Windows Linuxi installitud süsteemide täielik ketta krüpteerimine. Krüpteeritud multi-boot

Värskendatud enda juhend täisketta krüptimiseks Runet V0.2-s.

Kauboi strateegia:

[A] Windows 7 blokeerib installitud süsteemi süsteemi krüpteerimist;
[B] GNU/Linuxi plokksüsteemi krüpteerimine (Debian) paigaldatud süsteem (kaasa arvatud /boot);
[C] GRUB2 seadistamine, alglaaduri kaitse digitaalallkirja/autentimise/räsimisega;
[D] puhastamine – krüpteerimata andmete hävitamine;
[E] krüptitud OS-i universaalne varukoopia;
[F] rünnak <üksuse [C6]> sihtmärgile – GRUB2 alglaadur;
[G]kasulik dokumentatsioon.

╭───Skeem #tuba 40# :
├──╼ Windows 7 installitud - täielik süsteemi krüptimine, pole peidetud;
├──╼ GNU/Linux installitud (Debiani ja tuletatud distributsioonid) - süsteemi täielikku krüptimist ei peideta(/, sealhulgas /boot; vahetus);
├──╼ sõltumatud alglaadurid: MBR-i installitud alglaadur VeraCrypt, laiendatud partitsiooni installitud alglaadur GRUB2;
├──╼OS-i installimine/uuesti installimine pole vajalik;
└──╼ kasutatud krüptotarkvara: VeraCrypt; Krüptoseade; gnupg; merehobune; hashdeep; GRUB2 – tasuta/tasuta.

Ülaltoodud skeem lahendab osaliselt välkmälupulgale kaugkäivituse probleemi, võimaldab teil nautida krüptitud Windowsi / Linuxi OS-i ja vahetada andmeid "krüpteeritud kanali" kaudu ühest OS-ist teise.

Arvuti alglaadimisjärjekord (üks valikutest):

• masina sisselülitamine;
• VeraCrypt alglaaduri allalaadimine (õige parooli sisestamine jätkab Windows 7 käivitamist);
• klahvi "Esc" vajutamine laadib GRUB2 alglaaduri;
• GRUB2 alglaadur (levitamise valik/GNU/Linux/CLI), nõuab GRUB2 superkasutaja <login/password> autentimist;
• pärast edukat autentimist ja distributsiooni valimist peate sisestama parooli, et avada "/boot/initrd.img";
• pärast õigete paroolide sisestamist GRUB2 "nõutav" parooli sisestamiseks (järjekorras kolmas, BIOS-i parool või GNU/Linuxi kasutajakonto parool – mitte arvestada) GNU/Linux OS-i avamiseks ja alglaadimiseks või salajase võtme automaatseks asendamiseks (kaks parooli + võti või parool + võti);
• väline sissetung GRUB2 konfiguratsiooni külmutab GNU/Linuxi alglaadimisprotsessi.

Tülikas? Ok, automatiseerime protsesse.

Kõvaketta partitsioonide jagamisel (MBR tabel) Arvutil võib olla kuni 4 peamist partitsiooni või 3 peamist ja ühte laiendatud partitsiooni, samuti jaotamata ala. Laiendatud jaotis võib erinevalt põhiosast sisaldada alajaotisi. (loogilised draivid = laiendatud partitsioon). Teisisõnu asendab HDD "laiendatud partitsioon" LVM-i praeguse ülesande jaoks: süsteemi täielik krüptimine. Kui teie ketas on jagatud neljaks peamiseks partitsiooniks, peate kasutama lvm-i või teisendust (koos vormindamisega) jaotisest põhiosast edasijõudnuni või kasutage targalt kõiki nelja jaotist ja jätke kõik nii nagu on, saavutades soovitud tulemuse. Isegi kui teie kettal on üks partitsioon, aitab Gparted teil kõvaketta partitsioonideks jagada (täiendavate jaotiste jaoks) ilma andmete kadumiseta, kuid siiski väikese trahviga selliste tegude eest.

Kõvaketta paigutusskeem, mille suhtes kogu artikkel verbaliseeritakse, on esitatud allolevas tabelis.

Tabel (nr 1) jaotiste 1TB.

Sul peaks olema midagi sarnast.
sda1 – põhipartitsioon nr 1 NTFS (krüpteeritud);
sda2 - laiendatud sektsiooni marker;
sda6 - loogiline draiv (sellesse on installitud alglaadur GRUB2);
sda8 - swap (krüpteeritud vahetusfail/mitte alati);
sda9 - testi loogilist ketast;
sda5 - loogiline ajam uudishimulikele;
sda7 - GNU/Linux OS (ülatud OS krüptitud loogilisele kettale);
sda3 – põhipartitsioon nr 2 operatsioonisüsteemiga Windows 7 (krüpteeritud);
sda4 – põhipartitsioon nr 3 (see sisaldas krüptimata GNU/Linuxit, kasutati varundamiseks/mitte alati).

[A] Windows 7 Block System Encryption

A1. VeraCrypt

Laadimine asukohast ametlik veebilehtvõi peeglist sourceforge krüptotarkvara VeraCrypt installiversioon (V1.24-Update3 avaldamise ajal ei sobi VeraCrypti kaasaskantav versioon süsteemi krüptimiseks). Kontrollige allalaaditud tarkvara kontrollsummat

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

ja võrrelge tulemust VeraCrypti arendaja veebisaidil postitatud CS-ga.

Kui HashTabi tarkvara on installitud, on veelgi lihtsam: RMB (VeraCrypt Setup 1.24.exe)-properties-hash failide summa.

Programmi allkirja kontrollimiseks peab tarkvara ja arendaja avalik pgp-võti olema süsteemi installitud gnuPG; gpg4win.

A2. VeraCrypti tarkvara installimine/käivitamine administraatoriõigustega

A3. Aktiivse partitsiooni süsteemi krüpteerimisvalikute valimineVeraCrypt – Süsteem – Süsteemi partitsiooni/ketta krüptimine – Tavaline – Windowsi süsteemipartitsiooni krüptimine – Multiboot – (hoiatus: "Kogenematutel kasutajatel ei soovitata seda meetodit kasutada" ja see on tõsi, nõustuge "Jah") - Alglaadimisketas ("jah", isegi kui mitte, siis ikkagi "jah") – Süsteemidraivide arv “2 või enam” – Mitu süsteemi ühel draivil “Jah” – Mitte-Windowsi alglaadur “Ei” (tegelikult "Jah", kuid VeraCrypt/GRUB2 laadijad ei jaga omavahel MBR-i, täpsemalt salvestatakse MBR/boot rajale ainult väikseim osa laadija koodist, selle põhiosa asub failis süsteem) – Multiboot – krüpteerimisseaded…

Kui kaldute ülaltoodud sammudest kõrvale (blokeeri süsteemi šifriskeemid), siis annab VeraCrypt hoiatuse ega luba partitsiooni krüptida.

Järgmine samm sihipärase andmekaitse suunas on "Test" läbiviimine ja krüpteerimisalgoritmi valimine. Kui teil on aegunud protsessor, on Twofishi krüpteerimisalgoritm tõenäoliselt kiireim. Kui protsessor on võimas, märkate erinevust: AES - krüpteerimine vastavalt testitulemustele on mitu korda kiirem kui krüptokonkurendid. AES on populaarne krüpteerimisalgoritm, tänapäevaste protsessorite riistvara on spetsiaalselt optimeeritud "salajaseks" ja "häkkimiseks".

VeraCrypt toetab võimalust krüptida kettaid AES-kaskaadiga(kaks kala)/ ja muud kombinatsioonid. Vana tuumaga Inteli protsessoril kümme aastat tagasi (AES riistvara tugi puudub, A/T kaskaadi krüptimine) Töövõime langus on sisuliselt märkamatu. (sama ajastu/~ parameetrite AMD CPU-de puhul on jõudlus veidi vähenenud). OS töötab dünaamiliselt ja ressursside tarbimine läbipaistvaks krüpteerimiseks on märkamatu. Erinevalt näiteks märgatavast jõudluse langusest, mis on tingitud installitud test ebastabiilsest töölauakeskkonnast Mate v1.20.1 (või v1.20.2 ma täpselt ei mäleta) GNU/Linuxis või telemeetriarutiini töö tõttu Windows7↑-s. Tavaliselt viivad kogenud kasutajad enne krüptimist läbi riistvara jõudluse testid. Näiteks rakenduses Aida64 / Sysbench / systemd analüüsige süüd ja võrrelge neid samade testide tulemustega pärast süsteemi krüpteerimist, lükates seeläbi ümber müüdi "süsteemi krüptimine on kahjulik". Masina aeglustumine ja ebamugavused on märgatavad krüpteeritud andmete varundamisel / taastamisel, sest “süsteemiandmete varundamise” toimingut ennast ei mõõdeta ms-des ja lisandub seesama <decrypt / encrypt on the fly>. Lõppkokkuvõttes saavutab iga kasutaja, kellel on lubatud krüptograafiaga nokitseda, tasakaalu krüpteerimisalgoritmi, ülesannete rahuldamise, paranoia astme ja kasutusmugavuse vahel.

