🥇 Amgryptio disg llawn o systemau gosod Windows Linux. Multiboot Amgryptio

Wedi diweddaru eich canllaw eich hun ar amgryptio disg lawn yn RuNet V0.2.

Strategaeth Cowboi:

[A] Windows 7 amgryptio bloc system o'r system gosod;
[B] Amgryptio bloc system GNU/Linux (Debian) system gosod (gan gynnwys /cist);
[C] Ffurfweddiad GRUB2, amddiffyniad cychwynnydd gyda llofnod digidol / dilysu / stwnsio;
[D] stripio - dinistrio data heb ei amgryptio;
[E] copi wrth gefn cyffredinol o OS wedi'i amgryptio;
[F] ymosodiad <ar eitem [C6]> targed - cychwynnydd GRUB2;
[G]dogfennaeth ddefnyddiol.

╭───Cynllun #ystafell 40# :
├──╼ Gosod Windows 7 - amgryptio system lawn, heb ei guddio;
├──╼ GNU/Linux wedi'i osod (Dosbarthiadau Debian a deilliadol) — amgryptio system lawn, heb ei guddio(/, gan gynnwys /cist; cyfnewid);
├──╼ bootloaders annibynnol: Mae cychwynnydd VeraCrypt wedi'i osod yn y MBR, mae cychwynnydd GRUB2 wedi'i osod yn y rhaniad estynedig;
├──╼ dim angen gosod/ailosod OS;
└──╼ meddalwedd cryptograffig a ddefnyddir: VeraCrypt; Cryptsetup; GnuPG; Morfarch; Hashdeep; Mae GRUB2 yn rhad ac am ddim.

Mae'r cynllun uchod yn rhannol yn datrys y broblem o “gist o bell i yriant fflach”, yn caniatáu ichi fwynhau OS Windows/Linux wedi'i amgryptio a chyfnewid data trwy “sianel wedi'i hamgryptio” o un OS i'r llall.

Gorchymyn cychwyn PC (un o'r opsiynau):

troi ar y peiriant;
llwytho cychwynnydd VeraCrypt (bydd rhoi'r cyfrinair cywir yn parhau i gychwyn Windows 7);
bydd gwasgu'r allwedd "Esc" yn llwytho cychwynnydd GRUB2;
Cychwynnwr GRUB2 (dewiswch ddosbarthiad/GNU/Linux/CLI), bydd angen dilysu'r uwch-ddefnyddiwr GRUB2 <login/password>;
ar ôl dilysu a dewis y dosbarthiad yn llwyddiannus, bydd angen i chi nodi cyfrinair i ddatgloi “/boot/initrd.img”;
ar ôl mynd i mewn i gyfrineiriau di-wall, bydd GRUB2 yn "angen" cofnod cyfrinair (yn drydydd, cyfrinair BIOS neu gyfrinair cyfrif defnyddiwr GNU/Linux - peidiwch ag ystyried) i ddatgloi a chychwyn GNU/Linux OS, neu amnewid allwedd gyfrinachol yn awtomatig (dau gyfrinair + allwedd, neu gyfrinair + allwedd);
bydd ymwthiad allanol i ffurfwedd GRUB2 yn rhewi'r broses cychwyn GNU/Linux.

Yn drafferthus? Iawn, gadewch i ni fynd i awtomeiddio'r prosesau.

Wrth rannu gyriant caled (tabl MBR) Ni all PC fod â mwy na 4 prif raniad, neu 3 phrif ac un estynedig, yn ogystal ag ardal heb ei neilltuo. Gall adran estynedig, yn wahanol i'r prif un, gynnwys isadrannau (gyriannau rhesymegol = rhaniad estynedig). Mewn geiriau eraill, mae'r “rhaniad estynedig” ar yr HDD yn disodli LVM ar gyfer y dasg dan sylw: amgryptio system lawn. Os yw'ch disg wedi'i rannu'n 4 prif raniad, mae angen i chi ddefnyddio lvm, neu drawsnewid (gyda fformatio) adran o'r prif i uwch, neu defnyddiwch bob un o'r pedair adran yn ddoeth a gadewch bopeth fel y mae, gan gael y canlyniad a ddymunir. Hyd yn oed os oes gennych un rhaniad ar eich disg, bydd Gparted yn eich helpu i rannu'ch HDD (ar gyfer adrannau ychwanegol) heb golli data, ond gyda chosb fach o hyd am gamau o'r fath.

Mae cynllun gosodiad y gyriant caled, y bydd yr erthygl gyfan yn cael ei rhoi ar lafar mewn perthynas ag ef, wedi'i gyflwyno yn y tabl isod.

Tabl (Rhif 1) o raniadau 1TB.

Dylech gael rhywbeth tebyg hefyd.
sda1 - prif raniad Rhif 1 NTFS (amgryptio);
sda2 - marciwr adran estynedig;
sda6 - disg rhesymegol (mae ganddo'r cychwynnydd GRUB2 wedi'i osod);
sda8 - cyfnewid (ffeil cyfnewid wedi'i hamgryptio/ddim bob amser);
sda9 - prawf disg rhesymegol;
sda5 - disg rhesymegol ar gyfer y chwilfrydig;
sda7 - GNU/Linux OS (trosglwyddo OS i ddisg resymegol wedi'i hamgryptio);
sda3 - prif raniad Rhif 2 gyda Windows 7 OS (amgryptio);
sda4 - prif adran Rhif 3 (roedd yn cynnwys GNU/Linux heb ei amgryptio, a ddefnyddir ar gyfer copi wrth gefn/ddim bob amser).

[A] Amgryptio Bloc System Windows 7

A1. VeraCrypt

Lawrlwythwch o safle swyddogol, neu o'r drych ffynhonnell fersiwn gosod o feddalwedd cryptograffig VeraCrypt (ar adeg cyhoeddi'r erthygl v1.24-Update3, nid yw'r fersiwn gludadwy o VeraCrypt yn addas ar gyfer amgryptio system). Gwiriwch y checksum y meddalwedd llwytho i lawr

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

a chymharu'r canlyniad â'r CS a bostiwyd ar wefan datblygwyr VeraCrypt.

Os gosodir meddalwedd HashTab, mae hyd yn oed yn haws: RMB (Gosodiad VeraCrypt 1.24.exe)-eiddo - swm hash o ffeiliau.

I wirio llofnod y rhaglen, rhaid gosod y feddalwedd ac allwedd pgp cyhoeddus y datblygwr ar y system gnuPG; gpg4win.

A2. Gosod/rhedeg meddalwedd VeraCrypt gyda hawliau gweinyddwr

A3. Dewis paramedrau amgryptio system ar gyfer y rhaniad gweithredolVeraCrypt - System - Amgryptio rhaniad / disg system - Arferol - Amgryptio rhaniad system Windows - Multiboot - (rhybudd: “Nid yw defnyddwyr dibrofiad yn cael eu hargymell i ddefnyddio’r dull hwn” ac mae hyn yn wir, rydym yn cytuno “Ie”) - Disg cychwyn (“ie”, hyd yn oed os nad felly, yn dal i “ie”) - Nifer y disgiau system “2 neu fwy” - Sawl system ar un ddisg “Ie” - Llwythwr cychwyn nad yw'n Windows “Na” (mewn gwirionedd, “Ie,” ond ni fydd y llwythwyr cychwyn VeraCrypt / GRUB2 yn rhannu'r MBR ymhlith ei gilydd; yn fwy manwl gywir, dim ond y rhan leiaf o'r cod cychwynnydd sy'n cael ei storio yn y trac MBR / cychwyn, y prif ran ohono yw lleoli o fewn y system ffeiliau) – Multiboot – Gosodiadau amgryptio…

Os byddwch yn gwyro oddi wrth y camau uchod (cynlluniau amgryptio system bloc), yna bydd VeraCrypt yn cyhoeddi rhybudd ac ni fydd yn caniatáu ichi amgryptio'r rhaniad.

Yn y cam nesaf tuag at ddiogelu data wedi'i dargedu, cynhaliwch “Prawf” a dewiswch algorithm amgryptio. Os oes gennych CPU hen ffasiwn, yna yn fwyaf tebygol yr algorithm amgryptio cyflymaf fydd Twofish. Os yw'r CPU yn bwerus, byddwch yn sylwi ar y gwahaniaeth: bydd amgryptio AES, yn ôl canlyniadau'r prawf, sawl gwaith yn gyflymach na'i gystadleuwyr crypto. Mae AES yn algorithm amgryptio poblogaidd; mae caledwedd CPUs modern wedi'i optimeiddio'n arbennig ar gyfer “cyfrinachol” a “hacio.”

Mae VeraCrypt yn cefnogi'r gallu i amgryptio disgiau mewn rhaeadr AES(Dau bysgodyn)/a chyfuniadau eraill. Ar hen CPU craidd Intel o ddeng mlynedd yn ôl (heb gefnogaeth caledwedd ar gyfer AES, amgryptio rhaeadru A / T) Mae'r gostyngiad mewn perfformiad yn ei hanfod yn anganfyddadwy. (ar gyfer CPUs AMD o'r un cyfnod / ~ paramedrau, mae perfformiad wedi'i leihau ychydig). Mae'r OS yn gweithio'n ddeinamig ac mae'r defnydd o adnoddau ar gyfer amgryptio tryloyw yn anweledig. Mewn cyferbyniad, er enghraifft, mae gostyngiad amlwg mewn perfformiad oherwydd yr amgylchedd bwrdd gwaith prawf ansefydlog a osodwyd Mate v1.20.1 (neu v1.20.2 dwi ddim yn cofio yn union) yn GNU/Linux, neu oherwydd gweithrediad y drefn telemetreg yn Windows7↑. Yn nodweddiadol, mae defnyddwyr profiadol yn cynnal profion perfformiad caledwedd cyn amgryptio. Er enghraifft, yn Aida64/Sysbench/systemd-analyze mae bai yn cael ei gymharu â chanlyniadau’r un profion ar ôl amgryptio’r system, a thrwy hynny wrthbrofi’r myth drostynt eu hunain bod “amgryptio system yn niweidiol.” Mae arafu'r peiriant a'r anghyfleustra yn amlwg wrth wneud copïau wrth gefn / adfer data wedi'i amgryptio, oherwydd nid yw'r gweithrediad “copi wrth gefn data system” ei hun yn cael ei fesur mewn ms, ac mae'r rhai yr un peth <dadgryptio / amgryptio ar y hedfan> yn cael eu hychwanegu. Yn y pen draw, mae pob defnyddiwr sy'n cael tinceri â cryptograffeg yn cydbwyso'r algorithm amgryptio yn erbyn boddhad y tasgau dan sylw, lefel eu paranoia, a rhwyddineb defnydd.

