Aktualizovaný vlastní průvodce šifrováním celého disku v Runet V0.2.
Kovbojská strategie:
[A] Windows 7 blokuje systémové šifrování nainstalovaného systému;
[B] Kódování blokového systému GNU/Linux (Debian) nainstalovaný systém (včetně /boot);
[C] Nastavení GRUB2, ochrana bootloaderu s digitálním podpisem/autentizací/hašováním;
[D] čištění - zničení nešifrovaných dat;
[E] univerzální záloha šifrovaného OS;
[F] útok <na [C6]> cíl - nakladač GRUB2;
[G] Užitečná dokumentace.
╭───Schéma #místnost 40# :
├──╼ Nainstalovaný Windows 7 – úplné šifrování systému, není skryté;
├──╼ GNU/Linux nainstalován (Debian a odvozené distribuce) - úplné systémové šifrování není skryté(/, včetně /boot; swap);
├──╼ nezávislé zavaděče: zavaděč VeraCrypt nainstalovaný v MBR, zavaděč GRUB2 nainstalovaný v rozšířeném oddílu;
├──╼ instalace/přeinstalace OS není vyžadována;
└──╼ použitý kryptografický software: VeraCrypt; Cryptosetup; gnupg; mořský koník; hashdeep; GRUB2 – zdarma/zdarma.
Výše uvedené schéma částečně řeší problém „vzdáleného spouštění na flash disk“, umožňuje vám využívat šifrovaný operační systém Windows / Linux a vyměňovat si data prostřednictvím „šifrovaného kanálu“ z jednoho OS do druhého.
Pořadí spouštění počítače (jedna z možností):
- zapnutí stroje;
- stažení zavaděče VeraCrypt (správné zadání hesla bude pokračovat při spouštění systému Windows 7);
- stisknutím klávesy "Esc" se načte bootloader GRUB2;
- Zavaděč GRUB2 (volba distribuce/GNU/Linux/CLI), bude vyžadovat ověření superuživatele GRUB2 <login/password>;
- po úspěšné autentizaci a výběru distribuce budete muset pro odemknutí "/boot/initrd.img" zadat přístupovou frázi;
- po zadání správných hesel v GRUB2 "vyžadováno" zadat heslo (třetí v řadě, heslo systému BIOS nebo heslo uživatelského účtu GNU/Linux – nebere v úvahu) odemknout a zavést operační systém GNU/Linux nebo automatické nahrazení tajného klíče (dvě hesla + klíč nebo heslo + klíč);
- vnější průnik do konfigurace GRUB2 zmrazí proces spouštění GNU/Linuxu.
Namáhavý? Dobře, pojďme automatizovat procesy.
Při rozdělování pevného disku (tabulka MBR) Počítač nemůže mít více než 4 hlavní oddíly nebo 3 hlavní a jeden rozšířený a také nepřidělenou oblast. Rozšířená sekce, na rozdíl od hlavní, může obsahovat podsekce. (logické disky=rozšířený oddíl). Jinými slovy, "rozšířený oddíl" na HDD nahrazuje LVM pro aktuální úlohu: úplné systémové šifrování. Pokud je váš disk rozdělen na 4 hlavní oddíly, musíte použít lvm nebo transformaci (s formátováním) sekce z hlavní na pokročilou, nebo kompetentně použijte všechny čtyři sekce a nechte vše tak, jak je, abyste získali požadovaný výsledek. I když máte na disku pouze jeden oddíl, Gparted vám pomůže rozdělit váš HDD (pro další sekce) bez ztráty dat, ale přesto s malou cenou za takové akce.
Schéma rozložení pevného disku, vzhledem k němuž bude celý článek verbalizován, je uvedeno v tabulce níže.
Tabulka (č. 1) oddílů 1TB.
Měli byste mít něco podobného.
sda1 - hlavní oddíl #1 NTFS (šifrováno);
sda2 - značka rozšířeného úseku;
sda6 - logický disk (je na něm nainstalován bootloader GRUB2);
sda8 - swap (šifrovaný odkládací soubor / ne vždy);
sda9 - test logického disku;
sda5 - logický pohon pro zvědavce;
sda7 - OS GNU/Linux (portovaný OS na šifrovaný logický disk);
sda3 - hlavní oddíl #2 s Windows 7 (šifrováno);
sda4 - hlavní oddíl #3 (obsahoval nešifrovaný GNU / Linux, používá se pro zálohování / ne vždy).
[A] Windows 7 Block System Encryption
A1. VeraCrypt
Stáhnout z nebo ze zrcadla instalační verzi kryptografického softwaru VeraCrypt (v době publikace článku v1.24-Update3 není přenosná verze VeraCrypt vhodná pro systémové šifrování). Zkontrolujte kontrolní součet staženého softwaru
$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256
a výsledek porovnejte s CS zveřejněným na webu vývojáře VeraCrypt.
Pokud je nainstalován software HashTab, ještě jednodušší: RMB (VeraCrypt Setup 1.24.exe)-properties-hash součet souborů.
Pro ověření podpisu programu musí být v systému nainstalován software a veřejný klíč pgp vývojáře ; .
A2. Instalace/spuštění softwaru VeraCrypt s právy správce
A3. Výběr voleb systémového šifrování pro aktivní oddílVeraCrypt - Systém - Šifrovat systémový oddíl/jednotku - Normální - Šifrovat systémový oddíl Windows - Vícenásobné spouštění - (varování: "Nezkušeným uživatelům se nedoporučuje používat tuto metodu" a je to pravda, souhlas "Ano") – Spouštěcí disk („ano“, i když ne, stále „ano“) – Počet systémových disků „2 nebo více“ – Více systémů na jednom disku „Ano“ – Zavaděč mimo Windows „Ne“ (ve skutečnosti „Ano“, ale zavaděče VeraCrypt/GRUB2 mezi sebou nebudou sdílet MBR, přesněji řečeno, v MBR/boot stopě je uložena pouze nejmenší část kódu zavaděče, jeho hlavní část je umístěna v souboru Systém) – Multiboot – Nastavení šifrování…
Pokud se odchýlíte od výše uvedených kroků (šifrovací schémata blokového systému), pak VeraCrypt vydá varování a nedovolí zašifrovat oddíl.
Dalším krokem k cílené ochraně dat je provedení „Testu“ a výběr šifrovacího algoritmu. Pokud máte zastaralý CPU, pak bude šifrovací algoritmus Twofish s největší pravděpodobností nejrychlejší. Pokud je CPU výkonný, všimnete si rozdílu: AES - šifrování podle výsledků testu bude několikanásobně rychlejší než jeho krypto konkurenti. AES je populární šifrovací algoritmus, hardware moderních CPU je speciálně optimalizován pro "tajné" a "hacking".
VeraCrypt podporuje možnost šifrování disků pomocí kaskády AES(dvě ryby)/ a další kombinace. Na starém jaderném CPU Intel před deseti lety (žádná podpora hardwaru AES, kaskádové šifrování A/T) Snížení výkonu je v podstatě nepostřehnutelné. (u procesorů AMD stejné doby/~parametrů je výkon mírně snížen). OS funguje dynamicky a spotřeba prostředků na transparentní šifrování je nepostřehnutelná. Na rozdíl například od citelného poklesu výkonu v důsledku nainstalovaného testovacího nestabilního desktopového prostředí Mate v1.20.1 (nebo v1.20.2 si přesně nepamatuji) v GNU/Linuxu nebo kvůli provozu telemetrické rutiny ve Windows7↑. Obvykle sofistikovaní uživatelé provádějí testy výkonu hardwaru před šifrováním. Například v Aida64 / Sysbench / systemd-analyze obviňovat a porovnávat s výsledky stejných testů poté, co byl systém zašifrován, čímž vyvracejí mýtus „šifrování systému je škodlivé“ pro ně samotné. Zpomalení stroje a nepohodlí je patrné při zálohování / obnově šifrovaných dat, protože samotná operace „zálohování systémových dat“ se neměří v ms a jsou přidány stejné <dešifrovat / šifrovat za běhu>. Nakonec každý uživatel, kterému je dovoleno pohrávat si s kryptografií, nalezne rovnováhu mezi šifrovacím algoritmem ve vztahu ke splnění úkolů, stupněm své paranoie a snadností použití.
