Windows Linux instalatutako sistemen disko osoa enkriptatzea. Abio anitzeko zifratua

RuNet V0.2-n disko osoko enkriptatzeari buruzko gida propio eguneratua.

Cowboy estrategia:

[A] Windows 7 sistemaren blokeoa instalatutako sistemaren enkriptatzea;
[B] GNU/Linux sistemaren blokeen enkriptatzea (Debian) instalatutako sistema (/boot barne);
[C] GRUB2 konfigurazioa, abio-kargagailuaren babesa sinadura/autentifikazio/hashing digitalarekin;
[D] kendu: zifratu gabeko datuak suntsitzea;
[E] enkriptatutako sistema eragilearen babeskopia unibertsala;
[F] erasoa <elementuan [C6]> xede - GRUB2 abiarazlea;
[G]dokumentazio lagungarria.

╭───#40# gelaren eskema :
├──╼ Windows 7 instalatuta - sistema osoa enkriptatzea, ezkutuan;
├──╼ GNU/Linux instalatuta (Debian eta banaketa eratorriak) - Sistemaren zifraketa osoa, ezkutuan(/, /boot barne; trukatu);
├──╼ abiarazle independenteak: VeraCrypt abio-kargatzailea MBRn instalatuta dago, GRUB2 abiarazlea partizio hedatuan instalatuta dago;
├──╼ez da beharrezkoa OS instalatzea/berrantolatzea;
└──╼ Erabilitako software kriptografikoa: VeraCrypt; Cryptsetup; GnuPG; Itsas zaldia; Hashdeep; GRUB2 doakoa/doakoa da.

Goiko eskemak partzialki konpontzen du "urruneko abiarazte flash unitatean" arazoa, Windows/Linux OS enkriptatutakoaz gozatzeko eta datuak OS batetik bestera "kanal enkriptatutako" bidez trukatzeko.

Ordenagailua abiarazteko ordena (aukeretako bat):

• makina piztea;
• VeraCrypt abiarazlea kargatzen (Pasahitz zuzena sartuz gero Windows 7 abiarazten jarraituko du);
• "Esc" tekla sakatzean GRUB2 abiarazlea kargatuko da;
• GRUB2 abio-kargatzailea (hautatu banaketa/GNU/Linux/CLI), GRUB2 supererabiltzailearen autentifikazioa eskatuko du <saioa/pasahitza>;
• autentifikazioa eta banaketa arrakastatsua izan ondoren, pasaesaldi bat sartu beharko duzu "/boot/initrd.img" desblokeatzeko;
• errorerik gabeko pasahitzak sartu ondoren, GRUB2-k pasahitza sartzea "eskatuko du". (hirugarrena, BIOS pasahitza edo GNU/Linux erabiltzaile-kontuaren pasahitza - ez kontuan hartu) GNU/Linux OS desblokeatzeko eta abiarazteko, edo gako sekretu baten ordezkapen automatikoa (bi pasahitz + gakoa, edo pasahitza + gakoa);
• GRUB2 konfigurazioan kanpoko intrusioak GNU/Linux abiarazte prozesua izoztuko du.

Arazoa? Ados, goazen prozesuak automatizatzera.

Disko gogor bat partizionatzean (MBR taula) PC batek ezin ditu 4 partizio nagusi baino gehiago izan, edo 3 nagusi eta bat hedatua, baita esleitu gabeko eremu bat ere. Atal hedatu batek, nagusiak ez bezala, azpiatalak izan ditzake (unitate logikoak=partizio hedatua). Beste era batera esanda, HDDko "partizio hedatuak" LVM ordezkatzen du eskuartean duzun zeregina: sistema osoa enkriptatzea. Zure diskoa 4 partizio nagusitan banatuta badago, lvm erabili behar duzu edo transformatu (formatuarekin) atala nagusitik aurreratura, edo lau atalak zentzuz erabili eta dena dagoen bezala utzi, nahi den emaitza lortuz. Zure diskoan partizio bat baduzu ere, Gparted-ek zure HDD partizioan lagunduko dizu (atal gehigarrietarako) datuak galdu gabe, baina hala ere zigor txiki batekin horrelako ekintzengatik.

Disko gogorreko diseinu-eskema, zeinari buruz artikulu osoa hitzez hitz egingo den, beheko taulan aurkezten da.

1TB partizioen taula (1. zenbakia).

Antzeko zerbait ere izan beharko zenuke.
sda1 - NTFS 1. zenbakiko partizio nagusia (zifratua);
sda2 - sekzio hedatuaren markatzailea;
sda6 - disko logikoa (GRUB2 abiarazlea instalatuta dauka);
sda8 - trukatu (truke fitxategia zifratua/ez beti);
sda9 - probatu disko logikoa;
sda5 - jakin-minentzako disko logikoa;
sda7 - GNU/Linux OS (sistema eragilea enkriptatutako disko logiko batera transferitu);
sda3 - 2. partizio nagusia Windows 7 OSrekin (zifratua);
sda4 - atal nagusia 3. zk (GNU/Linux zifratu gabekoa zuen, babeskopia egiteko erabiltzen zen/ez beti).

[A] Windows 7 Sistema Blokeen Enkriptatzea

A1. VeraCrypt

Deskargatu hemendik gune ofiziala, edo ispilutik sourceforge VeraCrypt software kriptografikoaren instalazio-bertsioa (v1.24-Update3 artikulua argitaratzen den unean, VeraCrypt-en bertsio eramangarria ez da sistema enkriptatzeko egokia). Egiaztatu deskargatutako softwarearen kontrol batura

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

eta alderatu emaitza VeraCrypt garatzaileen webgunean argitaratutako CSarekin.

HashTab softwarea instalatuta badago, are errazagoa da: RMB (VeraCrypt konfigurazioa 1.24.exe)-properties - fitxategien batura hash.

Programaren sinadura egiaztatzeko, softwarea eta garatzailearen pgp gako publikoa instalatu behar dira sisteman gnuPG; gpg4win.

A2. VeraCrypt softwarea instalatzea/exekutatu administratzaile eskubideekin

A3. Partizio aktiborako sistema enkriptatzeko parametroak hautatzeaVeraCrypt – Sistema – Enkriptatu sistemaren partizioa/diskoa – Normala – Enkriptatu Windows sistemaren partizioa – Multiboot – (abisua: "Esperientziarik gabeko erabiltzaileek ez dute metodo hau erabiltzea gomendatzen" eta hau egia da, "Bai" onartzen dugu) – Abiarazteko diskoa ("bai", hala ez bada ere, "bai") - Sistema-disko kopurua "2 edo gehiago" - Hainbat sistema disko batean "Bai" - Windows ez den abio-kargatzailea "Ez" (Izan ere, "Bai", baina VeraCrypt/GRUB2 abiarazte-kargagailuek ez dute MBRa euren artean partekatuko; zehatzago esanda, abio-kargagailuaren kodearen zatirik txikiena soilik gordetzen da MBR/abioko pistan, zati nagusia da. fitxategi-sisteman kokatuta dago) – Multiboot – Enkriptazio ezarpenak…

Aurreko pausoetatik aldentzen bazara (blokeatu sistema enkriptatzeko eskemak), orduan VeraCrypt-ek abisu bat emango du eta ez dizu partizioa enkriptatzen utziko.

Datuen babeserako hurrengo urratsean, egin "Proba" eta hautatu enkriptazio-algoritmo bat. PUZ zaharkitua baduzu, ziurrenik enkriptazio-algoritmo azkarrena Twofish izango da. CPU indartsua bada, aldea nabarituko duzu: AES enkriptatzea, probaren emaitzen arabera, bere kripto lehiakideek baino hainbat aldiz azkarragoa izango da. AES enkriptazio algoritmo ezaguna da; CPU modernoen hardwarea "sekretua" eta "pirateatzea" egiteko bereziki optimizatuta dago.

VeraCrypt-ek AES kaskada batean diskoak enkriptatzeko gaitasuna onartzen du(Bi arrain)/eta beste konbinazio batzuk. Duela hamar urteko Intel CPU zahar batean (AES, A/T kaskada enkriptatzeko hardware laguntzarik gabe) Errendimenduaren murrizketa funtsean hautemanezina da. (Aro/~parametro bereko AMD CPUetarako, errendimendua apur bat murrizten da). Sistema eragileak dinamikoki funtzionatzen du eta enkriptazio gardenerako baliabideen kontsumoa ikusezina da. Aitzitik, adibidez, errendimenduaren murrizketa nabarmena dago Mate v1.20.1 instalatutako proba mahaigaineko ingurune ezegonkorra dela eta. (edo v1.20.2 ez naiz zehazki gogoratzen) GNU/Linux-en, edo telemetria errutinaren funtzionamenduaren ondorioz Windows7↑. Normalean, esperientziadun erabiltzaileek hardwarearen errendimendu-probak egiten dituzte enkriptatu aurretik. Esate baterako, Aida64/Sysbench/systemd-analyze-n errua sistema enkriptatu ondoren proba bereko emaitzekin alderatzen da, eta horrela, "sistema enkriptatzea kaltegarria da" dioen mitoa gezurtatzen da. Makinaren moteltzea eta eragozpenak nabaritzen dira enkriptatutako datuen babeskopiak egitean/berreskuratzean, izan ere, “sistemaren datuen babeskopia” eragiketa bera ez baita ms-tan neurtzen, eta <deszifratu/enkriptatzea joan-etorrian> horiek berdinak gehitzen direlako. Azken finean, kriptografiarekin murgiltzeko baimena duen erabiltzaile bakoitzak enkriptazio-algoritmoa orekatzen du esku artean dauden zereginen asebetetzearekin, bere paranoia mailarekin eta erabiltzeko erraztasunarekin.

