Ažurirani vlastiti vodič za enkripciju cijelog diska u Runetu V0.2.
Kaubojska strategija:
[A] Windows 7 blokira sistemsko šifrovanje instaliranog sistema;
[B] GNU/Linux blok sistemsko šifrovanje (Debian) instaliran sistem (uključujući /boot);
[C] GRUB2 podešavanje, zaštita pokretača sa digitalnim potpisom/autentikacijom/heširanjem;
[D] čišćenje - uništavanje nešifriranih podataka;
[E] univerzalna rezervna kopija šifrovanog OS;
[F] napad <na [C6]> cilj - GRUB2 loader;
[G] Korisna dokumentacija.
╭───Šema #soba 40# :
├──╼ Windows 7 instaliran - potpuna sistemska enkripcija, nije skrivena;
├──╼ GNU/Linux instaliran (Debian i derivativne distribucije) - potpuna sistemska enkripcija nije skrivena(/, uključujući /boot; swap);
├──╼ nezavisni pokretački programi: VeraCrypt bootloader instaliran u MBR, GRUB2 bootloader instaliran u proširenoj particiji;
├──╼ instalacija/ponovna instalacija OS nije potrebna;
└──╼ korišteni kriptografski softver: VeraCrypt; Cryptosetup; gnupg; morski konjic; hashdeep; GRUB2 - Besplatno/Besplatno.
Gornja shema djelimično rješava problem "daljinskog pokretanja na fleš disk", omogućava vam da uživate u šifrovanom Windows / Linux OS-u i razmjenjujete podatke putem "šifrovanog kanala" s jednog OS na drugi.
Redoslijed pokretanja računara (jedna od opcija):
- uključivanje mašine;
- preuzimanje VeraCrypt pokretačkog programa (unošenjem ispravne lozinke nastavit će se podizati Windows 7);
- pritiskom na taster "Esc" učitaće se GRUB2 bootloader;
- GRUB2 bootloader (izbor distribucije/GNU/Linux/CLI), zahtijevat će autentifikaciju GRUB2 superkorisnika <login/password>;
- nakon uspješne autentifikacije i odabira distribucije, morat ćete unijeti šifru za otključavanje "/boot/initrd.img";
- nakon unosa ispravnih lozinki u GRUB2 "potrebno" je unijeti lozinku (treća po redu, BIOS lozinka ili lozinka GNU/Linux korisničkog naloga - ne uzima se u obzir) za otključavanje i pokretanje GNU/Linux OS-a ili automatsku zamjenu tajnog ključa (dvije lozinke + ključ, ili lozinka + ključ);
- eksterni upad u GRUB2 konfiguraciju će zamrznuti GNU/Linux proces pokretanja.
Problematično? Ok, idemo automatizirati procese.
Prilikom particioniranja tvrdog diska (MBR tabela) Računar ne može imati više od 4 glavne particije, ili 3 glavne i jednu proširenu, kao i nedodijeljeno područje. Prošireni odjeljak, za razliku od glavnog, može sadržavati pododjeljke. (logički diskovi=proširena particija). Drugim riječima, "proširena particija" na HDD-u zamjenjuje LVM za trenutni zadatak: potpuna sistemska enkripcija. Ako je vaš disk particioniran na 4 glavne particije, trebate koristiti lvm ili transformirati (sa formatiranjem) odjeljak od glavnog do naprednog, ili kompetentno koristite sva četiri odjeljka i ostavite sve kako jest, postižući željeni rezultat. Čak i ako imate samo jednu particiju na disku, Gparted će vam pomoći da particionirate svoj HDD (za dodatne sekcije) bez gubitka podataka, ali ipak uz malu cijenu za takve radnje.
Shema rasporeda tvrdog diska, u odnosu na koji će cijeli članak biti verbaliziran, prikazana je u donjoj tabeli.
Tabela (br. 1) sekcija 1TB.
Trebalo bi da imate nešto slično.
sda1 - glavna particija #1 NTFS (šifrirano);
sda2 - marker proširenog dijela;
sda6 - logički pogon (na njemu je instaliran GRUB2 bootloader);
sda8 - swap (šifrirana swap datoteka / ne uvijek);
sda9 - test logičkog diska;
sda5 - logički pogon za radoznale;
sda7 - GNU/Linux OS (prenet OS na šifrovani logički disk);
sda3 - glavna particija #2 sa Windows 7 (šifrirano);
sda4 - glavna particija #3 (sadržao je nešifrirani GNU / Linux, koristio se za sigurnosnu kopiju / ne uvijek).
[A] Windows 7 Block System Encryption
A1. VeraCrypt
Loading from ili iz ogledala instalaciona verzija VeraCrypt kriptografskog softvera (u vrijeme objavljivanja v1.24-Update3, prenosiva verzija VeraCrypt-a nije prikladna za sistemsko šifriranje). Provjerite kontrolni zbroj preuzetog softvera
$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256
i uporedite rezultat sa objavljenim CS-om na web stranici VeraCrypt programera.
Ako je instaliran HashTab softver, još lakše: RMB (VeraCrypt Setup 1.24.exe)-svojstva-heš zbir fajlova.
Da biste potvrdili potpis programa, softver i javni pgp ključ programera moraju biti instalirani u sistem ; .
A2. Instaliranje/pokretanje VeraCrypt softvera sa administratorskim pravima
A3. Odabir opcija sistemskog šifriranja za aktivnu particijuVeraCrypt - Sistem - Šifriranje sistemske particije/Disk - Normalno - Šifriranje Windows sistemske particije - Višestruko pokretanje - (upozorenje: "Neiskusnim korisnicima se ne preporučuje korištenje ove metode" i istina je, slažem se "Da") – Disk za pokretanje („da“, čak i ako nije tako, ipak „da“) – Broj sistemskih diskova “2 ili više” – Više sistema na jednom disku “Da” – Ne-Windows bootloader “Ne” (u stvari, „Da“, ali VeraCrypt/GRUB2 loaderi neće dijeliti MBR među sobom, tačnije, samo najmanji dio koda za učitavanje je pohranjen u MBR/boot tracku, njegov glavni dio se nalazi unutar datoteke sistem) – Multiboot – Postavke šifriranja…
Ako odstupite od gornjih koraka (blok sistemske šifre šeme), tada će VeraCrypt izdati upozorenje i neće dozvoliti šifriranje particije.
Sljedeći korak, prema ciljanoj zaštiti podataka, je provođenje „Testiranja“ i odabir algoritma za šifriranje. Ako imate zastarjeli CPU, onda će Twofish algoritam šifriranja najvjerovatnije biti najbrži. Ako je CPU moćan, primijetit ćete razliku: AES - enkripcija prema rezultatima testa bit će nekoliko puta brža od svojih kripto konkurenata. AES je popularan algoritam za šifrovanje, hardver modernih CPU-a je posebno optimizovan za "tajno" i "hakovanje".
VeraCrypt podržava mogućnost šifriranja diskova pomoću AES kaskade(dvije ribe)/ i druge kombinacije. Na starom nuklearnom Intelovom procesoru prije deset godina (bez AES hardverske podrške, A/T kaskadna enkripcija) degradacija performansi je u suštini neprimjetna. (za AMD CPU iste ere/~parametara, performanse su malo smanjene). OS radi u dinamici i potrošnja resursa za transparentnu enkripciju je neprimjetna. Za razliku od, na primjer, primjetnog pada performansi zbog instaliranog testnog nestabilnog desktop okruženja Mate v1.20.1 (ili v1.20.2 ne sjećam se tačno) u GNU/Linuxu, ili zbog rada rutine telemetrije u Windows7↑. Obično sofisticirani korisnici izvode testove performansi hardvera prije šifriranja. Na primjer, u Aida64 / Sysbench / systemd-analizirati krivnju i usporediti s rezultatima istih testova nakon što je sistem šifriran, čime se demantuje mit "šifriranje sistema je štetno" za sebe. Usporavanje mašine i neprijatnost je primetna prilikom pravljenja rezervne kopije / vraćanja šifrovanih podataka, jer se sama operacija „backup sistemskih podataka“ ne meri u ms, a dodaje se ista <dešifrovanje / šifrovanje u hodu>. Na kraju, svaki korisnik kome je dozvoljeno da se bavi kriptografijom uspostavlja ravnotežu između algoritma za šifrovanje u odnosu na zadovoljstvo zadatka, stepen njihove paranoje i lakoću korišćenja.
