramında təmizlədiyiniz halda işləyir.

Diqqət! BB diski silir, metadata buraxır, verilənlər məhv edildikdə fayl adları qorunur (Ccleaner - metadata qoymur).

Və məlumatların bərpası imkanı haqqında mif əslində mif deyil.Bleachbit V2.0-2 keçmiş qeyri-sabit OS paketi Debian (və hər hansı digər oxşar proqram: sfill; wipe-Nautilus - bu çirkli işdə də görüldü) əslində kritik bir səhv var idi: "boş yerin təmizlənməsi" xüsusiyyəti səhv işləyir HDD/Flash disklərdə (ntfs/ext4). Bu cür proqramlar, boş yerləri təmizləyərkən, bir çox istifadəçinin düşündüyü kimi, bütün diskin üzərinə yazmır. Və bəziləri (çox) silinmiş məlumat ƏS/proqram bu dataya silinməmiş/istifadəçi məlumatı kimi yanaşır və ƏS/ƏS-i təmizləyərkən bu faylları ötür. Problem ondadır ki, belə uzun müddətdən sonra diskin təmizlənməsi "silinmiş fayllar" bərpa edilə bilər hətta 3+ diskin silinməsindən sonra.
GNU/-dəLinux Bleachbit-də 2.0-2 Faylları və qovluqları birdəfəlik silmək funksiyaları etibarlı şəkildə işləyir, lakin boş yer təmizləmə funksiyası işləmir. Müqayisə üçün: Windows CCleaner-də "NTFS üçün OSP" funksiyası düzgün işləyir və Allah həqiqətən silinmiş məlumatları oxuya bilməyəcək.

Və beləliklə, hərtərəfli çıxarmaq üçün "güzəşt edən" köhnə şifrələnməmiş məlumatlar, Bleachbit bu məlumatlara birbaşa giriş tələb edir, sonra "faylları / qovluqları geri qaytarılmayacaq şəkildə silmək" funksiyasından istifadə edin.
"Standart ƏS alətlərindən istifadə edərək silinmiş faylları" silmək üçün Windows "OSP" funksiyası ilə CCleaner/BB istifadə edin. GNU/-dəLinux bu problem üzərində (silinmiş faylların silinməsi) təkbaşına məşq etməlisən (məlumatların silinməsi + onları bərpa etmək üçün müstəqil cəhd və proqram versiyasına etibar etməyin (əgər əlfəcin deyilsə, səhvdir)), yalnız bu halda bu problemin mexanizmini başa düşə və silinmiş məlumatlardan tamamilə qurtula biləcəksiniz.

Bleachbit v3.0 yoxlamadı, bəlkə də problem artıq həll olunub.
Bleachbit v2.0 vicdanla işləyir.

Bu addım diskin təmizlənməsini tamamlayır.

[E] Ümumi Şifrələnmiş ƏS Yedəkləmə

Hər bir istifadəçi məlumatların ehtiyat nüsxəsini çıxarmaq üçün öz metoduna malikdir, lakin "Sistem OS" nin şifrəli məlumatları tapşırığa bir az fərqli yanaşma tələb edir. "Clonezilla" kimi vahid proqram təminatı və oxşar proqramlar birbaşa şifrələnmiş məlumatlarla işləyə bilməz.

Şifrələnmiş blok cihazları üçün ehtiyat nüsxə tapşırığının qurulması:

1. universallıq - eyni ehtiyat nüsxə alqoritmi/proqram təminatı Windows/Linux;
2. istənilən GNU canlı USB ilə konsolda işləmək imkanıLinux əlavə proqram yükləməyə ehtiyac olmadan (lakin yenə də GUI-ni tövsiyə edin);
3. ehtiyat təhlükəsizliyi - saxlanılan "şəkillər" şifrələnməlidir / parolla qorunmalıdır;
4. şifrələnmiş məlumatların ölçüsü faktiki kopyalanan məlumatların ölçüsünə uyğun olmalıdır;
5. lazımi faylların ehtiyat nüsxədən rahat çıxarılması (əvvəlcə bütün bölmənin şifrəsini açmaq tələbi yoxdur).

