Xifratge complet del disc dels sistemes instal·lats Windows Linux. Arrencada múltiple xifrada

Guia pròpia actualitzada per al xifratge de disc complet a RuNet V0.2.

Estratègia de vaquer:

[A] El sistema de Windows 7 bloqueja el xifratge del sistema instal·lat;
[B] Xifratge de blocs del sistema GNU/Linux (Debian) sistema instal·lat (incloent /boot);
[C] Configuració GRUB2, protecció del carregador d'arrencada amb signatura digital/autenticació/hashing;
[D] eliminació: destrucció de dades no xifrades;
[E] còpia de seguretat universal del sistema operatiu xifrat;
[F] atac <a l'element [C6]> objectiu - carregador d'arrencada GRUB2;
[G]documentació útil.

╭───Esquema de la #habitació 40# :
├──╼ Windows 7 instal·lat: xifratge complet del sistema, no amagat;
├──╼ GNU/Linux instal·lat (Debian i distribucions derivades) — xifratge complet del sistema, no amagat(/, inclòs /boot; intercanvi);
├──╼ carregadors d'arrencada independents: el carregador d'arrencada VeraCrypt està instal·lat a l'MBR, el carregador d'arrencada GRUB2 està instal·lat a la partició estesa;
├──╼no cal instal·lació/reinstal·lació del sistema operatiu;
└──╼programari criptogràfic utilitzat: VeraCrypt; Cryptsetup; GnuPG; cavallet de mar; Hashdeep; GRUB2 és gratuït/gratuït.

L'esquema anterior soluciona parcialment el problema de "l'arrencada remota a una unitat flaix", us permet gaudir del sistema operatiu Windows/Linux xifrat i intercanviar dades mitjançant un "canal xifrat" d'un sistema operatiu a un altre.

Ordre d'arrencada del PC (una de les opcions):

• encendre la màquina;
• carregant el carregador d'arrencada VeraCrypt (introduir la contrasenya correcta seguirà arrencant Windows 7);
• prémer la tecla "Esc" carregarà el carregador d'arrencada GRUB2;
• Carregador d'arrencada GRUB2 (seleccioneu la distribució/GNU/Linux/CLI), requerirà l'autenticació del superusuari GRUB2 <inici de sessió/contrasenya>;
• després de l'autenticació correcta i la selecció de la distribució, haureu d'introduir una frase de contrasenya per desbloquejar “/boot/initrd.img”;
• després d'introduir contrasenyes sense errors, GRUB2 "exigirà" una entrada de contrasenya (tercer, contrasenya de la BIOS o contrasenya del compte d'usuari de GNU/Linux, no tenir-ne en compte) per desbloquejar i arrencar el sistema operatiu GNU/Linux, o substitució automàtica d'una clau secreta (dues contrasenyes + clau, o contrasenya + clau);
• una intrusió externa a la configuració de GRUB2 congelarà el procés d'arrencada de GNU/Linux.

Problemàtic? D'acord, anem a automatitzar els processos.

Quan particioneu un disc dur (taula MBR) Un ordinador no pot tenir més de 4 particions principals, o 3 principals i una ampliada, així com una àrea no assignada. Una secció ampliada, a diferència de la principal, pot contenir subseccions (unitats lògiques = partició estesa). En altres paraules, la "partició estesa" de l'HDD substitueix LVM per a la tasca en qüestió: xifratge complet del sistema. Si el vostre disc està dividit en 4 particions principals, heu d'utilitzar lvm o transformar (amb format) secció de principal a avançada, o utilitzeu amb prudència les quatre seccions i deixeu-ho tot tal qual, obtenint el resultat desitjat. Fins i tot si teniu una partició al vostre disc, Gparted us ajudarà a particionar el vostre disc dur (per a seccions addicionals) sense pèrdua de dades, però encara amb una petita penalització per aquestes accions.

L'esquema de disseny del disc dur, en relació amb el qual es verbalitzarà tot l'article, es presenta a la taula següent.

Taula (núm. 1) de particions d'1TB.

També hauríeu de tenir alguna cosa semblant.
sda1 - partició principal núm. 1 NTFS (xifrat);
sda2 - marcador de secció estesa;
sda6 - disc lògic (té instal·lat el carregador d'arrencada GRUB2);
sda8 - intercanvi (fitxer d'intercanvi xifrat/no sempre);
sda9 - prova el disc lògic;
sda5 - disc lògic per als curiosos;
sda7 - SO GNU/Linux (SO transferit a un disc lògic xifrat);
sda3 - partició principal número 2 amb el sistema operatiu Windows 7 (xifrat);
sda4 - secció principal núm. 3 (contenia GNU/Linux sense xifrar, utilitzat per a còpies de seguretat/no sempre).

[A] Xifratge de blocs del sistema de Windows 7

A1. VeraCrypt

Descarrega des de El lloc oficial, o des del mirall fontforge versió d'instal·lació del programari criptogràfic VeraCrypt (en el moment de la publicació de l'article v1.24-Update3, la versió portàtil de VeraCrypt no és adequada per al xifratge del sistema). Comproveu la suma de comprovació del programari descarregat

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

i compareu el resultat amb el CS publicat al lloc web del desenvolupador de VeraCrypt.

Si el programari HashTab està instal·lat, és encara més fàcil: RMB (Configuració de VeraCrypt 1.24.exe)-properties - suma hash dels fitxers.

Per verificar la signatura del programa, el programari i la clau pgp pública del desenvolupador s'han d'instal·lar al sistema gnuPG; gpg4win.

A2. Instal·lació/execució del programari VeraCrypt amb drets d'administrador

A3. Selecció dels paràmetres de xifratge del sistema per a la partició activaVeraCrypt – Sistema – Xifra la partició/disc del sistema – Normal – Xifra la partició del sistema de Windows – Multiboot – (advertència: "No es recomana als usuaris sense experiència que facin servir aquest mètode" i això és cert, acceptem "Sí") - Disc d'arrencada ("sí", encara que no sigui així, encara "sí") – Nombre de discos del sistema “2 o més” – Diversos sistemes en un disc “Sí” – Carregador d'arrencada que no sigui de Windows “No” (de fet, "Sí", però els carregadors d'arrencada VeraCrypt/GRUB2 no compartiran el MBR entre ells; més precisament, només la part més petita del codi del carregador d'arrencada s'emmagatzema a la pista MBR/arrencada, la part principal és situat dins del sistema de fitxers) - Arrancada múltiple - Configuració de xifratge...

Si us desvieu dels passos anteriors (esquemes de xifratge del sistema de bloqueig), aleshores VeraCrypt emetrà un avís i no us permetrà xifrar la partició.

En el següent pas cap a la protecció de dades específica, feu una "prova" i seleccioneu un algorisme de xifratge. Si teniu una CPU obsoleta, el més probable és que l'algoritme de xifratge més ràpid sigui Twofish. Si la CPU és potent, notareu la diferència: el xifratge AES, segons els resultats de la prova, serà diverses vegades més ràpid que els seus competidors criptogràfics. AES és un algorisme de xifratge popular; el maquinari de les CPU modernes està especialment optimitzat tant per a "secrets" com per a "pirateria".

VeraCrypt admet la capacitat de xifrar discs en una cascada AES(Dos peixos)/ i altres combinacions. En una CPU Intel de nucli antic de fa deu anys (sense suport de maquinari per a AES, xifratge en cascada A/T) La disminució del rendiment és essencialment imperceptible. (Per a les CPU AMD de la mateixa època/~paràmetres, el rendiment es redueix lleugerament). El sistema operatiu funciona de manera dinàmica i el consum de recursos per a un xifratge transparent és invisible. En canvi, per exemple, hi ha una disminució notable del rendiment a causa de l'entorn d'escriptori de prova inestable instal·lat Mate v1.20.1 (o v1.20.2 no ho recordo exactament) a GNU/Linux, o a causa del funcionament de la rutina de telemetria a Windows7↑. Normalment, els usuaris experimentats realitzen proves de rendiment del maquinari abans del xifratge. Per exemple, a Aida64/Sysbench/systemd-analyze es compara la culpa amb els resultats de les mateixes proves després de xifrar el sistema, refutant així el mite per si mateixos que "el xifratge del sistema és perjudicial". La desacceleració de la màquina i les molèsties es noten quan es fa una còpia de seguretat/restauració de dades xifrades, perquè l'operació de "còpia de seguretat de dades del sistema" en si no es mesura en ms, i s'afegeixen aquests mateixos <desxifrar/xifrar sobre la marxa>. En definitiva, cada usuari a qui se li permet jugar amb la criptografia equilibra l'algoritme de xifratge amb la satisfacció de les tasques a realitzar, el seu nivell de paranoia i la facilitat d'ús.