Mae'n well gadael y paramedr PIM fel rhagosodiad, fel nad oes rhaid i chi nodi'r union werthoedd iteriad wrth lwytho'r OS. Mae VeraCrypt yn defnyddio nifer fawr o iteriadau i greu “hash araf” gwirioneddol. Dim ond gyda chyfrinair “syml” byr a rhestr setiau nodau personol y dioddefwr y mae ymosodiad ar “falwen crypto” o’r fath gan ddefnyddio’r dull Brute force/tablau enfys yn gwneud synnwyr. Mae'r pris i dalu am gryfder cyfrinair yn oedi wrth fynd i mewn i'r cyfrinair cywir wrth lwytho'r OS. (mae gosod cyfeintiau VeraCrypt yn GNU/Linux gryn dipyn yn gyflymach).
Meddalwedd am ddim ar gyfer gweithredu ymosodiadau grym 'n ysgrublaidd (dyfyniad cyfrin-ymadrodd o bennyn disg VeraCrypt/LUKS) Hashcat. Nid yw John the Ripper yn gwybod sut i “dorri Veracrypt”, ac wrth weithio gyda LUKS nid yw'n deall cryptograffeg Twofish.

Oherwydd cryfder cryptograffig algorithmau amgryptio, mae cypherpunks na ellir eu hatal yn datblygu meddalwedd gyda fector ymosodiad gwahanol. Er enghraifft, echdynnu metadata/allweddi o RAM (cist oer / ymosodiad mynediad cof uniongyrchol), Mae meddalwedd arbenigol rhad ac am ddim a di-rydd at y dibenion hyn.

Ar ôl cwblhau sefydlu / cynhyrchu “metadata unigryw” y rhaniad gweithredol wedi'i amgryptio, bydd VeraCrypt yn cynnig ailgychwyn y PC a phrofi ymarferoldeb ei gychwynnydd. Ar ôl ailgychwyn / cychwyn Windows, bydd VeraCrypt yn llwytho yn y modd segur, y cyfan sydd ar ôl yw cadarnhau'r broses amgryptio - Y.

Ar gam olaf amgryptio system, bydd VeraCrypt yn cynnig creu copi wrth gefn o bennawd y rhaniad wedi'i amgryptio gweithredol ar ffurf “veracrypt rescue disk.iso” - rhaid gwneud hyn - yn y feddalwedd hon mae gweithrediad o'r fath yn ofyniad (yn LUKS, fel gofyniad - yn anffodus hepgorir hyn, ond fe'i pwysleisir yn y ddogfennaeth). Bydd disg achub yn ddefnyddiol i bawb, ac i rai fwy nag unwaith. Colled (pennawd / MBR ailysgrifennu) bydd copi wrth gefn o'r pennawd yn gwadu mynediad i'r rhaniad dadgryptio gydag OS Windows yn barhaol.

A4. Creu USB/disg achub VeraCryptYn ddiofyn, mae VeraCrypt yn cynnig llosgi “~ 2-3MB o fetadata” i CD, ond nid oes gan bawb ddisgiau na gyriannau DWD-ROM, a bydd creu gyriant fflach bootable “Disg Achub VeraCrypt” yn syndod technegol i rai: Ni fydd Rufus /GUIdd-ROSA ImageWriter a meddalwedd tebyg arall yn gallu ymdopi â'r dasg, oherwydd yn ogystal â chopïo metadata gwrthbwyso i yriant fflach y gellir ei gychwyn, mae angen i chi gopïo / gludo'r ddelwedd y tu allan i system ffeiliau'r gyriant USB, yn fyr, copïwch y MBR/ffordd i keychain yn gywir. Gallwch greu gyriant fflach cychwynadwy o GNU/Linux OS gan ddefnyddio'r cyfleustodau “dd”, gan edrych ar yr arwydd hwn.

Mae creu disg achub mewn amgylchedd Windows yn wahanol. Ni chynhwysodd datblygwr VeraCrypt yr ateb i'r broblem hon yn y swyddog dogfennaeth trwy “ddisg achub”, ond cynigiodd ateb mewn ffordd wahanol: postiodd feddalwedd ychwanegol ar gyfer creu “disg achub usb” i gael mynediad am ddim ar ei fforwm VeraCrypt. Archifydd y feddalwedd hon ar gyfer Windows yw “creu disg achub veracrypt usb”. Ar ôl achub disk.iso achub, bydd y broses o amgryptio system bloc y rhaniad gweithredol yn dechrau. Yn ystod amgryptio, nid yw gweithrediad yr OS yn dod i ben; nid oes angen ailgychwyn PC. Ar ôl cwblhau'r gweithrediad amgryptio, mae'r rhaniad gweithredol yn cael ei amgryptio'n llawn a gellir ei ddefnyddio. Os nad yw'r cychwynnydd VeraCrypt yn ymddangos pan fyddwch chi'n cychwyn y PC, ac nad yw'r gweithrediad adfer pennawd yn helpu, yna gwiriwch y faner “cist”, rhaid ei osod i'r rhaniad lle mae Windows yn bresennol (waeth beth yw amgryptio ac OS arall, gweler tabl Rhif 1).
Mae hyn yn cwblhau'r disgrifiad o amgryptio system bloc gyda Windows OS.

[B]LUKS. Amgryptio GNU/Linux (~Debian) OS gosod. Algorithm a Chamau

Er mwyn amgryptio dosbarthiad Debian / deilliadol wedi'i osod, mae angen i chi fapio'r rhaniad parod i ddyfais bloc rhithwir, ei drosglwyddo i'r ddisg GNU / Linux wedi'i fapio, a gosod / ffurfweddu GRUB2. Os nad oes gennych weinydd metel noeth, a'ch bod yn gwerthfawrogi'ch amser, yna mae angen i chi ddefnyddio'r GUI, ac mae'r rhan fwyaf o'r gorchmynion terfynell a ddisgrifir isod i fod i gael eu rhedeg yn "modd Chuck-Norris".

B1. Cychwyn PC o usb byw GNU/Linux

“Cynnal prawf crypto ar gyfer perfformiad caledwedd”

lscpu && сryptsetup benchmark

Os ydych chi'n berchennog hapus car pwerus gyda chefnogaeth caledwedd AES, yna bydd y niferoedd yn edrych fel ochr dde'r derfynell; os ydych chi'n berchennog hapus, ond gyda chaledwedd hynafol, bydd y niferoedd yn edrych fel yr ochr chwith.

B2. Rhaniad disg. mowntio/fformatio disg rhesymegol fs HDD i Ext4 (Gparted)

B2.1. Creu pennyn rhaniad sda7 wedi'i amgryptioByddaf yn disgrifio enwau'r rhaniadau, yma ac ymhellach, yn unol â'm tabl rhaniadau a bostiwyd uchod. Yn ôl cynllun eich disg, rhaid i chi amnewid eich enwau rhaniad.

Mapio Amgryptio Gyriant Rhesymegol (/dev/sda7> /dev/mapper/sda7_crypt).
# Creu rhaniad LUKS-AES-XTS yn hawdd

cryptsetup -v -y luksFormat /dev/sda7

Opsiynau:

* luksFormat - cychwyn pennawd LUKS;
* -y -passphrase (nid allwedd/ffeil);
* -v -verbalization (dangos gwybodaeth yn y derfynell);
* /dev/sda7 - eich disg rhesymegol o'r rhaniad estynedig (lle bwriedir trosglwyddo/amgryptio GNU/Linux).

Algorithm amgryptio rhagosodedig <LUKS1: aes-xts-plain64, Allwedd: 256 did, stwnsh pennyn LUKS: sha256, RNG: /dev/urandom> (yn dibynnu ar y fersiwn cryptsetup).

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

Os nad oes cefnogaeth caledwedd ar gyfer AES ar y CPU, y dewis gorau fyddai creu rhaniad estynedig “LUKS-Twofish-XTS-XTS”.

B2.2. Crëwyd “pared LUKS-Twofish-XTS-” yn uwch

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

Opsiynau:
* luksFormat - cychwyn pennawd LUKS;
* /dev/sda7 yw eich disg resymegol wedi'i hamgryptio yn y dyfodol;
*-v geiriol ;
* -y cyfrinair;
* -c dewiswch algorithm amgryptio data;
* -s maint allwedd amgryptio;
* -h algorithm stwnsio / swyddogaeth crypto, defnyddir RNG (--defnyddio-wrandom) i gynhyrchu allwedd amgryptio/dadgryptio unigryw ar gyfer y pennyn disg rhesymegol, allwedd pennawd eilaidd (XTS); prif allwedd unigryw wedi'i storio ym mhennyn y ddisg wedi'i amgryptio, allwedd XTS eilaidd, yr holl fetadata hwn a threfn amgryptio sydd, gan ddefnyddio'r prif fysell a'r allwedd XTS eilaidd, yn amgryptio/dadgryptio unrhyw ddata ar y rhaniad (ac eithrio teitl yr adran) wedi'i storio mewn ~3MB ar y rhaniad disg caled a ddewiswyd.
* -i iteriadau mewn milieiliadau, yn lle "swm" (mae'r oedi wrth brosesu'r cyfrinair yn effeithio ar lwytho'r OS a chryfder cryptograffig yr allweddi). Er mwyn cynnal cydbwysedd cryfder cryptograffig, gyda chyfrinair syml fel “Rwsia” mae angen i chi gynyddu'r gwerth -(i); gyda chyfrinair cymhleth fel “?8dƱob/øfh” gellir lleihau'r gwerth.
* —defnyddio-wrandom generadur haprifau, yn cynhyrchu allweddi a halen.

Ar ôl mapio'r adran sda7> sda7_crypt (mae'r llawdriniaeth yn gyflym, gan fod pennyn wedi'i amgryptio yn cael ei greu gyda ~3 MB o fetadata a dyna i gyd), mae angen i chi fformatio a gosod y system ffeiliau sda7_crypt.

B2.3. Cymhariaeth

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

opsiynau:
* agored - parwch yr adran “gydag enw”;
* /dev/sda7 - disg rhesymegol;
* sda7_crypt - mapio enw a ddefnyddir i osod y rhaniad wedi'i amgryptio neu ei gychwyn pan fydd yr OS yn cychwyn.