Parem on jätta PIM-parameeter vaikeseadeks, et te ei sisestaks iga kord, kui OS-i käivitate, täpseid iteratsiooniväärtusi. VeraCrypt kasutab tõeliselt "aeglase räsi" loomiseks tohutul hulgal iteratsioone. Rünnak sellise "krüpto teo" vastu brute force/rainbow tables meetodil on mõttekas ainult lühikese "lihtsa" parooli ja ohvri isikliku märgiloendiga. Parooli tugevuse eest tasumine - õige parooli sisestamise viivitus OS-i laadimisel (VeraCrypti köidete paigaldamine GNU/Linuxile on oluliselt kiirem).
Tasuta tarkvara jõhkrate jõurünnakute jaoks (Parooli väljavõte VeraCrypt/LUKSi ketta päisest) Hashcat. John the Ripper ei tea, kuidas Veracrypti murda ja LUKSiga töötades ei mõista Twofishi krüptograafiat.

Krüpteerimisalgoritmide krüptograafilise tugevuse tõttu arendavad peatamatud küferpungad erineva ründevektoriga tarkvara. Näiteks metaandmete/võtmete ekstraheerimine RAM-ist (külmkäivituse / otsese mälu juurdepääsu rünnak), selleks on olemas spetsiaalne tasuta ja mittevaba tarkvara.

Krüptitud aktiivse partitsiooni "unikaalsete metaandmete" konfigureerimise / genereerimise lõpus pakub VeraCrypt arvuti taaskäivitamist ja alglaaduri jõudluse testimist. Pärast Windowsi taaskäivitamist / käivitamist laaditakse VeraCrypt ooterežiimis, jääb üle vaid krüpteerimisprotsess kinnitada - Y.

Süsteemi krüptimise viimases etapis pakub VeraCrypt aktiivse krüptitud partitsiooni päise varukoopia loomist "veracrypt päästeketta.iso" kujul - seda tuleb teha - selles tarkvaras on selline toiming nõutav (LUKSis nõudena - see on kahjuks välja jäetud, kuid dokumentatsioonis rõhutatakse). Päästeketas on kasulik kõigile, kuid kellelegi rohkem kui üks kord. Kaotus (päise ümberkirjutamine/MBR) päise varundamine keelab jäädavalt juurdepääsu dekrüptitud partitsioonile OS Windowsiga.

A4. Looge pääste-usb/ketas VeraCryptVaikimisi pakub VeraCrypt "metaandmete ~2-3MB" kirjutamist CD-le, kuid kõigil inimestel pole kettaid ega DWD-ROM-draive ning buutiva mälupulga "VeraCrypt Rescue disk" loomine on kellelegi tehniline üllatus: Rufus / GUIdd-ROSA ImageWriter ja muu sarnane tarkvara - ei saa ülesandega hakkama, sest lisaks nihutatud metaandmete kopeerimisele buutitavale välkmäluseadmele peate kopeerima / kleepima pildi väljaspool USB-draivi failisüsteemi, lühidalt, kopeerige MBR / tee võtmehoidjasse õigesti. GNU / Linux OS-i alt saate seda plaati vaadates utiliidi "dd" abil luua buutiva välkmälu.

Päästeketta loomine Windowsi keskkonnas on erinev. VeraCrypti arendaja ei lisanud selle probleemi lahendust ametlikusse dokumentatsioon "päästekettal", kuid pakkus välja teistsuguse lahenduse: ta postitas oma VeraCrypti foorumisse vaba juurdepääsuga lisatarkvara "usb-päästeketta" loomiseks. Selle Windowsi tarkvara arhivaariks on "loo usb veracrypt päästekett". Pärast päästefaili disk.iso salvestamist algab aktiivse partitsiooni plokksüsteemi krüptimise protsess. Krüptimise ajal OS-i töö ei peatu, arvuti taaskäivitamine pole vajalik. Pärast krüpteerimistoimingu lõpetamist krüpteeritakse aktiivne partitsioon täielikult, saate seda kasutada. Kui arvuti käivitumisel ei kuvata VeraCrypti alglaadurit ja päise taastamine ei aita, siis kontrollige "boot" lippu, see tuleb seada partitsioonile, kus Windows asub (olenemata krüpteerimisest ja muudest operatsioonisüsteemidest, vt tabel nr 1).
See lõpetab Windows OS-iga blokeeritud süsteemi krüptimise kirjelduse.

[B]LUKS. GNU/Linuxi krüptimine (~ Debian) installitud OS. Algoritm ja sammud

Paigaldatud Debiani/tuletisdistributsiooni krüptimiseks peate ettevalmistatud partitsiooni kaardistama virtuaalse plokkseadmega, kandma selle kaardistatud GNU/Linuxi kettale ja installima/konfigureerima GRUB2. Kui teil pole metallist metallist serverit ja hindate oma aega, peate kasutama GUI-d ja enamik allpool kirjeldatud terminali käske on mõeldud käitamiseks "Chuck-Norrise režiimis".

B1. Arvuti käivitamine reaalajas usb GNU/Linuxist

"Korraldage riistvara jõudluse krüptotest"

lscpu && сryptsetup benchmark

Kui oled AES riistvaratoega võimsa auto õnnelik omanik, siis näevad numbrid välja nagu terminali parem pool, kui oled õnnelik omanik, aga antiikriistvaraga, siis numbrid näevad välja nagu vasakul pool.

B2. Ketta paigutus. HDD loogilise ketta fs-i paigaldamine/vormindamine Ext4-s (Gparted)

B2.1. Krüptitud sda7 partitsiooni päise loomineSektsioonide nimede kirjeldamiseks olen edaspidi kooskõlas oma ülaltoodud partitsioonitabeliga. Vastavalt ketta paigutusele peate asendama oma partitsiooninimed.

Loogilise draivi krüptimise kaardistamine (/dev/sda7 > /dev/mapper/sda7_crypt).
#Lihtne "LUKS-AES-XTS partitsiooni" loomine

cryptsetup -v -y luksFormat /dev/sda7

Valikud:

* luksFormat - LUKS-i päise lähtestamine;
* -y -parool (mitte võti/fail);
* -v - verbaliseerimine (teabe väljastamine terminalis);
* /dev/sda7 – teie loogiline draiv laiendatud partitsioonist (kus on plaanis üle kanda/krüpteerida GNU/Linux).

Vaikekrüpteerimisalgoritm <LUKS1: aes-xts-plain64, võti: 256 bitti, LUKSi päise räsi: sha256, RNG: /dev/urandom> (sõltub krüpti seadistamise versioonist).

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

Kui protsessoril puudub AES-i riistvaratugi, oleks parim valik luua laiendatud “LUKS-Twofish-XTS-partitsioon”.

B2.2. "LUKS-Twofish-XTS-partitsiooni" täiustatud loomine

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

Valikud:
* luksFormat - LUKS-i päise lähtestamine;
* /dev/sda7 on teie tulevane krüptitud loogiline ketas;
* -v verbaliseerima;
* -y parool;
* -c andmete krüpteerimisalgoritmi valik;
* -s krüpteerimisvõtme suurus;
* -h räsimisalgoritm/krüptofunktsioon, kasutatakse RNG-d (--use-urandom) genereerida unikaalne loogilise ketta päise krüpteerimis-/dekrüpteerimisvõti, teisese päise võti (XTS); ainulaadne peavõti, mis on salvestatud krüptitud ketta päisesse, sekundaarne XTS-võti, kõik need metaandmed ja krüpteerimisrutiin, mis põhivõtme ja teisese XTS-võtme abil krüpteerib / dekrüpteerib kõik partitsiooni andmed (välja arvatud jaotise pealkiri) on salvestatud valitud kõvaketta partitsioonile ~3 MB.
* -i iteratsioonid millisekundites, mitte "summa" (parooli töötlemise viivitus mõjutab OS-i laadimist ja võtmete krüptograafilist tugevust). Krüptograafilise tugevuse tasakaalu säilitamiseks lihtsa parooliga, nagu "vene", peate suurendama väärtust -(i), keeruka parooliga, nagu "?8dƱob/øfh", saab väärtust vähendada.
* --use-urandom juhuslike numbrite generaator, genereerib võtmed ja soola.

Pärast partitsiooni sda7 > sda7_crypt kaardistamist (toiming on kiire, kuna ~3 MB metaandmetega luuakse krüpteeritud päis ja ongi kõik), peate vormindama ja ühendama failisüsteemi sda7_crypt.