Bolje je ostaviti PIM parametar na zadanom kako ne biste unosili tačne vrijednosti iteracije svaki put kada pokrenete OS. VeraCrypt koristi ogroman broj iteracija kako bi stvorio zaista "spori hash". Napad na takvog "kripto puža" metodom Brute force/rainbow tables ima smisla samo uz kratku "jednostavnu" lozinku i ličnu listu znakova žrtve. Plaćanje jačine lozinke - kašnjenje u unosu ispravne lozinke pri učitavanju OS-a (montaža VeraCrypt volumena na GNU/Linux je znatno brža).
Besplatni softver za napade grubom silom (izvlačenje šifre iz VeraCrypt/LUKS zaglavlja diska) hashcat. John The Ripper ne zna kako da "razbije Veracrypt", a kada radi sa LUKS-om, ne razumije Twofish kriptografiju.
Zbog kriptografske snage algoritama za šifriranje, nezaustavljivi cypherpunkeri razvijaju softver s drugačijim vektorom napada. Na primjer, izdvajanje metapodataka/ključeva iz RAM-a (hladna obuća/DMA napad), postoji specijalizovani besplatni i neslobodni softver za ovu svrhu.
Na kraju konfiguracije / generisanja "jedinstvenih metapodataka" šifrovane aktivne particije, VeraCrypt će ponuditi ponovno pokretanje računara i testiranje performansi njegovog pokretačkog programa. Nakon ponovnog pokretanja / pokretanja Windowsa, VeraCrypt će se učitati u stanju pripravnosti, ostaje samo da potvrdite proces šifriranja - Y.
U završnom koraku sistemske enkripcije, VeraCrypt će ponuditi kreiranje sigurnosne kopije zaglavlja aktivne šifrirane particije u obliku "veracrypt rescue disk.iso" - to se mora uraditi - u ovom softveru takva operacija je uslov (u LUKS-u, kao uslov - ovo je nažalost izostavljeno, ali podvučeno u dokumentaciji). Spasilački disk je koristan svima, ali nekome više puta. Gubitak (prepisivanje zaglavlja/MBR) backup zaglavlja će trajno uskratiti pristup dešifrovanoj particiji sa OS Windows.
A4. Kreirajte spasilački usb/disk VeraCryptVeraCrypt podrazumevano nudi snimanje "metapodataka ~2-3mb" na CD, ali nemaju svi ljudi diskove ili DWD-ROM drajvove, a kreiranje fleš diska za pokretanje "VeraCrypt Rescue disk" za nekoga će biti tehničko iznenađenje: Rufus / GUIdd-ROSA ImageWriter i drugi sličan softver - neće se moći nositi sa zadatkom, jer osim kopiranja pomaknutih metapodataka na fleš disk za pokretanje, potrebno je kopirati / zalijepiti sliku izvan sistema datoteka usb diska, ukratko, ispravno kopirajte MBR/put u privjesak za ključeve. Iz GNU / Linux OS-a možete kreirati fleš disk za pokretanje pomoću uslužnog programa "dd", gledajući ovu ploču.
Kreiranje diska za spašavanje u Windows okruženju je drugačije. Programer VeraCrypt-a nije uključio rješenje ovog problema u službeni na "discu za spašavanje", ali je predložio rješenje na drugačiji način: postavio je dodatni softver za kreiranje "usb rescue diska" u slobodnom pristupu na svom VeraCrypt forumu. Arhivista za ovaj Windows softver je "kreiraj usb veracrypt disk za spašavanje". Nakon spremanja rescue disk.iso, proces blok sistemske enkripcije aktivne particije će započeti. Tokom šifriranja, rad OS-a ne prestaje, nije potrebno ponovno pokretanje računara. Po završetku operacije šifriranja, aktivna particija postaje potpuno šifrirana, možete je koristiti. Ako se VeraCrypt bootloader ne pojavi kada se PC pokrene, a operacija vraćanja zaglavlja ne pomaže, tada provjerite oznaku "boot", ona mora biti postavljena na particiju na kojoj je Windows prisutan (bez obzira na šifrovanje i druge operativne sisteme, vidi tabelu br. 1).
Ovim se završava opis šifriranja blok sistema sa Windows OS-om.
[B]LUKS. GNU/Linux enkripcija (~Debian) instaliran OS. Algoritam i koraci
Da biste šifrirali instaliranu Debian/izvedenu distribuciju, trebate mapirati pripremljenu particiju na virtualni blok uređaj, premjestiti je na mapirani GNU/Linux pogon i instalirati/konfigurirati GRUB2. Ako nemate goli server, a cijenite svoje vrijeme, onda morate koristiti GUI, a većina terminalnih komandi opisanih u nastavku je namijenjena za pokretanje u "Chuck-Norris modu".
B1. Pokretanje računara sa live usb GNU/Linuxa
"Izvršite kriptotest performansi hardvera"
lscpu && сryptsetup benchmark
Ako ste sretni vlasnik moćnog automobila sa AES hardverskom podrškom, tada će brojevi izgledati kao desna strana terminala, ako ste zadovoljni, ali sa starinskim željezom, izgledat će kao lijeva strana.
B2. Raspored diska. montiranje/formatiranje fs-a HDD logičkog diska u Ext4 (Gparted)
B2.1. Kreiranje šifrovanog zaglavlja sda7 particijeDa opišem nazive particija, u daljem tekstu, bit ću u skladu sa mojom tablicom particija, izloženom gore. Prema rasporedu vašeg diska, morate zamijeniti vlastita imena particija.
Mapiranje logičke šifre diska (/dev/sda7 > /dev/mapper/sda7_crypt).
#Jednostavno kreiranje "LUKS-AES-XTS particije"
cryptsetup -v -y luksFormat /dev/sda7Opcije:
* luksFormat - inicijalizacija LUKS zaglavlja;
* -y -passfrase (ne ključ/fajl);
* -v - verbalizacija (izlaz informacija u terminal);
* /dev/sda7 - vaš logički disk sa proširene particije (gdje je planirano GNU/Linux portiranje/šifriranje).
Zadani algoritam šifriranja <LUKS1: aes-xts-plain64, Ključ: 256 bita, LUKS heširanje zaglavlja: sha256, RNG: /dev/urandom> (ovisno o verziji cryptsetup).
#Проверка default-алгоритма шифрования
cryptsetup --help #самая последняя строка в выводе терминала.Ako ne postoji hardverska podrška za AES na CPU-u, najbolji izbor bi bio kreiranje proširene "LUKS-Twofish-XTS-particije".
B2.2. Napredno kreiranje "LUKS-Twofish-XTS-particije"
cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom
Opcije:
* luksFormat - inicijalizacija LUKS zaglavlja;
* /dev/sda7 je vaš budući šifrirani logički disk;
* -v verbalizirati;
* -y pristupna fraza;
* -c izbor algoritma za šifrovanje podataka;
* -s veličina ključa za šifriranje;
* -h algoritam/kriptofunkcija heširanja, koristi se RNG (--use-urandom) za generiranje jedinstvenog ključa za šifriranje/dešifriranje za zaglavlje logičkog diska, sekundarnog ključa zaglavlja (XTS); jedinstveni glavni ključ pohranjen u zaglavlju šifriranog diska, sekundarni XTS ključ, sve ove metapodatke i rutinu šifriranja koja, koristeći glavni ključ i sekundarni XTS ključ, šifrira/dešifrira sve podatke na particiji (osim naslova odjeljka) su pohranjeni u ~3MB na odabranoj particiji tvrdog diska.
* -i iteracije u milisekundama, umjesto "količina" (vremensko kašnjenje u obradi pristupne fraze utiče na učitavanje OS-a i kriptografsku snagu ključeva). Za održavanje ravnoteže kriptografske snage sa jednostavnom lozinkom kao što je "russian" potrebno je povećati vrijednost -(i), sa složenom lozinkom poput "?8dƱob/øfh" vrijednost se može smanjiti.
* --use-urandom generator slučajnih brojeva, generiše ključeve i sol.
Nakon mapiranja sda7 > sda7_crypt particije (operacija je brza, jer se kreira šifrovano zaglavlje sa ~3 MB metapodataka i to je to), trebate formatirati i montirati sistem datoteka sda7_crypt.
B2.3. Mapiranje
cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.
opcije:
* open - uskladiti odjeljak "sa imenom";
* /dev/sda7 - logički pogon;
* sda7_crypt - mapiranje imena koje se koristi za montiranje šifrirane particije ili inicijalizaciju kada se OS pokrene.