Je lepší ponechat parametr PIM ve výchozím nastavení, abyste nezadávali přesné hodnoty iterace při každém spuštění operačního systému. VeraCrypt používá obrovské množství iterací k vytvoření opravdu „pomalého hashe“. Útok na takového „krypto šneka“ metodou Brute force/rainbow tables má smysl pouze s krátkou „jednoduchou“ přístupovou frází a osobním seznamem znaků oběti. Platba za sílu hesla - zpoždění při zadání správného hesla při načítání OS (připojování svazků VeraCrypt na GNU/Linux je výrazně rychlejší).
Svobodný software pro útoky hrubou silou (extrakce přístupové fráze z hlavičky disku VeraCrypt/LUKS) hashcat. John the Ripper neví, jak „prolomit Veracrypt“ a při práci s LUKS nerozumí kryptografii Twofish.
Kvůli kryptografické síle šifrovacích algoritmů vyvíjejí nezastavitelní cypherpunkové software s odlišným vektorem útoku. Například extrahování metadat/klíčů z RAM (studená bota/útok DMA), pro tento účel existuje specializovaný svobodný i nesvobodný software.
Na konci konfigurace / generování „unikátních metadat“ zašifrovaného aktivního oddílu nabídne VeraCrypt restart PC a otestuje výkon jeho bootloaderu. Po restartu / spuštění Windows se VeraCrypt načte v pohotovostním režimu, zbývá pouze potvrdit proces šifrování - Y.
V posledním kroku šifrování systému vám VeraCrypt nabídne vytvoření záložní kopie hlavičky aktivního šifrovaného oddílu ve formě "veracrypt Rescue disk.iso" - musíte to udělat - v tomto softwaru je taková operace požadavkem (v LUKS jako požadavek - toto je bohužel vynecháno, ale v dokumentaci podtrženo). Záchranný disk se hodí všem, ale někomu víckrát. Ztráta (přepis záhlaví/MBR) záloha hlavičky trvale odepře přístup k dešifrovanému oddílu s OS Windows.
A4. Vytvořte záchranný usb/disk VeraCryptVeraCrypt ve výchozím nastavení nabízí vypálení „metadat ~2-3MB“ na CD, ale ne všichni lidé mají disky nebo jednotky DWD-ROM a vytvoření bootovatelného flash disku „VeraCrypt Rescue disk“ bude pro někoho technickým překvapením: Rufus / GUIDd-ROSA ImageWriter a další podobný software - nebude schopen se s úkolem vyrovnat, protože kromě zkopírování posunutých metadat na zaváděcí flash disk musíte zkopírovat / vložit z obrázku mimo souborový systém jednotky USB, zkrátka správně zkopírujte MBR / cestu do klíčenky. Z operačního systému GNU / Linux můžete pomocí nástroje „dd“ vytvořit spouštěcí flash disk, když se podíváte na tento štítek.
Vytvoření záchranného disku v prostředí Windows je jiné. Vývojář VeraCrypt nezahrnul řešení tohoto problému do oficiálních na „záchranném disku“, ale navrhl řešení jiným způsobem: zveřejnil další software pro vytvoření „usb záchranného disku“ ve volném přístupu na své fórum VeraCrypt. Archivátorem tohoto softwaru Windows je „vytvořit záchranný disk usb veracrypt“. Po uložení záchranného disku.iso začne proces blokového systémového šifrování aktivního oddílu. Během šifrování se provoz OS nezastaví, restart PC není nutný. Po dokončení operace šifrování se aktivní oddíl plně zašifruje, můžete jej použít. Pokud se zavaděč VeraCrypt při spuštění počítače nezobrazí a operace obnovení hlavičky nepomůže, zkontrolujte příznak „boot“, musí být nastaven na oddíl, kde je přítomen systém Windows (bez ohledu na šifrování a další operační systémy viz tabulka č. 1).
Tím je popis šifrování blokového systému s OS Windows dokončen.
[B]LUKS. GNU/Linux šifrování (~Debian) nainstalovaný OS. Algoritmus a kroky
Abyste mohli zašifrovat nainstalovanou distribuci Debian/odvozenou distribuci, musíte připravenou oblast namapovat na virtuální blokové zařízení, přesunout ji na mapovaný disk GNU/Linux a nainstalovat/konfigurovat GRUB2. Pokud nemáte holý server a ceníte si svého času, musíte použít GUI a většina příkazů terminálu popsaných níže je určena ke spouštění v "režimu Chuck-Norris".
B1. Zavedení PC z live usb GNU/Linux
"Proveďte kryptotest výkonu hardwaru"
lscpu && сryptsetup benchmark
Pokud jste šťastným majitelem výkonného vozu s hardwarovou podporou AES, pak budou čísla vypadat jako pravá strana terminálu, pokud budete spokojeni, ale se starožitným železem, budou vypadat jako levá strana.
B2. Rozložení disku. připojení/formátování fs logického disku HDD v Ext4 (Gparted)
B2.1. Vytvoření šifrované hlavičky oddílu sda7Při popisu názvů oddílů, níže, budu v souladu s mou tabulkou oddílů, uvedenou výše. Podle rozložení disku musíte nahradit vlastní názvy oddílů.
Mapování šifrování logické jednotky (/dev/sda7 > /dev/mapper/sda7_crypt).
#Jednoduché vytvoření "LUKS-AES-XTS oddílu"
cryptsetup -v -y luksFormat /dev/sda7Možnosti:
* luksFormat - inicializace hlavičky LUKS;
* -y -passphrase (ne klíč/soubor);
* -v - verbalizace (výstup informace v terminálu);
* /dev/sda7 - váš logický disk z rozšířeného oddílu (kde se plánuje portování/šifrování GNU/Linuxu).
Výchozí šifrovací algoritmus <LUKS1: aes-xts-plain64, Klíč: 256 bitů, hash hlavičky LUKS: sha256, RNG: /dev/urandom> (závisí na verzi cryptsetup).
#Проверка default-алгоритма шифрования
cryptsetup --help #самая последняя строка в выводе терминала.Pokud na CPU není hardwarová podpora pro AES, nejlepší volbou by bylo vytvořit rozšířenou „LUKS-Twofish-XTS-partition“.
B2.2. Pokročilá tvorba "LUKS-Twofish-XTS-partition"
cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom
Možnosti:
* luksFormat - inicializace hlavičky LUKS;
* /dev/sda7 je váš budoucí šifrovaný logický disk;
* -v verbalizovat;
* -y přístupová fráze;
* -c výběr algoritmu šifrování dat;
* -s velikost šifrovacího klíče;
* -h hashovací algoritmus/kryptofunkce, používá se RNG (—použití-urandom) pro generování jedinečného šifrovacího/dešifrovacího klíče hlavičky logického disku, sekundárního klíče hlavičky (XTS); jedinečný hlavní klíč uložený v šifrované hlavičce disku, sekundární klíč XTS, všechna tato metadata a šifrovací rutina, která pomocí hlavního klíče a sekundárního klíče XTS zašifruje/dešifruje veškerá data na oddílu (kromě nadpisu sekce) jsou uloženy v ~3 MB na vybraném oddílu pevného disku.
* -i iterace v milisekundách, místo "množství" (časová prodleva při zpracování přístupové fráze ovlivňuje načítání OS a šifrovací sílu klíčů). Pro udržení rovnováhy kryptografické síly s jednoduchým heslem, jako je „russian“, je nutné zvýšit hodnotu -(i), se složitým heslem jako „?8dƱob/øfh“ lze hodnotu snížit.
* --use-urandom generátor náhodných čísel, generuje klíče a sůl.
Po namapování oddílu sda7 > sda7_crypt (operace je rychlá, protože je vytvořena šifrovaná hlavička s ~3 MB metadat a to je vše), musíte naformátovat a připojit souborový systém sda7_crypt.
B2.3. Mapování
cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.
možnosti:
* otevřít - porovnejte sekci "s názvem";
* /dev/sda7 - logická jednotka;
* sda7_crypt - mapování názvů, které se používá k připojení šifrovaného oddílu nebo jeho inicializaci při spouštění operačního systému.