B2.3. Võrdlus

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

valikud:
* avatud - sobitage jaotis "nimega";
* /dev/sda7 - loogiline draiv;
* sda7_crypt – nimede vastendamine, mida kasutatakse krüptitud partitsiooni ühendamiseks või selle lähtestamiseks OS-i käivitamisel.

B2.4. Failisüsteemi sda7_crypt vormindamine failiks ext4. Ketta paigaldamine OS-i(Märkus: Gparted ei tööta enam krüptitud partitsiooniga)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt 

valikud:
* -v - verbaliseerimine;
* -L - ketta silt (mis kuvatakse Exploreris teiste ketaste hulgas).

Järgmisena peaksite süsteemi ühendama virtuaalse krüptitud plokkseadme /dev/sda7_crypt

mount /dev/mapper/sda7_crypt /mnt

Kaustas /mnt olevate failidega töötades krüpteeritakse / dekrüpteeritakse andmed automaatselt sda7-s.

Partitsiooni kaardistamine ja ühendamine Exploreris on mugavam (nautilus/caja GUI), on partitsioon juba ketta valikuloendis, jääb üle vaid sisestada ketta avamiseks/dekrüpteerimiseks parool. Kaardistatud nimi valitakse automaatselt ja mitte "sda7_crypt", vaid midagi sellist nagu /dev/mapper/Luks-xx-xx…

B2.5. Plaadi päise varundamine (metaandmed ~3 MB)Üks kõige rohkem oluline toimingud, mis tuleb teha viivitamatult – päise "sda7_crypt" varukoopia. Kui päis on üle kirjutatud/rikutud (näiteks GRUB2 installimine sda7 partitsioonile jne), lähevad krüptitud andmed täielikult kaotsi, ilma et oleks võimalik neid taastada, kuna samu võtmeid pole võimalik uuesti genereerida; võtmed luuakse kordumatult.

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7 

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

valikud:
* luksHeaderBackup —header-backup-file -backup käsk;
* luksHeaderRestore —header-backup-file -restore käsk;
* ~/Backup_DebSHIFR - varufail;
* /dev/sda7 – partitsioon, mille krüptitud ketta päis tuleb varundada.
Selles etapis on <krüpteeritud partitsiooni loomine ja redigeerimine> lõpetatud.

B3. GNU/Linux OS-i migreerimine (sda4) krüptitud partitsioonile (sda7)

Loo kaust /mnt2 (Märkus – töötame endiselt reaalajas USB-ga, sda7_crypt on ühendatud kausta /mnt), ja ühendage meie GNU/Linux kausta /mnt2, mis tuleb krüpteerida.

mkdir /mnt2
mount /dev/sda4 /mnt2

Korrektse operatsioonisüsteemi ülekande teostame Rsync tarkvara abil

rsync -avlxhHX --progress /mnt2/ /mnt

Rsynci valikuid kirjeldatakse jaotises E1.

Lisaks vajalik ketta partitsiooni defragmentimine

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

Kui teil on kõvaketas, tehke aeg-ajalt krüptitud GNU/LINuxis e4defrag-i tegemine reegliks.
Edastamine ja sünkroonimine [GNU/Linux > GNU/Linux-krüptitud] lõpetatakse selles etapis.

KELL 4. GNU/Linuxi seadistamine krüptitud sda7 partitsioonile

Pärast edukat OS-i ülekandmist /dev/sda4 > /dev/sda7 peate krüptitud partitsioonil sisse logima GNU/Linuxisse ja tegema edasise konfiguratsiooni (ilma arvutit taaskäivitamata) krüpteeritud süsteemi kohta. See tähendab, et peab olema reaalajas USB-s, kuid täitma käske "krüptitud OS-i juure suhtes". Simuleerida sarnane olukord on "chroot". Kiireks teabe saamiseks, millise OS-iga parajasti töötate (krüptitud või mitte, kuna sda4 ja sda7 andmed on sünkroonitud), tühistage OS-ide sünkroonimine. Loo juurkataloogides (sda4/sda7_crypt) tühjad märgifailid, nagu /mnt/encryptedOS ja /mnt2/decryptedOS. Kontrollige kiiresti, mis operatsioonisüsteemi te kasutate (kaasa arvatud tuleviku jaoks):

ls /<Tab-Tab>

B4.1. "Krüptitud OS-i sisselogimise simulatsioon"

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. Kontrollige, kas töö tehakse krüptitud süsteemiga võrreldes

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. Krüpteeritud swapi loomine/konfigureerimine, crypttab/fstab redigeerimineKuna vahetusfaili vormindatakse iga kord, kui OS käivitub, ei ole mõtet vahetusfaili nüüd loogilisele kettale luua ja vastendada ning sisestada käsud nagu punktis B2.2. Swapi jaoks luuakse igal käivitamisel automaatselt oma ajutised krüpteerimisvõtmed. Vahetusvõtmete elutsükkel: vahetuspartitsiooni lahtiühendamine/lahtiühendamine (+ RAM-i puhastamine); või taaskäivitage OS. Vahetage seadistus, avage fail, mis vastutab plokkrüptitud seadmete konfigureerimise eest (sarnane fstab-failiga, kuid vastutab krüpto eest).

nano /etc/crypttab 

reegel

#"sihtmärgi nimi" "allikaseade" "võtmefail" "valikud"
swap /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512

Valikud
* swap – vastendatud nimi /dev/mapper/swap krüptimisel.
* /dev/sda8 – kasutage vahetamiseks oma loogilist partitsiooni.
* /dev/urandom - juhuslike krüpteerimisvõtmete generaator vahetuse jaoks (iga uue OS-i käivitamisega luuakse uued võtmed). Generaator /dev/urandom on vähem juhuslik kui /dev/random, sest /dev/random kasutatakse ju ohtlikes paranoilistes tingimustes töötamisel. OS-i laadimisel aeglustab /dev/random laadimist mitu ± minutit (vt systemd-analyze).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -partitsioon teab, et see on vahetus ja vormindatakse vastavalt; krüpteerimisalgoritm.

#Открываем и правим fstab
nano /etc/fstab

reegel

# swap oli installimise ajal sees / dev / sda8
/dev/mapper/swap none swap sw 0 0

/dev/mapper/swap -nimi, mis on antud krüptotabelis.

Alternatiivne krüpteeritud vahetus
Kui te mingil põhjusel ei soovi kogu partitsiooni vahetusfailina anda, võite kasutada alternatiivset ja paremat viisi: luua krüptitud OS-i partitsiooni failis vahetusfail.

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

Vahetuspartitsiooni seadistamine on lõpetatud.

B4.4. Krüpteeritud GNU/Linuxi seadistamine (crypttab/fstab-failide redigeerimine)Fail /etc/crypttab, nagu ma eespool kirjutasin, kirjeldab krüptitud plokkseadmeid, mis on konfigureeritud süsteemi alglaadimise ajal.

#правим /etc/crypttab 
nano /etc/crypttab 

kui sobitasite jaotise sda7>sda7_crypt nagu lõigus B2.1

# "sihtmärgi nimi" "allikaseade" "võtmefail" "valikud"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

kui sobitasite jaotise sda7>sda7_crypt nagu lõigus B2.2

# "sihtmärgi nimi" "allikaseade" "võtmefail" "valikud"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

kui sobitasite jaotise sda7>sda7_crypt nagu punktis B2.1 või B2.2, kuid ei soovi OS-i avamiseks ja käivitamiseks parooli uuesti sisestada, saate parooli asemel salajase võtme / juhusliku faili asendada

# "sihtmärgi nimi" "allikaseade" "võtmefail" "valikud"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

Kirjeldus
*puudub – näitab, et OS-i käivitumisel on juurava avamiseks vaja salasõna.
* UUID – partitsiooni identifikaator. Oma ID teada saamiseks tippige terminali (meeldetuletus, et sellest ajast alates töötate chroot-keskkonnas asuvas terminalis, mitte teises reaalajas USB-terminalis).

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное 

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

see rida on nähtav blkidi taotlemisel reaalajas usb-terminalist, millele on ühendatud sda7_crypt).
Võtate UUID-i oma sdaX-ist (mitte sdaX_crypt!, UUID sdaX_crypt – jäetakse automaatselt alles konfiguratsiooni grub.cfg genereerimisel).
* šifr=twofish-xts-plain64,size=512,hash=sha512 -luks täiustatud režiimi krüptimine.
* /etc/skey – salajase võtme fail, mis sisestatakse automaatselt OS-i alglaadimise avamiseks (kolmanda parooli sisestamise asemel). Saate määrata mis tahes faili suurusega kuni 8 mb, kuid andmeid loetakse <1 mb.

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7 

See näeb välja umbes selline:

(tee ise ja vaata ise).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab sisaldab kirjeldavat teavet erinevate failisüsteemide kohta.