Məsələn, "dd" yardım proqramı vasitəsilə ehtiyat nüsxə / bərpa edin

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

Tapşırığın demək olar ki, bütün bəndlərinə uyğundur, lakin 4-cü bəndə görə, o, tənqidlərə dözmür, çünki boş yer də daxil olmaqla, bütün disk bölməsini kopyalayır - maraqlı deyil.

Məsələn, GNU/ backupLinux archiver [tar» | gpg] vasitəsilə rahatdır, lakin ehtiyat nüsxə üçün Windows Başqa bir həll yolu axtarmalıyıq - maraqlı deyil.

E1. Universal Yedəkləmə Windows/Linuxrsync (Grsync) + VeraCrypt səs kombinasiyasıEhtiyat nüsxəsinin yaradılması alqoritmi:

1. şifrələnmiş konteyner yaratmaq (həcm/fayl) ƏS üçün VeraCrypt;
2. Rsync proqramından istifadə edərək OS-nin VeraCrypt kriptokonteynerinə ötürülməsi / sinxronizasiyası;
3. lazım gələrsə, VeraCrypt həcmini www.

Şifrələnmiş VeraCrypt konteynerinin yaradılması öz xüsusiyyətlərinə malikdir:
dinamik həcm yaratmaq (DT-nin yaradılması yalnız mövcuddur Windows, həmçinin GNU/-də istifadə edilə bilərLinux);
normal həcm yaratmaq, lakin "paranoyak təbiət" tələbi var. (inkişafçıya görə) - konteyner formatı.

Əməliyyat sistemində demək olar ki, dərhal dinamik bir həcm yaradılır Windows, lakin GNU OS-dən məlumatları kopyalayarkən/Linux > VeraCrypt DT, ümumiyyətlə, ehtiyat nüsxə əməliyyatının performansı əhəmiyyətli dərəcədə azalır.

Adi 70 GB Twofish həcmi yaradılır (Deyək ki, orta kompüter gücü) HDD-yə ~ yarım saat ərzində (təhlükəsizlik tələblərinə görə keçmiş konteyner məlumatlarının bir keçiddə üzərinə yazılması). VeraCrypt-dən Windows/Linux Cildin yaradılması zamanı onun sürətli formatlama xüsusiyyəti silindi, buna görə də konteynerin yaradılması yalnız "tək keçidli yenidən yazma" və ya aşağı performanslı dinamik həcmin yaradılması yolu ilə mümkündür.

Daimi VeraCrypt Həcmi yaradın (dinamik/ntfs deyil), heç bir problem olmamalıdır.

VeraCrypt GUI-də konteyneri konfiqurasiya edin/yaratın/açın> GNU/Linux Canlı USB (səs avtomatik olaraq /media/veracrypt2 qovluğuna, ƏS həcminə quraşdırılacaq) Windows /media/veracrypt1) faylına quraşdırılmışdır. Əməliyyat sisteminin şifrələnmiş ehtiyat nüsxəsini yaradın Windows rsync GUI istifadə edərək (grsync)qutuları yoxlayaraq.

Prosesin sonunu gözləyin. Yedəkləmə tamamlandıqdan sonra bir şifrələnmiş faylımız olacaq.

Eynilə, GNU/OS-un ehtiyat nüsxəsini yaradınLinux, GUI rsync ilə uyğunluğun işarəsini silin Windows.

Diqqət! "GNU ehtiyat nüsxəsi/ üçün Veracrypt konteyneriLinux» Fayl sistemində yaradın ext4. Bir ntfs konteynerinə ehtiyat nüsxəsini çıxarsanız, belə bir nüsxəni bərpa etdikdə, bütün məlumatlarınız üçün bütün hüquqlarınızı / qruplarınızı itirəcəksiniz.

Bütün əməliyyatları terminalda həyata keçirə bilərsiniz. Rsync üçün əsas seçimlər:
* -g - qrupları saxlamaq;
* -P --progress - fayl üzərində iş vaxtının vəziyyəti;
* -H -sərt bağlantıları olduğu kimi kopyalayın;
* -a -arxiv rejimi (bir neçə rlptgoD bayrağı);
* -v -verbalizasiya.