B2.4. Formátování souborového systému sda7_crypt na ext4. Montáž disku v OS(Poznámka: Gparted již nebude fungovat se šifrovaným oddílem)
#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt
možnosti:
* -v - verbalizace;
* -L - jmenovka disku (která se zobrazuje v Průzkumníku mezi ostatními disky).
Dále byste měli do systému připojit virtuální šifrované blokové zařízení /dev/sda7_crypt
mount /dev/mapper/sda7_crypt /mntPráce se soubory ve složce /mnt automaticky zašifruje / dešifruje data v sda7.
Pohodlnější mapování a připojení oddílu v Průzkumníku souborů (grafické uživatelské rozhraní nautilus/caja), oddíl již bude v seznamu pro výběr disku, zbývá pouze zadat přístupovou frázi pro otevření / dešifrování disku. Namapované jméno bude vybráno automaticky a ne "sda7_crypt", ale něco jako /dev/mapper/Luks-xx-xx…
B2.5. Záloha záhlaví disku (metadata ~ 3 MB)Jeden z nejvíce Důležité operace, které je třeba provést bez prodlení – záložní kopie hlavičky „sda7_crypt“. Pokud dojde k přepsání/poškození záhlaví (například instalace GRUB2 na oddíl sda7 atd.), zašifrovaná data budou trvale ztracena bez jakékoli možnosti jejich obnovení, protože nebude možné znovu vygenerovat stejné klíče, klíče jsou vytvořeny jedinečné.
#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7
#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>
možnosti:
* luksHeaderBackup --header-backup-file - příkaz pro zálohování;
* luksHeaderRestore --header-backup-file - příkaz obnovení;
* ~/Backup_DebSHIFR - záložní soubor;
* /dev/sda7 - oddíl, jehož šifrovaná hlavička disku má být zálohována.
V tomto kroku je <vytvoření a úprava šifrovaného oddílu> dokončena.
B3. Migrace OS GNU/Linux (sda4) do šifrovaného oddílu (sda7)
Vytvořte složku /mnt2 (Poznámka - stále pracujeme s živým usb, sda7_crypt je připojen k /mnt)a připojte náš GNU/Linux na /mnt2, který musí být zašifrován.
mkdir /mnt2
mount /dev/sda4 /mnt2
Správný přenos OS provádíme pomocí softwaru Rsync
rsync -avlxhHX --progress /mnt2/ /mntMožnosti Rsync jsou popsány v části E1.
Dále, nutný defragmentovat diskový oddíl
e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux
Udělejte si pravidlo čas od času provádět e4defrag na šifrovaném GNU/Linuxu, pokud máte HDD.
Migrace a synchronizace [GNU/Linux > GNU/Linux-encrypted] je tímto krokem dokončena.
AT 4. Nastavení GNU/Linuxu na šifrovaném oddílu sda7
Po úspěšném přenosu OS /dev/sda4 > /dev/sda7 se musíte přihlásit do GNU/Linux na šifrovaném oddílu a provést další konfiguraci (bez restartu PC) ohledně šifrovaného systému. Tedy být v živém usb, ale spouštět příkazy „vzhledem ke kořenu šifrovaného OS“. Simulovat podobnou situaci bude "chroot". Chcete-li rychle získat informace, na kterém OS aktuálně pracujete (šifrované nebo ne, protože data v sda4 a sda7 jsou synchronizována), zrušte synchronizaci OS. Vytvořte v kořenových adresářích (sda4/sda7_crypt) prázdné soubory tokenů, jako jsou /mnt/encryptedOS a /mnt2/decryptedOS. Rychle zkontrolujte, jaký OS používáte (včetně budoucnosti):
ls /<Tab-Tab>B4.1. "Simulace přihlášení do šifrovaného OS"
mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt
B4.2. Kontrola, zda je práce prováděna vzhledem k šifrovanému systému
ls /mnt<Tab-Tab>
#и видим файл "/шифрованнаяОС"
history
#в выводе терминала должна появиться история команд su рабочей ОС.B4.3. Vytvoření/konfigurace šifrovaného swapu, úprava crypttab/fstabVzhledem k tomu, že odkládací soubor je formátován při každém spuštění OS, nemá smysl nyní vytvářet a mapovat swap na logický disk a zadávat příkazy jako v odstavci B2.2. U Swapu se při každém spuštění automaticky vygenerují jejich dočasné šifrovací klíče. Životní cyklus swap-a klíčů: odpojení/odpojení odkládacího oddílu (+vymazat RAM); nebo restartujte OS. Swap setup, otevřete soubor zodpovědný za konfiguraci blokově šifrovaných zařízení (podobně jako soubor fstab, ale zodpovědný za krypto).
nano /etc/crypttab pravidlo
#"cílový název" "zdrojové zařízení" "soubor klíče" "možnosti"
swap /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512
Možnosti
* swap - mapované jméno při šifrování /dev/mapper/swap.
* /dev/sda8 - použijte svůj logický oddíl pro swap.
* /dev/urandom - generátor náhodných šifrovacích klíčů pro swap (s každým novým spuštěním operačního systému se vytvoří nové klíče). Generátor /dev/urandom je méně náhodný než /dev/random, koneckonců /dev/random se používá při práci v nebezpečných paranoidních podmínkách. Při bootování OS zpomalí /dev/random načítání na několik ± minut (viz systemd-analýza).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -partition ví, že je to swap a je podle toho formátován; šifrovací algoritmus.
#Открываем и правим fstab
nano /etc/fstab
pravidlo
# swap byl během instalace na / dev / sda8
/dev/mapper/swap žádný swap sw 0 0
/dev/mapper/swap je název uvedený v crypttab.
Alternativní šifrovaná swap
Pokud z nějakého důvodu nechcete dát celý oddíl jako odkládací soubor, můžete jít alternativním a lepším způsobem: vytvořením odkládacího souboru v souboru na zašifrovaném oddílu OS.
fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянныйNastavení swapového oddílu je dokončeno.
B4.4. Nastavení šifrovaného GNU/Linuxu (úprava souborů crypttab/fstab)Soubor /etc/crypttab, jak jsem psal výše, popisuje šifrovaná bloková zařízení, která se konfigurují při spouštění systému.
#правим /etc/crypttab
nano /etc/crypttab
pokud jste odpovídali sekci sda7>sda7_crypt jako v odstavci B2.1
# "cílový název" "zdrojové zařízení" "soubor klíče" "možnosti"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks
pokud jste odpovídali sekci sda7>sda7_crypt jako v odstavci B2.2
# "cílový název" "zdrojové zařízení" "soubor klíče" "možnosti"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512
pokud jste odpovídali sekci sda7>sda7_crypt jako v odstavci B2.1 nebo B2.2, ale nechcete znovu zadávat heslo pro odemknutí a spuštění operačního systému, můžete místo hesla nahradit tajný klíč / náhodný soubor
# "cílový název" "zdrojové zařízení" "soubor klíče" "možnosti"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks
popis
*none – Označuje, že při spuštění operačního systému je k odemknutí kořenového adresáře vyžadována tajná přístupová fráze.
* UUID - identifikátor oddílu. Chcete-li zjistit své ID, zadejte do terminálu (připomeňme, že po celou tuto dobu pracujete v terminálu v prostředí chroot a ne v jiném živém usb terminálu).
fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное
/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»
tento řádek je viditelný při požadavku na blkid z živého usb terminálu s připojeným sda7_crypt).
UUID je převzato z vašeho sdaX (ne sdaX_crypt!, UUID sdaX_crypt – automaticky zmizí při generování konfigurace grub.cfg).
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks pokročilého režimu šifrování.
* /etc/skey - soubor tajného klíče, který se automaticky nahradí pro odemknutí spouštění OS (místo zadávání 3. hesla). Můžete zadat libovolný soubor až do velikosti 8 MB, ale data budou načtena < 1 MB.
#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey
#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7
Bude to vypadat nějak takto:
(udělejte to sami a uvidíte sami).
cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота/etc/fstab obsahuje popisné informace o různých souborových systémech.
#Правим /etc/fstab
nano /etc/fstab
# "souborový systém" "připojovací bod" "typ" "možnosti" "výpis" "průchod"
# / bylo během instalace na / dev / sda7
/dev/mapper/sda7_crypt / chyby ext4=remount-ro 0 1
možnost
* /dev/mapper/sda7_crypt je název mapování sda7>sda7_crypt, který je uveden v souboru /etc/crypttab.