#Правим /etc/fstab
nano /etc/fstab

# "failisüsteem" "ühenduspunkt" "tüüp" "suvandid" "tühjendus" "läbi"
# / oli installimise ajal peal / dev / sda7
/dev/mapper/sda7_crypt / ext4 errors=remount-ro 0 1

valik
* /dev/mapper/sda7_crypt on sda7>sda7_crypt vastenduse nimi, mis on määratud failis /etc/crypttab.
crypttab/fstab häälestus on nüüd lõpetatud.

B4.5. Konfiguratsioonifailide redigeerimine. VõtmehetkB4.5.1. Konfiguratsiooni /etc/initramfs-tools/conf.d/resume redigeerimine

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

ja kommenteerida (kui on olemas) "#" rida "jätka". Fail peab olema täiesti tühi.

B4.5.2. Konfiguratsiooni /etc/initramfs-tools/conf.d/cryptsetup redigeerimine

nano /etc/initramfs-tools/conf.d/cryptsetup

peaks sobima

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=jah
eksportida CRYPTSETUP

B4.5.3. /etc/default/grub konfiguratsiooni redigeerimine (see on see konfiguratsioon, mis vastutab võimaluse eest luua grub.cfg, kui töötate krüptitud /boot-ga)

nano /etc/default/grub

lisage rida "GRUB_ENABLE_CRYPTODISK=y"
kui on seatud 'y', kontrollivad grub-mkconfig ja grub-install krüptitud draive ja genereerivad neile alglaadimisel juurdepääsuks vajalikud lisakäsud (insmod ).
peaks olema sarnane

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || kaja Debian'
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=müüja"
GRUB_CMDLINE_LINUX="vaikne splash noautomount"
GRUB_ENABLE_CRYPTODISK=y

B4.5.4. Konfiguratsiooni /etc/cryptsetup-initramfs/conf-hook redigeerimine

nano /etc/cryptsetup-initramfs/conf-hook

kontrollige, et rida kommenteeris välja <#>.
Tulevikus (ja isegi praegu pole sellel parameetril väärtust, kuid mõnikord segab see initrd.img pildi värskendamist).

B4.5.5. Konfiguratsiooni /etc/cryptsetup-initramfs/conf-hook redigeerimine

nano /etc/cryptsetup-initramfs/conf-hook

lisa

KEYFILE_PATTERN="/etc/skey"
UMASK=0077

See pakib salajase võtme "skey" faili initrd.img, võtit on vaja OS-i alglaadimisel juurava avamiseks (kui parooli uuesti sisestada ei soovi, asendatakse klahv “skey” automaatselt).

B4.6. Värskenda /boot/initrd.img [versioon]Salajase võtme pakkimiseks faili initrd.img ja krüptiseadistuse paranduste rakendamiseks värskendage pilti

update-initramfs -u -k all

initrd.img värskendamisel (Nagu öeldakse: "Võib-olla, kuid mitte kindel") ilmuvad krüpti seadistamisega seotud hoiatused või näiteks teade Nvidia moodulite kadumise kohta – see on normaalne. Pärast faili värskendamist kontrollige, kas see on tõesti uuendatud, vaadake kellaaega (võrreldes chroot-keskkonnaga ./boot/initrd.img). Hoiatus! Enne [update-initramfs -u -k all] kontrolli kindlasti, et krüptiseadistus oleks avatud /dev/sda7 sda7_crypt - see on nimi, mis kuvatakse failis /etc/crypttab, vastasel juhul ilmneb pärast taaskäivitamist busyboxi tõrge)
See samm viib konfiguratsioonifailide seadistamise lõpule.

[C] GRUB2/Protection installimine ja konfigureerimine

C1. Vajadusel vormindage alglaaduri jaoks spetsiaalne partitsioon (sektsioon vajab vähemalt 20 MB)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. Ühendage /dev/sda6 asukohta /mntKuna töötame chroot-vormingus, ei ole juurkataloogis /mnt2 kataloogi ja /mnt kaust on tühi.
ühendage GRUB2 partitsioon

mount /dev/sda6 /mnt

Kui teil on installitud GRUB2 vanem versioon, siis failis /mnt/boot/grub/i-386-pc (võimalik muu platvorm, nt mitte "i386-pc") krüptomooduleid pole (lühidalt, kaust peaks sisaldama mooduleid, sealhulgas neid .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), sellisel juhul tuleb GRUB2 raputada.

apt-get update
apt-get install grub2 

Tähtis! GRUB2 paketi värskendamisel hoidlast, kui teilt küsitakse alglaaduri installimise kohta "valiku kohta", peate installimisest keelduma (põhjus - GRUB2 installimine - MBR-is või reaalajas USB-s). Vastasel juhul kahjustate VeraCrypti päist/laadurit. Pärast GRUB2 pakettide värskendamist ja installi tühistamist tuleb alglaadur installida käsitsi loogilisele kettale, mitte MBR-i. Kui teie hoidlas on GRUB2 aegunud versioon, proovige värskendada see ametlikult saidilt - ei kontrollinud (töötas värskete GRUB 2.02 ~BetaX alglaaduritega).

C3. GRUB2 installimine laiendatud partitsioonile [sda6]Teil peab olema ühendatud partitsioon [element C.2]

grub-install --force --root-directory=/mnt /dev/sda6

valikud
* --force - installib alglaaduri, jättes kõrvale kõik peaaegu alati olemas olevad hoiatused ja blokeerib installi (vajalik lipp).
* --root-directory - kataloogi installimine sda6 juure.
* /dev/sda6 – teie sdaX-i partitsioon (ärge jätke vahele <tühikut> /mnt /dev/sda6 vahel).

C4. Konfiguratsioonifaili loomine [grub.cfg]Unustage käsk "update-grub2" ja kasutage täieliku konfiguratsioonifaili genereerimise käsku

grub-mkconfig -o /mnt/boot/grub/grub.cfg

pärast faili grub.cfg genereerimise/värskendamise lõpetamist peaks väljundterminal sisaldama ridu kettalt leitud operatsioonisüsteemiga ("grub-mkconfig" leiab tõenäoliselt OS-i reaalajas usb-st ja võtab selle üles, kui teil on Windows 10-ga multiboot-mälupulk ja hunnik reaalajas distributsioone – see on normaalne). Kui terminal on "tühi" ja faili "grub.cfg" ei genereerita, on see sama juhtum, kui süsteemis on GRUB-vigu (ja tõenäoliselt hoidla testharu laadija), installige GRUB2 uuesti usaldusväärsetest allikatest.
"Lihtsa konfiguratsiooni" installimine ja GRUB2 seadistamine on lõpetatud.

C5. Tõestustestiga krüptitud GNU/Linux OSViige krüptomissioon õigesti lõpule. Krüpteeritud GNU/Linuxist ettevaatlikult lahkumine (välju chroot-keskkonnast).

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

Pärast arvuti taaskäivitamist peaks laadima VeraCrypti alglaadur.


*Aktiivse partitsiooni parooli sisestamine – Windows hakkab laadima.
*Esc-klahvi vajutamine viib juhtimise üle GRUB2-le, kui valite krüptitud GNU / Linuxi - vajate /boot/initrd.img avamiseks parooli (sda7_crypt) (kui grub2 ütleb uuid "ei leitud" - see on probleem grub2 alglaaduriga, tuleks see uuesti installida, näiteks testharust/stabiilsest ja pd).


*Sõltuvalt sellest, kuidas te süsteemi seadistate (vt jaotist B4.4/4.5), vajate pärast õige parooli sisestamist faili /boot/initrd.img avamiseks parooli OS-i kerneli/juure käivitamiseks või salajane võti asendatakse automaatselt "skey", mis välistab vajaduse parooli uuesti sisestada.

(ekraan "salajavõtme automaatne asendamine").

*Järgmisena algab tuttav GNU / Linuxi alglaadimisprotsess koos kasutajakonto autentimisega.


*Pärast kasutaja autoriseerimist ja OS-i sisselogimist peate faili /boot/initrd.img uuesti värskendama (vt B4.6).

update-initramfs -u -k all

Ja lisaridade korral GRUB2 menüüs (vastuvõtul OS-m reaalajas usb-ga) neist lahti saada

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

GNU/Linuxi süsteemi krüptimise kiire kokkuvõte:

• GNU/Linuxinux on täielikult krüptitud, sealhulgas /boot/kernel ja initrd;
• salajane võti on pakitud faili initrd.img;
• praegune autoriseerimisskeem (initrd-i avamiseks parooli sisestamine; OS-i käivitamiseks parool / võti; Linuxi konto autoriseerimisparool).

"Lihtne GRUB2 konfiguratsioon" ploki partitsioonisüsteemi krüptimine on lõppenud.