B2.4. Formatiranje sistema datoteka sda7_crypt u ext4. Montiranje diska u OS(Napomena: Gparted više neće raditi sa šifrovanom particijom)
#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt
opcije:
* -v - verbalizacija;
* -L - oznaka diska (koja se prikazuje u Exploreru između ostalih diskova).
Zatim biste trebali montirati virtuelno šifrirani blok uređaj /dev/sda7_crypt u sistem
mount /dev/mapper/sda7_crypt /mntRad sa datotekama u mapi /mnt automatski će šifrirati / dešifrirati podatke u sda7.
Pogodnije je mapirati i montirati particiju u File Exploreru (nautilus/caja GUI), particija će već biti na listi za odabir diska, ostaje samo da unesete lozinku za otvaranje/dešifriranje diska. Mapirano ime će biti izabrano automatski i ne "sda7_crypt", već nešto poput /dev/mapper/Luks-xx-xx…
B2.5. Sigurnosna kopija zaglavlja diska (metapodaci ~3mb)Jedan od najvažnijih bitan operacije koje je potrebno obaviti bez odlaganja - rezervna kopija zaglavlja "sda7_crypt". Ako prepišete/oštetite zaglavlje (na primjer, instaliranje GRUB2 na sda7 particiju, itd.), šifrirani podaci će biti trajno izgubljeni bez ikakve mogućnosti oporavka, jer neće biti moguće ponovo generirati iste ključeve, ključevi se kreiraju jedinstveni.
#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7
#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>
opcije:
* luksHeaderBackup —naredba header-backup-file -backup;
* luksHeaderRestore --header-backup-file - naredba vraćanja;
* ~/Backup_DebSHIFR - backup fajl;
* /dev/sda7 - particija čija rezervna kopija šifrovanog zaglavlja diska treba biti sačuvana.
U ovom koraku, <kreiranje i uređivanje šifrirane particije> je završeno.
B3. Migracija GNU/Linux OS-a (sda4) na šifrovanu particiju (sda7)
Kreirajte folder /mnt2 (Napomena - još uvijek radimo sa live usb-om, sda7_crypt je montiran na /mnt), i montirajte naš GNU/Linux na /mnt2, koji treba biti šifriran.
mkdir /mnt2
mount /dev/sda4 /mnt2
Vršimo ispravan prijenos OS-a pomoću Rsync softvera
rsync -avlxhHX --progress /mnt2/ /mntOpcije Rsync opisane su u odjeljku E1.
Nadalje, je neophodno defragmentirati particiju diska
e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux
Neka bude pravilo da s vremena na vrijeme radite e4defrag na šifriranom GNU/LInuxu ako imate HDD.
Migracija i sinhronizacija [GNU/Linux > GNU/Linux-šifrirano] je završena u ovom koraku.
U 4. Postavljanje GNU/Linuxa na šifrovanu sda7 particiju
Nakon uspješnog prijenosa OS /dev/sda4 > /dev/sda7, morate se prijaviti na GNU/Linux na šifriranoj particiji i izvršiti daljnju konfiguraciju (bez ponovnog pokretanja računara) u vezi sa šifrovanim sistemom. Odnosno, biti u živom USB-u, ali da izvršava komande "u odnosu na korijen šifriranog OS-a." Simulirati sličnu situaciju će biti "chroot". Za brzo dobijanje informacija na kojem OS trenutno radite (šifrirano ili ne, jer su podaci u sda4 i sda7 sinkronizirani), desinhronizirajte OS-ove. Kreirajte u korijenskim direktorijima (sda4/sda7_crypt) prazne datoteke tokena, kao što su /mnt/encryptedOS i /mnt2/decryptedOS. Brzo provjerite koji OS koristite (uključujući i za budućnost):
ls /<Tab-Tab>B4.1. "Simulacija prijave u šifrirani OS"
mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt
B4.2. Provjera da li se posao obavlja u odnosu na šifrirani sistem
ls /mnt<Tab-Tab>
#и видим файл "/шифрованнаяОС"
history
#в выводе терминала должна появиться история команд su рабочей ОС.B4.3. Kreiranje/konfigurisanje šifrovane zamjene, uređivanje crypttab/fstabBudući da se swap datoteka formatira svaki put kada se OS pokrene, nema smisla sada kreirati i mapirati swap na logički disk i upisivati komande, kao u paragrafu B2.2. Za Swap, pri svakom pokretanju, njihovi privremeni ključevi za šifriranje će se automatski generirati. Životni ciklus swap-a ključeva: demontaža/demontaža swap particije (+očisti RAM); ili ponovo pokrenite OS. Postavljanje swap-a, otvaranje datoteke odgovorne za konfiguraciju blok šifriranih uređaja (slično fstab fajlu, ali je odgovoran za kripto).
nano /etc/crypttab pravilo
#"ciljni naziv" "izvorni uređaj" "fajl ključa" "opcije"
swap /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512
Opcije
* swap - mapirano ime prilikom šifriranja /dev/mapper/swap.
* /dev/sda8 - koristite svoju logičku particiju za swap.
* /dev/urandom - generator nasumičnih ključeva za šifriranje za zamjenu (sa svakim novim pokretanjem OS-a, kreirani su novi ključevi). /dev/urandom generator je manje slučajan od /dev/random, uostalom, /dev/random se koristi kada se radi u opasnim paranoidnim okolnostima. Prilikom učitavanja OS-a, /dev/random usporava učitavanje na nekoliko ± minuta (pogledajte systemd-analyze).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -particija zna da je swap i formatirana je u skladu s tim; algoritam šifriranja.
#Открываем и правим fstab
nano /etc/fstab
pravilo
# swap je bio na / dev / sda8 tokom instalacije
/dev/mapper/swap nema swap sw 0 0
/dev/mapper/swap je ime dato u crypttab.
Alternativna šifrirana zamjena
Ako iz nekog razloga ne želite da date cijelu particiju kao swap datoteku, onda možete ići na alternativni i bolji način: kreiranje swap datoteke u datoteci na šifriranoj OS particiji.
fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянныйPostavljanje zamjenske particije je završeno.
B4.4. Postavljanje šifriranog GNU/Linuxa (uređivanje crypttab/fstab fajlova)Datoteka /etc/crypttab, kao što sam gore napisao, opisuje šifrovane blok uređaje koji su konfigurisani u trenutku pokretanja sistema.
#правим /etc/crypttab
nano /etc/crypttab
ako ste uskladili odjeljak sda7>sda7_crypt kao u paragrafu B2.1
# "ciljni naziv" "izvorni uređaj" "fajl ključa" "opcije"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks
ako ste uskladili odjeljak sda7>sda7_crypt kao u paragrafu B2.2
# "ciljni naziv" "izvorni uređaj" "fajl ključa" "opcije"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512
ako ste uskladili odjeljak sda7>sda7_crypt kao u paragrafu B2.1 ili B2.2, ali ne želite ponovo unijeti lozinku da biste otključali i pokrenuli OS, tada možete zamijeniti tajni ključ / slučajni fajl umjesto lozinke
# "ciljni naziv" "izvorni uređaj" "fajl ključa" "opcije"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks
Opis
*none - Označava da kada se OS pokrene, potrebna je tajna šifra za otključavanje root-a.
* UUID - identifikator particije. Da biste saznali svoj ID, unesite terminal (podsjetite da sve ovo vrijeme nadalje, radite u terminalu u chroot okruženju, a ne u drugom live USB terminalu).
fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное
/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»
ova linija je vidljiva kada se traži blkid sa live usb terminala sa montiranim sda7_crypt).
UUID je preuzet iz vašeg sdaX-a (ne sdaX_crypt!, UUID sdaX_crypt - automatski će nestati kada se generiše grub.cfg konfiguracija).
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks napredno šifrovanje.
* /etc/skey - fajl tajnog ključa, koji se automatski zamenjuje za otključavanje pokretanja operativnog sistema (umjesto unosa 3. lozinke). Možete navesti bilo koju datoteku do 8mb, ali podaci će biti pročitani <1mb.
#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey
#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7
To će izgledati otprilike ovako:
(uradite sami i uvjerite se).
cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота/etc/fstab sadrži opisne informacije o različitim sistemima datoteka.
#Правим /etc/fstab
nano /etc/fstab
# "sistem datoteka" "tačka montiranja" "tip" "opcije" "dump" "prolaz"
# / bio je na / dev / sda7 tokom instalacije
/dev/mapper/sda7_crypt / ext4 errors=remount-ro 0 1
opcija
* /dev/mapper/sda7_crypt je ime sda7>sda7_crypt mapiranja, koje je navedeno u /etc/crypttab datoteci.