Nastavení crypttab/fstab je nyní dokončeno.
B4.5. Editace konfiguračních souborů. Klíčový momentB4.5.1. Úprava konfigurace /etc/initramfs-tools/conf.d/resume
#Если у вас ранее был активирован swap раздел, отключите его.
nano /etc/initramfs-tools/conf.d/resume
a komentovat (pokud existuje) "#" řádek "obnovit". Soubor musí být zcela prázdný.
B4.5.2. Úprava konfigurace /etc/initramfs-tools/conf.d/cryptsetup
nano /etc/initramfs-tools/conf.d/cryptsetupby se měly shodovat
# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=ano
exportovat CRYPTSETUP
B4.5.3. Úprava konfigurace /etc/default/grub (právě tato konfigurace je zodpovědná za schopnost generovat grub.cfg při práci s šifrovaným /boot)
nano /etc/default/grub
přidat řádek "GRUB_ENABLE_CRYPTODISK=y"
nastavte na 'y', grub-mkconfig a grub-install zkontrolují šifrované disky a vygenerují další příkazy potřebné pro přístup k nim při spouštění (insmods ).
by měly být podobné
GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=vendor"
GRUB_CMDLINE_LINUX="tiché splash noautomount"
GRUB_ENABLE_CRYPTODISK=y
B4.5.4. Úprava konfiguračního souboru /etc/cryptsetup-initramfs/conf-hook
nano /etc/cryptsetup-initramfs/conf-hook
zkontrolujte, zda je linka okomentoval <#>.
Napříště (a ani nyní tento parametr nebude mít žádnou hodnotu, ale někdy narušuje aktualizaci obrazu initrd.img).
B4.5.5. Úprava konfiguračního souboru /etc/cryptsetup-initramfs/conf-hook
nano /etc/cryptsetup-initramfs/conf-hookpřidat
KEYFILE_PATTERN="/etc/skey"
UMASK=0077
Tím se zabalí tajný klíč „klíč“ do souboru initrd.img, klíč je potřeba k odemknutí rootu při spouštění OS (pokud si nepřejete znovu zadávat heslo, automaticky se nahradí klávesa „key“).
B4.6. Aktualizujte /boot/initrd.img [verze]Chcete-li zabalit soukromý klíč do initrd.img a použít opravy cryptsetup, aktualizujte obraz
update-initramfs -u -k all
při aktualizaci initrd.img (Jak se říká: "Možná, ale ne jistá") objeví se varování související s cryptsetupem nebo například oznámení o ztrátě modulů Nvidia - to je normální. Po aktualizaci souboru zkontrolujte, zda byl skutečně aktualizován podle času (vzhledem k prostředí chroot ./boot/initrd.img). Varování! před [update-initramfs -u -k all] nezapomeňte zkontrolovat, zda je cryptsetup otevřený /dev/sda7 sda7_crypt - toto je jméno, které by mělo být, které se objeví v /etc/crypttab, jinak po restartu-chyba busybox)
Tento krok dokončí nastavení konfiguračních souborů.
[С] Instalace a konfigurace GRUB2/Protection
C1. V případě potřeby naformátujte vyhrazený oddíl pro bootloader (pro oddíl stačí alespoň 20 MB)
mkfs.ext4 -v -L GRUB2 /dev/sda6C2. Připojte /dev/sda6 na /mntProtože pracujeme v chrootu, v kořenovém adresáři nebude žádný adresář /mnt2 a složka /mnt bude prázdná.
připojte oddíl GRUB2
mount /dev/sda6 /mntPokud máte nainstalovanou starší verzi GRUB2, v /mnt/boot/grub/i-386-pc (možná jiná platforma, např. ne "i386-pc") žádné kryptomoduly (ve zkratce, složka by měla obsahovat moduly, včetně těchto .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), v takovém případě je třeba GRUB2 protřepat.
apt-get update
apt-get install grub2
Důležité! Při aktualizaci balíčku GRUB2 z úložiště musíte na dotaz „o volbě“ kam nainstalovat bootloader odmítnout instalaci (důvod - pokus o instalaci GRUB2 - v "MBR" nebo na živém usb). V opačném případě poškodíte hlavičku/zavaděč VeraCrypt. Po aktualizaci balíčků GRUB2 a zrušení instalace musí být zavaděč ručně nainstalován na logickou jednotku a ne do "MBR". Pokud má vaše úložiště zastaralou verzi GRUB2, zkuste to to z oficiálních stránek - nezkontroloval (pracoval s čerstvými zavaděči GRUB 2.02 ~BetaX).
C3. Instalace GRUB2 na rozšířený oddíl [sda6]Musíte mít připojený oddíl [p.C.2]
grub-install --force --root-directory=/mnt /dev/sda6
možnosti
* --force - nainstaluje zavaděč, obejde všechna varování, která téměř vždy existují, a zablokují instalaci (povinný příznak).
* --root-directory - instalace adresáře do kořene sda6.
* /dev/sda6 - váš oddíl sdaX (nepřeskakujte <mezera> mezi /mnt /dev/sda6).
C4. Vytvoření konfiguračního souboru [grub.cfg]Zapomeňte na příkaz "update-grub2" a použijte příkaz pro generování úplného konfiguračního souboru
grub-mkconfig -o /mnt/boot/grub/grub.cfg
po dokončení generování / aktualizace souboru grub.cfg by ve výstupním terminálu měly být řádky (a) s OS nalezeným na disku ("grub-mkconfig" pravděpodobně najde a převezme OS z živého usb, pokud máte multibootovací flash disk s Windows 10 a hromadu živých distribucí - to je normální). Pokud je terminál „prázdný“, soubor „grub.cfg“ se nevygeneruje, pak je to případ, kdy jsou v systému chyby GRUB (a s největší pravděpodobností zavaděč z testovací větve úložiště), přeinstalujte GRUB2 z důvěryhodných zdrojů.
Instalace "jednoduché konfigurace" a konfigurace GRUB2 jsou nyní dokončeny.
C5. Důkazní test šifrovaného OS GNU/LinuxDokončete správně kryptomii. Opatrně opustit šifrovaný GNU/Linux (opusťte prostředí chroot).
umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot
Po restartu PC by se měl načíst bootloader VeraCrypt.
*Zadání hesla pro aktivní oddíl - Windows se začnou načítat.
*Stisknutím klávesy "Esc" přenesete ovládání na GRUB2, pokud zvolíte šifrované GNU / Linux - k odemknutí /boot/initrd.img budete potřebovat heslo (sda7_crypt) (pokud grub2 říká uuid "nenalezeno" - toto je problém s bootloaderem grub2, měl by být přeinstalován, například z testovací větve/stabilní a pd).
*V závislosti na tom, jak nastavíte systém (viz část B4.4/4.5), po zadání správného hesla pro odemknutí obrazu /boot/initrd.img budete potřebovat heslo pro zavedení jádra/rootu OS nebo tajný klíč bude automaticky nahrazen „key“, čímž se eliminuje potřeba znovu zadávat přístupovou frázi.
(snímek obrazovky „automatické nahrazení tajného klíče“).
*Dále se spustí známý proces spouštění GNU/Linuxu s ověřením uživatelského účtu.
*Po autorizaci uživatele a přihlášení do operačního systému musíte znovu aktualizovat /boot/initrd.img (viz Q4.6).
update-initramfs -u -k allA v případě dalších řádků v nabídce GRUB2 (z pickup OS-m s živým usb) zbavit se jich
mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg
Stručné shrnutí systémového šifrování GNU/Linux:
- GNU/Linuxinux je plně šifrován, včetně /boot/kernel a initrd;
- tajný klíč je zabalen v initrd.img;
- aktuální autorizační schéma (zadání hesla pro odemknutí initrd; heslo / klíč pro spuštění operačního systému; heslo pro autorizaci účtu Linux).
Šifrování systému blokového oddílu "Simple GRUB2 configuration" je dokončeno.
