Criptiú diosca iomlán ar chórais suiteáilte Windows Linux. Il-tosaithe criptithe

Treoir nuashonraithe féin ar chriptiú lán-diosca i RuNet V0.2.

Straitéis Cowboy:

[A] Córas criptithe bloc Windows 7 ar an gcóras suiteáilte;
[B] Criptiú bloc chórais GNU/Linux (Debian) córas suiteáilte (lena n-áirítear /boot);
[C] cumraíocht GRUB2, cosaint bootloader le síniú digiteach / fíordheimhniú / hashing;
[D] stripping - scrios sonraí neamhchriptithe;
[E] cúltaca uilíoch den OS criptithe;
[F] ionsaí <ar mhír [C6]> sprioc - bootloader GRUB2;
[G]doiciméadú cabhrach.

╭───Scéim #seomra 40# :
├──╼ Windows 7 suiteáilte - criptiú córas iomlán, gan a bheith i bhfolach;
├──╼ GNU/Linux suiteáilte (Debian agus dáiltí díorthacha) - criptiú córais iomlán, gan a bheith i bhfolach(/, lena n-áirítear /boot; babhtáil);
├──╼ bootloaders neamhspleácha: Tá bootloader VeraCrypt suiteáilte sa MBR, tá bootloader GRUB2 suiteáilte sa deighilt leathnaithe;
├──╼ níl gá le suiteáil/athshuiteáil OS;
└──╼ bogearraí cripteagrafaíochta a úsáidtear: VeraCrypt; Cryptsetup; GnuPG; capall mara; Hashdeep; Tá GRUB2 saor in aisce.

Réitíonn an scéim thuas go páirteach an fhadhb a bhaineann le “tosaithe iargúlta go dtí tiomáint flash”, ligeann sé duit taitneamh a bhaint as OS Windows/Linux criptithe agus sonraí a mhalartú trí “chainéal criptithe” ó OS amháin go ceann eile.

Ordú tosaithe PC (ceann de na roghanna):

• ag casadh ar an meaisín;
• an tosaitheoir VeraCrypt á luchtú (leanfar le Windows 7 a thosú má iontrálann tú an focal faire ceart);
• má bhrúnn tú an eochair "Esc" lódálfar an tosaitheoir GRUB2;
• Íosluchtaigh tosaitheoir GRUB2 (roghnaigh dáileadh/GNU/Linux/CLI), beidh fíordheimhniú sár-úsáideoir GRUB2 <login/password> de dhíth;
• tar éis fíordheimhniú agus roghnú rathúil an dáileacháin, beidh ort pasfhrása a chur isteach chun “/boot/initrd.img” a dhíghlasáil;
• tar éis pasfhocail saor ó earráid a chur isteach, beidh "iontráil phasfhocal" ag teastáil ó GRUB2 (sa tríú háit, pasfhocal BIOS nó pasfhocal cuntas úsáideora GNU/Linux - ná cuir san áireamh) chun GNU/Linux OS a dhíghlasáil agus a thosú, nó eochair rúnda a chur in ionad go huathoibríoch (dhá phasfhocal + eochair, nó pasfhocal + eochair);
• reofaidh cur isteach seachtrach i gcumraíocht GRUB2 an próiseas tosaithe GNU/Linux.

Trioblóideach? Ceart go leor, déanaimis na próisis a uathoibriú.

