🥇Fuld diskkryptering af Windows Linux installerede systemer. Krypteret Multiboot

Opdateret egen guide til fuld-disk kryptering i Runet V0.2.

Cowboy strategi:

[A] Windows 7 blokerer systemkryptering af det installerede system;
[B] GNU/Linux bloksystemkryptering (Debian) installeret system (inklusive /boot);
[C] GRUB2-opsætning, bootloader-beskyttelse med digital signatur/godkendelse/hashing;
[D] rengøring - ødelæggelse af ukrypterede data;
[E] universel backup af krypteret OS;
[F] angreb <ved [C6]> mål - GRUB2 loader;
[G] Nyttig dokumentation.

╭───ordning #rum 40# :
├──╼ Windows 7 installeret - fuld systemkryptering, ikke skjult;
├──╼ GNU/Linux installeret (Debian og afledte distributioner) - fuld systemkryptering er ikke skjult(/, inklusive /boot; swap);
├──╼ uafhængige bootloader: VeraCrypt bootloader installeret i MBR, GRUB2 bootloader installeret i udvidet partition;
├──╼ installation/geninstallation af OS er ikke påkrævet;
└──╼ brugt kryptografisk software: VeraCrypt; Kryptoopsætning; gnupg; søhest; hashdeep; GRUB2 - Gratis/gratis.

Ovenstående skema løser delvist problemet med "fjernstart til et flashdrev", giver dig mulighed for at nyde krypteret Windows / Linux OS og udveksle data via en "krypteret kanal" fra et OS til et andet.

PC-startrækkefølge (en af mulighederne):

tænde for maskinen;
download af VeraCrypt bootloader (korrekt adgangskode vil fortsætte med at starte Windows 7);
tryk på "Esc"-tasten vil indlæse GRUB2 bootloader;
GRUB2 bootloader (valg af distribution/GNU/Linux/CLI), vil kræve godkendelse af GRUB2 superbrugeren <login/adgangskode>;
efter vellykket godkendelse og valg af distributionen, skal du indtaste en adgangssætning for at låse "/boot/initrd.img" op;
efter at have indtastet korrekte adgangskoder i GRUB2 "påkrævet" for at indtaste en adgangskode (tredje i træk, BIOS-adgangskode eller GNU/Linux-brugerkontoadgangskode - ikke overveje) for at låse op og starte GNU/Linux OS, eller automatisk udskiftning af den hemmelige nøgle (to adgangskoder + nøgle eller adgangskode + nøgle);
en ekstern indtrængen i GRUB2-konfigurationen vil fastfryse GNU/Linux-opstartsprocessen.

Besværligt? Ok, lad os automatisere processer.

Ved partitionering af en harddisk (MBR-tabel) En pc kan ikke have mere end 4 hovedpartitioner, eller 3 hovedpartitioner og en udvidet, samt et ikke-allokeret område. En udvidet sektion kan, i modsætning til den primære, indeholde underafsnit. (logiske drev=udvidet partition). Med andre ord erstatter den "udvidede partition" på harddisken LVM for den aktuelle opgave: fuld systemkryptering. Hvis din disk er opdelt i 4 hovedpartitioner, skal du bruge lvm eller transformere (med formatering) sektion fra hoved til avanceret, eller brug alle fire sektioner kompetent og lad alt være, som det er, for at få det ønskede resultat. Selvom du kun har én partition på din disk, vil Gparted hjælpe dig med at partitionere din HDD (for yderligere sektioner) uden tab af data, men stadig med en lille pris at betale for sådanne handlinger.

Layoutskemaet for harddisken, i forhold til hvilket hele artiklen vil blive verbaliseret, er præsenteret i tabellen nedenfor.

Tabel (nr. 1) over afsnit 1TB.

Du burde have noget lignende.
sda1 - hovedpartition #1 NTFS (krypteret);
sda2 - udvidet sektionsmarkør;
sda6 - logisk drev (GRUB2 bootloader er installeret på den);
sda8 - swap (krypteret swap-fil / ikke altid);
sda9 - test logisk disk;
sda5 - logisk drev for nysgerrige;
sda7 - GNU/Linux OS (porteret OS til et krypteret logisk drev);
sda3 - hovedpartition #2 med Windows 7 (krypteret);
sda4 - hovedpartition #3 (den indeholdt ukrypteret GNU / Linux, brugt til backup / ikke altid).

[A] Windows 7 Block System Encryption

A1. VeraCrypt

Download fra officielle siteeller fra et spejl sourceforge installationsversion af VeraCrypt kryptografisk software (på tidspunktet for udgivelsen af v1.24-Update3 er den bærbare version af VeraCrypt ikke egnet til systemkryptering). Tjek kontrolsummen for den downloadede software

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

og sammenlign resultatet med den postede CS på VeraCrypt-udviklerens hjemmeside.

Hvis HashTab-software er installeret, endnu nemmere: RMB (VeraCrypt Setup 1.24.exe)-egenskaber-hash sum af filer.

For at bekræfte programmets signatur skal softwaren og udviklerens offentlige pgp-nøgle være installeret i systemet gnuPG; gpg4win.

A2. Installation/start af VeraCrypt-software med administratorrettigheder

A3. Valg af systemkrypteringsindstillinger for den aktive partitionVeraCrypt - System - Krypter systempartition/drev - Normal - Krypter Windows systempartition - Multiboot - (advarsel: "Uerfarne brugere anbefales ikke at bruge denne metode" og det er sandt, enig "Ja") – Boot disk ("ja", selvom det ikke er tilfældet, stadig "ja") – Antal systemdrev “2 eller flere” – Flere systemer på ét drev “Ja” – Ikke-Windows bootloader “Nej” (faktisk "Ja", men VeraCrypt/GRUB2-indlæserne deler ikke MBR'en indbyrdes, mere præcist er kun den mindste del af indlæserkoden gemt i MBR/boot-sporet, dens hoveddel er placeret i filen system) – Multiboot – Krypteringsindstillinger...

Hvis du afviger fra ovenstående trin (blokeringssystemchifferskemaer), så udsender VeraCrypt en advarsel og vil ikke tillade, at partitionen krypteres.

Næste skridt, mod målrettet databeskyttelse, er at gennemføre en "Test" og vælge en krypteringsalgoritme. Hvis du har en forældet CPU, så vil Twofish-krypteringsalgoritmen højst sandsynligt være den hurtigste. Hvis CPU'en er kraftig, vil du bemærke forskellen: AES - kryptering i henhold til testresultaterne vil være flere gange hurtigere end sine kryptokonkurrenter. AES er en populær krypteringsalgoritme, hardwaren i moderne CPU'er er specielt optimeret til "hemmelig" og "hacking".

VeraCrypt understøtter evnen til at kryptere diske med AES-kaskade(tofisk)/ og andre kombinationer. På en gammel-nuklear Intel-CPU for ti år siden (ingen AES-hardwareunderstøttelse, A/T-kaskadekryptering) præstationsforringelse er i det væsentlige umærkelig. (for AMD CPU'er med samme æra/~parametre er ydeevnen en smule reduceret). OS fungerer i dynamik, og forbruget af ressourcer til gennemsigtig kryptering er umærkeligt. I modsætning til for eksempel et mærkbart fald i ydeevnen på grund af det installerede test ustabile skrivebordsmiljø Mate v1.20.1 (eller v1.20.2 husker jeg ikke præcist) i GNU/Linux, eller på grund af driften af telemetrirutinen i Windows7↑. Normalt udfører sofistikerede brugere hardware-ydeevnetest før kryptering. For eksempel, i Aida64 / Sysbench / systemd-analyser skylden og sammenligne med resultaterne af de samme tests, efter at systemet blev krypteret, og derved modbevist myten "systemkryptering er skadeligt" for dem selv. Maskinens afmatning og ulejligheden er mærkbar ved sikkerhedskopiering/gendannelse af krypterede data, fordi selve "systemdata backup"-operationen ikke måles i ms, og de samme <dekrypter / krypter i farten> er tilføjet. I sidste ende finder hver bruger, der får lov til at pille ved kryptografi, en balance mellem krypteringsalgoritmen i forhold til opgavernes tilfredsstillelse, graden af deres paranoia og brugervenlighed.