És millor deixar el paràmetre PIM per defecte, de manera que en carregar el sistema operatiu no cal que introduïu els valors d'iteració exactes cada vegada. VeraCrypt utilitza un gran nombre d'iteracions per crear un "hash lent". Un atac a aquest "caragol criptogràfic" mitjançant el mètode de les taules de força bruta/arc de Sant Martí només té sentit amb una frase de contrasenya "simple" curta i la llista de caràcters personal de la víctima. El preu a pagar per la seguretat de la contrasenya és un retard en introduir la contrasenya correcta quan es carrega el sistema operatiu. (muntar volums VeraCrypt a GNU/Linux és significativament més ràpid).
Programari lliure per implementar atacs de força bruta (extreu la contrasenya de la capçalera del disc VeraCrypt/LUKS) Hashcat. John the Ripper no sap com "trencar Veracrypt" i quan treballa amb LUKS no entén la criptografia Twofish.

A causa de la força criptogràfica dels algorismes de xifratge, els cypherpunks imparables estan desenvolupant programari amb un vector d'atac diferent. Per exemple, extreure metadades/claus de la memòria RAM (atac d'arrencada en fred/accés directe a memòria), Hi ha programari especialitzat gratuït i no lliure per a aquests propòsits.

Un cop finalitzada la configuració/generació de "metadades úniques" de la partició activa xifrada, VeraCrypt oferirà reiniciar l'ordinador i provar la funcionalitat del seu carregador d'arrencada. Després de reiniciar/iniciar Windows, VeraCrypt es carregarà en mode d'espera, només queda confirmar el procés de xifratge: Y.

En el pas final del xifratge del sistema, VeraCrypt oferirà crear una còpia de seguretat de la capçalera de la partició xifrada activa en forma de "veracrypt rescue disk.iso" - això s'ha de fer - en aquest programari, aquesta operació és un requisit (a LUKS, com a requisit; malauradament s'omet, però es subratlla a la documentació). El disc de rescat serà útil per a tothom, i per a alguns més d'una vegada. Pèrdua (capçalera/reescriptura MBR) una còpia de seguretat de la capçalera denegarà permanentment l'accés a la partició desxifrada amb el sistema operatiu Windows.

A4. Creació d'un USB/disc de rescat VeraCryptPer defecte, VeraCrypt ofereix gravar "~ 2-3 MB de metadades" en un CD, però no totes les persones tenen discs o unitats DWD-ROM, i crear una unitat flaix d'arrencada "VeraCrypt Rescue disc" serà una sorpresa tècnica per a alguns: Rufus /GUIDd-ROSA ImageWriter i un altre programari similar no podran fer front a la tasca, perquè a més de copiar metadades de compensació a una unitat flash d'arrencada, cal copiar/enganxar la imatge fora del sistema de fitxers de la unitat USB, en resum, copieu correctament l'MBR/carretera al clauer. Podeu crear una unitat flaix d'arrencada des del sistema operatiu GNU/Linux utilitzant la utilitat "dd", mirant aquest signe.

Crear un disc de rescat en un entorn Windows és diferent. El desenvolupador de VeraCrypt no va incloure la solució a aquest problema a l'oficial documentació per "disc de rescat", però va proposar una solució d'una manera diferent: va publicar programari addicional per crear un "disc de rescat usb" d'accés gratuït al seu fòrum VeraCrypt. L'arxiver d'aquest programari per a Windows està "creant un disc de rescat usb veracrypt". Després de desar el disc de rescat.iso, començarà el procés de xifratge del sistema de blocs de la partició activa. Durant el xifratge, el funcionament del sistema operatiu no s'atura; no cal reiniciar l'ordinador. Un cop finalitzada l'operació de xifratge, la partició activa es xifra completament i es pot utilitzar. Si el carregador d'arrencada de VeraCrypt no apareix quan inicieu l'ordinador i l'operació de recuperació de la capçalera no ajuda, comproveu la marca d'arrencada, s'ha de configurar a la partició on hi ha Windows. (independentment del xifratge i altres sistemes operatius, vegeu la taula núm. 1).
Això completa la descripció del xifratge del sistema de blocs amb el sistema operatiu Windows.

[B]LUKS. Xifratge GNU/Linux (~Debian) sistema operatiu instal·lat. Algorisme i passos

Per xifrar una distribució Debian/derivada instal·lada, heu de mapejar la partició preparada a un dispositiu de bloc virtual, transferir-la al disc GNU/Linux mapejat i instal·lar/configurar GRUB2. Si no teniu un servidor nu i valoreu el vostre temps, haureu d'utilitzar la GUI i la majoria de les ordres del terminal que es descriuen a continuació estan pensades per executar-se en "mode Chuck-Norris".

B1. Arrencada del PC des de l'usb en directe GNU/Linux

"Feu una prova criptogràfica per al rendiment del maquinari"

lscpu && сryptsetup benchmark

Si sou el feliç propietari d'un cotxe potent amb suport de maquinari AES, els números es veuran com el costat dret del terminal; si sou un propietari feliç, però amb maquinari antic, els números es veuran com el costat esquerre.

B2. Particionament del disc. muntatge/format Fs disc lògic HDD a Ext4 (Gparted)

B2.1. Creació d'una capçalera de partició sda7 xifradaDescriuré els noms de les particions, aquí i més enllà, d'acord amb la meva taula de particions publicada més amunt. Segons la disposició del vostre disc, heu de substituir els noms de les particions.

Mapatge de xifratge de la unitat lògica (/dev/sda7 > /dev/mapper/sda7_crypt).
#Fàcil creació d'una "partició LUKS-AES-XTS"

cryptsetup -v -y luksFormat /dev/sda7

Opcions:

* luksFormat - inicialització de la capçalera LUKS;
* -y -frase de contrasenya (no clau/fitxer);
* -v -verbalització (mostrar informació al terminal);
* /dev/sda7 - el vostre disc lògic de la partició estesa (on està previst transferir/xifrar GNU/Linux).

Algorisme de xifratge per defecte <LUKS1: aes-xts-plain64, clau: 256 bits, hashing de la capçalera LUKS: sha256, RNG: /dev/urandom> (depèn de la versió de cryptsetup).

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

Si no hi ha suport de maquinari per a AES a la CPU, la millor opció seria crear una "partició LUKS-Twofish-XTS" estesa.

B2.2. Creació avançada de "LUKS-Twofish-XTS-partition"

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

Opcions:
* luksFormat - inicialització de la capçalera LUKS;
* /dev/sda7 és el vostre futur disc lògic xifrat;
* -v verbalització;
* frase de contrasenya -y;
* -c seleccionar algorisme de xifratge de dades;
* -s mida de la clau de xifratge;
* -h algorisme hashing/funció de criptografia, RNG utilitzat (--usar-urandom) per generar una clau de xifratge/desxifrat única per a la capçalera del disc lògic, una clau de capçalera secundària (XTS); una clau mestra única emmagatzemada a la capçalera del disc xifrat, una clau XTS secundària, totes aquestes metadades i una rutina de xifratge que, utilitzant la clau mestra i la clau XTS secundària, xifra/desxifra qualsevol dada de la partició. (excepte el títol de la secció) emmagatzemat en ~3MB a la partició del disc dur seleccionada.
* -i iteracions en mil·lisegons, en lloc de "quantitat" (el retard en el processament de la contrasenya afecta la càrrega del sistema operatiu i la força criptogràfica de les claus). Per mantenir un equilibri de força criptogràfica, amb una contrasenya senzilla com "rus" cal augmentar el valor -(i); amb una contrasenya complexa com "?8dƱob/øfh", el valor es pot reduir.
* —usa-generador de números aleatoris aleatoris, genera claus i sal.

Després de mapejar la secció sda7 > sda7_crypt (l'operació és ràpida, ja que es crea una capçalera xifrada amb ~3 MB de metadades i això és tot), heu de formatar i muntar el sistema de fitxers sda7_crypt.

