Gi-update ang kaugalingong giya sa full-disk encryption sa RuNet V0.2.
Diskarte sa Cowboy:
[A] Windows 7 system block encryption sa na-install nga sistema;
[B] GNU/Linux system block encryption (Debian) instalar nga sistema (lakip ang /boot);
[C] GRUB2 configuration, proteksyon sa bootloader nga adunay digital signature/authentication/hashing;
[D] paghubo—pagguba sa wala ma-encrypt nga datos;
[E] universal backup sa encrypted OS;
[F] pag-atake <sa butang [C6]> target - GRUB2 bootloader;
[G] makatabang nga dokumentasyon.
╭───Skema sa #lawak 40# :
├──╼ Windows 7 instalar - bug-os nga sistema encryption, dili gitago;
├──╼ GNU/Linux na-install (Debian ug derivative distribution) — bug-os nga sistema sa pag-encrypt, dili gitago(/, lakip ang /boot; swap);
├──╼ independent bootloader: Ang VeraCrypt bootloader gi-install sa MBR, ang GRUB2 bootloader gi-install sa extended partition;
├──╼walay OS instalar/reinstallation gikinahanglan;
└──╼cryptographic software nga gigamit: VeraCrypt; cryptsetup; GnuPG; Kabayo sa dagat; Hashdeep; Ang GRUB2 libre/libre.
Ang laraw sa ibabaw partially pagsulbad sa problema sa "hilit nga boot sa usa ka flash drive", nagtugot kaninyo sa pagtagamtam encrypted OS Windows / Linux ug exchange data pinaagi sa usa ka "encrypted channel" gikan sa usa ka OS ngadto sa lain.
PC boot order (usa sa mga opsyon):
- pagpaandar sa makina;
- pagkarga sa VeraCrypt bootloader (Ang pagsulod sa husto nga password magpadayon sa pag-boot Windows 7);
- Ang pagpindot sa "Esc" nga yawe mag-load sa GRUB2 bootloader;
- GRUB2 boot loader (pilia ang distribution/GNU/Linux/CLI), magkinahanglan og authentication sa GRUB2 superuser <login/password>;
- pagkahuman sa malampuson nga pag-authenticate ug pagpili sa pag-apod-apod, kinahanglan nimo nga mosulod sa usa ka passphrase aron maablihan ang "/boot/initrd.img";
- pagkahuman sa pagsulod sa mga password nga wala’y sayup, ang GRUB2 "magkinahanglan" usa ka pagsulod sa password (ikatulo, BIOS password o GNU/Linux user account password - dili tagda) sa pag-abli ug pag-boot sa GNU/Linux OS, o awtomatikong pag-ilis sa sekretong yawe (duha ka password + yawe, o password + yawe);
- Ang eksternal nga pagsulod sa GRUB2 nga pagsumpo mag-freeze sa proseso sa boot sa GNU/Linux.
Makasamok? Ok, atong i-automate ang mga proseso.
Sa pagbahin sa usa ka hard drive (lamesa sa MBR) Ang usa ka PC mahimong adunay dili molapas sa 4 nga nag-unang partisyon, o 3 nga panguna ug usa nga gipalugway, ingon man usa ka wala gigahin nga lugar. Ang usa ka gipalapad nga seksyon, dili sama sa panguna, mahimong adunay mga subseksyon (lohikal nga mga drive=extended partition). Sa laing pagkasulti, ang "extended partition" sa HDD mipuli sa LVM alang sa buluhaton nga anaa: full system encryption. Kung ang imong disk gibahin sa 4 nga nag-unang partisyon, kinahanglan nimo nga gamiton ang lvm, o pagbag-o (uban ang pag-format) seksyon gikan sa panguna hangtod sa abante, o maalamon nga gamiton ang tanan nga upat ka mga seksyon ug ibilin ang tanan nga ingon, makuha ang gitinguha nga sangputanan. Bisan kung adunay usa ka partisyon sa imong disk, ang Gparted makatabang kanimo sa pagbahin sa imong HDD (para sa dugang nga mga seksyon) walay pagkawala sa datos, apan sa gihapon adunay gamay nga silot alang sa maong mga aksyon.
Ang laraw sa layout sa hard drive, nga may kalabotan kung diin ang tibuuk nga artikulo isulti, gipresentar sa lamesa sa ubos.
Talaan (No. 1) sa 1TB nga mga partisyon.
Ikaw kinahanglan nga adunay usa ka butang nga susama usab.
sda1 - nag-unang partisyon No. 1 NTFS (gi-encrypt);
sda2 - gipalapdan nga marka sa seksyon;
sda6 - lohikal nga disk (kini adunay gi-install nga GRUB2 bootloader);
sda8 - swap (naka-encrypt nga swap file / dili kanunay);
sda9 - pagsulay sa lohikal nga disk;
sda5 - lohikal nga disk alang sa mga kuryuso;
sda7 - GNU/Linux OS (gibalhin OS sa usa ka encrypted logical disk);
sda3 - main partition No. 2 nga adunay Windows 7 OS (gi-encrypt);
sda4 - nag-unang seksyon No. 3 (kini adunay unencrypted GNU/Linux, gigamit alang sa backup/dili kanunay).
[A] Windows 7 System Block Encryption
A1. VeraCrypt
I-download gikan sa , o gikan sa salamin bersyon sa pag-install sa VeraCrypt cryptographic software (sa panahon sa pagmantala sa artikulo v1.24-Update3, ang madaladala nga bersyon sa VeraCrypt dili angay alang sa pag-encrypt sa sistema). Susiha ang checksum sa na-download nga software
$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256
ug itandi ang resulta sa CS nga gi-post sa VeraCrypt developer website.
Kon ang HashTab software na-install, mas sayon: RMB (VeraCrypt Setup 1.24.exe)-properties - hash nga gidaghanon sa mga file.
Aron mapamatud-an ang pirma sa programa, ang software ug ang yawe sa publiko nga pgp sa developer kinahanglan nga ma-install sa sistema ; .
A2. Pag-instalar/pagpadagan sa software sa VeraCrypt nga adunay mga katungod sa tagdumala
A3. Pagpili sa mga parameter sa pag-encrypt sa sistema alang sa aktibo nga partisyonVeraCrypt – Sistema – I-encrypt ang partition/disk sa sistema – Normal – I-encrypt ang partition sa Windows system – Multiboot – (pahimangno: "Ang mga walay kasinatian nga tiggamit dili girekomenda nga gamiton kini nga pamaagi" ug kini tinuod, miuyon kami "Oo") - Pag-boot disk (“oo”, bisag dili, “oo” gihapon) - Gidaghanon sa mga disk sa sistema "2 o daghan pa" - Daghang mga sistema sa usa ka disk "Oo" - Dili-Windows bootloader "Dili" (sa pagkatinuod, "Oo," apan ang VeraCrypt/GRUB2 boot loaders dili mopakigbahin sa MBR sa ilang mga kaugalingon; mas tukma, ang pinakagamay nga bahin lamang sa boot loader code ang gitipigan sa MBR/boot track, ang nag-unang bahin niini mao ang nahimutang sulod sa file system) - Multiboot - Mga setting sa pag-encrypt…
Kung motipas ka sa mga lakang sa ibabaw (block system encryption schemes), unya ang VeraCrypt mag-isyu og usa ka pasidaan ug dili motugot kanimo sa pag-encrypt sa partisyon.
Sa sunod nga lakang padulong sa gipunting nga proteksyon sa datos, paghimo usa ka "Pagsulay" ug pagpili usa ka algorithm sa pag-encrypt. Kung ikaw adunay usa ka karaan nga CPU, nan lagmit ang labing paspas nga algorithm sa pag-encrypt mao ang Twofish. Kung gamhanan ang CPU, mamatikdan nimo ang kalainan: Ang pag-encrypt sa AES, sumala sa mga resulta sa pagsulay, mahimong daghang beses nga mas paspas kaysa sa mga kakompetensya niini sa crypto. Ang AES usa ka popular nga algorithm sa pag-encrypt; ang hardware sa modernong mga CPU espesyal nga gi-optimize alang sa "tinago" ug "pag-hack."
Gisuportahan sa VeraCrypt ang abilidad sa pag-encrypt sa mga disk sa usa ka AES cascade(Duha ka isda)/ug uban pang mga kombinasyon. Sa usa ka karaan nga core Intel CPU gikan sa napulo ka tuig na ang milabay (walay hardware nga suporta para sa AES, A/T cascade encryption) Ang pagkunhod sa performance mao ang esensya dili mamatikdan. (alang sa AMD nga mga CPU sa parehas nga panahon/~parameter, ang pasundayag gamay nga pagkunhod). Ang OS naglihok nga dinamiko ug ang pagkonsumo sa kapanguhaan alang sa transparent nga pag-encrypt dili makita. Sa kasukwahi, pananglitan, usa ka mamatikdan nga pagkunhod sa pasundayag tungod sa na-install nga pagsulay nga dili lig-on nga desktop environment Mate v1.20.1 (o v1.20.2 wala ko kahinumdom sa eksakto) sa GNU/Linux, o tungod sa operasyon sa telemetry routine sa Windows7↑. Kasagaran, ang mga batid nga tiggamit nagpahigayon mga pagsulay sa performance sa hardware sa wala pa ang pag-encrypt. Pananglitan, sa Aida64/Sysbench/systemd-analyze nga pagbasol gitandi sa mga resulta sa samang mga pagsulay human sa pag-encrypt sa sistema, sa ingon gipanghimakak ang tumotumo alang sa ilang kaugalingon nga ang "system encryption makadaot." Ang paghinay sa makina ug ang kahasol mamatikdan sa dihang nag-back up/nagpasig-uli sa naka-encrypt nga datos, tungod kay ang “system data backup” nga operasyon mismo dili masukod sa ms, ug kadtong parehas nga <decrypt/encrypt on the fly> gidugang. Sa katapusan, ang matag tiggamit nga gitugotan nga mag-tinker sa kriptograpiya nagbalanse sa algorithm sa pag-encrypt batok sa katagbawan sa mga buluhaton nga naa sa kamot, ang ilang lebel sa paranoia, ug kadali sa paggamit.
