🥇 Täysi levyn salaus Windows Linux -asennetuissa järjestelmissä. Salattu Multiboot

Päivitetty oma opas koko levyn salaukseen RuNet V0.2:ssa.

Cowboy-strategia:

[A] Asennetun järjestelmän Windows 7 -järjestelmälohkon salaus;
[B] GNU/Linux-järjestelmälohkon salaus (Debian) asennettu järjestelmä (mukaan lukien /boot);
[C] GRUB2-kokoonpano, käynnistyslataimen suojaus digitaalisella allekirjoituksella/todennus/hashing;
[D] stripping – salaamattoman tiedon tuhoaminen;
[E] salatun käyttöjärjestelmän yleinen varmuuskopio;
[F] hyökkäys <kohteeseen [C6]> - GRUB2 käynnistyslatain;
[G]hyödyllinen dokumentaatio.

╭───Kaavio #huone 40# :
├──╼ Windows 7 asennettu - täydellinen järjestelmän salaus, ei piilotettu;
├──╼ GNU/Linux asennettuna (Debian ja johdannaiset jakelut) - täydellinen järjestelmän salaus, ei piilotettu(/, mukaan lukien /boot; swap);
├──╼ itsenäiset käynnistyslataimet: VeraCrypt käynnistyslatain on asennettu MBR:ään, GRUB2 käynnistyslatain on asennettu laajennettuun osioon;
├──╼käyttöjärjestelmän asennusta/uudelleenasennusta ei vaadita;
└──╼Käytetty salausohjelmisto: VeraCrypt; Salausasetukset; GnuPG; Merihevonen; Hashdeep; GRUB2 on ilmainen / ilmainen.

Yllä oleva järjestelmä ratkaisee osittain "etäkäynnistyksen flash-asemalle" -ongelman, antaa sinun nauttia salatusta käyttöjärjestelmästä Windows/Linux ja vaihtaa tietoja "salatun kanavan" kautta käyttöjärjestelmästä toiseen.

PC:n käynnistysjärjestys (yksi vaihtoehdoista):

koneen käynnistäminen;
VeraCrypt-käynnistyslataimen lataaminen (oikean salasanan kirjoittaminen jatkaa Windows 7:n käynnistystä);
"Esc"-näppäimen painaminen lataa GRUB2-käynnistyslataimen;
GRUB2 käynnistyslatain (valitse jakelu/GNU/Linux/CLI), vaatii GRUB2-pääkäyttäjän todennuksen <login/password>;
onnistuneen todennuksen ja jakelun valinnan jälkeen sinun on annettava tunnuslause avataksesi "/boot/initrd.img";
virheettömän salasanan syöttämisen jälkeen GRUB2 "vaatii" salasanan syöttämisen (kolmanneksi BIOS-salasana tai GNU/Linux-käyttäjätilin salasana – älä harkitse) GNU/Linux OS:n lukituksen avaamiseen ja käynnistämiseen tai salaisen avaimen automaattiseen korvaamiseen (kaksi salasanaa + avain tai salasana + avain);
ulkoinen tunkeutuminen GRUB2-kokoonpanoon pysäyttää GNU/Linuxin käynnistysprosessin.

Hankala? Ok, automatisoidaan prosesseja.

Kun kiintolevy osioidaan (MBR-taulukko) PC:ssä voi olla enintään 4 pääosiota tai 3 pääosiota ja yksi laajennettu alue sekä jakamaton alue. Laajennettu osio, toisin kuin pääosa, voi sisältää alaosia (loogiset asemat = laajennettu osio). Toisin sanoen kiintolevyn "laajennettu osio" korvaa LVM:n käsillä olevassa tehtävässä: täydellisessä järjestelmän salauksessa. Jos levysi on jaettu 4 pääosioon, sinun on käytettävä lvm:ää tai muuntamista (muotoilun kanssa) osiosta pääosasta edistyneeseen tai käytä viisaasti kaikkia neljää osiota ja jätä kaikki ennalleen, jolloin saat halutun tuloksen. Vaikka sinulla olisi yksi osio levylläsi, Gparted auttaa sinua osioimaan kiintolevysi (lisäosille) ilman tietojen menetystä, mutta silti pienellä rangaistuksella sellaisista toimista.

Alla olevassa taulukossa on esitetty kiintolevyasettelu, johon liittyen koko artikkeli verbalisoidaan.

Taulukko (nro 1) 1 Tt:n osioista.

Sinullakin pitäisi olla jotain vastaavaa.
sda1 - pääosio nro 1 NTFS (salattu);
sda2 - laajennettu osiomerkki;
sda6 - looginen levy (Siellä on GRUB2-käynnistyslatain asennettuna);
sda8 - swap (salattu swap-tiedosto/ei aina);
sda9 - testaa loogista levyä;
sda5 - looginen levy uteliaille;
sda7 - GNU/Linux OS (siirretty käyttöjärjestelmä salatulle loogiselle levylle);
sda3 - pääosio nro 2 Windows 7 -käyttöjärjestelmällä (salattu);
sda4 - pääosa nro 3 (se sisälsi salaamattoman GNU/Linuxin, käytetty varmuuskopiointiin/ei aina).

[A] Windows 7 -järjestelmälohkosalaus

A1. VeraCrypt

Ladataan kohteesta virallinen sivustotai peilistä SourceForge VeraCrypt-salausohjelmiston asennusversio (artikkelin v1.24-Update3 julkaisuhetkellä VeraCryptin kannettava versio ei sovellu järjestelmän salaukseen). Tarkista ladatun ohjelmiston tarkistussumma

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

ja vertaa tulosta VeraCrypt-kehittäjäsivustolle julkaistuun CS:ään.

Jos HashTab-ohjelmisto on asennettu, se on vielä helpompaa: RMB (VeraCrypt Setup 1.24.exe)-ominaisuudet - tiedostojen hash-summa.

Ohjelman allekirjoituksen tarkistamiseksi ohjelmisto ja kehittäjän julkinen pgp-avain on asennettava järjestelmään gnuPG; gpg4win.

A2. VeraCrypt-ohjelmiston asennus/käyttö järjestelmänvalvojan oikeuksin

A3. Järjestelmän salausparametrien valinta aktiiviselle osiolleVeraCrypt – Järjestelmä – Salaa järjestelmäosio/levy – Normaali – Salaa Windows-järjestelmäosio – Multiboot – (varoitus: "Kokemattomia käyttäjiä ei suositella käyttämään tätä menetelmää" ja tämä on totta, hyväksymme "Kyllä") – Käynnistyslevy ("kyllä", vaikka ei niin, silti "kyllä") – Järjestelmälevyjen määrä "2 tai enemmän" - Useita järjestelmiä yhdellä levyllä "Kyllä" - Ei-Windows-käynnistyslataus "Ei" (itse asiassa "Kyllä", mutta VeraCrypt/GRUB2-käynnistyslataimet eivät jaa MBR:ää keskenään; tarkemmin sanottuna vain pienin osa käynnistyslataimen koodista on tallennettu MBR/käynnistysrataan, pääosa siitä on sijaitsee tiedostojärjestelmässä) – Multiboot – Salausasetukset…

Jos poikkeat yllä olevista vaiheista (estä järjestelmän salausjärjestelmät), VeraCrypt antaa varoituksen eikä salli sinun salata osiota.

Seuraavassa vaiheessa kohti kohdennettua tietosuojaa suorita "Testi" ja valitse salausalgoritmi. Jos sinulla on vanhentunut prosessori, todennäköisimmin nopein salausalgoritmi on Twofish. Jos suoritin on tehokas, huomaat eron: AES-salaus on testitulosten mukaan useita kertoja nopeampi kuin sen kryptokilpailijat. AES on suosittu salausalgoritmi; nykyaikaisten suorittimien laitteisto on erityisesti optimoitu sekä "salaiseen" että "hakkerointiin".

VeraCrypt tukee kykyä salata levyjä AES-kaskadissa(kaksikala)/ja muita yhdistelmiä. Vanhalla Intelin ydinprosessorilla kymmenen vuoden takaa (ilman laitteistotukea AES:lle, A/T-sarjan salaukselle) Suorituskyvyn heikkeneminen on käytännössä huomaamatonta. (saman aikakauden/~parametrien AMD-suorittimien suorituskyky on hieman heikentynyt). Käyttöjärjestelmä toimii dynaamisesti ja läpinäkyvän salauksen resurssien kulutus on näkymätön. Sitä vastoin esimerkiksi suorituskyky on laskenut huomattavasti asennetun epävakaan testityöpöytäympäristön Mate v1.20.1 takia (tai v1.20.2, en muista tarkasti) GNU/Linuxissa tai Windows7↑ telemetriarutiinin toiminnan vuoksi. Tyypillisesti kokeneet käyttäjät suorittavat laitteiston suorituskykytestejä ennen salausta. Esimerkiksi Aida64/Sysbench/systemd-analyze:ssä syyllistämistä verrataan samojen testien tuloksiin järjestelmän salauksen jälkeen, mikä kumoaa itselleen myytin, jonka mukaan "järjestelmän salaus on haitallista". Koneen hidastuminen ja vaikeudet ovat havaittavissa salattujen tietojen varmuuskopioinnissa/palautuksessa, koska itse "järjestelmän tietojen varmuuskopiointi" -toimintoa ei mitata ms:ssä ja samat <decrypt/encrypt on lennossa> lisätään. Viime kädessä jokainen salaustekniikan parissa työskentelevä käyttäjä tasapainottaa salausalgoritmin käsillä olevien tehtävien tyytyväisyyteen, vainoharhaisuuden tasoon ja helppokäyttöisyyteen.

