🥇 Plena disko-ĉifrado de instalitaj sistemoj de Windows Linukso. Ĉifrita Multiboot

Ĝisdatigita propra gvidilo pri plen-diska ĉifrado en Runet V0.2.

Strategio de vakero:

[A] Windows 7 bloksistemo ĉifrado de la instalita sistemo;
[B] GNU/Linukso bloksistemo ĉifrado (Debiano) instalita sistemo (inkluzive de /boot);
[C] Agordo de GRUB2, protekto de ŝargilo kun cifereca subskribo/aŭtentikigo/hashing;
[D] purigado - detruo de neĉifritaj datumoj;
[E] universala sekurkopio de ĉifrita OS;
[F] atako <ĉe [C6]> celo - GRUB2-ŝargilo;
[G] Helpema dokumentado.

╭───Skemo #ĉambro 40# :
├──╼ Vindozo 7 instalita - plena sistema ĉifrado, ne kaŝita;
├──╼ GNU/Linukso instalita (Debianaj kaj derivitaj distribuoj) - plena sistema ĉifrado ne estas kaŝita(/, inkluzive de /boot; interŝanĝi);
├──╼ sendependaj ekŝargiloj: VeraCrypt ekŝargilo instalita en MBR, GRUB2 ekŝargilo instalita en plilongigita sekcio;
├──╼ instalado/reinstalado de la OS ne estas bezonata;
└──╼ uzis kriptografan programaron: VeraCrypt; Cryptosetup; gnupg; ĉevalo; hashdeep; GRUB2 - Senpaga/Senpaga.

La supra skemo parte solvas la problemon de "fora lanĉo al poŝmemoro", ebligas al vi ĝui ĉifritan Vindozon / Linuksan OS kaj interŝanĝi datumojn per "ĉifrita kanalo" de unu OS al alia.

PC lanĉa ordo (unu el la opcioj):

ŝalti la maŝinon;
elŝutante la VeraCrypt ekŝargilon (Ĝusta pasvorto daŭros lanĉi Vindozon 7);
premante la klavon "Esc" ŝarĝos la GRUB2-ŝargilon;
GRUB2 ekŝargilo (elekto de distribuo/GNU/Linukso/CLI), postulos aŭtentikigon de la GRUB2-superuzanto <saluto/pasvorto>;
post sukcesa aŭtentigo kaj elekto de la distribuo, vi devos enigi pasfrazon por malŝlosi "/boot/initrd.img";
post enigo de ĝustaj pasvortoj en GRUB2 "bezonata" enigi pasvorton (tria en vico, pasvorto de BIOS aŭ pasvorto de uzantkonto GNU/Linukso - ne konsideru) por malŝlosi kaj lanĉi GNU/Linukson OS, aŭ aŭtomata anstataŭigo de la sekreta ŝlosilo (du pasvortoj + ŝlosilo, aŭ pasvorto + ŝlosilo);
ekstera entrudiĝo en la agordon de GRUB2 frostigos la lanĉprocezon de GNU/Linukso.

Problema? Bone, ni iru aŭtomatigi procezojn.

Dum dispartigo de malmola disko (MBR-tabelo) Komputilo povas havi ne pli ol 4 ĉefajn sekciojn, aŭ 3 ĉefajn kaj unu plilongigitan, same kiel neasignitan areon. Plilongigita sekcio, male al la ĉefa, povas enhavi subsekciojn. (logikaj diskoj=plilongigita sekcio). Alivorte, la "plilongigita sekcio" sur la HDD anstataŭigas LVM por la nuna tasko: plena sistema ĉifrado. Se via disko estas dividita en 4 ĉefajn sekciojn, vi devas uzi lvm aŭ transformi (kun formatado) sekcio de ĉefa ĝis progresinta, aŭ kompetente uzu ĉiujn kvar sekciojn kaj lasu ĉion tia, kia ĝi estas, akirante la deziratan rezulton. Eĉ se vi havas nur unu diskparton sur via disko, Gparted helpos vin dividi vian HDD (por pliaj sekcioj) sen perdo de datumoj, sed ankoraŭ kun malgranda prezo por pagi por tiaj agoj.

La aranĝoskemo de la malmola disko, rilate al kiu la tuta artikolo estos vortigita, estas prezentita en la suba tabelo.

Tablo (n-ro 1) de sekcioj 1TB.

Vi devus havi ion similan.
sda1 - ĉefa sekcio #1 NTFS (ĉifrita);
sda2 - etendita sekcia markilo;
sda6 - logika stirado (la ekŝargilo de GRUB2 estas instalita sur ĝi);
sda8 - interŝanĝi (ĉifrita interŝanĝdosiero / ne ĉiam);
sda9 - prova logika disko;
sda5 - logika stirado por la scivolemuloj;
sda7 - GNU/Linukso OS (portita OS al ĉifrita logika disko);
sda3 - ĉefa sekcio numero 2 kun Vindozo 7 (ĉifrita);
sda4 - ĉefa sekcio #3 (ĝi enhavis neĉifritan GNU/Linukson, uzatan por sekurkopio/ne ĉiam).

[A] Vindoza 7 Bloka Sistemo Ĉifrado

A1. VeraCrypt

Ŝarĝante de oficiala retejoaŭ de spegulo fontfonto instalversio de VeraCrypt kripta programaro (je la publikigo de v1.24-Update3, la portebla versio de VeraCrypt ne taŭgas por sistema ĉifrado). Kontrolu la kontrolsumon de la elŝutita programaro

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

kaj komparu la rezulton kun la afiŝita CS en la retejo de la programisto VeraCrypt.

Se la programaro HashTab estas instalita, eĉ pli facile: RMB (VeraCrypt Agordo 1.24.exe)-properties-hash sumo de dosieroj.

Por kontroli la subskribon de la programo, la programaro kaj la publika pgp-ŝlosilo de la programisto devas esti instalitaj en la sistemo gnuPG; gpg4win.

A2. Instalado/Lanĉo de VeraCrypt Programaro kun Administranto-Rajtoj

A3. Elektante sistemajn ĉifradajn opciojn por la aktiva subdiskoVeraCrypt - Sistemo - Ĉifri Sistema Dispartigo/Drive - Normala - Ĉifri Vindoza Sistemparticio - Multboot - (averto: "Ne spertaj uzantoj ne rekomendas uzi ĉi tiun metodon" kaj estas vero, konsentu "Jes") – Lanĉa disko ("jes", eĉ se ne tiel, ankoraŭ "jes") - Nombro da sistemaj diskoj "2 aŭ pli" - Multoblaj sistemoj sur unu disko "Jes" - Ne-Vindoza ekŝargilo "Ne" (fakte, "Jes", sed la ŝargiloj de VeraCrypt/GRUB2 ne dividos la MBR inter si, pli precize, nur la plej malgranda parto de la ŝargila kodo estas konservita en la MBR/boot-trako, ĝia ĉefa parto situas en la dosiero. sistemo) - Multiboot - Ĉifradaj agordoj...

Se vi devias de la supraj paŝoj (bloksistemaj ĉifrskemoj), tiam VeraCrypt eligos averton kaj ne permesos al la subdisko esti ĉifrita.

La sekva paŝo, al celita datuma protekto, estas fari "Testo" kaj elekti ĉifradan algoritmon. Se vi havas malmodernan CPU, tiam la ĉifrada algoritmo de Twofish plej verŝajne estos la plej rapida. Se la CPU estas potenca, vi rimarkos la diferencon: AES - ĉifrado laŭ la testrezultoj estos plurfoje pli rapida ol ĝiaj kriptaj konkurantoj. AES estas populara ĉifrada algoritmo, la aparataro de modernaj CPUoj estas speciale optimumigita por "sekreto" kaj "hakado".

VeraCrypt subtenas la kapablon ĉifri diskojn kun AES-kaskado(dufiŝoj)/ kaj aliaj kombinoj. Sur malnova nuklea Intel CPU antaŭ dek jaroj (neniu AES-hardvarsubteno, A/T kaskada ĉifrado) rendimentodegenero estas esence nerimarkebla. (por AMD-CPUoj de la sama epoko/~parametroj, rendimento estas iomete reduktita). La OS funkcias en dinamiko kaj la konsumo de rimedoj por travidebla ĉifrado estas nerimarkebla. Male al, ekzemple, rimarkinda malkresko en rendimento pro la instalita testo malstabila labortabla medio Mate v1.20.1 (aŭ v1.20.2 mi ne precize memoras) en GNU/Linukso, aŭ pro funkciado de la telemetria rutino en Vindozo7↑. Kutime, altnivelaj uzantoj faras aparatajn agadotestojn antaŭ ĉifrado. Ekzemple, en Aida64 / Sysbench / systemd-analizi kulpigon kaj komparu kun la rezultoj de la samaj testoj post kiam la sistemo estis ĉifrita, tiel malpruvante la miton "sistema ĉifrado estas malutila" por si mem. La malrapidiĝo de la maŝino kaj la malkomforto estas rimarkinda dum sekurkopio / restarigo de ĉifritaj datumoj, ĉar la operacio "sistema datumrezervo" mem ne estas mezurita en ms, kaj la sama <malĉifri / ĉifri sur la flugo> estas aldonitaj. Finfine, ĉiu uzanto, kiu rajtas ludi kriptografion, atingas ekvilibron inter la ĉifrada algoritmo rilate al la kontentigo de la taskoj, la grado de ilia paranojo kaj facileco de uzo.