Postavljanje crypttab/fstab je sada završeno.
B4.5. Uređivanje konfiguracijskih datoteka. Ključni trenutakB4.5.1. Uređivanje konfiguracije /etc/initramfs-tools/conf.d/resume
#Если у вас ранее был активирован swap раздел, отключите его.
nano /etc/initramfs-tools/conf.d/resume
i komentarisati (ako postoji) "#" red "nastavi". Fajl mora biti potpuno prazan.
B4.5.2. Uređivanje konfiguracije /etc/initramfs-tools/conf.d/cryptsetup
nano /etc/initramfs-tools/conf.d/cryptsetuptrebalo bi da se poklapa
# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=da
izvoz CRYPTSETUP
B4.5.3. Uređivanje /etc/default/grub konfiguracije (ova konfiguracija je odgovorna za mogućnost generiranja grub.cfg kada radite sa šifriranim /boot)
nano /etc/default/grub
dodajte redak "GRUB_ENABLE_CRYPTODISK=y"
postavljeno na 'y', grub-mkconfig i grub-install će provjeriti ima li šifriranih diskova i generirati dodatne naredbe potrebne za pristup njima prilikom pokretanja (insmods ).
trebao bi biti sličan
GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=vendor"
GRUB_CMDLINE_LINUX="Tiho prskanje noautomount"
GRUB_ENABLE_CRYPTODISK=y
B4.5.4. Uređivanje konfiguracije /etc/cryptsetup-initramfs/conf-hook
nano /etc/cryptsetup-initramfs/conf-hook
provjerite da li je linija komentirao <#>.
U budućnosti (pa čak i sada, ovaj parametar neće imati nikakvu vrijednost, ali ponekad ometa ažuriranje initrd.img slike).
B4.5.5. Uređivanje konfiguracije /etc/cryptsetup-initramfs/conf-hook
nano /etc/cryptsetup-initramfs/conf-hookdodati
KEYFILE_PATTERN="/etc/skey"
UMASK=0077
Ovo će upakovati tajni ključ "ključ" u initrd.img, ključ je potreban za otključavanje root-a pri pokretanju OS-a (ako ne želite da ponovo unesete lozinku, taster „ključ“ se automatski zamenjuje).
B4.6. Ažurirajte /boot/initrd.img [verzija]Da biste spakovali privatni ključ u initrd.img i primijenili popravke cryptsetup, ažurirajte sliku
update-initramfs -u -k all
prilikom ažuriranja initrd.img (Kao što se kaže "Možda, ali ne sigurno") pojavit će se upozorenja vezana za cryptsetup, ili, na primjer, obavijest o gubitku Nvidia modula - to je normalno. Nakon ažuriranja datoteke, provjerite da li je zaista ažurirana, pogledajte vrijeme (u odnosu na chroot okruženje ./boot/initrd.img). Oprez prije [update-initramfs -u -k all] obavezno provjerite da li je cryptsetup otvoren /dev/sda7 sda7_crypt - ovo je naziv koji bi trebao biti, a koji se pojavljuje u /etc/crypttab, inače nakon ponovnog pokretanja-greška busybox)
Ovaj korak dovršava postavljanje konfiguracijskih datoteka.
[S] Instaliranje i konfigurisanje GRUB2/Protection
C1. Ako je potrebno, formatirajte namjensku particiju za bootloader (najmanje 20MB je dovoljno za particiju)
mkfs.ext4 -v -L GRUB2 /dev/sda6C2. Montirajte /dev/sda6 na /mntPošto radimo u chroot-u, neće biti direktorija /mnt2 u root-u, a /mnt folder će biti prazan.
montirajte GRUB2 particiju
mount /dev/sda6 /mntAko imate instaliranu stariju verziju GRUB2, u /mnt/boot/grub/i-386-pc (moguća druga platforma, npr. ne "i386-pc") nema kriptomodula (ukratko, folder bi trebao sadržavati module, uključujući ove .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), u takvom slučaju, GRUB2 treba protresti.
apt-get update
apt-get install grub2
Bitan! Prilikom ažuriranja GRUB2 paketa iz spremišta, na pitanje "o izboru" gdje da instalirate bootloader, morate odbiti instalaciju (razlog - pokušavam instalirati GRUB2 - u "MBR" ili na live usb). U suprotnom ćete oštetiti VeraCrypt zaglavlje/učitavač. Nakon ažuriranja GRUB2 paketa i otkazivanja instalacije, bootloader se mora ručno instalirati na logički disk, a ne u "MBR". Ako vaše spremište ima zastarjelu verziju GRUB2, pokušajte sa službene stranice - nisam provjerio (radio sa svježim GRUB 2.02 ~BetaX boot loaderima).
C3. Instaliranje GRUB2 na proširenu particiju [sda6]Morate imati montiranu particiju [p.C.2]
grub-install --force --root-directory=/mnt /dev/sda6
opcije
* --force - instalirajte bootloader, zaobilazeći sva upozorenja koja gotovo uvijek postoje i blokirate instalaciju (obavezna zastava).
* --root-directory - instalacija direktorija do korijena sda6.
* /dev/sda6 - vaša sdaX particija (nemojte preskočiti <razmak> između /mnt /dev/sda6).
C4. Kreiranje konfiguracijske datoteke [grub.cfg]Zaboravite naredbu "update-grub2" i koristite naredbu za generiranje kompletne konfiguracijske datoteke
grub-mkconfig -o /mnt/boot/grub/grub.cfg
nakon završetka generiranja/ažuriranja datoteke grub.cfg, u izlaznom terminalu bi trebale biti linije (a) sa OS pronađenim na disku ("grub-mkconfig" će vjerovatno pronaći i preuzeti OS sa live usb-a, ako imate multi-boot fleš disk sa Windows 10 i gomilu distribucija uživo - to je normalno). Ako je terminal "prazan", fajl "grub.cfg" nije generisan, onda je to slučaj kada postoje GRUB greške u sistemu (i najvjerovatnije loader iz test grane spremišta), ponovo instalirajte GRUB2 iz pouzdanih izvora.
Instalacija "jednostavne konfiguracije" i konfiguracija GRUB2 je sada završena.
C5. Probni test šifrirani GNU/Linux OSIspravno dovršite kriptomisije. Pažljivo napuštajte šifrirani GNU/Linux (izlaz iz chroot okruženja).
umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot
Nakon ponovnog pokretanja računara, VeraCrypt bootloader bi trebalo da se učita.
*Unošenje lozinke za aktivnu particiju - Windows će početi da se učitava.
*Pritiskom na tipku "Esc" prenijet ćete kontrolu na GRUB2, ako odaberete šifrirani GNU / Linux - trebat će vam lozinka (sda7_crypt) da otključate /boot/initrd.img (ako grub2 kaže uuid "nije pronađen" - ovo je problem sa grub2 bootloaderom, trebalo bi ga ponovo instalirati, na primjer, iz test grane/stabilne i pd).
*U zavisnosti od toga kako ste podesili sistem (pogledajte odeljak B4.4/4.5), nakon unošenja ispravne lozinke za otključavanje /boot/initrd.img slike, biće vam potrebna lozinka za pokretanje kernela/root operativnog sistema ili tajni ključ će biti automatski zamijenjen "ključ", eliminirajući potrebu za ponovnim unosom pristupne fraze.
(screenshot "automatska zamjena tajnog ključa").
*Sljedeće će započeti poznati GNU / Linux proces pokretanja s provjerom autentičnosti korisničkog računa.
*Nakon autorizacije korisnika i prijave na OS, potrebno je ponovo ažurirati /boot/initrd.img (vidi P4.6).
update-initramfs -u -k allI u slučaju dodatnih linija u GRUB2 meniju (od preuzimanja OS-m sa live usb-om) osloboditi ih se
mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg
Kratak sažetak GNU/Linux sistemske enkripcije:
- GNU/Linuxinux je potpuno šifrovan, uključujući /boot/kernel i initrd;
- tajni ključ je upakovan u initrd.img;
- trenutnu šemu autorizacije (unošenje lozinke za otključavanje initrd-a; lozinka / ključ za pokretanje OS-a; lozinka za autorizaciju Linux naloga).
Šifrovanje sistema blok particije "Simple GRUB2 configuration" je završeno.
C6. Napredna GRUB2 konfiguracija. Zaštita bootloadera sa digitalnim potpisom + zaštita autentifikacijeGNU/Linux je potpuno šifrovan, ali pokretač ne može biti šifrovan - ovaj uslov diktira BIOS. Iz tog razloga, GRUB2 šifrovano lančano pokretanje nije moguće, ali jednostavno lančano pokretanje je moguće/dostupno, nije neophodno sa sigurnosne tačke gledišta (vidi dole). P. F].