Mas maayo nga biyaan ang parameter sa PIM ingon default, aron kung mag-load sa OS dili nimo kinahanglan nga mosulod sa eksaktong mga kantidad sa pag-uli matag higayon. Ang VeraCrypt naggamit sa usa ka dako nga gidaghanon sa mga pag-uli aron sa paghimo sa usa ka tinuod nga "hinay nga hash". Ang pag-atake sa ingon nga "crypto snail" gamit ang Brute force / rainbow tables nga pamaagi makatarunganon lamang sa usa ka mubo nga "simple" nga passphrase ug sa personal nga listahan sa charset sa biktima. Ang presyo nga ibayad alang sa kusog sa password usa ka paglangan sa pagsulod sa husto nga password kung nagkarga sa OS. (Ang pag-mount sa mga volume sa VeraCrypt sa GNU/Linux labi ka paspas).
Libre nga software alang sa pagpatuman sa mga pag-atake sa brute force (kuhaa ang passphrase gikan sa VeraCrypt/LUKS disk header) Hashcat. Si John the Ripper wala mahibal-an kung giunsa ang "pagguba sa Veracrypt", ug kung nagtrabaho kauban ang LUKS wala makasabut sa Twofish cryptography.
Tungod sa kusog sa cryptographic sa mga algorithm sa pag-encrypt, ang dili mapugngan nga mga cypherpunks nagpalambo sa software nga adunay lahi nga vector sa pag-atake. Pananglitan, ang pagkuha sa metadata/mga yawe gikan sa RAM (cold boot/direct memory access attack), Adunay espesyal nga libre ug dili libre nga software alang niini nga mga katuyoan.
Sa pagkompleto sa pag-set up/pagmugna og "talagsaon nga metadata" sa naka-encrypt nga aktibong partisyon, ang VeraCrypt motanyag nga i-restart ang PC ug sulayan ang gamit sa bootloader niini. Pagkahuman sa pag-reboot / pagsugod sa Windows, ang VeraCrypt mag-load sa standby mode, ang nahabilin mao ang pagkumpirma sa proseso sa pag-encrypt - Y.
Sa katapusang lakang sa pag-encrypt sa sistema, ang VeraCrypt motanyag nga maghimo usa ka backup nga kopya sa header sa aktibo nga naka-encrypt nga partisyon sa porma sa "veracrypt rescue disk.iso" - kinahanglan kini buhaton - sa kini nga software ang ingon nga operasyon usa ka kinahanglanon (sa LUKS, isip usa ka kinahanglanon - kini sa kasubo wala iapil, apan gipasiugda sa dokumentasyon). Ang rescue disk magamit alang sa tanan, ug sa pipila labaw pa sa kausa. Kapildihan (header/MBR pagsulat pag-usab) ang usa ka backup nga kopya sa header permanente nga magdumili sa pag-access sa decrypted partition sa OS Windows.
A4. Paghimo ug VeraCrypt rescue USB/diskSa kasagaran, ang VeraCrypt nagtanyag sa pagsunog sa "~ 2-3MB sa metadata" sa usa ka CD, apan dili tanan nga mga tawo adunay mga disk o DWD-ROM drive, ug ang paghimo sa usa ka bootable flash drive nga "VeraCrypt Rescue disk" mahimong usa ka teknikal nga sorpresa alang sa pipila: Ang Rufus / GUIdd-ROSA ImageWriter ug uban pang parehas nga software dili makasagubang sa buluhaton, tungod kay dugang sa pagkopya sa offset metadata sa usa ka bootable flash drive, kinahanglan nimo nga kopyahon / idikit ang imahe sa gawas sa file system sa USB drive, sa laktod, saktong kopyaha ang MBR/dalan sa keychain. Makahimo ka og bootable flash drive gikan sa GNU/Linux OS gamit ang “dd” utility, tan-awon kini nga sign.
Ang paghimo og rescue disk sa usa ka palibot sa Windows lahi. Wala gilakip sa developer sa VeraCrypt ang solusyon sa kini nga problema sa opisyal pinaagi sa "rescue disk", apan nagsugyot og solusyon sa lahi nga paagi: nag-post siya og dugang nga software alang sa paghimo og "usb rescue disk" alang sa libre nga pag-access sa iyang VeraCrypt forum. Ang archivist niini nga software alang sa Windows mao ang "paghimo usb veracrypt rescue disk". Human sa pagluwas sa rescue disk.iso, ang proseso sa block system encryption sa aktibong partition magsugod. Atol sa pag-encrypt, ang operasyon sa OS dili mohunong; ang PC restart dili kinahanglan. Sa pagkompleto sa operasyon sa pag-encrypt, ang aktibo nga partisyon mahimong hingpit nga ma-encrypt ug mahimong magamit. Kung ang VeraCrypt boot loader dili makita kung imong gisugdan ang PC, ug ang operasyon sa pagbawi sa header dili makatabang, unya susiha ang bandila nga "boot", kinahanglan nga ibutang kini sa partisyon diin naa ang Windows. (bisan unsa pa ang encryption ug uban pang OS, tan-awa ang lamesa Num. 1).
Nakompleto niini ang paghulagway sa block system encryption sa Windows OS.
[B]LUKS. GNU/Linux encryption (~Debian) gi-install nga OS. Algorithm ug mga Lakang
Aron ma-encrypt ang usa ka Debian/nakuha nga pag-apod-apod, kinahanglan nimo nga mapa ang giandam nga partisyon sa usa ka virtual block device, ibalhin kini sa gimapa nga GNU/Linux disk, ug i-install/i-configure ang GRUB2. Kung wala kay hubo nga metal nga server, ug gipabilhan nimo ang imong oras, nan kinahanglan nimo nga gamiton ang GUI, ug kadaghanan sa mga terminal command nga gihulagway sa ubos gituyo nga ipadagan sa "Chuck-Norris mode".
B1. Pag-boot sa PC gikan sa live usb GNU/Linux
"Paghimo usa ka pagsulay sa crypto alang sa pasundayag sa hardware"
lscpu && сryptsetup benchmark
Kung ikaw ang malipayon nga tag-iya sa usa ka kusgan nga awto nga adunay suporta sa hardware sa AES, nan ang mga numero sama sa tuo nga bahin sa terminal; kung ikaw usa ka malipayon nga tag-iya, apan sa antik nga hardware, ang mga numero sama sa wala nga bahin.
B2. Pagbahinbahin sa disk. mounting/formatting fs logical disk HDD ngadto sa Ext4 (Gparted)
B2.1. Paghimo usa ka naka-encrypt nga sda7 partition headerAkong ihulagway ang mga ngalan sa mga partisyon, dinhi ug dugang pa, sumala sa akong partition table nga gibutang sa ibabaw. Sumala sa layout sa imong disk, kinahanglan nimo nga ilisan ang imong mga ngalan sa partisyon.
Logical Drive Encryption Mapping (/dev/sda7 > /dev/mapper/sda7_crypt).
#Sayon nga paghimo sa usa ka "LUKS-AES-XTS partition"
cryptsetup -v -y luksFormat /dev/sda7Mga kapilian:
* luksFormat - pagsugod sa LUKS header;
* -y -passphrase (dili yawe/file);
* -v -verbalization (pagpakita sa impormasyon sa terminal);
* / dev / sda7 - imong lohikal nga disk gikan sa gipalawig nga partisyon (diin giplano nga ibalhin/i-encrypt ang GNU/Linux).
Default nga encryption algorithm <LUKS1: aes-xts-plain64, Key: 256 bits, LUKS header hashing: sha256, RNG: /dev/urandom> (depende sa bersyon sa cryptsetup).
#Проверка default-алгоритма шифрования
cryptsetup --help #самая последняя строка в выводе терминала.Kung wala’y suporta sa hardware alang sa AES sa CPU, ang labing kaayo nga kapilian mao ang paghimo usa ka gipalawig nga "LUKS-Twofish-XTS-partition".
B2.2. Advanced nga paghimo sa "LUKS-Twofish-XTS-partition"
cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom
Mga kapilian:
* luksFormat - pagsugod sa LUKS header;
* / dev / sda7 mao ang imong umaabot nga naka-encrypt nga lohikal nga disk;
* -v verbalization;
* -y passphrase;
* -c pagpili sa data encryption algorithm;
* -s encryption key gidak-on;
* -h hashing algorithm/crypto function, RNG gigamit (--gamit-urandom) para makamugna ug talagsaong encryption/decryption key para sa logical disk header, secondary header key (XTS); usa ka talagsaon nga master key nga gitipigan sa encrypted disk header, usa ka secondary XTS key, kining tanan nga metadata ug usa ka encryption routine nga, gamit ang master key ug ang secondary XTS key, encrypts/decrypts bisan unsa nga data sa partition (gawas sa ulohan sa seksyon) gitipigan sa ~ 3MB sa pinili nga hard disk partition.
* -i mga pag-uli sa millisecond, imbes nga "kadaghanon" (ang paglangan sa oras kung ang pagproseso sa passphrase makaapekto sa pagkarga sa OS ug sa kusog sa cryptographic sa mga yawe). Aron mamentinar ang balanse sa kusog sa cryptographic, gamit ang usa ka yano nga password sama sa "Russian" kinahanglan nimo nga dugangan ang -(i) nga kantidad; uban ang usa ka komplikado nga password sama sa "?8dƱob/øfh" ang kantidad mahimong mubu.
* —use-urandom random number generator, nagmugna og mga yawe ug asin.
Human sa pagmapa sa seksyon sda7> sda7_crypt (Ang operasyon paspas, tungod kay ang usa ka naka-encrypt nga header gihimo nga adunay ~ 3 MB nga metadata ug kana ra), kinahanglan nimo nga i-format ug i-mount ang sda7_crypt file system.
B2.3. Pagtandi
cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.
mga kapilian:
* bukas - ipares ang seksyon nga "uban ang ngalan";
* / dev / sda7 - lohikal nga disk;
* sda7_crypt - pagmapa sa ngalan nga gigamit sa pag-mount sa naka-encrypt nga partisyon o pagsugod niini kung ang OS nag-boot.