C6. Pokročilá konfigurace GRUB2. Ochrana bootloaderu s digitálním podpisem + ochrana autentizaceGNU/Linux je plně zašifrován, ale bootloader zašifrovat nelze – tato podmínka je diktována BIOSem. Z tohoto důvodu není šifrované řetězové spouštění GRUB2 možné, ale je možné/dostupné jednoduché řetězové spouštění, které není z bezpečnostního hlediska nutné [viz níže]. P. F].
Pro „zranitelný“ GRUB2 vývojáři implementovali ochranný algoritmus bootloaderu „podepisování/autentizace“.
- Když je bootloader chráněn „svým vlastním digitálním podpisem“, externí modifikace souborů nebo pokus o nahrání dalších modulů do tohoto bootloaderu povede k zablokování bootovacího procesu.
- Při ochraně zavaděče pomocí ověřování, pro výběr spouštění distribuční sady nebo zadávání dalších příkazů do CLI, budete muset zadat přihlašovací jméno a heslo superuživatele-GRUB2.
C6.1. Ochrana bootloaderu pomocí ověřováníZkontrolujte, zda běžíte v terminálu v šifrovaném OS
ls /<Tab-Tab> #обнаружить файл-маркерvytvořte heslo superuživatele pro autorizaci v GRUB2
grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. Získejte hash hesla. Něco takového
grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
připojit oddíl GRUB
mount /dev/sda6 /mnt upravit konfiguraci
nano -$ /mnt/boot/grub/grub.cfg
zkontrolujte hledání souborů, že nikde v "grub.cfg" nejsou žádné příznaky ("-unrestricted" "-user",
přidat na úplný konec (před řádkem ### END /etc/grub.d/41_custom ###)
"set superusers="root"
heslo_pbkdf2 root hash".
Mělo by to být něco takového
# Tento soubor poskytuje snadný způsob, jak přidat vlastní položky nabídky. Jednoduše zadejte
# položky nabídky, které chcete přidat za tento komentář. Pozor na změnu
# řádek „exec tail“ výše.
### KONEC /etc/grub.d/40_custom ###### BEGIN /etc/grub.d/41_custom ###
if [ -f ${adresář_konfigurace}/custom.cfg ]; pak
zdroj ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; pak
zdroj $prefix/custom.cfg;
fi
set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### KONEC /etc/grub.d/41_custom ###
#
Pokud často používáte příkaz "grub-mkconfig -o /mnt/boot/grub/grub.cfg" a nechcete pokaždé provádět změny v grub.cfg, zadejte výše uvedené řádky (Přihlašovací heslo) do uživatelského skriptu GRUB až úplně dolů
nano /etc/grub.d/41_custom kočka<<EOF
set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF
Při generování konfigurace "grub-mkconfig -o /mnt/boot/grub/grub.cfg" budou do grub.cfg automaticky přidány řádky odpovědné za autentizaci.
Tento krok dokončí nastavení ověřování GRUB2.
C6.2. Ochrana bootloaderu digitálním podpisemPředpokládá se, že již máte svůj osobní šifrovací klíč pgp (nebo vytvořit takový klíč). V systému musí být nainstalován kryptografický software: gnuPG; kleopatra/GPA; Mořský koník. Krypto-software vám ve všech těchto případech výrazně usnadní život. Mořský koník - stabilní verze balíčku 3.14.0 (verze výše, například V3.20 jsou horší a mají značné chyby).
PGP klíč je potřeba vygenerovat/spustit/přidat pouze v prostředí su!
Vygenerujte si osobní šifrovací klíč
gpg - -gen-keyExportujte svůj klíč
gpg --export -o ~/perskeyPřipojte logickou jednotku do operačního systému, pokud již není připojena
mount /dev/sda6 /mnt #sda6 – раздел GRUB2vymažte oddíl GRUB2
rm -rf /mnt/Nainstalujte GRUB2 do sda6 vložením svého soukromého klíče do hlavního obrazu GRUB "core.img"
grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6
možnosti
* --force - nainstaluje zavaděč a obejde všechna varování, která vždy existují (povinný příznak).
* --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - instruuje GRUB2, aby předem nahrál požadované moduly při startu PC.
* -k ~/perskey - cesta ke "PGP klíči" (po zabalení klíče do obrázku jej lze smazat).
* --root-directory -nastaví spouštěcí adresář na kořenový adresář sda6
/dev/sda6 je váš oddíl sdaX.
Vygenerujte/aktualizujte soubor grub.cfg
grub-mkconfig -o /mnt/boot/grub/grub.cfgPřidejte řádek "trust /boot/grub/perskey" na konec souboru "grub.cfg" (vynutit použití klíče pgp.) Protože jsme nainstalovali GRUB2 se sadou modulů, včetně podpisového modulu „signature_test.mod“, eliminuje to potřebu přidávat do konfigurace příkazy jako „set check_signatures=enforce“.
Mělo by to vypadat nějak takhle (konec řádků v souboru grub.cfg)
### BEGIN /etc/grub.d/41_custom ###
if [ -f ${adresář_konfigurace}/custom.cfg ]; pak
zdroj ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; pak
zdroj $prefix/custom.cfg;
fi
trust /boot/grub/perskey
set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### KONEC /etc/grub.d/41_custom ###
#
Cesta k "/boot/grub/perskey" nemusí ukazovat na konkrétní diskový oddíl, například hd0,6, protože samotný bootloader "root" je výchozí cesta oddílu, na kterém je nainstalován GRUB2 (viz set rot=..).
Podepisování GRUB2 (všechny soubory ve všech adresářích /GRUB) pomocí klíče „perkey“.
Jednoduché řešení jak se podepsat (pro nautilus/caja explorer): nainstalujte rozšíření „seahorse“ pro průzkumníka z úložiště. Váš klíč musí být přidán do prostředí su.
Otevřete průzkumníka ze sudo "/mnt/boot" - RMB - sign. Na obrazovce to vypadá takto
Samotný klíč je "/mnt/boot/grub/perskey" (zkopírovat do adresáře grub) musí být rovněž podepsán vlastním podpisem. Zkontrolujte, zda se v adresáři/podadresářích objevují podpisy souborů [*.sig].
Výše uvedeným způsobem podepíšeme "/boot" (naše jádro, initrd). Pokud váš čas za něco stojí, pak tato metoda eliminuje potřebu psát bash skript pro podepisování „mnoho souborů“.
Chcete-li odstranit všechny podpisy zavaděče (pokud se něco pokazilo)
rm -f $(find /mnt/boot/grub -type f -name '*.sig')Aby nedošlo k podepsání bootloaderu po aktualizaci systému, zmrazíme všechny aktualizační balíčky související s GRUB2.
apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-commonV tomto kroku <ochrana bootloaderu digitálním podpisem> je pokročilá konfigurace GRUB2 dokončena.
C6.3. Důkazní test bootloaderu GRUB2 chráněného digitálním podpisem a autentizacíGRUB2. Při výběru distribuce GNU/Linux nebo vstupu do CLI (příkazový řádek) je vyžadována autorizace superuživatele. Po zadání správného přihlašovacího jména / hesla budete potřebovat heslo z initrd
Snímek obrazovky, úspěšné ověření GRUB2-superuser.
Pokud zfalšujete některý ze souborů GRUB2 / provedete změny v grub.cfg, nebo smažete soubor / podpis, načtete škodlivý modul.mod, objeví se odpovídající varování. Spouštění GRUB2 se pozastaví.
Snímek obrazovky, pokus o zasahování do GRUB2 "zvenčí".
Při "normálním" spouštění "žádné narušení" je stav ukončovacího kódu systému "0". Není tedy známo, zda ochrana funguje nebo ne. (tj. „s nebo bez ochrany bootloaderu s podpisem“ během normálního spouštění, stav je stejný „0“ - to je špatné).
Jak zkontrolovat ochranu digitálního podpisu?
Nepohodlný způsob kontroly: zfalšujte/odstraňte modul používaný GRUB2, například odstraňte podpis luks.mod.sig a dostanete chybu.
Správný způsob je přejít do CLI bootloaderu a zadat příkaz
trust_list
Jako odpověď by měli obdržet otisk prstu „perkey“, pokud je stav „0“, pak ochrana podpisu nefunguje, překontrolujte bod C6.2.
V tomto kroku je pokročilé nastavení „Chránit GRUB2 digitálním podpisem a ověřováním“ u konce.