On parempi jättää PIM-parametri oletusarvoksi, jotta käyttöjärjestelmää ladatessasi sinun ei tarvitse syöttää tarkkoja iteraatioarvoja joka kerta. VeraCrypt käyttää valtavaa määrää iteraatioita luodakseen todella "hitaan tiivisteen". Hyökkäys tällaista "salauksen etanaa" vastaan Brute force/Rainbow tables -menetelmällä on järkevää vain lyhyellä "yksinkertaisella" salalauseella ja uhrin henkilökohtaisella merkkiluettelolla. Salasanan vahvuudesta maksettava hinta on viive oikean salasanan syöttämisessä käyttöjärjestelmää ladattaessa. (VeraCrypt-taltioiden asentaminen GNU/Linuxissa on huomattavasti nopeampaa).
Ilmainen ohjelmisto raa'an voiman hyökkäysten toteuttamiseen (poimia tunnuslause VeraCrypt/LUKS-levyn otsikosta) Hashcat. John the Viiltäjä ei osaa "murtaa Veracryptia", eikä LUKSin kanssa työskennellessään ymmärrä Twofishin salausta.

Salausalgoritmien kryptografisen vahvuuden vuoksi pysäyttämättömät cypherpunkit kehittävät ohjelmistoja, joilla on erilainen hyökkäysvektori. Esimerkiksi metatietojen/avainten purkaminen RAM-muistista (kylmä käynnistys / suora muistin käyttöhyökkäys), Näihin tarkoituksiin on olemassa erikoistuneita ilmaisia ja ei-vapaita ohjelmistoja.

Kun salatun aktiivisen osion "ainutlaatuiset metatiedot" on määritetty/luotettu, VeraCrypt tarjoaa mahdollisuuden käynnistää tietokoneen uudelleen ja testata käynnistyslataimen toimivuutta. Windowsin uudelleenkäynnistyksen/käynnistyksen jälkeen VeraCrypt latautuu valmiustilassa, jäljellä on vain vahvistaa salausprosessi - Y.

Järjestelmän salauksen viimeisessä vaiheessa VeraCrypt tarjoaa varmuuskopion luomista aktiivisen salatun osion otsikosta muodossa "veracrypt pelastuslevy.iso" - tämä on tehtävä - tässä ohjelmistossa tällainen toiminto on pakollinen (LUKSissa vaatimuksena - tämä on valitettavasti jätetty pois, mutta asiakirjoissa korostetaan). Pelastuslevy on hyödyllinen kaikille, ja joillekin useammin kuin kerran. Menetys (otsikko/MBR-uudelleenkirjoitus) otsikon varmuuskopio estää pysyvästi pääsyn salauksesta purettuun osioon OS Windowsissa.

A4. VeraCrypt-pelastus-USB-levyn luominenOletusarvoisesti VeraCrypt tarjoaa "~ 2-3 Mt metadataa" CD-levylle, mutta kaikilla ei ole levyjä tai DWD-ROM-asemia, ja käynnistettävän flash-aseman "VeraCrypt Rescue disk" luominen on tekninen yllätys joillekin: Rufus /GUIdd-ROSA ImageWriter ja muut vastaavat ohjelmistot eivät pysty selviytymään tehtävästä, koska offset-metatietojen kopioimisen lisäksi käynnistettävälle flash-asemalle sinun on kopioitava/liitettävä kuva USB-aseman tiedostojärjestelmän ulkopuolelle, lyhyesti sanottuna, kopioi MBR/tie oikein avainnippuun. Voit luoda käynnistettävän flash-aseman GNU/Linux OS:stä käyttämällä "dd"-apuohjelmaa katsomalla tätä merkkiä.

Pelastuslevyn luominen Windows-ympäristössä on eri asia. VeraCryptin kehittäjä ei sisällyttänyt ratkaisua tähän ongelmaan virallisessa asiakirjassa dokumentointi "pelastuslevyllä", mutta ehdotti ratkaisua toisella tavalla: hän julkaisi VeraCrypt-foorumilleen lisäohjelmiston "usb-pelastuslevyn" luomiseen. Tämän Windows-ohjelmiston arkistonhoitaja "luo usb veracrypt -pelastuslevyn". Kun pelastuslevy.iso on tallennettu, aktiivisen osion lohkojärjestelmän salaus alkaa. Salauksen aikana käyttöjärjestelmän toiminta ei pysähdy; tietokoneen uudelleenkäynnistystä ei tarvita. Kun salaus on suoritettu loppuun, aktiivinen osio tulee täysin salatuksi ja sitä voidaan käyttää. Jos VeraCrypt-käynnistyslataaja ei tule näkyviin, kun käynnistät tietokoneen, eikä otsikon palautustoiminto auta, tarkista käynnistyslippu, se on asetettava osioon, jossa Windows on läsnä. (salauksesta ja muusta käyttöjärjestelmästä riippumatta, katso taulukko nro 1).
Tämä täydentää Windows-käyttöjärjestelmän estojärjestelmän salauksen kuvauksen.

[B]LUKS. GNU/Linux-salaus (~Debian) asennettu käyttöjärjestelmä. Algoritmi ja vaiheet

Debian/johdannaisen jakelun salaamiseksi sinun on yhdistettävä valmis osio virtuaalilohkolaitteeseen, siirrettävä se yhdistetylle GNU/Linux-levylle ja asennettava/määritettävä GRUB2. Jos sinulla ei ole metallista palvelinta ja arvostat aikaasi, sinun on käytettävä graafista käyttöliittymää, ja useimmat alla kuvatuista päätekomennoista on tarkoitettu suoritettavaksi "Chuck-Norris-tilassa".

B1. PC:n käynnistys live-usb GNU/Linuxista

"Suorita kryptotesti laitteiston suorituskyvylle"

lscpu && сryptsetup benchmark

Jos olet AES-laitteistotuella varustetun tehokkaan auton onnellinen omistaja, numerot näyttävät terminaalin oikealta puolelta; jos olet onnellinen omistaja, mutta antiikkilaitteistolla, numerot näyttävät vasemmalta puolelta.

B2. Levyn osiointi. fs-loogisen kiintolevyn liittäminen/alustaminen Ext4:ään (Gparted)

B2.1. Salatun sda7-osion otsikon luominenKuvaan osioiden nimet tässä ja edelleen yllä lähetetyn osiotaulukkoni mukaisesti. Levyasettelusi mukaan sinun on korvattava osioiden nimet.

Loogisen aseman salauskartoitus (/dev/sda7 > /dev/mapper/sda7_crypt).
#Helppo "LUKS-AES-XTS-osion" luominen

cryptsetup -v -y luksFormat /dev/sda7

Vaihtoehdot:

* luksFormat - LUKS-otsikon alustus;
* -y -salasana (ei avain/tiedosto);
* -v -verbalisointi (tietojen näyttäminen terminaalissa);
* /dev/sda7 - looginen levysi laajennetusta osiosta (jossa on tarkoitus siirtää/salata GNU/Linux).

Oletussalausalgoritmi <LUKS1: aes-xts-plain64, avain: 256 bittiä, LUKS-otsikon hajautus: sha256, RNG: /dev/urandom> (riippuu kryptausasetuksen versiosta).

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

Jos prosessorissa ei ole laitteistotukea AES:lle, paras valinta olisi luoda laajennettu "LUKS-Twofish-XTS-osio".

B2.2. Edistynyt "LUKS-Twofish-XTS-osion" luominen

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

Vaihtoehdot:
* luksFormat - LUKS-otsikon alustus;
* /dev/sda7 on tuleva salattu looginen levysi;
* -v verbalisointi;
* -y tunnuslause;
* -c Valitse tietojen salausalgoritmi;
* -s salausavaimen koko;
* -h hajautusalgoritmi/salaustoiminto, käytetty RNG (--use-urandom) luodaan ainutlaatuinen salaus/salauksenpurkuavain loogista levyotsikkoa varten, toissijainen otsikkoavain (XTS); ainutlaatuinen pääavain, joka on tallennettu salattuun levyotsikkoon, toissijainen XTS-avain, kaikki nämä metatiedot ja salausrutiini, joka käyttää pääavainta ja toissijaista XTS-avainta salaa/purkaa osion tiedot. (paitsi osion otsikko) tallennettu ~3 Mt valitulle kiintolevyosioon.
* -i iteraatiot millisekunteina "summan" sijaan (salalauseen käsittelyn aikaviive vaikuttaa käyttöjärjestelmän lataukseen ja avainten kryptografiseen vahvuuteen). Salauksen voimakkuuden tasapainon säilyttämiseksi yksinkertaisella salasanalla, kuten "venäläinen", sinun on lisättävä -(i)-arvoa; monimutkaisella salasanalla, kuten "?8dƱob/øfh", arvoa voidaan pienentää.
* - käytä satunnaislukugeneraattoria, luo avaimia ja suolaa.

Osion sda7 > sda7_crypt kartoituksen jälkeen (Toiminto on nopea, koska salattu otsikko luodaan ~3 Mt metatiedolla ja siinä kaikki), sinun on alustettava ja asennettava sda7_crypt-tiedostojärjestelmä.

B2.3. Vertailu

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

vaihtoehdot:
* avoin - täsmää osio "nimellä";
* /dev/sda7 -looginen levy;
* sda7_crypt - nimikartoitus, jota käytetään salatun osion liittämiseen tai alustamiseen käyttöjärjestelmän käynnistyessä.