Pli bone estas lasi la PIM-parametron defaŭlte, por ke vi ne enigu la precizajn ripetajn valorojn ĉiufoje kiam vi ekfunkciigas la OS. VeraCrypt uzas grandegan nombron da ripetoj por krei vere "malrapidan haŝon". Atako kontraŭ tia "kripta heliko" uzanta la metodon de Bruta forto/ĉielarkaj tabeloj havas sencon nur kun mallonga "simpla" pasfrazo kaj persona signolisto de la viktimo. Pagi por la forto de la pasvorto - la malfruo en enigo de la ĝusta pasvorto dum ŝarĝo de la OS (munti VeraCrypt-volumojn sur GNU/Linukso estas signife pli rapida).
Libera programaro por krudfortaj atakoj (eltiro de pasfrazo de VeraCrypt/LUKS-diska kaplinio) hashcat. John the Ripper ne scias kiel "rompi Veracrypt", kaj kiam li laboras kun LUKS, li ne komprenas Twofish-kriptografion.

Pro la kriptiga forto de ĉifrado-algoritmoj, nehaltigeblaj cypherpunks disvolvas programaron kun malsama atakvektoro. Ekzemple, ĉerpi metadatenojn/ŝlosilojn el RAM (malvarma ŝuo/DMA-atako), ekzistas speciala libera kaj nelibera programaro por tiu celo.

Ĉe la fino de la agordo / generacio de "unikaj metadatenoj" de la ĉifrita aktiva subdisko, VeraCrypt proponos rekomenci la komputilon kaj testi la agadon de ĝia ekŝargilo. Post rekomenco / lanĉo de Vindozo, VeraCrypt ŝargiĝos en standby, restas nur konfirmi la ĉifradan procezon - Y.

Ĉe la fina paŝo de sistema ĉifrado, VeraCrypt proponos krei rezervan kopion de la kaplinio de la aktiva ĉifrita sekcio en la formo de "veracrypt rescue disk.iso" - vi devas fari ĝin - en ĉi tiu programaro tia operacio estas postulo (en LUKS, kiel postulo - tio estas bedaŭrinde ellasita, sed substrekita en la dokumentaro). Sava disko estas utila al ĉiuj, sed al iu pli ol unufoje. Perdo (kapa reverko/MBR) sekurkopio de kaplinio konstante neos aliron al la malĉifrita sekcio kun OS Windows.

A4. Kreu savan usb/diskon VeraCryptDefaŭlte, VeraCrypt proponas bruligi "metadatumojn ~2-3MB" al KD, sed ne ĉiuj homoj havas diskojn aŭ DWD-ROM-diskojn, kaj krei ekfunkciigeblan fulmon "VeraCrypt Rescue disk" estos teknika surprizo por iu: Rufus. / GUIdd-ROSA ImageWriter kaj alia simila programaro - ne povos trakti la taskon, ĉar krom kopii la ŝanĝitajn metadatumojn al ekŝargebla poŝmemoro, vi devas kopii/alglui de la bildo ekster la dosiersistemo de usb-disko, mallonge, ĝuste kopiu la MBR / vojon al ŝlosilĉeno. De sub la VIN GNU/Linuksa, vi povas krei ekfunkciigeblan poŝmemoron uzante la ilon "dd", rigardante ĉi tiun teleron.

Krei savdiskon en Vindoza medio estas malsama. La programisto de VeraCrypt ne inkludis la solvon al ĉi tiu problemo en la oficiala dokumentado sur la "savdisko", sed proponis solvon alimaniere: li afiŝis aldonan programaron por krei "usb savdiskon" en libera aliro sur sia VeraCrypt forumo. La arkivisto por ĉi tiu Vindoza programaro estas "kreu usb veracrypt savdisko". Post konservado de rescue disk.iso, komenciĝos la procezo de bloksistemo-ĉifrado de la aktiva subdisko. Dum ĉifrado, la funkciado de la OS ne ĉesas, rekomenci la komputilon ne estas bezonata. Fininte la ĉifradan operacion, la aktiva subdisko fariĝas plene ĉifrita, vi povas uzi ĝin. Se la VeraCrypt ekŝargilo ne aperas kiam la komputilo ekfunkciigas, kaj la operacio de restarigo de la kaplinio ne helpas, tiam kontrolu la "boot" flagon, ĝi devas esti agordita al la sekcio kie Vindozo ĉeestas. (sendepende de ĉifrado kaj aliaj operaciumoj, vidu tabelon n-ro 1).
Ĉi tio kompletigas la priskribon de bloksistemo-ĉifrado kun Windows OS.

[B]LUKS. Ĉifrado de GNU/Linukso (~Debian) instalita OS. Algoritmo kaj Paŝoj

Por ĉifri Debian/derivitan distribuon instalitan, vi devas mapi la pretan subdiskon al virtuala bloka aparato, movi ĝin al mapita GNU/Linukso-disko kaj instali/agordi GRUB2. Se vi ne havas nudan servilon, kaj vi taksas vian tempon, tiam vi devas uzi la GUI, kaj la plej multaj el la finaj komandoj priskribitaj malsupre estas intencitaj esti rulitaj en "Chuck-Norris-reĝimo".

B1. PC lanĉo de viva usb GNU/Linukso

"Faru kriptteston pri aparatara rendimento"

lscpu && сryptsetup benchmark

Se vi estas feliĉa posedanto de potenca aŭto kun AES-aparataro-subteno, tiam la nombroj aspektos kiel la dekstra flanko de la terminalo, se vi estas feliĉa, sed kun antikva fero, ili aspektos kiel la maldekstra flanko.

B2. Diska aranĝo. munti/formati la fs de la HDD-logika disko en Ext4 (Gparted)

B2.1. Kreante ĉifritan sda7-diskotigan kaplinionPor priskribi la sekcionomojn, ĉi-poste, mi estos konforme al mia sekciotabelo, aranĝita supre. Laŭ via disko-aranĝo, vi devas anstataŭigi viajn proprajn disknomojn.

Logika Drive Ĉifrado-Mapado (/dev/sda7 > /dev/mapper/sda7_crypt).
#Simpla kreado de "LUKS-AES-XTS-diskodo"

cryptsetup -v -y luksFormat /dev/sda7

Ebloj:

* luksFormat - LUKS-kapliniigo;
* -y -pasfrazo (ne ŝlosilo/dosiero);
* -v - vortigo (eligo de informoj en la terminalo);
* /dev/sda7 - via logika disko de la plilongigita diskparto (kie GNU/Linukso-portado/ĉifrado estas planita).

Defaŭlta ĉifrada algoritmo <LUKS1: aes-xts-plain64, Ŝlosilo: 256 bitoj, LUKS-kapa hashing: sha256, RNG: /dev/urandom> (dependas de cryptsetup versio).

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

Se ne ekzistas aparatara subteno por AES sur la CPU, la plej bona elekto estus krei plilongigitan "LUKS-Twofish-XTS-partition".

B2.2. Altnivela kreado de "LUKS-Twofish-XTS-partition"

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

Ebloj:
* luksFormat - LUKS-kapliniigo;
* /dev/sda7 estas via estonta ĉifrita logika disko;
* -v vortigi;
* -y pasfrazo;
* -c elekto de datuma ĉifrada algoritmo;
* -s ĉifrada ŝlosilo grandeco;
* -h haĉa algoritmo/kriptofunkcio, RNG estas uzata (—uzo-urandomo) por generi unikan logikan diskon kapŝlosilon ĉifrado/malĉifrado, malĉefa kapŝlosilo (XTS); unika ĉefŝlosilo stokita en la ĉifrita disko-kapo, malĉefa XTS-ŝlosilo, ĉiuj ĉi tiuj metadatenoj kaj ĉifrarutino, kiu, uzante la ĉefŝlosilon kaj la malĉefajn XTS-ŝlosilon, ĉifras / malĉifras ajnajn datumojn sur la sekcio. (krom la sekciotitolo) estas konservitaj en ~3MB sur la elektita malmola diskdisko.
* -i ripetoj en milisekundoj, anstataŭ "kvanto" (la tempoprokrasto en prilaborado de la pasfrazo influas la OS-ŝarĝadon kaj la kriptografan forton de la ŝlosiloj). Por konservi la ekvilibron de kripta forto kun simpla pasvorto kiel "rusa" necesas pliigi la valoron -(i), kun kompleksa pasvorto kiel "?8dƱob/øfh" la valoro povas esti reduktita.
* --use-urandoma generatoro de hazardaj nombroj, generas ŝlosilojn kaj salon.

Post mapado de la subdisko sda7 > sda7_crypt (la operacio estas rapida, ĉar ĉifrita kaplinio estas kreita kun ~3 MB-metadatenoj kaj jen ĝi), vi devas formati kaj munti la sda7_crypt dosiersistemon.

B2.3. Mapado

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

opcioj:
* malfermi - kongruu la sekcion "kun la nomo";
* /dev/sda7 - logika disko;
* sda7_crypt - nommapado, kiu estas uzata por munti la ĉifritan sekcion aŭ pravalorigi ĝin kiam la OS ekfunkciigas.