Hobe da PIM parametroa lehenetsi gisa uztea, beraz, sistema eragilea kargatzean ez dituzu iterazio balio zehatzak sartu behar aldi bakoitzean. VeraCrypt-ek iterazio kopuru handi bat erabiltzen du benetan "hash motela" sortzeko. Brute force/rainbow tables metodoa erabiliz "kripto-barraskilo" baten aurkako erasoak pasaesaldi labur "sinple" batekin eta biktimaren karaktere-zerrenda pertsonalarekin bakarrik du zentzua. Pasahitzaren sendotasunagatik ordaindu beharreko prezioa OSa kargatzean pasahitz zuzena sartzeko atzerapena da. (VeraCrypt bolumenak GNU/Linux-en muntatzea nabarmen azkarragoa da).
Indar gordineko erasoak ezartzeko software librea (atera pasaesaldia VeraCrypt/LUKS diskoaren goiburutik) Hashcat. John the Ripper-ek ez daki nola "apurtu Veracrypt", eta LUKSekin lan egiten duenean ez du Twofish kriptografia ulertzen.

Enkriptazio-algoritmoen sendotasun kriptografikoa dela eta, cypherpunk geldiezinak beste eraso-bektore batekin softwarea garatzen ari dira. Adibidez, metadatuak/gakoak RAMetik ateratzea (abio hotza/memoriaren sarbide zuzeneko erasoa), Doako eta ez-doako software espezializatua dago helburu horietarako.

Enkriptatutako partizio aktiboaren "metadatu bakarrak" konfiguratzen/sortzen amaitutakoan, VeraCrypt-ek ordenagailua berrabiarazi eta bere abiarazlearen funtzionaltasuna probatzeko eskainiko du. Windows berrabiarazi/hasi ondoren, VeraCrypt egonean moduan kargatuko da, enkriptatze-prozesua berrestea besterik ez da geratzen - Y.

Sistema enkriptatzeko azken urratsean, VeraCrypt-ek enkriptatutako partizio aktiboaren goiburuaren babeskopia bat sortzea eskainiko du "veracrypt rescue disk.iso" moduan - hau egin behar da - software honetan eragiketa hori baldintza bat da (LUKS-en, baldintza gisa - hori tamalez ez da, baina dokumentazioan azpimarratzen da). Erreskate diskoa guztiontzat erabilgarria izango da, eta batzuentzat behin baino gehiagotan. Galera (goiburua/MBR berridazketa) goiburuaren babeskopia batek betirako ukatuko du deszifratutako partiziorako sarbidea OS Windows-ekin.

A4. VeraCrypt erreskate USB/disko bat sortzeaLehenespenez, VeraCrypt-ek "~2-3MB metadatuak" CD batean grabatzea eskaintzen du, baina pertsona guztiek ez dute diskorik edo DWD-ROM unitaterik, eta "VeraCrypt Rescue disk" abiarazteko flash unitate bat sortzea sorpresa teknikoa izango da batzuentzat: Rufus /GUIDd-ROSA ImageWriter eta antzeko beste software batzuek ezingo diote zereginari aurre egin, izan ere, offset metadatuak abiarazteko flash drive batean kopiatzeaz gain, USB unitateko fitxategi-sistematik kanpo irudia kopiatu/itsatsi behar duzu. laburbilduz, kopiatu behar bezala MBR/errepidea giltzarako. GNU/Linux OS-tik abiarazteko flash unitate bat sor dezakezu "dd" utilitatea erabiliz, zeinu honi begira.

Windows ingurunean erreskate disko bat sortzea ezberdina da. VeraCrypt-en garatzaileak ez zuen arazo honen irtenbidea sartu ofizialean dokumentazioa “erreskate diskoa”ren bidez, baina beste modu batean irtenbide bat proposatu zuen: bere VeraCrypt foroan doan sartzeko “usb erreskate diskoa” sortzeko software gehigarria argitaratu zuen. Windows-erako software honen artxiboa "usb veracrypt erreskate diskoa sortzen" ari da. Rescue disk.iso gorde ondoren, partizio aktiboaren bloke-sistema enkriptatzeko prozesua hasiko da. Zifratzean, sistema eragilearen funtzionamendua ez da gelditzen; ez da beharrezkoa ordenagailua berrabiarazi. Zifratze-eragiketa amaitzean, partizio aktiboa guztiz enkriptatzen da eta erabil daiteke. VeraCrypt abiarazte-kargatzailea ez bada agertzen ordenagailua abiarazten duzunean eta goiburua berreskuratzeko eragiketak laguntzen ez badu, egiaztatu "abioko" bandera, Windows dagoen partizioan ezarri behar da. (enkriptatzea eta beste sistema eragilea kontuan hartu gabe, ikus 1. zk. taula).
Honek bloke-sistemaren enkriptatzea Windows OS-ekin osatzen du.

[B]LUKS. GNU/Linux enkriptatzea (~Debian) instalatutako OS. Algoritmoa eta Urratsak

Instalatutako Debian/deribatu banaketa enkriptatzeko, prestatutako partizioa bloke birtualeko gailu batera mapatu behar duzu, mapatutako GNU/Linux diskora transferitu eta GRUB2 instalatu/konfiguratu. Bare metal zerbitzaririk ez baduzu eta zure denbora baloratzen baduzu, GUI erabili behar duzu, eta behean deskribatzen diren terminal komando gehienak "Chuck-Norris moduan" exekutatu behar dira.

B1. PCa abiarazte zuzeneko usb GNU/Linuxetik

"Egin kripto proba bat hardwarearen errendimendurako"

lscpu && сryptsetup benchmark

AES hardware euskarria duen auto indartsu baten jabe zoriontsua bazara, orduan zenbakiak terminalaren eskuineko aldean izango dira; jabe zoriontsu bat bazara, baina antzinako hardwarearekin, zenbakiak ezkerreko aldean izango dira.

B2. Diskoen partizioa. fs disko logikoa HDD muntatu/formateatzea Ext4-ra (Gparted)

B2.1. Sda7 partizio-goiburu zifratua sortzeaPartizioen izenak deskribatuko ditut, hemen eta aurrerago, goian argitaratutako nire partizio-taularen arabera. Zure diskoaren diseinuaren arabera, zure partizioen izenak ordezkatu behar dituzu.

Unitate logikoa enkriptatzeko mapak (/dev/sda7 > /dev/mapper/sda7_crypt).
# "LUKS-AES-XTS partizioa" sortzea erraza

cryptsetup -v -y luksFormat /dev/sda7

Aukerak:

* luksFormat - LUKS goiburuaren hasieratzea;
* -y -pasahesaldia (ez gakoa/fitxategia);
* -v -berbalizazioa (informazioa terminalean bistaratzea);
* /dev/sda7 - zure disko logikoa hedatutako partiziotik (non GNU/Linux transferitzea/zifratzea aurreikusten den).

Zifratze-algoritmo lehenetsia <LUKS1: aes-xts-plain64, Gakoa: 256 bit, LUKS goiburuko hashing: sha256, RNG: /dev/urandom> (cryptsetup bertsioaren araberakoa da).

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

CPUan AES-rako hardware-laguntzarik ez badago, aukerarik onena "LUKS-Twofish-XTS-partizio" hedatua sortzea litzateke.

B2.2. "LUKS-Twofish-XTS-partizioa"ren sorrera aurreratua

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

Aukerak:
* luksFormat - LUKS goiburuaren hasieratzea;
* /dev/sda7 zure etorkizuneko enkriptatutako disko logikoa da;
* -v hitzezkoa;
* -y pasaesaldia;
* -c hautatu datuak enkriptatzeko algoritmoa;
* -s enkriptazio-gakoaren tamaina;
* -h hashing algoritmoa/kripto funtzioa, RNG erabiltzen da (--erabili-urandomia) disko logikoaren goibururako zifratze/deszifratze gako bakarra sortzeko, bigarren mailako goiburuko gako bat (XTS); Enkriptatutako diskoaren goiburuan gordetako gako nagusi esklusibo bat, bigarren XTS gako bat, metadatu horiek guztiak eta enkriptatze errutina bat, gako nagusia eta bigarren XTS gakoa erabiliz, partizioaren edozein datu enkriptatzen/deszifratzen du. (atalaren izenburua izan ezik) ~3MB-tan gordeta hautatutako disko gogorrean partizioan.
* -i iterazioak milisegundotan, "kantitatea"ren ordez (Pasaesaldia prozesatzeko denbora-atzerapenak sistema eragilearen kargari eta gakoen kriptografiaren sendotasunari eragiten dio). Indar kriptografikoaren oreka mantentzeko, "errusiera" bezalako pasahitz sinple batekin -(i) balioa handitu behar duzu; "?8dƱob/øfh" bezalako pasahitz konplexu batekin balioa txikitu daiteke.
* —use-urasam ausazko zenbaki-sorgailua, gakoak eta gatza sortzen ditu.

sda7 > sda7_crypt atala mapatu ondoren (eragiketa azkarra da, enkriptatutako goiburu bat ~3 MB metadatuekin sortzen baita eta kitto), sda7_crypt fitxategi-sistema formateatu eta muntatu behar duzu.