B2.4. sda7_crypt-tiedostojärjestelmän alustaminen muotoon ext4. Levyn asentaminen käyttöjärjestelmään(Huomaa: et voi työskennellä salatun osion kanssa Gpartedissa)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt

vaihtoehdot:
* -v -verbalisointi;
* -L - aseman nimi (joka näkyy Explorerissa muiden asemien joukossa).

Seuraavaksi sinun tulee liittää virtuaalisesti salattu lohkolaite /dev/sda7_crypt järjestelmään

mount /dev/mapper/sda7_crypt /mnt

/mnt-kansiossa olevien tiedostojen käsittely salaa/purkaa tiedot automaattisesti sda7:ssä.

Osion kartoittaminen ja asentaminen Explorerissa on kätevämpää (nautilus/caja GUI), osio on jo levyvalintaluettelossa, sinun tarvitsee vain syöttää tunnuslause levyn avaamista/salauksen purkamista varten. Vastaava nimi valitaan automaattisesti, eikä "sda7_crypt", vaan jotain kuten /dev/mapper/Luks-xx-xx...

B2.5. Levyn otsikon varmuuskopio (~3 Mt metadataa)Yksi niistä tärkeä toiminnot, jotka on suoritettava viipymättä - "sda7_crypt"-otsikon varmuuskopio. Jos korvaat/vaurioitat otsikon (esimerkiksi GRUB2:n asentaminen sda7-osioon jne.), salatut tiedot menetetään kokonaan ilman mahdollisuutta palauttaa niitä, koska samoja avaimia ei voida luoda uudelleen; avaimet luodaan yksilöllisesti.

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

vaihtoehdot:
* luksHeaderBackup —header-backup-file -backup-komento;
* luksHeaderRestore -header-backup-file -restore-komento;
* ~/Backup_DebSHIFR - varmuuskopiotiedosto;
* /dev/sda7 - osio, jonka salattu levyotsikon varmuuskopio on tarkoitus tallentaa.
Tässä vaiheessa <salatun osion luominen ja muokkaaminen> on valmis.

B3. GNU/Linux-käyttöjärjestelmän siirtäminen (sda4) salattuun osioon (sda7)

Luo kansio /mnt2 (Huomaa - työskentelemme edelleen live-usb:n kanssa, sda7_crypt on asennettu hakemistoon /mnt), ja liitä GNU/Linux hakemistoon /mnt2, joka on salattava.

mkdir /mnt2
mount /dev/sda4 /mnt2

Suoritamme oikean käyttöjärjestelmän siirron Rsync-ohjelmistolla

rsync -avlxhHX --progress /mnt2/ /mnt

Rsync-vaihtoehdot on kuvattu kappaleessa E1.

Edelleen, täytyy eheyttää loogisen levyosion

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

Tee siitä sääntö: tee e4defrag salatussa GNU/LINuxissa aika ajoin, jos sinulla on kiintolevy.
Siirto ja synkronointi [GNU/Linux > GNU/Linux-salattu] on suoritettu tässä vaiheessa.

KLO 4. GNU/Linuxin asettaminen salattuun sda7-osioon

Kun olet siirtänyt käyttöjärjestelmän /dev/sda4 > /dev/sda7 onnistuneesti, sinun on kirjauduttava sisään GNU/Linuxiin salatulla osiolla ja suoritettava lisäasetukset (ilman PC:n uudelleenkäynnistystä) verrattuna salattuun järjestelmään. Ole siis live-usb-tilassa, mutta suorita komennot "suhteessa salatun käyttöjärjestelmän juureen". "chroot" simuloi samanlaista tilannetta. Saat nopeasti tietoa siitä, minkä käyttöjärjestelmän kanssa työskentelet parhaillaan (salattu tai ei, koska sda4:n ja sda7:n tiedot synkronoidaan), desynkronoi käyttöjärjestelmä. Luo juurihakemistoihin (sda4/sda7_crypt) tyhjät merkkitiedostot, esimerkiksi /mnt/encryptedOS ja /mnt2/decryptedOS. Tarkista nopeasti, mikä käyttöjärjestelmä sinulla on käytössä (mukaan lukien tulevaisuutta varten):

ls /<Tab-Tab>

B4.1. "Salattuun käyttöjärjestelmään kirjautumisen simulointi"

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. Varmistetaan, että työ suoritetaan salattua järjestelmää vastaan

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. Salatun swapin luominen/määrittely, crypttab/fstab-tiedoston muokkaaminenKoska swap-tiedosto alustetaan joka kerta, kun käyttöjärjestelmä käynnistyy, ei ole järkevää luoda ja yhdistää loogiseen levyyn nyt ja kirjoittaa komentoja kappaleen B2.2 mukaisesti. Swapissa sen omat väliaikaiset salausavaimet luodaan automaattisesti jokaisen käynnistyksen yhteydessä. Swap-avainten elinkaari: swap-osion irrottaminen/irrottaminen (+RAM-muistin puhdistus); tai käynnistä käyttöjärjestelmä uudelleen. Swapin määrittäminen, lohkosalattujen laitteiden määrityksestä vastaavan tiedoston avaaminen (vastaa fstab-tiedostoa, mutta vastaa salauksesta).

nano /etc/crypttab

muokkaamme

#"kohteen nimi" "lähdelaite" "avaintiedosto" "asetukset"
swap /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512

Valinnat
* swap - yhdistetty nimi salattaessa /dev/mapper/swap.
* /dev/sda8 - käytä loogista osiota vaihtoon.
* /dev/urandom - satunnaisten salausavaimien generaattori vaihtoa varten (jokaisen uuden käyttöjärjestelmän käynnistyksen yhteydessä luodaan uudet avaimet). /dev/urandom-generaattori on vähemmän satunnainen kuin /dev/random, loppujen lopuksi /dev/random-generaattoria käytetään työskennellessä vaarallisissa vainoharhaisissa olosuhteissa. Käyttöjärjestelmää ladattaessa /dev/random hidastaa latausta useiden ± minuuttien ajan (katso systemd-analyze).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -osio tietää olevansa swap ja muotoiltu "vastaavasti"; salausalgoritmi.

#Открываем и правим fstab
nano /etc/fstab

muokkaamme

# swap oli päällä / dev / sda8 asennuksen aikana
/dev/mapper/swap ei mitään swap sw 0 0

/dev/mapper/swap on nimi, joka asetettiin crypttabissa.

Vaihtoehtoinen salattu vaihto
Jos et jostain syystä halua luopua koko osiosta sivutustiedostoa varten, voit valita vaihtoehtoisen ja paremman tavan: luoda swap-tiedoston tiedostoon salatussa osiossa käyttöjärjestelmässä.

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

Sivutusosion asennus on valmis.

B4.4. Salatun GNU/Linuxin määrittäminen (crypttab/fstab-tiedostojen muokkaaminen)/etc/crypttab-tiedosto, kuten yllä kirjoitettu, kuvaa salattuja lohkolaitteita, jotka määritetään järjestelmän käynnistyksen aikana.

#правим /etc/crypttab 
nano /etc/crypttab

jos täsmäsit sda7>sda7_crypt-osion kappaleen B2.1 mukaisesti

# "kohteen nimi" "lähdelaite" "avaintiedosto" "asetukset"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

jos täsmäsit sda7>sda7_crypt-osion kappaleen B2.2 mukaisesti

# "kohteen nimi" "lähdelaite" "avaintiedosto" "asetukset"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

jos vastasit sda7>sda7_crypt-osion kuten kappaleessa B2.1 tai B2.2, mutta et halua syöttää salasanaa uudelleen lukituksen avaamiseksi ja käyttöjärjestelmän käynnistämiseksi, voit salasanan sijasta korvata salaisen avaimen/satunnaistiedoston

# "kohteen nimi" "lähdelaite" "avaintiedosto" "asetukset"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

Kuvaus
* ei mitään - osoittaa, että käyttöjärjestelmää ladattaessa on annettava salainen tunnuslause juuren lukituksen avaamiseksi.
* UUID - osion tunniste. Saat selville tunnuksesi kirjoittamalla terminaaliin (muistutus siitä, että tästä lähtien työskentelet chroot-ympäristössä olevassa päätteessä etkä toisessa live-usb-päätteessä).

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

tämä rivi näkyy, kun pyydetään blkidia live-usb-päätteestä, jossa on sda7_crypt asennettuna).
Otat UUID:n sdaX:sta (ei sdaX_crypt!, UUID sdaX_crypt - jätetään automaattisesti luotaessa grub.cfg-asetusta).
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks-salaus edistyneessä tilassa.
* /etc/skey - salainen avaintiedosto, joka lisätään automaattisesti käyttöjärjestelmän käynnistyksen avaamiseksi (kolmannen salasanan syöttämisen sijaan). Voit määrittää minkä tahansa tiedoston kooltaan enintään 8 Mt, mutta tiedot luetaan <1 Mt.

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7

Se näyttää suunnilleen tältä:

(tee se itse ja katso itse).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab sisältää kuvailevia tietoja eri tiedostojärjestelmistä.

#Правим /etc/fstab
nano /etc/fstab

# "tiedostojärjestelmä" "liitoskohta" "tyyppi" "asetukset" "vedos" "hyväksytty"
# / oli päällä / dev / sda7 asennuksen aikana
/dev/mapper/sda7_crypt / ext4 errors=remount-ro 0 1

vaihtoehto
* /dev/mapper/sda7_crypt - sda7>sda7_crypt-kuvauksen nimi, joka määritetään /etc/crypttab-tiedostossa.
crypttab/fstab-asennus on valmis.