B2.4. Formatado de la sda7_crypt dosiersistemo al ext4. Munti diskon en la OS(Noto: Gparted ne plu funkcios kun ĉifrita sekcio)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt

opcioj:
* -v - vortigo;
* -L - etikedo de disko (kiu estas montrata en Esplorilo inter aliaj diskoj).

Poste, vi devus munti la virtualan ĉifritan blokan aparaton /dev/sda7_crypt en la sistemon

mount /dev/mapper/sda7_crypt /mnt

Labori kun dosieroj en la dosierujo /mnt aŭtomate ĉifri / malĉifri datumojn en sda7.

Pli oportune mapi kaj munti sekcion en Dosiera Esploristo (nautilus/caja GUI), la subdisko jam estos en la disk-elektolisto, restas nur enigi pasfrazon por malfermi/malĉifri la diskon. La mapita nomo estos elektita aŭtomate kaj ne "sda7_crypt", sed io kiel /dev/mapper/Luks-xx-xx...

B2.5. Sekurkopio de la kaplinio (metadatenoj ~3mb)Unu el la plej grava operacioj kiuj devas esti faritaj senprokraste - rezerva kopio de la "sda7_crypt" kaplinio. Se anstataŭigu/koruptan kaplinion (ekzemple instali GRUB2 sur la sda7-disko, ktp.), la ĉifritaj datumoj estos konstante perditaj sen ia ebleco rekuperi ĝin, ĉar ne eblos regeneri la samajn ŝlosilojn, la ŝlosiloj estas kreitaj unikaj.

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

opcioj:
* luksHeaderBackup --header-backup-file - rezerva komando;
* luksHeaderRestore --header-backup-file - restarigi komandon;
* ~/Backup_DebSHIFR - rezerva dosiero;
* /dev/sda7 - la subdisko kies ĉifrita diskkapo estas sekurkopota.
Je ĉi tiu paŝo, <kreado kaj redaktado de ĉifrita sekcio> finiĝas.

B3. Migrado de GNU/Linukso OS (sda4) al la ĉifrita sekcio (sda7)

Kreu dosierujon /mnt2 (Notu - ni ankoraŭ laboras kun viva usb, sda7_crypt estas muntita al /mnt), kaj munti nian GNU/Linukso al /mnt2, kiu devas esti ĉifrita.

mkdir /mnt2
mount /dev/sda4 /mnt2

Ni efektivigas la ĝustan translokigon de la OS uzante la Rsync-programaron

rsync -avlxhHX --progress /mnt2/ /mnt

Rsync-opcioj estas priskribitaj en sekcio E1.

Plue, estas necesa malfragmenti diskdiskon

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

Faru regulon fari e4defrag sur ĉifrita GNU/Linukso de tempo al tempo se vi havas HDD.
Migrado kaj sinkronigo [GNU/Linukso > GNU/Linukso-ĉifrita] estas kompletaj ĉe ĉi tiu paŝo.

JE 4. Agordi GNU/Linukson sur ĉifrita sda7-disko

Post sukcesa OS-translokigo /dev/sda4 > /dev/sda7, vi devas ensaluti en GNU/Linukso sur la ĉifrita sekcio, kaj fari plian agordon. (sen rekomenci komputilon) koncerne la ĉifritan sistemon. Tio estas, esti en viva usb, sed ekzekuti komandojn "rilate al la radiko de la ĉifrita OS." Simuli similan situacion estos "chroot". Por rapide akiri informojn de kiu OS vi nuntempe laboras (ĉifrita aŭ ne, ĉar la datumoj en sda4 kaj sda7 estas sinkronigitaj), malsinkronigi la OS-ojn. Kreu en radikaj dosierujoj (sda4/sda7_crypt) malplenaj ĵetonaj dosieroj, kiel /mnt/encryptedOS kaj /mnt2/decryptedOS. Rapide kontrolu en kiu OS vi estas (inkluzive por la estonteco):

ls /<Tab-Tab>

B4.1. "Simulado de ensaluti en ĉifritan OS"

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. Kontrolante, ke la laboro estas farita rilate al la ĉifrita sistemo

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. Krei/agordi ĉifritan interŝanĝon, redaktante crypttab/fstabĈar la interŝanĝdosiero estas formatita ĉiufoje kiam la OS komenciĝas, ne havas sencon krei kaj mapi interŝanĝon al la logika disko nun, kaj tajpi komandojn, kiel en paragrafo B2.2. Por Interŝanĝo, ĉe ĉiu komenco, iliaj provizoraj ĉifradaj ŝlosiloj estos aŭtomate generitaj. Vivciklo de interŝanĝaj klavoj: malmuntado/malmuntado de interŝanĝa sekcio (+klara RAM); aŭ rekomencu la OS. Interŝanĝu agordon, malfermu la dosieron respondecan pri la agordo de blokaj ĉifritaj aparatoj (simila al la fstab-dosiero, sed respondeca pri kripto).

nano /etc/crypttab

regulo

#"celnomo" "fonta aparato" "ŝlosila dosiero" "opcioj"
interŝanĝi /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512

Opcioj
* interŝanĝo - mapita nomo dum ĉifrado /dev/mapper/swap.
* /dev/sda8 - uzu vian logikan sekcion por interŝanĝo.
* /dev/urandom - generatoro de hazardaj ĉifradaj ŝlosiloj por interŝanĝo (kun ĉiu nova OS-boto, novaj ŝlosiloj kreitaj). La /dev/urandom-generatoro estas malpli hazarda ol /dev/random, post ĉio /dev/random estas uzata kiam oni laboras en danĝeraj paranojaj cirkonstancoj. Ĉe OS-lanĉo, /dev/random bremsas la ŝarĝon dum kelkaj ± minutoj (vidu systemd-analizi).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -particio scias ke ĝi estas interŝanĝo kaj estas formatita laŭe; ĉifrada algoritmo.

#Открываем и правим fstab
nano /etc/fstab

regulo

# swap estis en / dev / sda8 dum instalado
/dev/mapper/swap neniu interŝanĝi sw 0 0

/dev/mapper/swap -name donita en crypttab.

Alternativa ĉifrita interŝanĝo
Se ial vi ne volas doni tutan subdiskon kiel interŝanĝan dosieron, tiam vi povas iri en alternativa kaj pli bona maniero: krei interŝanĝan dosieron en dosiero sur ĉifrita OS-diskodo.

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

Interŝanĝa subdisko agordo estas kompleta.

B4.4. Agordi ĉifritan GNU/Linukso (redaktante crypttab/fstab dosierojn)La /etc/crypttab-dosiero, kiel mi skribis supre, priskribas ĉifritajn blokajn aparatojn, kiuj estas agorditaj ĉe la lanĉa tempo de la sistemo.

#правим /etc/crypttab 
nano /etc/crypttab

se vi kongruis kun la sekcio sda7>sda7_crypt kiel en paragrafo B2.1

# "celnomo" "fonta aparato" "ŝlosila dosiero" "opcioj"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

se vi kongruis kun la sekcio sda7>sda7_crypt kiel en paragrafo B2.2

# "celnomo" "fonta aparato" "ŝlosila dosiero" "opcioj"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

se vi kongruis kun la sekcio sda7>sda7_crypt kiel en paragrafo B2.1 aŭ B2.2, sed ne volas reenigi la pasvorton por malŝlosi kaj lanĉi la OS, tiam vi povas anstataŭigi la sekretan ŝlosilon/hazardan dosieron anstataŭ la pasvorton.

# "celnomo" "fonta aparato" "ŝlosila dosiero" "opcioj"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

Priskribo
*neniu - Indikas, ke kiam la OS ekfunkciigas, necesas sekreta pasfrazo por malŝlosi la radikon.
* UUID - dispartigiligilo. Por ekscii vian ID, tajpu la terminalon (rememorigu, ke dum ĉi tiu tempo plu, vi laboras en terminalo en chroot medio kaj ne en alia viva usb terminalo).

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

ĉi tiu linio estas videbla kiam oni petas blkid de la viva usb-terminalo kun sda7_crypt muntita).
UUID estas prenita de via sdaX (ne sdaX_crypt!, UUID sdaX_crypt - aŭtomate malaperos dum generado de la agordo grub.cfg).
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks altnivela reĝima ĉifrado.
* /etc/skey - sekreta ŝlosila dosiero, kiu estas anstataŭigita aŭtomate por malŝlosi OS-lanĉon (anstataŭ enigi la 3-an pasvorton). Vi povas specifi ajnan dosieron ĝis 8mb, sed la datumoj estos legitaj <1mb.

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7

Ĝi aspektos kiel ĉi tio:

(faru ĝin mem kaj vidu mem).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab enhavas priskribajn informojn pri diversaj dosiersistemoj.

#Правим /etc/fstab
nano /etc/fstab

# "dosiersistemo" "muntopunkto" "tajpu" "opciojn" "dump" "pasi"
# / estis en / dev / sda7 dum instalado
/dev/mapper/sda7_crypt / ext4 errors=remount-ro 0 1

opcio
* /dev/mapper/sda7_crypt estas la nomo de la mapado sda7>sda7_crypt, kiu estas specifita en la dosiero /etc/crypttab.
La agordo de crypttab/fstab nun estas kompleta.