Səs səviyyəsini quraşdırmaq istəyirsinizsə Windows cryptsetup proqram təminatındakı konsol vasitəsilə VeraCrypt" faylını işə salmaqla, ləqəb (su) yarada bilərsiniz.

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

İndi "veramount pictures" əmrində parol daxil etmək üçün bir sorğu görünəcək və şifrələnmiş sistem həcmi ƏS-yə quraşdırılacaq. Windows.

Cryptsetup əmrində VeraCrypt sistem həcmini xəritələyin/mount edin

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

Cryptsetup əmrində VeraCrypt bölməsini/konteynerini xəritələyin/mount edin

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

Ləqəb əvəzinə, əməliyyat sistemi ilə sistem həcmini (başlanğıc üçün skript) əlavə edəcəyik Windows və GNU/-də məntiqi şifrələnmiş ntfs diskiLinux

Skript yaradın və onu ~/VeraOpen.sh ünvanında saxlayın

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

Biz "həqiqi" hüquqlar veririk:

sudo chmod 100 /VeraOpen.sh

/etc/rc.local və ~/etc/init.d/rc.local-da iki eyni fayl (eyni ad!) yaradın
Faylların doldurulması

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

Biz "həqiqi" hüquqlar veririk:

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local 

İndi GNU/-ni yüklədiyiniz zaman bu qədər.Linux Şifrəli NTFS disklərini quraşdırmaq üçün parol daxil etməyimizə ehtiyac yoxdur; disklər avtomatik olaraq quraşdırılır.

Yuxarıda E1 abzasında addım-addım təsvir edilənlər haqqında qısa bir qeyd (lakin indi OS GNU/ üçün)Linux)
1) ext4 fs > 4gb-də (fayl üçün) bir həcm yaradın Linux Veracrypt [Kriptoqutusu]-da.
2) Canlı USB üçün yenidən başladın.
3) ~$ cryptsetup açıq /dev/sda7 Lunux #şifrələnmiş bölmənin xəritəsi.
4) ~$ mount /dev/mapper/Linux /mnt #şifrəli bölmənin /mnt-ə montajı.
5) ~$ mkdir mnt2 #gələcək ehtiyat nüsxəsi üçün kataloq yaradın.
6) ~$ cryptsetup open --veracrypt --type tcrypt ~/Cryptobox Cryptobox && mount /dev/mapper/Cryptobox /mnt2 #"Cryptobox" adlı Veracrypt həcminin xəritəsini qurun və Cryptobox-u /mnt2-də quraşdırın.
7) ~$ rsync -avlxhHX --progress /mnt /mnt2/ #şifrələnmiş bölmənin Veracrypt şifrələnmiş həcminə ehtiyat nüsxəsini çıxarmaq üçün əməliyyat.

(p/s/ DiqqətŞifrəli GNU/ fayllarını port edirsinizsə!Linux bir arxitekturadan/maşından digərinə, məsələn, Intel > AMD (yəni, bir şifrələnmiş bölmədən digər şifrələnmiş bölməyə ehtiyat nüsxə yerləşdirirsiniz Intel > AMD), Unutma şifrlənmiş OS-ni köçürdükdən sonra, bəlkə parol əvəzinə gizli əvəzlənmiş açarı redaktə edin. əvvəlki açar ~/etc/skey - artıq başqa şifrələnmiş bölməyə uyğun gəlməyəcək və chroot altından yeni "cryptsetup luksAddKey" açarının yaradılması arzuolunmazdır - nasazlıq mümkündür, sadəcə ~/etc/crypttab-da müvəqqəti olaraq "heç biri" təyin edin. " "/etc/skey" əvəzinə ", reboot və ƏS-ə daxil olduqdan sonra gizli əvəzlənmiş açarınızı yenidən bərpa edin).

İT veteranları şifrələnmiş OS bölmə başlıqlarının ayrıca ehtiyat nüsxələrini necə yaratmağı xatırlayırlar Windows/Linux, əks halda şifrələmə sizə qarşı çevriləcək.
Bu addımda şifrələnmiş əməliyyat sistemlərinin ehtiyat nüsxəsi tamamlanır.