B2.4. Fformatio'r system ffeiliau sda7_crypt i ext4. Gosod disg yn yr OS(Sylwer: ni fyddwch yn gallu gweithio gyda rhaniad wedi'i amgryptio yn Gparted)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt

opsiynau:
* -v -verbalization;
* -L - label gyriant (sy'n cael ei arddangos yn Explorer ymhlith gyriannau eraill).

Nesaf, dylech osod y ddyfais bloc rhithwir-amgryptio /dev/sda7_crypt i'r system

mount /dev/mapper/sda7_crypt /mnt

Bydd gweithio gyda ffeiliau yn y ffolder /mnt yn amgryptio/dadgryptio data yn sda7 yn awtomatig.

Mae'n fwy cyfleus mapio a gosod y rhaniad yn Explorer (nautilus/caja GUI), bydd y rhaniad eisoes yn y rhestr dewis disg, y cyfan sydd ar ôl yw nodi'r cyfrinair i agor / dadgryptio'r ddisg. Bydd yr enw cyfatebol yn cael ei ddewis yn awtomatig ac nid “sda7_crypt”, ond rhywbeth fel /dev/mapper/Luks-xx-xx...

B2.5. Copi wrth gefn pennyn disg (~ metadata 3MB)Un o'r rhai mwyaf pwysig gweithrediadau y mae angen eu gwneud yn ddi-oed - copi wrth gefn o'r pennawd “sda7_crypt”. Os ydych chi'n trosysgrifo / difrodi'r pennawd (er enghraifft, gosod GRUB2 ar y rhaniad sda7, ac ati), bydd y data wedi'i amgryptio yn cael ei golli'n llwyr heb unrhyw bosibilrwydd o'i adennill, oherwydd bydd yn amhosibl ail-greu'r un allweddi; mae'r allweddi'n cael eu creu yn unigryw.

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

opsiynau:
* luksHeaderBackup —pennawd-wrth gefn-ffeil - gorchymyn wrth gefn;
* luksHeaderRestore —header-backup-file -restore gorchymyn;
* ~/Backup_DebSHIFR - ffeil wrth gefn;
* /dev/sda7 - rhaniad y mae copi wrth gefn pennyn disg wedi'i amgryptio i'w gadw.
Ar y cam hwn mae <creu a golygu'r rhaniad wedi'i amgryptio> wedi'i gwblhau.

B3. Cludo GNU/Linux OS (sda4) i raniad amgryptiedig (sda7)

Creu ffolder /mnt2 (Sylwer - rydym yn dal i weithio gyda usb byw, mae sda7_crypt wedi'i osod ar / mnt), a gosod ein GNU/Linux yn /mnt2, y mae angen ei amgryptio.

mkdir /mnt2
mount /dev/sda4 /mnt2

Rydym yn cyflawni trosglwyddiad OS cywir gan ddefnyddio meddalwedd Rsync

rsync -avlxhHX --progress /mnt2/ /mnt

Disgrifir opsiynau Rsync ym mharagraff E1.

Nesaf angenrheidiol defragment rhaniad disg rhesymegol

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

Gwnewch yn rheol: gwnewch e4defrag ar GNU/LInux wedi'i amgryptio o bryd i'w gilydd os oes gennych HDD.
Mae'r trosglwyddiad a chydamseru [GNU/Linux> GNU/Linux-encrypted] wedi'i gwblhau ar y cam hwn.

YN 4. Sefydlu GNU/Linux ar raniad sda7 wedi'i amgryptio

Ar ôl trosglwyddo'r OS /dev/sda4> /dev/sda7 yn llwyddiannus, mae angen i chi fewngofnodi i GNU/Linux ar y rhaniad wedi'i amgryptio a gwneud cyfluniad pellach (heb ailgychwyn PC) mewn perthynas â system wedi'i hamgryptio. Hynny yw, byddwch mewn usb byw, ond gweithredwch orchmynion “yn berthynol i wraidd yr OS wedi'i amgryptio.” Bydd “chroot” yn efelychu sefyllfa debyg. Derbyn gwybodaeth yn gyflym am ba OS rydych chi'n gweithio gyda nhw ar hyn o bryd (wedi'i amgryptio neu beidio, gan fod y data yn sda4 a sda7 wedi'u cysoni), dad-gydamseru'r OS. Creu mewn cyfeirlyfrau gwraidd (sda4/sda7_crypt) ffeiliau marcio gwag, er enghraifft, /mnt/encryptedOS a /mnt2/decryptedOS. Gwiriwch yn gyflym pa OS ydych chi arno (gan gynnwys ar gyfer y dyfodol):

ls /<Tab-Tab>

B4.1. “Efelychiad o fewngofnodi i OS wedi'i amgryptio”

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. Gwirio bod gwaith yn cael ei wneud yn erbyn system wedi'i hamgryptio

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. Creu/ffurfweddu cyfnewid wedi'i amgryptio, golygu crypttab/fstabGan fod y ffeil cyfnewid yn cael ei fformatio bob tro mae'r OS yn cychwyn, nid yw'n gwneud unrhyw synnwyr i greu a mapio cyfnewid i ddisg resymegol nawr, a theipio gorchmynion fel ym mharagraff B2.2. Ar gyfer Swap, bydd ei allweddi amgryptio dros dro ei hun yn cael eu cynhyrchu'n awtomatig ar bob cychwyn. Cylch bywyd allweddi cyfnewid: dad-osod/dad-osod rhaniad cyfnewid (+ glanhau RAM); neu ailgychwyn yr OS. Sefydlu cyfnewid, agor y ffeil sy'n gyfrifol am ffurfweddu dyfeisiau wedi'u hamgryptio bloc (yn cyfateb i ffeil fstab, ond yn gyfrifol am crypto).

nano /etc/crypttab

rydym yn golygu

# "enw targed" "dyfais ffynhonnell" "ffeiliau allwedd" "dewisiadau"
cyfnewid /dev/sda8 /dev/urandom cyfnewid, cipher=twofish-xts-plain64,size=512,hash=sha512

Opsiynau
* cyfnewid - enw wedi'i fapio wrth amgryptio /dev/mapper/ swap.
* /dev/sda8 - defnyddiwch eich rhaniad rhesymegol ar gyfer cyfnewid.
* / dev/urandom - generadur allwedd amgryptio ar hap ar gyfer cyfnewid (gyda phob cist OS newydd, mae allweddi newydd yn cael eu creu). Mae'r generadur /dev/urandom yn llai ar hap na /dev/ar hap, wedi'r cyfan mae /dev/hap yn cael ei ddefnyddio wrth weithio mewn amgylchiadau paranoid peryglus. Wrth lwytho'r OS, mae /dev/hap yn arafu'r llwytho am sawl ± munud (gweler systemd-dadansoddiad).
* swap, cipher = twofish-xts-plain64,size = 512, hash = sha512: -mae'r rhaniad yn gwybod ei fod yn gyfnewid ac wedi'i fformatio “yn unol â hynny”; algorithm amgryptio.

#Открываем и правим fstab
nano /etc/fstab

rydym yn golygu

roedd # cyfnewid ar / dev / sda8 yn ystod y gosodiad
/dev/mapper/swap dim cyfnewid sw 0 0

/dev/mapper/swap yw'r enw a osodwyd yn crypttab.

Cyfnewid arall wedi'i amgryptio
Os nad ydych am roi'r gorau i raniad cyfan ar gyfer ffeil cyfnewid am ryw reswm, yna gallwch chi fynd mewn ffordd amgen a gwell: creu ffeil cyfnewid mewn ffeil ar raniad wedi'i amgryptio gyda'r OS.

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

Mae'r gosodiad rhaniad cyfnewid wedi'i gwblhau.

B4.4. Sefydlu GNU/Linux wedi'i amgryptio (golygu ffeiliau crypttab/fstab)Mae'r ffeil /etc/crypttab, fel y'i hysgrifennwyd uchod, yn disgrifio dyfeisiau bloc wedi'u hamgryptio sy'n cael eu ffurfweddu yn ystod cychwyn y system.

#правим /etc/crypttab 
nano /etc/crypttab

os oeddech yn cyfateb i'r adran sda7>sda7_crypt fel ym mharagraff B2.1

# "enw targed" "dyfais ffynhonnell" "ffeiliau allwedd" "dewisiadau"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

os oeddech yn cyfateb i'r adran sda7>sda7_crypt fel ym mharagraff B2.2

# "enw targed" "dyfais ffynhonnell" "ffeiliau allwedd" "dewisiadau"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

os gwnaethoch gyfateb yr adran sda7> sda7_crypt fel ym mharagraff B2.1 neu B2.2, ond nad ydych am ailgyflwyno'r cyfrinair i ddatgloi a chychwyn yr OS, yna yn lle'r cyfrinair gallwch roi allwedd gyfrinachol / ffeil ar hap yn ei le

# "enw targed" "dyfais ffynhonnell" "ffeiliau allwedd" "dewisiadau"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

Disgrifiad
* dim - yn adrodd, wrth lwytho'r OS, bod angen mynd i mewn i gyfrinair cyfrinachol i ddatgloi'r gwraidd.
* UUID - dynodwr rhaniad. I ddarganfod eich ID, teipiwch y derfynell (atgoffa, o'r amser hwn ymlaen, eich bod yn gweithio mewn terfynell mewn amgylchedd croot, ac nid mewn terfynell usb byw arall).

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

mae'r llinell hon yn weladwy wrth ofyn am blkid o'r derfynell usb byw gyda sda7_crypt wedi'i osod).
Rydych chi'n cymryd yr UUID o'ch sdaX (nid sdaX_crypt!, UUID sdaX_crypt - yn cael ei adael yn awtomatig wrth gynhyrchu'r ffurfwedd grub.cfg).
* cipher=twofish-xts-plain64,size=512, hash=sha512 -luks amgryptio yn y modd uwch.
* / etc/skey - ffeil allwedd gyfrinachol, sy'n cael ei mewnosod yn awtomatig i ddatgloi cist yr OS (yn lle mynd i mewn i'r 3ydd cyfrinair). Gallwch nodi unrhyw ffeil hyd at 8MB, ond bydd y data yn cael ei ddarllen <1MB.

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7

Bydd yn edrych rhywbeth fel hyn:

(gwnewch eich hun a gweld drosoch eich hun).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

Mae /etc/fstab yn cynnwys gwybodaeth ddisgrifiadol am systemau ffeiliau amrywiol.