B2.3. Comparació

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

opcions:
* obert - coincideix amb la secció "amb nom";
* /dev/sda7 -disc lògic;
* sda7_crypt - mapeig de noms que s'utilitza per muntar la partició xifrada o inicialitzar-la quan s'inicia el sistema operatiu.

B2.4. Format del sistema de fitxers sda7_crypt a ext4. Muntatge d'un disc al sistema operatiu(Nota: no podreu treballar amb una partició xifrada a Gparted)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt 

opcions:
* -v -verbalització;
* -L - etiqueta de la unitat (que es mostra a l'Explorador entre altres unitats).

A continuació, hauríeu de muntar el dispositiu de bloc xifrat virtual /dev/sda7_crypt al sistema

mount /dev/mapper/sda7_crypt /mnt

Treballar amb fitxers a la carpeta /mnt xifrarà/desxifrarà automàticament les dades a sda7.

És més convenient mapejar i muntar la partició a l'Explorador (nautilus/caja GUI), la partició ja estarà a la llista de selecció de discs, només queda introduir la contrasenya per obrir/desxifrar el disc. El nom coincident es seleccionarà automàticament i no "sda7_crypt", sinó alguna cosa com /dev/mapper/Luks-xx-xx...

B2.5. Còpia de seguretat de la capçalera del disc (~3MB de metadades)Un dels més important operacions que s'han de fer sense demora: una còpia de seguretat de la capçalera "sda7_crypt". Si sobreescriu/danyeu la capçalera (per exemple, instal·lar GRUB2 a la partició sda7, etc.), les dades xifrades es perdran completament sense cap possibilitat de recuperar-les, perquè serà impossible tornar a generar les mateixes claus; les claus es creen de manera única.

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7 

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

opcions:
* luksHeaderBackup —ordre header-backup-file -backup;
* luksHeaderRestore —comandament header-backup-file -restore;
* ~/Backup_DebSHIFR - fitxer de còpia de seguretat;
* /dev/sda7 - partició la còpia de seguretat de la capçalera del disc xifrada s'ha de desar.
En aquest pas s'ha completat la <creació i edició de la partició xifrada>.

B3. Portar el sistema operatiu GNU/Linux (sda4) a una partició xifrada (sda7)

Creeu una carpeta /mnt2 (Nota: encara estem treballant amb usb en directe, sda7_crypt està muntat a /mnt), i munteu el nostre GNU/Linux a /mnt2, que s'ha de xifrar.

mkdir /mnt2
mount /dev/sda4 /mnt2

Realitzem la transferència correcta del sistema operatiu mitjançant el programari Rsync

rsync -avlxhHX --progress /mnt2/ /mnt

Les opcions de Rsync es descriuen al paràgraf E1.

A més, necessari desfragmentar una partició de disc lògic

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

Feu-ne una regla: feu e4defrag en GNU/LINux xifrat de tant en tant si teniu un disc dur.
La transferència i la sincronització [GNU/Linux > GNU/Linux-encrypted] s'han completat en aquest pas.

A les 4. Configuració de GNU/Linux en una partició sda7 xifrada

Després de transferir correctament el sistema operatiu /dev/sda4 > /dev/sda7, heu d'iniciar sessió a GNU/Linux a la partició xifrada i dur a terme una configuració addicional (sense reiniciar el PC) en relació amb un sistema xifrat. És a dir, estar en usb en directe, però executar ordres "relatives a l'arrel del sistema operatiu xifrat". "chroot" simularà una situació similar. Per rebre ràpidament informació sobre quin sistema operatiu esteu treballant actualment (xifrat o no, ja que les dades a sda4 i sda7 estan sincronitzades), desincronitzar el sistema operatiu. Crear als directoris arrel (sda4/sda7_crypt) fitxers de marcadors buits, per exemple, /mnt/encryptedOS i /mnt2/decryptedOS. Comproveu ràpidament en quin sistema operatiu esteu (inclòs per al futur):

ls /<Tab-Tab>

B4.1. "Simulació d'inici de sessió en un sistema operatiu xifrat"

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. Verificar que el treball es realitza amb un sistema xifrat

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. Creació/configuració d'intercanvi xifrat, edició de crypttab/fstabAtès que el fitxer d'intercanvi es formatea cada vegada que s'inicia el sistema operatiu, no té sentit crear i assignar l'intercanvi a un disc lògic ara i escriure ordres com al paràgraf B2.2. Per a l'intercanvi, les seves pròpies claus de xifratge temporals es generaran automàticament a cada inici. Cicle de vida de les claus d'intercanvi: desmuntar/desmuntar la partició d'intercanvi (+ neteja de RAM); o reinicieu el sistema operatiu. Configurant l'intercanvi, obrint el fitxer responsable de la configuració dels dispositius xifrats per blocs (anàleg a un fitxer fstab, però responsable de cripto).

nano /etc/crypttab 

editem

#"nom de destinació" "dispositiu font" "fitxer de claus" "opcions"
swap /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512

Opcions
* swap - nom assignat quan es xifra /dev/mapper/swap.
* /dev/sda8 - utilitzeu la vostra partició lògica per a l'intercanvi.
* /dev/urandom - generador de claus de xifratge aleatòries per a l'intercanvi (amb cada nou arrencada del sistema operatiu, es creen claus noves). El generador /dev/urandom és menys aleatori que /dev/random, després de tot /dev/random s'utilitza quan es treballa en circumstàncies paranoides perilloses. Quan es carrega el sistema operatiu, /dev/random alenteix la càrrega durant diversos ± minuts (vegeu systemd-analyze).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -la partició sap que és swap i té el format "en conseqüència"; algorisme de xifratge.

#Открываем и правим fstab
nano /etc/fstab

editem

# Swap was on / dev / sda8 during installation
/dev/mapper/swap cap swap sw 0 0

/dev/mapper/swap és el nom que es va establir a crypttab.

Intercanvi xifrat alternatiu
Si per algun motiu no voleu renunciar a una partició sencera per a un fitxer d'intercanvi, podeu optar per una manera alternativa i millor: crear un fitxer d'intercanvi en un fitxer en una partició xifrada amb el sistema operatiu.

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

La configuració de la partició d'intercanvi s'ha completat.

B4.4. Configuració de GNU/Linux xifrat (edició de fitxers crypttab/fstab)El fitxer /etc/crypttab, tal com s'ha escrit més amunt, descriu els dispositius de blocs xifrats que es configuren durant l'arrencada del sistema.

#правим /etc/crypttab 
nano /etc/crypttab 

si heu fet coincidir la secció sda7>sda7_crypt com al paràgraf B2.1

# "nom de destinació" "dispositiu font" "fitxer de claus" "opcions"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

si heu fet coincidir la secció sda7>sda7_crypt com al paràgraf B2.2

# "nom de destinació" "dispositiu font" "fitxer de claus" "opcions"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

si heu fet coincidir la secció sda7>sda7_crypt com al paràgraf B2.1 o B2.2, però no voleu tornar a introduir la contrasenya per desbloquejar i arrencar el sistema operatiu, en comptes de la contrasenya podeu substituir una clau secreta/un fitxer aleatori.

# "nom de destinació" "dispositiu font" "fitxer de claus" "opcions"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

Descripció
* cap: informa que quan es carrega el sistema operatiu, cal introduir una contrasenya secreta per desbloquejar l'arrel.
* UUID - identificador de partició. Per saber el vostre DNI, escriviu el terminal (recordeu que a partir d'aquest moment, esteu treballant en un terminal en un entorn chroot, i no en un altre terminal USB en directe).

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное 

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

aquesta línia és visible quan es sol·licita blkid des del terminal USB en directe amb sda7_crypt muntat).
Agafeu l'UUID del vostre sdaX (no sdaX_crypt!, UUID sdaX_crypt - es deixarà automàticament quan es generi la configuració grub.cfg).
* xifrat=twofish-xts-plain64,size=512,hash=sha512 -luks encriptació en mode avançat.
* /etc/skey - fitxer de clau secreta, que s'insereix automàticament per desbloquejar l'arrencada del sistema operatiu (en lloc d'introduir la 3a contrasenya). Podeu especificar qualsevol fitxer de fins a 8 MB, però les dades es llegiran <1 MB.

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7 

Es veurà com això:

(fes-ho tu mateix i comprova-ho tu mateix).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab conté informació descriptiva sobre diversos sistemes de fitxers.