C6. Täpsem GRUB2 konfiguratsioon. Alglaaduri kaitse digitaalallkirjaga + autentimiskaitseGNU/Linux on täielikult krüptitud, kuid alglaadurit ei saa krüpteerida – selle tingimuse dikteerib BIOS. Sel põhjusel ei ole GRUB2 aheldatud krüpteeritud alglaadimine võimalik, kuid lihtne aheldatud alglaadimine on võimalik/saadaval, kuid turvalisuse seisukohast pole see vajalik [vt. P. F].
"Haavatava" GRUB2 jaoks rakendasid arendajad alglaaduri kaitsealgoritmi "allkirjastamine/autentimine".

• Kui alglaadur on kaitstud "oma digitaalallkirjaga", põhjustab failide väline muutmine või katse laadida sellesse alglaadurisse täiendavaid mooduleid alglaadimisprotsessi blokeerimiseni.
• Alglaaduri kaitsmisel autentimisega, jaotuskomplekti alglaadimise valimiseks või täiendavate käskude sisestamiseks CLI-sse, peate sisestama superkasutaja-GRUB2 sisselogimise ja parooli.

C6.1. Alglaaduri autentimise kaitseKontrollige, kas töötate krüptitud OS-i terminalis

ls /<Tab-Tab> #обнаружить файл-маркер

looge GRUB2 autoriseerimiseks superkasutaja parool

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. 

Hankige parooliräsi. Midagi sellist

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

ühendage GRUB-i partitsioon

mount /dev/sda6 /mnt 

muuda konfiguratsiooni

nano -$ /mnt/boot/grub/grub.cfg 

kontrollige failiotsingust, et failis "grub.cfg" poleks lippe ("-unrestricted" "-user",
lisada päris lõppu (enne rida ### END /etc/grub.d/41_custom ###)
"set superusers="root"
password_pbkdf2 juurräsi".

Peaks olema midagi sellist

# See fail pakub lihtsat viisi kohandatud menüükirjete lisamiseks. Sisestage lihtsalt
# menüükirjet, mida soovite lisada pärast seda kommentaari. Olge ettevaatlik, et mitte muuta
# ülal olev rida 'exec tail'.
### LÕPP /etc/grub.d/40_custom ###

### BEGIN /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; siis
allikas ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; siis
allikas $prefix/custom.cfg;
fi
määra superkasutajad="juur"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### LÕPP /etc/grub.d/41_custom ###
#

Kui kasutate sageli käsku “grub-mkconfig -o /mnt/boot/grub/grub.cfg” ja ei soovi faili grub.cfg iga kord muuta, sisestage ülaltoodud read (Sisselogimine: Parool) allosas GRUB-i kasutajaskriptis

nano /etc/grub.d/41_custom 

kass <<EOF
määra superkasutajad="juur"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

Konfiguratsiooni "grub-mkconfig -o /mnt/boot/grub/grub.cfg" loomisel lisatakse autentimise eest vastutavad read automaatselt faili grub.cfg.
See samm viib lõpule GRUB2 autentimise seadistamise.

C6.2. Alglaaduri kaitse digitaalallkirjagaEeldatakse, et teil on juba isiklik pgp-krüpteerimisvõti (või looge selline võti). Süsteemi tuleb installida krüptograafiline tarkvara: gnuPG; kleopatra/GPA; Merihobune. Krüptotarkvara muudab teie elu kõigil sellistel juhtudel palju lihtsamaks. Seahorse – paketi 3.14.0 stabiilne versioon (ülaltoodud versioonid, näiteks V3.20, on kehvemad ja sisaldavad olulisi vigu).

PGP-võti tuleb genereerida/käivitada/lisa ainult su keskkonnas!

Looge isiklik krüpteerimisvõti

gpg - -gen-key

Eksportige oma võti

gpg --export -o ~/perskey

Paigaldage loogiline draiv OS-i, kui see pole veel ühendatud

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

puhastage GRUB2 partitsioon

rm -rf /mnt/

Installige GRUB2 sda6-sse, pannes oma privaatvõtme GRUB-i põhikujutisse "core.img"

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

valikud
* --force - installib alglaaduri, jättes kõrvale kõik alati olemas olevad hoiatused (vajalik lipp).
* --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" – annab GRUB2-le korralduse arvuti käivitamisel vajalikud moodulid eellaadida.
* -k ~/perskey – tee "PGP-võtmele" (pärast võtme pildiks pakkimist saab selle kustutada).
* --root-directory - määra alglaadimiskataloog sda6 juureks
/dev/sda6 on teie sdaX-i partitsioon.

Loo/värskenda grub.cfg

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

Lisage faili "grub.cfg" lõppu rida "trust /boot/grub/perskey". (sunni pgp-klahvi kasutamine.) Kuna installisime GRUB2 koos moodulite komplektiga, sealhulgas allkirjamooduliga "signature_test.mod", ei ole vaja lisada konfiguratsioonile selliseid käske nagu "set check_signatures=enforce".

Peaks välja nägema midagi sellist (lõpuread failis grub.cfg)

### BEGIN /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; siis
allikas ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; siis
allikas $prefix/custom.cfg;
fi
usalda /boot/grub/perskey
määra superkasutajad="juur"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### LÕPP /etc/grub.d/41_custom ###
#

Tee "/boot/grub/perskey" ei pea osutama konkreetsele kettapartitsioonile, näiteks hd0,6, alglaaduri enda jaoks on "root" selle partitsiooni vaiketee, millele GRUB2 on installitud (vt komplekt mäda=..).

GRUB2 allkirjastamine (kõik failid kõigis /GRUB kataloogides) oma "perskey" võtmega.
Lihtne lahendus, kuidas allkirjastada (nautiluse/caja exploreri jaoks): installige hoidlast Exploreri laiendus "seahorse". Teie võti tuleb su keskkonda lisada.
Avage Explorer sudo "/mnt/boot" - RMB - märgiga. Ekraanil näeb see välja selline

Võti ise on "/mnt/boot/grub/perskey" (kopeeri grubi kataloogi) tuleb ka oma allkirjaga allkirjastada. Kontrollige, et faili [*.sig] allkirjad oleksid kataloogis/alamkataloogides.
Kasutades ülalkirjeldatud meetodit, märkige "/boot" (meie kernel, initrd). Kui teie aeg on midagi väärt, välistab see meetod vajaduse kirjutada "paljude failide" allkirjastamiseks bash-skript.

Kõigi alglaaduri allkirjade eemaldamiseks (kui midagi läks valesti)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

Selleks, et pärast süsteemi värskendamist alglaadurit mitte allkirjastada, külmutame kõik GRUB2-ga seotud värskenduspaketid.

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

Selles etapis <bootloaderi kaitsmine digitaalallkirjaga> on GRUB2 täpsem konfigureerimine lõpetatud.

C6.3. Digiallkirja ja autentimisega kaitstud GRUB2 alglaaduri tõestustestGRUB2. GNU/Linuxi distributsiooni valimisel või CLI sisestamisel (käsurida) Vaja on superkasutaja luba. Pärast õige kasutajanime/parooli sisestamist vajate initrd parooli

Ekraanipilt, GRUB2-superkasutaja edukas autentimine.

Kui võltsite mõne GRUB2 faili / muudate faili grub.cfg või kustutate faili / allkirja, laadige pahatahtlik module.mod, siis kuvatakse vastav hoiatus. GRUB2 alglaadimine peatub.

Ekraanipilt, katse sekkuda GRUB2-sse "väljastpoolt".

"Tavalise" käivitamise ajal "ilma sissetungimiseta" on süsteemi väljumiskoodi olek "0". Seetõttu pole teada, kas kaitse töötab või mitte (see tähendab "bootloaderi allkirjakaitsega või ilma" tavalise laadimise ajal on olek sama "0" - see on halb).

Kuidas kontrollida digitaalallkirja kaitset?

Ebamugav viis kontrollimiseks: võltsige/eemaldage näiteks GRUB2 kasutatav moodul, eemaldage luks.mod.sig signatuur ja saate vea.

Õige viis: minge alglaaduri CLI-sse ja tippige käsk

trust_list

Vastuseks peaksite saama "perskey" sõrmejälje; kui olek on "0", siis allkirjakaitse ei tööta, kontrollige veelkord lõiku C6.2.
Selles etapis viiakse lõpule täpsem konfiguratsioon "GRUB2 kaitsmine digitaalallkirja ja autentimisega".

C7 Alternatiivne meetod GRUB2 alglaaduri turvamiseks räsimisegaÜlalkirjeldatud meetod "CPU laadija kaitse / autentimine" on klassikaline. GRUB2 ebatäiuslikkuse tõttu tabab see paranoilistes tingimustes tõelist rünnakut, mida ma annan allpool lõigus [F]. Lisaks tuleb pärast operatsioonisüsteemi / kerneli värskendamist alglaadur uuesti allkirjastada.