B4.5. Asetustiedostojen muokkaaminen. Keskeinen hetkiB4.5.1. Muokkaa konfiguraatiota /etc/initramfs-tools/conf.d/resume

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

ja kommentoida (jos on) "#" rivi "jatka". Tiedoston on oltava täysin tyhjä.

B4.5.2. Muokkaa konfiguraatiota /etc/initramfs-tools/conf.d/cryptsetup

nano /etc/initramfs-tools/conf.d/cryptsetup

pitäisi sopia

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=kyllä
vie CRYPTSETUP

B4.5.3. Muokkaa tiedostoa /etc/default/grub (tämä kokoonpano on vastuussa kyvystä luoda grub.cfg, kun työskentelet salatun /bootin kanssa)

nano /etc/default/grub

lisää rivi "GRUB_ENABLE_CRYPTODISK=y"
arvo 'y', grub-mkconfig ja grub-install tarkistavat salatut asemat ja luovat lisäkomentoja, joita tarvitaan niiden käyttämiseen käynnistyksen yhteydessä (insmods ).
täytyy olla yhtäläisyyttä

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=toimittaja"
GRUB_CMDLINE_LINUX="hiljainen splash noautomount"
GRUB_ENABLE_CRYPTODISK=y

B4.5.4. Muokkaa konfiguraatiota /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

tarkista että linja kommentoi <#>.
Tulevaisuudessa (ja nytkään tällä parametrilla ei ole mitään merkitystä, mutta joskus se häiritsee initrd.img-kuvan päivittämistä).

B4.5.5. Muokkaa konfiguraatiota /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

lisäämällä

KEYFILE_PATTERN=”/etc/skey”
UMASK=0077

Tämä pakkaa salaisen avaimen "skey" tiedostoon initrd.img, avainta tarvitaan juuren lukituksen avaamiseen käyttöjärjestelmän käynnistyessä (jos et halua syöttää salasanaa uudelleen, "näppäin" korvataan auton tilalla).

B4.6. Päivitä /boot/initrd.img [versio]Päivitä kuva, jos haluat pakata salaisen avaimen tiedostoon initrd.img ja ottaa käyttöön kryptausasetusten korjauksia

update-initramfs -u -k all

kun päivität initrd.img (kuten he sanovat "Se on mahdollista, mutta se ei ole varmaa") Näkyviin tulee salauksen asennukseen liittyviä varoituksia tai esimerkiksi ilmoitus Nvidia-moduulien katoamisesta - tämä on normaalia. Tarkista tiedoston päivityksen jälkeen, että se on todella päivitetty, katso aika (suhteessa chroot-ympäristöön./boot/initrd.img). Varoitus! ennen [update-initramfs -u -k all] varmista, että kryptausasetus on auki /dev/sda7 sda7_crypt - tämä on nimi, joka näkyy tiedostossa /etc/crypttab, muuten uudelleenkäynnistyksen jälkeen tulee busybox-virhe)
Tässä vaiheessa määritystiedostot on määritetty.

[C] GRUB2/Protectionin asennus ja konfigurointi

C1. Alusta tarvittaessa käynnistyslataimen omistettu osio (osion on oltava vähintään 20 Mt)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. Liitä /dev/sda6 hakemistoon /mntJoten työskentelemme chrootissa, jolloin juuressa ei ole /mnt2-hakemistoa ja /mnt-kansio on tyhjä.
asenna GRUB2-osio

mount /dev/sda6 /mnt

Jos sinulla on vanhempi versio GRUB2:sta asennettuna, hakemistossa /mnt/boot/grub/i-386-pc (muu alusta on mahdollinen, ei esimerkiksi "i386-pc") ei kryptomoduuleja (lyhyesti sanottuna kansion tulisi sisältää moduuleja, mukaan lukien nämä .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), tässä tapauksessa GRUB2:ta on ravistettava.

apt-get update
apt-get install grub2

Tärkeä! Kun päivität GRUB2-paketin arkistosta, kun sinulta kysytään käynnistyslataimen asennuspaikan valinnasta, sinun on hylättävä asennus (syy - yritä asentaa GRUB2 - "MBR":ssä tai live-usb:ssä). Muuten vaurioitat VeraCrypt-otsikon/lataimen. Kun GRUB2-paketit on päivitetty ja asennus peruutettu, käynnistyslatain on asennettava manuaalisesti loogiselle levylle, ei MBR:lle. Jos arkistossasi on vanhentunut GRUB2-versio, kokeile päivittää se on viralliselta verkkosivustolta - en ole tarkistanut sitä (toimii uusimpien GRUB 2.02 ~BetaX -käynnistyslatainten kanssa).

C3. GRUB2:n asentaminen laajennettuun osioon [sda6]Sinulla on oltava asennettu osio [kohde C.2]

grub-install --force --root-directory=/mnt /dev/sda6

vaihtoehtoja
* -pakota - käynnistyslataimen asennus, ohittaa kaikki melkein aina olemassa olevat varoitukset ja estää asennuksen (pakollinen lippu).
* --root-directory - hakemiston asennus sda6:n juureen.
* /dev/sda6 - sdaХ-osio (älä missaa välilyöntiä /mnt /dev/sda6).

C4. Määritystiedoston luominen [grub.cfg]Unohda "update-grub2" -komento ja käytä koko asetustiedoston luomiskomentoa

grub-mkconfig -o /mnt/boot/grub/grub.cfg

Kun grub.cfg-tiedosto on luotu/päivitetty, lähtöpäätteen tulee sisältää rivi(t) levyllä olevan käyttöjärjestelmän kanssa ("grub-mkconfig" todennäköisesti löytää ja poimii käyttöjärjestelmän live-usb:sta, jos sinulla on multiboot-flash-asema, jossa on Windows 10 ja joukko live-jakeluja - tämä on normaalia). Jos pääte on "tyhjä" ja "grub.cfg"-tiedostoa ei luoda, tämä on sama tapaus, kun järjestelmässä on GRUB-virheitä (ja luultavasti lataaja arkiston testihaaralta), asenna GRUB2 uudelleen luotettavista lähteistä.
"Yksinkertaisen konfiguroinnin" asennus ja GRUB2-asennus on valmis.

C5. Salatun GNU/Linux OS:n todistustestiSuoritamme kryptotehtävän oikein. Jätä salattu GNU/Linux varovasti (poistu chroot-ympäristöstä).

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

VeraCrypt-käynnistyslataimen pitäisi latautua tietokoneen uudelleenkäynnistyksen jälkeen.

*Aktiivisen osion salasanan syöttäminen aloittaa Windowsin lataamisen.
*Esc-näppäimen painaminen siirtää ohjauksen GRUB2:lle, jos valitset salatun GNU/Linuxin - salasanaa (sda7_crypt) vaaditaan /boot/initrd.img:n lukituksen avaamiseen (jos grub2 kirjoittaa uuid "ei löydy" - tämä on ongelma grub2-käynnistyslataimessa, se tulee asentaa uudelleen, esim. testihaaralta/vakaalta jne.).

*Riippuen siitä, kuinka määritit järjestelmän (katso kappale B4.4/4.5), kun olet antanut oikean salasanan /boot/initrd.img-tiedoston lukituksen avaamiseksi, tarvitset salasanan käyttöjärjestelmän ytimen/rootin lataamiseen tai salaisuuden avain korvataan automaattisesti "skey", jolloin salasanaa ei tarvitse kirjoittaa uudelleen.

(näyttö "salaisen avaimen automaattinen korvaaminen").

*Sitten seuraa tuttu prosessi ladata GNU/Linux käyttäjätilin todennuksella.

*Käyttäjän valtuutuksen ja käyttöjärjestelmään kirjautumisen jälkeen sinun on päivitettävä /boot/initrd.img uudelleen (katso B4.6).

update-initramfs -u -k all

Ja jos GRUB2-valikossa on ylimääräisiä rivejä (OS-m:n noudosta live-usb:llä) päästä niistä eroon

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

Nopea yhteenveto GNU/Linux-järjestelmän salauksesta:

GNU/Linuxinux on täysin salattu, mukaan lukien /boot/kernel ja initrd;
salainen avain on pakattu tiedostoon initrd.img;
nykyinen lupajärjestelmä (syöttämällä salasana initrd:n lukituksen avaamiseksi; salasana/avain käyttöjärjestelmän käynnistämiseksi; salasana Linux-tilin valtuuttamiseksi).

"Simple GRUB2 Configuration" -järjestelmän lohkoosion salaus on valmis.

C6. Edistynyt GRUB2-kokoonpano. Bootloader-suojaus digitaalisella allekirjoituksella + todennussuojausGNU/Linux on täysin salattu, mutta käynnistyslatainta ei voi salata - tämän ehdon määrää BIOS. Tästä syystä GRUB2:n ketjutettu salattu käynnistys ei ole mahdollista, mutta yksinkertainen ketjutettu käynnistys on mahdollista/saatavilla, mutta turvallisuusnäkökulmasta se ei ole välttämätöntä [katso P. F].
"Haavoittuvaiselle" GRUB2:lle kehittäjät ottivat käyttöön "allekirjoitus/todennus" -käynnistyslataimen suojausalgoritmin.