B2.4. Pag-format sa sda7_crypt file system ngadto sa ext4. Pag-mount sa usa ka disk sa OS(Pahinumdom: dili ka makatrabaho sa usa ka naka-encrypt nga partisyon sa Gparted)
#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt
mga kapilian:
* -v -berbalisasyon;
* -L - drive label (nga gipakita sa Explorer taliwala sa ubang mga drive).
Sunod, kinahanglan nimo nga i-mount ang virtual-encrypted block device /dev/sda7_crypt sa sistema
mount /dev/mapper/sda7_crypt /mntAng pagtrabaho uban sa mga file sa / mnt folder awtomatik nga ma-encrypt/decrypt ang data sa sda7.
Mas sayon ang mapa ug i-mount ang partition sa Explorer (nautilus/caja GUI), ang partition naa na sa lista sa pagpili sa disk, ang nahabilin mao ang pagsulod sa passphrase aron maablihan/decrypt ang disk. Ang gipares nga ngalan awtomatikong mapili ug dili "sda7_crypt", apan usa ka butang sama sa / dev / mapper / Luks-xx-xx ...
B2.5. Pag-backup sa disc header (~3MB metadata)Usa ka labing importante mga operasyon nga kinahanglan buhaton sa walay paglangan - usa ka backup nga kopya sa "sda7_crypt" header. Kung imong gi-overwrite/gidaot ang header (pananglitan, pag-instalar sa GRUB2 sa sda7 partition, ug uban pa), ang na-encrypt nga datos hingpit nga mawala nga wala’y posibilidad nga mabawi kini, tungod kay imposible nga makahimo pag-usab sa parehas nga mga yawe; ang mga yawe gihimo nga talagsaon.
#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7
#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>
mga kapilian:
* luksHeaderBackup —header-backup-file -backup nga sugo;
* luksHeaderRestore —header-backup-file -restore nga sugo;
* ~/Backup_DebSHIFR - backup file;
* / dev / sda7 - partition kansang naka-encrypt nga disk header backup nga kopya kinahanglan nga i-save.
Niini nga lakang <paghimo ug pag-edit sa naka-encrypt nga partisyon> nahuman.
B3. Pag-port sa GNU/Linux OS (sda4) sa usa ka naka-encrypt nga partisyon (sda7)
Paghimo og folder / mnt2 (Pahinumdom - nagtrabaho gihapon kami sa live usb, ang sda7_crypt gi-mount sa / mnt), ug i-mount ang among GNU/Linux sa /mnt2, nga kinahanglan ma-encrypt.
mkdir /mnt2
mount /dev/sda4 /mnt2
Naghimo kami og husto nga pagbalhin sa OS gamit ang Rsync software
rsync -avlxhHX --progress /mnt2/ /mntAng mga kapilian sa Rsync gihulagway sa parapo E1.
Sunod, kinahanglanon defragment sa usa ka lohikal nga disk partition
e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux
Himoa kini nga lagda: buhata ang e4defrag sa naka-encrypt nga GNU/LInux matag karon ug unya kung ikaw adunay HDD.
Ang pagbalhin ug pag-synchronize [GNU/Linux > GNU/Linux-encrypted] nahuman niini nga lakang.
SA 4. Pag-set up sa GNU/Linux sa usa ka encrypted sda7 partition
Human sa malampuson nga pagbalhin sa OS / dev / sda4 > / dev / sda7, kinahanglan ka nga mag-log in sa GNU/Linux sa naka-encrypt nga partition ug maghimo og dugang nga configuration (nga walay pag-reboot sa PC) kalabot sa usa ka naka-encrypt nga sistema. Kana mao, nga naa sa live usb, apan aron ipatuman ang mga mando nga "may kalabotan sa gamut sa naka-encrypt nga OS." Ang "chroot" magsundog sa susamang sitwasyon. Aron dali nga makadawat og impormasyon kung unsang OS ang imong gigamit karon (naka-encrypt o dili, tungod kay ang data sa sda4 ug sda7 gi-synchronize), i-desynchronize ang OS. Paghimo sa mga direktoryo sa ugat (sda4/sda7_crypt) walay sulod nga marker files, pananglitan, /mnt/encryptedOS ug /mnt2/decryptedOS. Susiha dayon kung unsa ka OS (lakip ang para sa umaabot):
ls /<Tab-Tab>B4.1. "Simulasyon sa pag-log in sa usa ka naka-encrypt nga OS"
mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt
B4.2. Ang pagtino nga ang trabaho gihimo batok sa usa ka naka-encrypt nga sistema
ls /mnt<Tab-Tab>
#и видим файл "/шифрованнаяОС"
history
#в выводе терминала должна появиться история команд su рабочей ОС.B4.3. Paghimo/pag-configure sa encrypted swap, pag-edit sa crypttab/fstabTungod kay ang swap file giporma sa matag higayon nga magsugod ang OS, wala'y kahulogan ang paghimo ug pag-mapa sa swap sa usa ka lohikal nga disk karon, ug pagsulod sa mga sugo sama sa parapo B2.2. Alang sa Swap, ang kaugalingon nga temporaryo nga mga yawe sa pag-encrypt awtomatiko nga mabuhat sa matag pagsugod. Siklo sa kinabuhi sa mga swap key: pag-unmount/unmounting swap partition (+paglimpyo sa RAM); o i-restart ang OS. Pag-set up sa swap, pag-abli sa file nga responsable sa pag-configure sa block encrypted nga mga himan (kaamgid sa usa ka fstab file, apan responsable sa crypto).
nano /etc/crypttab edit namo
#"target name" "source device" "key file" "options"
swap /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,laki=512,hash=sha512
Mga kapilian
* swap - mapa nga ngalan kung nag-encrypt / dev / mapper / swap.
* / dev / sda8 - gamita ang imong lohikal nga partisyon para sa swap.
* /dev/urandom - generator sa random encryption keys para sa swap (sa matag bag-ong OS boot, bag-ong mga yawe ang gihimo). Ang / dev / urandom generator dili kaayo random kaysa / dev / random, pagkahuman gigamit ang / dev / random kung nagtrabaho sa peligro nga paranoid nga mga kahimtang. Kung nagkarga sa OS, ang /dev/random nagpahinay sa pagkarga sulod sa pipila ka ± minuto (tan-awa ang systemd-analyze).
* swap, cipher=twofish-xts-plain64, size=512, hash=sha512: -nahibalo ang partisyon nga kini swap ug giporma "sumala"; encryption algorithm.
#Открываем и правим fstab
nano /etc/fstab
edit namo
Ang # swap naa sa / dev / sda8 sa pag-install
/dev/mapper/swap walay swap sw 0 0
/dev/mapper/swap mao ang ngalan nga gibutang sa crypttab.
Alternatibong encrypted swap
Kung sa usa ka hinungdan dili nimo gusto nga biyaan ang usa ka tibuuk nga partisyon alang sa usa ka swap file, nan mahimo ka nga usa ka alternatibo ug mas maayo nga paagi: paghimo usa ka swap file sa usa ka file sa usa ka naka-encrypt nga partisyon sa OS.
fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянныйAng swap partition setup nahuman na.
B4.4. Pag-set up sa naka-encrypt nga GNU/Linux (pag-edit sa crypttab/fstab files)Ang /etc/crypttab file, sama sa gisulat sa ibabaw, naghulagway sa mga encrypted block device nga gi-configure atol sa system boot.
#правим /etc/crypttab
nano /etc/crypttab
kung imong gipares ang sda7>sda7_crypt nga seksyon sama sa paragraph B2.1
# "target name" "source device" "key file" "mga kapilian"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks
kung imong gipares ang sda7>sda7_crypt nga seksyon sama sa paragraph B2.2
# "target name" "source device" "key file" "mga kapilian"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512
kung gipares nimo ang seksyon sa sda7>sda7_crypt sama sa parapo B2.1 o B2.2, apan dili nimo gusto nga isulod pag-usab ang password aron maablihan ug ma-boot ang OS, unya imbes sa password mahimo nimong ilisan ang usa ka sekreto nga yawe / random file
# "target name" "source device" "key file" "mga kapilian"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks
paghulagway
* wala - nagtaho nga kung nagkarga sa OS, kinahanglan ang pagsulod sa usa ka sekreto nga passphrase aron maablihan ang gamut.
* UUID - partition identifier. Aron mahibal-an ang imong ID, i-type ang terminal (pahinumdom nga gikan niining panahona sa unahan, nagtrabaho ka sa usa ka terminal sa usa ka chroot environment, ug dili sa laing live usb terminal).
fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное
/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»
kini nga linya makita kung mangayo blkid gikan sa live usb terminal nga adunay sda7_crypt mount).
Gikuha nimo ang UUID gikan sa imong sdaX (dili sdaX_crypt!, UUID sdaX_crypt - awtomatik nga ibilin kung maghimo sa grub.cfg config).
* cipher=twofish-xts-plain64,gidak-on=512,hash=sha512 -luks encryption sa advanced mode.
* /etc/skey - sekreto nga yawe nga file, nga awtomatik nga gisulod aron maablihan ang OS boot (imbes nga mosulod sa ika-3 nga password). Mahimo nimong ipiho ang bisan unsang file hangtod sa 8MB, apan ang datos mabasa <1MB.
#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey
#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7
Kini tan-awon sama niini:
(buhata kini sa imong kaugalingon ug tan-awa ang imong kaugalingon).
cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слотаAng /etc/fstab adunay deskriptibong impormasyon bahin sa lain-laing file system.
#Правим /etc/fstab
nano /etc/fstab
# "file system" "mount point" "type" "options" "dump" "pass"
Ang # / naa sa / dev / sda7 sa pag-instalar
/dev/mapper/sda7_crypt / ext4 errors=remount-ro 0 1
kapilian
* /dev/mapper/sda7_crypt - ang ngalan sa sda7>sda7_crypt mapping, nga gipiho sa /etc/crypttab file.