B4.5. Redaktado de agordaj dosieroj. Ŝlosila momentoB4.5.1. Redaktante la agordon /etc/initramfs-tools/conf.d/resume

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

kaj komentu (se ekzistas) "#" linio "rekomenco". La dosiero devas esti tute malplena.

B4.5.2. Redaktante la agordon /etc/initramfs-tools/conf.d/cryptsetup

nano /etc/initramfs-tools/conf.d/cryptsetup

devus kongrui

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=jes
eksporti CRYPTSETUP

B4.5.3. Redaktante la agordon /etc/default/grub (estas ĉi tiu agordo kiu respondecas pri la kapablo generi grub.cfg kiam vi laboras kun ĉifrita /boot)

nano /etc/default/grub

aldonu la linion "GRUB_ENABLE_CRYPTODISK=y"
agordita al 'y', grub-mkconfig kaj grub-install kontrolos por ĉifritaj diskoj kaj generos kromajn komandojn necesajn por aliri ilin ĉe lanĉo. (insmods ).
devus esti simila

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || eĥ Debian`
GRUB_CMDLINE_LINUX_DEFAULT = "acpi_backlight = vendisto"
GRUB_CMDLINE_LINUX = "kvieta plaŭdo neaŭtomata muntado"
GRUB_ENABLE_CRYPTODISK=j

B4.5.4. Redaktante la agordon /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

kontrolu ke la linio komentis <#>.
Estontece (kaj eĉ nun, ĉi tiu parametro havos neniun valoron, sed foje ĝi malhelpas ĝisdatigon de la bildo initrd.img).

B4.5.5. Redaktante la agordon /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

aldoni

KEYFILE_PATTERN="/etc/skey"
UMASK=0077

Ĉi tio pakos la sekretan ŝlosilon "skey" en la initrd.img, la ŝlosilo estas bezonata por malŝlosi la radikon ĉe OS-lanĉo. (se ne volas enigi la pasvorton denove, la ŝlosilo "skey" aŭtomate anstataŭiĝas).

B4.6. Ĝisdatigu /boot/initrd.img [versio]Por paki la privatan ŝlosilon en initrd.img kaj apliki la kriptajn korektojn, ĝisdatigu la bildon

update-initramfs -u -k all

dum ĝisdatigo de initrd.img (Kiel la proverbo diras, "Eble, sed ne certa") estos avertoj rilataj al kripta agordo, aŭ, ekzemple, sciigo pri la perdo de Nvidia-moduloj - tio estas normala. Post ĝisdatigo de la dosiero, kontrolu, ke ĝi vere estis ĝisdatigita laŭ la tempo (rilate al chroot medio ./boot/initrd.img). Singardemo antaŭ [ĝisdatigo-initramfs -u -k ĉiuj] nepre kontrolu, ke kripto-agordo malfermu /dev/sda7 sda7_kripto - ĉi tiu estas la nomo kiu devus esti, kiu aperas en /etc/crypttab, alie post reboot-a busybox eraro)
Ĉi tiu paŝo kompletigas la agordon de la agordaj dosieroj.

[С] Instalado kaj agordo de GRUB2/Protection

C1. Se necese, formatu la dediĉitan subdiskon por la ekŝargilo (almenaŭ 20MB sufiĉas por la diskparto)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. Montu /dev/sda6 al /mntĈar ni laboras en chroot, ne estos dosierujo /mnt2 en la radiko, kaj la dosierujo /mnt estos malplena.
munti la GRUB2-diskon

mount /dev/sda6 /mnt

Se vi havas pli malnovan version de GRUB2 instalita, en /mnt/boot/grub/i-386-pc (ebla alia platformo, ekz. ne "i386-pc") neniuj kriptomoduloj (mallonge, la dosierujo devus enhavi modulojn, inkluzive de ĉi tiuj .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), en tia kazo, GRUB2 devas esti skuita.

apt-get update
apt-get install grub2

Grave! Kiam vi ĝisdatigas la GRUB2-pakaĵon el la deponejo, kiam vi demandas "pri la elekto" de kie instali la ekŝargilon, vi devas rifuzi instali. (kialo - provante instali GRUB2 - en "MBR" aŭ sur viva usb). Alie, vi koruptos la kaplinion/ŝargilon de VeraCrypt. Post ĝisdatigi la GRUB2-pakaĵojn, kaj nuligi la instaladon, la ekŝargilo devas esti permane instalita sur logika disko, kaj ne en la "MBR". Se via deponejo havas malmodernan version de GRUB2, provu ĝisdatigo ĝin de la oficiala retejo - ne kontrolis (funkciis kun freŝaj GRUB 2.02 ~BetaX-ŝargiloj).

C3. Instalante GRUB2 sur plilongigita sekcio [sda6]Vi devas havi vando muntita [p.C.2]

grub-install --force --root-directory=/mnt /dev/sda6

ebloj
* --force - instalu la ekŝargilon, preterirante ĉiujn avertojn, kiuj preskaŭ ĉiam ekzistas kaj blokas la instaladon (postulata flago).
* --root-directory - dosieruja instalado al la radiko de sda6.
* /dev/sda6 - via sdaX diskparto (ne preterlasu la <spacon> inter /mnt /dev/sda6).

C4. Kreante agordan dosieron [grub.cfg]Forgesu la komandon "update-grub2" kaj uzu la plenan konfig-dosier-generadon

grub-mkconfig -o /mnt/boot/grub/grub.cfg

post la kompletigo de generado / ĝisdatigo de la grub.cfg-dosiero, en la eligo-terminalo estu linioj (a) kun la OS trovita sur la disko. ("grub-mkconfig" verŝajne trovos kaj prenos la OS de viva usb, se vi havas plurbotigan poŝmemorilon kun Windows 10 kaj amason da vivaj distribuoj - tio estas normala). Se la terminalo estas "malplena", la dosiero "grub.cfg" ne estas generita, tiam tio estas la kazo kiam estas GRUB-cimoj en la sistemo. (kaj plej verŝajne ŝargilo de la testa branĉo de la deponejo), reinstalu GRUB2 el fidindaj fontoj.
La instalado de "simpla agordo" kaj GRUB2-agordo nun estas kompletaj.

C5. Pruvo-testo ĉifrita GNU/Linukso OSĜuste kompletigu la kriptomision. Lasi Ĉifritan GNU/Linukso Zorge (eliru la chroot-medion).

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

Post rekomenco de la komputilo, la ekŝargilo VeraCrypt devus ŝargi.

*Entajpu la pasvorton por la aktiva subdisko - Vindozo komencos ŝargi.
*Premo de la klavo "Esc" transdonos kontrolon al GRUB2, se vi elektas ĉifritan GNU/Linukson - vi bezonos pasvorton (sda7_crypt) por malŝlosi /boot/initrd.img (se grub2 diras uuid "ne trovita" - ĉi tio estas problemo kun la grub2 ekŝargilo, ĝi devus esti reinstalita, ekzemple , de la testa branĉo/stablo kaj pd).

*Laŭ kiel vi agordas la sistemon (vidu sekcion B4.4/4.5), post enigi la ĝustan pasvorton por malŝlosi la bildon /boot/initrd.img, vi bezonos pasvorton por lanĉi la OS-kernon/radikon, aŭ la sekreta ŝlosilo estos aŭtomate anstataŭigita " skey ", forigante la bezonon reenigi la pasfrazon.

(ekrankopio "aŭtomata anstataŭigo de la sekreta ŝlosilo").

* Poste komenciĝos la konata ekfunkciigo de GNU/Linuksa kun aŭtentikigo de uzantkonto.

* Post rajtigo de la uzanto kaj ensaluto al la OS, vi devas reĝisdatigi /boot/initrd.img (vidu Q4.6).

update-initramfs -u -k all

Kaj en kazo de ekstraj linioj en la GRUB2-menuo (de ŝarĝaŭto OS-m kun viva usb) forigi ilin

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

Rapida resumo de GNU/Linukso-sistema ĉifrado:

GNU/Linuksinŭ estas plene ĉifrita, inkluzive de /boot/kernel kaj initrd;
la sekreta ŝlosilo estas pakita en initrd.img;
aktuala rajtigoskemo (enigante pasvorton por malŝlosi initrd; pasvorton / ŝlosilon por lanĉi la OS; pasvorton pri rajtigo de konto Linukso).

"Simpla GRUB2-agordo" blokdispartiga sistemo-ĉifrado estas finita.

C6. Altnivela GRUB2-agordo. Protekto de Bootloader kun cifereca subskribo + aŭtentikiga protektoGNU/Linukso estas plene ĉifrita, sed la ekŝargilo ne povas esti ĉifrita - ĉi tiu kondiĉo estas diktita de la BIOS. Tial, GRUB2 ĉifrita ĉen-boto ne eblas, sed simpla ĉen-boto estas ebla/disponebla, ne necesa el sekureca vidpunkto [vidu sube]. P. F].
Por la "vundebla" GRUB2, la programistoj efektivigis la "subskriban/aŭtentikigon" bootloader protekta algoritmo.