Kun käynnistyslatain on suojattu "omalla digitaalisella allekirjoituksellaan", tiedostojen ulkoinen muokkaaminen tai yritys ladata lisämoduuleja tähän käynnistyslataimeen johtaa käynnistysprosessin estymiseen.
Kun suojaat käynnistyslatainta todennuksella, sinun on syötettävä superuser-GRUB2:n kirjautumistunnus ja salasana, jotta voit valita jakelun lataamisen tai syöttää lisäkomentoja CLI:hen.

C6.1. Bootloader-todennussuojausTarkista, että työskentelet päätteessä salatussa käyttöjärjestelmässä

ls /<Tab-Tab> #обнаружить файл-маркер

Luo pääkäyttäjän salasana valtuutusta varten GRUB2:ssa

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя.

Hae salasanan tiiviste. Jotain tällaista

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

asenna GRUB-osio

mount /dev/sda6 /mnt

muokkaa asetusta

nano -$ /mnt/boot/grub/grub.cfg

tarkista tiedostohaku, ettei "grub.cfg" -tiedostossa ole lippuja ("-unrestricted" "-user",
lisää aivan loppuun (ennen riviä ### END /etc/grub.d/41_custom ###)
"set superusers="root"
password_pbkdf2 root hash."

Sen pitäisi olla jotain tällaista

# Tämä tiedosto tarjoaa helpon tavan lisätä mukautettuja valikkokohtia. Kirjoita vain
# valikkokohtaa, jotka haluat lisätä tämän kommentin jälkeen. Varo, ettet muuta
# yllä oleva exec tail -rivi.
### END /etc/grub.d/40_custom ###

### BEGIN /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; sitten
lähde ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; sitten
lähde $prefix/custom.cfg;
fi
set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

Jos käytät usein komentoa "grub-mkconfig -o /mnt/boot/grub/grub.cfg" etkä halua tehdä muutoksia tiedostoon grub.cfg joka kerta, kirjoita yllä olevat rivit (Kirjautumissalasana) GRUB-käyttäjäkomentosarjassa aivan alareunassa

nano /etc/grub.d/41_custom

kissa <<EOF
set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

Kun luodaan konfiguraatio "grub-mkconfig -o /mnt/boot/grub/grub.cfg", todennuksesta vastaavat rivit lisätään automaattisesti grub.cfg-tiedostoon.
Tämä vaihe päättää GRUB2-todennuksen asennuksen.

C6.2. Bootloader-suojaus digitaalisella allekirjoituksellaOletetaan, että sinulla on jo henkilökohtainen pgp-salausavain (tai luo tällainen avain). Järjestelmään tulee olla asennettuna kryptografinen ohjelmisto: gnuPG; kleopatra/GPA; Merihevonen. Salausohjelmistot tekevät elämästäsi paljon helpompaa kaikissa tällaisissa asioissa. Seahorse - vakaa versio paketista 3.14.0 (uudemmat versiot, esimerkiksi V3.20, ovat viallisia ja niissä on merkittäviä virheitä).

PGP-avain täytyy luoda/käynnistää/lisätä vain su-ympäristössä!

Luo henkilökohtainen salausavain

gpg - -gen-key

Vie avaimesi

gpg --export -o ~/perskey

Asenna looginen levy käyttöjärjestelmään, jos sitä ei ole jo asennettu

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

puhdista GRUB2-osio

rm -rf /mnt/

Asenna GRUB2 sda6:een ja laita yksityinen avaimesi GRUB-pääkuvaan "core.img"

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

vaihtoehtoja
* --force - asenna käynnistyslatain ohittaen kaikki aina olemassa olevat varoitukset (pakollinen lippu).
* —modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - kehottaa GRUB2:ta esilataamaan tarvittavat moduulit, kun tietokone käynnistyy.
* -k ~/perskey -polku "PGP-avaimeen" (kun avain on pakattu kuvaan, se voidaan poistaa).
* --root-directory -asettaa käynnistyshakemiston sda6:n juureen
/dev/sda6 - sdaX-osio.

Luodaan/päivitetään grub.cfg

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

Lisää rivi "trust /boot/grub/perskey" "grub.cfg"-tiedoston loppuun (pakota pgp-avaimen käyttö.) Koska asensimme GRUB2:n joukolla moduuleja, mukaan lukien allekirjoitusmoduuli "signature_test.mod", tämä eliminoi tarpeen lisätä konfiguraatioon komentoja, kuten "set check_signatures=enforce".

Sen pitäisi näyttää jotain tältä (loppurivit grub.cfg-tiedostossa)

### BEGIN /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; sitten
lähde ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; sitten
lähde $prefix/custom.cfg;
fi
luota /boot/grub/perskey
set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

Polun "/boot/grub/perskey" ei tarvitse osoittaa tiettyyn levyosioon, esimerkiksi hd0,6; itse käynnistyslataimessa "root" on sen osion oletuspolku, johon GRUB2 on asennettu. (katso set rot=..).

GRUB2:n allekirjoittaminen (kaikki tiedostot kaikissa /GRUB-hakemistoissa) avaimellasi "perskey".
Yksinkertainen ratkaisu allekirjoittamiseen (nautilus/caja explorer): asenna "seahorse" -laajennus Explorerille arkistosta. Avaimesi on lisättävä su-ympäristöön.
Avaa Explorer sudo "/mnt/boot" - RMB - merkillä. Näytöllä se näyttää tältä

Itse avain on "/mnt/boot/grub/perskey" (kopioi grub-hakemistoon) tulee myös allekirjoittaa omalla allekirjoituksellasi. Tarkista, että [*.sig]-tiedoston allekirjoitukset näkyvät hakemistossa/alihakemistoissa.
Käytä yllä kuvattua menetelmää ja allekirjoita "/boot" (ytimen, initrd). Jos aikasi on minkään arvoista, tämä menetelmä eliminoi tarpeen kirjoittaa bash-komentosarjan allekirjoittamaan "paljon tiedostoja".

Poistaaksesi kaikki käynnistyslataimen allekirjoitukset (jos jokin meni pieleen)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

Jotta käynnistyslatainta ei allekirjoiteta järjestelmän päivityksen jälkeen, jäädytämme kaikki GRUB2:een liittyvät päivityspaketit.

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

Tässä vaiheessa <suojaa käynnistyslatain digitaalisella allekirjoituksella> GRUB2:n edistynyt määritys on valmis.

C6.3. GRUB2-käynnistyslataimen todistustesti, suojattu digitaalisella allekirjoituksella ja todennuksellaGRUB2. Kun valitset minkä tahansa GNU/Linux-jakelun tai siirryt CLI:hen (komentorivi) Pääkäyttäjän valtuutus vaaditaan. Kun olet syöttänyt oikean käyttäjätunnuksen/salasanan, tarvitset initrd-salasanan

Kuvakaappaus GRUB2-pääkäyttäjän onnistuneesta todennuksesta.

Jos peukaloit jotakin GRUB2-tiedostoista/teet muutoksia tiedostoon grub.cfg, poistat tiedoston/allekirjoituksen tai lataat haitallisen module.mod-tiedoston, vastaava varoitus tulee näkyviin. GRUB2 keskeyttää latauksen.

Kuvakaappaus, yritys häiritä GRUB2:ta "ulkopuolelta".

"Normaalin" käynnistyksen aikana "ilman tunkeutumista" järjestelmän poistumiskoodin tila on "0". Siksi ei tiedetä, toimiiko suoja vai ei (eli "käynnistyslataimen allekirjoitussuojauksella tai ilman" normaalin latauksen aikana tila on sama "0" - tämä on huono).

Kuinka tarkistaa digitaalisen allekirjoituksen suojaus?

Epämukava tapa tarkistaa: väärennä/poista esimerkiksi GRUB2:n käyttämä moduuli, poista allekirjoitus luks.mod.sig ja saat virheilmoituksen.

Oikea tapa: mene käynnistyslataimen CLI:hen ja kirjoita komento

trust_list

Vastauksena sinun pitäisi saada "perskey"-sormenjälki; jos tila on "0", allekirjoituksen suojaus ei toimi, tarkista kohta C6.2.
Tässä vaiheessa edistynyt määritys "GRUB2:n suojaaminen digitaalisella allekirjoituksella ja todennuksella" on valmis.

C7 Vaihtoehtoinen menetelmä GRUB2-käynnistyslataimen suojaamiseksi hajautustoiminnollaYllä kuvattu "CPU Boot Loader Protection/Authentication" -menetelmä on klassikko. GRUB2:n epätäydellisyydestä johtuen se on vainoharhaisissa olosuhteissa alttiina todelliselle hyökkäykselle, jonka annan alla kohdassa [F]. Lisäksi käyttöjärjestelmän/ytimen päivityksen jälkeen käynnistyslatain on allekirjoitettava uudelleen.

GRUB2-käynnistyslataimen suojaaminen hajautustoiminnolla

Edut klassikoihin verrattuna:

Korkeampi luotettavuustaso (tiivistys/vahvistus tapahtuu vain salatusta paikallisesta resurssista. GRUB2:n koko allokoitua osiota valvotaan mahdollisten muutosten varalta, ja kaikki muu on salattu; perinteisessä prosessorin lataussuojauksella/todennusta käyttävässä järjestelmässä vain tiedostoja ohjataan, mutta ei ilmaisia tila, johon voidaan lisätä "jotain" jotain synkkää").
Salattu kirjaus (ihmisen luettavissa oleva henkilökohtainen salattu loki lisätään järjestelmään).
Nopeus (GRUB2:lle varatun koko osion suojaus/tarkistus tapahtuu lähes välittömästi).
Kaikkien salausprosessien automatisointi.