B2.3. Konparaketa

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

aukerak:
* ireki - lotu "izenarekin" atala;
* /dev/sda7 -disko logikoa;
* sda7_crypt - enkriptatutako partizioa muntatzeko edo sistema eragilea abiarazten denean hasieratzeko erabiltzen den izen-mapea.

B2.4. sda7_crypt fitxategi-sistema ext4-ra formateatzen. Disko bat OS sisteman muntatzea(Oharra: ezingo duzu lan egin enkriptatutako partizio batekin Gparted-en)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt 

aukerak:
* -v -berbalizazioa;
* -L - unitatearen etiketa (Exploratzailean bistaratzen dena beste unitate batzuen artean).

Ondoren, enkriptatutako bloke birtualeko gailua /dev/sda7_crypt sisteman muntatu beharko zenuke

mount /dev/mapper/sda7_crypt /mnt

/mnt karpetako fitxategiekin lan egiteak datuak automatikoki enkriptatu/deszifratuko ditu sda7-n.

Erosoagoa da partizioa Explorer-en mapatzea eta muntatzea (nautilus/caja GUI), partizioa diskoa aukeratzeko zerrendan egongo da jada, pasaesaldia sartzea besterik ez da geratzen diskoa ireki/deszifratzeko. Bat datorren izena automatikoki hautatuko da eta ez "sda7_crypt", baina /dev/mapper/Luks-xx-xx bezalako zerbait...

B2.5. Disko goiburuaren babeskopia (~3 MB metadatuak)Gehienetariko bat garrantzitsua atzerapenik gabe egin behar diren eragiketak - "sda7_crypt" goiburuaren babeskopia. Goiburua gainidazten/kaltetzen baduzu (adibidez, GRUB2 instalatzea sda7 partizioan, etab.), enkriptatutako datuak guztiz galduko dira berreskuratzeko aukerarik gabe, ezinezkoa izango baita gako berdinak berriro sortzea; gakoak bakarrean sortzen dira.

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7 

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

aukerak:
* luksHeaderBackup —header-backup-file -backup komandoa;
* luksHeaderRestore —header-backup-file -restore komandoa;
* ~/Backup_DebSHIFR - babeskopia fitxategia;
* /dev/sda7 - enkriptatutako diskoaren goiburuaren babeskopia gorde behar den partizioa.
Urrats honetan <enkriptatutako partizioa sortu eta editatzen> amaitu da.

B3. GNU/Linux OS portatzea (sda4) enkriptatutako partizio batera (sda7)

Sortu karpeta bat /mnt2 (Oharra - zuzeneko usb-arekin lanean jarraitzen dugu, sda7_crypt /mnt-en muntatuta dago), eta muntatu gure GNU/Linux /mnt2-n, enkriptatu behar dena.

mkdir /mnt2
mount /dev/sda4 /mnt2

OS transferentzia zuzena egiten dugu Rsync softwarea erabiliz

rsync -avlxhHX --progress /mnt2/ /mnt

Rsync aukerak E1 paragrafoan deskribatzen dira.

Are gehiago, must desfragmentatu disko-partizio logiko bat

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

Egin ezazu arau bat: egin e4defrag GNU/LINux enkriptatutakoan noizean behin, HDD bat baduzu.
Transferentzia eta sinkronizazioa [GNU/Linux > GNU/Linux-enkriptatutakoa] urrats honetan amaitzen da.

4tan. GNU/Linux konfiguratzea sda7 partizio enkriptatutako batean

OS /dev/sda4 > /dev/sda7 behar bezala transferitu ondoren, GNU/Linux-en saioa hasi behar duzu enkriptatutako partizioan eta konfigurazio gehiago egin behar duzu. (PC berrabiarazi gabe) sistema zifratu bati dagokionez. Hau da, zuzeneko usb-en egon, baina exekutatu komandoak "enkriptatutako sistema eragilearen erroarekiko". "chroot"-ek antzeko egoera bat simulatuko du. Une honetan lan egiten ari zaren sistema eragileari buruzko informazioa azkar jasotzeko (zifratua edo ez, sda4 eta sda7-ko datuak sinkronizatuta baitaude), desinkronizatu OSa. Sortu erroko direktorioetan (sda4/sda7_crypt) markatzaile-fitxategi hutsak, adibidez, /mnt/encryptedOS eta /mnt2/decryptedOS. Egiaztatu azkar zein OStan zauden (etorkizunerako barne):

ls /<Tab-Tab>

B4.1. "Enkriptatutako OS batean saioa hasteko simulazioa"

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. Lan enkriptatutako sistema baten aurka egiten dela egiaztatzea

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. Enkriptatutako trukea sortzea/konfiguratzea, crypttab/fstab editatzeaTruke-fitxategia OSa abiarazten den bakoitzean formateatzen denez, ez du zentzurik orain trukea disko logiko batera sortzea eta idaztea eta komandoak B2.2 paragrafoan bezala idaztea. Trukatzeko, bere aldi baterako enkriptazio-gakoak automatikoki sortuko dira hasiera bakoitzean. Truke-gakoen bizi-zikloa: desmuntatu/desmuntatu truke-partizioa (+ RAM garbiketa); edo berrabiarazi OS. Trukea konfiguratzea, bloke enkriptatutako gailuen konfigurazioaz arduratzen den fitxategia irekiz (fstab fitxategi baten antzekoa, baina kriptografiaren arduraduna).

nano /etc/crypttab 

editatzen dugu

#"helburu-izena" "iturburuko gailua" "gako fitxategia" "aukerak"
swap /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512

aukera
* swap - mapatutako izena /dev/mapper/swap zifratzean.
* /dev/sda8 - erabili zure partizio logikoa trukatzeko.
* /dev/urandom - trukatzeko ausazko enkriptazio-gakoen sortzailea (sistema eragilearen abiarazte bakoitzarekin, gako berriak sortzen dira). /dev/urandom sorgailua /dev/random baino ausazko gutxiago da, azken finean /dev/random erabiltzen da egoera paranoiko arriskutsuetan lan egiten denean. OS kargatzean, /dev/random-ek karga moteltzen du zenbait ± minutuz (ikus systemd-analyse).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -partizioak badaki swap dela eta "horretan" formatua dagoela; zifratze algoritmoa.

#Открываем и правим fstab
nano /etc/fstab

editatzen dugu

# swap aktibatuta zegoen / dev / sda8 instalazioan zehar
/dev/mapper/swap none swap sw 0 0

/dev/mapper/swap crypttab-en ezarri zen izena da.

Enkriptatutako truke alternatiboa
Arrazoiren batengatik ez baduzu partizio osoa utzi nahi truke-fitxategi baterako, orduan alternatiba eta bide hobeago bat egin dezakezu: OS-a duen partizio enkriptatutako fitxategi batean truke-fitxategi bat sortzea.

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

Truke-partizioaren konfigurazioa osatu da.

B4.4. GNU/Linux enkriptatutako konfigurazioa (crypttab/fstab fitxategiak editatzen)/etc/crypttab fitxategiak, goian idatzi bezala, sistema abiaraztean konfiguratzen diren bloke enkriptatutako gailuak deskribatzen ditu.

#правим /etc/crypttab 
nano /etc/crypttab 

sda7>sda7_crypt atala parekatu baduzu B2.1 paragrafoan bezala

# "helburuko izena" "iturburuko gailua" "gako fitxategia" "aukerak"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

sda7>sda7_crypt atala parekatu baduzu B2.2 paragrafoan bezala

# "helburuko izena" "iturburuko gailua" "gako fitxategia" "aukerak"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

sda7>sda7_crypt atala B2.1 edo B2.2 paragrafoan bezala bat etorri bazara, baina ez baduzu pasahitza berriro sartu nahi OSa desblokeatzeko eta abiarazteko, orduan pasahitzaren ordez gako sekretu bat/ausazko fitxategi bat ordezkatu dezakezu.

# "helburuko izena" "iturburuko gailua" "gako fitxategia" "aukerak"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

Description
* bat ere ez: sistema eragilea kargatzean, pasaesaldi sekretua sartu behar dela erroa desblokeatzeko.
* UUID - partizioaren identifikatzailea. Zure NAN jakiteko, idatzi terminalean (gogoratu une honetatik aurrera chroot inguruneko terminal batean ari zarela lanean, eta ez zuzeneko beste usb terminal batean).

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное 

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

lerro hau ikusgai dago sda7_crypt muntatuta duen zuzeneko usb terminaletik blkid eskatzean).
Zure sdaX-tik UUID-a hartzen duzu (ez sdaX_crypt!, UUID sdaX_crypt - automatikoki utziko da grub.cfg konfigurazioa sortzean).
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks enkriptatzea modu aurreratuan.
* /etc/skey - gako sekretuaren fitxategia, automatikoki txertatzen dena OS abioa desblokeatzeko (3. pasahitza sartu ordez). 8MB arteko edozein fitxategi zehaztu dezakezu, baina datuak <1MB irakurriko dira.

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7 

Honelako itxura izango du:

(egin ezazu zeure burua eta ikusi zeure burua).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab-ek hainbat fitxategi-sistemari buruzko informazio deskribatzailea dauka.