#Правим /etc/fstab
nano /etc/fstab

# "system ffeil" "mount point" "math" "opsiynau" "dympio" "pas"
Roedd # / ar / dev / sda7 yn ystod y gosodiad
/dev/mapper/sda7_crypt / ext4 errors=remount-ro 0 1

opsiwn
* / dev/mapper/sda7_crypt - enw'r mapio sda7> sda7_crypt, a nodir yn y ffeil /etc/crypttab.
Mae'r gosodiad crypttab/fstab wedi'i gwblhau.

B4.5. Wrthi'n golygu ffeiliau ffurfweddu. Moment allweddolB4.5.1. Wrthi'n golygu'r ffurfwedd /etc/initramfs-tools/conf.d/resume

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

a sylw allan (os yn bodoli) "#" llinell "ailddechrau". Rhaid i'r ffeil fod yn hollol wag.

B4.5.2. Wrthi'n golygu'r config /etc/initramfs-tools/conf.d/cryptsetup

nano /etc/initramfs-tools/conf.d/cryptsetup

dylai gydweddu

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=ie
allforio CRYPTSETUP

B4.5.3. Wrthi'n golygu'r ffurfwedd /etc/default/grub (mae'r ffurfwedd hon yn gyfrifol am y gallu i gynhyrchu grub.cfg wrth weithio gyda /boot wedi'i amgryptio)

nano /etc/default/grub

ychwanegu'r llinell “GRUB_ENABLE_CRYPTODISK=y”
Bydd gwerth 'y', grub-mkconfig a grub-install yn gwirio am yriannau wedi'u hamgryptio ac yn cynhyrchu gorchmynion ychwanegol sydd eu hangen i gael mynediad iddynt ar amser cychwyn (insmods ).
mae'n rhaid bod tebygrwydd

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || adleisio Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=gwerthwr"
GRUB_CMDLINE_LINUX = "sblash tawel o gwbl"
GRUB_ENABLE_CRYPTODISK=y

B4.5.4. Wrthi'n golygu'r ffurfwedd /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

gwirio bod y llinell sylw <#>.
Yn y dyfodol (a hyd yn oed nawr, ni fydd gan y paramedr hwn unrhyw ystyr, ond weithiau mae'n ymyrryd â diweddaru delwedd initrd.img).

B4.5.5. Wrthi'n golygu'r ffurfwedd /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

ychwanegu

KEYFILE_PATTERN=”/etc/skey”
UMASK=0077

Bydd hyn yn pacio'r allwedd gyfrinachol "skey" i initrd.img, mae angen yr allwedd i ddatgloi'r gwraidd pan fydd yr OS yn cychwyn (os nad ydych am nodi'r cyfrinair eto, rhoddir yr allwedd “skey” yn lle'r car).

B4.6. Diweddaru /boot/initrd.img [fersiwn]I bacio'r allwedd gyfrinachol i initrd.img a chymhwyso atgyweiriadau cryptsetup, diweddarwch y ddelwedd

update-initramfs -u -k all

wrth ddiweddaru initrd.img (fel maen nhw'n dweud "Mae'n bosibl, ond nid yw'n sicr") bydd rhybuddion sy'n ymwneud â cryptsetup yn ymddangos, neu, er enghraifft, hysbysiad am golli modiwlau Nvidia - mae hyn yn normal. Ar ôl diweddaru'r ffeil, gwiriwch ei bod wedi'i diweddaru mewn gwirionedd, gweler yr amser (yn berthynol i amgylchedd chroot./boot/initrd.img). Sylw! cyn [diweddaru-initramfs -u -k i gyd] gofalwch eich bod yn gwirio bod cryptsetup ar agor /dev/sda7 sda7_crypt - dyma'r enw sy'n ymddangos yn /etc/crypttab, fel arall ar ôl ailgychwyn bydd gwall busybox)
Ar y cam hwn, mae sefydlu'r ffeiliau cyfluniad wedi'i gwblhau.

[C] Gosod a ffurfweddu GRUB2/Protection

C1. Os oes angen, fformatiwch y rhaniad pwrpasol ar gyfer y cychwynnwr (mae angen o leiaf 20MB ar raniad)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. Mount /dev/sda6 i /mntFelly rydyn ni'n gweithio yn chroot, yna ni fydd cyfeiriadur / mnt2 yn y gwraidd, a bydd y ffolder / mnt yn wag.
gosod y rhaniad GRUB2

mount /dev/sda6 /mnt

Os oes gennych fersiwn hŷn o GRUB2 wedi'i osod, yn y cyfeiriadur /mnt/boot/grub/i-386-pc (mae platfform arall yn bosibl, er enghraifft, nid “i386-pc”) dim modiwlau crypto (yn fyr, dylai'r ffolder gynnwys modiwlau, gan gynnwys y rhain .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), yn yr achos hwn, mae angen ysgwyd GRUB2.

apt-get update
apt-get install grub2

Pwysig! Wrth ddiweddaru'r pecyn GRUB2 o'r ystorfa, pan ofynnwyd “am ddewis” ble i osod y cychwynnydd, rhaid i chi wrthod y gosodiad (rheswm - ceisio gosod GRUB2 - yn "MBR" neu ar usb byw). Fel arall byddwch yn difrodi pennyn/llwythwr VeraCrypt. Ar ôl diweddaru'r pecynnau GRUB2 a chanslo'r gosodiad, rhaid gosod y llwythwr cychwyn â llaw ar y ddisg resymegol, ac nid yn y MBR. Os oes gan eich ystorfa fersiwn hen ffasiwn o GRUB2, ceisiwch diweddariad mae o'r wefan swyddogol - heb ei wirio (wedi gweithio gyda'r llwythwyr cychwyn GRUB 2.02 ~BetaX diweddaraf).

C3. Gosod GRUB2 mewn rhaniad estynedig [sda6]Rhaid bod gennych raniad wedi'i fowntio [eitem C.2]

grub-install --force --root-directory=/mnt /dev/sda6

opsiynau
* —force - gosod y cychwynnydd, gan osgoi pob rhybudd sydd bron bob amser yn bodoli a gosod bloc (baner gofynnol).
* --root-directory - gosod cyfeiriadur at wraidd sda6.
* /dev/sda6 - eich rhaniad sdaХ (peidiwch â cholli'r <space> rhwng /mnt /dev/sda6).

C4. Creu ffeil ffurfweddu [grub.cfg]Anghofiwch am y gorchymyn "update-grub2", a defnyddiwch y gorchymyn cynhyrchu ffeil cyfluniad llawn

grub-mkconfig -o /mnt/boot/grub/grub.cfg

ar ôl cwblhau cynhyrchu / diweddaru'r ffeil grub.cfg, dylai'r derfynell allbwn gynnwys llinell(au) gyda'r OS a geir ar y ddisg Mae'n debyg y bydd (“grub-mkconfig” yn dod o hyd i'r OS o usb byw ac yn ei godi, os oes gennych yriant fflach multiboot gyda Windows 10 a chriw o ddosbarthiadau byw - mae hyn yn normal). Os yw'r derfynell yn “wag” ac nad yw'r ffeil “grub.cfg” yn cael ei chynhyrchu, yna mae hyn yr un peth pan fo bygiau GRUB yn y system (ac yn fwyaf tebygol y llwythwr o gangen brawf yr ystorfa), ailosod GRUB2 o ffynonellau dibynadwy.
Mae'r gosodiad "cyfluniad syml" a'r gosodiad GRUB2 wedi'u cwblhau.

C5. Prawf prawf o GNU/Linux OS wedi'i amgryptioRydym yn cwblhau'r genhadaeth crypto yn gywir. Gadael y GNU/Linux wedi'i amgryptio yn ofalus (amgylchedd ymadael chroot).

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

Ar ôl ailgychwyn y PC, dylai'r cychwynnwr VeraCrypt lwytho.

* Bydd rhoi'r cyfrinair ar gyfer y rhaniad gweithredol yn dechrau llwytho Windows.
*Bydd gwasgu'r allwedd "Esc" yn trosglwyddo rheolaeth i GRUB2, os dewiswch GNU/Linux wedi'i amgryptio - bydd angen cyfrinair (sda7_crypt) i ddatgloi /boot/initrd.img (os yw grub2 yn ysgrifennu uuid "heb ei ganfod" - dyma un problem gyda'r cychwynnydd grub2, dylid ei ailosod, e.e. , o gangen prawf / sefydlog ac ati).

* Yn dibynnu ar sut y gwnaethoch chi ffurfweddu'r system (gweler paragraff B4.4/4.5), ar ôl nodi'r cyfrinair cywir i ddatgloi'r ddelwedd /boot/initrd.img, bydd angen cyfrinair arnoch i lwytho'r cnewyllyn / gwraidd OS, neu'r gyfrinach bydd allwedd yn cael ei amnewid yn awtomatig " skey ", gan ddileu'r angen i ailgyflwyno'r cyfrinair.

(sgrin “amnewid allwedd gyfrinachol yn awtomatig”).

* Yna bydd y broses gyfarwydd o lwytho GNU/Linux gyda dilysu cyfrif defnyddiwr yn dilyn.

* Ar ôl awdurdodiad defnyddiwr a mewngofnodi i'r OS, mae angen i chi ddiweddaru /boot/initrd.img eto (gweler B4.6).

update-initramfs -u -k all

Ac rhag ofn y bydd llinellau ychwanegol yn y ddewislen GRUB2 (o OS-m pickup gyda usb byw) cael gwared arnyn nhw

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

Crynodeb cyflym o amgryptio system GNU/Linux:

Mae GNU/Linuxinux wedi'i amgryptio'n llawn, gan gynnwys /boot/kernel ac initrd;
mae'r allwedd gyfrinachol wedi'i becynnu yn initrd.img;
cynllun awdurdodi presennol (rhoi'r cyfrinair i ddatgloi'r initrd; cyfrinair / allwedd i gychwyn yr OS; cyfrinair ar gyfer awdurdodi'r cyfrif Linux).

Mae amgryptio system "Ffurfwedd GRUB2 Syml" o'r rhaniad bloc wedi'i gwblhau.

C6. Cyfluniad GRUB2 uwch. Diogelwch Bootloader gyda llofnod digidol + amddiffyniad dilysuMae GNU/Linux wedi'i amgryptio'n llwyr, ond ni ellir amgryptio'r cychwynnydd - y BIOS sy'n pennu'r amod hwn. Am y rheswm hwn, nid yw cist cadwynog wedi'i hamgryptio o GRUB2 yn bosibl, ond mae cist cadwynog syml yn bosibl/ar gael, ond o safbwynt diogelwch nid yw'n angenrheidiol [gweler P. F].
Ar gyfer y GRUB2 “agored i niwed”, gweithredodd y datblygwyr algorithm amddiffyn cychwynnydd “llofnod / dilysu”.