#Правим /etc/fstab
nano /etc/fstab

# "sistema de fitxers" "punt de muntatge" "tipus" "opcions" "bocament" "passar"
# / Was on / dev / sda7 during installation
/dev/mapper/sda7_crypt / ext4 errors=remount-ro 0 1

opció
* /dev/mapper/sda7_crypt - el nom de l'assignació sda7>sda7_crypt, que s'especifica al fitxer /etc/crypttab.
La configuració de crypttab/fstab s'ha completat.

B4.5. Edició de fitxers de configuració. Moment clauB4.5.1. Editant la configuració /etc/initramfs-tools/conf.d/resume

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

i comentar (si existeix) Línia "#" "currículum". El fitxer ha d'estar completament buit.

B4.5.2. Editant la configuració /etc/initramfs-tools/conf.d/cryptsetup

nano /etc/initramfs-tools/conf.d/cryptsetup

hauria de coincidir

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=sí
exportar CRYPTSETUP

B4.5.3. Editant la configuració de /etc/default/grub (aquesta configuració és responsable de la capacitat de generar grub.cfg quan es treballa amb /boot xifrat)

nano /etc/default/grub

afegiu la línia "GRUB_ENABLE_CRYPTODISK=y"
el valor 'y', grub-mkconfig i grub-install comprovaran les unitats xifrades i generaran ordres addicionals necessàries per accedir-hi en el moment de l'arrencada (insmods ).
hi ha d'haver una semblança

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=proveïdor"
GRUB_CMDLINE_LINUX="quiet splash noautomount"
GRUB_ENABLE_CRYPTODISK=y

B4.5.4. Editant la configuració /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

comproveu que la línia comentat <#>.
En el futur (i fins i tot ara, aquest paràmetre no tindrà cap significat, però de vegades interfereix amb l'actualització de la imatge initrd.img).

B4.5.5. Editant la configuració /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

afegir

KEYFILE_PATTERN="/etc/skey"
UMASK=0077

Això empaquetarà la clau secreta "skey" a initrd.img, la clau és necessària per desbloquejar l'arrel quan arrenqui el sistema operatiu. (si no voleu tornar a introduir la contrasenya, la clau "skey" substitueix el cotxe).

B4.6. Actualitza /boot/initrd.img [versió]Per empaquetar la clau secreta a initrd.img i aplicar les correccions de cryptsetup, actualitzeu la imatge

update-initramfs -u -k all

en actualitzar initrd.img (com diuen "És possible, però no és segur") apareixeran advertències relacionades amb cryptsetup o, per exemple, una notificació sobre la pèrdua de mòduls Nvidia, això és normal. Després d'actualitzar el fitxer, comproveu que s'ha actualitzat realment, consulteu l'hora (relatiu a l'entorn chroot./boot/initrd.img). Atenció! abans de [update-initramfs -u -k all], assegureu-vos de comprovar que cryptsetup estigui obert /dev/sda7 sda7_crypt - aquest és el nom que apareix a /etc/crypttab, en cas contrari després de reiniciar hi haurà un error de busybox)
En aquest pas, s'ha completat la configuració dels fitxers de configuració.

[C] Instal·lació i configuració de GRUB2/Protection

C1. Si cal, formateu la partició dedicada per al carregador d'arrencada (una partició necessita almenys 20 MB)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. Munta /dev/sda6 a /mntAixí que treballem a chroot, llavors no hi haurà cap directori /mnt2 a l'arrel i la carpeta /mnt estarà buida.
muntar la partició GRUB2

mount /dev/sda6 /mnt

Si teniu instal·lada una versió anterior de GRUB2, al directori /mnt/boot/grub/i-386-pc (És possible una altra plataforma, per exemple, no "i386-pc") sense mòduls criptogràfics (en resum, la carpeta hauria de contenir mòduls, inclosos aquests .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), en aquest cas, cal sacsejar GRUB2.

apt-get update
apt-get install grub2 

Important! Quan actualitzeu el paquet GRUB2 des del repositori, quan us pregunteu "sobre l'elecció" on instal·lar el carregador d'arrencada, heu de rebutjar la instal·lació. (motiu - intenteu instal·lar GRUB2 - a "MBR" o a usb en directe). En cas contrari, danyareu la capçalera/carregador de VeraCrypt. Després d'actualitzar els paquets GRUB2 i cancel·lar la instal·lació, el carregador d'arrencada s'ha d'instal·lar manualment al disc lògic, i no a l'MBR. Si el vostre dipòsit té una versió obsoleta de GRUB2, proveu-ho actualitzar és del lloc web oficial; no l'he comprovat (va treballar amb els darrers carregadors d'arrencada de GRUB 2.02 ~BetaX).

C3. Instal·lació de GRUB2 en una partició estesa [sda6]Heu de tenir una partició muntada [element C.2]

grub-install --force --root-directory=/mnt /dev/sda6

opcions
* —force - instal·lació del carregador d'arrencada, obviant tots els avisos que gairebé sempre existeixen i bloquejant la instal·lació (bandera obligatòria).
* --root-directory - instal·lació del directori a l'arrel de sda6.
* /dev/sda6 - la vostra partició sdaХ (no us perdeu l'<espai> entre /mnt /dev/sda6).

C4. Creació d'un fitxer de configuració [grub.cfg]Oblideu-vos de l'ordre "update-grub2" i utilitzeu l'ordre de generació del fitxer de configuració completa

grub-mkconfig -o /mnt/boot/grub/grub.cfg

després de completar la generació/actualització del fitxer grub.cfg, el terminal de sortida hauria de contenir línies amb el sistema operatiu que es troba al disc. ("grub-mkconfig" probablement trobarà i recollirà el sistema operatiu des d'un usb en directe, si teniu una unitat flaix d'arrencada múltiple amb Windows 10 i un munt de distribucions en directe, això és normal). Si el terminal està "buit" i el fitxer "grub.cfg" no es genera, aquest és el mateix cas quan hi ha errors GRUB al sistema (i molt probablement el carregador de la branca de prova del dipòsit), torneu a instal·lar GRUB2 des de fonts de confiança.
La instal·lació de la "configuració simple" i la configuració de GRUB2 s'han completat.

C5. Prova de prova del sistema operatiu GNU/Linux xifratCompletem la missió criptogràfica correctament. Deixant amb cura el GNU/Linux xifrat (sortir de l'entorn chroot).

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

Després de reiniciar l'ordinador, s'hauria de carregar el carregador d'arrencada VeraCrypt.


*En introduir la contrasenya per a la partició activa començarà a carregar Windows.
*Premeu la tecla "Esc" es transferirà el control a GRUB2, si seleccioneu GNU/Linux xifrat: caldrà una contrasenya (sda7_crypt) per desbloquejar /boot/initrd.img (si grub2 escriu uuid "not found" - això és un problema amb el carregador d'arrencada grub2, s'hauria de tornar a instal·lar, per exemple, des de la branca de prova/estable, etc.).


*Depenent de com hàgiu configurat el sistema (vegeu el paràgraf B4.4/4.5), després d'introduir la contrasenya correcta per desbloquejar la imatge /boot/initrd.img, necessitareu una contrasenya per carregar el kernel/root del sistema operatiu, o el secret La clau es substituirà automàticament per "skey", eliminant la necessitat de tornar a introduir la contrasenya.

(pantalla “substitució automàtica d'una clau secreta”).

*A continuació, seguirà el procés familiar de càrrega de GNU/Linux amb l'autenticació del compte d'usuari.


*Després de l'autorització de l'usuari i iniciar sessió al sistema operatiu, cal que torneu a actualitzar /boot/initrd.img (vegeu B4.6).

update-initramfs -u -k all

I en cas de línies extra al menú GRUB2 (des de la recollida OS-m amb usb en directe) desfer-se'n

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

Un breu resum del xifratge del sistema GNU/Linux:

• GNU/Linuxinux està totalment xifrat, incloent /boot/kernel i initrd;
• la clau secreta està empaquetada a initrd.img;
• règim d'autorització vigent (introduint la contrasenya per desbloquejar l'initrd; contrasenya/clau per arrencar el sistema operatiu; contrasenya per autoritzar el compte Linux).

S'ha completat el xifratge del sistema "Configuració GRUB2 simple" de la partició de blocs.