#Правим /etc/fstab
nano /etc/fstab

# "fitxategi-sistema" "muntatze puntua" "mota" "aukerak" "iraulketa" "pasatu"
# / aktibatuta zegoen / dev / sda7 instalazioan zehar
/dev/mapper/sda7_crypt / ext4 errors=remount-ro 0 1

aukera
* /dev/mapper/sda7_crypt - sda7>sda7_crypt mapaketaren izena, /etc/crypttab fitxategian zehazten dena.
crypttab/fstab konfigurazioa osatu da.

B4.5. Konfigurazio fitxategiak editatzea. Momentu gakoaB4.5.1. /etc/initramfs-tools/conf.d/resume konfigurazioa editatzen

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

eta komentatu (baldin badago) "#" lerroa "berrekin". Fitxategiak guztiz hutsik egon behar du.

B4.5.2. /etc/initramfs-tools/conf.d/cryptsetup konfigurazioa editatzen

nano /etc/initramfs-tools/conf.d/cryptsetup

bat etorri beharko luke

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=bai
esportatu CRYPTSETUP

B4.5.3. /etc/default/grub konfigurazioa editatzen (konfigurazio hau enkriptatutako /boot-ekin lan egiten denean grub.cfg sortzeko gaitasunaz arduratzen da)

nano /etc/default/grub

gehitu "GRUB_ENABLE_CRYPTODISK=y" lerroa
'y' balioak, grub-mkconfig eta grub-install-ek enkriptatutako unitateak egiaztatuko dituzte eta abiaraztean haietara sartzeko beharrezkoak diren komando gehigarriak sortuko dituzte (inmods ).
antzekotasun bat egon behar da

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=saltzailea"
GRUB_CMDLINE_LINUX="zipriztina lasaia noautomount"
GRUB_ENABLE_CRYPTODISK=y

B4.5.4. /etc/cryptsetup-initramfs/conf-hook konfigurazioa editatzen

nano /etc/cryptsetup-initramfs/conf-hook

egiaztatu lerroa dela iruzkindu zuen <#>.
Etorkizunean (eta orain ere, parametro honek ez du inolako esanahirik izango, baina batzuetan initrd.img irudia eguneratzea oztopatzen du).

B4.5.5. /etc/cryptsetup-initramfs/conf-hook konfigurazioa editatzen

nano /etc/cryptsetup-initramfs/conf-hook

gehituz

KEYFILE_PATTERN="/etc/skey"
UMASK=0077

Honek "skey" gako sekretua initrd.img-en bilduko du, gakoa erroa desblokeatzeko behar da OSa abiarazten denean. (ez baduzu pasahitza berriro sartu nahi, "skey" tekla ordezkatzen da autoaren ordez).

B4.6. Eguneratu /boot/initrd.img [bertsioa]Gako sekretua initrd.img-en bildu eta cryptsetup konponketak aplikatzeko, eguneratu irudia

update-initramfs -u -k all

initrd.img eguneratzean («Posible da, baina ez da ziurra» esaten duten bezala) cryptsetup-arekin lotutako abisuak agertuko dira edo, adibidez, Nvidia moduluen galerari buruzko jakinarazpen bat - normala da. Fitxategia eguneratu ondoren, egiaztatu benetan eguneratu dela, ikusi ordua (chroot inguruneari dagokiona./boot/initrd.img). Arreta! [update-initramfs -u -k all] aurretik, ziurtatu cryptsetup irekita dagoela /dev/sda7 sda7_crypt - hau da /etc/crypttab-en agertzen den izena, bestela berrabiarazi ondoren busybox errore bat egongo da)
Urrats honetan, konfigurazio fitxategiak konfiguratzen dira.

[C] GRUB2/Protection instalatzea eta konfiguratzea

C1. Beharrezkoa izanez gero, formateatu abiarazlerako partizio dedikatua (partizio batek gutxienez 20 MB behar ditu)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. Muntatu /dev/sda6 /mnt-eraBeraz, chroot-en lan egiten dugu, orduan ez da /mnt2 direktoriorik egongo erroan, eta /mnt karpeta hutsik egongo da.
muntatu GRUB2 partizioa

mount /dev/sda6 /mnt

GRUB2-ren bertsio zaharrago bat instalatuta baduzu, /mnt/boot/grub/i-386-pc direktorioan (Beste plataforma posible da, adibidez, ez "i386-pc") kriptografiako modulurik ez (labur esanda, karpetak moduluak eduki behar ditu, .mod hauek barne: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), kasu honetan, GRUB2 astindu egin behar da.

apt-get update
apt-get install grub2 

Garrantzitsua! GRUB2 paketea biltegitik eguneratzean, abio-kargatzailea non instalatu "aukerari buruz" galdetuta, instalazioari uko egin behar diozu. (arrazoia - GRUB2 instalatzen saiatu - "MBR"-n edo zuzeneko usb-n). Bestela, VeraCrypt goiburua/kargatzailea kaltetuko duzu. GRUB2 paketeak eguneratu eta instalazioa bertan behera utzi ondoren, abio-kargatzailea eskuz instalatu behar da disko logikoan, eta ez MBRn. Zure biltegiak GRUB2-ren bertsio zaharkitua badu, saiatu eguneratu webgune ofizialekoa da - ez dut egiaztatu (azken GRUB 2.02 ~BetaX abio-kargagailuekin lan egin zuen).

C3. GRUB2 partizio hedatu batean instalatzen [sda6]Muntatutako partizio bat izan behar duzu [C.2 elementua]

grub-install --force --root-directory=/mnt /dev/sda6

aukera
* —force - abio-kargatzailea instalatzea, ia beti dauden abisu guztiak saihestuz eta instalazioa blokeatu (beharrezkoa bandera).
* --root-directory - direktorioa instalazioa sda6-ren errora.
* /dev/sda6 - zure sdaХ partizioa (ez galdu /mnt /dev/sda6 arteko <espazioa>).

C4. Konfigurazio fitxategi bat sortzea [grub.cfg]Ahaztu "update-grub2" komandoa, eta erabili konfigurazio fitxategi osoa sortzeko komandoa

grub-mkconfig -o /mnt/boot/grub/grub.cfg

grub.cfg fitxategiaren sorrera/eguneratzea amaitu ondoren, irteerako terminalak diskoan aurkitutako sistema eragilea duten lerroak izan behar ditu. ("grub-mkconfig"-ek seguruenik sistema eragilea zuzeneko usb batetik aurkituko eta hartuko du, Windows 10 eta zuzeneko banaketa mordoa duen abio anitzeko flash unitate bat baduzu - hau normala da). Terminala "hutsik" badago eta "grub.cfg" fitxategia sortzen ez bada, sisteman GRUB akatsak daudenean kasu bera gertatzen da. (eta ziurrenik biltegiaren proba-adarreko kargatzailea), berriro instalatu GRUB2 iturri fidagarrietatik.
"Konfigurazio sinplea" instalazioa eta GRUB2 konfigurazioa amaitu dira.

C5. GNU/Linux OS enkriptatutako froga-probaKripto-misioa behar bezala betetzen dugu. Kontu handiz enkriptatutako GNU/Linux utziz (irten chroot ingurunea).

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

PCa berrabiarazi ondoren, VeraCrypt abiarazleak kargatu beharko luke.


*Partizio aktiboaren pasahitza sartzean Windows kargatzen hasiko da.
* "Esc" tekla sakatzean kontrola GRUB2-ra transferituko da, GNU/Linux enkriptatutakoa hautatzen baduzu - pasahitz bat (sda7_crypt) beharko da /boot/initrd.img desblokeatzeko (grub2-k uuid "not found" idazten badu - hau da. grub2 abio-kargagailuarekin arazoa, berriro instalatu beharko litzateke, adibidez, proba-adartik/egonkortik etab.).


*Sistema konfiguratu duzunaren arabera (ikus B4.4/4.5 paragrafoa), /boot/initrd.img irudia desblokeatzeko pasahitz zuzena sartu ondoren, pasahitz bat beharko duzu OS kernel/root kargatzeko, edo sekretua. tekla automatikoki ordezkatuko da " skey ", pasaesaldia berriro sartzeko beharra ezabatuz.

(«Gako sekretuaren ordezkapen automatikoa» pantaila).

*Hurrengoa GNU/Linux erabiltzaile-kontuaren autentifikazioarekin kargatzeko prozesu ezaguna izango da.


*Erabiltzaileak baimendu eta sistema eragilean saioa hasi ondoren, /boot/initrd.img berriro eguneratu behar duzu (ikus B4.6).

update-initramfs -u -k all

Eta GRUB2 menuan lerro gehigarrien kasuan (OS-m bilketa-tik zuzeneko usb-arekin) kentzea

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

GNU/Linux sistemaren enkriptatzeari buruzko laburpen azkar bat:

• GNU/Linuxinux guztiz enkriptatuta dago, /boot/kernel eta initrd barne;
• gako sekretua initrd.img-en bilduta dago;
• egungo baimen-eskema (initrd desblokeatzeko pasahitza sartzea; OSa abiarazteko pasahitza/gakoa; Linux kontua baimentzeko pasahitza).

"GRUB2 konfigurazio sinplea" bloke-partizioaren sistemaren enkriptatzea osatu da.

C6. GRUB2 konfigurazio aurreratua. Bootloader babesa sinadura digitalarekin + autentifikazio babesarekinGNU/Linux guztiz enkriptatuta dago, baina abio-kargatzailea ezin da enkriptatu - baldintza hau BIOSak aginduta dago. Hori dela eta, ezin da GRUB2-ren abiarazte enkriptatutako kateatu bat, baina kateatutako abio soil bat posible/erabil daiteke, baina segurtasunaren ikuspuntutik ez da beharrezkoa [ikus P. F].
GRUB2 "zaurgarria"rentzat, garatzaileek "sinadura/autentifikazioa" abio-kargagailuaren babes-algoritmoa ezarri zuten.