GRUB2 alglaaduri kaitsmine räsimisega

Eelised klassika ees:

• Kõrgem töökindluse tase (räsimine / kontrollimine toimub ainult krüptitud kohalikust ressursist. Kogu GRUB2 all eraldatud partitsiooni kontrollitakse kõigi muudatuste jaoks ja kõik muu on krüpteeritud, klassikalises skeemis koos CPU-laaduri kaitse / autentimisega kontrollitakse ainult faile, kuid mitte tasuta ruum, kuhu saab lisada "midagi kurjakuulutavat").
• Krüpteeritud logimine (skeemile lisatakse inimesele loetav isiklik krüpteeritud logi).
• Kiirus (Kogu GRUB2 jaoks eraldatud partitsiooni kaitsmine / kontrollimine toimub peaaegu kohe).
• Kõikide krüptograafiliste protsesside automatiseerimine.

Klassika miinused.

• Allkirja võltsimine (teoreetiliselt on võimalik leida antud räsifunktsiooni kokkupõrge).
• Suurenenud raskusaste (võrreldes klassikaga on vaja natuke rohkem teadmisi GNU/Linux OS-ist).

Kuidas GRUB2/partitsiooni räsimise idee töötab

GRUB2 sektsioon on "allkirjastatud", kui OS on laaditud, kontrollitakse alglaaduri sektsiooni muutumatust, millele järgneb logimine turvalises keskkonnas (krüpteeritud). Kui alglaadur või selle partitsioon on rikutud, siis lisaks sissetungilogile järgmist

Asi.

Sarnane kontroll toimub neli korda päevas, mis ei koorma süsteemiressursse.
Kasutades käsku "-$ check_GRUB", toimub kiire kontroll igal ajal ilma logimiseta, kuid teabe väljastamisega CLI-sse.
Kasutades käsku "-$ sudo GRUB_signature", allkirjastatakse GRUB2 alglaadur / partitsioon koheselt uuesti ja selle logimine uuendatakse (vajalik pärast OS/boot update) ja elu läheb edasi.

Alglaaduri ja selle sektsiooni räsimeetodi rakendamine

0) Allkirjastame GRUB alglaaduri/partitsiooni, ühendades selle esmalt kausta /media/username

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) Loome krüptitud OS ~/podpis juurtes laiendita skripti, rakendame sellele vajalikud õigused 744 turvalisuse ja kaitse "lollide" eest.

Selle sisu täitmine

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

Käivitage skript aadressilt su, kontrollitakse GRUB-i partitsiooni ja selle alglaaduri räsimist, salvestage logi.

Loome või kopeerime näiteks "pahatahtliku faili" [virus.mod] GRUB2 partitsioonile ja käivitame ajutise kontrolli/testi:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

CLI peaks nägema sissetungi meie -kindlusesse-#Tühistatud logi CLI-s

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

#Nagu näete, ilmus "Failid teisaldatud: 1 ja audit ebaõnnestus", mis tähendab, et kontroll ebaõnnestus.
Testitava partitsiooni olemuse tõttu on „Leiti uued failid” > „Failid teisaldatud” asemel

2) Pange gif siia > ~/warning.gif, määrake õigused 744-le.

3) Fstab konfigureerimine GRUB-i partitsiooni automaatseks ühendamiseks alglaadimisel

-$ sudo nano /etc/fstab

LABEL=GRUB /media/kasutajanimi/GRUB ext4 vaikeväärtused 0 0

4) Pöörame palki

-$ sudo nano /etc/logrotate.d/podpis 

/var/log/subpis.txt {
iga päev
pöörata 50
suurus 5M
kuupäevatekst
kompress
viivituskompress
olddir /var/log/old
}

/var/log/vtorjenie.txt {
igakuine
pöörata 5
suurus 5M
kuupäevatekst
olddir /var/log/old
}

5) Cronile töö lisamine

-$ sudo crontab -e

reboot '/tellimus'
0 */6 * * * '/podpis

6) Looge püsivaid varjunimesid

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

Pärast OS-i värskendamist -$ apt-get upgrade allkirjastage uuesti meie GRUB-i partitsioon
-$ подпись_GRUB
Sel hetkel on GRUB-i partitsiooni räsikaitse lõppenud.

[D] Pühkimine – krüptimata andmete hävitamine

Lõuna-Carolina pressiesindaja Trey Gowdy sõnul kustutage oma isiklikud failid nii täielikult, et "isegi Jumal ei saa neid lugeda".

Tavapäraselt on erinevaid “müüte ja legendid”, andmete taastamise kohta pärast nende kõvakettalt kustutamist. Kui usute kübernõidusse või olete Dr veebikogukonna liige ja pole kunagi proovinud andmete taastamist pärast andmete kustutamist/ülekirjutamist (nt taastumine R-stuudioga), siis pakutud meetod teile tõenäoliselt ei sobi, kasutage seda, mis on teile lähemal.

Pärast GNU/Linuxi edukat migreerimist krüptitud partitsioonile tuleb vana koopia jäädavalt kustutada. Universaalne puhastusmeetod: tarkvara Windowsi/Linux tasuta GUI tarkvara jaoks BleachBit.
Kiire vormindada jaotis, andmed, mille soovite hävitada (kasutades Gpartedi), käivitage BleachBit, valige "Tühjenda vaba ruum" - valige partitsioon (teie sdaX eelmise GNU/Linuxi koopiaga), algab eemaldamisprotsess. BleachBit - pühib ketta ühe liigutusega - see on see, mida me vajame, aga! See töötab teoreetiliselt ainult siis, kui vormindasite ketta ja puhastasite selle BB v2.0 tarkvaras.

Tähelepanu! BB pühib ketta, jättes metaandmed, failinimed säilitatakse andmete hävitamisel (Ccleaner – ei jäta metaandmeid).

Ja müüt andmete taastamise võimalusest pole tegelikult müüt.Bleachbit V2.0-2 endine ebastabiilne OS Debiani pakett (ja mis tahes muu sarnane tarkvara: sfill; wipe-Nautilus - oli ka selles räpases äris nähtud) tegelikult oli kriitiline viga: "vaba ruumi puhastamise" funktsioon see töötab valesti kõvaketaste/välkmäluseadmetel (ntfs/ext4). Seda tüüpi tarkvara ei kirjuta vaba ruumi puhastamisel kogu ketast üle, nagu paljud kasutajad arvavad. Ja mõned (palju) kustutatud andmed OS/tarkvara käsitleb neid andmeid kustutamata/kasutajaandmetena ja jätab need failid vahele OS/OS-i tühjendamisel. Probleem on selles, et pärast nii pikka aega ketta puhastamine "Kustutatud faile" saab taastada isegi pärast 3+ plaadi pühkimiskäiku.
GNU/Linuxis Bleachbitis 2.0-2 failide ja kataloogide püsiva kustutamise funktsioonid töötavad usaldusväärselt, kuid ei vabasta vaba ruumi. Võrdluseks: Windowsis CCleaneri tarkvaras töötab funktsioon "OSB for ntfs" korralikult ja jumal tõesti ei saa kustutatud andmeid lugeda.

Ja nii, et põhjalikult eemaldada "kompromiss" vanad krüptimata andmed, Bleachbit vajab nendele andmetele otsest juurdepääsu, seejärel kasutage funktsiooni "failide/kataloogide pöördumatult kustutamine".
Windowsis "kustutatud failide, kasutades standardseid OS-i tööriistu" eemaldamiseks kasutage CCleaner/BB-d koos funktsiooniga "OSP". GNU/Linuxis selle probleemi lahendamiseks (kustutatud failide eemaldamine) pead ise harjutama (andmete kustutamine + iseseisev katse neid taastada ja ärge tuginege tarkvara versioonile (kui mitte järjehoidja, siis viga)), ainult sel juhul saate aru selle probleemi mehhanismist ja kustutatud andmetest täielikult vabaneda.

Bleachbit v3.0 ei kontrollinud, võib-olla on probleem juba lahendatud.
Bleachbit v2.0 töötab ausalt.

See samm viib ketta puhastamise lõpule.

[E] Üldine krüptitud OS-i varukoopia

Igal kasutajal on andmete varundamiseks oma meetod, kuid krüptitud System OS-i andmed nõuavad ülesandele veidi erinevat lähenemist. Ühtne tarkvara, nagu Clonezilla ja sarnane tarkvara, ei saa krüptitud andmetega otse töötada.

Krüpteeritud plokkseadmete varundamise probleemi avaldus:

1. universaalsus – sama varualgoritm/tarkvara Windowsi/Linuxi jaoks;
2. võimalus töötada konsoolis mis tahes reaalajas usb GNU/Linuxiga ilma täiendava tarkvara allalaadimise vajaduseta (aga soovitan siiski GUI-d);
3. varundusturvalisus – salvestatud "pildid" peavad olema krüptitud / parooliga kaitstud;
4. krüpteeritud andmete suurus peab ühtima tegelike kopeeritud andmete suurusega;
5. vajalike failide mugav eraldamine varukoopiast (Ei ole vaja kogu jaotist kõigepealt dekrüpteerida).