Det er bedre at lade PIM-parameteren stå som standard, så du ikke indtaster de nøjagtige iterationsværdier, hver gang du starter operativsystemet. VeraCrypt bruger et stort antal iterationer til at skabe en virkelig "langsom hash". Et angreb på sådan en "kryptosnegl" ved hjælp af Brute force/regnbue-tabeller-metoden giver kun mening med en kort "simpel" adgangssætning og en personlig tegnliste over offeret. Betale for adgangskodestyrke - en forsinkelse i at indtaste den korrekte adgangskode, når operativsystemet indlæses (montering af VeraCrypt-volumener på GNU/Linux er betydeligt hurtigere).
Gratis software til brute force angreb (udtræk af adgangssætning fra VeraCrypt/LUKS diskheader) hashcat. John the Ripper ved ikke, hvordan man "bryder Veracrypt", og når han arbejder med LUKS, forstår han ikke Twofish-kryptering.

På grund af den kryptografiske styrke af krypteringsalgoritmer udvikler ustoppelige cypherpunks software med en anden angrebsvektor. For eksempel udtrækning af metadata/nøgler fra RAM (kolde sko/DMA angreb), der er specialiseret gratis og ikke-fri software til dette formål.

Ved slutningen af konfigurationen/genereringen af "unikke metadata" af den krypterede aktive partition, vil VeraCrypt tilbyde at genstarte pc'en og teste ydeevnen af dens bootloader. Efter genstart / start af Windows, indlæses VeraCrypt i standby-tilstand, det eneste, der er tilbage, er at bekræfte krypteringsprocessen - Y.

Ved det sidste trin af systemkryptering vil VeraCrypt tilbyde at lave en sikkerhedskopi af headeren på den aktive krypterede partition i form af "veracrypt rescue disk.iso" - dette skal gøres - i denne software er en sådan operation et krav (i LUKS, som et krav - dette er desværre udeladt, men understreget i dokumentationen). Redningsdisk er nyttig for alle, men for nogen mere end én gang. Tab (header omskrivning/MBR) header backup vil permanent nægte adgang til den dekrypterede partition med OS Windows.

A4. Opret rednings-usb/disk VeraCryptSom standard tilbyder VeraCrypt at brænde "metadata ~2-3mb" til en cd, men ikke alle mennesker har diske eller DWD-ROM-drev, og at oprette et bootbart flashdrev "VeraCrypt Rescue disk" vil være en teknisk overraskelse for nogen: Rufus / GUIdd-ROSA ImageWriter og anden lignende software - vil ikke være i stand til at klare opgaven, for udover at kopiere de flyttede metadata til et bootbart flashdrev, skal du kopiere / indsætte fra billedet uden for usb-drevets filsystem, kort sagt, kopier MBR/vejen til nøglering korrekt. Fra under GNU / Linux OS kan du oprette et bootbart flashdrev ved hjælp af "dd"-værktøjet, når du ser på denne plade.

Oprettelse af en redningsdisk i et Windows-miljø er anderledes. Udvikleren af VeraCrypt inkluderede ikke løsningen på dette problem i den officielle dokumentation på "redningsdisken", men foreslog en løsning på en anden måde: han postede yderligere software til at oprette en "usb-redningsdisk" i fri adgang på sit VeraCrypt-forum. Arkivar for denne Windows-software er "opret usb veracrypt redningsdisk". Efter at have gemt rescue disk.iso, begynder processen med blokering af systemkryptering af den aktive partition. Under kryptering stopper driften af OS ikke, genstart af pc'en er ikke påkrævet. Efter afslutning af krypteringsoperationen bliver den aktive partition fuldt krypteret, du kan bruge den. Hvis VeraCrypt bootloader ikke vises, når pc'en starter op, og operationen med at gendanne headeren ikke hjælper, så tjek "boot" flaget, den skal indstilles til den partition, hvor Windows er til stede (uanset kryptering og andre styresystemer, se tabel nr. 1).
Dette fuldender beskrivelsen af bloksystemkryptering med Windows OS.

[B]LUKS. GNU/Linux-kryptering (~Debian) installeret OS. Algoritme og trin

For at kryptere en installeret Debian/afledt distribution, skal du tilknytte den forberedte partition til en virtuel blokenhed, flytte den til et kortlagt GNU/Linux-drev og installere/konfigurere GRUB2. Hvis du ikke har en bar server, og du værdsætter din tid, så skal du bruge GUI'en, og de fleste af terminalkommandoerne beskrevet nedenfor er beregnet til at blive kørt i "Chuck-Norris-tilstand".

B1. PC-start fra live usb GNU/Linux

"Udfør en kryptotest af hardwareydelse"

lscpu && сryptsetup benchmark

Hvis du er en glad ejer af en kraftig bil med AES hardware support, så vil tallene ligne højre side af terminalen, hvis du er glad, men med antikt jern vil de ligne venstre side.

B2. Disklayout. montering/formatering af fs'en på HDD's logiske disk i Ext4 (Gparted)

B2.1. Oprettelse af en krypteret sda7-partitionsheaderFor at beskrive partitionsnavnene vil jeg herefter være i overensstemmelse med min partitionstabel, som er angivet ovenfor. I henhold til dit disklayout skal du erstatte dine egne partitionsnavne.

Kortlægning af logisk drevkryptering (/dev/sda7 > /dev/mapper/sda7_crypt).
#Simpel oprettelse af "LUKS-AES-XTS partition"

cryptsetup -v -y luksFormat /dev/sda7

Muligheder:

* luksFormat - LUKS header initialisering;
* -y -adgangssætning (ikke nøgle/fil);
* -v - verbalisering (output af information i terminalen);
* /dev/sda7 - dit logiske drev fra den udvidede partition (hvor GNU/Linux-porting/kryptering er planlagt).

Standard krypteringsalgoritme <LUKS1: aes-xts-plain64, nøgle: 256 bit, LUKS header hashing: sha256, RNG: /dev/urandom> (afhænger af cryptsetup version).

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

Hvis der ikke er hardwareunderstøttelse for AES på CPU'en, ville det bedste valg være at oprette en udvidet "LUKS-Twofish-XTS-partition".

B2.2. Avanceret oprettelse af "LUKS-Twofish-XTS-partition"

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

Muligheder:
* luksFormat - LUKS header initialisering;
* /dev/sda7 er din fremtidige krypterede logiske disk;
* -v verbalisere;
* -y adgangssætning;
* -c valg af datakrypteringsalgoritme;
* -s krypteringsnøglestørrelse;
* -h hashing algoritme/kryptofunktion, RNG bruges (—brug-urandom) at generere en unik logisk disk-header-krypterings-/dekrypteringsnøgle, sekundær header-nøgle (XTS); en unik hovednøgle gemt i den krypterede diskheader, en sekundær XTS-nøgle, alle disse metadata og en krypteringsrutine, der ved hjælp af hovednøglen og den sekundære XTS-nøgle krypterer/dekrypterer alle data på partitionen (bortset fra afsnittets overskrift) er gemt i ~3MB på den valgte harddiskpartition.
* -i iterationer i millisekunder, i stedet for "beløb" (tidsforsinkelsen i behandlingen af adgangssætningen påvirker OS-indlæsningen og nøglernes kryptografiske styrke). For at opretholde balancen mellem kryptografisk styrke med et simpelt kodeord som "russisk", skal du øge værdien -(i), med et komplekst kodeord som "?8dƱob/øfh", kan værdien reduceres.
* --use-urandom tilfældigt tal generator, genererer nøgler og salt.

Efter at have kortlagt partitionen sda7 > sda7_crypt (handlingen er hurtig, da en krypteret header er oprettet med ~3 MB metadata og det er det), skal du formatere og montere sda7_crypt-filsystemet.

B2.3. Kortlægning

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

muligheder:
* åben - match sektionen "med navnet";
* /dev/sda7 - logisk drev;
* sda7_crypt - navnetilknytning, der bruges til at montere den krypterede partition eller initialisere den, når operativsystemet starter.