• Abio-kargatzailea "bere sinadura digitalarekin" babestuta dagoenean, fitxategien kanpoko aldaketak edo abioko kargatzaile honetan modulu gehigarriak kargatzeko saiakerak abio-prozesua blokeatuko du.
• Abio-kargatzailea autentifikazioarekin babestean, banaketa bat kargatzea hautatzeko edo CLIan komando gehigarriak sartzeko, supererabiltzaile-GRUB2-ren saioa eta pasahitza sartu beharko dituzu.

C6.1. Bootloader autentifikazio babesaEgiaztatu sistema eragile enkriptatutako terminal batean lan egiten ari zarela

ls /<Tab-Tab> #обнаружить файл-маркер

sortu supererabiltzaile pasahitza GRUB2-n baimentzeko

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. 

Lortu pasahitzaren hash-a. Honelako zerbait

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

muntatu GRUB partizioa

mount /dev/sda6 /mnt 

editatu konfigurazioa

nano -$ /mnt/boot/grub/grub.cfg 

egiaztatu fitxategien bilaketan ez dagoela inon banderarik "grub.cfg" ("-unrestricted" "-user",
gehitu amaieran (### END lerroaren aurretik /etc/grub.d/41_custom ###)
"ezarri superusers="root"
password_pbkdf2 root hash."

Horrelako zerbait izan beharko luke

# Fitxategi honek menuko sarrera pertsonalizatuak gehitzeko modu erraz bat eskaintzen du. Idatzi besterik gabe
Iruzkin honen ondoren gehitu nahi dituzun # menuko sarrera. Kontuz ibili ez aldatzeko
# goiko 'exec tail' lerroa.
### AMAIERA /etc/grub.d/40_custom ###

### BEGIN /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; gero
${config_directory}/custom.cfg iturburua
elif [ -z "${konfig_direktorioa}" -a -f $aurrizkia/custom.cfg ]; gero
iturria $aurrizkia/custom.cfg;
fi
ezarri superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### AMAIERA /etc/grub.d/41_custom ###
#

Askotan erabiltzen baduzu "grub-mkconfig -o /mnt/boot/grub/grub.cfg" komandoa eta ez baduzu grub.cfg-n aldaketarik egin nahi, idatzi goiko lerroak (Sarrera: Pasahitza) behealdean dagoen GRUB erabiltzaile-scriptean

nano /etc/grub.d/41_custom 

katua <<EOF
ezarri superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

"grub-mkconfig -o /mnt/boot/grub/grub.cfg" konfigurazioa sortzean, automatikoki gehituko dira autentifikazioaz arduratzen diren lerroak grub.cfg-era.
Urrats honek GRUB2 autentifikazioaren konfigurazioa osatzen du.

C6.2. Bootloader babesa sinadura digitalarekinDagoeneko zure pgp enkriptatzeko gako pertsonala duzula suposatzen da (edo sortu horrelako gako bat). Sistemak software kriptografikoa izan behar du instalatuta: gnuPG; kleopatra/GPA; Itsas zaldia. Kripto softwareak zure bizitza askoz erraztuko dizu horrelako gai guztietan. Seahorse - paketearen bertsio egonkorra 3.14.0 (Gogoko bertsioak, adibidez, V3.20, akastunak dira eta akats nabarmenak dituzte).

PGP gakoa su ingurunean bakarrik sortu/abian jarri/gehitu behar da!

Sortu zifratze-gako pertsonala

gpg - -gen-key

Esportatu zure giltza

gpg --export -o ~/perskey

Muntatu disko logikoa sistema eragilean dagoeneko muntatuta ez badago

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

garbitu GRUB2 partizioa

rm -rf /mnt/

Instalatu GRUB2 sda6-n, zure gako pribatua "core.img" GRUB irudi nagusian jarriz

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

aukera
* --force - instalatu abio-kargatzailea, beti dauden abisu guztiak saihestuz (beharrezkoa bandera).
* —modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - PCa abiarazten denean beharrezkoak diren moduluak aurrez kargatzeko agintzen dio GRUB2ri.
* -k ~/perskey -path "PGP gako"rako (gakoa irudian sartu ondoren, ezabatu egin daiteke).
* --root-directory -set abio direktorioa sda6-ren erroan
/dev/sda6 - zure sdaX partizioa.

Grub.cfg sortzea/eguneratzea

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

Gehitu "trust /boot/grub/perskey" lerroa "grub.cfg" fitxategiaren amaieran (behartu pgp tekla erabiltzea.) GRUB2 modulu multzo batekin instalatu genuenez, "signature_test.mod" sinadura modulua barne, honek konfigurazioari "set check_signatures=enforce" bezalako komandoak gehitzeko beharra ezabatzen du.

Honelako zerbait izan beharko luke (amaiera lerroak grub.cfg fitxategian)

### BEGIN /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; gero
${config_directory}/custom.cfg iturburua
elif [ -z "${konfig_direktorioa}" -a -f $aurrizkia/custom.cfg ]; gero
iturria $aurrizkia/custom.cfg;
fi
fidatu /boot/grub/perskey
ezarri superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### AMAIERA /etc/grub.d/41_custom ###
#

"/boot/grub/perskey"-ren bideak ez du disko partizio zehatz batera seinalatu behar, hd0,6 adibidez; abio-kargatzaileari berari dagokionez, "root" da GRUB2 instalatuta dagoen partizioaren bide lehenetsia. (ikus set ustel=..).

GRUB2 sinatzea (fitxategi guztiak /GRUB direktorio guztietan) zure giltzarekin “perskey”.
Sinatzeko irtenbide sinplea (nautilus/caja explorer-erako): instalatu Explorer-erako "itsas-zaldia" luzapena biltegitik. Zure gakoa su ingurunera gehitu behar da.
Ireki Explorer sudo "/mnt/boot" - RMB - zeinuarekin. Pantailan honela ikusten da

Gakoa bera "/mnt/boot/grub/perskey" da (kopiatu grub direktoriora) zure sinadurarekin ere sinatu behar da. Egiaztatu [*.sig] fitxategiaren sinadurak direktorio/azpidirektorioetan agertzen direla.
Goian azaldutako metodoa erabiliz, sinatu "/boot" (gure nukleoa, initrd). Zure denborak ezertarako balio badu, metodo honek bash script bat idazteko beharra ezabatzen du "fitxategi asko" sinatzeko.

Abio-kargagailuaren sinadura guztiak kentzeko (zerbait gaizki joan bada)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

Sistema eguneratu ondoren abio-kargatzailea ez sinatzeko, GRUB2-ri lotutako eguneratze pakete guztiak izoztu egiten ditugu.

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

Urrats honetan <protect bootloader with digital signature> GRUB2-ren konfigurazio aurreratua osatu da.

C6.3. GRUB2 abiarazlearen froga-proba, sinadura digitalaren eta autentifikazioaren bidez babestuaGRUB2. Edozein GNU/Linux banaketa hautatzean edo CLIan sartzean (komando lerroa) Supererabiltzaileen baimena beharko da. Erabiltzaile-izen/pasahitz zuzena sartu ondoren, initrd pasahitza beharko duzu

GRUB2 supererabiltzailearen autentifikazio arrakastatsuaren pantaila-argazkia.

GRUB2 fitxategiren bat manipulatzen baduzu/grub.cfg-n aldaketak egiten badituzu, edo fitxategia/sinadura ezabatzen baduzu edo module.mod gaizto bat kargatzen baduzu, dagokion abisua agertuko da. GRUB2-k kargatzea pausatuko du.

Pantaila-argazkia, GRUB2 "kanpotik" oztopatzeko saiakera bat.

"Intrusiorik gabe" abiarazte "normal" bitartean, sistemaren irteera kodearen egoera "0" da. Hori dela eta, ez da jakiten babesak funtzionatzen duen ala ez (hau da, "abio-kargagailuaren sinadura babesarekin edo gabe" kargatzean egoera bera da "0" - hau txarra da).

Nola egiaztatu sinadura digitalaren babesa?

Egiaztatzeko modu deserosoa: GRUB2-k erabilitako modulu bat faltsutu/kendu, adibidez, luks.mod.sig sinadura kendu eta errore bat lortu.

Modu zuzena: joan abiarazlearen CLIra eta idatzi komandoa

trust_list

Erantzun gisa, "perskey" hatz-marka bat jaso beharko zenuke; egoera "0" bada, sinadura babesak ez du funtzionatzen, egiaztatu C6.2 paragrafoa.
Urrats honetan, "GRUB2 sinadura digitalarekin eta autentifikazioarekin babestea" konfigurazio aurreratua osatu da.

C7 GRUB2 abiarazlea hashing bidez babesteko metodo alternatiboaGoian deskribatutako "CPU Boot Loader Protection/Authentication" metodoa klasikoa da. GRUB2-ren akatsak direla eta, baldintza paranoikoetan benetako erasoa jasateko modukoa da, jarraian [F] paragrafoan emango dudana. Gainera, OS/kernel-a eguneratu ondoren, abio-kargatzailea berriro sinatu behar da.