Näiteks varundamine/taastamine utiliidi "dd" kaudu

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

Vastab peaaegu kõigile ülesande punktidele, kuid lõike 4 kohaselt ei talu see kriitikat, kuna kopeerib kogu ketta partitsiooni, sealhulgas vaba ruumi - see pole huvitav.

Näiteks GNU/Linuxi varukoopia arhiivi kaudu [tar" | gpg] on mugav, kuid Windowsi varundamiseks peate otsima teist lahendust - see pole huvitav.

E1. Universaalne Windowsi / Linuxi varukoopia. Komplekti rsync (Grsync) + VeraCrypti helitugevusVarukoopia loomise algoritm:

1. krüptitud konteineri loomine (maht/fail) VeraCrypt OS-i jaoks;
2. OS-i ülekandmine / sünkroonimine Rsynci tarkvara abil VeraCrypti krüptokonteinerisse;
3. vajadusel VeraCrypti köite üleslaadimine saidile www.

Krüpteeritud VeraCrypti konteineri loomisel on oma omadused:
dünaamilise helitugevuse loomine (DT loomine on saadaval ainult Windowsis, seda saab kasutada ka GNU/Linuxis);
normaalse helitugevuse loomine, kuid on "paranoilise iseloomu" nõue (arendaja sõnul) – konteineri vormindamine.

Dünaamiline helitugevus luuakse Windowsis peaaegu kohe, kuid andmete kopeerimisel GNU/Linux > VeraCrypt DT alt väheneb varundustoimingu üldine jõudlus oluliselt.

Luuakse tavaline 70 GB Twofishi köide (ütleme nii, et keskmine arvuti võimsus) HDD-le ~ poole tunni pärast (endiste konteineri andmete ülekirjutamine ühe läbimisega on tingitud turvanõuetest). Köite kiire vormindamise funktsioon selle loomisel on VeraCrypt Windows/Linuxist eemaldatud, nii et konteineri loomine on võimalik ainult "ühekäigulise ümberkirjutamise" või madala jõudlusega dünaamilise helitugevuse loomisega.

Looge tavaline VeraCrypti köide (mitte dünaamiline/ntfs), ei tohiks probleeme tekkida.

Konteineri seadistamine/loomine/avamine VeraCrypt GUI-s > GNU/Linux live usb (köide ühendatakse automaatselt aadressil /media/veracrypt2, Windows OS-i köide on ühendatud aadressil /media/veracrypt1). Krüptitud Windowsi varukoopia loomine rsync GUI abil (grsync)märkides ruudud.

Oodake, kuni protsess on lõpule viidud. Kui varundamine on lõpetatud, on meil üks krüptitud fail.

Samamoodi looge GNU/Linux OS-i varukoopia, tühjendades rsync GUI-s märkeruudu „Windowsi ühilduvus”.

Tähelepanu! looge failisüsteemis Veracrypt konteiner GNU/Linux varunduse jaoks ext4. Kui teete varukoopia ntfs konteinerisse, siis sellise koopia taastamisel kaotate kõik õigused/grupid kõikidele oma andmetele.

Kõiki toiminguid saate teha terminalis. Rsynci põhivalikud:
* -g - salvesta rühmad;
* -P —progress — failiga töötamiseks kulunud aja olek;
* -H -kopeerib kõvad lingid nii nagu on;
* -a -arhiivirežiim (mitu rlptgoD lippu);
* -v -verbaliseerimine.

Kui soovite ühendada "Windows VeraCrypti köite" krüptiseadistustarkvara konsooli kaudu, saate luua varjunime (su)

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

Nüüd palutakse teil käsul „veramount images” sisestada parool ja krüptitud Windowsi süsteemimaht paigaldatakse OS-i.

Kaardista/ühenda VeraCrypti süsteemi maht krüptiseadistuse käsus

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

Kaardistada/ühendada VeraCrypti partitsioon/konteiner krüptiseadistuse käsus

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

Pseudonüümi asemel lisagem (automaatseks laadimiseks skript) Windows OS-iga süsteemiköide ja loogiliselt krüptitud ntfs-ketas GNU/Linuxi automaatlaadimisse

Looge skript ja salvestage see saidile ~/VeraOpen.sh

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

Anname välja "tõelised" õigused:

sudo chmod 100 /VeraOpen.sh

Looge kaks identset faili (sama nimega!) /etc/rc.local ja ~/etc/init.d/rc.local
Failide täitmine

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

Anname välja "tõelised" õigused:

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local 

See on kõik, nüüd ei pea me GNU/Linuxi käivitamisel krüptitud ntfs-ketaste ühendamiseks paroole sisestama, kettad ühendatakse automaatselt.

Lühike märkus ülaltoodud lõigus E1 kirjeldatu kohta samm-sammult (aga nüüd OS GNU/Linuxi jaoks)
1) Looge köide fs ext4 > 4gb (faili jaoks) Linuxis Veracrypt [Crypto box].
2) Taaskäivitage reaalajas usb.
3) ~$ cryptsetup ava /dev/sda7 Lunux #kaardista krüptitud partitsioon.
4) ~$ mount /dev/mapper/Linux /mnt #ühendage krüptitud partitsioon kausta /mnt.
5) ~$ mkdir mnt2 #kataloogi loomine tulevase varukoopia jaoks.
6) ~$ cryptsetup open —veracrypt —type tcrypt ~/CryptoBox CryptoBox && mount /dev/mapper/CryptoBox /mnt2 #Kaardage Veracrypt köide nimega "CryptoBox" ja ühendage CryptoBox kausta /mnt2.
7) ~$ rsync -avlxhHX —progress /mnt /mnt2/ #krüptitud partitsiooni varundamine krüptitud Veracrypt-köitesse.

(p/s/ Tähelepanu! Kui teisaldate krüpteeritud GNU/Linuxi ühest arhitektuurist/masinast teise, näiteks Intel > AMD (st varukoopia juurutamine ühest krüptitud partitsioonist teise krüptitud Inteli > AMD partitsiooni), ära unusta pärast krüptitud OS-i ülekandmist muutke parooli asemel salajast asendusvõtit. eelmine võti ~/etc/skey - ei sobi enam teise krüptitud partitsiooniga ja pole soovitav luua chrooti alt uut võtit "cryptsetup luksAddKey" - tõrge on võimalik, lihtsalt ~/etc/crypttab määrake ajutiselt "noone "/etc/skey" asemel taaskäivitage pärast taaskäivitamist ja OS-i sisenemist oma salajane asendatud võti uuesti).

IT-veteranidena ärge unustage krüpteeritud Windows/Linux OS-i partitsioonide päiseid eraldi varundada, muidu pöördub krüpteerimine teie vastu.
Selles etapis on krüptitud operatsioonisüsteemide varundamine lõpule viidud.

[F] Rünnak GRUB2 alglaadurile

DetailidKui olete oma alglaadurit kaitsnud digitaalallkirja ja/või autentimisega (Vt punkti C6.), siis see ei kaitse füüsilise juurdepääsu eest. Krüpteeritud andmetele ei pääse siiski juurde, kuid kaitse läheb mööda (lähtesta digitaalallkirja kaitse) GRUB2 võimaldab küberkurjadel sisestada oma koodi alglaadurisse ilma kahtlust äratamata (välja arvatud juhul, kui kasutaja jälgib käsitsi alglaaduri olekut või ei leia grub.cfg jaoks oma kindlat kohandatud skriptikoodi).

rünnaku algoritm. sissetungija

* Käivitab arvuti reaalajas usb-st. Igasugune muutus (kurjategija) failid teavitavad arvuti tegelikku omanikku alglaadurisse tungimisest. Kuid lihtne GRUB2 uuesti installimine, säilitades grub.cfg (ja hilisem võimalus seda redigeerida) võimaldab ründajal mis tahes faile redigeerida (Selle stsenaariumi korral GRUB2 laadimisel tegelikku kasutajat ei teavitata. Olek on sama <0>)
* Ühendab krüptimata partitsiooni, salvestab faili "/mnt/boot/grub/grub.cfg".
* Installige alglaadur uuesti (eemaldades core.img pildilt "perskey")

grub-install --force --root-directory=/mnt /dev/sda6

* Tagastab "grub.cfg" > "/mnt/boot/grub/grub.cfg", muudab seda vajadusel, näiteks lisab oma mooduli "keylogger.mod" laadimismoodulitega kausta, failis "grub.cfg" > rida "insmod keylogger". Või näiteks kui vaenlane on kaval, siis pärast GRUB2 uuesti installimist (kõik allkirjad jäävad paika) see loob peamise GRUB2 pildi, kasutades "grub-mkimage koos (-c) valikuga." Valik "-c" võimaldab teil laadida oma konfiguratsiooni enne peamise "grub.cfg" laadimist. Konfiguratsioon võib koosneda ainult ühest reast: suunata suvalisele "modern.cfg"-le, segatuna näiteks ~400 failiga (moodulid+allkirjad) kaustas "/boot/grub/i386-pc". Sel juhul saab ründaja sisestada suvalise koodi ja laadida mooduleid ilma faili /boot/grub/grub.cfg mõjutamata, isegi kui kasutaja rakendas failile sõna hashsum ja kuvas selle ajutiselt ekraanil.
Ründaja ei pea GRUB2 superkasutaja sisselogimist / parooli murdma, ta peab lihtsalt read kopeerima (vastutab autentimise eest) "/boot/grub/grub.cfg" teie "modern.cfg"

määra superkasutajad="juur"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

Ja arvutihostil on endiselt GRUB2 superkasutaja autentimine.