B2.4. Formatering af sda7_crypt-filsystemet til ext4. Montering af en disk i OS(Bemærk: Gparted fungerer ikke længere med en krypteret partition)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt

muligheder:
* -v - verbalisering;
* -L - disketiket (som vises i Explorer blandt andre diske).

Dernæst skal du montere den virtuelt krypterede blokenhed /dev/sda7_crypt i systemet

mount /dev/mapper/sda7_crypt /mnt

Arbejde med filer i /mnt-mappen vil automatisk kryptere / dekryptere data i sda7.

Mere praktisk at kortlægge og montere en partition i File Explorer (nautilus/caja GUI), partitionen vil allerede være på diskvalgslisten, alt der er tilbage er at indtaste en adgangssætning for at åbne/dekryptere disken. Det tilknyttede navn vil blive valgt automatisk og ikke "sda7_crypt", men noget som /dev/mapper/Luks-xx-xx...

B2.5. Sikkerhedskopiering af diskheader (metadata ~3mb)En af de mest vigtig operationer, der skal udføres uden forsinkelse - en sikkerhedskopi af "sda7_crypt"-headeren. Hvis overskriv/korrupt overskrift (f.eks. installation af GRUB2 på sda7-partitionen osv.), vil de krypterede data blive permanent tabt uden nogen mulighed for at gendanne dem, fordi det ikke vil være muligt at genskabe de samme nøgler, nøglerne er skabt unikke.

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

muligheder:
* luksHeaderBackup --header-backup-file - backup kommando;
* luksHeaderRestore --header-backup-file - gendan kommando;
* ~/Backup_DebSHIFR - backup fil;
* /dev/sda7 - den partition, hvis krypterede diskheader skal sikkerhedskopieres.
På dette trin er <oprettelse og redigering af en krypteret partition> færdig.

B3. Migration af GNU/Linux OS (sda4) til den krypterede partition (sda7)

Opret mappe /mnt2 (Bemærk - vi arbejder stadig med live usb, sda7_crypt er monteret på /mnt), og monter vores GNU/Linux til /mnt2, som skal krypteres.

mkdir /mnt2
mount /dev/sda4 /mnt2

Vi udfører den korrekte overførsel af OS ved hjælp af Rsync-softwaren

rsync -avlxhHX --progress /mnt2/ /mnt

Rsync-indstillinger er beskrevet i afsnit E1.

yderligere, skal defragmentere en diskpartition

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

Gør det til en regel at lave e4defrag på krypteret GNU/LInux fra tid til anden, hvis du har en HDD.
Migrering og synkronisering [GNU/Linux > GNU/Linux-krypteret] er fuldført på dette trin.

AT 4. Opsætning af GNU/Linux på en krypteret sda7-partition

Efter en vellykket OS-overførsel /dev/sda4 > /dev/sda7, skal du logge ind på GNU/Linux på en krypteret partition og udføre yderligere konfiguration (uden at genstarte pc'en) vedrørende det krypterede system. Det vil sige at være i live usb, men at udføre kommandoer "i forhold til roden af det krypterede OS." Simulere en lignende situation vil være "chroot". For hurtigt at få information fra hvilket OS du arbejder på i øjeblikket (krypteret eller ej, da dataene i sda4 og sda7 er synkroniseret), afsynkroniser OS'erne. Opret i rodmapper (sda4/sda7_crypt) tomme token-filer, såsom /mnt/encryptedOS og /mnt2/decryptedOS. Tjek hurtigt hvilket OS du har (inklusive for fremtiden):

ls /<Tab-Tab>

B4.1. "Simulering af at logge på et krypteret OS"

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. Kontrol af, at arbejdet udføres i forhold til det krypterede system

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. Oprettelse/konfigurering af en krypteret swap, redigering af crypttab/fstabDa swap-filen formateres hver gang operativsystemet starter, giver det ingen mening at oprette og tilknytte swap til den logiske disk nu og skrive kommandoer, som i afsnit B2.2. For Swap, ved hver start, vil deres midlertidige krypteringsnøgler automatisk blive genereret. Livscyklus for swap-a nøgler: af-/afmontering af en swap-partition (+ryd RAM); eller genstart OS. Skift opsætning, åbn filen, der er ansvarlig for konfigurationen af blokkrypterede enheder (svarende til fstab-filen, men ansvarlig for krypto).

nano /etc/crypttab

Herske

#"målnavn" "kildeenhed" "nøglefil" "indstillinger"
swap /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512

Optioner
* swap - kortlagt navn ved kryptering af /dev/mapper/swap.
* /dev/sda8 - brug din logiske partition til swap.
* /dev/urandom - generator af tilfældige krypteringsnøgler til swap (med hver ny OS-start, nye nøgler oprettet). /dev/urandom-generatoren er mindre tilfældig end /dev/random, trods alt bruges /dev/random, når du arbejder under farlige paranoide omstændigheder. Ved opstart af OS sænker /dev/random indlæsningen i et par ± minutter (se systemd-analyse).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -partitionen ved, at det er swap og er formateret i overensstemmelse hermed; krypteringsalgoritme.

#Открываем и правим fstab
nano /etc/fstab

Herske

# swap var på / dev / sda8 under installationen
/dev/mapper/swap ingen swap sw 0 0

/dev/mapper/swap er navnet givet i crypttab.

Alternativ krypteret swap
Hvis du af en eller anden grund ikke ønsker at give en hel partition som en swap-fil, så kan du gå på en alternativ og bedre måde: at oprette en swap-fil i en fil på en krypteret OS-partition.

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

Opsætningen af Swap-partition er fuldført.

B4.4. Opsætning af krypteret GNU/Linux (redigering af crypttab/fstab-filer)/etc/crypttab-filen, som jeg skrev ovenfor, beskriver krypterede blokenheder, der er konfigureret ved systemstart.

#правим /etc/crypttab 
nano /etc/crypttab

hvis du matchede sda7>sda7_crypt sektionen som i afsnit B2.1

# "målnavn" "kildeenhed" "nøglefil" "indstillinger"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

hvis du matchede sda7>sda7_crypt sektionen som i afsnit B2.2

# "målnavn" "kildeenhed" "nøglefil" "indstillinger"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

hvis du matchede sda7>sda7_crypt sektionen som i afsnit B2.1 eller B2.2, men ikke ønsker at indtaste adgangskoden igen for at låse op og starte OS, så kan du erstatte den hemmelige nøgle/tilfældige fil i stedet for adgangskoden

# "målnavn" "kildeenhed" "nøglefil" "indstillinger"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

beskrivelse
*ingen - Indikerer, at når operativsystemet starter op, kræves der en hemmelig adgangssætning for at låse roden op.
* UUID - partitions-id. Indtast terminalen for at finde ud af dit ID (påmindelse om, at du hele tiden og fremefter arbejder i en terminal i et chroot-miljø og ikke i en anden live usb-terminal).

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

denne linje er synlig, når du anmoder om blkid fra live usb-terminalen med sda7_crypt monteret).
UUID er taget fra din sdaX (ikke sdaX_crypt!, UUID sdaX_crypt - forsvinder automatisk, når grub.cfg-konfigurationen genereres).
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks avanceret kryptering.
* /etc/skey - hemmelig nøglefil, som erstattes automatisk for at låse OS-start op (i stedet for at indtaste den 3. adgangskode). Du kan angive enhver fil på op til 8mb, men dataene vil blive læst <1mb.

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7

Det kommer til at se sådan ud:

(gør det selv og se selv).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab indeholder beskrivende information om forskellige filsystemer.

#Правим /etc/fstab
nano /etc/fstab

# "filsystem" "monteringspunkt" "type" "indstillinger" "dump" "pass"
# / var på / dev / sda7 under installationen
/dev/mapper/sda7_crypt / ext4 errors=remount-ro 0 1

valgmulighed
* /dev/mapper/sda7_crypt er navnet på sda7>sda7_crypt-tilknytningen, som er angivet i filen /etc/crypttab.
Opsætningen af crypttab/fstab er nu færdig.