[F] GRUB2 yükləyicisinə hücum

ƏtraflıƏgər siz yükləyicinizi rəqəmsal imza və/yaxud autentifikasiya ilə qorumusunuzsa (C6 bəndinə baxın.), onda bu fiziki girişdən qorunmayacaq. Şifrələnmiş məlumatlar hələ də əlçatmaz olacaq, lakin qorunma keçəcək (rəqəmsal imzanın qorunmasını sıfırlayın) GRUB2 kibercinayətkarlara şübhə doğurmadan kodlarını yükləyiciyə yeritməyə imkan verir. (istifadəçi yükləyicinin vəziyyətinə əl ilə nəzarət etmədikdə və ya grub.cfg üçün öz möhkəm xüsusi skript kodu ilə gəlmədikdə).

hücum alqoritmi. təcavüzkar

*Canlı USB-dən kompüteri yükləyir. İstənilən dəyişiklik (cinayətkar) faylları kompüterin əsl sahibini yükləyiciyə müdaxilə barədə xəbərdar edəcək. Amma grub.cfg saxlayarkən GRUB2-nin sadə yenidən qurulması (və sonradan redaktə etmək imkanı) təcavüzkara istənilən faylı redaktə etməyə imkan verəcək (bu ssenaridə GRUB2 yüklənərkən real istifadəçiyə bildiriş verilməyəcək. Vəziyyət eynidir <0>)
* Şifrələnməmiş bölməni quraşdırır, "/mnt/boot/grub/grub.cfg" yaddaşını saxlayır.
* Yükləyicini yenidən quraşdırın (core.img şəklindən "perskey" silinir)

grub-install --force --root-directory=/mnt /dev/sda6

* "grub.cfg" > "/mnt/boot/grub/grub.cfg" qaytarır, lazım olduqda onu redaktə edir, məsələn, "grub.cfg" daxilində "keylogger.mod" modulunu yükləyici modulları olan qovluğa əlavə etməklə > sətir "insmod keylogger". Və ya, məsələn, düşmən hiyləgərdirsə, GRUB2-ni yenidən quraşdırdıqdan sonra (bütün imzalar yerində qalır) o, "(-c) seçimi ilə grub-mkimage" istifadə edərək əsas GRUB2 şəklini qurur. "-c" seçimi əsas "grub.cfg" yükləməzdən əvvəl konfiqurasiyanızı yükləməyə imkan verəcək. Konfiqurasiya yalnız bir sətirdən ibarət ola bilər: məsələn, ~400 fayl ilə qarışdırılmış istənilən "modern.cfg"-ə yönləndirmə (modullar+imzalar) /boot/grub/i386-pc qovluğunda. Bu halda, istifadəçi fayla "hashsum" tətbiq etsə və onu müvəqqəti olaraq ekranda göstərsə belə, cinayətkar "/boot/grub/grub.cfg"-ə təsir etmədən ixtiyari kod təqdim edə və modulları yükləyə bilər.
Təcavüzkarın GRUB2 super istifadəçisinin giriş / parolunu sındırmağa ehtiyac qalmayacaq, sadəcə sətirləri kopyalamalıdır. (identifikasiyaya cavabdehdir) "/boot/grub/grub.cfg" "modern.cfg" üçün

superusers = "kök" təyin edin
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

Və PC sahibi hələ də GRUB2 superuser identifikasiyasına sahib olacaq.

Zəncir yükləmə (yükləyici başqa bir yükləyici yükləyir), yuxarıda qeyd edildiyi kimi, mənası yoxdur (başqa məqsəd üçündür). BIOS səbəbiylə şifrələnmiş yükləyicini yükləmək mümkün deyil (zəncirvari yükləmə zamanı GRUB2 yenidən başladır > şifrələnmiş GRUB2, xəta!). Bununla belə, hələ də zəncir yükləmə ideyasından istifadə edirsinizsə, bunun yüklənən şifrəli olduğuna əmin ola bilərsiniz. (təkmilləşdirilməyib) Şifrələnmiş bölmədən "grub.cfg". Və bu da yanlış təhlükəsizlik hissidir, çünki şifrələnmiş "grub.cfg" siyahısında olan hər şey (modulun yüklənməsi) şifrələnməmiş GRUB2-dən yüklənən modulları olan yığınlar.