C7 Alternativní způsob zabezpečení zavaděče GRUB2 pomocí hashováníVýše popsaná metoda „Ochrana zavaděče CPU / autentizace“ je klasická. Kvůli nedokonalosti GRUB2 v paranoidních podmínkách podléhá skutečnému útoku, který uvedu níže v odstavci [F]. Navíc po aktualizaci OS/kernelu je nutné znovu podepsat bootloader.
Ochrana bootloaderu GRUB2 pomocí hashování
Výhody oproti klasice:
- Vyšší úroveň spolehlivosti (hašování / ověřování probíhá pouze ze šifrovaného místního zdroje. Celý alokovaný oddíl pod GRUB2 je kontrolován pro jakékoli změny a vše ostatní je šifrováno, v klasickém schématu s ochranou zavaděče CPU / Autentizací jsou kontrolovány pouze soubory, ale nikoli zdarma prostor, do kterého lze přidat „něco něco zlověstného“).
- Šifrované protokolování (do schématu je přidán čitelný osobní šifrovaný protokol).
- Rychlost (Ochrana/ověření celého oddílu alokovaného pro GRUB2 probíhá téměř okamžitě).
- Automatizace všech kryptografických procesů.
Nevýhody klasiky.
- Padělání podpisu (teoreticky je možné najít kolizi dané hašovací funkce).
- Zvýšená úroveň obtížnosti (oproti klasice je potřeba trochu větší znalost OS GNU/Linux).
Jak funguje nápad hashování GRUB2/partition
Sekce GRUB2 je „podepsána“, při načtení operačního systému se zkontroluje neměnnost sekce bootloaderu a následuje přihlášení v bezpečném prostředí (zašifrované). Pokud dojde ke kompromitaci bootloaderu nebo jeho oddílu, kromě protokolu invaze, následující
Věc.
Podobná kontrola probíhá čtyřikrát denně, což nezatěžuje systémové prostředky.
Pomocí příkazu "-$ check_GRUB" proběhne okamžitá kontrola kdykoli bez protokolování, ale s výstupem informací do CLI.
Pomocí příkazu "-$ sudo GRUB_signature" je bootloader / oddíl GRUB2 okamžitě znovu podepsán a jeho aktualizováno protokolování (potřebné po aktualizaci OS/bootu) a život jde dál.
Implementace metody hashování bootloaderu a jeho oddílu
0) Pojďme podepsat zavaděč/oddíl GRUB tak, že jej nejprve připojíme do /media/username
-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt1) Vytvoříme skript bez přípony v kořenovém adresáři šifrovaného OS ~/podpis, aplikujeme na něj potřebná práva 744 zabezpečení a ochranu před „blázny“.
Naplnění obsahem
#!/bin/bash
#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux.
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'
a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!!
b="hashdeep: Audit failed"
#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]]
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif'
fiSpusťte skript z su, bude zkontrolováno hashování oddílu GRUB a jeho zavaděče, uložte protokol.
Vytvořme nebo zkopírujeme například „škodlivý soubor“ [virus.mod] na oddíl GRUB2 a spusťte dočasnou kontrolu/test:
-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUBCLI by mělo vidět invazi do naší -pevnosti-#Stripped přihlášení do CLI
Ср янв 2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
Input files examined: 0
Known files expecting: 0
Files matched: 325
Files partially matched: 0
Files moved: 1
New files found: 0
Known files not found: 0
#Jak můžete vidět, objevilo se „Soubory přesunuty: 1 a Audit se nezdařil“, což znamená, že kontrola selhala.
Vzhledem ke zvláštnostem testované sekce místo "Nalezeny nové soubory" > "Soubory přesunuty"
2) Vložte gif sem > ~/warning.gif, nastavte oprávnění na 744.
3) Konfigurace fstab pro automatické připojení oddílu GRUB při spouštění
-$ sudo nano /etc/fstabLABEL=GRUB /media/username/GRUB ext4 výchozí 0 0
4) Špalek otáčíme
-$ sudo nano /etc/logrotate.d/podpis /var/log/subpis.txt {
denní
otočit 50
velikost 5M
datum
komprimovat
delaycompress
olddir /var/log/old
}/var/log/vtorjenie.txt {
měsíční
otočit 5
velikost 5M
datum
olddir /var/log/old
}
5) Přidání úlohy do cronu
-$ sudo crontab -e'/předplatné'
0 */6 * * * '/subpis
6) Vytvořte trvalé aliasy
-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash
Po aktualizaci OS -$ apt-get upgrade opětovné podepsání našeho oddílu GRUB
-$ подпись_GRUB
Tento krok dokončí hašovací ochranu oddílu GRUB.
[D] Cleanup - zničení nešifrovaných dat
Podle mluvčího Jižní Karolíny Treye Gowdyho smažte své osobní soubory tak úplně, že je „nedokáže přečíst ani Bůh“.
Jako obvykle existují různé „mýty a “, o obnově dat po jejich smazání z pevného disku. Pokud věříte v kybernetické čarodějnictví nebo jste členem webové komunity Dr a nikdy jste nezkusili obnovu dat po smazání/přepsání (např. obnovení pomocí R-studia), pak vám navrhovaná metoda pravděpodobně nebude vyhovovat, použijte tu, která je vám blíže.
Po úspěšné migraci GNU/Linuxu na šifrovaný oddíl musí být stará kopie trvale smazána. Univerzální metoda čištění: software pro Windows/Linux bezplatný software GUI .
Rychle formátování oddílu, data, která chcete zničit (pomocí Gparted), spusťte BleachBit, vyberte "Vyčistit volné místo" - vyberte oddíl (váš sdaX s minulou kopií GNU/Linuxu), spustí se proces čištění. BleachBit - vymaže disk jedním průchodem - to je to, co "potřebujeme", ale! toto funguje pouze teoreticky, pokud jste disk naformátovali a vyčistili v softwaru BB v2.0.
Pozor! BB vymaže disk, zanechá metadata, názvy souborů jsou zachovány, když jsou data zničena (Ccleaner – nezanechává žádná metadata).
A mýtus o možnosti obnovy dat ve skutečnosti mýtem není.Bleachbit V2.0-2 bývalý nestabilní balíček OS Debian (a jakýkoli jiný podobný software: sfill;wit-Nautilus - byly také viděny v tomto špinavém podniku) ve skutečnosti měl kritickou chybu: funkci "vyčištění volného místa". funguje to špatně na HDD/Flash disky (ntfs/ext4). Software tohoto druhu při čištění volného místa nepřepíše celý disk, jak si mnoho uživatelů myslí. A nějaký (mnoho) smazaná data OS/software zachází s těmito daty jako s nesmazanými/uživatelskými daty a při mazání OS/OS tyto soubory přeskakuje. Problém je, že po tak dlouhé době čištění disku "smazané soubory" lze obnovit i po 3+ průchodech otření disku.
Na GNU/Linux v Bleachbit 2.0-2 funkce trvalého mazání souborů a adresářů fungují spolehlivě, ale neuvolňují volné místo. Pro srovnání: na Windows v softwaru CCleaner funguje správně funkce "OSB pro ntfs" a smazaná data Bůh opravdu nemůže přečíst.
A tak důkladně odstranit "kompromisní" stará nešifrovaná data, Bleachbit potřebuje přímý přístup k těmto datům, pak použijte funkci "nenávratně smazat soubory / adresáře".
Chcete-li odstranit "smazané soubory pomocí běžných nástrojů OS" ve Windows, použijte CCleaner / BB s funkcí "OSB". Na GNU/Linux ohledně tohoto problému (odstranění smazaných souborů) musíte získat praxi sami (smazání dat + nezávislý pokus o jejich obnovu a nespoléhejte na verzi softwaru (pokud ne záložka, tak chyba)), pouze v tomto případě budete schopni pochopit mechanismus tohoto problému a zcela se zbavit smazaných dat.
Bleachbit v3.0 nezkontroloval, možná byl problém již vyřešen.
Bleachbit v2.0 funguje poctivě.
Tento krok dokončí čištění disku.
[E] Generic Encrypted OS Backup
Každý uživatel má svůj vlastní způsob zálohování dat, ale šifrovaná data "System OS" vyžadují trochu jiný přístup k úkolu. Jednotný software jako „Clonezilla“ a podobný software neumí pracovat přímo se zašifrovanými daty.