B4.5. Redigering af konfigurationsfiler. NøglemomentB4.5.1. Redigering af konfigurationen /etc/initramfs-tools/conf.d/resume

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

og kommentere ud (hvis det findes) "#" linje "resume". Filen skal være helt tom.

B4.5.2. Redigering af konfigurationen /etc/initramfs-tools/conf.d/cryptsetup

nano /etc/initramfs-tools/conf.d/cryptsetup

skal matche

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=ja
eksporter CRYPTSETUP

B4.5.3. Redigering af /etc/default/grub-konfigurationen (det er denne konfiguration, der er ansvarlig for evnen til at generere grub.cfg, når du arbejder med krypteret /boot)

nano /etc/default/grub

tilføj linjen "GRUB_ENABLE_CRYPTODISK=y"
sat til 'y', vil grub-mkconfig og grub-install kontrollere for krypterede drev og generere yderligere kommandoer, der er nødvendige for at få adgang til dem ved opstart (insmods ).
skal være ens

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=leverandør"
GRUB_CMDLINE_LINUX="stille stænk ingen automount"
GRUB_ENABLE_CRYPTODISK=y

B4.5.4. Redigering af konfigurationen /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

tjek at linjen kommenterede <#>.
I fremtiden (og selv nu vil denne parameter ikke have nogen værdi, men nogle gange forstyrrer den opdateringen af initrd.img-billedet).

B4.5.5. Redigering af konfigurationen /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

tilføje

KEYFILE_PATTERN="/etc/skey"
UMASK=0077

Dette vil pakke den hemmelige nøgle "skey" ind i initrd.img, nøglen er nødvendig for at låse roden op ved OS boot (hvis der ikke er noget ønske om at indtaste adgangskoden igen, erstattes "tasten" automatisk).

B4.6. Opdater /boot/initrd.img [version]For at pakke den private nøgle ind i initrd.img og anvende cryptsetup rettelserne, skal du opdatere billedet

update-initramfs -u -k all

ved opdatering af initrd.img (Som man siger, "Måske, men ikke sikkert") der vil være advarsler relateret til cryptsetup, eller for eksempel en notifikation om tab af Nvidia-moduler - det er normalt. Efter opdatering af filen skal du kontrollere, at den virkelig er blevet opdateret, se til tid (i forhold til chroot-miljøet ./boot/initrd.img). Advarsel! før [update-initramfs -u -k all] skal du sørge for at kontrollere, at cryptsetup åbner /dev/sda7 sda7_crypt - dette er det navn, der skal være, som vises i /etc/crypttab, ellers efter genstart - en busybox-fejl)
Dette trin fuldender opsætningen af konfigurationsfilerne.

[С] Installation og konfiguration af GRUB2/Protection

C1. Formater om nødvendigt den dedikerede partition til bootloaderen (mindst 20 MB er nok til partitionen)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. Monter /dev/sda6 til /mntDa vi arbejder i en chroot, vil der ikke være nogen /mnt2 mappe i roden, og mappen /mnt vil være tom.
montere GRUB2-partitionen

mount /dev/sda6 /mnt

Hvis du har en ældre version af GRUB2 installeret, i /mnt/boot/grub/i-386-pc (mulig anden platform, f.eks. ikke "i386-pc") ingen kryptomoduler (kort sagt skal mappen indeholde moduler, inklusive disse .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), i et sådant tilfælde skal GRUB2 rystes.

apt-get update
apt-get install grub2

Vigtig! Når du opdaterer GRUB2-pakken fra lageret, når du bliver spurgt "om valget" af, hvor du vil installere bootloaderen, skal du nægte at installere (grund - forsøger at installere GRUB2 - i "MBR" eller på live usb). Ellers vil du ødelægge VeraCrypt-headeren/loaderen. Efter opdatering af GRUB2-pakkerne og annullering af installationen, skal bootloaderen installeres manuelt på et logisk drev og ikke i "MBR". Hvis dit lager har en forældet version af GRUB2, så prøv opdatering det fra det officielle websted - ikke tjekket (fungerede med friske GRUB 2.02 ~BetaX opstartsindlæsere).

C3. Installerer GRUB2 på udvidet partition [sda6]Du skal have en partition monteret [p.C.2]

grub-install --force --root-directory=/mnt /dev/sda6

optioner
* --force - installer bootloaderen, omgå alle de advarsler, der næsten altid eksisterer, og bloker installationen (påkrævet flag).
* --root-directory - biblioteksinstallation til roden af sda6.
* /dev/sda6 - din sdaX-partition (Spring ikke <mellemrummet> mellem /mnt /dev/sda6 over).

C4. Oprettelse af en konfigurationsfil [grub.cfg]Glem kommandoen "update-grub2", og brug kommandoen til generering af fuld konfigurationsfil

grub-mkconfig -o /mnt/boot/grub/grub.cfg

efter færdiggørelsen af generering / opdatering af grub.cfg-filen, i outputterminalen skal der være linjer (a) med OS fundet på disken ("grub-mkconfig" vil sandsynligvis finde og hente OS fra live usb, hvis du har et multi-boot flashdrev med Windows 10 og en masse live distributioner - dette er normalt). Hvis terminalen er "tom", genereres filen "grub.cfg" ikke, så er dette tilfældet, når der er GRUB-fejl i systemet (og højst sandsynligt en loader fra testgrenen af depotet), geninstaller GRUB2 fra pålidelige kilder.
Installationen af "simpel konfiguration" og GRUB2-konfigurationen er nu færdig.

C5. Bevistest krypteret GNU/Linux OSFuldfør kryptomissionen korrekt. Efterlad krypteret GNU/Linux forsigtigt (udgang fra chroot-miljøet).

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

Efter genstart af pc'en, bør VeraCrypt bootloader indlæses.

*Indtastning af adgangskoden til den aktive partition - Windows begynder at indlæse.
*Trykning af "Esc"-tasten vil overføre kontrol til GRUB2, hvis du vælger krypteret GNU / Linux - du skal bruge en adgangskode (sda7_crypt) for at låse op /boot/initrd.img (hvis grub2 siger uuid "ikke fundet" - dette er en problem med grub2 bootloaderen, skal den geninstalleres, for eksempel fra testgrenen/stabilen og pd).

*Afhængigt af hvordan du konfigurerer systemet (se afsnit B4.4/4.5), efter at have indtastet den korrekte adgangskode for at låse op /boot/initrd.img-billedet, skal du bruge en adgangskode for at starte OS-kernen/roden, eller hemmelig nøgle vil automatisk blive erstattet med "skey", hvilket eliminerer behovet for at genindtaste adgangssætningen.

(skærmbillede "automatisk udskiftning af den hemmelige nøgle").

*Dernæst starter den velkendte GNU/Linux-opstartsproces med brugerkontogodkendelse.

*Efter brugerautorisation og login til OS, skal du genopdatere /boot/initrd.img (se Q4.6).

update-initramfs -u -k all

Og i tilfælde af ekstra linjer i GRUB2-menuen (fra pickup OS-m med live usb) slippe af med dem

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

En hurtig oversigt over GNU/Linux-systemkryptering:

GNU/Linuxinux er fuldt krypteret, inklusive /boot/kernel og initrd;
den hemmelige nøgle er pakket i initrd.img;
nuværende autorisationsordning (indtastning af en adgangskode for at låse op initrd; adgangskode / nøgle til at starte operativsystemet; adgangskode til Linux-kontoautorisation).

"Simpel GRUB2-konfiguration" blokpartitionssystemets kryptering er afsluttet.

C6. Avanceret GRUB2-konfiguration. Bootloader-beskyttelse med digital signatur + autentificeringsbeskyttelseGNU/Linux er fuldt krypteret, men bootloaderen kan ikke krypteres - denne betingelse er dikteret af BIOS. Af denne grund er GRUB2-krypteret chain-boot ikke mulig, men en simpel chain-boot er mulig/tilgængelig, ikke nødvendig ud fra et sikkerhedssynspunkt [se nedenfor]. P.F].
For den "sårbare" GRUB2 implementerede udviklerne "signering/autentificering" bootloader-beskyttelsesalgoritmen.