Pan fydd y cychwynnwr wedi'i ddiogelu gan “ei lofnod digidol ei hun,” bydd addasu ffeiliau'n allanol, neu ymgais i lwytho modiwlau ychwanegol yn y cychwynnwr hwn, yn arwain at rwystro'r broses lwytho.
Wrth amddiffyn y cychwynnwr gyda dilysiad, er mwyn dewis llwytho dosbarthiad, neu nodi gorchmynion ychwanegol yn y CLI, bydd angen i chi nodi mewngofnodi a chyfrinair y superuser-GRUB2.

C6.1. Amddiffyn dilysu BootloaderGwiriwch eich bod yn gweithio mewn terfynell ar OS wedi'i amgryptio

ls /<Tab-Tab> #обнаружить файл-маркер

creu cyfrinair uwch-ddefnyddiwr i'w awdurdodi yn GRUB2

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя.

Cael y cyfrinair hash. Rhywbeth fel hyn

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

gosod y rhaniad GRUB

mount /dev/sda6 /mnt

golygu'r ffurfwedd

nano -$ /mnt/boot/grub/grub.cfg

gwiriwch y chwiliad ffeil nad oes unrhyw fflagiau yn unrhyw le yn “grub.cfg” (“-unrestricted” “-user”,
ychwanegu ar y diwedd (cyn y llinell ### END /etc/grub.d/41_custom ###)
"set superusers="root"
password_pbkdf2 stwnsh gwraidd."

Dylai fod yn rhywbeth fel hyn

# Mae'r ffeil hon yn darparu ffordd hawdd o ychwanegu cofnodion dewislen wedi'u teilwra. Yn syml, teipiwch y
# cofnod dewislen rydych chi am eu hychwanegu ar ôl y sylw hwn. Byddwch yn ofalus i beidio â newid
# y llinell 'exec tail' uchod.
### END /etc/grub.d/40_custom ###

### BEGIN /etc/grub.d/41_custom ###
os [ -f ${config_directory}/custom.cfg ]; yna
ffynhonnell ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $ prefix/custom.cfg ]; yna
ffynhonnell $ prefix/custom.cfg;
fi
gosod superusers = "root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

Os ydych yn aml yn defnyddio'r gorchymyn "grub-mkconfig -o /mnt/boot/grub/grub.cfg" ac nad ydych am wneud newidiadau i grub.cfg bob tro, nodwch y llinellau uchod (Mewngofnodi: Cyfrinair) yn y sgript defnyddiwr GRUB ar y gwaelod iawn

nano /etc/grub.d/41_custom

cath<EOF
gosod superusers = "root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

Wrth gynhyrchu'r ffurfwedd “grub-mkconfig -o /mnt/boot/grub/grub.cfg”, bydd y llinellau sy'n gyfrifol am ddilysu yn cael eu hychwanegu'n awtomatig at grub.cfg.
Mae'r cam hwn yn cwblhau'r gosodiad dilysu GRUB2.

C6.2. Diogelwch Bootloader gyda llofnod digidolTybir bod gennych chi'ch allwedd amgryptio pgp personol yn barod (neu greu allwedd o'r fath). Rhaid gosod meddalwedd cryptograffig ar y system: gnuPG; kleopatra/GPA; Morfarch. Bydd meddalwedd crypto yn gwneud eich bywyd yn llawer haws ym mhob mater o'r fath. Seahorse - fersiwn sefydlog o'r pecyn 3.14.0 (mae fersiynau uwch, er enghraifft, V3.20, yn ddiffygiol ac mae ganddynt fygiau sylweddol).

Mae angen cynhyrchu/lansio/ychwanegu'r allwedd PGP yn yr amgylchedd su yn unig!

Cynhyrchu allwedd amgryptio personol

gpg - -gen-key

Allforiwch eich allwedd

gpg --export -o ~/perskey

Gosodwch y ddisg resymegol yn yr OS os nad yw eisoes wedi'i osod

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

glanhau'r rhaniad GRUB2

rm -rf /mnt/

Gosod GRUB2 yn sda6, gan roi eich allwedd breifat yn y brif ddelwedd GRUB "core.img"

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

opsiynau
* --force - gosodwch y cychwynnydd, gan osgoi'r holl rybuddion sydd bob amser yn bodoli (baner gofynnol).
* —modules = "gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - yn cyfarwyddo GRUB2 i raglwytho'r modiwlau angenrheidiol pan fydd y PC yn cychwyn.
* -k ~ / persgi - llwybr i'r “allwedd PGP” (ar ôl pacio'r allwedd i'r ddelwedd, gellir ei ddileu).
* --root-directory - gosodwch y cyfeiriadur cychwyn i wraidd sda6
/dev/sda6 - eich rhaniad sdaX.

Cynhyrchu/diweddaru grub.cfg

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

Ychwanegwch y llinell “trust /boot/grub/perskey” i ddiwedd y ffeil “grub.cfg” (gorfodi defnydd o allwedd pgp.) Ers i ni osod GRUB2 gyda set o fodiwlau, gan gynnwys y modiwl llofnod “signature_test.mod”, mae hyn yn dileu'r angen i ychwanegu gorchmynion fel “set check_signatures=enforce” i'r ffurfwedd.

Dylai edrych yn rhywbeth fel hyn (llinellau diwedd yn y ffeil grub.cfg)

### BEGIN /etc/grub.d/41_custom ###
os [ -f ${config_directory}/custom.cfg ]; yna
ffynhonnell ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $ prefix/custom.cfg ]; yna
ffynhonnell $ prefix/custom.cfg;
fi
ymddiried /boot/grub/perskey
gosod superusers = "root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

Nid oes angen pwyntio'r llwybr i “/boot/grub/perskey” at raniad disg penodol, er enghraifft hd0,6; ar gyfer y cychwynnwr ei hun, “root” yw llwybr rhagosodedig y rhaniad y mae GRUB2 wedi'i osod arno (gweler pydredd set=..).

Arwyddo GRUB2 (pob ffeil ym mhob cyfeiriadur / GRUB) gyda'ch allwedd “perskey”.
Datrysiad syml ar sut i lofnodi (ar gyfer nautilus/caja explorer): gosodwch yr estyniad “seahorse” ar gyfer Explorer o'r ystorfa. Rhaid ychwanegu eich allwedd i'r amgylchedd su.
Agor Explorer gyda sudo “/ mnt/boot” – RMB – arwydd. Ar y sgrin mae'n edrych fel hyn

Yr allwedd ei hun yw “/mnt/boot/grub/perskey” (copi i'r cyfeiriadur grub) rhaid ei lofnodi hefyd gyda'ch llofnod eich hun. Gwiriwch fod y [*.sig] llofnodion ffeil yn ymddangos yn y cyfeiriadur/is-gyfeiriaduron.
Gan ddefnyddio'r dull a ddisgrifir uchod, llofnodwch "/boot" (ein cnewyllyn, initrd). Os yw'ch amser yn werth unrhyw beth, yna mae'r dull hwn yn dileu'r angen i ysgrifennu sgript bash i lofnodi "llawer o ffeiliau."

I gael gwared ar holl lofnodion cychwynnydd (os aeth rhywbeth o'i le)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

Er mwyn peidio â llofnodi'r cychwynnydd ar ôl diweddaru'r system, rydym yn rhewi'r holl becynnau diweddaru sy'n gysylltiedig â GRUB2.

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

Ar y cam hwn <diogelu cychwynnydd gyda llofnod digidol> mae cyfluniad uwch GRUB2 wedi'i gwblhau.

C6.3. Prawf-prawf o'r cychwynnydd GRUB2, wedi'i ddiogelu gan lofnod digidol a dilysiadGRUB2. Wrth ddewis unrhyw ddosbarthiad GNU/Linux neu fynd i mewn i'r CLI (llinell orchymyn) Bydd angen awdurdodiad uwch-ddefnyddiwr. Ar ôl nodi'r enw defnyddiwr / cyfrinair cywir, bydd angen y cyfrinair initrd arnoch

Sgrinlun o ddilysiad llwyddiannus y superuser GRUB2.

Os byddwch yn ymyrryd ag unrhyw un o'r ffeiliau GRUB2/yn gwneud newidiadau i grub.cfg, neu'n dileu'r ffeil/llofnod, neu'n llwytho modiwl maleisus.mod, bydd rhybudd cyfatebol yn ymddangos. Bydd GRUB2 yn rhoi'r gorau i lwytho.

Ciplun, ymgais i ymyrryd â GRUB2 “o'r tu allan”.

Yn ystod cychwyn "normal" "heb ymyrraeth", statws cod ymadael y system yw "0". Felly, nid yw'n hysbys a yw'r amddiffyniad yn gweithio ai peidio (hynny yw, "gyda neu heb amddiffyniad llofnod bootloader" yn ystod llwytho arferol y statws yr un fath "0" - mae hyn yn ddrwg).

Sut i wirio amddiffyniad llofnod digidol?

Ffordd anghyfleus o wirio: ffug/tynnu modiwl a ddefnyddir gan GRUB2, er enghraifft, tynnwch y llofnod luks.mod.sig a chael gwall.

Y ffordd gywir: ewch i'r cychwynnwr CLI a theipiwch y gorchymyn

trust_list

Mewn ymateb, dylech dderbyn olion bysedd “perskey”; os yw'r statws yn “0,” yna nid yw amddiffyniad llofnod yn gweithio, gwiriwch baragraff C6.2 ddwywaith.
Ar y cam hwn, cwblheir y cyfluniad datblygedig “Amddiffyn GRUB2 gyda llofnod digidol a dilysu”.

C7 Dull arall o ddiogelu'r cychwynnydd GRUB2 gan ddefnyddio stwnshMae'r dull "CPU Boot Loader / Dilysu" dull a ddisgrifir uchod yn glasur. Oherwydd amherffeithrwydd GRUB2, mewn amodau paranoid mae'n agored i ymosodiad go iawn, y byddaf yn ei roi isod ym mharagraff [F]. Yn ogystal, ar ôl diweddaru'r OS/cnewyllyn, rhaid ail-lofnodi'r cychwynnydd.