Kiam la ekŝargilo estas protektita per "sia propra cifereca subskribo", ekstera modifo de dosieroj, aŭ provo ŝargi pliajn modulojn en ĉi tiu ekŝargilo, kondukos al la ekfunkciigo esti blokita.
Protektante la ekŝargilon per aŭtentikigo, por elekti la lanĉon de distribua kompleto, aŭ enigi pliajn komandojn en la CLI, vi devos enigi la ensaluton kaj pasvorton de la superuzanto-GRUB2.

C6.1. Protektante la Bootloader kun AŭtentikigoKontrolu, ke vi funkcias en terminalo en ĉifrita OS

ls /<Tab-Tab> #обнаружить файл-маркер

kreu superuzantan pasvorton por rajtigo en GRUB2

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя.

Akiru la pasvorton hash. Io tia

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

munti la GRUB-diskon

mount /dev/sda6 /mnt

redakti la agordon

nano -$ /mnt/boot/grub/grub.cfg

kontrolu la dosierserĉon, ke ne ekzistas flagoj ie ajn en "grub.cfg" ("-senrestrikta" "-uzanto",
aldoni ĉe la fino (antaŭ linio ### END /etc/grub.d/41_custom ###)
"starigi superuzantoj="radiko"
password_pbkdf2 radika hash".

Devus esti io tia

# Ĉi tiu dosiero provizas facilan manieron aldoni kutimajn menuajn enirojn. Simple tajpu la
# menuo enskriboj vi volas aldoni post ĉi tiu komento. Atentu ne ŝanĝi
# la supra linio 'exec tail'.
### FINO /etc/grub.d/40_custom ###

### BEGIN /etc/grub.d/41_custom ###
if [ -f ${agordo_dosierujo}/custom.cfg ]; tiam
fonto ${config_directory}/custom.cfg
elif [ -z "${agordo_dosierujo}" -a -f $prefikso/custom.cfg ]; tiam
fonto $prefix/custom.cfg;
fi
agordi superuzantoj="radiko"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### FINO /etc/grub.d/41_custom ###
#

Se vi ofte uzas la komandon "grub-mkconfig -o /mnt/boot/grub/grub.cfg" kaj ne volas fari ŝanĝojn al grub.cfg ĉiufoje, enigu la suprajn liniojn (Ensalutu: Pasvorto) al la uzantskripto de GRUB ĝis la fundo

nano /etc/grub.d/41_custom

kato<<EOF
agordi superuzantoj="radiko"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

Kiam oni generas la agordon "grub-mkconfig -o /mnt/boot/grub/grub.cfg", la linioj respondecaj pri aŭtentigo estos aldonitaj aŭtomate al grub.cfg.
Ĉi tiu paŝo kompletigas la agordon de GRUB2-aŭtentikigo.

C6.2. Protektante la ekŝargilon per cifereca subskriboOni supozas, ke vi jam havas vian personan pgp-ĉifradŝlosilon (aŭ kreu tian ŝlosilon). Kripta programaro devas esti instalita en la sistemo: gnuPG; kleopatra/GPA; Marĉevalo. Kripto-programaro multe pli facilas vian vivon en ĉiuj tiaj kazoj. Seahorse - stabila versio de la pako 3.14.0 (la supraj versioj, ekzemple, V3.20 estas malsuperaj kaj havas signifajn erarojn).

La PGP-ŝlosilo devas esti generita/kurita/aldonita nur en la medio su!

Generu personan ĉifradan ŝlosilon

gpg - -gen-key

Eksportu vian ŝlosilon

gpg --export -o ~/perskey

Muntu la logikan diskon en la OS se ĝi ne estas jam muntita

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

purigu la GRUB2-diskon

rm -rf /mnt/

Instalu GRUB2 en sda6 metante vian privatan ŝlosilon en la ĉefan GRUB-bildon "core.img"

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

ebloj
* --force - instalu la ekŝargilon, preterirante ĉiujn avertojn, kiuj ĉiam ekzistas (postulata flago).
* --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - instrukcias al GRUB2 antaŭŝargi la postulatajn modulojn ĉe PC-komenco.
* -k ~/perskey - vojo al "PGP-ŝlosilo" (post pakado de la ŝlosilo en bildon, ĝi povas esti forigita).
* --root-directory -starigi lanĉan dosierujon al sda6 radiko
/dev/sda6 estas via sdaX-diskodo.

Generu/ĝisdatigi grub.cfg

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

Aldonu la linion "trust /boot/grub/perskey" al la fino de la dosiero "grub.cfg". (devigu uzi pgp-klavon.) Ĉar ni instalis GRUB2 kun aro da moduloj, inkluzive de la subskriba modulo "signature_test.mod", ĉi tio forigas la bezonon aldoni komandojn kiel "set check_signatures=enforce" al la agordo.

Devus aspekti io kiel ĉi tio (finlinioj en grub.cfg dosiero)

### BEGIN /etc/grub.d/41_custom ###
if [ -f ${agordo_dosierujo}/custom.cfg ]; tiam
fonto ${config_directory}/custom.cfg
elif [ -z "${agordo_dosierujo}" -a -f $prefikso/custom.cfg ]; tiam
fonto $prefix/custom.cfg;
fi
fidu /boot/grub/perskey
agordi superuzantoj="radiko"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### FINO /etc/grub.d/41_custom ###
#

La vojo al "/boot/grub/perskey" ne bezonas indiki specifan diskdiskon, ekzemple hd0,6, por la ekŝargilo mem "root" estas la defaŭlta vojo de la diskdisko sur kiu GRUB2 estas instalita. (vidu aro putro=..).

Subskribante GRUB2 (ĉiuj dosieroj en ĉiuj dosierujoj /GRUB) per via "perskey" ŝlosilo.
Facila solvo kiel subskribi (por nautilus/caja explorer): instalu la etendon "ĉevalo" por la esploristo el la deponejo. Via ŝlosilo devas esti aldonita al la medio su.
Malfermu la esploriston de sudo "/mnt/boot" - RMB - signo. Sur la ekrano ĝi aspektas tiel

La ŝlosilo mem estas "/mnt/boot/grub/perskey" (kopiu al grub dosierujo) ankaŭ devas esti subskribita per sia propra subskribo. Kontrolu, ke la [*.sig] dosiersubskriboj aperas en la dosierujo/subdosierujoj.
En la ĉi-supra maniero, ni subskribas "/boot" (nia kerno, initrd). Se via tempo valoras ion ajn, tiam ĉi tiu metodo forigas la bezonon skribi bash-skripton por subskribi "multajn dosierojn".

Por forigi ĉiujn ekŝargilsubskribojn (se io misfunkciis)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

Por ne subskribi la ekŝargilon post ĝisdatigo de la sistemo, ni frostigas ĉiujn ĝisdatigpakaĵojn rilatajn al GRUB2.

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

Je ĉi tiu paŝo <protektante la ekŝargilon per cifereca subskribo> la progresinta agordo de GRUB2 estas finita.

C6.3. Pruvo de GRUB2 ekŝargilo protektita per cifereca subskribo kaj aŭtentigoGRUB2. Elektante GNU/Linukso-distribuon aŭ enirante la CLI (komandlinio) superuzanto estas bezonata. Post enigi la ĝustan ensaluton / pasvorton, vi bezonos la pasvorton de initrd

Ekrankopio, sukcesa aŭtentigo de GRUB2-superuzanto.

Se vi forĝas iun el la GRUB2-dosieroj / faras ŝanĝojn al grub.cfg, aŭ forigas la dosieron / subskribon, ŝarĝu la malican module.mod, tiam aperos responda averto. GRUB2 lanĉo paŭzos.

Ekrankopio, provo enmiksiĝi en GRUB2 "de ekstere".

Sub "normala" lanĉo "neniu entrudiĝo", la statuso de la sistema elirkodo estas "0". Tial oni ne scias ĉu la protekto funkcias aŭ ne. (tio estas, "kun aŭ sen ŝargila protekto kun subskribo" dum normala lanĉo, la stato estas la sama "0" - ĉi tio estas malbona).

Kiel kontroli protekton pri cifereca subskribo?

Malkonvena maniero kontroli: forĝi/forigi la modulon uzatan de GRUB2, ekzemple, forigi la subskribon luks.mod.sig kaj ricevi eraron.

La ĝusta maniero estas iri al la CLI de la ekŝargilo kaj tajpi la komandon

trust_list

En respondo, ili devus ricevi "perskey" fingrospuron, se la statuso estas "0", tiam la subskriba protekto ne funkcias, duoble kontrolu klaŭzon C6.2.
Je ĉi tiu paŝo, la altnivela agordo "Protekti GRUB2 per cifereca subskribo kaj aŭtentigo" finiĝis.

C7 Alternativa metodo por sekurigi GRUB2-ŝargilon per hashingLa metodo "Protekto de la CPU-ŝargilo / Aŭtentigo" priskribita supre estas klasika. Pro la neperfekteco de GRUB2, en paranojaj kondiĉoj, ĝi estas submetita al vera atako, kiun mi donos ĉi-sube en paragrafo [F]. Krome, post ĝisdatigo de la OS / kerno, necesas resubskribi la ekŝargilon.