Når bootloaderen er beskyttet med "sin egen digitale signatur", vil ekstern ændring af filer eller et forsøg på at indlæse yderligere moduler i denne bootloader føre til, at opstartsprocessen blokeres.
Når du beskytter bootloaderen med godkendelse, for at vælge opstart af et distributionssæt eller indtaste yderligere kommandoer i CLI'en, skal du indtaste login og adgangskode til superuser-GRUB2.

C6.1. Beskyttelse af bootloaderen med godkendelseTjek, at du kører i en terminal i et krypteret OS

ls /<Tab-Tab> #обнаружить файл-маркер

opret en superbruger-adgangskode til godkendelse i GRUB2

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя.

Hent kodeords-hashen. Sådan noget

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

monter GRUB-partitionen

mount /dev/sda6 /mnt

rediger konfigurationen

nano -$ /mnt/boot/grub/grub.cfg

tjek filsøgningen, at der ikke er flag nogen steder i "grub.cfg" ("-ubegrænset" "-bruger",
tilføje til allersidst (før linje ### END /etc/grub.d/41_custom ###)
"set superusers="root"
password_pbkdf2 root hash".

Det burde være sådan noget

# Denne fil giver en nem måde at tilføje brugerdefinerede menupunkter. Du skal blot skrive
# menupunkter, du vil tilføje efter denne kommentar. Pas på ikke at ændre
# linjen 'exec tail' ovenfor.
### END /etc/grub.d/40_custom ###

### BEGIN /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; derefter
kilde ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; derefter
kilde $prefix/custom.cfg;
fi
sæt superbrugere="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

Hvis du ofte bruger kommandoen "grub-mkconfig -o /mnt/boot/grub/grub.cfg" og ikke ønsker at foretage ændringer i grub.cfg hver gang, skal du indtaste ovenstående linjer (Login kodeord) til GRUB-brugerscriptet helt til bunds

nano /etc/grub.d/41_custom

kat << EOF
sæt superbrugere="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

Når du genererer konfigurationen "grub-mkconfig -o /mnt/boot/grub/grub.cfg", vil linjerne, der er ansvarlige for autentificering, automatisk blive tilføjet til grub.cfg.
Dette trin fuldender GRUB2-godkendelsesopsætningen.

C6.2. Beskyttelse af bootloaderen med en digital signaturDet antages, at du allerede har din personlige pgp-krypteringsnøgle (eller opret sådan en nøgle). Kryptografisk software skal være installeret på systemet: gnuPG; kleopatra/GPA; Søhest. Krypto-software vil gøre dit liv meget lettere i alle sådanne tilfælde. Søhest - stabil version af pakken 3.14.0 (versionerne ovenfor, for eksempel V3.20 er ringere og har betydelige fejl).

PGP-nøglen skal kun genereres/køres/tilføjes i su-miljøet!

Generer en personlig krypteringsnøgle

gpg - -gen-key

Eksporter din nøgle

gpg --export -o ~/perskey

Monter det logiske drev i OS, hvis det ikke allerede er monteret

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

rengør GRUB2-partitionen

rm -rf /mnt/

Installer GRUB2 i sda6 ved at sætte din private nøgle i GRUB-hovedbilledet "core.img"

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

optioner
* --force - installer bootloaderen, omgå alle de advarsler, der altid eksisterer (påkrævet flag).
* --modules="gcry_sha256 gcry_sha512 signatur_test gcry_dsa gcry_rsa" - instruerer GRUB2 om at forudindlæse de påkrævede moduler ved pc-start.
* -k ~/perskey - sti til "PGP-nøgle" (efter at have pakket nøglen ind i et billede, kan den slettes).
* --root-directory -sæt boot-mappe til sda6 root
/dev/sda6 er din sdaX-partition.

Generer/opdater grub.cfg

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

Tilføj linjen "trust /boot/grub/perskey" til slutningen af filen "grub.cfg" (tving til at bruge pgp-tasten.) Da vi installerede GRUB2 med et sæt moduler, inklusive "signature_test.mod" signaturmodulet, eliminerer dette behovet for at tilføje kommandoer som "set check_signatures=enforce" til konfigurationen.

Skal se sådan ud (slut linjer i filen grub.cfg)

### BEGIN /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; derefter
kilde ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; derefter
kilde $prefix/custom.cfg;
fi
tillid /boot/grub/perskey
sæt superbrugere="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

Stien til "/boot/grub/perskey" behøver ikke at pege på en specifik diskpartition, for eksempel hd0,6, for selve bootloaderen "root" er standardstien til den partition, hvor GRUB2 er installeret (se sæt rot=..).

Underskriver GRUB2 (alle filer i alle /GRUB mapper) med din "perskey"-tast.
Nem løsning hvordan man underskriver (for nautilus/caja explorer): installer "søhest"-udvidelsen til opdagelsesrejsende fra depotet. Din nøgle skal tilføjes til su-miljøet.
Åbn stifinderen fra sudo "/mnt/boot" - RMB - tegn. På skærmen ser det sådan ud

Selve nøglen er "/mnt/boot/grub/perskey" (kopiér til grub-mappe) skal også underskrives med egen underskrift. Kontroller, at [*.sig]-filsignaturerne vises i biblioteket/undermapperne.
På ovenstående måde underskriver vi "/boot" (vores kerne, initrd). Hvis din tid er noget værd, så fjerner denne metode behovet for at skrive et bash-script for at signere "mange filer".

For at fjerne alle bootloader-signaturer (hvis noget gik galt)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

For ikke at signere bootloaderen efter opdatering af systemet, fryser vi alle opdateringspakker relateret til GRUB2.

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

På dette trin <beskytte bootloaderen med en digital signatur> er den avancerede konfiguration af GRUB2 fuldført.

C6.3. Bevistest af GRUB2 bootloader beskyttet af digital signatur og autentificeringGRUB2. Når du vælger en GNU/Linux-distribution eller går ind i CLI (kommandolinje) superbruger autorisation er påkrævet. Efter at have indtastet det korrekte login/adgangskode, skal du bruge adgangskoden fra initrd

Skærmbillede, vellykket godkendelse af GRUB2-superbruger.

Hvis du forfalsker nogen af GRUB2-filerne / foretager ændringer til grub.cfg, eller sletter filen / signaturen, skal du indlæse den ondsindede module.mod, så vises en tilsvarende advarsel. GRUB2-start stopper.

Skærmbillede, et forsøg på at blande sig i GRUB2 "udefra".

Under "normal" boot "ingen indtrængen", er systemets udgangskodestatus "0". Derfor vides det ikke, om beskyttelsen virker eller ej. (det vil sige "med eller uden bootloader-beskyttelse med en signatur" under normal opstart, status er den samme "0" - dette er dårligt).

Hvordan kontrollerer man digital signaturbeskyttelse?

En ubelejlig måde at kontrollere: forfalske/fjerne modulet brugt af GRUB2, for eksempel, fjern luks.mod.sig signaturen og få en fejl.

Den korrekte måde er at gå til opstartsindlæserens CLI og skrive kommandoen

trust_list

Som svar bør de modtage et "perskey" fingeraftryk, hvis status er "0", så virker signaturbeskyttelsen ikke, dobbelttjek klausul C6.2.
På dette trin er den avancerede indstilling "Beskyt GRUB2 med digital signatur og autentificering" forbi.

C7 Alternativ metode til at sikre GRUB2 bootloader med hashingMetoden "Beskyttelse af CPU-indlæseren / Autentificering" beskrevet ovenfor er en klassiker. På grund af ufuldkommenheden af GRUB2, under paranoide forhold, er den genstand for et reelt angreb, som jeg vil give nedenfor i afsnit [F]. Derudover, efter opdatering af OS/kernen, er det nødvendigt at gensignere bootloaderen.