C6. Configuració avançada de GRUB2. Protecció del carregador d'arrencada amb signatura digital + protecció d'autenticacióGNU/Linux està completament xifrat, però el carregador d'arrencada no es pot xifrar; aquesta condició la dicta la BIOS. Per aquest motiu, no és possible una arrencada xifrada encadenada de GRUB2, però sí que és possible/disponible una arrencada encadenada senzilla, però des del punt de vista de la seguretat no és necessari [vegeu P. F].
Per al GRUB2 "vulnerable", els desenvolupadors van implementar un algorisme de protecció del carregador d'arrencada "signatura/autenticació".

• Quan el carregador d'arrencada està protegit per "la seva pròpia signatura digital", la modificació externa dels fitxers o l'intent de carregar mòduls addicionals en aquest carregador d'arrencada provocarà el bloqueig del procés d'arrencada.
• Quan es protegeix el carregador d'arrencada amb autenticació, per seleccionar la càrrega d'una distribució o introduir ordres addicionals a la CLI, haurà d'introduir l'inici de sessió i la contrasenya del superusuari-GRUB2.

C6.1. Protecció d'autenticació del carregador d'arrencadaComproveu que esteu treballant en un terminal amb un sistema operatiu xifrat

ls /<Tab-Tab> #обнаружить файл-маркер

creeu una contrasenya de superusuari per a l'autorització a GRUB2

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. 

Obteniu el hash de la contrasenya. Alguna cosa com això

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

muntar la partició GRUB

mount /dev/sda6 /mnt 

editar la configuració

nano -$ /mnt/boot/grub/grub.cfg 

comproveu la cerca de fitxers que no hi hagi cap marca enlloc a "grub.cfg" ("-unrestricted" "-user",
afegir al final (abans de la línia ### END /etc/grub.d/41_custom ###)
"establir superusuaris="arrel"
password_pbkdf2 hash root."

Hauria de ser una cosa així

# Aquest fitxer proporciona una manera senzilla d'afegir entrades de menú personalitzades. Simplement escriviu el
# entrades de menú que voleu afegir després d'aquest comentari. Aneu amb compte de no canviar
# The 'exec tail' line above.
### FIN /etc/grub.d/40_custom ###

### BEGIN /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; aleshores
font ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; aleshores
font $prefix/custom.cfg;
fi
establir superusuaris="arrel"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### FIN /etc/grub.d/41_custom ###
#

Si utilitzeu sovint l'ordre "grub-mkconfig -o /mnt/boot/grub/grub.cfg" i no voleu fer canvis a grub.cfg cada vegada, introduïu les línies anteriors (Inici de sessió: Contrasenya) a l'script d'usuari GRUB a la part inferior

nano /etc/grub.d/41_custom 

gat <<EOF
establir superusuaris="arrel"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

Quan es genera la configuració "grub-mkconfig -o /mnt/boot/grub/grub.cfg", les línies responsables de l'autenticació s'afegiran automàticament a grub.cfg.
Aquest pas completa la configuració de l'autenticació GRUB2.

C6.2. Protecció del carregador d'arrencada amb signatura digitalSe suposa que ja teniu la vostra clau de xifratge pgp personal (o crear una clau). El sistema ha de tenir instal·lat el programari criptogràfic: gnuPG; kleopatra/GPA; Cavallet de mar. El programari de criptografia us farà la vida molt més fàcil en tots aquests assumptes. Seahorse - versió estable del paquet 3.14.0 (les versions superiors, per exemple, V3.20, són defectuoses i tenen errors importants).

La clau PGP s'ha de generar/llançar/afegir només a l'entorn su!

Generar clau de xifratge personal

gpg - -gen-key

Exporta la teva clau

gpg --export -o ~/perskey

Munteu el disc lògic al sistema operatiu si encara no està muntat

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

netejar la partició GRUB2

rm -rf /mnt/

Instal·leu GRUB2 a sda6, posant la vostra clau privada a la imatge principal de GRUB "core.img"

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

opcions
* --force - instal·leu el carregador d'arrencada, obviant tots els avisos que sempre existeixen (bandera obligatòria).
* —modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - indica a GRUB2 que carregui prèviament els mòduls necessaris quan s'iniciï l'ordinador.
* -k ~/perskey -path a la "clau PGP" (després d'empaquetar la clau a la imatge, es pot suprimir).
* --root-directory -estableix el directori d'arrencada a l'arrel de sda6
/dev/sda6 - la vostra partició sdaX.

Generant/actualitzant grub.cfg

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

Afegiu la línia "trust /boot/grub/perskey" al final del fitxer "grub.cfg" (forzar l'ús de la clau pgp.) Com que hem instal·lat GRUB2 amb un conjunt de mòduls, inclòs el mòdul de signatura "signature_test.mod", això elimina la necessitat d'afegir ordres com "set check_signatures=enforce" a la configuració.

Hauria de semblar una cosa així (línies finals al fitxer grub.cfg)

### BEGIN /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; aleshores
font ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; aleshores
font $prefix/custom.cfg;
fi
confiar en /boot/grub/perskey
establir superusuaris="arrel"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### FIN /etc/grub.d/41_custom ###
#

El camí a "/boot/grub/perskey" no ha d'apuntar a una partició de disc específica, per exemple hd0,6; per al propi carregador d'arrencada, "arrel" és el camí predeterminat de la partició on està instal·lat GRUB2. (vegeu putrefacció=..).

Signatura GRUB2 (tots els fitxers de tots els directoris /GRUB) amb la teva clau "perskey".
Una solució senzilla sobre com signar (per a nautilus/caja explorer): instal·leu l'extensió "caballet de mar" per a l'Explorador des del dipòsit. La vostra clau s'ha d'afegir a l'entorn su.
Obriu l'Explorador amb el signe sudo "/mnt/boot" - RMB. A la pantalla es veu així

La clau en si és "/mnt/boot/grub/perskey" (copiar al directori grub) també s'ha de signar amb la seva pròpia signatura. Comproveu que les signatures del fitxer [*.sig] apareguin al directori/subdirectoris.
Utilitzant el mètode descrit anteriorment, signeu "/boot" (el nostre nucli, initrd). Si el vostre temps val alguna cosa, aquest mètode elimina la necessitat d'escriure un script bash per signar "molts fitxers".

Per eliminar totes les signatures del carregador d'arrencada (si alguna cosa va sortir malament)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

Per no signar el carregador d'arrencada després d'actualitzar el sistema, congelem tots els paquets d'actualització relacionats amb GRUB2.

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

En aquest pas <protegir el carregador d'arrencada amb signatura digital> s'ha completat la configuració avançada de GRUB2.

C6.3. Prova de prova del carregador d'arrencada GRUB2, protegit per signatura digital i autenticacióGRUB2. En seleccionar qualsevol distribució GNU/Linux o entrar a la CLI (línia d'ordres) Caldrà autorització de superusuari. Després d'introduir el nom d'usuari/contrasenya correcte, necessitareu la contrasenya initrd

Captura de pantalla de l'autenticació correcta del superusuari GRUB2.

Si manipuleu algun dels fitxers GRUB2/faeu canvis a grub.cfg, o suprimiu el fitxer/signatura, o carregueu un module.mod maliciós, apareixerà un avís corresponent. GRUB2 posarà en pausa la càrrega.

Captura de pantalla, un intent d'interferir amb GRUB2 "des de fora".

Durant l'arrencada "normal" "sense intrusió", l'estat del codi de sortida del sistema és "0". Per tant, es desconeix si la protecció funciona o no (és a dir, "amb o sense protecció de signatura del carregador d'arrencada" durant la càrrega normal, l'estat és el mateix "0"; això és dolent).

Com comprovar la protecció de la signatura digital?

Una manera incòmode de comprovar: falsificar/eliminar un mòdul utilitzat per GRUB2, per exemple, eliminar la signatura luks.mod.sig i obtenir un error.

La manera correcta: aneu a la CLI del carregador d'arrencada i escriviu l'ordre

trust_list

Com a resposta, hauríeu de rebre una empremta digital "perskey"; si l'estat és "0", la protecció de signatura no funciona, comproveu el paràgraf C6.2.
En aquest pas, s'ha completat la configuració avançada "Protegint GRUB2 amb signatura digital i autenticació".

C7 Mètode alternatiu per protegir el carregador d'arrencada GRUB2 mitjançant hashingEl mètode "Protecció/autenticació del carregador d'arrencada de CPU" descrit anteriorment és un clàssic. A causa de les imperfeccions de GRUB2, en condicions paranoides és susceptible a un atac real, que donaré a continuació en el paràgraf [F]. A més, després d'actualitzar el sistema operatiu/nucli, el carregador d'arrencada s'ha de tornar a signar.