Za „ranjivi“ GRUB2, programeri su implementirali algoritam zaštite pokretačkog pokretača „potpis/autentifikacija“.
- Kada je bootloader zaštićen “vlastitim digitalnim potpisom”, eksterna modifikacija datoteka ili pokušaj učitavanja dodatnih modula u ovaj bootloader dovešće do blokiranja procesa pokretanja.
- Kada štitite bootloader autentifikacijom, da biste odabrali pokretanje distributivnog kompleta ili unijeli dodatne komande u CLI, morat ćete unijeti login i lozinku superkorisnika-GRUB2.
C6.1. Zaštita bootloadera autentifikacijomProvjerite da li radite na terminalu u šifriranom OS-u
ls /<Tab-Tab> #обнаружить файл-маркерkreirajte lozinku superkorisnika za autorizaciju u GRUB2
grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. Nabavite hash lozinke. Ovako nešto
grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
montirajte GRUB particiju
mount /dev/sda6 /mnt uredite konfiguraciju
nano -$ /mnt/boot/grub/grub.cfg
provjerite pretragu datoteka da nema zastavica nigdje u "grub.cfg" ("-unrestricted" "-user",
dodati na samom kraju (prije reda ### END /etc/grub.d/41_custom ###)
"set superusers="root"
password_pbkdf2 root hash".
Trebalo bi biti ovako nešto
# Ova datoteka pruža jednostavan način za dodavanje prilagođenih unosa u meni. Jednostavno ukucajte
# stavke menija koje želite dodati nakon ovog komentara. Pazite da se ne promijenite
# gornja linija 'exec tail'.
### KRAJ /etc/grub.d/40_custom ###### BEGIN /etc/grub.d/41_custom ###
ako [ -f ${config_directory}/custom.cfg ]; onda
izvor ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; onda
izvor $prefix/custom.cfg;
fi
postavi superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### KRAJ /etc/grub.d/41_custom ###
#
Ako često koristite naredbu "grub-mkconfig -o /mnt/boot/grub/grub.cfg" i ne želite svaki put mijenjati grub.cfg, unesite gornje redove (Prijava: Lozinka) do GRUB korisničke skripte do samog dna
nano /etc/grub.d/41_custom mačka <<EOF
postavi superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF
Prilikom generisanja konfiguracije "grub-mkconfig -o /mnt/boot/grub/grub.cfg", linije odgovorne za autentifikaciju će se automatski dodati u grub.cfg.
Ovim korakom se dovršava GRUB2 postavka provjere autentičnosti.
C6.2. Zaštita bootloadera digitalnim potpisomPretpostavlja se da već imate svoj lični pgp ključ za šifriranje (ili kreirajte takav ključ). Na sistemu mora biti instaliran kriptografski softver: gnuPG; kleopatra/GPA; Seahorse. Kripto-softver će vam u svim takvim slučajevima znatno olakšati život. Seahorse - stabilna verzija paketa 3.14.0 (gore verzije, na primjer, V3.20 su inferiorne i imaju značajne greške).
PGP ključ treba generirati/pokrenuti/dodati samo u su okruženju!
Generirajte lični ključ za šifrovanje
gpg - -gen-keyIzvezite svoj ključ
gpg --export -o ~/perskeyMontirajte logički disk u OS ako već nije montiran
mount /dev/sda6 /mnt #sda6 – раздел GRUB2obrišite GRUB2 particiju
rm -rf /mnt/Instalirajte GRUB2 u sda6 tako što ćete staviti svoj privatni ključ u glavnu GRUB sliku "core.img"
grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6
opcije
* --force - instalirajte bootloader, zaobilazeći sva upozorenja koja uvijek postoje (obavezna zastava).
* --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - nalaže GRUB2 da unapred učita potrebne module pri pokretanju računara.
* -k ~/perskey - put do "PGP ključa" (nakon pakovanja ključa u sliku, može se izbrisati).
* --root-directory -postaviti direktorij za pokretanje na sda6 root
/dev/sda6 je vaša sdaX particija.
Generiraj/ažuriraj grub.cfg
grub-mkconfig -o /mnt/boot/grub/grub.cfgDodajte red "trust /boot/grub/perskey" na kraj datoteke "grub.cfg" (prisilno korištenje pgp ključa.) Pošto smo instalirali GRUB2 sa skupom modula, uključujući modul potpisa “signature_test.mod”, ovo eliminiše potrebu za dodavanjem komandi poput “set check_signatures=enforce” u konfiguraciju.
Trebalo bi izgledati otprilike ovako (krajnji redovi u grub.cfg fajlu)
### BEGIN /etc/grub.d/41_custom ###
ako [ -f ${config_directory}/custom.cfg ]; onda
izvor ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; onda
izvor $prefix/custom.cfg;
fi
povjerenje /boot/grub/perskey
postavi superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### KRAJ /etc/grub.d/41_custom ###
#
Put do "/boot/grub/perskey" ne mora ukazivati na određenu particiju diska, na primjer hd0,6, jer sam bootloader "root" je zadana putanja particije na kojoj je instaliran GRUB2 (vidi set rot=..).
Potpisivanje GRUB2 (svi fajlovi u svim /GRUB direktorijumima) sa vašim ključem "perskey".
Jednostavno rješenje kako se potpisati (za nautilus/caja explorer): instalirajte ekstenziju "seahorse" za explorer iz spremišta. Vaš ključ mora biti dodan u okruženje su.
Otvorite istraživač iz sudo "/mnt/boot" - RMB - znak. Na ekranu to izgleda ovako
Sam ključ je "/mnt/boot/grub/perskey" (kopiraj u direktorij grub) također mora biti potpisan vlastitim potpisom. Provjerite da li se potpisi datoteke [*.sig] pojavljuju u direktoriju/poddirektorijumu.
Na gornji način potpisujemo "/boot" (naše jezgro, initrd). Ako vaše vrijeme vrijedi išta, onda ovaj metod eliminiše potrebu za pisanjem bash skripte za potpisivanje "mnogo fajlova".
Da biste uklonili sve potpise pokretača (ako je nešto pošlo po zlu)
rm -f $(find /mnt/boot/grub -type f -name '*.sig')Kako ne bismo potpisali bootloader nakon ažuriranja sistema, zamrzavamo sve pakete ažuriranja koji se odnose na GRUB2.
apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-commonU ovom koraku <zaštita pokretača digitalnim potpisom> napredna konfiguracija GRUB2 je završena.
C6.3. Prof-test GRUB2 bootloadera zaštićen digitalnim potpisom i autentifikacijomGRUB2. Prilikom odabira GNU/Linux distribucije ili ulaska u CLI (komandna linija) potrebna je autorizacija superkorisnika. Nakon unosa ispravne login/lozinke, trebat će vam lozinka sa initrd-a
Snimak ekrana, uspješna autentifikacija GRUB2-superkorisnika.
Ako mijenjate bilo koji od GRUB2 fajlova/izmenite grub.cfg, ili obrišete fajl/potpis, ili učitate zlonamerni module.mod, pojaviće se odgovarajuće upozorenje. GRUB2 će pauzirati učitavanje.
Snimak ekrana, pokušaj miješanja u GRUB2 "spolja".
Tokom "normalnog" pokretanja "bez upada", status izlaznog koda sistema je "0". Stoga je nepoznato da li zaštita radi ili ne (tj. „sa ili bez zaštite pokretača sa potpisom“ tokom normalnog pokretanja, status je isti „0“ - ovo je loše).
Kako provjeriti zaštitu digitalnog potpisa?
Nezgodan način za provjeru: krivotvoriti/ukloniti modul koji koristi GRUB2, na primjer, ukloniti luks.mod.sig potpis i dobiti grešku.
Ispravan način je da odete na CLI pokretača i unesete naredbu
trust_list
Kao odgovor, trebalo bi da dobiju „perskey“ otisak prsta, ako je status „0“, onda zaštita potpisa ne radi, još jednom provjerite klauzulu C6.2.
Na ovom koraku napredna postavka "Zaštiti GRUB2 digitalnim potpisom i autentifikacijom" je završena.
C7 Alternativni način da se osigura GRUB2 bootloader heširanjemGore opisana metoda "CPU Boot Loader Protection/Authentication" je klasična. Zbog nesavršenosti GRUB2, u paranoidnim uslovima on je podložan stvarnom napadu, što ću dati u nastavku u paragrafu [F]. Osim toga, nakon ažuriranja OS/kernela, bootloader mora biti ponovo potpisan.