Beskytter GRUB2 bootloaderen med hashing

Fordele i forhold til klassikerne:

Højere niveau af pålidelighed (hashing/verifikation foregår kun fra en krypteret lokal ressource. Hele den allokerede partition under GRUB2 styres for eventuelle ændringer, og alt andet er krypteret, i det klassiske skema med CPU loader beskyttelse/godkendelse er det kun filer, der styres, men ikke gratis rum, hvori "noget noget uhyggeligt" kan tilføjes).
Krypteret logning (en læsbar personlig krypteret log tilføjes til ordningen).
hastighed (Beskyttelse/verifikation af hele partitionen allokeret til GRUB2 sker næsten øjeblikkeligt).
Automatisering af alle kryptografiske processer.

Ulemper ved klassikerne.

Signaturforfalskning (teoretisk er det muligt at finde en given hashfunktionskollision).
Øget sværhedsgrad (i forhold til klassikerne kræves der lidt mere viden om GNU/Linux OS).

Hvordan GRUB2/partition hashing ideen fungerer

GRUB2-sektionen er "signeret", når operativsystemet er indlæst, kontrolleres bootloader-sektionen for uforanderlighed, efterfulgt af logning i et sikkert (krypteret) miljø. Hvis bootloaderen eller dens partition er kompromitteret, ud over invasionsloggen, følgende

Ting.

En lignende kontrol finder sted fire gange om dagen, som ikke indlæser systemressourcer.
Ved at bruge kommandoen "-$ check_GRUB" sker en øjeblikkelig kontrol til enhver tid uden logning, men med informationsoutput til CLI.
Ved at bruge kommandoen "-$ sudo GRUB_signature" bliver GRUB2 bootloaderen/partitionen øjeblikkeligt gensigneret og dens opdaterede logning (nødvendig efter OS/boot-opdatering) og livet fortsætter.

Implementering af hashing-metoden for bootloaderen og dens partition

0) Lad os signere GRUB bootloader/partitionen ved først at montere den til /media/brugernavn

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) Vi opretter et script uden en udvidelse i roden af det krypterede OS ~/podpis, anvender de nødvendige rettigheder 744 sikkerhed og beskyttelse fra "narre" til det.

Fylder den med indhold

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

Kør scriptet fra su, vil hashing af GRUB-partitionen og dens bootloader blive kontrolleret, gem loggen.

Lad os oprette eller kopiere for eksempel en "ondsindet fil" [virus.mod] til GRUB2-partitionen og køre en midlertidig kontrol/test:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

CLI burde se en invasion af vores -højborg-#Strippet log i CLI

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

#Som du kan se, dukkede "Filer flyttet: 1 og revision mislykkedes", hvilket betyder, at kontrollen mislykkedes.
På grund af særegenhederne ved den testede sektion, i stedet for "Nye filer fundet"> "Filer flyttet"

2) Sæt gif'en her > ~/warning.gif, indstil tilladelser til 744.

3) Konfigurerer fstab til automatisk at montere GRUB-partitionen ved opstart

-$ sudo nano /etc/fstab

LABEL=GRUB /media/brugernavn/GRUB ext4 standard 0 0

4) Vi roterer loggen

-$ sudo nano /etc/logrotate.d/podpis

/var/log/subpis.txt {
dagligt
drej 50
størrelse 5M
datoext
komprimere
delaycompress
olddir /var/log/old
}

/var/log/vtorjenie.txt {
månedligt
drej 5
størrelse 5M
datoext
olddir /var/log/old
}

5) Tilføjelse af et job til cron

-$ sudo crontab -e

genstarte '/abonnement'
0 */6 * * * '/subpis

6) Opret permanente aliaser

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

Efter OS opdatering -$ apt-get upgrade gensigner vores GRUB-partition
-$ подпись_GRUB
Dette trin fuldender hash-beskyttelsen af GRUB-partitionen.

[D] Oprydning - ødelæggelse af ukrypterede data

Slet dine personlige filer så fuldstændigt, at "ikke engang Gud kan læse dem," ifølge South Carolina talsmand Trey Gowdy.

Som sædvanlig er der forskellige "myter og legender”, om at gendanne data efter sletning fra harddisken. Hvis du tror på cyber-hekseri, eller er medlem af Dr-webfællesskabet og aldrig har prøvet datagendannelse efter sletning/overskrivning (f.eks. recovery med R-studio), så er det usandsynligt, at den foreslåede metode passer dig, brug den, der er tættere på dig.

Efter succesfuld migrering af GNU/Linux til en krypteret partition, skal den gamle kopi slettes permanent. Universal rengøringsmetode: software til Windows/Linux gratis GUI-software BleachBit.
Быстро formatering af partitionen, de data, som du ønsker at ødelægge (ved hjælp af Gparted), kør BleachBit, vælg "Ryd op i ledig plads" - vælg en partition (din sdaX med en tidligere kopi af GNU/Linux), starter rengøringsprocessen. BleachBit - tørrer disken i én omgang - dette er hvad "vi har brug for", men! dette virker kun i teorien, hvis du formaterede drevet og rensede det i BB v2.0-software.

Attention! BB tørrer disken og efterlader metadata, filnavne bevares, når data ødelægges (CCleaner - efterlader ingen metadata).

Og myten om muligheden for datagendannelse er egentlig ikke en myte.Bleachbit V2.0-2 tidligere ustabilt OS Debian-pakke (og enhver anden lignende software: sfill; wipe-Nautilus - er også blevet set i denne beskidte forretning) faktisk havde en kritisk fejl: "fri plads clearing" funktion det virker forkert på HDD/Flash-drev (ntfs/ext4). Software af denne art overskriver ikke hele disken, som mange brugere tror, når der ryddes op i ledig plads. Og nogle (en masse) slettede data OS/softwaren behandler disse data som ikke-slettede/brugerdata og springer disse filer over, når OS/OS slettes. Problemet er, at efter så lang tid, rense disken "slettede filer" kan gendannes selv efter 3+ omgange med diskaftørring.
På GNU/Linux i Bleachbit 2.0-2 funktionerne til permanent at slette filer og mapper fungerer pålideligt, men ikke at rydde ledig plads. Til sammenligning: På Windows i CCleaner-softwaren fungerer "OSB for ntfs"-funktionen korrekt, og Gud kan virkelig ikke læse de slettede data.

Og så grundigt at fjerne "gå på kompromis" gamle ukrypterede data, Bleachbit har brug for direkte adgang til disse data, så brug funktionen "slet filer / mapper uigenkaldeligt".
For at slette "slettede filer ved hjælp af almindelige OS-værktøjer" i Windows, skal du bruge CCleaner / BB med "OSB"-funktionen. På GNU/Linux over dette problem (fjerner slettede filer) du skal øve dig på egen hånd (sletning af data + et uafhængigt forsøg på at gendanne dem og stol ikke på softwareversionen (hvis ikke et bogmærke, så en fejl)), kun i dette tilfælde vil du være i stand til at forstå mekanismen bag dette problem og slippe helt af med de slettede data.

Bleachbit v3.0 tjekkede ikke, måske er problemet allerede løst.
Bleachbit v2.0 fungerer ærligt.

Dette trin fuldfører diskoprydningen.

[E] Generisk krypteret OS Backup

Hver bruger har sin egen metode til at sikkerhedskopiere data, men de krypterede data i "System OS" kræver en lidt anden tilgang til opgaven. Samlet software som "Clonezilla" og lignende software kan ikke fungere direkte med krypterede data.

Indstilling af sikkerhedskopieringsopgaven for krypterede blokenheder:

universalitet - den samme algoritme / backupsoftware til Windows / Linux;
evnen til at arbejde i konsollen med enhver live usb GNU / Linux uden behov for yderligere softwaredownloads (men anbefaler stadig GUI);
backup sikkerhed - gemte "billeder" skal være krypteret / password-beskyttet;
størrelsen af de krypterede data skal svare til størrelsen af de faktiske kopierede data;
praktisk udtrækning af de nødvendige filer fra sikkerhedskopien (intet krav om at dekryptere hele afsnittet først).