Protektante la ekŝargilon de GRUB2 per hashing

Avantaĝoj super la klasikaj:

Pli alta nivelo de fidindeco (hashing / konfirmo okazas nur de ĉifrita loka rimedo. La tuta asignita subdisko sub GRUB2 estas kontrolita por ajnaj ŝanĝoj, kaj ĉio alia estas ĉifrita, en la klasika skemo kun CPU-ŝargilo-protekto / Aŭtentigo, nur dosieroj estas kontrolitaj, sed ne liberaj. spaco, en kiu oni povas aldoni "io ion sinistran".
Ĉifrita protokolo (legebla persona ĉifrita protokolo estas aldonita al la skemo).
Rapido (Protekto / konfirmo de la tuta subdisko asignita por GRUB2 okazas preskaŭ tuj).
Aŭtomatigo de ĉiuj ĉifrikaj procezoj.

Malavantaĝoj al la klasikaĵoj.

Falsaĵo de subskribo (teorie, estas eble trovi antaŭfiksitan hashfunkcian kolizion).
Pliigita malfacilecnivelo (kompare kun la klasikaĵoj, necesas iom pli da scio pri GNU/Linukso OS).

Kiel funkcias la ideo de haĉado de GRUB2/diskonigo

La sekcio GRUB2 estas "subskribita", kiam la OS estas ŝarĝita, la sekcio de ekŝargilo estas kontrolita por neŝanĝebleco, sekvita per ensaluto en sekura medio (ĉifrita). Se la ekŝargilo aŭ ĝia sekcio estas kompromitita, krom la invada protokolo, jenon

Aĵo.

Simila kontrolo okazas kvar fojojn tage, kiu ne ŝarĝas sistemajn rimedojn.
Uzante la komandon "-$ check_GRUB", tuja kontrolo okazas iam ajn sen protokolado, sed kun informa eligo al la CLI.
Uzante la komandon "-$ sudo GRUB_signature", la ekŝargilo/disko de GRUB2 estas tuj resubskribita kaj ĝia ĝisdatigita registrilo. (bezonata post OS/bota ĝisdatigo) kaj la vivo daŭras.

Efektivigo de la haĉa metodo de la ekŝargilo kaj ĝia sekcio

0) Ni subskribu la ekŝargilon/diskon de GRUB unue muntante ĝin al /media/uzantnomo

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) Ni kreas skripton sen etendo en la radiko de la ĉifrita OS ~/podpis, aplikas al ĝi la necesajn rajtojn 744 sekurecon kaj protekton kontraŭ la "malsaĝulo".

Plenigante ĝin per enhavo

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

Rulu la skripton de su, la hashing de la GRUB-disko kaj ĝia ekŝargilo estos kontrolita, konservu la protokolon.

Ni kreu aŭ kopiu, ekzemple, "malica dosiero" [virus.mod] al la GRUB2-disko kaj faru provizoran kontrolon/teston:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

La CLI devus vidi invadon de nia -fortikejo-#Stripita ensalutu CLI

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

#Kiel vi povas vidi, aperis "Dosieroj movitaj: 1 kaj Revizio malsukcesis", kio signifas, ke la kontrolo malsukcesis.
Pro la proprecoj de la provita sekcio, anstataŭ "Novaj dosieroj trovitaj" > "Dosieroj movitaj"

2) Metu la gifon ĉi tie > ~/warning.gif, agordu permesojn al 744.

3) Agordante fstab por aŭtomate munti la GRUB-diskon dum lanĉo

-$ sudo nano /etc/fstab

LABEL=GRUB /media/uzantnomo/GRUB ext4 defaŭlte 0 0

4) Ni turnas la ŝtipon

-$ sudo nano /etc/logrotate.d/podpis

/var/log/subpis.txt {
ĉiutaga
turni 50
grandeco 5M
dateksto
kunpremi
prokrasti kunpremi
olddir /var/log/old
}

/var/log/vtorjenie.txt {
monata
turni 5
grandeco 5M
dateksto
olddir /var/log/old
}

5) Aldonante laboron al cron

-$ sudo crontab -e

reboot '/abono'
0 */6 * * * '/subpis

6) Kreu konstantajn kaŝnomojn

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

Post OS-ĝisdatigo -$ apt-get upgrade resubskribante nian GRUB-diskondiskon
-$ подпись_GRUB
Ĉi tiu paŝo kompletigas la hash-protekton de la GRUB-diskodo.

[D] Purigado - detruo de neĉifritaj datumoj

Forigu viajn personajn dosierojn tiel tute, ke "eĉ Dio ne povas legi ilin", laŭ suda Karolino proparolanto Trey Gowdy.

Kiel kutime, ekzistas diversaj "mitoj kaj legendoj”, pri reakiro de datumoj post forigo de ĝi de la malmola disko. Se vi kredas je ciber-sorĉado, aŭ estas membro de la retejo Dr-komunumo kaj neniam provis reakiron de datumoj post forigo/anstataŭigo (ekz. reakiro kun R-studio), tiam la proponita metodo verŝajne ne taŭgos al vi, uzu tiun, kiu estas pli proksima al vi.

Post sukcese migrado de GNU/Linukso al ĉifrita sekcio, la malnova kopio devas esti konstante forigita. Universala purigadmetodo: programaro por Vindozo/Linuksa senpaga GUI-programaro BleachBit.
Rapida formatado de la subdisko, la datumoj sur kiuj vi volas detrui (uzante Gparted), rulu BleachBit, elektu "Purigu liberan spacon" - elektu sekcion (via sdaX kun pasinta kopio de GNU/Linukso), la purigada procezo komenciĝos. BleachBit - viŝas la diskon per unu paŝo - jen kion "ni bezonas", Sed! tio funkcias nur teorie se vi formatis la diskon kaj purigis ĝin en BB v2.0-programaro.

singardo! BB viŝas la diskon, lasante metadatenojn, dosiernomoj estas konservitaj kiam datumoj estas detruitaj (Ccleaner - ne lasas metadatenojn).

Kaj la mito pri la ebleco de reakiro de datumoj ne vere estas mito.Bleachbit V2.0-2 iama malstabila OS Debian-pakaĵo (kaj ajna alia simila programaro: sfill; wipe-Nautilus - ankaŭ estis viditaj en ĉi tiu malpura komerco) fakte havis kritikan cimon: funkcio "libera spaco-purigo". ĝi funkcias malĝuste sur HDD/Flash-diskoj (ntfs/ext4). Tia programaro, kiam vi purigas liberan spacon, ne anstataŭigas la tutan diskon, kiel multaj uzantoj pensas. Kaj iuj (multaj) forigitaj datumoj La OS/programaro traktas ĉi tiujn datumojn kiel ne-forigitajn/uzantajn datumojn kaj preterlasas ĉi tiujn dosierojn kiam vi forigas la OS/OS. La problemo estas, ke post tiel longa tempo, purigado de la disko "forigitaj dosieroj" povas esti reakiritaj eĉ post 3+ pasoj de disko-viŝado.
Sur GNU/Linukso en Bleachbit 2.0-2 la funkcioj por konstante forigi dosierojn kaj dosierujojn funkcias fidinde, sed ne purigante liberan spacon. Por komparo: ĉe Vindozo en la programaro CCleaner, la funkcio "OSB por ntfs" funkcias ĝuste, kaj Dio vere ne povas legi la forigitajn datumojn.

Kaj tiel, ĝisfunde forigi "kompromisa" malnovaj neĉifritaj datumoj, Bleachbit bezonas rektan aliron al ĉi tiuj datumoj, tiam, uzu la funkcion "forigi dosierojn/dosierujojn nereveneble".
Por forigi "forigitajn dosierojn per regulaj OS-iloj" en Vindozo, uzu CCleaner / BB kun la funkcio "OSB". En GNU/Linukso pro ĉi tiu afero (forigante forigitajn dosierojn) vi devas ekzerciĝi memstare (forigante datumojn + sendependa provo restarigi ilin kaj ne fidu la programversion (se ne legosignon, tiam cimon)), nur en ĉi tiu kazo vi povos kompreni la mekanismon de ĉi tiu problemo kaj forigi la forigitajn datumojn tute.

Bleachbit v3.0 ne kontrolis, eble la problemo jam estis riparita.
Bleachbit v2.0 funkcias honeste.

Ĉi tiu paŝo kompletigas la diskopurigon.

[E] Ĝenerala Ĉifrita OS Rezervo

Ĉiu uzanto havas sian propran metodon de sekurkopio de datumoj, sed la ĉifritaj datumoj de "System OS" postulas iomete malsaman aliron al la tasko. Unuigita programaro kiel "Clonezilla" kaj simila programaro ne povas funkcii rekte kun ĉifritaj datumoj.

Agordi la rezervan taskon por ĉifritaj blokaj aparatoj:

universaleco - la sama algoritmo / rezerva programaro por Vindozo / Linukso;
la kapablo labori en la konzolo kun iu ajn viva usb GNU/Linukso sen la bezono de pliaj elŝutoj de programaro (sed ankoraŭ rekomendas la GUI);
rezerva sekureco - stokitaj "bildoj" devas esti ĉifritaj / pasvorte protektitaj;
la grandeco de la ĉifritaj datumoj devas kongrui kun la grandeco de la realaj kopiitaj datumoj;
oportuna eltiro de la necesaj dosieroj el la sekurkopio (neniu postulo unue malĉifri la tutan sekcion).