Zaštita GRUB2 pokretačkog programa heširanjem
Prednosti u odnosu na klasiku:
- Viši nivo pouzdanosti (haširanje/verifikacija se odvija samo sa šifrovanog lokalnog resursa. Cijela dodijeljena particija pod GRUB2 je kontrolirana za bilo kakve promjene, a sve ostalo je šifrirano, u klasičnoj šemi sa zaštitom CPU loadera/autentifikacijom, kontroliraju se samo fajlovi, ali ne i besplatni prostor, u koji se može dodati "nešto nešto zlokobno").
- Šifrirano evidentiranje (čitljivi lični šifrovani dnevnik je dodan šemi).
- Brzina (Zaštita / provjera cijele particije dodijeljene za GRUB2 se događa gotovo trenutno).
- Automatizacija svih kriptografskih procesa.
Nedostaci klasike.
- Falsifikat potpisa (teoretski, moguće je pronaći koliziju date hash funkcije).
- Povećani nivo težine (u poređenju sa klasicima, potrebno je malo više znanja o GNU/Linux OS-u).
Kako funkcioniše ideja za heširanje GRUB2/particije
GRUB2 sekcija je “potpisana”, kada se OS učita, provjerava se nepromjenjivost odjeljka bootloadera, nakon čega slijedi prijavljivanje u sigurno (šifrirano) okruženje. Ako je bootloader ili njegova particija ugrožena, pored dnevnika invazije, sljedeće
Stvar.
Slična provjera se odvija četiri puta dnevno, što ne učitava sistemske resurse.
Koristeći naredbu "-$ check_GRUB", trenutna provjera se dešava u bilo koje vrijeme bez evidentiranja, ali sa izlazom informacija u CLI.
Koristeći naredbu "-$ sudo GRUB_signature", GRUB2 bootloader / particija se trenutno ponovo potpisuje i ažurira se evidencija (potrebno nakon ažuriranja OS/boot) i život se nastavlja.
Implementacija heširanja bootloadera i njegove particije
0) Potpišimo GRUB bootloader/particiju tako što ćemo ga prvo montirati na /media/username
-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt1) Kreiramo skriptu bez ekstenzije u korijenu šifriranog OS ~/podpis, primjenjujemo potrebna prava 744 sigurnost i zaštitu od “budala”.
Ispunjavajući ga sadržajem
#!/bin/bash
#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux.
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'
a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!!
b="hashdeep: Audit failed"
#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]]
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif'
fiPokrenite skriptu iz su, heširanje GRUB particije i njenog pokretačkog programa će biti provjereno, sačuvajte dnevnik.
Kreirajmo ili kopirajmo, na primjer, "zlonamjernu datoteku" [virus.mod] na GRUB2 particiju i pokrenimo privremenu provjeru/testiranje:
-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUBCLI bi trebao vidjeti invaziju na naše -uporište-#Ogoljena prijava u CLI
Ср янв 2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
Input files examined: 0
Known files expecting: 0
Files matched: 325
Files partially matched: 0
Files moved: 1
New files found: 0
Known files not found: 0
#Kao što možete vidjeti, pojavilo se “Datoteke premještene: 1 i revizija nije uspjela”, što znači da provjera nije uspjela.
Zbog specifičnosti testiranog odjeljka umjesto "Pronađene nove datoteke" > "Datoteke premještene"
2) Stavite gif ovdje > ~/warning.gif, postavite dozvole na 744.
3) Konfigurisanje fstab-a za automatsko montiranje GRUB particije pri pokretanju
-$ sudo nano /etc/fstabLABEL=GRUB /media/korisničko ime/GRUB ext4 podrazumevano 0 0
4) Rotiramo dnevnik
-$ sudo nano /etc/logrotate.d/podpis /var/log/subpis.txt {
svakodnevno
rotirati 50
veličina 5M
dateext
kompresovati
delaycompress
olddir /var/log/old
}/var/log/vtorjenie.txt {
mjesečno
rotirati 5
veličina 5M
dateext
olddir /var/log/old
}
5) Dodavanje posla u cron
-$ sudo crontab -e'/pretplata'
0 */6 * * * '/subpis
6) Kreirajte trajne pseudonime
-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash
Nakon ažuriranja OS-a -$ apt-get upgrade ponovno potpisivanje naše GRUB particije
-$ подпись_GRUB
Ovaj korak dovršava heš zaštitu GRUB particije.
[D] Čišćenje - uništavanje nešifriranih podataka
Izbrišite svoje lične datoteke tako potpuno da ih "ni Bog ne može pročitati", rekao je portparol Južne Karoline Trey Gowdy.
Kao i obično, postoje razni "mitovi i ”, o oporavku podataka nakon brisanja s tvrdog diska. Ako vjerujete u sajber vještičarenje ili ste član Dr web zajednice i nikada niste probali oporavak podataka nakon brisanja/prepisivanja (npr. oporavak pomoću R-studija), onda vam predložena metoda vjerojatno neće odgovarati, koristite onu koja vam je bliža.
Nakon uspješne migracije GNU/Linuxa na šifriranu particiju, stara kopija mora biti trajno izbrisana. Univerzalni način čišćenja: softver za Windows/Linux besplatni GUI softver .
Brzo formatiranje particije, podatke koje želite da uništite (koristeći Gparted), pokrenite BleachBit, odaberite "Očisti slobodan prostor" - odaberite particiju (vaš sdaX sa prethodnom kopijom GNU/Linuxa), proces čišćenja će započeti. BleachBit - briše disk u jednom prolazu - to je ono što "trebamo", Ali! ovo funkcionira samo u teoriji ako ste formatirali disk i očistili ga u softveru BB v2.0.
Oprez! BB briše disk, ostavljajući metapodatke, imena datoteka se čuvaju kada se podaci unište (Ccleaner - ne ostavlja metapodatke).
A mit o mogućnosti oporavka podataka zapravo nije mit.Bleachbit V2.0-2 bivši nestabilan OS Debian paket (i bilo koji drugi sličan softver: sfill; wipe-Nautilus - također su viđeni u ovom prljavom poslu) zapravo je imao kritičnu grešku: funkciju "čišćenja slobodnog prostora". ne radi ispravno na HDD/Flash diskovima (ntfs/ext4). Softver ove vrste, prilikom čišćenja slobodnog prostora, ne prepisuje cijeli disk, kao što mnogi korisnici misle. I neke (mnogo) izbrisani podaci OS/softver tretira ove podatke kao neobrisane/korisničke podatke i preskače ove datoteke prilikom brisanja OS/OS-a. Problem je u tome što nakon toliko vremena, čišćenje diska "izbrisane datoteke" se mogu oporaviti čak i nakon 3+ prolaza brisanja diska.
Na GNU/Linuxu u Bleachbitu 2.0-2 funkcije trajnog brisanja datoteka i direktorija rade pouzdano, ali ne i brisanje slobodnog prostora. Poređenja radi: na Windowsu u softveru CCleaner, funkcija "OSB za ntfs" radi kako treba, a Bog zaista ne može pročitati izbrisane podatke.
I tako, temeljito ukloniti "kompromitirajući" stari nešifrirani podaci, Bleachbitu je potreban direktan pristup ovim podacima, zatim koristite funkciju "izbrišite datoteke/direktorije nepovratno".
Da biste izbrisali "izbrisane datoteke pomoću uobičajenih OS alata" u Windowsu, koristite CCleaner / BB sa funkcijom "OSB". O GNU/Linuxu oko ovog problema (uklanjanje obrisanih fajlova) morate sami vježbati (brisanje podataka + samostalan pokušaj njihovog vraćanja i ne oslanjajte se na verziju softvera (ako nije oznaka, onda greška)), samo u tom slučaju ćete moći razumjeti mehanizam ovog problema i potpuno se riješiti izbrisanih podataka.
Bleachbit v3.0 nije provjerio, možda je problem već riješen.
Bleachbit v2.0 radi pošteno.
Ovaj korak dovršava čišćenje diska.
[E] Generička šifrovana rezervna kopija OS
Svaki korisnik ima svoju metodu izrade sigurnosne kopije podataka, ali šifrirani podaci "System OS" zahtijevaju malo drugačiji pristup zadatku. Unificirani softver kao što je "Clonezilla" i sličan softver ne može raditi direktno sa šifriranim podacima.