Keti laadimine (bootloader laadib teise alglaaduri), nagu ma eespool kirjutasin, pole mõtet (see on teisel eesmärgil). BIOS-i tõttu ei saa krüptitud alglaadurit laadida (ahela laadimisel taaskäivitub GRUB2 > krüptitud GRUB2, viga!). Kui aga kasutate endiselt ahellaadimise ideed, võite olla kindel, et laaditakse just krüpteeritud. (pole täiendatud) "grub.cfg" krüptitud partitsioonist. Ja see on ka vale turvatunne, sest kõik, mis on krüptitud failis "grub.cfg" loetletud (mooduli laadimine) virnad moodulitega, mis laaditakse krüptimata GRUB2-st.

Kui soovid seda kontrollida, siis eralda/krüpteeri teine ​​partitsioon sdaY, kopeeri sinna GRUB2 (grub-installi toiming krüptitud partitsioonil pole võimalik) ja failis "grub.cfg" (krüpteerimata konfiguratsioon) muuta selliseid ridu

menüükirje 'GRUBx2' --class papagoi --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
load_video
insmod gzio
if [ x$grub_platform = xxen ]; siis insmod xzio; insmod lzopio; fi
insmod part_msdos
insmod krüptodisk
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
tavaline /boot/grub/grub.cfg
}

read
* insmod - krüptitud kettaga töötamiseks vajalike moodulite laadimine;
* GRUBx2 - GRUB2 alglaadimismenüüs kuvatava rea ​​nimi;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -vt. fdisk -l (sda9);
* määra juur - installi juur;
* tavaline /boot/grub/grub.cfg – käivitatav konfiguratsioonifail krüptitud partitsioonis.

Usaldus, et laaditakse krüpteeritud "grub.cfg", on positiivne vastus parooli sisestamisele / "sdaY" avamisele, kui valite GRUB-menüüs rea "GRUBx2".

CLI-s töötades, et mitte segadusse sattuda (ja kontrollige, kas keskkonnamuutuja "set root" töötas), looge tühjad markerfailid, näiteks krüptitud partitsioonis "/shifr_grub", krüptimata partitsioonis "/noshifr_grub". Valideerimine CLI-s

cat /Tab-Tab

Nagu eespool märgitud, ei aita see teid pahatahtlike moodulite allalaadimisel, kui sellised moodulid teie arvutisse satuvad. Näiteks klahvilogija, mis suudab salvestada klahvivajutused faili ja seguneda teiste failidega failis "~/i386", kuni ründaja, kellel on füüsiline juurdepääs arvutile, selle alla laadib.

Lihtsaim viis kontrollida, kas digitaalallkirja kaitse on aktiivne (ei ole lähtestatud), ja keegi ei tunginud alglaadurisse, tippime CLI-sse käsu

list_trusted

vastuseks saame oma "perski" või ei saa me midagi, kui meid rünnatakse (peab ka märkima "set check_signatures=enforce").
Sellise sammu oluline puudus on käskude käsitsi tippimine. Kui lisate selle käsu failile "grub.cfg" ja allkirjastate konfiguratsiooni digitaalselt, on klahvi esialgne väljund ekraanile liiga lühike ja teil ei pruugi olla aega GRUB2 alglaadimise ajal väljundit näha. .
Eriti kurta pole kellegi üle: arendaja omas dokumentatsioon punkt 18.2 deklareerib ametlikult

"Pange tähele, et isegi GRUB-i paroolikaitsega ei saa GRUB ise takistada kedagi, kellel on füüsiline juurdepääs masinale, muutmast selle masina püsivara (nt Coreboot või BIOS) konfiguratsiooni nii, et see käivitaks masina teisest (ründaja juhitavast) seadmest. GRUB on parimal juhul ainult üks lüli turvalises alglaadimisahelas.

GRUB2 on liiga ülekoormatud funktsioonidega, mis võivad tekitada võltsturvalisuse tunde, ja selle arendus on juba ületanud MS-DOS-i funktsionaalsust ja see on lihtsalt alglaadur. Naljakas, et GRUB2 - "homme" võib saada OS-iks ja selle jaoks käivitatavad GNU / Linuxi virtuaalmasinad.

Lühike video sellest, kuidas ma lähtestasin GRUB2 digitaalallkirja kaitse ja teatasin oma sissetungimisest tõelisele kasutajale (Ma hirmutasin sind, aga videol näidatu asemel võid kirjutada kahjutu suvalise koodi/.mod).

Järeldused:

1) Windowsi blokeerimissüsteemi krüptimine - lihtsam rakendada ja ühe parooliga kaitsmine on mugavam kui mitme parooliga kaitsmine GNU / Linuxi plokksüsteemi krüptimisega, ausalt öeldes: viimane on automatiseeritud.

2) Kirjutasin artikli asjakohaseks, üksikasjalikuks lihtne juhend ketta täielikuks krüptimiseks VeraCrypt/LUKS ühes masinas, mis on runetis vaieldamatult parim (IMHO). Käsiraamatus on > 50 51 tähemärki, nii et see ei hõlmanud mõnda huvitavat peatükki: krüptograafidest, kes kaovad/jäävad varju; selle kohta, et erinevates GNU / Linuxi raamatutes kirjutatakse krüptograafiast vähe / üldse mitte; Vene Föderatsiooni põhiseaduse artikli XNUMX kohta; O litsentsimine/ban krüpteerimine Venemaal, miks peate "root/boot" krüpteerima. Juhend osutus üsna mahukaks, kuid üksikasjalikuks. (kirjeldab isegi lihtsaid samme), see omakorda säästab palju aega, kui asute "päris krüptimisse".

3) Windows 7 64-s teostati ketta täielik krüpteerimine; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.

4) rakendas edukat rünnakut tema GRUB2 alglaadur.

5) Õpetus loodi selleks, et aidata kõiki paranoikuid SRÜ-s, kus krüpteerimine on seaduslikult lubatud. Ja ennekõike neile, kes soovivad kogu ketta krüptimist rullida ilma oma konfigureeritud süsteeme lammutamata.

6) Töötasin ümber ja uuendasin oma käsiraamatut, mis on asjakohane 2020. aastal.

[G] Kasulik dokumentatsioon

1. TrueCrypti kasutusjuhend (veebruar 2012 RU)
2. VeraCrypti dokumentatsioon
3. /usr/share/doc/cryptsetup(-run) [kohalik ressurss] (ametlik üksikasjalik dokumentatsioon GNU/Linuxi krüptimise seadistamise kohta krüptiseadistamisega)
4. Ametlik KKK krüptiseadistus (lühike dokumentatsioon GNU/Linuxi krüptimise seadistamise kohta koos krüptiseadistamisega)
5. LUKSi seadme krüpteerimine (archlinuxi dokumentatsioon)
6. Krüpti seadistamise süntaksi üksikasjalik kirjeldus (kaare käsiraamatu leht)
7. crypttabi üksikasjalik kirjeldus (kaare käsiraamatu leht)
8. GRUB2 ametlik dokumentatsioon.

Sildid: ketta täielik krüptimine, partitsiooni krüpteerimine, Linuxi täiskrüpteerimine, LUKS1 täielik süsteemi krüpteerimine.

Küsitluses saavad osaleda ainult registreerunud kasutajad. Logi sissepalun.

Kas sa krüpteerid?

• 17,1%Krüpteerin kõik, mis võimalik. Olen paranoiline.14

• 34,2%Krüpteerin ainult olulisi andmeid.28

• 14,6%Vahel krüpteerin, vahel unustan.12

• 34,2%Ei, ma ei krüpteeri, see on ebamugav ja kulukas.28

82 kasutajat hääletas. 22 kasutajat jäi erapooletuks.

Allikas: www.habr.com