Bunu yoxlamaq istəyirsinizsə, başqa sdaY bölməsini ayırın/şifrələyin, GRUB2-ni ona kopyalayın (şifrələnmiş bölmədə qrup quraşdırma əməliyyatı mümkün deyil) və "grub.cfg" də (şifrlənməmiş konfiqurasiya) xətləri belə dəyişdirin

menyu 'GRUBx2' --class tutuquşu --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
load_video
insmod gzio
əgər [ x$grub_platform = xxen ]; sonra insmod xzio; insmod lzopio; fi
insmod hissəsi_msdos
insmod kriptodisk
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
normal /boot/grub/grub.cfg
}

simlər
* insmod - şifrələnmiş disklə işləmək üçün lazımi modulların yüklənməsi;
* GRUBx2 - GRUB2 yükləmə menyusunda göstərilən xəttin adı;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 - bax fdisk -l (sda9);
* kök təyin etmək - kök qəbulu;
* normal /boot/grub/grub.cfg - şifrələnmiş bölmədə icra edilə bilən konfiqurasiya faylı.

Yüklənən şifrələnmiş “grub.cfg” olduğuna əminlik GRUB menyusunda “GRUBx2” xəttini seçərkən parolun daxil edilməsinə / “sdaY” kilidinin açılmasına müsbət cavabdır.

Qarışıq olmamaq üçün CLI-də işləyərkən (və "kök təyin et" mühit dəyişəninin işlədiyini yoxlayın), boş marker faylları yaradın, məsələn, şifrələnmiş "/shifr_grub" bölməsində, şifrələnməmiş "/noshifr_grub" bölməsində. CLI-də doğrulama

cat /Tab-Tab

Yuxarıda qeyd edildiyi kimi, əgər belə modullar kompüterinizdə olarsa, bu, zərərli modulları yükləməkdə sizə kömək etməyəcək. Məsələn, kompüterə fiziki girişi olan təcavüzkar tərəfindən endirilənə qədər "~/i386"-da düymə vuruşlarını faylda saxlaya bilən və digər fayllarla qarışdıra bilən keylogger.

Rəqəmsal imzanın qorunmasının aktiv olduğunu yoxlamağın ən asan yolu (sıfırlanmır), və heç kim yükləyicini işğal etmədi, CLI-də biz əmr yazırıq

list_trusted

cavab olaraq, "perskey"imizin bir castını alırıq və ya hücuma məruz qalsaq, heç nə almırıq (həmçinin "set check_signatures=enforce"-ni yoxlamaq lazımdır).
Belə bir addımın əhəmiyyətli çatışmazlığı əmrləri əl ilə yazmaqdır. Bu əmri "grub.cfg"-ə əlavə etsəniz və konfiqurasiyanı rəqəmsal imzalasanız, o zaman ekrana ötürülən açarın ilkin çıxışı vaxt baxımından çox qısadır və GRUB2 açılışını əldə edərkən çıxışı görməyə vaxtınız olmaya bilər. .
Xüsusilə şikayət edəcək heç kim yoxdur: onun içərisindəki tərtibatçı sənədləşdirmə 18.2-ci bənd rəsmi olaraq bəyan edilir

“Qeyd edək ki, GRUB parol mühafizəsi ilə belə, GRUB özü maşına fiziki girişi olan birinin maşının başqa (hücumçu tərəfindən idarə olunan) cihazdan yüklənməsinə səbəb olmaq üçün həmin maşının proqram təminatının (məsələn, Coreboot və ya BIOS) konfiqurasiyasını dəyişdirməsinə mane ola bilməz. GRUB ən yaxşı halda təhlükəsiz yükləmə zəncirində yalnız bir keçiddir."

GRUB2, yalançı təhlükəsizlik hissi verə biləcək xüsusiyyətlərlə həddindən artıq yüklənmişdir və onun inkişafı, sadəcə bir bootloader olmasına baxmayaraq, artıq MS-DOS-un funksionallığını üstələmişdir. GRUB2-nin "sabah" ƏS-ə çevrilə biləcəyi, yüklənə bilən GNU/-nin isə...Linux bunun üçün virtual maşınlar.