For eksempel backup/gendannelse via "dd"-værktøjet

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

Svarer til næsten alle punkter i opgaven, men ifølge afsnit 4 tåler den ikke kritik, da den kopierer hele diskpartitionen, inklusive ledig plads - ikke interessant.

For eksempel GNU/Linux backup via [tar" | gpg] er praktisk, men til Windows backup skal du lede efter en anden løsning - ikke interessant.

E1. Universal Windows/Linux Backup. Bundle rsync (Grsync) + VeraCrypt volumenAlgoritme til oprettelse af en sikkerhedskopi:

oprettelse af en krypteret container (volumen/fil) VeraCrypt til OS;
overførsel/synkronisering af operativsystemet ved hjælp af Rsync-softwaren til VeraCrypt-kryptocontaineren;
upload om nødvendigt VeraCrypt-volumen til www.

Oprettelse af en krypteret VeraCrypt-beholder har sine egne karakteristika:
skabe et dynamisk volumen (oprettelse af DT er kun tilgængelig i Windows, den kan også bruges i GNU/Linux);
skabe en normal lydstyrke, men der er et krav om "paranoid karakter" (ifølge udvikleren) - containerformatering.

Et dynamisk volumen skabes næsten øjeblikkeligt i Windows, men når du kopierer data fra GNU/Linux > VeraCrypt DT, reduceres den samlede ydeevne af sikkerhedskopieringen betydeligt.

Der oprettes en almindelig Twofish-disk på 70 GB (Lad os sige, i gennemsnit pc-kraft) til HDD ~ om en halv time (overskriver de tidligere containerdata i én omgang, grundet sikkerhedskrav). Fra VeraCrypt Windows/Linux blev funktionen til hurtigt at formatere et volumen under dets oprettelse fjernet, så oprettelsen af en container er kun mulig gennem en "overskrivning i én omgang", eller oprettelsen af en lavtydende dynamisk volumen.

Opret en almindelig VeraCrypt-volumen (ikke dynamisk/ntfs), der burde ikke være nogen problemer.

Konfigurer/opret/åbn container i VeraCrypt GUI > GNU/Linux live usb (lydstyrken monteres automatisk på /media/veracrypt2, Windows OS-volumen er monteret på /media/veracrypt1). Oprettelse af en krypteret Windows-sikkerhedskopi ved hjælp af rsync GUI (grsync)ved at markere boksene.

Vent til slutningen af processen. Når sikkerhedskopieringen er afsluttet, har vi én krypteret fil.

Tilsvarende skal du oprette en sikkerhedskopi af GNU / Linux OS ved at fjerne markeringen af den "Windows-kompatible" rsync GUI.

Attention! oprette en Veracrypt-beholder til en "GNU/Linux-sikkerhedskopi" på filsystemet ext4. Hvis du laver en sikkerhedskopi til en ntfs-container, vil du, når du gendanner en sådan kopi, miste alle rettigheder/grupper til alle dine data.

Alle operationer kan udføres i terminalen. Grundlæggende muligheder for rsync:
* -g - gem grupper;
* -P --fremskridt - status for tidspunktet for arbejdet på filen;
* -H -kopier hardlinks som de er;
* -a -arkivtilstand (flere rlptgoD flag);
* -v -verbalisering.

Hvis du ønsker at montere en "Windows VeraCrypt volumen" via konsollen i cryptsetup softwaren, kan du oprette et alias (su)

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

Nu, ved kommandoen "veramount pictures", bliver du bedt om at indtaste en adgangssætning, og den krypterede Windows-systemvolumen vil blive monteret i OS.

Kort/monter VeraCrypt-systemvolumen i cryptsetup-kommando

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

Kort/monter VeraCrypt-partition/-beholder i cryptsetup-kommando

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

I stedet for alias, lad os tilføje (script til autoload) en systemvolumen med Windows OS og en logisk krypteret ntfs-disk til GNU/Linux autoload

Opret et script og gem det i ~/VeraOpen.sh

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

Vi uddeler "sande" rettigheder:

sudo chmod 100 /VeraOpen.sh

Opret to identiske filer (samme navn!) i /etc/rc.local og ~/etc/init.d/rc.local
Udfyldning af filerne

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

Vi uddeler "sande" rettigheder:

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local

Det er det, nu, når vi starter GNU/Linux, behøver vi ikke indtaste adgangskoder for at montere krypterede ntfs-diske, diskene monteres automatisk.

En note kort om, hvad der er beskrevet ovenfor i afsnit E1 trin for trin (men nu for OS GNU/Linux)
1) Opret en volumen i fs ext4 > 4gb (til en fil) Linux i Veracrypt [Crypto box].
2) Genstart til live usb.
3) ~$ cryptsetup åben /dev/sda7 Lunux #map den krypterede partition.
4) ~$ mount /dev/mapper/Linux /mnt #monter den krypterede partition i /mnt.
5) ~$ mkdir mnt2 #opret en mappe til den fremtidige backup.
6) ~$ cryptsetup open --veracrypt --type tcrypt ~/Cryptobox Cryptobox && mount /dev/mapper/Cryptobox /mnt2 #Kortlæg Veracrypt-volumen med navnet "Cryptobox" og monter Cryptobox i /mnt2.
7) ~$ rsync -avlxhHX --progress /mnt /mnt2/ #operation til backup af en krypteret partition til en Veracrypt krypteret volumen.

(p/s/ Attention! Hvis du overfører en krypteret GNU/Linux fra en arkitektur/maskine til en anden, for eksempel Intel > AMD (dvs. installerer en sikkerhedskopi fra en krypteret partition til en anden Intel > AMD-krypteret partition), Glem ikke efter overførsel af det krypterede OS, rediger den hemmelige erstattede nøgle i stedet for adgangskoden, måske. den forrige nøgle ~/etc/skey - vil ikke længere passe til en anden krypteret partition, og det er uønsket at oprette en ny nøgle "cryptsetup luksAddKey" fra under chroot - en fejl er mulig, bare i ~/etc/crypttab angiv midlertidigt "ingen " i stedet for "/etc/skey" ”, efter rebot og indtastning af OS, gendan din hemmelige erstattede nøgle igen).

Som IT-veteraner, glem ikke at sikkerhedskopiere headerne på krypterede Windows/Linux OS-partitioner separat, ellers vil krypteringen vende sig imod dig.
På dette trin er sikkerhedskopieringen af de krypterede operativsystemer fuldført.

[F] Angreb på GRUB2 bootloaderen

DetaljerHvis du har beskyttet din bootloader med en digital signatur og/eller godkendelse (Se punkt C6.), så vil dette ikke beskytte mod fysisk adgang. Krypterede data vil stadig være utilgængelige, men beskyttelse omgås (nulstil digital signaturbeskyttelse) GRUB2 tillader cyberskurke at injicere deres kode i bootloaderen uden at vække mistanke (medmindre brugeren manuelt overvåger opstartsindlæserens tilstand eller kommer med deres egen solide brugerdefinerede script-kode til grub.cfg).

angrebsalgoritme. ubuden gæst

*Starter pc fra live usb. Enhver ændring (gerningsmand) filer vil advare den rigtige ejer af pc'en om indtrængen i bootloaderen. Men en simpel geninstallation af GRUB2 mens du beholder grub.cfg (og den efterfølgende mulighed for at redigere den) vil tillade en angriber at redigere alle filer (i dette scenarie, når GRUB2 indlæses, vil den rigtige bruger ikke blive underrettet. Status er den samme <0>)
* Monterer en ukrypteret partition, gemmer "/mnt/boot/grub/grub.cfg".
* Geninstaller bootloader (fjerner "perskey" fra core.img-billedet)

grub-install --force --root-directory=/mnt /dev/sda6

* Returnerer "grub.cfg" > "/mnt/boot/grub/grub.cfg", redigerer det om nødvendigt, f.eks. tilføjer dets "keylogger.mod"-modul til mappen med loader-moduler i "grub.cfg" > linje "insmod keylogger". Eller, for eksempel, hvis fjenden er udspekuleret, så efter geninstallation af GRUB2 (alle underskrifter forbliver på plads) det bygger GRUB2-hovedbilledet ved at bruge "grub-mkimage med (-c)-indstillingen." "-c"-indstillingen giver dig mulighed for at indlæse din konfiguration, før du indlæser hoved-"grub.cfg". Konfigurationen kan kun bestå af én linje: omdiriger til enhver "modern.cfg", blandet med for eksempel ~400 filer (moduler+signaturer) i mappen /boot/grub/i386-pc. I dette tilfælde kan gerningsmanden indføre vilkårlig kode og indlæse moduler uden at påvirke "/boot/grub/grub.cfg", selvom brugeren har anvendt "hashsum" på filen og midlertidigt viste den på skærmen.
Angriberen behøver ikke at knække login / adgangskode til GRUB2 superbrugeren, han skal blot kopiere linjerne (ansvarlig for godkendelse) "/boot/grub/grub.cfg" til din "modern.cfg"

sæt superbrugere="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

Og pc-værten vil stadig have GRUB2 superbruger-godkendelse.