Ekzemple, rezerva/restarigi per "dd" ilo

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

Korespondas al preskaŭ ĉiuj punktoj de la tasko, sed laŭ paragrafo 4 ĝi ne eltenas kritikon, ĉar ĝi kopias la tutan diskdiskodiskon, inkluzive de libera spaco - ne interesa.

Ekzemple, sekurkopio de GNU/Linukso per [tar" | gpg] estas oportuna, sed por Vindoza sekurkopio necesas serĉi alian solvon - ne interesa.

E1. Universala Vindoza/Linuksa Rezervo. Bundle rsync (Grsync) + VeraCrypt-volumoAlgoritmo por krei sekurkopion:

kreante ĉifritan ujon (volumo/dosiero) VeraCrypt por OS;
translokigo / sinkronigado de la VIN per la programaro Rsync al la kriptujo VeraCrypt;
se necese, alŝutu la VeraCrypt-volumon al www.

Krei ĉifritan VeraCrypt-ujon havas siajn proprajn karakterizaĵojn:
kreante dinamikan volumenon (kreado de DT disponeblas nur en Vindozo, ĝi ankaŭ uzeblas en GNU/Linukso);
kreante normalan volumon, sed estas postulo de "paranoja naturo" (laŭ la programisto) - formatado de ujo.

Dinamika volumo kreiĝas preskaŭ tuj en Vindozo, sed kiam oni kopias datumojn de GNU/Linukso > VeraCrypt DT, la ĝenerala rendimento de la rezerva operacio estas signife reduktita.

Regula 70 GB Twofish-volumo estas kreita (Ni diru, averaĝe komputila potenco) al HDD ~ en duonhoro (anstataŭigante la antaŭajn ujajn datumojn en unu paŝo, pro sekurecaj postuloj). De VeraCrypt Vindozo/Linukso, la funkcio de rapide formatado de volumo dum ĝia kreado estis forigita, do la kreado de ujo eblas nur per "anstataŭigo en unu paŝo", aŭ la kreado de malaltefika dinamika volumeno.

Kreu Regulan VeraCrypt Volumon (ne dinamika/ntfs), ne devus esti problemoj.

Agordu/kreu/malfermu ujon en VeraCrypt GUI > GNU/Linux live usb (la volumo estos aŭtomate muntita ĉe /media/veracrypt2, la Windows OS-volumo estas muntita ĉe /media/veracrypt1). Krei Ĉifritan Vindozan Rezervon Uzante la rsync GUI (grsync)per kontrolo de la skatoloj.

Atendu la finon de la procezo. Post kompletigo de la sekurkopio, ni havos unu ĉifritan dosieron.

Simile, kreu rezervan kopion de la GNU/Linuksa OS malmarkante la "Vindozo-kongruan" rsync GUI.

singardo! kreu Veracrypt-ujon por "GNU/Linuksa sekurkopio" en la dosiersistemo ext4. Se vi faras kopion al ntfs-ujo, tiam kiam vi restarigos tian kopion, vi perdos ĉiujn rajtojn / grupojn al ĉiuj viaj datumoj.

Vi povas efektivigi ĉiujn operaciojn en la terminalo. Bazaj opcioj por rsync:
* -g - konservi grupojn;
* -P --progress - la stato de la tempo de laboro sur la dosiero;
* -H -kopiu malmolajn ligilojn kiel estas;
* -a -arkiva reĝimo (pluraj rlptgoD-flagoj);
* -v -parolado.

Se vi volas munti "Windows VeraCrypt-volumon" per la konzolo en la programaro cryptsetup, vi povas krei kaŝnomon (su)

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

Nun, ĉe la komando "veramount pictures", oni petos vin enigi pasfrazon, kaj la ĉifrita Windows-sistema volumo estos muntita en la OS.

Map/muntu VeraCrypt-sisteman volumon en cryptsetup-komando

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

Map/muntu VeraCrypt-diskon/ujon en cryptsetup-komando

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

Anstataŭ kaŝnomo, ni aldonu (skripto por aŭtoŝargi) sisteman volumon kun Vindoza OS kaj logikan ĉifritan ntfs-diskon al aŭtoŝarĝo de GNU/Linukso.

Kreu skripton kaj konservu ĝin al ~/VeraOpen.sh

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

Ni donas "verajn" rajtojn:

sudo chmod 100 /VeraOpen.sh

Kreu du identajn dosierojn (samnome!) en /etc/rc.local kaj ~/etc/init.d/rc.local
Plenigante la dosierojn

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

Ni donas "verajn" rajtojn:

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local

Jen ĝi, nun dum lanĉado de GNU/Linukso ni ne bezonas enigi pasvortojn por munti ĉifritajn ntfs-diskojn, la diskoj estas muntitaj aŭtomate.

Noto mallonge pri tio, kio estas priskribita supre en paragrafo E1 paŝo post paŝo (sed nun por OS GNU/Linukso)
1) Kreu volumon en fs ext4 > 4gb (por dosiero) Linukso en Veracrypt [Crypto box].
2) Rekomencu por vivi usb.
3) ~$ cryptsetup malfermu /dev/sda7 Lunux #mapi la ĉifritan sekcion.
4) ~$ munti /dev/mapper/Linukso /mnt #muntu la ĉifritan subdiskon en /mnt.
5) ~$ mkdir mnt2 #kreu dosierujon por la estonta sekurkopio.
6) ~$ cryptsetup malfermu --veracrypt --type tcrypt ~/Cryptobox Cryptobox && munti /dev/mapper/Cryptobox /mnt2 #Mapi la Veracrypt-volumon nomitan "Cryptobox" kaj muntu la Cryptobox en /mnt2.
7) ~$ rsync -avlxhHX --progress /mnt /mnt2/ #operacio por sekurkopii ĉifritan sekcion al Veracrypt ĉifrita volumo.

(p/s/ singardo! Se vi transdonas ĉifritan GNU/Linukso de unu arkitekturo/maŝino al alia, ekzemple, Intel > AMD (t.e. disfaldi sekurkopion de unu ĉifrita sekcio al alia Intel> AMD ĉifrita diskparto), Ne forgesu post translokigo de la ĉifrita OS, redaktu la sekretan anstataŭitan ŝlosilon anstataŭ la pasvorton, eble. la antaŭa ŝlosilo ~/etc/skey - ne plu taŭgas por alia ĉifrita subdisko, kaj estas nedezirinda krei novan ŝlosilon "cryptsetup luksAddKey" el sub chroot - eraro eblas, nur en ~/etc/crypttab specifi provizore "neniu". " anstataŭ "/etc/skey" ", post rebot kaj eniro de la OS, regeneru vian sekretan anstataŭitan ŝlosilon denove).

Kiel IT-veteranoj, ne forgesu sekurkopii la kapliniojn de ĉifritaj Windows/Linukso-OS-diskoj aparte, aŭ la ĉifrado turniĝos kontraŭ vi.
Je ĉi tiu paŝo, la sekurkopio de la ĉifritaj operaciumoj estas kompletigita.

[F] Atako al la GRUB2-ŝargilo

Vidi detalojnSe vi protektis vian ekŝargilon per cifereca subskribo kaj/aŭ aŭtentigo (Vidu eron C6.), tiam ĉi tio ne protektos kontraŭ fizika aliro. Ĉifritaj datumoj ankoraŭ estos neatingeblaj, sed protekto preterpasos (restarigi protekton pri cifereca subskribo) GRUB2 permesas al ciberfiuloj injekti sian kodon en la ekŝargilon sen veki suspekton (krom se la uzanto mane monitoras la staton de la ekŝargilo, aŭ elpensas sian propran solidan kutiman-skripto-kodon por grub.cfg).

atakalgoritmo. entrudulo

* Ekŝaltas komputilon de viva usb. Ajna ŝanĝo (deliktulo) dosieroj atentigos la veran posedanton de la komputilo pri la entrudiĝo en la ekŝargilon. Sed simpla reinstalo de GRUB2 konservante grub.cfg (kaj la posta ebleco redakti ĝin) permesos al atakanto redakti ajnajn dosierojn (en ĉi tiu scenaro, dum ŝarĝo de GRUB2, la vera uzanto ne estos sciigita. La stato estas la sama <0>)
* Muntas neĉifritan sekcion, konservas "/mnt/boot/grub/grub.cfg".
* Reinstalu ekŝargilon (forigante "perskey" de la core.img-bildo)

grub-install --force --root-directory=/mnt /dev/sda6

* Resendas "grub.cfg" > "/mnt/boot/grub/grub.cfg", redaktas ĝin se necese, ekzemple, aldonante ĝian "keylogger.mod" modulon al la dosierujo kun ŝargilaj moduloj, en "grub.cfg" > linio "insmod keylogger". Aŭ, ekzemple, se la malamiko estas ruza, tiam post reinstalo de GRUB2 (ĉiuj subskriboj restas modloko) ĝi konstruas la ĉefan GRUB2-bildon uzante "grub-mkimage kun la (-c) opcio." La opcio "-c" permesos al vi ŝargi vian agordon antaŭ ol ŝargi la ĉefan "grub.cfg". La agordo povas konsisti el nur unu linio: alidirekti al iu ajn "modern.cfg", miksita kun, ekzemple, ~400 dosieroj (moduloj+subskriboj) en la dosierujo /boot/grub/i386-pc. En ĉi tiu kazo, la leĝrompinto povas enkonduki arbitran kodon kaj ŝargi modulojn sen influi "/boot/grub/grub.cfg", eĉ se la uzanto aplikis "hashsum" al la dosiero kaj provizore montris ĝin sur la ekrano.
La atakanto ne bezonos rompi la ensaluton / pasvorton de la superuzanto GRUB2, li nur bezonos kopii la liniojn. (respondeca pri aŭtentikigo) "/boot/grub/grub.cfg" al via "modern.cfg"

agordi superuzantoj="radiko"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

Kaj la komputila gastiganto ankoraŭ havos GRUB2-superuzantan aŭtentigon.