Postavljanje sigurnosnog zadatka za šifrirane blok uređaje:
- univerzalnost - isti algoritam / softver za sigurnosnu kopiju za Windows / Linux;
- mogućnost rada u konzoli sa bilo kojim živim usb GNU / Linuxom bez potrebe za dodatnim preuzimanjem softvera (ali ipak preporučujem GUI);
- sigurnosna kopija - pohranjene "slike" moraju biti šifrirane / zaštićene lozinkom;
- veličina šifriranih podataka mora odgovarati veličini stvarno kopiranih podataka;
- praktično izdvajanje potrebnih datoteka iz sigurnosne kopije (nema potrebe da se prvo dešifruje ceo odeljak).
Na primjer, backup/restore preko uslužnog programa "dd".
dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerrorOdgovara gotovo svim tačkama zadatka, ali prema stavu 4 ne podnosi kritiku, jer kopira cijelu particiju diska, uključujući i slobodan prostor - nije zanimljivo.
Na primjer, sigurnosna kopija GNU/Linuxa putem [tar" | gpg] je zgodno, ali za Windows sigurnosnu kopiju morate potražiti drugo rješenje - nije zanimljivo.
E1. Univerzalni Windows/Linux backup. Link rsync (Grsync)+VeraCrypt volumenAlgoritam za kreiranje sigurnosne kopije:
- kreiranje šifrovanog kontejnera (volumen/fajl) VeraCrypt za OS;
- prijenos/sinhronizacija OS pomoću softvera Rsync na VeraCrypt kriptokontejner;
- ako je potrebno, otpremite VeraCrypt volumen na www.
Kreiranje šifriranog VeraCrypt kontejnera ima svoje karakteristike:
stvaranje dinamičkog volumena (kreiranje DT-a je dostupno samo u Windows-u, može se koristiti iu GNU/Linux-u);
stvaranje normalnog volumena, ali postoji zahtjev "paranoidne prirode" (prema programeru) - formatiranje kontejnera.
Dinamički volumen se stvara gotovo trenutno u Windows OS-u, ali kada kopirate podatke iz GNU/Linux OS > VeraCrypt DT, općenito, performanse sigurnosne kopije su značajno smanjene.
Kreira se običan volumen Twofish od 70 GB (Recimo, prosječna snaga računara) na HDD ~ za pola sata (prepisivanje prethodnih podataka o kontejneru u jednom prolazu, zbog sigurnosnih zahtjeva). Iz VeraCrypt Windows/Linuxa je uklonjena funkcija brzog formatiranja volumena tokom njegovog kreiranja, tako da je kreiranje kontejnera moguće samo kroz „prepisivanje u jednom prolazu“, ili kreiranje dinamičkog volumena niskih performansi.
Kreirajte običan VeraCrypt volumen (ne dinamički/ntfs), ne bi trebalo biti nikakvih problema.
Postavite/kreirajte/otvorite kontejner u VeraCrypt GUI > GNU/Linux live usb (volumen će biti automatski montiran na /media/veracrypt2, volumen Windows OS je montiran na /media/veracrypt1). Kreiranje šifrovane rezervne kopije operativnog sistema Windows pomoću rsync GUI (grsync)označavanjem polja.
Sačekajte kraj procesa. Po završetku sigurnosne kopije, imat ćemo jednu šifriranu datoteku.
Slično, napravite rezervnu kopiju GNU/Linux OS-a tako što ćete poništiti oznaku "Windows compatible" rsync GUI.
Oprez! kreirajte Veracrypt kontejner za “GNU/Linux sigurnosnu kopiju” na sistemu datoteka ext4. Ako napravite sigurnosnu kopiju u ntfs kontejneru, onda kada vratite takvu kopiju, izgubit ćete sva prava/grupe na sve svoje podatke.
Sve operacije možete izvršiti u terminalu. Osnovne opcije za rsync:
* -g - spremanje grupa;
* -P --progress - status vremena rada na datoteci;
* -H -kopiraj tvrde veze kakve jesu;
* -a -archive mod (nekoliko rlptgoD zastavica);
* -v -verbalizacija.
Ako želite da montirate "Windows VeraCrypt volumen" putem konzole u softveru za kriptiranje, možete kreirati pseudonim (su)
echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash
Sada, na komandi “veramount pictures”, od vas će biti zatraženo da unesete šifru, a šifrovani volumen Windows sistema će biti montiran u OS.
Mapirajte/priključite VeraCrypt sistemski volumen u naredbi cryptsetup
cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mntMapirajte/montirajte VeraCrypt particiju/kontejner u naredbi cryptsetup
cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mntUmjesto pseudonima, dodajmo (skriptu za automatsko učitavanje) sistemski volumen sa Windows OS-om i logički šifrirani ntfs disk u GNU/Linux autoload
Kreirajte skriptu i sačuvajte je na ~/VeraOpen.sh
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.
Dajemo "istinska" prava:
sudo chmod 100 /VeraOpen.shKreirajte dva identična fajla (isto ime!) u /etc/rc.local i ~/etc/init.d/rc.local
Punjenje fajlova
#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0Dajemo "istinska" prava:
sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local To je to, sada kada dižemo GNU/Linux ne trebamo unositi lozinke za montiranje šifrovanih ntfs diskova, diskovi se montiraju automatski.
Kratka napomena o onome što je gore opisano u paragrafu E1 korak po korak (ali sada za OS GNU/Linux)
1) Kreirajte volumen u fs ext4 > 4gb (za fajl) Linux u Veracryptu [Cryptbox].
2) Ponovo pokrenite za live usb.
3) ~$ cryptsetup otvorite /dev/sda7 Lunux #mapirajte šifrovanu particiju.
4) ~$ montirati /dev/mapper/Linux /mnt #montirati šifrovanu particiju u /mnt.
5) ~$ mkdir mnt2 #kreirajte direktorij za buduću sigurnosnu kopiju.
6) ~$ cryptsetup open --veracrypt --upišite tcrypt ~/Cryptobox Cryptobox && mount /dev/mapper/Cryptobox /mnt2 #Mapirajte Veracrypt volumen pod nazivom "Cryptobox" i montirajte Cryptobox u /mnt2.
7) ~$ rsync -avlxhHX --progress /mnt /mnt2/ #operacija za pravljenje rezervne kopije šifrovane particije na Veracrypt šifrovanom volumenu.
(p/s/ Oprez! Ako prenosite šifrirani GNU/Linux s jedne arhitekture/mašine na drugu, na primjer, Intel > AMD (tj. postavljate sigurnosnu kopiju s jedne šifrirane particije na drugu Intel > AMD šifriranu particiju), Nemoj zaboraviti nakon prijenosa šifriranog OS-a, možda uredite tajni zamijenjeni ključ umjesto lozinke. prethodni ključ ~/etc/skey - više neće stati na drugu šifrovanu particiju i nepoželjno je kreirati novi ključ "cryptsetup luksAddKey" ispod chroot-a - greška je moguća, samo u ~/etc/crypttab navedite privremeno "none " umjesto "/etc/skey" ", nakon ponovnog pokretanja i ulaska u OS, ponovo generirajte svoj tajni zamijenjeni ključ).
Kao IT veterani, ne zaboravite zasebno napraviti sigurnosnu kopiju zaglavlja šifriranih Windows/Linux OS particija, inače će se šifriranje okrenuti protiv vas.
U ovom koraku, sigurnosna kopija šifriranih operativnih sistema je završena.
[F] Napad na GRUB2 bootloader
Pogledajte detaljeAko ste zaštitili svoj bootloader digitalnim potpisom i/ili autentifikacijom (Vidi tačku C6.), onda to neće zaštititi od fizičkog pristupa. Šifrirani podaci će i dalje biti nedostupni, ali će zaštita zaobići (resetirajte zaštitu digitalnog potpisa) GRUB2 omogućava sajber zlikovcima da ubace svoj kod u bootloader bez izazivanja sumnje (osim ako korisnik ručno ne prati stanje bootloadera, ili ne smisli svoj čvrsti prilagođeni skript-kod za grub.cfg).
algoritam napada. uljez
*Podiže računar sa živog USB-a. Svaka promjena (prestupnik) datoteke će upozoriti pravog vlasnika računara o upadu u bootloader. Ali jednostavna ponovna instalacija GRUB2 uz zadržavanje grub.cfg (i naknadna mogućnost uređivanja) će omogućiti napadaču da uređuje bilo koje datoteke (u ovom scenariju, prilikom učitavanja GRUB2, pravi korisnik neće biti obaviješten. Status je isti <0>)
* Montira nešifrovanu particiju, pohranjuje “/mnt/boot/grub/grub.cfg”.