Diogelu'r cychwynnydd GRUB2 gan ddefnyddio hashing

Manteision dros y clasuron:

Lefel uwch o ddibynadwyedd (mae stwnshio/dilysu yn digwydd o adnodd lleol wedi'i amgryptio yn unig. Mae'r rhaniad cyfan a neilltuwyd o dan GRUB2 yn cael ei reoli ar gyfer unrhyw newidiadau, ac mae popeth arall wedi'i amgryptio; yn y cynllun clasurol gydag amddiffyniad llwythwr CPU/Dilysu, dim ond ffeiliau sy'n cael eu rheoli, ond nid am ddim gofod, lle gellir ychwanegu “rhywbeth” rhywbeth sinistr).
Logio wedi'i amgryptio (ychwanegir log wedi'i amgryptio personol y gall pobl ei ddarllen at y cynllun).
Cyflymder (mae amddiffyn / dilysu rhaniad cyfan a neilltuwyd ar gyfer GRUB2 yn digwydd bron yn syth).
Awtomeiddio'r holl brosesau cryptograffig.

Anfanteision dros y clasuron.

Ffugio llofnod (yn ddamcaniaethol, mae'n bosibl dod o hyd i wrthdrawiad ffwythiant hash penodol).
Lefel anhawster uwch (o'i gymharu â'r clasurol, mae angen ychydig mwy o sgiliau yn GNU/Linux OS).

Sut mae'r syniad stwnsio GRUB2/partition yn gweithio

Mae rhaniad GRUB2 wedi'i “lofnodi”; pan fydd yr OS yn cychwyn, mae rhaniad y cychwynnydd yn cael ei wirio am ansymudedd, ac yna mewngofnodi mewn amgylchedd diogel (amgryptio). Os yw'r cychwynnwr neu ei raniad yn cael ei beryglu, yn ogystal â'r log ymwthiad, caiff y canlynol ei lansio:

Peth.

Mae gwiriad tebyg yn digwydd bedair gwaith y dydd, nad yw'n llwytho adnoddau system.
Gan ddefnyddio'r gorchymyn “-$ check_GRUB”, mae gwiriad ar unwaith yn digwydd ar unrhyw adeg heb logio, ond gydag allbwn gwybodaeth i'r CLI.
Gan ddefnyddio'r gorchymyn “-$ sudo signature_GRUB”, mae cychwynnydd / rhaniad GRUB2 yn cael ei ail-lofnodi ar unwaith a'i logio wedi'i ddiweddaru (sy'n angenrheidiol ar ôl diweddariad OS / cist), ac mae bywyd yn mynd rhagddo.

Gweithredu dull stwnsio ar gyfer y cychwynnydd a'i adran

0) Gadewch i ni lofnodi'r cychwynnydd GRUB / rhaniad trwy ei osod yn / media/username yn gyntaf

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) Rydym yn creu sgript heb estyniad yng ngwraidd yr OS ~/podpis wedi'i amgryptio, yn cymhwyso'r hawliau diogelwch 744 angenrheidiol a'r amddiffyniad gwrth-ffôl iddi.

Llenwi ei gynnwys

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

Rhedeg y sgript o su, Bydd y stwnsh y rhaniad GRUB a'i bootloader yn cael eu gwirio, achub y log.

Gadewch i ni greu neu gopïo, er enghraifft, “ffeil maleisus” [virus.mod] i raniad GRUB2 a rhedeg sgan / prawf dros dro:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

Rhaid i'r CLI weld goresgyniad o'n -citadel-#Tocio log yn CLI

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

#Fel y gallwch weld, mae “Ffeiliau wedi'u symud: 1 ac Archwilio wedi methu” yn ymddangos, sy'n golygu bod y siec wedi methu.
Oherwydd natur y rhaniad sy'n cael ei brofi, yn lle "Canfuwyd ffeiliau newydd" > "Ffeiliau wedi'u symud"

2) Rhowch y gif yma > ~/warning.gif, gosodwch y caniatadau i 744.

3) Ffurfweddu fstab i osod y rhaniad GRUB yn awtomatig wrth gychwyn

-$ sudo nano /etc/fstab

Mae LABEL=GRUB /media/username/GRUB ext4 yn rhagosod 0 0

4) Cylchdroi'r log

-$ sudo nano /etc/logrotate.d/podpis

/var/log/podpis.txt {
bob dydd
cylchdroi 50
maint 5M
dyddiadur
cywasgu
oedi
olddir /var/log/old
}

/var/log/vtorjenie.txt {
misol
cylchdroi 5
maint 5M
dyddiadur
olddir /var/log/old
}

5) Ychwanegu swydd at cron

-$ sudo crontab -e

ailgychwyn '/tanysgrifiad'
0 */6 * * * '/podpis

6) Creu arallenwau parhaol

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

Ar ôl diweddariad OS -$ apt-get upgrade ail-lofnodi ein rhaniad GRUB
-$ подпись_GRUB
Ar y pwynt hwn, mae amddiffyniad stwnsio rhaniad GRUB wedi'i gwblhau.

[D] Sychu - dinistrio data heb ei amgryptio

Dilëwch eich ffeiliau personol mor llwyr fel “na all hyd yn oed Duw eu darllen,” yn ôl llefarydd De Carolina, Trey Gowdy.

Yn ôl yr arfer, mae yna “chwedlau a chwedlau", am adfer data ar ôl iddo gael ei ddileu o yriant caled. Os ydych yn credu mewn seiberwitchcraft, neu'n aelod o gymuned gwe Dr ac nad ydych erioed wedi ceisio adfer data ar ôl iddo gael ei ddileu/drosysgrifennu (er enghraifft, adferiad gan ddefnyddio R-studio), yna mae'r dull arfaethedig yn annhebygol o fod yn addas i chi, defnyddiwch yr hyn sydd agosaf atoch chi.

Ar ôl trosglwyddo GNU/Linux yn llwyddiannus i raniad wedi'i amgryptio, rhaid dileu'r hen gopi heb y posibilrwydd o adfer data. Dull glanhau cyffredinol: meddalwedd ar gyfer meddalwedd GUI am ddim Windows/Linux BleachBit.
Быстро fformat yr adran, y data y mae angen ei ddinistrio (trwy Gparted) lansio BleachBit, dewiswch "Glanhau gofod rhydd" - dewiswch y rhaniad (eich sdaX gyda chopi blaenorol o GNU/Linux), bydd y broses stripio yn dechrau. BleachBit - yn sychu'r ddisg mewn un tocyn - dyma beth “sydd ei angen arnom”, Ond! Dim ond os gwnaethoch fformatio'r ddisg a'i glanhau mewn meddalwedd BB v2.0 y bydd hyn yn gweithio mewn theori.

Sylw! Mae BB yn sychu'r ddisg, gan adael metadata; cedwir enwau ffeiliau pan fydd data'n cael ei ddileu (Ccleaner - nid yw'n gadael metadata).

Ac nid myth yn gyfan gwbl yw'r myth am y posibilrwydd o adfer data.Bleachbit V2.0-2 cyn becyn OS Debian ansefydlog (ac unrhyw feddalwedd tebyg arall: sfill; wipe-Nautilus - sylwyd arnynt hefyd yn y busnes budr hwn) mewn gwirionedd roedd nam critigol: y swyddogaeth "clirio gofod rhydd". mae'n gweithio'n anghywir ar yriannau HDD/Flash (ntfs/ext4). Nid yw meddalwedd o'r math hwn, wrth glirio gofod rhydd, yn trosysgrifo'r ddisg gyfan, fel y mae llawer o ddefnyddwyr yn ei feddwl. A rhai (llawer o) data wedi'u dileu Mae OS/meddalwedd yn ystyried y data hwn fel data defnyddwyr heb ei ddileu ac wrth lanhau “OSP” mae'n hepgor y ffeiliau hyn. Y broblem yw bod ar ôl amser mor hir, glanhau y ddisg Gellir adennill "ffeiliau wedi'u dileu". hyd yn oed ar ôl 3+ pas o sychu'r ddisg.
Ar GNU/Linux yn Bleachbit 2.0-2 Mae swyddogaethau dileu ffeiliau a chyfeiriaduron yn barhaol yn gweithio'n ddibynadwy, ond nid yn clirio gofod rhydd. Er mwyn cymharu: ar Windows yn CCleaner mae'r swyddogaeth “OSP for ntfs” yn gweithio'n iawn, ac ni fydd Duw yn gallu darllen data wedi'i ddileu mewn gwirionedd.

Ac felly, i gael gwared yn drylwyr "cyfaddawdu" hen ddata heb ei amgryptio, Mae Bleachbit angen mynediad uniongyrchol i'r data hwn, yna, defnyddiwch y swyddogaeth “dileu ffeiliau/cyfeiriaduron yn barhaol”.
I gael gwared ar “ffeiliau wedi'u dileu gan ddefnyddio offer OS safonol” yn Windows, defnyddiwch CCleaner/BB gyda'r swyddogaeth “OSP”. Yn GNU/Linux dros y broblem hon (dileu ffeiliau sydd wedi'u dileu) mae angen i chi gael ymarfer ar eich pen eich hun (dileu data + ymgais annibynnol i'w adfer ac ni ddylech ddibynnu ar y fersiwn meddalwedd (os nad yw'n nod tudalen, yna nam)), dim ond yn yr achos hwn y byddwch chi'n gallu deall mecanwaith y broblem hon a chael gwared ar y data sydd wedi'i ddileu yn llwyr.

Nid wyf wedi profi Bleachbit v3.0, efallai bod y broblem eisoes wedi'i datrys.
Mae Bleachbit v2.0 yn gweithio'n onest.

Ar y cam hwn, mae sychu disg wedi'i gwblhau.

[E] Copi wrth gefn cyffredinol o OS wedi'i amgryptio

Mae gan bob defnyddiwr ei ddull ei hun o wneud copïau wrth gefn o ddata, ond mae data System OS wedi'i amgryptio yn gofyn am ddull ychydig yn wahanol i'r dasg. Ni all meddalwedd unedig, fel Clonezilla a meddalwedd tebyg, weithio'n uniongyrchol gyda data wedi'i amgryptio.

Datganiad o'r broblem o wneud copïau wrth gefn o ddyfeisiau bloc wedi'u hamgryptio:

cyffredinolrwydd - yr un algorithm/meddalwedd wrth gefn ar gyfer Windows/Linux;
y gallu i weithio yn y consol gydag unrhyw USB GNU/Linux byw heb fod angen lawrlwytho meddalwedd ychwanegol (ond dal i argymell GUI);
diogelwch copïau wrth gefn - rhaid amgryptio “delweddau” sydd wedi'u storio/diogelu â chyfrinair;
rhaid i faint y data wedi'i amgryptio gyfateb i faint y data gwirioneddol sy'n cael ei gopïo;
echdynnu cyfleus o ffeiliau angenrheidiol o gopi wrth gefn (dim gofyniad i ddadgryptio'r adran gyfan yn gyntaf).