Kædebelastning (bootloader indlæser en anden bootloader), som nævnt ovenfor, giver ikke mening (det er til et andet formål). På grund af BIOS'en kan den krypterede bootloader ikke indlæses (ved kædeindlæsning genstarter GRUB2 > krypteret GRUB2, fejl!). Men hvis du stadig bruger ideen om kædeindlæsning, kan du være sikker på, at det er den krypterede, der bliver indlæst. (ikke opgraderet) "grub.cfg" fra den krypterede partition. Og dette er også en falsk følelse af sikkerhed, fordi alt, hvad der er opført i den krypterede "grub.cfg" (modulindlæsning) stakke med moduler, der er indlæst fra ukrypteret GRUB2.

Hvis du vil kontrollere dette, så tildel/krypter en anden sdaY-partition, kopier GRUB2 til den (grub-installation på krypteret partition er ikke mulig) og i "grub.cfg" (ikke-krypteret konfiguration) ændre linjer som denne

menuentry 'GRUBx2' --class papegøje --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
load_video
insmod gzio
if [x$grub_platform = xxen]; derefter insmod xzio; insmod lzopio; fi
insmod del_msdos
insmod kryptodisk
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
normal /boot/grub/grub.cfg
}

deadlines
* insmod - indlæsning af de nødvendige moduler for at arbejde med en krypteret disk;
* GRUBx2 - navnet på den viste linje i GRUB2 boot-menuen;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 - se fdisk -l (sda9);
* sæt rod - rodindstilling;
* normal /boot/grub/grub.cfg - eksekverbar konfigurationsfil på den krypterede partition.

Tillid til, at det er den krypterede "grub.cfg", der indlæses, er en positiv reaktion på at indtaste adgangskoden / låse op for "sdaY", når du vælger linjen "GRUBx2" i GRUB-menuen.

Når du arbejder i CLI, for ikke at blive forvirret (og tjek om miljøvariablen "sæt root" virkede), opret tomme markørfiler, for eksempel i den krypterede partition "/shifr_grub", i den ukrypterede partition "/noshifr_grub". Validering i CLI

cat /Tab-Tab

Som nævnt ovenfor hjælper dette dig ikke med at downloade ondsindede moduler, hvis sådanne moduler ender på din pc. For eksempel en keylogger, der kan gemme tastetryk til en fil og blande med andre filer i "~/i386", indtil den downloades af en angriber med fysisk adgang til pc'en.

Den nemmeste måde at kontrollere, at digital signaturbeskyttelse er aktiv (ikke nulstillet), og ingen invaderede bootloaderen, i CLI skriver vi kommandoen

list_trusted

som svar får vi en cast af vores "perskey", eller vi får ikke noget, hvis vi blev angrebet (skal også tjekke "set check_signatures=enforce").
En væsentlig ulempe ved et sådant trin er at skrive kommandoer manuelt. Hvis du tilføjer denne kommando til "grub.cfg" og digitalt signerer konfigurationen, så er det foreløbige output af nøglecastet til skærmen for kort i timing, og du har muligvis ikke tid til at se outputtet, når du får GRUB2-starten .
Der er ingen at brokke sig særligt over: udvikleren i sit dokumentation klausul 18.2 erklærer officielt

“Bemærk, at selv med GRUB adgangskodebeskyttelse, kan GRUB ikke selv forhindre nogen med fysisk adgang til maskinen i at ændre maskinens firmware (f.eks. Coreboot eller BIOS) konfiguration for at få maskinen til at starte fra en anden (angriber-styret) enhed. GRUB er i bedste fald kun ét led i en sikker støvlekæde".

GRUB2 er for overbelastet med funktioner, der kan give en følelse af falsk sikkerhed, og dens udvikling har allerede overgået funktionaliteten i MS-DOS, og det er bare en bootloader. Det er sjovt, at GRUB2 - "i morgen" kan blive et OS, og opstartbare GNU / Linux virtuelle maskiner til det.

En kort video om, hvordan jeg nulstiller GRUB2 digital signaturbeskyttelse og erklærede min indtrængen til en rigtig bruger (bange, men i stedet for hvad der vises på videoen, kan du skrive ikke harmløs vilkårlig kode/.mod).

Konklusioner:

1) Bloker systemkryptering til Windows - nemmere at implementere, og beskyttelse med en adgangskode er mere bekvem end beskyttelse med flere adgangskoder med GNU / Linux bloksystemkryptering, retfærdigt: sidstnævnte er automatiseret.

2) Jeg skrev artiklen som relevant, detaljeret enkel guide til fuld diskkryptering VeraCrypt/LUKS på et hjem maskinen, som er langt den bedste i runet (IMHO). Manualen er på > 50 tegn, så den dækkede ikke nogle interessante kapitler: om kryptografer, der forsvinder/bliver i skyggen; om det faktum, at der i forskellige GNU/Linux-bøger er lidt/ingen skrivning om kryptografi; om artikel 51 i Den Russiske Føderations forfatning; O licenser/forbyde kryptering i Rusland, om hvorfor du skal kryptere "root / boot". Manualen viste sig allerede at være betydelig, men detaljeret (beskriver selv simple trin), til gengæld vil dette spare dig for en masse tid, når du kommer ind i "rigtig kryptering".

3) Udført fuld-disk kryptering på Windows 7 64; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.

4) Implementerede et vellykket angreb på hans GRUB2 bootloader.

5) Tutorial blev oprettet for at hjælpe alle paranoider i CIS, hvor kryptering er lovligt tilladt. Og først og fremmest for dem, der ønsker at rulle fuld-disk kryptering uden at ødelægge deres konfigurerede systemer.

6) Revideret og opdateret sin manual, som er relevant i 2020.

[G] Nyttig dokumentation

TrueCrypt brugervejledning (februar 2012 RU)
VeraCrypt dokumentation
/usr/share/doc/cryptsetup(-run) [lokal share] (officiel detaljeret dokumentation om opsætning af GNU/Linux-kryptering med cryptsetup)
Official cryptsetup FAQ (kort dokumentation om opsætning af GNU/Linux-kryptering med cryptsetup)
LUKS-enhedskryptering (archlinux dokumentation)
Detaljeret beskrivelse af cryptsetup syntaks (ark manual side)
Detaljeret beskrivelse af crypttab (ark manual side)
GRUB2 officiel dokumentation.

Tags: fuld diskkryptering, partitionskryptering, Linux fuld diskkryptering, LUKS1 fuld systemkryptering.

Kun registrerede brugere kan deltage i undersøgelsen. Log ind, Vær venlig.

Krypterer du?

17,1 %Jeg krypterer alt, hvad jeg kan. Jeg er paranoid.14
34,2 %Jeg krypterer kun vigtige data.28
14,6 %Nogle gange krypterer jeg, nogle gange glemmer jeg.12
34,2 %Nej, jeg krypterer ikke, det er ubelejligt og dyrt.28

82 brugere stemte. 22 brugere undlod at stemme.

Kilde: www.habr.com

Fuld diskkryptering af Windows Linux installerede systemer. Krypteret multiboot