GRUB2 abiarazlea hashing erabiliz babestea

Klasikoen aurrean abantailak:

• Fidagarritasun maila handiagoa (Hashing/egiaztapena enkriptatutako baliabide lokal batetik bakarrik egiten da. GRUB2-n esleitutako partizio osoa kontrolatzen da edozein aldaketa egiteko, eta gainerako guztia enkriptatuta dago; PUZaren kargagailuaren babesa/autentifikazioa duen eskema klasikoan, fitxategiak bakarrik kontrolatzen dira, baina ez doakoak. espazioa, zeinetan “zerbait” zerbait maltzur” gehi daiteke).
• Enkriptatutako erregistroa (Gizakiek irakur daitekeen erregistro pertsonal enkriptatu bat gehitzen zaio eskemari).
• Abiadura (GRUB2rako esleitutako partizio osoaren babesa/egiaztaketa ia berehala gertatzen da).
• Prozesu kriptografiko guztien automatizazioa.

Klasikoekiko desabantailak.

• Sinadura faltsutzea (teorian, posible da hash funtzioaren talka jakin bat aurkitzea).
• Zailtasun maila handitu (klasikoarekin alderatuta, GNU/Linux OS-en trebetasun apur bat gehiago behar dira).

Nola funtzionatzen duen GRUB2/partizioaren hashing ideia

GRUB2 partizioa "sinatuta" dago; OS abiaraztean, abio-kargagailuaren partizioa aldaezintasuna egiaztatzen da, eta ondoren ingurune seguru batean (zifratuta) saioa hasten da. Abio-kargatzailea edo bere partizioa arriskuan badago, intrusioen erregistroaz gain, honako hau abiarazten da:

Gauza.

Antzeko egiaztapena egunean lau aldiz gertatzen da, eta horrek ez ditu sistemaren baliabideak kargatzen.
"-$ check_GRUB" komandoa erabiliz, berehalako egiaztapena egiten da edozein unetan saioa erregistratu gabe, baina CLIra informazioaren irteerarekin.
"-$ sudo signature_GRUB" komandoa erabiliz, GRUB2 abiarazte-kargatzailea/partizioa berehala sinatzen da eta bere erregistro eguneratua (beharrezkoa OS/abioaren eguneraketa ondoren), eta bizitza aurrera doa.

Abio-kargagailurako eta bere atalerako hashing metodo bat ezartzea

0) Sina dezagun GRUB abiarazlea/partizioa lehenik /media/username-n muntatuz

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) Luzapenik gabeko script bat sortzen dugu ~/podpis enkriptatutako sistema eragilearen erroan, beharrezko 744 segurtasun-eskubideak aplikatzen dizkiogu eta inongo babesa.

Bere edukia betetzea

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

Exekutatu script-etik su, GRUB partizioaren hashinga eta bere abiarazlea egiaztatuko dira, gorde erregistroa.

Sortu edo kopiatu, adibidez, "fitxategi gaizto bat" [virus.mod] GRUB2 partizioan eta egin dezagun aldi baterako eskaneatu/proba bat:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

CLIk gure -ziudadela- inbasio bat ikusi behar du#Trimmed saioa CLI-n

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

#Ikusten duzun bezala, "Fitxategiak mugitu dira: 1 eta auditoriak huts egin du" agertzen da, hau da, egiaztapenak huts egin du.
Probatzen ari den partizioaren izaera dela eta, "Fitxategi berriak aurkitu" > "Mugitutako fitxategiak" ordez

2) Jarri gif hemen > ~/warning.gif, ezarri baimenak 744.

3) Fstab konfiguratzen GRUB partizioa abioan automatikoki muntatzeko

-$ sudo nano /etc/fstab

LABEL=GRUB /media/username/GRUB ext4 lehenetsiak 0 0

4) Erregistroa biratzen

-$ sudo nano /etc/logrotate.d/podpis 

/var/log/podpis.txt {
eguneroko
biratu 50
5M tamaina
dataext
konprimitu
delaycompress
dirdir zaharra /var/log/old
}

/var/log/vtorjenie.txt {
hileko
biratu 5
5M tamaina
dataext
dirdir zaharra /var/log/old
}

5) Gehitu lan bat cron-era

-$ sudo crontab -e

berrabiarazi '/harpidetza'
0 */6 * * * '/podpis

6) Alias ​​iraunkorrak sortzea

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

OS eguneratu ondoren -$ apt-get upgrade berriro sinatu gure GRUB partizioa
-$ подпись_GRUB
Une honetan, GRUB partizioaren hashing babesa osatu da.

[D] Garbiketa - zifratu gabeko datuak suntsitzea

Ezabatu zure fitxategi pertsonalak oso-osorik, non "Jainkoak ere ezin ditzake irakurri", Trey Gowdy Hego Carolinako bozeramailearen arabera.

Ohi bezala, hainbat “mito eta kondairak", disko gogor batetik ezabatu ondoren datuak berreskuratzeari buruz. Zibersorginkerian sinesten baduzu edo Dr web komunitateko kide bazara eta ez baduzu inoiz datuak berreskuratzen saiatu ezabatu/gainidatzi ondoren (adibidez, berreskuratzea R-studio erabiliz), orduan proposatutako metodoa nekez egokituko zaizu, erabili gertuen duzuna.

GNU/Linux enkriptatutako partizio batera transferitu ondoren, kopia zaharra ezabatu behar da datuak berreskuratzeko aukerarik gabe. Garbiketa metodo unibertsala: Windows/Linux doako GUI softwarerako softwarea BleachBit.
azkar atala formatu, datuak suntsitu behar diren (Gparted bidez) abiarazi BleachBit, hautatu "Garbitu espazio librea" - hautatu partizioa (zure sdaX GNU/Linux-en aurreko kopia batekin), kendu prozesua hasiko da. BleachBit - pase bakarrean diskoa garbitzen du - hau da "behar dugu", baina! Honek teorian bakarrik funtzionatzen du diskoa formateatu eta BB v2.0 softwarean garbitu baduzu.

Arreta! BB-k diskoa garbitzen du, metadatuak utziz; fitxategi-izenak gordetzen dira datuak ezabatzen direnean (Ccleaner - ez du metadaturik uzten).

Eta datuak berreskuratzeko aukerari buruzko mitoa ez da guztiz mito bat.Bleachbit V2.0-2 lehengo OS Debian pakete ezegonkorra (eta antzeko beste edozein software: sfill; wipe-Nautilus - negozio zikin honetan ere nabaritu ziren) benetan akats kritiko bat izan zuen: "espazio librea garbitzeko" funtzioa gaizki funtzionatzen du HDD/Flash unitateetan (ntfs/ext4). Era honetako softwareak, espazio librea garbitzean, ez du disko osoa gainidazten, erabiltzaile askok uste duten bezala. Eta batzuk (asko) ezabatutako datuak OS/softwareak datu hauek ezabatu gabeko/erabiltzailearen datutzat hartzen ditu eta "OSP" garbitzean fitxategi hauek saltatzen ditu. Arazoa da hain denbora luze baten ondoren, diskoa garbitzea "ezabatutako fitxategiak" berreskuratu daitezke diskoa garbitzen 3 pase igaro ondoren ere.
GNU/Linux-en Bleachbit-en 2.0-2 Fitxategiak eta direktorioak betiko ezabatzeko funtzioek fidagarritasunez funtzionatzen dute, baina ez dute espazio librea garbitzen. Konparazio baterako: Windows-en CCleaner-en "OSP for ntfs" funtzioak ondo funtzionatzen du, eta Jainkoak ezin izango ditu ezabatutako datuak irakurri.

Eta horrela, ondo kentzeko "konpromisoa" zifratu gabeko datu zaharrak, Bleachbit-ek datu horietarako sarbide zuzena behar du, ondoren, erabili "betiko ezabatu fitxategiak/direktorioak" funtzioa.
Windows-en "ezabatutako fitxategiak OS tresna estandarrak erabiliz" kentzeko, erabili CCleaner/BB "OSP" funtzioarekin. GNU/Linux-en arazo honen aurrean (ezabatutako fitxategiak ezabatu) zure kabuz praktikatu behar duzu (datuak ezabatzea + leheneratzeko saiakera independente bat eta ez duzu softwarearen bertsioan fidatu behar (laster-marka ez bada, akats bat)), kasu honetan bakarrik arazo honen mekanismoa ulertu eta ezabatutako datuak erabat kentzeko gai izango zara.

Ez dut Bleachbit v3.0 probatu, baliteke arazoa jada konponduta egotea.
Bleachbit v2.0 zintzotasunez funtzionatzen du.

Urrats honetan, diskoaren garbiketa amaitu da.

[E] Enkriptatutako sistema eragilearen babeskopia unibertsala

Erabiltzaile bakoitzak bere datuen babeskopiak egiteko metodo propioa du, baina enkriptatutako System OS datuek zereginaren ikuspegi apur bat desberdina behar dute. Software bateratuak, Clonezilla eta antzeko softwareak adibidez, ezin du zuzenean funtzionatu enkriptatutako datuekin.

Enkriptatutako bloke-gailuen babeskopiak egiteko arazoaren adierazpena:

1. unibertsaltasuna - babeskopia-algoritmo/software bera Windows/Linux-erako;
2. edozein GNU/Linux usb zuzeneko kontsolan lan egiteko gaitasuna, software deskarga gehigarririk behar izan gabe (baina oraindik GUI gomendatzen da);
3. babeskopien segurtasuna - gordetako "irudiak" enkriptatutako/pasahitz bidez babestuta egon behar dira;
4. enkriptatutako datuen tamaina kopiatzen ari diren benetako datuen tamainarekin bat etorri behar da;
5. babeskopia batetik beharrezko fitxategiak eroso ateratzea (ez da beharrezkoa atal osoa lehenik desenkriptatzeko).