Ang crypttab/fstab setup kompleto na.
B4.5. Pag-edit sa mga file sa pag-configure. Importante nga gutloB4.5.1. Pag-edit sa config /etc/initramfs-tools/conf.d/resume
#Если у вас ранее был активирован swap раздел, отключите его.
nano /etc/initramfs-tools/conf.d/resume
ug comment out (kung naa) "#" linya nga "resume". Ang file kinahanglan nga bug-os nga walay sulod.
B4.5.2. Pag-edit sa config /etc/initramfs-tools/conf.d/cryptsetup
nano /etc/initramfs-tools/conf.d/cryptsetupdapat magkaparehas
# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=oo
export CRYPTSETUP
B4.5.3. Pag-edit sa /etc/default/grub config (kini nga config maoy responsable sa abilidad sa pagmugna og grub.cfg sa dihang nagtrabaho uban sa encrypted /boot)
nano /etc/default/grub
idugang ang linya nga "GRUB_ENABLE_CRYPTODISK=y"
value 'y', grub-mkconfig ug grub-install magsusi sa mga naka-encrypt nga drive ug makamugna og dugang nga mga sugo nga gikinahanglan aron ma-access kini sa panahon sa boot (insmods ).
kinahanglan nga adunay pagkaparehas
GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=vendor"
GRUB_CMDLINE_LINUX="hilom nga splash noautomount"
GRUB_ENABLE_CRYPTODISK=y
B4.5.4. Pag-edit sa config /etc/cryptsetup-initramfs/conf-hook
nano /etc/cryptsetup-initramfs/conf-hook
check nga ang linya nagkomento sa <#>.
Sa umaabot (ug bisan karon, kini nga parametro walay kahulogan, apan usahay kini makabalda sa pag-update sa initrd.img nga hulagway).
B4.5.5. Pag-edit sa config /etc/cryptsetup-initramfs/conf-hook
nano /etc/cryptsetup-initramfs/conf-hookpagdugang
KEYFILE_PATTERN=”/etc/skey”
UMASK=0077
Kini mag-pack sa sekreto nga yawe nga "skey" ngadto sa initrd.img, ang yawe gikinahanglan aron maablihan ang gamut kung ang OS mag-boot (kung dili nimo gusto nga mosulod pag-usab sa password, ang "skey" nga yawe gipuli sa awto).
B4.6. Update /boot/initrd.img [bersyon]Aron i-pack ang sekreto nga yawe sa initrd.img ug ipadapat ang mga pag-ayo sa cryptsetup, i-update ang imahe
update-initramfs -u -k all
sa dihang nag-update sa initrd.img (ingon nila "Posible kini, apan dili kini sigurado") ang mga pasidaan nga may kalabutan sa cryptsetup makita, o, pananglitan, usa ka pahibalo bahin sa pagkawala sa mga module sa Nvidia - normal kini. Human sa pag-update sa file, susiha nga kini tinuod nga na-update, tan-awa ang oras (relative sa chroot environment./boot/initrd.img). Pasidaan sa wala pa [update-initramfs -u -k tanan] siguroha nga susihon nga ang cryptsetup bukas / dev / sda7 sda7_crypt - kini ang ngalan nga makita sa /etc/crypttab, kung dili pagkahuman sa pag-reboot adunay sayup nga busybox)
Niini nga lakang, ang pag-set up sa mga file sa pag-configure kompleto na.
[C] Pag-instalar ug pag-configure sa GRUB2/Protection
C1. Kung gikinahanglan, i-format ang gipahinungod nga partisyon alang sa bootloader (usa ka partisyon kinahanglan labing menos 20MB)
mkfs.ext4 -v -L GRUB2 /dev/sda6C2. Mount / dev / sda6 hangtod / mntBusa nagtrabaho kami sa chroot, unya wala'y / mnt2 nga direktoryo sa gamut, ug ang / mnt nga folder mahimong walay sulod.
i-mount ang partisyon sa GRUB2
mount /dev/sda6 /mntKung ikaw adunay mas daan nga bersyon sa GRUB2 nga na-install, sa / mnt/boot/grub/i-386-pc nga direktoryo (Posible ang ubang plataporma, pananglitan, dili "i386-pc") walay crypto modules (sa laktod nga pagkasulti, ang folder kinahanglan adunay mga module, lakip kini nga .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), sa kini nga kaso, ang GRUB2 kinahanglan nga matay-og.
apt-get update
apt-get install grub2
Importante! Kung gi-update ang GRUB2 nga pakete gikan sa repository, kung gipangutana "bahin sa pagpili" kung asa i-install ang bootloader, kinahanglan nimo nga balibaran ang pag-install (rason - pagsulay sa pag-instalar sa GRUB2 - sa "MBR" o sa live usb). Kay kon dili makadaut ka sa VeraCrypt header/loader. Pagkahuman sa pag-update sa mga pakete sa GRUB2 ug pagkansela sa pag-install, ang boot loader kinahanglan nga i-install nga mano-mano sa lohikal nga disk, ug dili sa MBR. Kung ang imong repository adunay usa ka karaan nga bersyon sa GRUB2, sulayi gikan kini sa opisyal nga website - wala pa kini gisusi (nagtrabaho uban ang pinakabag-o nga GRUB 2.02 ~BetaX bootloaders).
C3. Pag-instalar sa GRUB2 ngadto sa usa ka extended partition [sda6]Kinahanglan nga aduna kay naka-mount nga partition [aytem C.2]
grub-install --force --root-directory=/mnt /dev/sda6
mga kapilian
* —puwersa - pag-instalar sa bootloader, paglaktaw sa tanang pasidaan nga halos kanunay anaa ug pag-block sa pag-instalar (gikinahanglan nga bandila).
* --root-directory - pag-instalar sa direktoryo ngadto sa gamut sa sda6.
* /dev/sda6 - imong sdaХ partition (ayaw palabya ang <space> tali sa /mnt/dev/sda6).
C4. Paghimo og configuration file [grub.cfg]Kalimti ang bahin sa "update-grub2" nga sugo, ug gamita ang bug-os nga configuration file generation command
grub-mkconfig -o /mnt/boot/grub/grub.cfg
pagkahuman sa pagkompleto sa henerasyon / pag-update sa grub.cfg file, ang output terminal kinahanglan adunay (mga) linya nga adunay OS nga makita sa disk ("grub-mkconfig" tingali makit-an ug kuhaon ang OS gikan sa usa ka live usb, kung ikaw adunay usa ka multiboot flash drive nga adunay Windows 10 ug usa ka hugpong sa mga live nga distribusyon - normal kini). Kung ang terminal "walay sulod" ug ang "grub.cfg" nga file wala mabuhat, nan kini mao ang sama nga kaso kung adunay mga GRUB bug sa sistema (ug lagmit ang loader gikan sa test branch sa repository), i-install pag-usab ang GRUB2 gikan sa kasaligan nga mga gigikanan.
Ang "simple nga configuration" instalasyon ug GRUB2 setup kompleto na.
C5. Proof-test sa naka-encrypt nga GNU/Linux OSNakompleto namon ang misyon sa crypto sa husto. Pag-ayo nga biyaan ang naka-encrypt nga GNU/Linux (mogawas sa chroot environment).
umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot
Human sa pag-reboot sa PC, ang VeraCrypt bootloader kinahanglan nga mag-load.
* Ang pagsulod sa password alang sa aktibo nga partisyon magsugod sa pagkarga sa Windows.
*Ang pagpindot sa yawe nga "Esc" magbalhin sa kontrol sa GRUB2, kung imong pilion ang naka-encrypt nga GNU/Linux - usa ka password (sda7_crypt) ang kinahanglan aron maablihan ang /boot/initrd.img (kung ang grub2 nagsulat uuid "wala makit-an" - kini usa ka problema sa grub2 bootloader, kini kinahanglan nga i-install pag-usab, pananglitan, gikan sa test branch/stable etc.).
*Depende kung giunsa nimo pag-configure ang sistema (tan-awa ang parapo B4.4/4.5), pagkahuman gisulod ang husto nga password aron maablihan ang /boot/initrd.img nga imahe, kinahanglan nimo ang password aron ma-load ang OS kernel/root, o ang sekreto Ang yawe awtomatik nga ilisan og " skey", nga mawagtang ang panginahanglan nga isulod pag-usab ang passphrase.
(screen "awtomatikong pagpuli sa sekreto nga yawe").
*Dayon ang pamilyar nga proseso sa pagkarga sa GNU/Linux sa user account authentication mosunod.
*Pagkahuman sa pagtugot sa user ug pag-log in sa OS, kinahanglan nimo nga i-update ang /boot/initrd.img pag-usab (tan-awa ang B4.6).
update-initramfs -u -k allUg sa kaso sa dugang nga mga linya sa GRUB2 menu (gikan sa OS-m pickup nga adunay live usb) kuhaa sila
mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg
Usa ka dali nga summary sa GNU/Linux system encryption:
- Ang GNU/Linuxinux hingpit nga na-encrypt, lakip ang /boot/kernel ug initrd;
- ang sekreto nga yawe giputos sa initrd.img;
- kasamtangan nga pamaagi sa pagtugot (pagsulod sa password aron maablihan ang initrd; password/key aron ma-boot ang OS; password para sa pagtugot sa Linux account).
Ang "Simple GRUB2 Configuration" nga pag-encrypt sa sistema sa block partition kompleto na.
C6. Advanced nga GRUB2 configuration. Proteksyon sa bootloader nga adunay digital nga pirma + proteksyon sa pag-authenticateAng GNU/Linux hingpit nga na-encrypt, apan ang bootloader dili ma-encrypt - kini nga kondisyon gidiktahan sa BIOS. Tungod niini nga rason, ang usa ka kadena nga naka-encrypt nga boot sa GRUB2 dili mahimo, apan ang usa ka yano nga kadena nga boot posible/anaa, apan gikan sa usa ka seguridad nga punto sa panglantaw kini dili kinahanglan [tan-awa P. F].