* Ponovo instalirajte bootloader (uklanjanje "perskey" sa slike core.img)
grub-install --force --root-directory=/mnt /dev/sda6
* Vraća "grub.cfg" > "/mnt/boot/grub/grub.cfg", uređuje ga ako je potrebno, na primjer, dodajući njegov "keylogger.mod" modul u folder sa modulima za učitavanje, u "grub.cfg" > red "insmod keylogger". Ili, na primjer, ako je neprijatelj lukav, onda nakon ponovne instalacije GRUB2 (svi potpisi ostaju na mjestu) on gradi glavnu GRUB2 sliku koristeći "grub-mkimage sa (-c) opcijom." Opcija "-c" će vam omogućiti da učitate svoju konfiguraciju prije učitavanja glavnog "grub.cfg". Konfiguracija se može sastojati od samo jedne linije: preusmjeravanje na bilo koji "modern.cfg", pomiješano sa, na primjer, ~400 fajlova (moduli+potpisi) u folderu /boot/grub/i386-pc. U ovom slučaju, prekršilac može uvesti proizvoljni kod i učitati module bez uticaja na "/boot/grub/grub.cfg", čak i ako je korisnik primijenio "hashsum" na fajl i privremeno ga prikazao na ekranu.
Napadač neće morati da provali login / lozinku superkorisnika GRUB2, samo će morati da kopira redove (odgovoran za autentifikaciju) "/boot/grub/grub.cfg" na vaš "modern.cfg"
postavi superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
I PC domaćin će i dalje imati GRUB2 autentifikaciju superkorisnika.
Lančano opterećenje (bootloader učitava drugi bootloader), kao što je gore pomenuto, nema smisla (to je za drugu svrhu). Zbog BIOS-a, šifrovani bootloader se ne može učitati (prilikom lančanog učitavanja, GRUB2 se ponovo pokreće > šifrirani GRUB2, greška!). Međutim, ako i dalje koristite ideju lančanog učitavanja, možete biti sigurni da se učitava šifrirani. (nije nadograđen) "grub.cfg" sa šifrovane particije. A to je i lažni osjećaj sigurnosti, jer sve što je navedeno u šifriranom "grub.cfg" (učitavanje modula) stekove sa modulima koji se učitavaju iz nešifrovanog GRUB2.
Ako želite ovo provjeriti, onda dodijelite/šifrirajte drugu particiju sdaY, kopirajte GRUB2 na nju (grub-instalacija operacija na šifriranoj particiji nije moguća) iu "grub.cfg" (nešifrirana konfiguracija) promijenite linije ovako
menuentry 'GRUBx2' --class papagaj --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
load_video
insmod gzio
ako [ x$grub_platform = xxen]; zatim insmod xzio; insmod lzopio; fi
insmod part_msdos
insmod cryptodisk
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
normalan /boot/grub/grub.cfg
}
žice
* insmod - učitavanje potrebnih modula za rad sa šifrovanim diskom;
* GRUBx2 - naziv prikazane linije u GRUB2 boot meniju;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 - vidi fdisk -l (sda9);
* set root - root postavka;
* normalan /boot/grub/grub.cfg - izvršna konfiguraciona datoteka na šifrovanoj particiji.
Pouzdanje da se učitava šifrovani “grub.cfg” je pozitivan odgovor na unošenje lozinke/otključavanje “sdaY” prilikom odabira linije “GRUBx2” u GRUB meniju.
Kada radite u CLI-u, da se ne zbunite (i provjerite da li je varijabla okruženja "set root" radila), kreirajte prazne datoteke markera, na primjer, u šifriranoj particiji "/shifr_grub", u nešifriranoj particiji "/noshifr_grub". Validacija u CLI
cat /Tab-TabKao što je gore navedeno, ovo vam neće pomoći da preuzmete zlonamjerne module ako takvi moduli završe na vašem računalu. Na primjer, keylogger koji može sačuvati pritiske tipki u datoteku i miješati s drugim datotekama u "~/i386" dok ga ne preuzme napadač s fizičkim pristupom PC-u.
Najlakši način da provjerite da li je zaštita digitalnog potpisa aktivna (nije resetirano), i niko nije upao u bootloader, u CLI upisujemo naredbu
list_trusted
kao odgovor, dobijemo gips našeg "perskeyja", ili ne dobijemo ništa ako smo napadnuti (takođe treba provjeriti "set check_signatures=enforce").
Značajan nedostatak takvog koraka je ručno upisivanje komandi. Ako dodate ovu naredbu u "grub.cfg" i digitalno potpišete konfiguraciju, tada je preliminarni izlaz ključa na ekranu prekratak u vremenu i možda nećete imati vremena da vidite izlaz kada dobijete GRUB2 pokretanje .
Nema se kome posebno žaliti: programer u njegovom klauzula 18.2 zvanično proglašava
“Imajte na umu da čak i sa GRUB zaštitom lozinkom, GRUB sam po sebi ne može spriječiti nekoga s fizičkim pristupom mašini da promijeni konfiguraciju firmvera te mašine (npr. Coreboot ili BIOS) da izazove pokretanje mašine sa drugog uređaja (kontrolisanog napadačem). GRUB je u najboljem slučaju samo jedna karika u sigurnom lancu podizanja.
GRUB2 je previše preopterećen funkcijama koje mogu dati osjećaj lažne sigurnosti, a njegov razvoj je već nadmašio funkcionalnost MS-DOS-a, a to je samo pokretač. Smiješno je da GRUB2 - "sutra" može postati OS, a za njega virtuelne mašine za pokretanje GNU/Linux.
Kratak video o tome kako sam resetovao GRUB2 zaštitu digitalnog potpisa i proglasio svoj upad stvarnom korisniku (uplašeno, ali umjesto onoga što je prikazano na snimku, možete napisati ne bezopasan proizvoljni kod/.mod).
Zaključci:
1) Blok sistemsko šifrovanje za Windows - lakše za implementaciju, a zaštita jednom lozinkom je praktičnija od zaštite sa nekoliko lozinki sa GNU / Linux blok sistemskom enkripcijom, pošteno rečeno: ovo drugo je automatizovano.
2) Članak sam napisao kao relevantan i detaljan jednostavno vodič za potpunu enkripciju diska VeraCrypt/LUKS na jednoj kućnoj mašini, koja je daleko najbolja u runetu (IMHO). Priručnik ima > 50 znakova tako da nije pokrio neka zanimljiva poglavlja: o kriptografima koji nestaju/ostaju u sjeni; o činjenici da se u raznim GNU/Linux knjigama malo/nema piše o kriptografiji; o članu 51. Ustava Ruske Federacije; O /ban , o tome zašto trebate šifrirati "root / boot". Pokazalo se da je priručnik već značajan, ali detaljan (opisuje čak i jednostavne korake), zauzvrat, ovo će vam uštedjeti mnogo vremena kada uđete u "pravu enkripciju".
3) Izvršeno šifrovanje cijelog diska na Windows 7 64; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.
4) Proveden uspješan napad na njegov GRUB2 bootloader.
5) Vodič je kreiran da pomogne svim paranoidima u CIS-u, gdje je šifriranje zakonski dozvoljeno. I prije svega, za one koji žele primijeniti enkripciju cijelog diska bez rušenja svojih konfiguriranih sistema.
6) Revidirao i ažurirao svoj priručnik, koji je relevantan 2020. godine.
[G] Korisna dokumentacija
- (februar 2012. RU)
- /usr/share/doc/cryptsetup(-run) [lokalno dijeljenje] (zvanična detaljna dokumentacija o postavljanju GNU/Linux enkripcije sa cryptsetupom)
- (kratka dokumentacija o postavljanju GNU/Linux enkripcije uz cryptsetup)
- (archlinux dokumentacija)
- (stranica priručnika za arhiviranje)
- (stranica priručnika za arhiviranje)
- .
Oznake: potpuna enkripcija diska, enkripcija particije, Linux potpuna enkripcija diska, LUKS1 potpuna sistemska enkripcija.
Samo registrovani korisnici mogu učestvovati u anketi. molim.
Da li šifrirate?
-
17,1%Šifrujem sve što mogu. Ja sam paranoičan.14
-
34,2%Šifriram samo važne podatke.28
-
14,6%Ponekad šifrujem, ponekad zaboravim.12
-
34,2%Ne, ne šifrujem, to je nezgodno i skupo.28
82 korisnika je glasalo. 22 korisnika su bila uzdržana.
izvor: www.habr.com