GRUB2 rəqəmsal imza qorunmasını necə sıfırladığım və real istifadəçiyə müdaxiləmi elan etdiyim haqqında qısa video (Sizi qorxutdum ama videoda gosterilenlerin yerine zehersiz ixtiyari kod yaza bilersiz/.mod).

Sonuç:

1) Sistem şifrələməsini bloklayın Windows — tətbiq etmək daha asandır və GNU blok sistem şifrələməsində bir neçə şifrə ilə qorunmaqdan daha rahatdır.Linux, ədalətli olmaq üçün: sonuncu avtomatlaşdırılmışdır.

2) Məqaləni aktual, ətraflı yazdım sadə VeraCrypt/LUKS istifadə edərək tək bir maşında tam disk şifrələməsinə dair bir bələdçi, hazırda RuNet-də ən yaxşısıdır (məncə). Bələdçi 50-dən çox simvoldan ibarətdir, buna görə də bəzi maraqlı fəsilləri əhatə etməyib: yoxa çıxan/məxfiliyini qoruyan kriptoqraflar haqqında; müxtəlif GNU/GNU kitablarında nələr olduğu haqqında.Linux Onlar kriptoqrafiya haqqında az/heç nə yazmırlar; Rusiya Federasiyası Konstitusiyasının 51-ci maddəsi haqqında; haqqında lisenziyalaşdırma/qadağa Rusiyada şifrələmə, niyə "root / boot" şifrələməniz lazım olduğuna dair. Təlimat artıq əhəmiyyətli, lakin ətraflı olduğu ortaya çıxdı (hətta sadə addımları təsvir edir), öz növbəsində, bu, "real şifrələmə"yə girdiyiniz zaman çox vaxtınıza qənaət edəcəkdir.

3) Tam disk şifrələməsi həyata keçirildi Windows 7 64; GNU/Linux Parrot 4x; GNU/Debian 9.0 / 9.5.

4) Uğurlu bir hücum həyata keçirdi onun GRUB2 yükləyicisi.

5) Dərslik şifrələmənin qanuni olaraq icazə verildiyi MDB-də bütün paranoidlərə kömək etmək üçün yaradılmışdır. Və ilk növbədə, konfiqurasiya edilmiş sistemlərini sökmədən tam disk şifrələməsini yaymaq istəyənlər üçün.

6) 2020-ci ildə aktual olan təlimatına yenidən baxıldı və yeniləndi.

[G] Faydalı sənədlər

1. TrueCrypt istifadəçi təlimatı (Fevral 2012 RU)
2. VeraCrypt Sənədləri
3. /usr/share/doc/cryptsetup(-run) [yerli paylaşım] (GNU şifrələməsinin qurulması ilə bağlı rəsmi ətraflı sənədlər/Linux cryptsetup istifadə edərək)
4. Rəsmi kriptosetup tez-tez verilən suallar (GNU şifrələməsinin qurulması ilə bağlı qısa sənədlər/Linux cryptsetup istifadə edərək)
5. LUKS Cihaz Şifrələməsi (archlinux sənədləri)
6. Kriptsetup sintaksisinin ətraflı təsviri (arch təlimat səhifəsi)
7. Kripttabın ətraflı təsviri (arch təlimat səhifəsi)
8. GRUB2 rəsmi sənədləri.

Etiketlər: tam disk şifrələməsi, bölmə şifrələməsi, tam disk şifrələməsi Linux, tam sistem şifrələməsi LUKS1.

Sorğuda yalnız qeydiyyatdan keçmiş istifadəçilər iştirak edə bilər. Daxil olunxahiş edirəm.

Şifrələyirsiniz?

• 17,1%Əlimdən gələni şifrələyirəm. Mən paranoyam.14

• 34,2%Mən yalnız vacib məlumatları şifrələyirəm.28

• 14,6%Bəzən şifrələyirəm, bəzən unuduram.12

• 34,2%Xeyr, mən şifrələmirəm, bu, əlverişsiz və baha başa gəlir.28

82 istifadəçi səs verdi. 22 istifadəçi bitərəf qalıb.

Mənbə: www.habr.com