Protecció del carregador d'arrencada GRUB2 mitjançant hashing

Avantatges respecte als clàssics:

• Major nivell de fiabilitat (El hash/verificació només es realitza des d'un recurs local xifrat. Tota la partició assignada sota GRUB2 està controlada per qualsevol canvi, i tota la resta està xifrada; en l'esquema clàssic amb protecció/autenticació del carregador de CPU, només es controlen els fitxers, però no són gratuïts. espai, en el qual es pot afegir “alguna cosa” quelcom sinistre”).
• Registre xifrat (a l'esquema s'afegeix un registre personal encriptat llegible per humans).
• Accelerar (la protecció/verificació d'una partició sencera assignada per a GRUB2 es produeix gairebé a l'instant).
• Automatització de tots els processos criptogràfics.

Desavantatges respecte als clàssics.

• Falsificació de signatura (teòricament, és possible trobar una col·lisió de funció hash determinada).
• Augment del nivell de dificultat (en comparació amb el clàssic, calen una mica més d'habilitats en el sistema operatiu GNU/Linux).

Com funciona la idea de hash GRUB2/partició

La partició GRUB2 està "signada"; quan s'inicia el sistema operatiu, la partició del carregador d'arrencada es comprova la immutabilitat, seguida de la sessió en un entorn segur (xifrat). Si el carregador d'arrencada o la seva partició està compromesa, a més del registre d'intrusions, s'inicia el següent:

Cosa.

Una comprovació similar es produeix quatre vegades al dia, que no carreguen recursos del sistema.
Mitjançant l'ordre "-$ check_GRUB", es produeix una comprovació instantània en qualsevol moment sense registrar, però amb la sortida d'informació a la CLI.
Mitjançant l'ordre "-$ sudo signature_GRUB", el carregador/partició d'arrencada GRUB2 es torna a signar instantàniament i el seu registre actualitzat (necessari després de l'actualització del sistema operatiu/d'arrencada) i la vida continua.

Implementació d'un mètode hash per al carregador d'arrencada i la seva secció

0) Signem el carregador d'arrencada/partició GRUB muntant-lo primer a /media/nom d'usuari

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) Creem un script sense extensió a l'arrel del sistema operatiu xifrat ~/podpis, apliquem els drets de seguretat 744 necessaris i la protecció infal·lible.

Omplint el seu contingut

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

Executeu l'script des de su, es comprovarà el hash de la partició GRUB i el seu carregador d'arrencada, deseu el registre.

Creem o copiem, per exemple, un "fitxer maliciós" [virus.mod] a la partició GRUB2 i executem una exploració/prova temporal:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

El CLI ha de veure una invasió de la nostra -ciutadella-#Trimmed inici de sessió a la CLI

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

#Com podeu veure, apareix "Fitxers moguts: 1 i l'auditoria ha fallat", la qual cosa significa que la comprovació ha fallat.
A causa de la naturalesa de la partició que s'està provant, en lloc de "S'han trobat fitxers nous" > "Fitxers moguts"

2) Poseu el gif aquí > ~/warning.gif, establiu els permisos a 744.

3) Configuració de fstab per muntar automàticament la partició GRUB a l'arrencada

-$ sudo nano /etc/fstab

LABEL=GRUB /media/nom d'usuari/GRUB ext4 per defecte 0 0

4) Girant el registre

-$ sudo nano /etc/logrotate.d/podpis 

/var/log/podpis.txt {
diari
rotate juliol
mida 5M
datatext
comprimir
retardar la compressió
olddir /var/log/old
}

/var/log/vtorjenie.txt {
mensual
rotate juliol
mida 5M
datatext
olddir /var/log/old
}

5) Afegeix una feina a cron

-$ sudo crontab -e

reiniciar '/subscripció'
0 */6 * * * '/podpis

6) Creació d'àlies permanents

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

Després de l'actualització del sistema operatiu -$ apt-get upgrade torneu a signar la nostra partició GRUB
-$ подпись_GRUB
En aquest punt, la protecció hashing de la partició GRUB s'ha completat.

[D] Esborrat: destrucció de dades no xifrades

Elimineu els vostres fitxers personals tan completament que "ni Déu els pugui llegir", segons el portaveu de Carolina del Sud, Trey Gowdy.

Com és habitual, hi ha diversos “mites i llegendes", sobre la restauració de dades després d'haver-se esborrat d'un disc dur. Si creus en la ciberbruixeria, o ets membre de la comunitat web de Dr i no has provat mai la recuperació de dades després d'haver-les esborrat/sobreescrit (per exemple, recuperació mitjançant R-studio), aleshores és poc probable que el mètode proposat us convingui, utilitzeu el que us sigui més proper.

Després de transferir GNU/Linux amb èxit a una partició xifrada, la còpia antiga s'ha de suprimir sense possibilitat de recuperació de dades. Mètode de neteja universal: programari per a programari GUI gratuït de Windows/Linux BleachBit.
Ràpid donar format a la secció, les dades sobre les quals cal destruir (a través de Gparted) inicieu BleachBit, seleccioneu "Neteja espai lliure" - seleccioneu la partició (el vostre sdaX amb una còpia anterior de GNU/Linux), s'iniciarà el procés de desmuntatge. BleachBit: neteja el disc d'una sola passada, això és el que "necessitem", però! Això només funciona en teoria si heu format el disc i l'heu netejat amb el programari BB v2.0.

Atenció! BB esborra el disc, deixant les metadades; els noms dels fitxers es conserven quan s'eliminen les dades (Ccleaner - no deixa metadades).

I el mite sobre la possibilitat de la recuperació de dades no és del tot un mite.Bleachbit V2.0-2 antic paquet Debian del sistema operatiu inestable (i qualsevol altre programari semblant: sfill; wipe-Nautilus - també es va notar en aquest negoci brut) en realitat tenia un error crític: la funció "buida d'espai lliure". funciona incorrectament en unitats HDD/Flash (ntfs/ext4). El programari d'aquest tipus, quan esborra espai lliure, no sobreescriu tot el disc, com pensen molts usuaris. I alguns (molt de) El sistema operatiu/programari de dades suprimides considera aquestes dades com a dades d'usuari/no s'han suprimit i, quan es neteja "OSP", omet aquests fitxers. El problema és que després de tant de temps, netejar el disc "Fitxers suprimits" es poden recuperar fins i tot després de 3 passades o més d'esborrar el disc.
A GNU/Linux a Bleachbit 2.0-2 Les funcions d'eliminació permanent de fitxers i directoris funcionen de manera fiable, però no esborran espai lliure. Per comparar: a Windows a CCleaner, la funció "OSP per a ntfs" funciona correctament, i Déu realment no podrà llegir les dades esborrades.

I així, per eliminar-ho a fons "comprometidor" dades antigues sense xifrar, Bleachbit necessita accés directe a aquestes dades, a continuació, utilitzeu la funció "suprimir fitxers/directoris permanentment".
Per eliminar "fitxers suprimits amb eines estàndard del sistema operatiu" a Windows, utilitzeu CCleaner/BB amb la funció "OSP". A GNU/Linux sobre aquest problema (suprimir fitxers esborrats) has de practicar pel teu compte (suprimir dades + un intent independent de restaurar-les i no hauríeu de confiar en la versió del programari (si no és un marcador, llavors un error)), només en aquest cas podreu entendre el mecanisme d'aquest problema i desfer-vos completament de les dades esborrades.

No he provat Bleachbit v3.0, és possible que el problema ja s'hagi solucionat.
Bleachbit v2.0 funciona amb honestedat.

En aquest pas, s'ha completat l'esborrat del disc.

[E] Còpia de seguretat universal del sistema operatiu xifrat

Cada usuari té el seu propi mètode per fer una còpia de seguretat de les dades, però les dades xifrades del sistema operatiu del sistema requereixen un enfocament lleugerament diferent de la tasca. El programari unificat, com ara Clonezilla i programari similar, no pot funcionar directament amb dades xifrades.

Declaració del problema de fer còpies de seguretat de dispositius de blocs xifrats:

1. universalitat: el mateix algorisme/programari de còpia de seguretat per a Windows/Linux;
2. la possibilitat de treballar a la consola amb qualsevol USB en directe GNU/Linux sense necessitat de descàrregues de programari addicionals (però encara recomano GUI);
3. seguretat de les còpies de seguretat: les "imatges" emmagatzemades s'han de xifrar/protegir amb contrasenya;
4. la mida de les dades xifrades ha de correspondre a la mida de les dades reals que s'estan copiant;
5. extracció còmoda dels fitxers necessaris d'una còpia de seguretat (cap requisit de desxifrar tota la secció primer).