Alang sa "bulnerable" nga GRUB2, ang mga nag-develop nagpatuman sa usa ka "pirma / panghimatuud" nga algorithm sa pagpanalipod sa bootloader.
- Kung ang bootloader gipanalipdan sa "kaugalingon nga digital nga pirma," ang eksternal nga pagbag-o sa mga file, o usa ka pagsulay sa pagkarga sa dugang nga mga module sa kini nga bootloader, modala sa proseso sa pag-boot nga gibabagan.
- Kung gipanalipdan ang bootloader nga adunay panghimatuud, aron mapili ang pag-load sa usa ka pag-apod-apod, o pagsulod sa dugang nga mga mando sa CLI, kinahanglan nimo nga mosulod sa login ug password sa superuser-GRUB2.
C6.1. Proteksyon sa pag-authenticate sa bootloaderSusiha nga nagtrabaho ka sa usa ka terminal sa usa ka naka-encrypt nga OS
ls /<Tab-Tab> #обнаружить файл-маркерpaghimo og superuser password alang sa pagtugot sa GRUB2
grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. Kuhaa ang password hash. Usa ka butang nga sama niini
grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
i-mount ang partisyon sa GRUB
mount /dev/sda6 /mnt edit ang config
nano -$ /mnt/boot/grub/grub.cfg
susiha ang pagpangita sa file nga walay mga bandera bisan asa sa “grub.cfg” (“-unrestricted” “-user”,
idugang sa katapusan (sa wala pa ang linya ### END /etc/grub.d/41_custom ###)
"set superusers="root"
password_pbkdf2 root hash."
Kini kinahanglan nga usa ka butang nga sama niini
# Kini nga file naghatag usa ka dali nga paagi aron idugang ang naandan nga mga entry sa menu. I-type lang ang
# mga entry sa menu nga gusto nimong idugang pagkahuman niini nga komento. Pag-amping nga dili magbag-o
# ang linya nga 'exec tail' sa taas.
### KATAPUSAN /etc/grub.d/40_custom ###### SUGOD /etc/grub.d/41_custom ###
kon [-f ${config_directory}/custom.cfg ]; unya
tinubdan ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; unya
tinubdan $prefix/custom.cfg;
fi
ibutang ang superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### KATAPUSAN /etc/grub.d/41_custom ###
#
Kung kanunay nimo gamiton ang command "grub-mkconfig -o /mnt/boot/grub/grub.cfg" ug dili nimo gusto nga magbag-o sa grub.cfg matag higayon, isulod ang mga linya sa ibabaw (Pag-login: Password) sa GRUB user script sa pinakaubos
nano /etc/grub.d/41_custom iring <<EOF
ibutang ang superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF
Sa paghimo sa config "grub-mkconfig -o /mnt/boot/grub/grub.cfg", ang mga linya nga responsable sa pag-authentication awtomatikong idugang sa grub.cfg.
Kini nga lakang makompleto ang GRUB2 authentication setup.
C6.2. Proteksyon sa bootloader nga adunay digital nga pirmaGituohan nga naa na nimo ang imong personal nga pgp encryption key (o paghimo og ingon nga yawe). Ang sistema kinahanglang adunay cryptographic software nga na-install: gnuPG; kleopatra/GPA; Kabayo sa dagat. Ang Crypto software maghimo sa imong kinabuhi nga labi kadali sa tanan nga mga butang. Seahorse - stable nga bersyon sa package 3.14.0 (mga bersyon nga mas taas, pananglitan, V3.20, mga depekto ug adunay mahinungdanong mga bug).
Ang yawe sa PGP kinahanglan nga mamugna / ilunsad / idugang lamang sa su nga palibot!
Paghimo og personal nga encryption key
gpg - -gen-keyI-export ang imong yawe
gpg --export -o ~/perskeyI-mount ang lohikal nga disk sa OS kung wala pa kini gi-mount
mount /dev/sda6 /mnt #sda6 – раздел GRUB2limpyo ang GRUB2 partition
rm -rf /mnt/I-install ang GRUB2 sa sda6, ibutang ang imong pribadong yawe sa main GRUB image "core.img"
grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6
mga kapilian
* --force - i-install ang bootloader, laktawan ang tanan nga mga pasidaan nga kanunay anaa (gikinahanglan nga bandila).
* —modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - nagmando sa GRUB2 sa pag-preload sa gikinahanglan nga mga module kung magsugod na ang PC.
* -k ~/perskey -path sa "PGP key" (pagkahuman sa pagputos sa yawe ngadto sa hulagway, kini mahimong mapapas).
* --root-directory -ibutang ang boot directory sa gamut sa sda6
/dev/sda6 - imong sdaX partition.
Paghimo/pag-update sa grub.cfg
grub-mkconfig -o /mnt/boot/grub/grub.cfgIdugang ang linya nga "trust /boot/grub/perskey" sa katapusan sa "grub.cfg" file (pagpugos sa paggamit sa pgp key.) Tungod kay among gi-install ang GRUB2 nga adunay usa ka set sa mga module, lakip ang signature module nga "signature_test.mod", kini nagwagtang sa panginahanglan sa pagdugang sa mga sugo sama sa "set check_signatures = enforce" sa config.
Kini kinahanglan nga tan-awon sama niini (pagtapos sa mga linya sa grub.cfg file)
### SUGOD /etc/grub.d/41_custom ###
kon [-f ${config_directory}/custom.cfg ]; unya
tinubdan ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; unya
tinubdan $prefix/custom.cfg;
fi
pagsalig /boot/grub/perskey
ibutang ang superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### KATAPUSAN /etc/grub.d/41_custom ###
#
Ang agianan sa "/boot/grub/perskey" dili kinahanglan nga itudlo sa usa ka piho nga partition sa disk, pananglitan hd0,6; alang sa bootloader mismo, ang "gamut" mao ang default nga agianan sa partisyon diin gi-install ang GRUB2. (tan-awa ang set rot=..).
Pagpirma sa GRUB2 (tanan nga mga file sa tanan / GRUB direktoryo) gamit ang imong yawe nga "perskey".
Usa ka yano nga solusyon kung giunsa ang pagpirma (para sa nautilus/caja explorer): i-install ang extension nga "seahorse" alang sa Explorer gikan sa repository. Ang imong yawe kinahanglang idugang sa su environment.
Ablihi ang Explorer gamit ang sudo "/ mnt / boot" - RMB - sign. Sa screen kini ingon niini
Ang yawe mismo mao ang "/mnt/boot/grub/perskey" (kopya sa direktoryo sa grub) kinahanglan usab nga pirmahan gamit ang imong kaugalingon nga pirma. Susiha nga ang [*.sig] file signatures makita sa direktoryo/subdirektoryo.
Gamit ang pamaagi nga gihulagway sa ibabaw, pirmahi ang "/boot" (among kernel, initrd). Kung ang imong oras adunay bili, nan kini nga pamaagi nagwagtang sa panginahanglan sa pagsulat sa usa ka bash script aron mapirmahan ang "daghang mga file."
Aron tangtangon ang tanang pirma sa bootloader (kung adunay nahitabo nga sayup)
rm -f $(find /mnt/boot/grub -type f -name '*.sig')Aron dili mapirmahan ang bootloader pagkahuman sa pag-update sa sistema, among gi-freeze ang tanan nga mga pakete sa pag-update nga may kalabotan sa GRUB2.
apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-commonNiini nga lakang <protect bootloader with digital signature> nahuman na ang advanced configuration sa GRUB2.
C6.3. Proof-test sa GRUB2 bootloader, giprotektahan sa digital signature ug authenticationGRUB2. Kung nagpili sa bisan unsang pag-apod-apod sa GNU/Linux o pagsulod sa CLI (linya sa sugo) Kinahanglan ang pagtugot sa superuser. Human sa pagsulod sa husto nga username/password, kinahanglan nimo ang initrd password
Screenshot sa malampuson nga pag-authenticate sa GRUB2 superuser.
Kung imong usbon ang bisan unsang GRUB2 nga mga file/mohimo og mga pagbag-o sa grub.cfg, o tangtangon ang file/pirma, o magkarga ug malisyoso nga module.mod, usa ka katugbang nga pasidaan ang makita. Ang GRUB2 mohunong sa pagkarga.
Screenshot, usa ka pagsulay sa pagpanghilabot sa GRUB2 "gikan sa gawas".
Atol sa "normal" nga pag-booting "nga walay pagsulod", ang sistema sa exit code status kay "0". Busa, wala mahibal-an kung ang proteksyon molihok o dili (nga mao, "nga adunay o wala ang bootloader nga proteksyon sa pirma" sa panahon sa normal nga pagkarga sa kahimtang parehas nga "0" - kini dili maayo).
Giunsa pagsusi ang proteksyon sa digital nga pirma?
Usa ka dili kombenyente nga paagi sa pagsusi: peke / kuhaa ang usa ka module nga gigamit sa GRUB2, pananglitan, kuhaa ang pirma nga luks.mod.sig ug makakuha usa ka sayup.
Ang husto nga paagi: adto sa bootloader CLI ug i-type ang command
trust_list
Agig tubag, kinahanglan ka makadawat og fingerprint nga "perskey", kung ang status kay "0," nan ang proteksyon sa pirma dili molihok, susiha pag-double ang paragraph C6.2.
Niini nga lakang, ang advanced configuration "Pagpanalipod sa GRUB2 uban ang digital nga pirma ug pag-authenticate" nahuman.
C7 Alternatibong pamaagi sa pagpanalipod sa GRUB2 bootloader gamit ang hashingAng "CPU Boot Loader Protection/Authentication" nga pamaagi nga gihulagway sa ibabaw kay classic. Tungod sa mga pagkadili hingpit sa GRUB2, sa paranoid nga mga kondisyon kini daling madala sa usa ka tinuod nga pag-atake, nga akong ihatag sa ubos sa parapo [F]. Dugang pa, pagkahuman sa pag-update sa OS / kernel, ang bootloader kinahanglan nga pirmahan pag-usab.