Haitat klassikoihin verrattuna.

Allekirjoituksen väärentäminen (teoreettisesti on mahdollista löytää tietty hash-funktion törmäys).
Lisääntynyt vaikeustaso (klassiseen verrattuna tarvitaan hieman enemmän GNU/Linux OS -taitoja).

Kuinka GRUB2/osion hajautusidea toimii

GRUB2-osio on "allekirjoitettu"; kun käyttöjärjestelmä käynnistyy, käynnistyslatainosion muuttumattomuus tarkistetaan, minkä jälkeen kirjataan sisään suojattuun (salattuun) ympäristöön. Jos käynnistyslatain tai sen osio vaarantuu, tunkeutumislokin lisäksi käynnistetään seuraava:

Asia.

Samanlainen tarkistus tapahtuu neljä kertaa päivässä, mikä ei lataa järjestelmäresursseja.
Käyttämällä "-$ check_GRUB" -komentoa välitön tarkistus tapahtuu milloin tahansa ilman kirjaamista, mutta tiedot tulostetaan CLI:hen.
Käyttämällä komentoa "-$ sudo signature_GRUB", GRUB2-käynnistyslatain/osio allekirjoitetaan välittömästi uudelleen ja sen päivitetty lokikirjaus (tarvitaan käyttöjärjestelmän/käynnistyspäivityksen jälkeen), ja elämä jatkuu.

Hajautusmenetelmän toteutus käynnistyslataimelle ja sen osalle

0) Allekirjoitetaan GRUB-käynnistyslatain/osio asentamalla se ensin kansioon /media/username

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) Luomme skriptin ilman laajennusta salatun käyttöjärjestelmän ~/podpis juureen, käytämme siihen tarvittavat 744 suojausoikeudet ja idioottimaisen suojauksen.

Sen sisällön täyttäminen

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

Suorita skripti kohteesta su, GRUB-osion ja sen käynnistyslataimen hajautus tarkistetaan, tallenna loki.

Luodaan tai kopioidaan esimerkiksi "haitallinen tiedosto" [virus.mod] GRUB2-osioon ja suoritetaan väliaikainen tarkistus/testi:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

CLI:n täytyy nähdä hyökkäys linnoituksemme-#Leikattu kirjaus CLI:ssä

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

#Kuten näet, "Tiedostot siirretty: 1 ja tarkastus epäonnistui" tulee näkyviin, mikä tarkoittaa, että tarkistus epäonnistui.
Testattavan osion luonteesta johtuen "Uusia tiedostoja löydetty" > "Tiedostot siirretty" sijaan

2) Laita gif tähän > ~/warning.gif, aseta käyttöoikeudet arvoon 744.

3) Fstab:n määrittäminen liittämään GRUB-osio automaattisesti käynnistyksen yhteydessä

-$ sudo nano /etc/fstab

LABEL=GRUB /media/käyttäjänimi/GRUB ext4 oletusarvot 0 0

4) Tukin pyörittäminen

-$ sudo nano /etc/logrotate.d/podpis

/var/log/podpis.txt {
päivittäin
kierrä 50
koko 5M
päivämäärä
puristaa
delaycompress
olddir /var/log/old
}

/var/log/vtorjenie.txt {
kuukausittain
kierrä 5
koko 5M
päivämäärä
olddir /var/log/old
}

5) Lisää työ croniin

-$ sudo crontab -e

uudelleenkäynnistys '/tilaus'
0 */6 * * * '/podpis

6) Pysyvien aliasten luominen

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

Käyttöjärjestelmän päivityksen jälkeen -$ apt-get upgrade allekirjoita GRUB-osiomme uudelleen
-$ подпись_GRUB
Tässä vaiheessa GRUB-osion hajautussuojaus on valmis.

[D] Pyyhintä - salaamattomien tietojen tuhoaminen

Poista henkilökohtaiset tiedostosi niin täydellisesti, ettei edes Jumala voi lukea niitä, Etelä-Carolinan tiedottajan Trey Gowdyn mukaan.

Kuten tavallista, on olemassa erilaisia "myyttejä ja legendoja", tietojen palauttamisesta sen jälkeen, kun ne on poistettu kiintolevyltä. Jos uskot kybernoituksiin tai olet Dr-verkkoyhteisön jäsen etkä ole koskaan yrittänyt palauttaa tietoja sen poistamisen/korvaamisen jälkeen (esimerkiksi palautus R-studion avulla), niin ehdotettu menetelmä ei todennäköisesti sovi sinulle, käytä sitä, mikä on lähimpänä sinua.

Kun GNU/Linux on siirretty onnistuneesti salattuun osioon, vanha kopio on poistettava ilman mahdollisuutta palauttaa tietoja. Universaali puhdistusmenetelmä: ohjelmisto Windows/Linux-vapaa GUI-ohjelmisto BleachBit.
nopeasti muotoile osio, jonka tiedot on tuhottava (Gpartedin kautta) käynnistä BleachBit, valitse "Siivoa vapaa tila" - valitse osio (sdaX, jossa on aiempi kopio GNU/Linuxista), irrotusprosessi alkaa. BleachBit - pyyhkii levyn yhdellä kertaa - tätä "tarvitsemme", mutta! Tämä toimii vain teoriassa, jos alustat levyn ja puhdistit sen BB v2.0 -ohjelmistolla.

Huomio! BB pyyhkii levyn jättäen metatiedot; tiedostojen nimet säilyvät, kun tiedot poistetaan (Ccleaner - ei jätä metatietoja).

Ja myytti tietojen palauttamisen mahdollisuudesta ei ole täysin myytti.Bleachbit V2.0-2 entinen epävakaa käyttöjärjestelmän Debian-paketti (ja muut vastaavat ohjelmistot: sfill; wipe-Nautilus - myös huomattiin tässä likaisessa liiketoiminnassa) itse asiassa oli kriittinen virhe: "vapaan tilan tyhjennys" -toiminto se toimii väärin HDD/Flash-asemilla (ntfs/ext4). Tämän tyyppiset ohjelmistot, kun ne tyhjentävät vapaata tilaa, eivät korvaa koko levyä, kuten monet käyttäjät ajattelevat. Ja hieman (monta) poistetut tiedot Käyttöjärjestelmä/ohjelmisto pitää näitä tietoja ei-poistamattomina/käyttäjätiedoina ja "OSP:tä" puhdistaessaan ohittaa nämä tiedostot. Ongelmana on, että niin pitkän ajan jälkeen levyn puhdistaminen "poistetut tiedostot" voidaan palauttaa jopa yli 3 kertaa levyn pyyhkimisen jälkeen.
GNU/Linuxilla Bleachbitissä 2.0-2 Tiedostojen ja hakemistojen pysyvän poistamisen toiminnot toimivat luotettavasti, mutta eivät tyhjennä vapaata tilaa. Vertailun vuoksi: Windowsissa CCleanerissa "OSP for ntfs" -toiminto toimii oikein, eikä Jumala todellakaan pysty lukemaan poistettuja tietoja.

Ja niin, poistaa perusteellisesti "kompromissi" vanhaa salaamatonta dataa, Bleachbit tarvitsee suoran pääsyn näihin tietoihin, käytä sitten "Poista tiedostot/hakemistot pysyvästi" -toimintoa.
Jos haluat poistaa "poistetut tiedostot tavallisilla käyttöjärjestelmän työkaluilla" Windowsissa, käytä CCleaner/BB:tä "OSP"-toiminnon kanssa. GNU/Linuxissa tämän ongelman yli (poista poistetut tiedostot) sinun täytyy harjoitella itse (tietojen poistaminen + itsenäinen yritys palauttaa ne, eikä sinun pitäisi luottaa ohjelmistoversioon (jos ei kirjanmerkki, niin vika)), vain tässä tapauksessa voit ymmärtää tämän ongelman mekanismin ja päästä eroon poistetuista tiedoista kokonaan.

En ole testannut Bleachbit v3.0:aa, ongelma on ehkä jo korjattu.
Bleachbit v2.0 toimii rehellisesti.

Tässä vaiheessa levyn pyyhkiminen on valmis.

[E] Salatun käyttöjärjestelmän yleinen varmuuskopio

Jokaisella käyttäjällä on oma menetelmänsä tietojen varmuuskopiointiin, mutta salatut järjestelmäkäyttöjärjestelmän tiedot edellyttävät hieman erilaista lähestymistapaa tehtävään. Yhdistetyt ohjelmistot, kuten Clonezilla ja vastaavat ohjelmistot, eivät voi toimia suoraan salattujen tietojen kanssa.

Ilmoitus salattujen lohkolaitteiden varmuuskopiointiongelmasta:

yleisyys - sama varmuuskopiointialgoritmi/ohjelmisto Windowsille/Linuxille;
mahdollisuus työskennellä konsolissa minkä tahansa live-usb GNU/Linuxin kanssa ilman lisäohjelmistolatauksia (mutta suosittelen silti GUI:ta);
varmuuskopioiden turvallisuus – tallennettujen "kuvien" on oltava salattuja/salasanasuojattuja;
salatun tiedon koon on vastattava todellisen kopioitavan tiedon kokoa;
kätevä tarvittavien tiedostojen purkaminen varmuuskopiosta (koko osion salausta ei tarvitse purkaa ensin).