Per exemple, còpia de seguretat/restauració mitjançant la utilitat "dd".

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

Correspon a gairebé tots els punts de la tasca, però segons el punt 4 no suporta les crítiques, ja que copia tota la partició del disc, inclòs l'espai lliure, no és interessant.

Per exemple, una còpia de seguretat de GNU/Linux mitjançant l'arxivador [tar" | gpg] és convenient, però per a la còpia de seguretat de Windows heu de buscar una altra solució; no és interessant.

E1. Còpia de seguretat universal de Windows/Linux. Enllaça rsync (Grsync) + volum VeraCryptAlgorisme per crear una còpia de seguretat:

1. creant un contenidor xifrat (volum/fitxer) VeraCrypt per al sistema operatiu;
2. transferir/sincronitzar el sistema operatiu mitjançant el programari Rsync al contenidor criptogràfic VeraCrypt;
3. si cal, pujant el volum VeraCrypt a www.

La creació d'un contenidor VeraCrypt xifrat té les seves pròpies característiques:
creant un volum dinàmic (la creació de DT només està disponible a Windows, també es pot utilitzar a GNU/Linux);
creant un volum normal, però hi ha un requisit d'un "caràcter paranoic" (segons el desenvolupador) – format del contenidor.

A Windows es crea un volum dinàmic gairebé a l'instant, però en copiar dades de GNU/Linux > VeraCrypt DT, el rendiment global de l'operació de còpia de seguretat disminueix significativament.

Es crea un volum normal de Twofish de 70 GB (diguem que, de mitjana, potència de l'ordinador) a HDD ~ en mitja hora (sobreescriure les dades del contenidor anterior en una sola passada es deu als requisits de seguretat). La funció de formatar ràpidament un volum en crear-lo s'ha eliminat de VeraCrypt Windows/Linux, de manera que la creació d'un contenidor només és possible mitjançant la "reescriptura d'un sol pas" o la creació d'un volum dinàmic de baix rendiment.

Creeu un volum VeraCrypt normal (no dinàmic/ntfs), no hi hauria d'haver cap problema.

Configurar/crear/obrir un contenidor a VeraCrypt GUI> GNU/Linux live usb (el volum es muntarà automàticament a /media/veracrypt2, el volum del sistema operatiu Windows es muntarà a /media/veracrypt1). Creació d'una còpia de seguretat xifrada del sistema operatiu Windows mitjançant GUI rsync (grsync)marcant les caselles.

Espereu que finalitzi el procés. Un cop finalitzada la còpia de seguretat, tindrem un fitxer xifrat.

De la mateixa manera, creeu una còpia de seguretat del sistema operatiu GNU/Linux desmarcant la casella de selecció "Compatibilitat amb Windows" a la GUI de rsync.

Atenció! creeu un contenidor Veracrypt per a la "còpia de seguretat de GNU/Linux" al sistema de fitxers ext4. Si feu una còpia de seguretat en un contenidor ntfs, quan restaureu aquesta còpia, perdreu tots els drets/grups de totes les vostres dades.

Podeu realitzar totes les operacions al terminal. Opcions bàsiques per a rsync:
* -g -guarda grups;
* -P —progrés — estat del temps dedicat a treballar en el fitxer;
* -H - copia els enllaços durs tal com estan;
* -a -mode d'arxiu (diverses banderes rlptgoD);
* -v -verbalització.

Si voleu muntar un "volum de Windows VeraCrypt" mitjançant la consola al programari cryptsetup, podeu crear un àlies (su)

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

Ara, l'ordre "veramount pictures" us demanarà que introduïu una frase de contrasenya i el volum del sistema Windows xifrat es muntarà al sistema operatiu.

Assigna/munta el volum del sistema VeraCrypt a l'ordre cryptsetup

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

Assigna/munta la partició/contenidor VeraCrypt a l'ordre cryptsetup

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

En lloc d'àlies, afegirem (un script per a l'inici) un volum del sistema amb el sistema operatiu Windows i un disc lògic xifrat ntfs a l'inici de GNU/Linux

Creeu un script i deseu-lo a ~/VeraOpen.sh

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

Distribuïm els drets "correctes":

sudo chmod 100 /VeraOpen.sh

Creeu dos fitxers idèntics (mateix nom!) a /etc/rc.local i ~/etc/init.d/rc.local
Omplint els arxius

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

Distribuïm els drets "correctes":

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local 

Això és tot, ara en carregar GNU/Linux no cal que introduïm contrasenyes per muntar discos ntfs xifrats, els discos es munten automàticament.

Una nota breument sobre el que es descriu anteriorment al paràgraf E1 pas a pas (però ara per al sistema operatiu GNU/Linux)
1) Creeu un volum a fs ext4 > 4gb (per a fitxer) Linux a Veracrypt [Cryptbox].
2) Reinicieu per viure USB.
3) ~$ cryptsetup obert /dev/sda7 Lunux #mapping partició xifrada.
4) ~$ muntar /dev/mapper/Linux /mnt #muntar la partició xifrada a /mnt.
5) ~$ mkdir mnt2 #creació d'un directori per a una còpia de seguretat futura.
6) ~$ cryptsetup obert —veracrypt —escriviu tcrypt ~/CryptoBox CryptoBox && muntar /dev/mapper/CryptoBox /mnt2 #Mapegeu un volum de Veracrypt anomenat "CryptoBox" i munteu el CryptoBox a /mnt2.
7) ~$ rsync -avlxhHX —progress /mnt /mnt2/ #operació de còpia de seguretat d'una partició xifrada a un volum Veracrypt xifrat.

(p/s/ Atenció! Si esteu transferint GNU/Linux xifrat d'una arquitectura/màquina a una altra, per exemple, Intel > AMD (és a dir, desplegant una còpia de seguretat d'una partició xifrada a una altra partició xifrada Intel > AMD), No oblidis Després de transferir el sistema operatiu xifrat, potser editeu la clau substitutiva secreta en lloc de la contrasenya. la clau anterior ~/etc/skey - ja no s'adaptarà a una altra partició xifrada, i no és recomanable crear una nova clau "cryptsetup luksAddKey" des de sota chroot - és possible un error, només a ~/etc/crypttab especificar en lloc de "/etc/skey" temporalment "cap" ", després de reiniciar i iniciar sessió al sistema operatiu, torneu a crear la vostra clau comodí secreta).

Com a veterans de TI, recordeu fer còpies de seguretat per separat de les capçaleres de les particions xifrades del sistema operatiu Windows/Linux, o el xifratge es tornarà en contra vostre.
En aquest pas, s'ha completat la còpia de seguretat del sistema operatiu xifrat.

[F] Atac al carregador d'arrencada GRUB2

DetallsSi heu protegit el vostre carregador d'arrencada amb una signatura digital i/o autenticació (vegeu el punt C6.), això no protegirà contra l'accés físic. Les dades xifrades encara seran inaccessibles, però la protecció es saltarà (restableix la protecció de signatura digital) GRUB2 permet a un ciberdolà injectar el seu codi al carregador d'arrencada sense aixecar sospita (tret que l'usuari controli manualment l'estat del carregador d'arrencada, o que tingui el seu propi codi d'script arbitrari robust per a grub.cfg).