Ĉena ŝarĝo (elŝargilo ŝarĝas alian ekŝargilon), kiel menciite supre, ne havas sencon (ĝi estas por alia celo). Pro la BIOS, la ĉifrita ekŝargilo ne povas esti ŝargita (dum ĉenŝarĝado, GRUB2 rekomencas > ĉifrita GRUB2, eraro!). Tamen, se vi ankoraŭ uzas la ideon pri ĉena ŝarĝo, vi povas esti certa, ke ĝi estas la ĉifrita, kiu estas ŝarĝita. (ne ĝisdatigita) "grub.cfg" de la ĉifrita sekcio. Kaj ĉi tio ankaŭ estas falsa sento de sekureco, ĉar ĉio, kio estas listigita en la ĉifrita "grub.cfg" (modulŝarĝado) stakoj kun moduloj kiuj estas ŝarĝitaj de neĉifrita GRUB2.

Se vi volas kontroli ĉi tion, tiam asignu/ĉifri alian sdaY-diskon, kopiu GRUB2 al ĝi (grub-instala operacio sur ĉifrita sekcio ne eblas) kaj en "grub.cfg" (neĉifrita agordo) ŝanĝu liniojn tiel

menuentry 'GRUBx2' --class parrot --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
load_video
insmod gzio
if [ x$grub_platformo = xxen ]; tiam insmod xzio; insmod lzopio; fi
insmod part_msdos
insmod kriptodisko
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
normala /boot/grub/grub.cfg
}

kordoj
* insmod - ŝarĝi la necesajn modulojn por labori kun ĉifrita disko;
* GRUBx2 - la nomo de la montrata linio en la lanĉa menuo de GRUB2;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 - vidu fdisk -l (sda9);
* starradiko - agordo de radiko;
* normala /boot/grub/grub.cfg - plenumebla agorda dosiero sur la ĉifrita sekcio.

Fido, ke ĝi estas la ĉifrita "grub.cfg", kiu estas ŝarĝita, estas pozitiva respondo al enigo de la pasvorto / malŝlosado de "sdaY" kiam vi elektas la linion "GRUBx2" en la GRUB-menuo.

Kiam vi laboras en la CLI, por ne konfuziĝi (kaj kontrolu ĉu la mediovariablo "aro radiko" funkciis), krei malplenajn markilodosierojn, ekzemple, en la ĉifrita subdisko "/shifr_grub", en la neĉifrita sekcio "/noshifr_grub". Valumado en la CLI

cat /Tab-Tab

Kiel notite supre, ĉi tio ne helpos vin elŝuti malicajn modulojn se tiaj moduloj finiĝas en via komputilo. Ekzemple, keylogger kiu povas konservi klavopremojn al dosiero kaj miksi kun aliaj dosieroj en "~/i386" ĝis ĝi estas elŝutita de atakanto kun fizika aliro al la komputilo.

La plej facila maniero kontroli, ke cifereca subskriba protekto estas aktiva (ne rekomencigita), kaj neniu invadis la ekŝargilon, en la CLI ni tajpas la komandon

list_trusted

en respondo, ni ricevas rolantaron de nia "perskey", aŭ ni ricevas nenion se ni estis atakitaj (ankaŭ bezonas kontroli "set check_signatures=enforce").
Grava malavantaĝo de tia paŝo estas tajpi komandojn permane. Se vi aldonas ĉi tiun komandon al "grub.cfg" kaj ciferece subskribas la agordon, tiam la prepara eligo de la ŝlosilo rolita al la ekrano estas tro mallonga en tempo, kaj vi eble ne havas tempon por vidi la eligon kiam vi ricevas la lanĉon de GRUB2. .
Estas neniu, pri kiu aparte plendi: la programisto en sia dokumentado klaŭzo 18.2 oficiale deklaras

"Rimarku, ke eĉ kun GRUB-pasvorta protekto, GRUB mem ne povas malhelpi, ke iu kun fizika aliro al la maŝino ŝanĝu la agordon de la firmvaro de tiu maŝino (ekz., Coreboot aŭ BIOS) por kaŭzi la maŝino lanĉi de malsama (atakanto-kontrolita) aparato. GRUB estas en la plej bona kazo nur unu ligilo en sekura lanĉa ĉeno".

GRUB2 estas tro troŝarĝita per funkcioj kiuj povas doni senton de falsa sekureco, kaj ĝia evoluo jam superis la funkciecon de MS-DOS, kaj ĝi estas nur ekŝargilo. Estas amuze, ke GRUB2 - "morgaŭ" povas fariĝi OS, kaj starteblaj GNU/Linuksaj virtualaj maŝinoj por ĝi.

Mallonga video pri kiel mi restarigas la protekton de cifereca subskribo de GRUB2 kaj deklaris mian entrudiĝon al vera uzanto (Mi timigis vin, sed anstataŭ tio, kio estas montrita en la video, vi povas skribi ne sendanĝeran arbitran kodon/.mod).

Konkludoj:

1) Bloksistema ĉifrado por Vindozo - pli facile efektivigebla, kaj protekto per unu pasvorto estas pli oportuna ol protekto per pluraj pasvortoj kun GNU/Linuksa bloksistemo ĉifrado, juste: ĉi-lasta estas aŭtomatigita.

2) Mi skribis la artikolon kiel trafa, detala simpla gvidilo al plena disko-ĉifrado VeraCrypt/LUKS sur unu hejmo la maŝino, kiu estas senkompare la plej bona en runeto (IMHO). La manlibro estas > 50k signoj do ĝi ne kovris kelkajn interesajn ĉapitrojn: pri kriptografoj kiuj malaperas/restas en la ombro; pri tio, ke en diversaj GNU/Linuksaj libroj estas malmulte/neniu skribado pri kriptografio; pri Artikolo 51 de la Konstitucio de la Rusa Federacio; O licencado/malpermeso ĉifrado en Rusio, pri kial vi bezonas ĉifri "radiko / ekŝargo". La manlibro montriĝis jam konsiderinda, sed detala (priskribas eĉ simplajn paŝojn), siavice, ĉi tio ŝparos al vi multan tempon kiam vi eniros "realan ĉifradon".

3) Farita plen-diska ĉifrado en Vindozo 7 64; GNU/Linukso Papago 4x; GNU/Debian 9.0/9.5.

4) Efektivigis sukcesan atakon sur lia GRUB2 ekŝargilo.

5) La Lernilo estis kreita por helpi ĉiujn paranojojn en la CIS, kie ĉifrado estas laŭleĝe permesita. Kaj antaŭ ĉio, por tiuj, kiuj volas ruliĝi plendiskan ĉifradon sen malkonstrui siajn agorditajn sistemojn.

6) Reviziis kaj ĝisdatigis ĝian manlibron, kiu estas grava en 2020.

[G] Helpema dokumentaro

TrueCrypt Uzantgvidilo (februaro 2012 RU)
VeraCrypt Dokumentado
/usr/share/doc/cryptsetup(-run) [loka kunhavigo] (oficiala detala dokumentaro pri agordo de GNU/Linuksa ĉifrado kun kripto-agordo)
Oftaj oftaj oficoj pri oficiala kripta agordo (mallonga dokumentado pri agordo de GNU/Linukso-ĉifrado kun ĉifro-agordo)
LUKS Aparato Ĉifrado (Archlinux dokumentaro)
Detala priskribo de cryptsetup sintakso (arka manlibropaĝo)
Detala priskribo de crypttab (arka manlibropaĝo)
GRUB2-oficiala dokumentaro.

Etikedoj: plena disko ĉifrado, sekcio ĉifrado, Linukso plena disko ĉifrado, LUKS1 plena sistema ĉifrado.

Nur registritaj uzantoj povas partopreni la enketon. Ensaluti, bonvolu.

Ĉu vi ĉifras?

17,1%Mi ĉifras ĉion, kion mi povas. Mi estas paranoja.14
34,2%Mi nur ĉifras gravajn datumojn.28
14,6%Foje mi ĉifras, foje mi forgesas.12
34,2%Ne, mi ne ĉifras, ĝi estas maloportuna kaj multekosta.28

82 uzantoj voĉdonis. 22 uzantoj sindetenis.

fonto: www.habr.com

Plena disko-ĉifrado de instalitaj sistemoj de Vindozo Linukso. Ĉifrita multiboot