Pagpanalipod sa GRUB2 bootloader gamit ang hashing
Mga bentaha sa mga klasiko:
- Mas taas nga lebel sa pagkakasaligan (hashing/verification mahitabo lamang gikan sa usa ka encrypted lokal nga kapanguhaan. Ang tibuok nga gigahin partition ubos sa GRUB2 kontrolado alang sa bisan unsa nga mga kausaban, ug ang tanan nga uban nga mga encrypted; sa classic scheme uban sa CPU loader proteksyon/Authentication, mga file lamang ang kontrolado, apan dili libre luna, diin ang "usa ka butang" usa ka butang nga daotan" mahimong idugang).
- Naka-encrypt nga pag-log (usa ka mabasa sa tawo nga personal nga naka-encrypt nga log gidugang sa laraw).
- Dali (pagpanalipod/pagpamatuod sa tibuok partition nga gigahin alang sa GRUB2 mahitabo hapit diha-diha dayon).
- Pag-automate sa tanan nga mga proseso sa cryptographic.
Mga disbentaha sa mga klasiko.
- Pagpalsipikar sa pirma (sa teoretikal, posible nga makit-an ang usa ka gihatag nga pagbangga sa hash function).
- Dugang nga lebel sa kalisud (itandi sa klasiko, gikinahanglan ang gamay nga kahanas sa GNU/Linux OS).
Giunsa ang GRUB2/partition hashing nga ideya molihok
Ang partisyon sa GRUB2 "gipirmahan"; kung mag-boot ang OS, ang partisyon sa boot loader gisusi alang sa pagkadili mabag-o, gisundan sa pag-log in sa usa ka luwas (naka-encrypt) nga palibot. Kung ang bootloader o ang partisyon niini makompromiso, dugang sa intrusion log, ang mosunod gilunsad:
Butang.
Ang usa ka susama nga pagsusi mahitabo upat ka beses sa usa ka adlaw, nga wala mag-load sa mga kapanguhaan sa sistema.
Gamit ang "-$ check_GRUB" nga sugo, ang usa ka instant check mahitabo sa bisan unsang oras nga walay pag-log, apan adunay impormasyon nga output ngadto sa CLI.
Gamit ang command "-$ sudo signature_GRUB", ang GRUB2 boot loader/partition gilayon nga gipirmahan pag-usab ug ang updated nga pag-log (gikinahanglan human sa OS/boot update), ug ang kinabuhi nagpadayon.
Pagpatuman sa usa ka pamaagi sa hashing alang sa bootloader ug sa seksyon niini
0) Atong pirmahan ang GRUB bootloader/partition pinaagi sa una nga pag-mount niini sa /media/username
-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt1) Naghimo kami usa ka script nga wala’y extension sa gamut sa na-encrypt nga OS ~/podpis, i-apply ang kinahanglan nga 744 nga mga katungod sa seguridad ug dili maliputon nga proteksyon niini.
Pagpuno sa mga sulod niini
#!/bin/bash
#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux.
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'
a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!!
b="hashdeep: Audit failed"
#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]]
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif'
fiPagdalagan ang script gikan sa su, ang hashing sa GRUB partition ug ang bootloader niini susihon, i-save ang log.
Maghimo kita o magkopya, pananglitan, usa ka "malicious file" [virus.mod] sa partisyon sa GRUB2 ug magpadagan ug temporaryo nga pag-scan/pagsulay:
-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUBAng CLI kinahanglan makakita sa usa ka pagsulong sa atong -kuta-#Giputol nga log sa CLI
Ср янв 2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
Input files examined: 0
Known files expecting: 0
Files matched: 325
Files partially matched: 0
Files moved: 1
New files found: 0
Known files not found: 0
#Sa imong makita, ang "Files moved: 1 and Audit failed" makita, nga nagpasabot nga ang tseke napakyas.
Tungod sa kinaiya sa partisyon nga gisulayan, imbes nga "Bag-ong mga file nakit-an"> "Mga file gibalhin"
2) Ibutang ang gif dinhi > ~/warning.gif, ibutang ang permiso sa 744.
3) Pag-configure sa fstab aron i-automount ang partisyon sa GRUB sa boot
-$ sudo nano /etc/fstabLABEL=GRUB /media/username/GRUB ext4 mga default 0 0
4) Pag-rotate sa log
-$ sudo nano /etc/logrotate.d/podpis /var/log/podpis.txt {
adlaw-adlaw nga
pagtuyok 50
gidak-on 5M
petsa sa petsa
idasok
pagdalidali
olddir /var/log/old
}/var/log/vtorjenie.txt {
binulan nga
pagtuyok 5
gidak-on 5M
petsa sa petsa
olddir /var/log/old
}
5) Pagdugang og trabaho sa cron
-$ sudo crontab -e'/subskripsyon'
0 */6 * * * '/podpis
6) Paghimo ug permanenteng mga alyas
-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash
Pagkahuman sa pag-update sa OS -$ apt-get upgrade pirmahi pag-usab ang among partisyon sa GRUB
-$ подпись_GRUB
Niini nga punto, kompleto na ang pagpanalipod sa hashing sa partisyon sa GRUB.
[D] Pagpahid - pagkaguba sa wala ma-encrypt nga datos
Pagtangtang sa imong personal nga mga file sa hingpit nga "bisan ang Diyos dili makabasa niini," sumala sa tigpamaba sa South Carolina nga si Trey Gowdy.
Sama sa naandan, adunay lainlaing “mito ug ", mahitungod sa pagpasig-uli sa data human kini mapapas gikan sa usa ka hard drive. Kung mituo ka sa cyberwitchcraft, o usa ka miyembro sa Dr web community ug wala pa nakasulay sa pagbawi sa datos human kini matangtang/gi-overwrit. (pananglitan, pagbawi gamit ang R-studio), unya ang gisugyot nga pamaagi dili tingali mohaum kanimo, gamita ang labing duol kanimo.
Human sa malampuson nga pagbalhin sa GNU/Linux ngadto sa usa ka naka-encrypt nga partition, ang daan nga kopya kinahanglang papason nga walay posibilidad sa pagbawi sa datos. Universal nga pamaagi sa pagpanglimpyo: software para sa Windows/Linux free GUI software .
Dali pormat ang seksyon, ang datos nga kinahanglan gub-on (pinaagi sa Gparted) ilunsad ang BleachBit, pilia ang "Paglimpyo sa libre nga luna" - pilia ang partisyon (imong sdaX nga adunay naunang kopya sa GNU/Linux), ang proseso sa paghubo magsugod. BleachBit - gipahiran ang disk sa usa ka pass - kini ang "kinahanglan namon", Apan! Kini molihok lamang sa teorya kung imong gi-format ang disk ug gilimpyohan kini sa BB v2.0 software.
Pagtagad! Gipahiran sa BB ang disk, nagbilin sa metadata; ang mga ngalan sa file gipreserbar kung ang datos giwagtang (Ccleaner - dili mobiya sa metadata).
Ug ang tumotumo bahin sa posibilidad sa pagbawi sa datos dili usa ka mito.Bleachbit V2.0-2 kanhi dili lig-on nga OS Debian package (ug bisan unsang ubang susama nga software: sfill; wipe-Nautilus - namatikdan usab niining hugaw nga negosyo) sa tinuod adunay usa ka kritikal nga bug: ang "free space clearing" function kini dili husto sa HDD/Flash drive (ntfs/ext4). Ang software sa niini nga matang, sa diha nga paghawan sa libre nga luna, dili overwrite sa tibuok disk, ingon sa daghang mga tiggamit naghunahuna. Ug ang uban (daghan) natangtang nga data Giisip sa OS/software kini nga datos nga dili natangtang/user data ug kung limpyohan ang "OSP" gilaktawan kini nga mga file. Ang problema mao nga pagkahuman sa dugay nga panahon, paglimpyo sa disk Ang "natangtang nga mga file" mahimong mabawi bisan human sa 3+ pass sa pagpahid sa disc.
Sa GNU/Linux sa Bleachbit 2.0-2 Ang mga gimbuhaton sa permanente nga pagtangtang sa mga file ug mga direktoryo molihok nga kasaligan, apan dili paghawan sa libre nga wanang. Alang sa pagtandi: sa Windows sa CCleaner ang "OSP para sa ntfs" nga function nagtrabaho sa husto, ug ang Diyos dili gyud makabasa sa mga natangtang nga datos.
Ug busa, sa hingpit nga pagtangtang "pagkompromiso" daan nga wala ma-encrypt nga datos, Ang Bleachbit nanginahanglan direkta nga pag-access sa kini nga datos, unya, gamita ang "permanente nga pagtangtang sa mga file / direktoryo" nga function.
Aron matangtang ang "mga natangtang nga mga file gamit ang standard nga mga himan sa OS" sa Windows, gamita ang CCleaner/BB nga adunay function nga "OSP". Sa GNU/Linux sa kini nga problema (pagtangtang sa mga natangtang nga mga file) kinahanglan ka nga magpraktis sa imong kaugalingon (pagtangtang sa datos + usa ka independente nga pagsulay nga ibalik kini ug dili ka kinahanglan magsalig sa bersyon sa software (kung dili usa ka bookmark, unya usa ka bug)), lamang sa niini nga kaso nga kamo makahimo sa pagsabot sa mekanismo sa niini nga problema ug isalikway ang mga natangtang data sa hingpit.
Wala pa nako gisulayan ang Bleachbit v3.0, ang problema tingali naayo na.
Ang Bleachbit v2.0 naglihok nga matinud-anon.
Niini nga lakang, kompleto na ang pagpahid sa disk.
[E] Universal backup sa naka-encrypt nga OS
Ang matag tiggamit adunay kaugalingon nga pamaagi sa pag-back up sa datos, apan ang naka-encrypt nga datos sa System OS nanginahanglan usa ka gamay nga lahi nga pamaagi sa buluhaton. Ang hiniusang software, sama sa Clonezilla ug susamang software, dili direktang molihok sa naka-encrypt nga datos.