Esimerkiksi varmuuskopiointi/palautus "dd"-apuohjelman kautta

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

Se vastaa melkein kaikkia tehtävän kohtia, mutta kohdan 4 mukaan se ei kestä kritiikkiä, koska se kopioi koko levyosion, vapaa tila mukaan lukien - ei kiinnosta.

Esimerkiksi GNU/Linux-varmuuskopio arkistoinnin kautta [tar" | gpg] on kätevä, mutta Windowsin varmuuskopiointia varten sinun on etsittävä toinen ratkaisu - se ei ole kiinnostavaa.

E1. Universaali Windows/Linux-varmuuskopio. Linkitä rsync (Grsync)+VeraCrypt-taltioVarmuuskopion luomisalgoritmi:

salatun säilön luominen (levy/tiedosto) VeraCrypt käyttöjärjestelmälle;
siirtää/synkronoida käyttöjärjestelmä Rsync-ohjelmistolla VeraCrypt-salaussäiliöön;
tarvittaessa lataamalla VeraCrypt-taltion osoitteeseen www.

Salatun VeraCrypt-säilön luomisella on omat ominaisuutensa:
dynaamisen äänenvoimakkuuden luominen (DT:n luonti on saatavilla vain Windowsissa, voidaan käyttää myös GNU/Linuxissa);
luodaan säännöllinen volyymi, mutta vaaditaan "paranoidista hahmoa" (kehittäjän mukaan) – säiliön muotoilu.

Dynaaminen taltio luodaan lähes välittömästi Windowsissa, mutta kopioitaessa tietoja GNU/Linuxista > VeraCrypt DT, varmuuskopiointitoiminnon kokonaissuorituskyky heikkenee merkittävästi.

Tavallinen 70 Gt Twofish-taltio luodaan (Sanotaan vain, PC:n keskimääräinen teho) kiintolevylle ~ puolessa tunnissa (entisen konttitietojen päällekirjoittaminen yhdellä kertaa johtuu turvallisuusvaatimuksista). Taltion nopea alustaminen sitä luotaessa on poistettu VeraCrypt Windows/Linuxista, joten säilön luominen on mahdollista vain "kertakierroksella uudelleenkirjoittamalla" tai luomalla heikkotehoinen dynaaminen taltio.

Luo tavallinen VeraCrypt-taltio (ei dynaaminen/ntfs), ei pitäisi olla ongelmia.

Määritä/luo/avaa säilö VeraCrypt GUI:ssa> GNU/Linux live usb (taltio liitetään automaattisesti kansioon /media/veracrypt2, Windows-käyttöjärjestelmän taltio liitetään kansioon /media/veracrypt1). Salatun varmuuskopion luominen Windows-käyttöjärjestelmästä GUI rsyncin avulla (grsync)valitsemalla ruudut.

Odota prosessin valmistumista. Kun varmuuskopiointi on valmis, meillä on yksi salattu tiedosto.

Luo samalla tavalla varmuuskopio GNU/Linux-käyttöjärjestelmästä poistamalla valinta rsync GUI:n Windows-yhteensopivuus -valintaruudusta.

Huomio! luo Veracrypt-säilö "GNU/Linux-varmuuskopiolle" tiedostojärjestelmään ext4. Jos teet varmuuskopion ntfs-säilöyn, kun palautat sellaisen kopion, menetät kaikki oikeudet/ryhmät kaikkiin tietoihisi.

Voit suorittaa kaikki toiminnot terminaalissa. Rsyncin perusasetukset:
* -g -tallenna ryhmät;
* -P —progress — tiedoston parissa työskentelemiseen käytetyn ajan tila;
* -H - kopioi kovalinkit sellaisenaan;
* -a -arkistointitila (useita rlptgoD-lippuja);
* -v -verbalisointi.

Jos haluat liittää "Windows VeraCrypt -taltion" kryptausasetusohjelmiston konsolin kautta, voit luoda aliaksen (su)

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

Nyt "veramount images" -komento kehottaa sinua antamaan tunnuslauseen, ja salattu Windows-järjestelmälevy asennetaan käyttöjärjestelmään.

Yhdistä/liitä VeraCrypt-järjestelmän asema cryptsetup-komennossa

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

Yhdistä/liitä VeraCrypt-osio/säilö cryptsetup-komennossa

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

Aliaksen sijaan lisäämme (käynnistyskomentosarjan) järjestelmätaltion Windows-käyttöjärjestelmällä ja loogisesti salatun ntfs-levyn GNU/Linuxin käynnistykseen.

Luo komentosarja ja tallenna se ~/VeraOpen.sh-kansioon

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

Jaamme "oikeat" oikeudet:

sudo chmod 100 /VeraOpen.sh

Luo kaksi identtistä tiedostoa (sama nimi!) hakemistoon /etc/rc.local ja ~/etc/init.d/rc.local
Tiedostojen täyttäminen

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

Jaamme "oikeat" oikeudet:

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local

Siinä kaikki, nyt kun lataamme GNU/Linuxia, meidän ei tarvitse syöttää salasanoja liittääksemme salattuja ntfs-levyjä, levyt liitetään automaattisesti.

Lyhyt huomautus yllä kappaleessa E1 kuvatuista vaihe vaiheelta (mutta nyt OS GNU/Linuxille)
1) Luo taltio fs ext4 > 4gb (tiedostolle) Linuxilla Veracryptissa [Cryptbox].
2) Käynnistä live-usb.
3) ~$ cryptsetup avaa /dev/sda7 Lunux #mapping salatun osion.
4) ~$ liitä /dev/mapper/Linux /mnt #liitä salattu osio tiedostoon /mnt.
5) ~$ mkdir mnt2 #hakemiston luominen tulevaa varmuuskopiointia varten.
6) ~$ cryptsetup open —veracrypt —kirjoita tcrypt ~/CryptoBox CryptoBox && liitä /dev/mapper/CryptoBox /mnt2 #Yhdistä Veracrypt-taltio nimeltä “CryptoBox” ja liitä CryptoBox kohtaan /mnt2.
7) ~$ rsync -avlxhHX —progress /mnt /mnt2/ #salatun osion varmuuskopiointi salattuun Veracrypt-taltioon.

(p/s/ Huomio! Jos siirrät salattua GNU/Linuxia yhdeltä arkkitehtuurilta/koneelta toiselle, esimerkiksi Intel > AMD (eli otat varmuuskopion käyttöön salatusta osiosta toiseen salattuun Intel > AMD-osioon), älä unohda Kun olet siirtänyt salatun käyttöjärjestelmän, muokkaa salaisen korvaavan avaimen salasanan sijaan ehkä. edellinen avain ~/etc/skey - ei enää sovi toiseen salattuun osioon, eikä ole suositeltavaa luoda uutta avainta "cryptsetup luksAddKey" chrootin alta - häiriö on mahdollinen, vain ~/etc/crypttab määritä sen sijaan "/etc/skey" tilapäisesti "ei none" ", uudelleenbootin ja käyttöjärjestelmään kirjautumisen jälkeen, luo salainen jokeriavaimesi uudelleen).

IT-veteraaneina muistakaa tehdä erikseen varmuuskopiot salattujen Windows/Linux OS -osioiden otsikoista, muuten salaus kääntyy sinua vastaan.
Tässä vaiheessa salatun käyttöjärjestelmän varmuuskopiointi on valmis.

[F] Hyökkäys GRUB2-käynnistyslataimeen

TiedotJos olet suojannut käynnistyslataimesi digitaalisella allekirjoituksella ja/tai todennuksella (katso kohta C6.), tämä ei suojaa fyysiseltä pääsyltä. Salatut tiedot eivät ole edelleenkään käytettävissä, mutta suojaus ohitetaan (palauta digitaalisen allekirjoituksen suojaus) GRUB2 sallii verkkopahikon syöttää koodinsa käynnistyslataimeen ilman epäilyksiä (ellei käyttäjä valvo manuaalisesti käynnistyslataimen tilaa tai keksi omaa vahvaa mielivaltaista komentosarjakoodia grub.cfg:lle).

Hyökkäysalgoritmi. Tunkeilija

* Käynnistää PC:n live-usb:stä. Mitään muutosta (rikkoilija) tiedostot ilmoittavat tietokoneen todelliselle omistajalle käynnistyslataimen tunkeutumisesta. Mutta yksinkertainen uudelleenasennus GRUB2 pitää grub.cfg (ja myöhempi mahdollisuus muokata sitä) sallii hyökkääjän muokata mitä tahansa tiedostoja (tässä tilanteessa GRUB2:ta ladattaessa oikealle käyttäjälle ei ilmoiteta. Tila on sama <0>)
* Liittää salaamattoman osion, tallentaa "/mnt/boot/grub/grub.cfg".
* Asentaa käynnistyslataimen uudelleen (poistetaan "perskey" core.img-kuvasta)

grub-install --force --root-directory=/mnt /dev/sda6

* Palauttaa "grub.cfg" > "/mnt/boot/grub/grub.cfg", muokkaa sitä tarvittaessa, esimerkiksi lisäämällä moduulisi "keylogger.mod" latausmoduulien kansioon tiedostossa "grub.cfg". > rivi "insmod keylogger". Tai esimerkiksi, jos vihollinen on ovela, GRUB2: n uudelleenasennuksen jälkeen (kaikki allekirjoitukset pysyvät paikoillaan) se rakentaa GRUB2-päävedoksen käyttämällä "grub-mkimage with option (-c)." Vaihtoehto "-c" antaa sinun ladata kokoonpanosi ennen kuin lataat päätiedoston "grub.cfg". Kokoonpano voi koostua vain yhdestä rivistä: uudelleenohjaus mihin tahansa "modern.cfg" -tiedostoon, sekoitettuna esimerkiksi ~400 tiedostoon (moduulit+allekirjoitukset) kansiossa "/boot/grub/i386-pc". Tässä tapauksessa hyökkääjä voi lisätä mielivaltaisen koodin ja ladata moduuleja vaikuttamatta tiedostoon /boot/grub/grub.cfg, vaikka käyttäjä olisi lisännyt tiedostoon sanan "hashsum" ja näyttänyt sen tilapäisesti näytöllä.
Hyökkääjän ei tarvitse hakkeroida GRUB2:n pääkäyttäjän kirjautumistunnusta/salasanaa, vaan hänen on vain kopioitava rivit (vastaa todentamisesta) "/boot/grub/grub.cfg" tiedostoon "modern.cfg"

set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

Ja tietokoneen omistaja todennetaan edelleen GRUB2-pääkäyttäjäksi.