Adibidez, babeskopia/berreskuratu “dd” utilitatearen bidez

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

Zereginaren ia puntu guztiei dagokie, baina 4. puntuaren arabera ez du kritikarik onartzen, diskoaren partizio osoa kopiatzen baitu, espazio librea barne - ez da interesgarria.

Adibidez, GNU/Linux babeskopia bat artxibatzailearen bidez [tar" | gpg] erosoa da, baina Windows babeskopiak egiteko beste irtenbide bat bilatu behar duzu - ez da interesgarria.

E1. Windows/Linux babeskopia unibertsala. Lotu rsync (Grsync)+VeraCrypt bolumenaBabeskopia bat sortzeko algoritmoa:

1. enkriptatutako edukiontzi bat sortzea (bolumena/fitxategia) VeraCrypt sistema eragilerako;
2. transferitu/sinkronizatu OSa Rsync softwarea erabiliz VeraCrypt kripto-edukiontzira;
3. behar izanez gero, VeraCrypt bolumena www.

Enkriptatutako VeraCrypt edukiontzi bat sortzeak bere ezaugarriak ditu:
bolumen dinamiko bat sortzea (DTa sortzea Windows-en bakarrik dago eskuragarri, GNU/Linux-en ere erabil daiteke);
bolumen erregularra sortzea, baina "izaera paranoiko" baten eskakizuna dago (garatzailearen arabera) – edukiontzien formatua.

Bolumen dinamiko bat ia berehala sortzen da Windows-en, baina GNU/Linux > VeraCrypt DT-tik datuak kopiatzean, babeskopia eragiketaren errendimendu orokorra nabarmen jaisten da.

70 GB-ko Twofish bolumen arrunta sortzen da (Demagun, batez besteko ordenagailuaren potentzia) HDDra ~ ordu erdian (lehengo edukiontzien datuak pasabide batean gainidaztea segurtasun eskakizunengatik da). Sortzean bolumen bat azkar formateatzeko funtzioa kendu egin da VeraCrypt Windows/Linux-etik, beraz, edukiontzi bat sortzea "pase bakarreko berridazketa" edo errendimendu baxuko bolumen dinamiko bat sortuz soilik posible da.

Sortu VeraCrypt bolumen arrunt bat (ez dinamikoa/ntfs), ez luke arazorik egon behar.

Konfiguratu/sortu/ireki edukiontzi bat VeraCrypt GUI> GNU/Linux live usb-en (bolumena /media/veracrypt2-ra automatikoki muntatuko da, Windows OS bolumena /media/veracrypt1-era muntatuko da). Windows OS-aren babeskopia enkriptatutako bat sortzea GUI rsync erabiliz (grsync)laukiak markatuz.

Itxaron prozesua amaitu arte. Babeskopia amaitutakoan, enkriptatutako fitxategi bat izango dugu.

Era berean, sortu GNU/Linux OS-aren babeskopia bat rsync GUI-ko "Windows bateragarritasuna" kontrol-laukia desmarkatuz.

Arreta! sortu Veracrypt edukiontzi bat "GNU/Linux backup" fitxategi-sisteman ext4. ntfs edukiontzi batean babeskopia egiten baduzu, kopia hori leheneratzen duzunean, zure datu guztien eskubide/talde guztiak galduko dituzu.

Eragiketa guztiak terminalean egin daitezke. Rsync-erako oinarrizko aukerak:
* -g -taldeak gorde;
* -P —progress — fitxategian lanean emandako denboraren egoera;
* -H - kopiatu esteka gogorrak dauden bezala;
* -a -artxibo modua (rlptgoD bandera anitz);
* -v -berbalizazioa.

"Windows VeraCrypt bolumena" muntatu nahi baduzu kontsolaren bidez cryptsetup softwarean, alias bat sor dezakezu (su)

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

Orain "veramount pictures" komandoak pasaesaldi bat idazteko eskatuko dizu, eta enkriptatutako Windows sistemaren bolumena sistema eragilean muntatuko da.

Mapeatu/muntatu VeraCrypt sistemaren bolumena cryptsetup komandoan

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

Mapeatu/muntatu VeraCrypt partizioa/edukiontzia cryptsetup komandoan

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

Aliasaren ordez, (abiarazterako script bat) sistemaren bolumen bat gehituko dugu Windows OSa eta enkriptatutako ntfs disko logiko bat GNU/Linux abiaraztera.

Sortu script bat eta gorde ~/VeraOpen.sh-en

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

Eskubide "zuzenak" banatzen ditugu:

sudo chmod 100 /VeraOpen.sh

Sortu bi fitxategi berdin (izen bera!) /etc/rc.local eta ~/etc/init.d/rc.local-en
Fitxategiak betetzea

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

Eskubide "zuzenak" banatzen ditugu:

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local 

Hori da, orain GNU/Linux kargatzean ez dugu pasahitzak sartu behar ntfs diskoak muntatzeko, diskoak automatikoki muntatzen dira.

E1 paragrafoan urratsez urrats goian deskribatutakoari buruzko ohar labur bat (baina orain OS GNU/Linux-erako)
1) Sortu bolumen bat fs ext4 > 4gb (fitxategirako) Linux-en Veracrypt-en [Cryptbox].
2) Berrabiarazi usb bizitzeko.
3) ~$ cryptsetup ireki /dev/sda7 Lunux #mapping enkriptatutako partizioa.
4) ~$ mount /dev/mapper/Linux /mnt #muntatu enkriptatutako partizioa /mnt-en.
5) ~$ mkdir mnt2 # etorkizuneko babeskopia egiteko direktorio bat sortzea.
6) ~$ cryptsetup ireki —veracrypt — idatzi tcrypt ~/CryptoBox CryptoBox && muntatu /dev/mapper/CryptoBox /mnt2 #Map "CryptoBox" izeneko Veracrypt bolumen bat eta muntatu CryptoBox /mnt2-n.
7) ~$ rsync -avlxhHX —progress /mnt /mnt2/ #enkriptatutako partizio baten babeskopia eragiketa Veracrypt enkriptatutako bolumen batean.

(p/s/ Arreta! GNU/Linux enkriptatutako arkitektura/makina batetik bestera transferitzen ari bazara, adibidez, Intel > AMD (hau da, enkriptatutako partizio batetik babeskopia bat zabaltzea Intel > AMD partizio enkriptatutako beste batera), Ez ahaztu Enkriptatutako sistema eragilea transferitu ondoren, editatu ordezko gako sekretua pasahitza ordez, agian. aurreko gakoa ~/etc/skey - ez da gehiago enkriptatutako partizio batera egokituko, eta ez da gomendagarria "cryptsetup luksAddKey" gako berri bat sortzea chroot azpitik - akats bat posible da, ~/etc/crypttab-en bakarrik zehaztu ordez. "/etc/skey" aldi baterako "none" ", berrabiarazi eta sistema eragilean saioa hasi ondoren, birsortu zure komodin gako sekretua berriro).

IT beterano gisa, gogoratu enkriptatutako Windows/Linux OS partizioen goiburuen babeskopiak banan-banan egitea, bestela enkriptatzea zure aurka egingo da.
Urrats honetan, enkriptatutako sistema eragilearen babeskopia osatu da.

[F] GRUB2 abiarazlearen aurkako erasoa

XehetasunakZure abio-kargatzailea sinadura digital batekin eta/edo autentifikazioarekin babestu baduzu (ikus C6 puntua.), orduan honek ez du sarbide fisikotik babestuko. Enkriptatutako datuak oraindik eskuraezinak izango dira, baina babesa saihestuko da (berrezarri sinadura digitalaren babesa) GRUB2-k ziber-gaizto bati bere kodea abioko kargatzailean sartzeko aukera ematen dio susmorik sortu gabe (erabiltzaileak eskuz abiarazlearen egoera kontrolatzen ez badu edo grub.cfg-rako bere script arbitrario-kode sendoa sortzen ez badu).

Eraso algoritmoa. Intrusa

* PCa abiarazte zuzeneko usb-etik. Edozein aldaketa (urratzailea) fitxategiak ordenagailuaren benetako jabeari jakinaraziko dio abio-kargatzailean sartu izanaren berri. Baina GRUB2 berrantolaketa sinple bat grub.cfg mantenduz (eta ondorengo editatzeko gaitasuna) Erasotzaile bati edozein fitxategi editatzeko aukera emango dio (egoera honetan, GRUB2 kargatzean, benetako erabiltzaileari ez zaio jakinaraziko. Egoera berdina da <0>)
* Zifratu gabeko partizio bat muntatzen du, "/mnt/boot/grub/grub.cfg" gordetzen du.
* Abio-kargatzailea berriro instalatzen du ("perskey" core.img iruditik kenduz)

grub-install --force --root-directory=/mnt /dev/sda6

* "grub.cfg" > "/mnt/boot/grub/grub.cfg" itzultzen du, behar izanez gero editatzen du, adibidez, zure modulua "keylogger.mod" gehitzen du kargagailuko moduluak dituen karpetan, "grub.cfg" atalean. > "insmod keylogger" lerroa. Edo, adibidez, etsaia maltzurra bada, GRUB2 berriro instalatu ondoren (Sinadura guztiak bere horretan dirau) GRUB2 irudi nagusia "grub-mkimage (-c) aukerarekin" erabiliz eraikitzen du. "-c" aukerak zure konfigurazioa kargatzeko aukera emango dizu "grub.cfg" nagusia kargatu aurretik. Konfigurazioa lerro bakarrekoa izan daiteke: edozein "modern.cfg" batera birbideratzea, adibidez, ~400 fitxategirekin nahastuta. (moduluak+sinadura) "/boot/grub/i386-pc" karpetan. Kasu honetan, erasotzaileak kode arbitrarioa txerta dezake eta moduluak kargatu "/boot/grub/grub.cfg" eragin gabe, erabiltzaileak fitxategiari "hashsum" aplikatu eta pantailan aldi baterako bistaratu arren.
Erasotzaileak ez du GRUB2 supererabiltzaileen saio-hasiera/pasahitza hackeatu beharko; lerroak kopiatu besterik ez ditu beharko. (autentifikazioaren arduraduna) "/boot/grub/grub.cfg" zure "modern.cfg"-ra

ezarri superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

Eta ordenagailuaren jabea GRUB2 supererabiltzaile gisa autentifikatuko da oraindik.