Pahayag sa problema sa pag-back up sa mga naka-encrypt nga block device:
- universality - parehas nga backup algorithm/software para sa Windows/Linux;
- ang abilidad sa pagtrabaho sa console sa bisan unsang live usb GNU/Linux nga wala kinahanglana ang dugang nga pag-download sa software (apan girekomenda gihapon ang GUI);
- seguridad sa mga backup nga kopya - gitipigan nga "mga imahe" kinahanglan nga encrypted/password-protected;
- ang gidak-on sa naka-encrypt nga datos kinahanglang motakdo sa gidak-on sa aktuwal nga datos nga gikopya;
- sayon nga pagkuha sa gikinahanglan nga mga file gikan sa usa ka backup nga kopya (walay kinahanglanon nga i-decrypt una ang tibuok seksyon).
Pananglitan, i-backup / ibalik pinaagi sa "dd" utility
dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerrorKini katumbas sa hapit tanan nga mga punto sa buluhaton, apan sumala sa punto 4 dili kini mobarug sa pagsaway, tungod kay kini nagkopya sa tibuok nga partition sa disk, lakip ang libre nga luna - dili makapaikag.
Pananglitan, usa ka GNU/Linux backup pinaagi sa archiver [tar" | gpg] kombenyente, apan alang sa Windows backup kinahanglan nimo pangitaon ang lain nga solusyon - dili kini makapaikag.
E1. Universal Windows/Linux backup. I-link ang rsync (Grsync)+VeraCrypt volumeAlgorithm sa paghimo og backup nga kopya:
- paghimo og encrypted nga sudlanan (volume/file) VeraCrypt para sa OS;
- ibalhin/i-synchronize ang OS gamit ang Rsync software ngadto sa VeraCrypt crypto container;
- kung gikinahanglan, i-upload ang volume sa VeraCrypt sa www.
Ang paghimo og usa ka naka-encrypt nga sudlanan sa VeraCrypt adunay kaugalingon nga mga kinaiya:
paghimo sa usa ka dinamikong gidaghanon (ang paghimo sa DT anaa lamang sa Windows, mahimo usab nga gamiton sa GNU/Linux);
paghimo sa usa ka regular nga volume, apan adunay usa ka kinahanglanon sa usa ka "paranoid nga kinaiya" (sumala sa developer) - pag-format sa sudlanan.
Ang usa ka dinamikong volume gihimo halos diha-diha dayon sa Windows, apan kung nagkopya sa datos gikan sa GNU/Linux> VeraCrypt DT, ang kinatibuk-ang pasundayag sa backup nga operasyon mikunhod pag-ayo.
Usa ka regular nga 70 GB nga gidaghanon sa Twofish ang gihimo (atong ingnon, sa kasagaran nga gahum sa PC) sa HDD ~ sa tunga sa oras (Ang pag-overwrite sa kanhing datos sa sudlanan sa usa ka pass tungod sa mga kinahanglanon sa seguridad). Ang gimbuhaton sa dali nga pag-format sa usa ka volume sa dihang ang paghimo niini gikuha gikan sa VeraCrypt Windows/Linux, mao nga ang paghimo og usa ka sudlanan posible lamang pinaagi sa "one-pass rewriting" o paghimo sa usa ka low-performance dynamic volume.
Paghimo usa ka regular nga volume sa VeraCrypt (dili dinamiko/ntfs), wala untay problema.
Pag-configure / paghimo / pag-abli sa usa ka sudlanan sa VeraCrypt GUI> GNU/Linux live usb (ang volume i-automount sa /media/veracrypt2, ang volume sa Windows OS i-mount sa /media/veracrypt1). Paghimo og encrypted backup sa Windows OS gamit ang GUI rsync (grsync)pinaagi sa pagsusi sa mga kahon.
Paghulat nga makompleto ang proseso. Kung kompleto na ang pag-backup, makabaton kami usa ka naka-encrypt nga file.
Sa susama, paghimo og backup nga kopya sa GNU/Linux OS pinaagi sa pag-uncheck sa "Windows compatibility" checkbox sa rsync GUI.
Pagtagad! paghimo og Veracrypt nga sudlanan alang sa "GNU/Linux backup" sa file system ext4. Kung maghimo ka og backup sa usa ka sudlanan sa ntfs, unya kung ibalik nimo ang ingon nga kopya, mawala nimo ang tanan nga mga katungod / grupo sa tanan nimo nga datos.
Ang tanan nga mga operasyon mahimong ipahigayon sa terminal. Panguna nga mga kapilian alang sa rsync:
* -g -luwas nga mga grupo;
* -P —pag-uswag — kahimtang sa oras nga gigugol sa pagtrabaho sa file;
* -H - kopyaha ang mga hardlink ingon nga mao;
* -a -archive mode (daghang rlptgoD nga bandera);
* -v -berbalisasyon.
Kung gusto nimo i-mount ang usa ka "volume sa Windows VeraCrypt" pinaagi sa console sa software sa cryptsetup, mahimo ka maghimo usa ka alias (su)
echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash
Karon ang "veramount pictures" command mag-aghat kanimo sa pagsulod sa usa ka passphrase, ug ang encrypted Windows system volume i-mount sa OS.
Mapa/mount VeraCrypt system volume sa cryptsetup command
cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mntMapa/mount VeraCrypt partition/container sa cryptsetup command
cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mntImbis nga alyas, magdugang kami (usa ka script sa pagsugod) usa ka volume sa sistema nga adunay Windows OS ug usa ka lohikal nga naka-encrypt nga ntfs disk sa pagsugod sa GNU/Linux
Paghimo og script ug i-save kini sa ~/VeraOpen.sh
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.
Among gipang-apud-apod ang "husto" nga mga katungod:
sudo chmod 100 /VeraOpen.shPaghimo og duha ka managsama nga mga file (parehas nga ngalan!) sa /etc/rc.local ug ~/etc/init.d/rc.local
Pagpuno sa mga file
#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0Among gipang-apud-apod ang "husto" nga mga katungod:
sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local Mao ra kana, karon kung nag-load sa GNU / Linux dili na namon kinahanglan nga mosulod sa mga password aron ma-mount ang mga naka-encrypt nga ntfs disk, ang mga disk awtomatik nga gi-mount.
Usa ka mubo nga sulat mahitungod sa gihulagway sa ibabaw sa parapo E1 nga lakang sa lakang (apan karon alang sa OS GNU/Linux)
1) Paghimo ug volume sa fs ext4 > 4gb (para sa file) Linux sa Veracrypt [Cryptbox].
2) I-reboot aron mabuhi usb.
3) ~$ cryptsetup bukas /dev/sda7 Lunux #mapping encrypted partition.
4) ~$ mount /dev/mapper/Linux /mnt #mount ang encrypted partition sa /mnt.
5) ~$ mkdir mnt2 #paghimo ug direktoryo para sa umaabot nga backup.
6) ~$ cryptsetup open —veracrypt —type tcrypt ~/CryptoBox CryptoBox && mount /dev/mapper/CryptoBox /mnt2 #Map a Veracrypt volume nga ginganlag “CryptoBox” ug i-mount ang CryptoBox sa /mnt2.
7) ~$ rsync -avlxhHX —pag-uswag /mnt /mnt2/ #backup nga operasyon sa usa ka encrypted partition sa usa ka encrypted Veracrypt volume.
(p/s/ Pagtagad! Kung imong gibalhin ang naka-encrypt nga GNU/Linux gikan sa usa ka arkitektura/makina ngadto sa lain, pananglitan, Intel> AMD (nga mao, pag-deploy og backup gikan sa usa ka naka-encrypt nga partisyon ngadto sa lain nga naka-encrypt nga Intel> AMD partition), Ayaw kalimti Human mabalhin ang naka-encrypt nga OS, i-edit ang sekreto nga kapuli nga yawe imbes ang password, tingali. ang miaging yawe ~/etc/skey - dili na mohaom sa laing naka-encrypt nga partition, ug dili maayo nga maghimo ug bag-ong yawe nga "cryptsetup luksAddKey" gikan sa ilawom sa chroot - posible ang glitch, sa ~/etc/crypttab specify imbes nga "/etc/skey" temporaryo nga "wala" ", pagkahuman sa rebot ug pag-log in sa OS, buhata pag-usab ang imong sekreto nga wildcard key).
Isip mga beterano sa IT, hinumdomi nga maglainlain ang paghimo og mga backup sa mga header sa na-encrypt nga mga partisyon sa Windows/Linux OS, o ang pag-encrypt moliko batok kanimo.
Niini nga lakang, ang pag-backup sa naka-encrypt nga OS nahuman.
[F] Pag-atake sa GRUB2 bootloader
Tan-awa ang mga detalyeKung giprotektahan nimo ang imong bootloader gamit ang digital signature ug/o authentication (tan-awa ang punto C6.), nan dili kini makapanalipod batok sa pisikal nga pag-access. Ang naka-encrypt nga datos dili gihapon ma-access, apan ang proteksyon malaktawan (i-reset ang proteksyon sa digital nga pirma) Gitugotan sa GRUB2 ang usa ka cyber-villain nga mag-inject sa iyang code sa bootloader nga wala’y pagduda (gawas kung ang user mano-mano nga nagmonitor sa bootloader nga estado, o adunay ilang kaugalingong lig-on nga arbitrary-script code para sa grub.cfg).
Algoritmo sa pag-atake. Manunulong
* Gi-boot ang PC gikan sa live usb. Bisan unsang kausaban (malapason) Ang mga file magpahibalo sa tinuod nga tag-iya sa PC bahin sa pagsulod sa bootloader. Apan usa ka yano nga pag-instalar sa GRUB2 nga nagtipig sa grub.cfg (ug ang sunod nga abilidad sa pag-edit niini) magtugot sa usa ka tig-atake sa pag-edit sa bisan unsang mga file (Niining sitwasyona, sa pag-load sa GRUB2, dili pahibaw-on ang tinuod nga user. Parehas ra ang status <0>)
* Nag-mount sa usa ka wala ma-encrypt nga partisyon, nagtipig "/mnt/boot/grub/grub.cfg".