Er enghraifft, gwneud copi wrth gefn / adfer trwy'r cyfleustodau "dd".

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

Mae'n cyfateb i bron pob pwynt o'r dasg, ond yn ôl pwynt 4 nid yw'n gwrthsefyll beirniadaeth, gan ei fod yn copïo'r rhaniad disg cyfan, gan gynnwys gofod rhydd - nid yw'n ddiddorol.

Er enghraifft, copi wrth gefn GNU/Linux trwy'r archifydd [tar" | gpg] yn gyfleus, ond ar gyfer copi wrth gefn Windows mae angen i chi chwilio am ateb arall - nid yw'n ddiddorol.

E1. Universal Windows / Linux wrth gefn. Cyswllt rsync (Grsync) + cyfaint VeraCryptAlgorithm ar gyfer creu copi wrth gefn:

creu cynhwysydd wedi'i amgryptio (cyfrol/ffeil) VeraCrypt ar gyfer OS;
trosglwyddo/cydamseru'r OS gan ddefnyddio meddalwedd Rsync i'r cynhwysydd crypto VeraCrypt;
os oes angen, uwchlwytho'r gyfrol VeraCrypt i www.

Mae gan greu cynhwysydd VeraCrypt wedi'i amgryptio ei nodweddion ei hun:
creu cyfrol ddeinamig (mae creu DT ar gael yn Windows yn unig, gellir ei ddefnyddio hefyd yn GNU/Linux);
creu cyfrol reolaidd, ond mae angen “cymeriad paranoid” (yn ôl y datblygwr) - fformatio cynhwysydd.

Mae cyfaint deinamig yn cael ei greu bron yn syth yn Windows, ond wrth gopïo data o GNU/Linux> VeraCrypt DT, mae perfformiad cyffredinol y gweithrediad wrth gefn yn gostwng yn sylweddol.

Crëir cyfrol Twofish rheolaidd 70 GB (gadewch i ni ddweud, ar gyfartaledd pŵer PC) i HDD ~ mewn hanner awr (mae trosysgrifo'r data cyn-gynhwysydd mewn un tocyn oherwydd gofynion diogelwch). Mae'r swyddogaeth o fformatio cyfaint yn gyflym wrth ei greu wedi'i dynnu o VeraCrypt Windows / Linux, felly dim ond trwy "ailysgrifennu un pas" neu greu cyfaint deinamig perfformiad isel y mae creu cynhwysydd yn bosibl.

Creu cyfrol VeraCrypt rheolaidd (ddim yn ddeinamig/ntfs), ni ddylai fod unrhyw broblemau.

Ffurfweddu/creu/agor cynhwysydd yn VeraCrypt GUI> GNU/Linux live usb (bydd y gyfrol yn cael ei gosod yn awtomatig i /media/veracrypt2, bydd cyfaint Windows OS yn cael ei osod i /media/veracrypt1). Creu copi wrth gefn wedi'i amgryptio o Windows OS gan ddefnyddio GUI rsync (grsync)trwy wirio'r blychau.

Arhoswch i'r broses gael ei chwblhau. Unwaith y bydd y copi wrth gefn wedi'i gwblhau, bydd gennym un ffeil wedi'i hamgryptio.

Yn yr un modd, crëwch gopi wrth gefn o'r GNU/Linux OS trwy ddad-dicio'r blwch ticio “cytnawsedd Windows” yn y GUI rsync.

Sylw! creu cynhwysydd Veracrypt ar gyfer “GNU/Linux backup” yn y system ffeiliau ext4. Os gwnewch gopi wrth gefn i gynhwysydd ntfs, yna pan fyddwch yn adfer copi o'r fath, byddwch yn colli pob hawl/grŵp i'ch holl ddata.

Gellir cyflawni'r holl weithrediadau yn y derfynell. Opsiynau sylfaenol ar gyfer rsync:
* -g -arbed grwpiau;
* -P —cynnydd — statws yr amser a dreuliwyd yn gweithio ar y ffeil;
* -H - copïo dolenni caled fel y mae;
* -a -archif modd (baneri rlptgoD lluosog);
* -v -verbalization.

Os ydych chi am osod “cyfrol Windows VeraCrypt” trwy'r consol yn y meddalwedd cryptsetup, gallwch greu alias (su)

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

Nawr bydd y gorchymyn “lluniau veramount” yn eich annog i nodi cyfrinair, a bydd cyfaint system Windows wedi'i amgryptio yn cael ei osod yn yr OS.

Mapio / gosod cyfaint system VeraCrypt mewn gorchymyn cryptsetup

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

Mapio / gosod rhaniad / cynhwysydd VeraCrypt mewn gorchymyn cryptsetup

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

Yn lle alias, byddwn yn ychwanegu (sgript i gychwyn) cyfaint system gyda Windows OS a disg ntfs wedi'i hamgryptio rhesymegol i gychwyn GNU/Linux

Creu sgript a'i chadw yn ~/VeraOpen.sh

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

Rydym yn dosbarthu’r hawliau “cywir”:

sudo chmod 100 /VeraOpen.sh

Creu dwy ffeil unfath (yr un enw!) yn /etc/rc.local a ~/etc/init.d/rc.local
Llenwi'r ffeiliau

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

Rydym yn dosbarthu’r hawliau “cywir”:

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local

Dyna ni, nawr wrth lwytho GNU / Linux nid oes angen i ni nodi cyfrineiriau i osod disgiau ntfs wedi'u hamgryptio, mae'r disgiau'n cael eu gosod yn awtomatig.

Nodyn yn fyr am yr hyn a ddisgrifir uchod ym mharagraff E1 gam wrth gam (ond nawr ar gyfer OS GNU/Linux)
1) Creu cyfrol yn fs ext4 > 4gb (ar gyfer ffeil) Linux yn Veracrypt [Cryptbox].
2) ailgychwyn i fyw usb.
3) ~$ cryptsetup agor /dev/sda7 Lunux #mapio rhaniad wedi'i amgryptio.
4) ~ $ mount /dev/mapper/Linux /mnt #mount y rhaniad amgryptio i /mnt.
5) ~$ mkdir mnt2 #creu cyfeiriadur ar gyfer copi wrth gefn yn y dyfodol.
6) ~$ cryptsetup agored —veracrypt —type tcrypt ~/CryptoBox CryptoBox && mount /dev/mapper/CryptoBox /mnt2 #Mapiwch gyfrol Veracrypt o'r enw “CryptoBox” a gosodwch y CryptoBox i /mnt2.
7) ~$ rsync -avlxhHX —cynnydd /mnt /mnt2/ #gweithrediad wrth gefn rhaniad wedi'i amgryptio i gyfaint Veracrypt wedi'i amgryptio.

(p/e/ Sylw! Os ydych chi'n trosglwyddo GNU / Linux wedi'i amgryptio o un bensaernïaeth / peiriant i un arall, er enghraifft, Intel> AMD (hynny yw, defnyddio copi wrth gefn o un rhaniad wedi'i amgryptio i raniad Intel> AMD arall wedi'i amgryptio), Paid ag anghofio Ar ôl trosglwyddo'r OS wedi'i amgryptio, golygwch yr allwedd eilydd gyfrinachol yn lle'r cyfrinair, efallai. ni fydd yr allwedd flaenorol ~/etc/skey - bellach yn ffitio rhaniad arall wedi'i amgryptio, ac nid yw'n ddoeth creu allwedd newydd “cryptsetup luksAddKey” o dan chroot - mae glitch yn bosibl, dim ond yn ~/etc/crypttab nodwch yn lle “/etc/skey” dros dro “dim”, ar ôl rebot a mewngofnodi i'r OS, ail-greu eich allwedd cerdyn gwyllt cyfrinachol eto).

Fel cyn-filwyr TG, cofiwch wneud copïau wrth gefn ar wahân o benawdau rhaniadau Windows/Linux OS sydd wedi'u hamgryptio, neu bydd yr amgryptio yn troi yn eich erbyn.
Ar y cam hwn, cwblheir copi wrth gefn yr OS wedi'i amgryptio.

[F] Ymosod ar y cychwynnydd GRUB2

ManylionOs ydych wedi diogelu eich cychwynnydd gyda llofnod digidol a/neu ddilysiad (gweler pwynt C6.), yna ni fydd hyn yn amddiffyn rhag mynediad corfforol. Bydd data wedi'i amgryptio yn dal yn anhygyrch, ond bydd y diogelwch yn cael ei osgoi (ailosod amddiffyniad llofnod digidol) Mae GRUB2 yn caniatáu i ddihiryn seiber chwistrellu ei god i'r cychwynnydd heb godi amheuaeth (oni bai bod y defnyddiwr yn monitro cyflwr y cychwynnwr â llaw, neu'n dod o hyd i'w god sgript mympwyol cadarn ei hun ar gyfer grub.cfg).

Algorithm ymosodiad. Tresmaswr

* Boots PC o usb byw. Unrhyw newid (violator) bydd ffeiliau'n hysbysu gwir berchennog y PC am yr ymyrraeth i'r cychwynnydd. Ond ailosodiad syml o GRUB2 gan gadw grub.cfg (a'r gallu dilynol i'w olygu) yn caniatáu i ymosodwr olygu unrhyw ffeiliau (yn y sefyllfa hon, wrth lwytho GRUB2, ni fydd y defnyddiwr go iawn yn cael ei hysbysu. Mae'r statws yr un peth <0>)
* Yn gosod rhaniad heb ei amgryptio, yn storio “/mnt/boot/grub/grub.cfg”.
* Yn ailosod y cychwynnydd (tynnu "perskey" o'r ddelwedd core.img)

grub-install --force --root-directory=/mnt /dev/sda6

* Yn dychwelyd “grub.cfg” > “/mnt/boot/grub/grub.cfg”, yn ei olygu os oes angen, er enghraifft, ychwanegu eich modiwl “keylogger.mod” i'r ffolder gyda modiwlau llwythwr, yn “grub.cfg” > llinell "insmod keylogger". Neu, er enghraifft, os yw'r gelyn yn gyfrwys, yna ar ôl ailosod GRUB2 (pob llofnod yn aros yn ei le) mae'n adeiladu prif ddelwedd GRUB2 gan ddefnyddio "grub-mkimage gydag opsiwn (-c)." Bydd yr opsiwn "-c" yn caniatáu ichi lwytho'ch ffurfwedd cyn llwytho'r prif "grub.cfg". Gall y ffurfwedd gynnwys un llinell yn unig: ailgyfeirio i unrhyw “modern.cfg”, cymysg, er enghraifft, gyda ~400 o ffeiliau (modiwlau + llofnod) yn y ffolder "/boot/grub/i386-pc". Yn yr achos hwn, gall ymosodwr fewnosod cod mympwyol a llwytho modiwlau heb effeithio ar “/boot/grub/grub.cfg”, hyd yn oed os gwnaeth y defnyddiwr gymhwyso “hashsum” i'r ffeil a'i harddangos dros dro ar y sgrin.
Ni fydd angen i ymosodwr hacio mewngofnod/cyfrinair superuser GRUB2; y cyfan y bydd angen iddo ei wneud fydd copïo'r llinellau (cyfrifol am ddilysu) "/boot/grub/grub.cfg" i'ch "modern.cfg"

gosod superusers = "root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

A bydd perchennog y PC yn dal i gael ei ddilysu fel y superuser GRUB2.