Katearen karga (abio-kargagailuak beste abiarazle bat kargatzen du), goian idatzi dudan bezala, ez du zentzurik (beste helburu batekin dago pentsatuta). Enkriptatutako abio-kargatzailea ezin da kargatu BIOS dela eta (kate-abioak GRUB2 berrabiarazten du > GRUB2 enkriptatutakoa, errorea!). Hala ere, oraindik kate-kargatzearen ideia erabiltzen baduzu, ziur egon zaitezke kargatzen ari den zifratua dela. (modernizatu gabe) "grub.cfg" enkriptatutako partiziotik. Eta hori ere segurtasun sentsazio faltsua da, "grub.cfg" enkriptatutakoan adierazten dena delako (modulua kargatzea) zifratu gabeko GRUB2-tik kargatzen diren moduluak gehitzen ditu.

Hau egiaztatu nahi baduzu, esleitu/zifratu beste partizio bat sdaY, kopiatu GRUB2 bertan (grub-install eragiketa enkriptatutako partizio batean ezin da) eta "grub.cfg"-n (zifratu gabeko konfigurazioa) aldatu honelako lerroak

menuentry 'GRUBx2' --class parrot --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
kargatu_bideoa
insmod gzio
if [ x$grub_platform = xxen ]; gero insmod xzio; insmod lzopio; fi
insmod part_msdos
insmod kriptodisko
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
normal /boot/grub/grub.cfg
}

lerroak
* insmod - enkriptatutako disko batekin lan egiteko beharrezko moduluak kargatzea;
* GRUBx2 - GRUB2 abiarazte menuan bistaratzen den lerroaren izena;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -ikus. fdisk -l (sda9);
* ezarri root - instalatu root;
* normal /boot/grub/grub.cfg - konfigurazio fitxategi exekutagarria enkriptatutako partizio batean.

Kargatzen den "grub.cfg" enkriptatutakoa dela ziurtatzeak erantzun positiboa da "sdaY" pasahitza sartzean/desblokeatzean GRUB menuan "GRUBx2" lerroa hautatzen denean.

CLIn lan egitean, ez nahasteko (eta egiaztatu "set root" ingurune-aldagaiak funtzionatu zuen), sortu token fitxategi hutsak, adibidez, "/shifr_grub" enkriptatutako atalean, "/noshifr_grub" zifratu gabeko atalean. CLI-n egiaztatzea

cat /Tab-Tab

Goian esan bezala, honek ez du lagunduko modulu gaiztoak deskargatzen, modulu horiek zure ordenagailuan amaitzen badira. Adibidez, tekla-sakatzeak fitxategi batean gorde eta beste fitxategi batzuekin nahastu ahal izango dituen tekla-erregistratzailea "~/i386"-n ordenagailurako sarbide fisikoa duen erasotzaile batek deskargatu arte.

Sinadura digitalaren babesa aktiboki funtzionatzen ari dela egiaztatzeko modurik errazena (ez berrezarri), eta inork ez du abiarazlea inbaditu, sartu komandoa CLI-n

list_trusted

erantzunez gure “perskey”-aren kopia bat jasotzen dugu, edo ez dugu ezer jasotzen erasotzen bagara ("set check_signatures=enforce" ere egiaztatu behar duzu).
Urrats honen desabantaila nabarmena komandoak eskuz sartzea da. Komando hau "grub.cfg"-era gehitzen baduzu eta konfigurazioa sinadura digital batekin babesten baduzu, pantailako gako-argazkiaren aurretiazko irteera denbora laburregia da eta baliteke GRUB2 kargatu ondoren irteera ikusteko astirik ez izatea. .
Ez dago bereziki inor aldarrikatzeko: garatzailea bere baitan dokumentazioa 18.2 klausulak ofizialki deklaratzen du

"Kontuan izan GRUB pasahitz babesarekin ere, GRUBek berak ezin duela eragotzi makinarako sarbide fisikoa duen norbaitek makina horren firmwarea (adibidez, Coreboot edo BIOS) konfigurazioa aldatzea makina beste gailu batetik (erasotzaileak kontrolatutako) abiarazteko. GRUB, onenean, esteka bakarra da abio-kate seguru batean."

GRUB2 gehiegi kargatuta dago segurtasun faltsuaren sentsazioa eman dezaketen funtzioekin, eta bere garapenak MS-DOS gainditu du dagoeneko funtzionaltasun aldetik, baina abio-kargatzailea besterik ez da. Dibertigarria da GRUB2 - "bihar" OS bihur daitekeela, eta horretarako GNU/Linux makina birtual abiarazgarriak bihur daitezkeela.

Bideo labur bat GRUB2 sinadura digitalaren babesa berrezarri eta nire intrusioa benetako erabiltzaile bati deklaratu diodan (Beldurtu zaitut, baina bideoan agertzen denaren ordez, kaltegabeko kode arbitrario/.mod idatz dezakezu).

Ondorioak:

1) Windows-en bloke-sistemaren enkriptatzea errazagoa da inplementatzen, eta pasahitz batekin babestea erosoagoa da GNU/Linux bloke-sistemaren enkriptatzea duten hainbat pasahitz babestea baino, bidezkoa izateko: azken hau automatizatua da.

2) Artikulua garrantzitsua eta zehatza bezala idatzi dut erraz VeraCrypt/LUKS disko osoko enkriptatzeari buruzko gida bat makina etxean, RuNet-en (IMHO) onena dena. Gidak > 50 karaktere ditu, beraz, ez zituen kapitulu interesgarri batzuk jorratu: itzalean desagertzen diren/itzaltzen diren kriptografoak; GNU/Linux-eko hainbat liburutan kriptografiari buruz gutxi/ez idazten dutelako; Errusiako Federazioaren Konstituzioaren 51. artikuluari buruz; O lizentzia ematea/debeku enkriptatzea Errusiako Federazioan, zergatik enkriptatu behar duzun "root/boot". Gida nahiko zabala izan zen, baina zehatza. (urrats sinpleak ere deskribatuz), aldi berean, honek denbora asko aurreztuko dizu "benetako enkriptaziora" iristen zarenean.

3) Disko osoa enkriptatzea Windows 7 64-n egin zen; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.

4) Eraso arrakastatsua ezarri du bere GRUB2 abiarazlea.

5) Tutoriala CISeko pertsona paranoiko guztiei laguntzeko sortu zen, non enkriptazioarekin lan egitea baimenduta dagoen legegintzaldian. Eta, batez ere, konfiguratutako sistemak eraitsi gabe disko osoko enkriptatzea zabaldu nahi dutenentzat.

6) Nire eskuliburua berritu eta eguneratu du, 2020an garrantzitsua dena.

[G] Dokumentazio erabilgarria

1. TrueCrypt erabiltzailearen gida (2012ko otsaila RU)
2. VeraCrypt Dokumentazioa
3. /usr/share/doc/cryptsetup(-run) [tokiko baliabidea] (GNU/Linux enkriptatzea cryptsetup erabiliz konfiguratzeko dokumentazio zehatza)
4. Ohiko kripto-konfigurazio ofiziala (GNU/Linux enkriptatzea cryptsetup erabiliz konfiguratzeko dokumentazio laburra)
5. LUKS gailuaren enkriptatzea (archlinux dokumentazioa)
6. cryptsetup sintaxiaren deskribapen zehatza (arku man orria)
7. crypttab-en deskribapen zehatza (arku man orria)
8. GRUB2 dokumentazio ofiziala.

Etiketak: disko osoa enkriptatzea, partizioaren enkriptatzea, Linux disko osoa enkriptatzea, LUKS1 sistema osoa enkriptatzea.

Erregistratutako erabiltzaileek soilik parte hartu dezakete inkestan. Hasi saioa, mesedez.

Zifratzen ari al zara?

• 17,1%Ahal dudan guztia enkriptatzen dut. Paranoia naiz.14

• 34,2%Datu garrantzitsuak soilik zifratzen ditut.28

• 14,6%Batzuetan enkriptatzen dut, beste batzuetan ahazten dut.12

• 34,2%Ez, ez dut enkriptatzen, deserosoa eta garestia da.28

82 erabiltzailek eman dute botoa. 22 erabiltzaile abstenitu ziren.

Iturria: www.habr.com