* I-install pag-usab ang bootloader (pagtangtang sa "perskey" gikan sa core.img nga hulagway)
grub-install --force --root-directory=/mnt /dev/sda6
* Gibalik ang "grub.cfg" > "/mnt/boot/grub/grub.cfg", i-edit kini kung gikinahanglan, pananglitan, pagdugang sa imong module nga "keylogger.mod" sa folder nga adunay mga module sa loader, sa "grub.cfg" > linya nga "insmod keylogger". O, pananglitan, kung ang kaaway maliputon, pagkahuman sa pag-instalar sa GRUB2 (tanan nga pirma nagpabilin sa lugar) nagtukod kini sa nag-unang GRUB2 nga imahe gamit ang "grub-mkimage nga adunay kapilian (-c)." Ang "-c" nga kapilian magtugot kanimo sa pagkarga sa imong config sa dili pa i-load ang nag-unang "grub.cfg". Ang config mahimong maglangkob sa usa lang ka linya: redirection sa bisan unsang "modern.cfg", gisagol, pananglitan, nga adunay ~ 400 nga mga file (mga modulo+pirma) sa folder nga "/boot/grub/i386-pc". Sa kini nga kaso, ang usa ka tig-atake mahimong mag-insert sa arbitraryong code ug mag-load sa mga module nga dili makaapekto sa "/boot/grub/grub.cfg", bisan kung gi-apply sa gumagamit ang "hashsum" sa file ug temporaryo nga gipakita kini sa screen.
Ang usa ka tig-atake dili kinahanglan nga mag-hack sa GRUB2 superuser login/password; kinahanglan lang niya kopyahon ang mga linya (responsable sa pag-authenticate) "/boot/grub/grub.cfg" sa imong "modern.cfg"
ibutang ang superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
Ug ang tag-iya sa PC ma-authenticate gihapon isip GRUB2 superuser.
Pagkarga sa kadena (nag-load ang bootloader og laing bootloader), sama sa akong gisulat sa ibabaw, dili makatarunganon (kini gituyo alang sa lain nga katuyoan). Ang naka-encrypt nga bootloader dili ma-load tungod sa BIOS (chain boot restarts GRUB2 > encrypted GRUB2, sayop!). Bisan pa, kung gigamit nimo ang ideya sa pagkarga sa kadena, makasiguro ka nga kini ang naka-encrypt nga gikarga. (dili moderno) "grub.cfg" gikan sa encrypted partition. Ug kini usab usa ka sayup nga pagbati sa seguridad, tungod kay ang tanan nga gipakita sa naka-encrypt nga "grub.cfg" (module loading) nagdugang sa mga modules nga gikarga gikan sa unencrypted GRUB2.
Kung gusto nimo susihon kini, unya igahin / i-encrypt ang lain nga partition sdaY, kopyaha ang GRUB2 niini (grub-install nga operasyon sa usa ka encrypted partition dili mahimo) ug sa "grub.cfg" (wala ma-encrypt nga config) usba ang mga linya nga sama niini
menuentry 'GRUBx2' --class parrot --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
load_video
insmod gzio
kung [x$grub_platform = xxen]; unya insmod xzio; insmod lzopio; fi
insmod nga bahin_msdos
insmod cryptodisk
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
normal /boot/grub/grub.cfg
}
mga kuldas
* insmod - pagkarga sa gikinahanglan nga mga module alang sa pagtrabaho sa usa ka naka-encrypt nga disk;
* GRUBx2 - ngalan sa linya nga gipakita sa GRUB2 boot menu;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -tan-awa. fdisk -l (sda9);
* ibutang ang gamut - i-install ang gamut;
* normal /boot/grub/grub.cfg - executable configuration file sa usa ka encrypted partition.
Ang pagsalig nga kini ang naka-encrypt nga "grub.cfg" nga gikarga usa ka positibo nga tubag sa pagsulod sa password / pag-unlock sa "sdaY" kung gipili ang linya nga "GRUBx2" sa GRUB menu.
Kung nagtrabaho sa CLI, aron dili malibog (ug susiha kung ang "set root" environment variable nagtrabaho), paghimo og walay sulod nga mga token file, pananglitan, sa naka-encrypt nga seksyon "/shifr_grub", sa wala ma-encrypt nga seksyon "/noshifr_grub". Pagsusi sa CLI
cat /Tab-TabSama sa gihisgutan sa ibabaw, dili kini makatabang batok sa pag-download sa mga malisyoso nga mga module kung ang ingon nga mga module mahuman sa imong PC. Pananglitan, usa ka keylogger nga makahimo sa pag-save sa mga keystroke sa usa ka file ug isagol kini sa ubang mga file sa "~/i386" hangtod kini ma-download sa usa ka tig-atake nga adunay pisikal nga pag-access sa PC.
Ang labing kadali nga paagi aron mapamatud-an nga ang proteksyon sa digital nga pirma aktibo nga nagtrabaho (dili reset), ug walay usa nga misulong sa bootloader, isulod ang command sa CLI
list_trusted
agig tubag makadawat kami ug kopya sa among "perskey", o wala kami makadawat kung kami giatake (kinahanglan nimo nga susihon ang "set check_signatures=enforce").
Ang usa ka hinungdanon nga disbentaha sa kini nga lakang mao ang pagsulod sa mga mando nga mano-mano. Kung imong idugang kini nga command sa "grub.cfg" ug panalipdan ang config gamit ang digital signature, nan ang preliminary output sa key snapshot sa screen mubo ra kaayo sa timing, ug mahimo nga wala ka'y panahon nga makita ang output human sa loading GRUB2 .
Walay usa nga partikular nga mohimo sa pag-angkon sa: ang developer sa iyang Ang clause 18.2 opisyal nga nagpahayag
"Timan-i nga bisan sa proteksyon sa password sa GRUB, ang GRUB mismo dili makapugong sa usa ka tawo nga adunay pisikal nga pag-access sa makina gikan sa pag-usab sa firmware sa makina (pananglitan, Coreboot o BIOS) nga pag-configure aron ma-boot ang makina gikan sa lahi (kontrolado sa pag-atake) nga aparato. Ang GRUB usa ra ka link sa usa ka luwas nga kadena sa boot."
Ang GRUB2 sobra ra kaayo sa mga gimbuhaton nga makahatag usa ka pagbati sa sayup nga seguridad, ug ang pag-uswag niini milabaw na sa MS-DOS sa mga termino sa pagpaandar, apan kini usa lamang ka bootloader. Kataw-anan nga ang GRUB2 - "ugma" mahimong OS, ug ma-bootable nga GNU/Linux virtual machines para niini.
Usa ka mubo nga video bahin sa kung giunsa nako pag-reset ang proteksyon sa GRUB2 digital nga pirma ug gipahayag ang akong pagsulod sa usa ka tinuud nga tiggamit (Nahadlok ko nimo, apan imbes sa gipakita sa video, mahimo nimong isulat ang dili makadaot nga arbitrary code/.mod).
Mga konklusyon:
1) Ang pag-block sa sistema sa encryption alang sa Windows mas sayon nga ipatuman, ug ang proteksyon sa usa ka password mas sayon kay sa pagpanalipod sa daghang mga password nga adunay GNU/Linux block system encryption, aron mahimong patas: ang naulahi automated.
2) Gisulat nako ang artikulo nga may kalabotan ug detalyado yano usa ka giya sa full-disk encryption VeraCrypt/LUKS sa usa ka balay ang makina, nga mao ang labing maayo sa RuNet (IMHO). Ang giya kay> 50k nga mga karakter ang gitas-on, mao nga wala kini naglangkob sa pipila ka makapaikag nga mga kapitulo: mga cryptographer nga nawala/nagpabilin sa mga anino; mahitungod sa kamatuoran nga sa lain-laing mga libro sa GNU/Linux sila magsulat og gamay/dili mosulat mahitungod sa cryptography; mahitungod sa Artikulo 51 sa Konstitusyon sa Russian Federation; O /giwala , mahitungod kung nganong kinahanglan nimo nga i-encrypt ang "gamut / boot". Ang giya nahimo nga medyo halapad, apan detalyado. (naghulagway bisan sa yano nga mga lakang), sa baylo, kini makaluwas kanimo og daghang panahon kung makaabot ka sa "tinuod nga pag-encrypt".
3) Ang bug-os nga disk encryption gihimo sa Windows 7 64; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.
4) Nagpatuman sa usa ka malampuson nga pag-atake sa imong GRUB2 bootloader.
5) Gibuhat ang Tutorial aron matabangan ang tanan nga paranoid nga mga tawo sa CIS, diin ang pagtrabaho kauban ang pag-encrypt gitugotan sa lebel sa lehislatibo. Ug labi na alang sa mga gusto nga i-roll out ang full-disk encryption nga wala giguba ang ilang mga na-configure nga sistema.
6) Gibuhat pag-usab ug gi-update ang akong manwal, nga may kalabotan sa 2020.
[G] Mapuslanon nga dokumentasyon
- (Pebrero 2012 RU)
- /usr/share/doc/cryptsetup(-run) [lokal nga kapanguhaan] (opisyal nga detalyadong dokumentasyon sa pag-set up sa GNU/Linux encryption gamit ang cryptsetup)
- (mubo nga dokumentasyon sa pag-set up sa GNU/Linux encryption gamit ang cryptsetup)
- (dokumentasyon sa archlinux)
- (arch man page)
- (arch man page)
- .
Tags: full disk encryption, partition encryption, Linux full disk encryption, LUKS1 full system encryption.
Ang mga rehistradong tiggamit lamang ang makaapil sa survey. , walay sapayan.
Nag-encrypt ka ba?
-
17,1%Gi-encrypt nako ang tanan nga akong mahimo. Paranoid ko.14
-
34,2%I-encrypt lang nako ang importanteng data.28
-
14,6%Usahay mag encrypt ko, usahay makalimot.12
-
34,2%Dili, dili ko mag-encrypt, dili kombenyente ug mahal.28
82 nga tiggamit ang nagboto. 22 ka tiggamit ang nag-abstain.
Source: www.habr.com