Ketjun lastaus (käynnistyslatain lataa toisen käynnistyslataimen), kuten edellä kirjoitin, ei ole järkeä (se on tarkoitettu eri tarkoitukseen). Salattua käynnistyslatainta ei voi ladata BIOSin takia (ketjukäynnistys käynnistää uudelleen GRUB2:n > salattu GRUB2, virhe!). Jos kuitenkin käytät edelleen ketjulatauksen ideaa, voit olla varma, että se on salattu lataus. (ei modernisoitu) "grub.cfg" salatusta osiosta. Ja tämä on myös väärä turvallisuuden tunne, koska kaikki, mikä on ilmoitettu salatussa "grub.cfg" -tiedostossa (moduulin lataus) laskee yhteen moduulit, jotka ladataan salaamattomasta GRUB2:sta.

Jos haluat tarkistaa tämän, varaa/salaa toinen osio sdaY, kopioi GRUB2 siihen (Grub-asennustoiminto salatussa osiossa ei ole mahdollista) ja "grub.cfg" (salaamaton konfiguraatio) vaihtaa tällaisia rivejä

valikkokohta 'GRUBx2' --class papukaija --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
load_video
insmod gzio
jos [ x$grub_platform = xxen ]; sitten insmod xzio; insmod lzopio; fi
insmod part_msdos
insmod cryptodisk
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
normaali /boot/grub/grub.cfg
}

linjat
* insmod - tarvittavien moduulien lataaminen salatun levyn kanssa työskentelemiseen;
* GRUBx2 - GRUB2:n käynnistysvalikossa näkyvän rivin nimi;
* kryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -katso. fdisk -l (sda9);
* Aseta root - asenna juuri;
* normaali /boot/grub/grub.cfg - suoritettava asetustiedosto salatussa osiossa.

Varmistus siitä, että salattu "grub.cfg" ladataan, on myönteinen vastaus salasanan syöttämiseen/lukituksen avaamiseen "sdaY", kun valitaan rivi "GRUBx2" GRUB-valikosta.

CLI:ssä työskennellessäsi, jotta et joutuisi hämmentymään (ja tarkista, toimiko "set root" -ympäristömuuttuja), luo tyhjiä tunnustiedostoja, esimerkiksi salattuun osioon “/shifr_grub”, salaamattomaan osioon “/noshifr_grub”. Tarkistaminen CLI:ssä

cat /Tab-Tab

Kuten yllä todettiin, tämä ei auta haitallisten moduulien lataamista vastaan, jos tällaiset moduulit päätyvät tietokoneellesi. Esimerkiksi näppäinloggeri, joka voi tallentaa näppäinpainalluksia tiedostoon ja sekoittaa sen muiden tiedostojen kanssa "~/i386":ssa, kunnes hyökkääjä, jolla on fyysinen pääsy tietokoneeseen, lataa sen.

Helpoin tapa varmistaa, että digitaalisen allekirjoituksen suojaus toimii aktiivisesti (ei nollata), ja kukaan ei ole tunkeutunut käynnistyslataimeen, kirjoita komento CLI:hen

list_trusted

vastauksena saamme kopion "perskeystämme" tai emme saa mitään, jos meitä vastaan hyökätään (sinun täytyy myös tarkistaa "set check_signatures=enforce").
Tämän vaiheen merkittävä haittapuoli on komentojen syöttäminen manuaalisesti. Jos lisäät tämän komennon tiedostoon "grub.cfg" ja suojaat kokoonpanon digitaalisella allekirjoituksella, näppäimen tilannevedoksen alustava tulos näytöllä on ajoitettu liian lyhyeksi, etkä ehkä ehdi nähdä tulostetta GRUB2:n lataamisen jälkeen. .
Ei ole ketään erityistä väittää: kehittäjä omassa dokumentointi lauseke 18.2 ilmoittaa virallisesti

"Huomaa, että vaikka GRUB-salasanasuojaus olisi käytössä, GRUB itse ei voi estää ketään, jolla on fyysinen pääsy koneeseen, muuttamasta koneen laiteohjelmiston (esim. Coreboot tai BIOS) konfiguraatiota niin, että kone käynnistyy toisesta (hyökkääjän ohjaamasta) laitteesta. GRUB on parhaimmillaan vain yksi lenkki turvallisessa käynnistysketjussa."

GRUB2 on liian täynnä toimintoja, jotka voivat antaa tunteen väärästä turvallisuudesta, ja sen kehitys on jo ohittanut MS-DOSin toiminnallisuudessa, mutta se on vain käynnistyslatain. On hassua, että GRUB2 - "huomenna" voi tulla käyttöjärjestelmä ja sille käynnistettävät GNU/Linux-virtuaalikoneet.

Lyhyt video siitä, kuinka nollasin GRUB2:n digitaalisen allekirjoituksen suojauksen ja ilmoitin tunkeutumiseni oikealle käyttäjälle (Peloitin sinua, mutta videon sijaan voit kirjoittaa vaarattoman mielivaltaisen koodin/.mod).

Päätelmät:

1) Lohkojärjestelmän salaus Windowsille on helpompi toteuttaa, ja suojaus yhdellä salasanalla on kätevämpää kuin suojaus useilla salasanoilla GNU/Linux-lohkojärjestelmäsalauksella, rehellisyyden nimissä: jälkimmäinen on automatisoitu.

2) Kirjoitin artikkelin osuvana ja yksityiskohtaisena yksinkertainen opas koko levyn salaukseen VeraCrypt/LUKS yhdellä koneella, joka on ylivoimaisesti paras RuNetissä (IMHO). Opas on yli 50 51 merkkiä pitkä, joten se ei käsittänyt joitain mielenkiintoisia lukuja: kryptografit, jotka katoavat/jäävät varjoon; siitä, että useissa GNU/Linux-kirjoissa he kirjoittavat vähän/ei kirjoita salauksesta; Venäjän federaation perustuslain XNUMX artiklasta; O lisensointi/kieltää salaus Venäjän federaatiossa, miksi sinun täytyy salata "root/boot". Opas osoittautui melko kattavaksi, mutta yksityiskohtaiseksi. (kuvataan jopa yksinkertaisia vaiheita)Tämä puolestaan säästää paljon aikaa, kun pääset "todelliseen salaukseen".

3) Täysi levyn salaus suoritettiin Windows 7 64:ssä; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.

4) Toteutti onnistuneen hyökkäyksen hänen GRUB2 käynnistyslatain.

5) Opetusohjelma luotiin auttamaan kaikkia IVY-maiden vainoharhaisia ihmisiä, joissa salauksen kanssa työskentely on sallittua lainsäädäntötasolla. Ja ensisijaisesti niille, jotka haluavat ottaa käyttöön koko levyn salauksen tuhoamatta määritettyjä järjestelmiään.

6) Muokkasin ja päivitin käsikirjani, joka on ajankohtainen vuonna 2020.

[G] Hyödyllinen dokumentaatio

TrueCrypt käyttöopas (helmikuu 2012 RU)
VeraCrypt-dokumentaatio
/usr/share/doc/cryptsetup(-run) [paikallinen resurssi] (virallinen yksityiskohtainen dokumentaatio GNU/Linux-salauksen määrittämisestä kryptauksen avulla)
Virallinen usein kysyttyjen kysymysten salausasetus (lyhyt dokumentaatio GNU/Linux-salauksen määrittämisestä kryptauksen avulla)
LUKS-laitteen salaus (archlinuxin dokumentaatio)
Yksityiskohtainen kuvaus kryptauksen syntaksista (arch man page)
Yksityiskohtainen kuvaus crypttabista (arch man page)
Virallinen GRUB2-dokumentaatio.

Tunnisteet: täysi levyn salaus, osion salaus, Linuxin täysi levyn salaus, LUKS1 täysi järjestelmän salaus.

Vain rekisteröityneet käyttäjät voivat osallistua kyselyyn. Kirjaudu sisään, ole kiltti.

Salaatko?

17,1%Salaan kaiken, minkä voin. Olen vainoharhainen.14
34,2%Salaan vain tärkeät tiedot.28
14,6%Joskus salaan, joskus unohdan.12
34,2%Ei, en salaa, se on hankalaa ja kallista.28

82 käyttäjää äänesti. 22 käyttäjää pidättyi äänestämästä.

Lähde: will.com

Windows Linux asennettujen järjestelmien täydellinen levysalaus. Salattu monikäynnistys