Nastavení úlohy zálohování pro šifrovaná bloková zařízení:
- univerzálnost - stejný algoritmus / zálohovací software pro Windows / Linux;
- schopnost pracovat v konzole s jakýmkoli živým usb GNU / Linux bez nutnosti stahování dalšího softwaru (ale přesto doporučuji GUI);
- zabezpečení zálohování – uložené „obrázky“ musí být zašifrovány / chráněny heslem;
- velikost šifrovaných dat musí odpovídat velikosti skutečných zkopírovaných dat;
- pohodlné vytažení potřebných souborů ze zálohy (není potřeba nejprve dešifrovat celou sekci).
Například zálohování/obnovení pomocí utility "dd".
dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerrorOdpovídá téměř všem bodům úkolu, ale podle odstavce 4 kritice neobstojí, jelikož kopíruje celý diskový oddíl včetně volného místa - nezajímavé.
Například záloha GNU/Linux přes [tar" | gpg] je pohodlné, ale pro zálohování Windows musíte hledat jiné řešení - nezajímavé.
E1. Univerzální záloha Windows/Linux. Balíček rsync (Grsync) + svazek VeraCryptAlgoritmus pro vytvoření zálohy:
- vytvoření šifrovaného kontejneru (svazek/soubor) VeraCrypt pro OS;
- přenos / synchronizace OS pomocí softwaru Rsync do kryptokontejneru VeraCrypt;
- v případě potřeby nahrajte svazek VeraCrypt na www.
Vytvoření šifrovaného kontejneru VeraCrypt má své vlastní vlastnosti:
vytvoření dynamického svazku (vytvoření DT je dostupné pouze ve Windows, lze jej použít i v GNU/Linuxu);
vytvoření normálního objemu, ale je zde požadavek „paranoidní povahy“ (podle vývojáře) - formátování kontejneru.
Dynamický svazek se ve Windows vytvoří téměř okamžitě, ale při kopírování dat z GNU/Linux > VeraCrypt DT se celkový výkon operace zálohování výrazně sníží.
Vytvoří se běžný svazek Twofish o velikosti 70 GB (Řekněme, že průměrný výkon PC) na HDD ~ za půl hodiny (přepsání dat dřívějšího kontejneru jedním průchodem kvůli bezpečnostním požadavkům). Z VeraCrypt Windows/Linux byla odstraněna funkce rychlého formátování svazku při jeho vytváření, takže vytvoření kontejneru je možné pouze „přepsáním v jednom průchodu“ nebo vytvořením nízkovýkonného dynamického svazku.
Vytvořte běžný svazek VeraCrypt (ne dynamické/ntfs), neměly by být žádné problémy.
Nastavte/vytvořte/otevřete kontejner v GUI VeraCrypt > GNU/Linux live usb (svazek bude automaticky připojen na /media/veracrypt2, svazek OS Windows je připojen na /media/veracrypt1). Vytvoření šifrované zálohy Windows pomocí GUI rsync (grsync)zaškrtnutím políček.
Počkejte na konec procesu. Po dokončení zálohování budeme mít jeden zašifrovaný soubor.
Podobně vytvořte záložní kopii operačního systému GNU / Linux zrušením zaškrtnutí „kompatibilní s Windows“ GUI rsync.
Pozor! vytvořte kontejner Veracrypt pro „zálohu GNU/Linux“ v systému souborů ext4. Pokud vytvoříte zálohu do kontejneru ntfs, pak při obnovení takové kopie ztratíte všechna práva / skupiny ke všem svým datům.
Všechny operace můžete provádět v terminálu. Základní možnosti pro rsync:
* -g - uložit skupiny;
* -P --progress - stav času práce na souboru;
* -H -kopírovat pevné odkazy tak, jak jsou;
* -a -režim archivace (několik příznaků rlptgoD);
* -v -verbalizace.
Pokud chcete připojit „svazek Windows VeraCrypt“ přes konzolu v softwaru cryptsetup, můžete vytvořit alias (su)
echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash
Nyní budete u příkazu „veramount pictures“ vyzváni k zadání přístupové fráze a zašifrovaný systémový svazek Windows bude připojen k OS.
Mapujte/připojujte systémový svazek VeraCrypt v příkazu cryptsetup
cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mntMapujte/připojujte oddíl/kontejner VeraCrypt v příkazu cryptsetup
cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mntNamísto aliasu přidejte (skript pro automatické načítání) systémový svazek s OS Windows a logický šifrovaný disk ntfs do automatického načítání GNU/Linux
Vytvořte skript a uložte jej do ~/VeraOpen.sh
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.
Poskytujeme „skutečná“ práva:
sudo chmod 100 /VeraOpen.shVytvořte dva identické soubory (stejný název!) v /etc/rc.local a ~/etc/init.d/rc.local
Plnění souborů
#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0Poskytujeme „skutečná“ práva:
sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local To je vše, nyní při zavádění GNU/Linuxu nepotřebujeme zadávat hesla pro připojení šifrovaných disků ntfs, disky se připojují automaticky.
Stručná poznámka o tom, co je popsáno výše v odstavci E1 krok za krokem (ale nyní pro OS GNU/Linux)
1) Vytvořte svazek v fs ext4 > 4 gb (pro soubor) Linux ve Veracrypt [Crypto box].
2) Restartujte na živé usb.
3) ~$ cryptsetup otevřít /dev/sda7 Lunux #mapovat šifrovaný oddíl.
4) ~$ připojit /dev/mapper/Linux /mnt #připojit šifrovaný oddíl do /mnt.
5) ~$ mkdir mnt2 #vytvořte adresář pro budoucí zálohu.
6) ~$ cryptsetup open --veracrypt --type tcrypt ~/Cryptobox Cryptobox && připojte /dev/mapper/Cryptobox /mnt2 #Namapujte svazek Veracrypt s názvem "Cryptobox" a připojte Cryptobox do /mnt2.
7) ~$ rsync -avlxhHX --progress /mnt /mnt2/ #operace pro zálohování šifrovaného oddílu na šifrovaný svazek Veracrypt.
(p/s/ Pozor! Pokud přenášíte šifrovaný GNU/Linux z jedné architektury/stroje na jiný, například Intel > AMD (tj. nasazujete zálohu z jednoho šifrovaného oddílu na jiný šifrovaný oddíl Intel > AMD), nezapomeň po přenesení šifrovaného operačního systému možná upravte místo hesla tajný nahrazený klíč. předchozí klíč ~/etc/skey - již se nevejde na jiný šifrovaný oddíl a je nežádoucí vytvářet nový klíč "cryptsetup luksAddKey" z pod chroot - závada je možná, stačí v ~/etc/crypttab dočasně zadat "none" " místo "/etc/skey" ", po restartu a vstupu do OS znovu vygenerujte svůj tajný nahrazený klíč).
Jako IT veteráni si nezapomeňte zvlášť zálohovat hlavičky šifrovaných oddílů OS Windows/Linux, jinak se šifrování obrátí proti vám.
V tomto kroku je záloha zašifrovaných operačních systémů dokončena.
[F] Útok na bootloader GRUB2
podrobnostiPokud jste svůj bootloader ochránili digitálním podpisem a/nebo ověřením (Viz bod C6.), pak to nebude chránit před fyzickým přístupem. Šifrovaná data budou stále nepřístupná, ale ochrana se obejde (resetovat ochranu digitálního podpisu) GRUB2 umožňuje kyberzloduchům vložit svůj kód do bootloaderu, aniž by vzbudil podezření (pokud uživatel manuálně nemonitoruje stav bootloaderu nebo nepřijde s vlastním pevným custom-script-code pro grub.cfg).
útočný algoritmus. vetřelec
* Spustí PC z živého USB. Jakákoliv změna (pachatel) soubory upozorní skutečného vlastníka PC na průnik do bootloaderu. Ale jednoduchá reinstalace GRUB2 při zachování grub.cfg (a následná možnost jeho úpravy) umožní útočníkovi upravovat jakékoli soubory (v tomto scénáři při načítání GRUB2 nebude skutečný uživatel upozorněn. Stav je stejný <0>)
* Připojí nešifrovaný oddíl, uloží "/mnt/boot/grub/grub.cfg".