Llwytho cadwyn (mae cychwynnydd yn llwytho cychwynnydd arall), fel yr ysgrifennais uchod, nid yw'n gwneud synnwyr (mae wedi'i fwriadu at ddiben gwahanol). Nid oes modd llwytho cychwynnydd wedi'i amgryptio oherwydd BIOS (cist cadwyn yn ailgychwyn GRUB2> GRUB2 wedi'i amgryptio, gwall!). Fodd bynnag, os ydych chi'n dal i ddefnyddio'r syniad o lwytho cadwyn, gallwch fod yn sicr mai dyma'r un wedi'i amgryptio sy'n cael ei lwytho. (heb ei foderneiddio) "grub.cfg" o'r rhaniad wedi'i amgryptio. Ac mae hyn hefyd yn ymdeimlad ffug o ddiogelwch, oherwydd mae popeth a nodir yn yr amgryptio “grub.cfg” (llwytho modiwlau) yn adio i fodiwlau sy'n cael eu llwytho o GRUB2 heb ei amgryptio.

Os ydych am wirio hyn, yna dyrannwch/amgryptio sdaY rhaniad arall, copïwch GRUB2 iddo (nid yw gweithrediad grub-install ar raniad wedi'i amgryptio yn bosibl) ac yn "grub.cfg" (cyfluniad heb ei amgryptio) newid llinellau fel hyn

menuentry 'GRUBx2' --class parot --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
llwyth_fideo
insmod gzio
os yw [ x$grub_platform = xxen ]; yna insmod xzio; insmod lzopio; ffit
insmod rhan_msdos
insmod cryptodisk
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod est2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
normal /boot/grub/grub.cfg
}

llinellau
* insmod - llwytho'r modiwlau angenrheidiol ar gyfer gweithio gyda disg wedi'i hamgryptio;
* GRUBx2 - enw'r llinell a ddangosir yn newislen cychwyn GRUB2;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -gweler. fdisk -l (sda9);
* gosod gwraidd - gosod gwraidd;
* normal /boot/grub/grub.cfg - ffeil ffurfweddu gweithredadwy ar raniad wedi'i amgryptio.

Mae hyder mai’r “grub.cfg” wedi’i amgryptio sy’n cael ei lwytho yn ymateb cadarnhaol i fewnbynnu’r cyfrinair/datgloi “sdaY” wrth ddewis y llinell “GRUBx2” yn newislen GRUB.

Wrth weithio yn y CLI, er mwyn peidio â drysu (a gwirio a weithiodd y newidyn amgylchedd “set root”) creu ffeiliau tocyn gwag, er enghraifft, yn yr adran wedi'i hamgryptio “/shifr_grub”, yn yr adran heb ei hamgryptio “/noshifr_grub”. Gwirio yn y CLI

cat /Tab-Tab

Fel y nodwyd uchod, ni fydd hyn yn helpu yn erbyn lawrlwytho modiwlau maleisus os bydd modiwlau o'r fath yn dod i ben ar eich cyfrifiadur personol. Er enghraifft, keylogger a fydd yn gallu arbed trawiadau bysell i ffeil a'i gymysgu â ffeiliau eraill yn “~/i386” nes iddo gael ei lawrlwytho gan ymosodwr sydd â mynediad corfforol i'r PC.

Y ffordd hawsaf o wirio bod amddiffyniad llofnod digidol yn gweithio'n weithredol (heb ei ailosod), ac nid oes neb wedi ymosod ar y cychwynnydd, rhowch y gorchymyn yn y CLI

list_trusted

mewn ymateb derbyniwn gopi o'n “perskey”, neu ni dderbyniwn ddim os ymosodir arnom (mae angen i chi hefyd wirio "set check_signatures=enforce").
Anfantais sylweddol y cam hwn yw mynd i mewn i orchmynion â llaw. Os ydych chi'n ychwanegu'r gorchymyn hwn at "grub.cfg" ac yn amddiffyn y ffurfwedd gyda llofnod digidol, yna mae allbwn rhagarweiniol y ciplun allweddol ar y sgrin yn rhy fyr o ran amseru, ac efallai na fydd gennych amser i weld yr allbwn ar ôl llwytho GRUB2 .
Nid oes unrhyw un yn arbennig i wneud honiadau i: y datblygwr yn ei dogfennaeth cymal 18.2 yn datgan yn swyddogol

“Sylwer, hyd yn oed gydag amddiffyniad cyfrinair GRUB, ni all GRUB ei hun atal rhywun sydd â mynediad corfforol i'r peiriant rhag newid cyfluniad cadarnwedd y peiriant hwnnw (ee, Coreboot neu BIOS) i achosi i'r peiriant gychwyn o ddyfais wahanol (a reolir gan ymosodwr). Ar y gorau dim ond un ddolen mewn cadwyn esgidiau diogel yw GRUB."

Mae GRUB2 wedi'i orlwytho'n ormodol â swyddogaethau a all roi ymdeimlad o ddiogelwch ffug, ac mae ei ddatblygiad eisoes wedi rhagori ar MS-DOS o ran ymarferoldeb, ond dim ond cychwynnwr ydyw. Mae'n ddoniol y gall GRUB2 - "yfory" ddod yn OS, a pheiriannau rhithwir GNU/Linux y gellir eu cychwyn ar ei gyfer.

Fideo byr am sut yr wyf yn ailosod amddiffyniad llofnod digidol GRUB2 a datgan fy ymyrraeth i ddefnyddiwr go iawn (Fe wnes i eich dychryn, ond yn lle'r hyn sy'n cael ei ddangos yn y fideo, gallwch chi ysgrifennu cod /.mod mympwyol nad yw'n ddiniwed).

Casgliadau:

1) Mae amgryptio system bloc ar gyfer Windows yn haws i'w weithredu, ac mae amddiffyniad gydag un cyfrinair yn fwy cyfleus nag amddiffyniad gyda nifer o gyfrineiriau gydag amgryptio system bloc GNU/Linux, i fod yn deg: mae'r olaf yn awtomataidd.

2) Ysgrifennais yr erthygl fel un berthnasol a manwl syml canllaw i amgryptio disg lawn VeraCrypt/LUKS ar un cartref yn y peiriant, sef y gorau o bell ffordd yn RuNet (IMHO). Mae'r canllaw yn > 50k o nodau o hyd, felly nid oedd yn ymdrin â rhai penodau diddorol: cryptograffwyr sy'n diflannu / cadw yn y cysgodion; am y ffaith eu bod mewn amryw o lyfrau GNU/Linux yn ysgrifennu fawr ddim/nad ydynt yn ysgrifennu am cryptograffeg; am Erthygl 51 o Gyfansoddiad Ffederasiwn Rwsia; O trwyddedu/gwaharddiad amgryptio yn Ffederasiwn Rwsia, pam mae angen i chi amgryptio "root/boot". Trodd y canllaw yn eithaf helaeth, ond yn fanwl. (disgrifio hyd yn oed camau syml), yn ei dro, bydd hyn yn arbed llawer o amser i chi pan fyddwch chi'n cyrraedd y "amgryptio go iawn".

3) Perfformiwyd amgryptio disg llawn ar Windows 7 64; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.

4) Gweithredu ymosodiad llwyddiannus ar ei Cychwynnwr GRUB2.

5) Crëwyd tiwtorial i helpu'r holl bobl baranoiaidd yn y CIS, lle caniateir gweithio gydag amgryptio ar y lefel ddeddfwriaethol. Ac yn bennaf ar gyfer y rhai sydd am gyflwyno amgryptio disg llawn heb ddymchwel eu systemau ffurfweddu.

6) Wedi ail-weithio a diweddaru fy llawlyfr, sy'n berthnasol yn 2020.

[G] Dogfennaeth ddefnyddiol

Canllaw Defnyddiwr TrueCrypt (Chwefror 2012 RU)
Dogfennaeth VeraCrypt
/usr/share/doc/cryptsetup(-run) [adnodd lleol] (dogfennaeth fanwl swyddogol ar sefydlu amgryptio GNU/Linux gan ddefnyddio cryptsetup)
cryptsetup FAQ swyddogol (dogfennaeth fer ar sefydlu amgryptio GNU/Linux gan ddefnyddio cryptsetup)
Amgryptio dyfais LUKS (dogfennaeth archlinux)
Disgrifiad manwl o gystrawen cryptsetup (tudalen dyn bwa)
Disgrifiad manwl o crypttab (tudalen dyn bwa)
Dogfennaeth swyddogol GRUB2.

Tagiau: amgryptio disg llawn, amgryptio rhaniad, amgryptio disg llawn Linux, amgryptio system lawn LUKS1.

Dim ond defnyddwyr cofrestredig all gymryd rhan yn yr arolwg. Mewngofnodios gwelwch yn dda.

Ydych chi'n amgryptio?

17,1%Rwy'n amgryptio popeth y gallaf. Rwy'n paranoid.14
34,2%Dim ond data pwysig rwy'n ei amgryptio.28
14,6%Weithiau dwi'n amgryptio, weithiau dwi'n anghofio.12
34,2%Na, dydw i ddim yn amgryptio, mae'n anghyfleus ac yn ddrud.28

Pleidleisiodd 82 defnyddiwr. Ataliodd 22 defnyddiwr.

Ffynhonnell: hab.com

Amgryptio disg llawn o systemau gosod Windows Linux. Aml-gist wedi'i hamgryptio