Algorisme d'atac. Intrús

* Arranca el PC des de l'usb en directe. Qualsevol canvi (infractor) els fitxers notificaran al propietari real de l'ordinador sobre la intrusió al carregador d'arrencada. Però una simple reinstal·lació de GRUB2 conservant grub.cfg (i la posterior capacitat d'editar-lo) permetrà a un atacant editar qualsevol fitxer (en aquesta situació, en carregar GRUB2, no es notificarà a l'usuari real. L'estat és el mateix <0>)
* Munta una partició no xifrada, emmagatzema "/mnt/boot/grub/grub.cfg".
* Reinstal·la el carregador d'arrencada (eliminant "perskey" de la imatge core.img)

grub-install --force --root-directory=/mnt /dev/sda6

* Retorna “grub.cfg” > “/mnt/boot/grub/grub.cfg”, l'edita si cal, per exemple, afegint el vostre mòdul “keylogger.mod” a la carpeta amb mòduls de càrrega, a “grub.cfg” > línia "insmod keylogger". O, per exemple, si l'enemic és astut, després de tornar a instal·lar GRUB2 (totes les signatures romanen al seu lloc) crea la imatge principal de GRUB2 utilitzant "grub-mkimage amb l'opció (-c)." L'opció "-c" us permetrà carregar la vostra configuració abans de carregar el "grub.cfg" principal. La configuració pot consistir en una sola línia: redirecció a qualsevol "modern.cfg", barrejat, per exemple, amb ~400 fitxers (mòduls + signatures) a la carpeta "/boot/grub/i386-pc". En aquest cas, un atacant pot inserir codi arbitrari i carregar mòduls sense afectar "/boot/grub/grub.cfg", fins i tot si l'usuari ha aplicat "hashsum" al fitxer i l'ha mostrat temporalment a la pantalla.
Un atacant no haurà de piratejar l'inici de sessió/contrasenya del superusuari de GRUB2; només haurà de copiar les línies (responsable de l'autenticació) "/boot/grub/grub.cfg" al vostre "modern.cfg"

establir superusuaris="arrel"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

I el propietari de l'ordinador encara s'autenticarà com a superusuari de GRUB2.

Càrrega en cadena (el carregador d'arrencada carrega un altre carregador d'arrencada), com he escrit més amunt, no té sentit (està pensat per a una finalitat diferent). El carregador d'arrencada xifrat no es pot carregar a causa de la BIOS (l'arrencada en cadena reinicia GRUB2 > GRUB2 xifrat, error!). Tanmateix, si encara feu servir la idea de la càrrega en cadena, podeu estar segur que és el xifrat el que s'està carregant. (no modernitzat) "grub.cfg" de la partició xifrada. I això també és una falsa sensació de seguretat, perquè tot el que s'indica en el xifrat "grub.cfg" (càrrega de mòduls) s'afegeix als mòduls que es carreguen des de GRUB2 sense xifrar.

Si voleu comprovar-ho, assigneu/xifrau una altra partició sdaY, copieu-hi GRUB2 (No és possible l'operació d'instal·lació de grub en una partició xifrada) i a "grub.cfg" (configuració sense xifrar) canviar línies com aquestes

menuentry 'GRUBx2' --class parrot --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
carrega_vídeo
insmod gzio
if [ x$grub_platform = xxen ]; llavors insmod xzio; insmod lzopio; fi
insmod part_msdos
criptodisc insmod
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
normal /boot/grub/grub.cfg
}

cordes
* insmod - carregant els mòduls necessaris per treballar amb un disc xifrat;
* GRUBx2 - nom de la línia que es mostra al menú d'arrencada de GRUB2;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -vegeu. fdisk -l (sda9);
* set root - instal·la root;
* normal /boot/grub/grub.cfg - fitxer de configuració executable en una partició xifrada.

La confiança que es carrega el "grub.cfg" xifrat és una resposta positiva per introduir la contrasenya/desbloquejar "sdaY" en seleccionar la línia "GRUBx2" al menú GRUB.

Quan es treballa a la CLI, per no confondre's (i comproveu si la variable d'entorn "set root" funcionava), creeu fitxers de testimoni buits, per exemple, a la secció xifrada "/shifr_grub", a la secció sense xifrar "/noshifr_grub". Comprovació a la CLI

cat /Tab-Tab

Com s'ha indicat anteriorment, això no ajudarà a descarregar mòduls maliciosos si aquests mòduls acaben al vostre ordinador. Per exemple, un keylogger que podrà desar les pulsacions de tecla en un fitxer i barrejar-lo amb altres fitxers a “~/i386” fins que el descarregui un atacant amb accés físic al PC.

La manera més senzilla de verificar que la protecció de signatura digital funciona activament (no reiniciar), i ningú ha envaït el carregador d'arrencada, introduïu l'ordre a la CLI

list_trusted

en resposta rebem una còpia del nostre "perskey", o no rebem res si som atacats (també heu de marcar "set check_signatures=enforce").
Un desavantatge important d'aquest pas és introduir ordres manualment. Si afegiu aquesta ordre a "grub.cfg" i protegiu la configuració amb una signatura digital, la sortida preliminar de la instantània de la clau a la pantalla és massa curta i és possible que no tingueu temps de veure la sortida després de carregar GRUB2. .
No hi ha ningú en particular a qui reclamar: el desenvolupador en el seu documentació la clàusula 18.2 declara oficialment

"Tingueu en compte que, fins i tot amb la protecció de contrasenya de GRUB, el mateix GRUB no pot evitar que algú amb accés físic a la màquina alteri la configuració del microprogramari d'aquesta màquina (per exemple, Coreboot o BIOS) per fer que la màquina arrenqui des d'un dispositiu diferent (controlat per l'atacant). GRUB és, en el millor dels casos, només un enllaç d'una cadena d'arrencada segura".

GRUB2 està massa sobrecarregat amb funcions que poden donar una sensació de falsa seguretat, i el seu desenvolupament ja ha superat MS-DOS en termes de funcionalitat, però només és un carregador d'arrencada. És curiós que GRUB2 - "demà" pugui convertir-se en el sistema operatiu i màquines virtuals GNU/Linux d'arrencada.

Un breu vídeo sobre com restablir la protecció de signatura digital GRUB2 i declaro la meva intrusió a un usuari real (T'he espantat, però en comptes del que es mostra al vídeo, pots escriure codi arbitrari/.mod no inofensiu).

Conclusions:

1) El xifratge del sistema de blocs per a Windows és més fàcil d'implementar i la protecció amb una contrasenya és més convenient que la protecció amb diverses contrasenyes amb el xifratge del sistema de blocs GNU/Linux, per ser justos: aquest últim està automatitzat.

2) Vaig escriure l'article com a rellevant i detallat senzill una guia per al xifratge de disc complet VeraCrypt/LUKS en una casa de la màquina, que és, amb diferència, la millor de RuNet (IMHO). La guia té més de 50 caràcters, de manera que no cobria capítols interessants: criptògrafs que desapareixen/es queden a l'ombra; sobre el fet que en diversos llibres de GNU/Linux escriuen poc/no escriuen sobre criptografia; sobre l'article 51 de la Constitució de la Federació Russa; O llicència/prohibició xifratge a la Federació Russa, sobre per què necessiteu xifrar "arrel/arrencada". La guia va resultar ser força extensa, però detallada. (descrivint fins i tot passos senzills), al seu torn, això us estalviarà molt de temps quan arribeu al "xifrat real".

3) El xifratge complet del disc es va realitzar a Windows 7 64; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.

4) S'ha implementat un atac amb èxit seva Carregador d'arrencada GRUB2.

5) El tutorial es va crear per ajudar a totes les persones paranoiques del CIS, on es permet treballar amb xifratge a nivell legislatiu. I sobretot per a aquells que volen implementar el xifratge de disc complet sense enderrocar els seus sistemes configurats.

6) Reelaborat i actualitzat el meu manual, que és rellevant el 2020.

[G] Documentació útil

1. Guia d'usuari de TrueCrypt (febrer de 2012 RU)
2. Documentació de VeraCrypt
3. /usr/share/doc/cryptsetup(-run) [recurs local] (documentació oficial detallada sobre la configuració del xifratge GNU/Linux mitjançant cryptsetup)
4. Configuració oficial de criptografia de preguntes freqüents (breu documentació sobre la configuració del xifratge GNU/Linux mitjançant cryptsetup)
5. Xifratge del dispositiu LUKS (documentació d'archlinux)
6. Descripció detallada de la sintaxi de cryptsetup (pàgina de manual d'arc)
7. Descripció detallada de crypttab (pàgina de manual d'arc)
8. Documentació oficial GRUB2.

Etiquetes: xifratge de disc complet, xifratge de partició, xifratge de disc complet de Linux, xifratge complet del sistema LUKS1.

Només els usuaris registrats poden participar en l'enquesta. Inicia sessiósi us plau.

Estàs encriptant?

• 17,1%Encripto tot el que puc. Sóc paranoic.14

• 34,2%Només encripto dades importants.28

• 14,6%De vegades encripto, de vegades m'oblido.12

• 34,2%No, no encripto, és incòmode i car.28

Han votat 82 usuaris. 22 usuaris es van abstenir.

Font: www.habr.com