* Přeinstalujte bootloader (odstranění "perkey" z obrázku core.img)
grub-install --force --root-directory=/mnt /dev/sda6
* Vrátí "grub.cfg" > "/mnt/boot/grub/grub.cfg", v případě potřeby jej upraví, například přidá jeho modul "keylogger.mod" do složky s moduly načítání v "grub.cfg" > řádek "insmod keylogger". Nebo například pokud je nepřítel mazaný, tak po přeinstalaci GRUB2 (všechny podpisy zůstávají na svém místě) vytvoří hlavní obraz GRUB2 pomocí "grub-mkimage s volbou (-c)." Volba "-c" vám umožní načíst vaši konfiguraci před načtením hlavního souboru "grub.cfg". Konfigurace se může skládat pouze z jednoho řádku: přesměrování na jakýkoli „modern.cfg“, smíchaný například s ~400 soubory (moduly+podpisy) ve složce /boot/grub/i386-pc. V tomto případě může pachatel zavést libovolný kód a načíst moduly, aniž by ovlivnil "/boot/grub/grub.cfg", i když uživatel na soubor použil "hashsum" a dočasně jej zobrazil na obrazovce.
Útočník nebude muset prolomit přihlašovací jméno / heslo superuživatele GRUB2, bude muset pouze zkopírovat řádky (zodpovědný za ověření) „/boot/grub/grub.cfg“ na váš „modern.cfg“
set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
A hostitel PC bude mít stále ověřování superuživatele GRUB2.
Načítání řetězu (bootloader načte další bootloader), jak je uvedeno výše, nedává smysl (je to za jiným účelem). Kvůli BIOSu nelze načíst šifrovaný bootloader (při řetězovém načítání se GRUB2 restartuje > zašifrovaný GRUB2, chyba!). Pokud však stále používáte myšlenku načítání řetězce, můžete si být jisti, že se načítá šifrovaný. (neupgradováno) "grub.cfg" ze zašifrovaného oddílu. A to je také falešný pocit bezpečí, protože vše, co je uvedeno v zašifrovaném "grub.cfg" (načítání modulů) zásobníky s moduly, které jsou načteny z nešifrovaného GRUB2.
Pokud to chcete zkontrolovat, pak alokujte/zašifrujte další oddíl sdaY, zkopírujte na něj GRUB2 (operace grub-install na šifrovaném oddílu není možná) a v "grub.cfg" (nešifrovaná konfigurace) takto měnit řádky
menuentry 'GRUBx2' --class papoušek --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
načíst_video
insmod gzio
if [ x$grub_platform = xxen ]; pak insmod xzio; insmod lzopio; fi
insmod part_msdos
kryptodisk insmod
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
normální /boot/grub/grub.cfg
}
linky
* insmod - načtení potřebných modulů pro práci se šifrovaným diskem;
* GRUBx2 - název zobrazeného řádku v zaváděcí nabídce GRUB2;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 - viz. fdisk -l (sda9);
* set root - root nastavení;
* normal /boot/grub/grub.cfg - spustitelný konfigurační soubor na zašifrovaném oddílu.
Jistota, že se načítá zašifrovaný „grub.cfg“, je pozitivní reakcí na zadání hesla / odemknutí „sdaY“ při výběru řádku „GRUBx2“ v nabídce GRUB.
Při práci v CLI, abyste se nespletli (a zkontrolujte, zda proměnná prostředí "set root" fungovala), vytvořte prázdné soubory značek, například v šifrovaném oddílu "/shifr_grub", v nešifrovaném oddílu "/noshifr_grub". Validace v CLI
cat /Tab-TabJak je uvedeno výše, toto vám nepomůže při stahování škodlivých modulů, pokud takové moduly skončí ve vašem PC. Například keylogger, který dokáže ukládat úhozy do souboru a mísit se s jinými soubory v "~/i386", dokud jej nestáhne útočník s fyzickým přístupem k PC.
Nejjednodušší způsob, jak zkontrolovat, zda je aktivní ochrana digitálního podpisu (neresetováno)a nikdo nenapadl bootloader, v CLI napíšeme příkaz
list_trusted
v reakci na to získáme obsazení naší „perkey“, nebo nedostaneme nic, pokud jsme byli napadeni (také je třeba zkontrolovat "set check_signatures=enforce").
Významnou nevýhodou takového kroku je ruční zadávání příkazů. Pokud tento příkaz přidáte do „grub.cfg“ a digitálně podepíšete konfiguraci, pak je předběžný výstup obsazení klíče na obrazovku příliš krátký a možná nebudete mít čas vidět výstup, když spouštíte GRUB2 .
Není si na koho konkrétně stěžovat: na vývojáře ve svém 18.2 oficiálně prohlašuje
„Všimněte si, že ani s ochranou heslem GRUB nemůže GRUB sám o sobě zabránit tomu, aby někdo s fyzickým přístupem k počítači změnil konfiguraci firmwaru tohoto počítače (např. Coreboot nebo BIOS) a způsobil tak spuštění počítače z jiného (útočníkem řízeného) zařízení. GRUB je v nejlepším případě pouze jedním článkem v bezpečném řetězu bot“.
GRUB2 je příliš přetížený funkcemi, které mohou vyvolávat pocit falešného zabezpečení, a jeho vývoj již předběhl funkcionalitu MS-DOSu a je to jen bootloader. Je legrační, že GRUB2 - "zítra" se může stát OS a zaváděcí virtuální stroje GNU / Linux pro něj.
Krátké video o tom, jak jsem resetoval ochranu digitálního podpisu GRUB2 a oznámil své narušení skutečnému uživateli (vyděšený, ale místo toho, co je zobrazeno na videu, můžete napsat neškodný libovolný kód/.mod).
Závěry:
1) Šifrování blokového systému pro Windows – jednodušší implementace a ochrana jedním heslem je pohodlnější než ochrana několika hesly pomocí blokového systémového šifrování GNU/Linux, spravedlivě: druhé je automatizované.
2) Článek jsem napsal jako relevantní, podrobný jednoduché průvodce šifrováním celého disku VeraCrypt/LUKS na jednom domácím počítači, který je zdaleka nejlepší v runetu (IMHO). Manuál má > 50 51 znaků, takže nepokrývá některé zajímavé kapitoly: o kryptografech, kteří mizí/zůstávají ve stínech; o tom, že v různých knihách o GNU / Linuxu se o kryptografii málo / vůbec nepíše; o článku XNUMX Ústavy Ruské federace; Ó /zákaz , o tom, proč potřebujete šifrovat "root / boot". Manuál se ukázal být již značný, ale podrobný (popisuje i jednoduché kroky), to vám zase ušetří spoustu času, když se dostanete do „skutečného šifrování“.
3) Provedeno šifrování celého disku v systému Windows 7 64; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.
4) Implementován úspěšný útok na jeho Zavaděč GRUB2.
5) Tutoriál byl vytvořen, aby pomohl všem paranoidům v CIS, kde je šifrování legálně povoleno. A především pro ty, kteří chtějí zavést šifrování celého disku bez demolice svých nakonfigurovaných systémů.
6) Revidoval a aktualizoval svůj manuál, který je relevantní v roce 2020.
[G] Užitečná dokumentace
- (únor 2012 RU)
- /usr/share/doc/cryptsetup(-run) [místní sdílení] (oficiální podrobná dokumentace o nastavení šifrování GNU/Linux pomocí cryptsetup)
- (krátká dokumentace o nastavení šifrování GNU/Linux pomocí cryptsetup)
- (dokumentace archlinuxu)
- (arch manuálová stránka)
- (arch manuálová stránka)
- .
Štítky: šifrování celého disku, šifrování oddílů, šifrování celého disku Linux, šifrování celého systému LUKS1.
Průzkumu se mohou zúčastnit pouze registrovaní uživatelé. , prosím.
Šifrujete?
-
17,1%Šifruji vše, co se dá. Jsem paranoidní.14
-
34,2%Šifruji pouze důležitá data.28
-
14,6%Někdy šifruji, někdy zapomenu.12
-
34,2%Ne, nešifruji, je to nepohodlné a nákladné.28
82 uživatelé hlasovali. 22 uživatelé se zdrželi hlasování.
Zdroj: www.habr.com