Nuair a bheidh tiomántán crua á dheighilt (tábla MBR) Ní fhéadfaidh níos mó ná 4 phríomhroinn a bheith ag ríomhaire, nó 3 phríomhroinn agus ceann leathnaithe, chomh maith le limistéar neamh-leithdháilte. Is féidir fo-ailt a bheith i gcuid leathnaithe, murab ionann agus an príomhcheann (tiomáineann loighciúil = deighilt leathnaithe). I bhfocail eile, cuireann an “deighilt leathnaithe” ar an HDD ionad LVM don tasc atá ar láimh: criptiú córais iomlán. Má tá do dhiosca roinnte ina 4 phríomhroinn, ní mór duit lvm a úsáid, nó claochlú (le formáidiú) alt ón bpríomhroinn go dtí an dul chun cinn, nó bain úsáid as na ceithre chuid go ciallmhar agus fág gach rud mar atá, ag fáil an toradh inmhianaithe. Fiú má tá deighilt amháin agat ar do dhiosca, cabhróidh Gparted leat do HDD a dheighilt (le haghaidh rannóga breise) gan chailliúint sonraí, ach fós le pionós beag as gníomhartha den sórt sin.

Tá scéim leagan amach an tiomántáin chrua, a ndéanfar an t-alt iomlán a chur i bhfocail ina leith, curtha i láthair sa tábla thíos.

Tábla (Uimh. 1) de dheighiltí 1TB.

Ba cheart go mbeadh rud éigin cosúil leis agat freisin.
sda1 - príomh-dheighilt Uimh. 1 NTFS (criptithe);
sda2 - marcóir alt leathnaithe;
sda6 - diosca loighciúil (tá an bootloader GRUB2 suiteáilte);
sda8 - babhtáil (comhad babhtála criptithe/ní i gcónaí);
sda9 - diosca loighciúil tástála;
sda5 - diosca loighciúil don aisteach;
sda7 - GNU/Linux OS (OS aistrithe chuig diosca loighciúil criptithe);
sda3 - príomh-dheighilt Uimh. 2 le Windows 7 OS (criptithe);
sda4 - príomh-alt Uimh. 3 (bhí GNU/Linux neamhchriptithe ann, a úsáidtear le haghaidh cúltaca/ní i gcónaí).

[A] Criptiú Bloc Córais Windows 7

A1. VeraCrypt

Íosluchtaigh ó suíomh oifigiúil, nó ón scáthán foinse leagan suiteála de bhogearraí cripteagrafach VeraCrypt (tráth foilsithe an ailt v1.24-Update3, níl an leagan iniompartha de VeraCrypt oiriúnach do chriptiú córais). Seiceáil seiceáil na bogearraí íosluchtaithe

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

agus an toradh a chur i gcomparáid leis an CS arna phostáil ar shuíomh Gréasáin fhorbróra VeraCrypt.

Má tá bogearraí HashTab suiteáilte, tá sé níos éasca fós: RMB (Socrú VeraCrypt 1.24.exe)-airíonna - hash suim na gcomhad.

Chun síniú an chláir a fhíorú, ní mór na bogearraí agus eochair phoiblí pgp an fhorbróra a shuiteáil ar an gcóras gnuPG; gpg4win.

A2. Bogearraí VeraCrypt a shuiteáil/a rith le cearta riarthóra

A3. Roghnú paraiméadair criptithe córais don deighilt ghníomhachVeraCrypt - Córas - Criptigh deighilt/diosca córais - Gnáth - Criptigh deighilt chórais Windows - Multiboot - (rabhadh: "Ní mholtar d'úsáideoirí gan taithí an modh seo a úsáid" agus tá sé seo fíor, aontaímid "Tá") - Diosca tosaithe (“tá”, fiú mura bhfuil, fós “tá”) – Líon na dioscaí córais “2 nó níos mó” – Roinnt córas ar dhiosca amháin “Tá” – Tosaitheoir neamh-Windows “Níl” (go deimhin, “Tá,” ach ní roinnfidh na lódairí tosaithe VeraCrypt/GRUB2 an MBR eatarthu féin; níos cruinne, ní stóráltar ach an chuid is lú den chód tosaitheoir sa rian MBR/tosaithe, is é an príomhchuid de lonnaithe laistigh den chóras comhaid) – Multiboot – Socruithe criptithe…

Má chlaonann tú ó na céimeanna thuas (scéimeanna criptithe córais bloc), ansin eiseoidh VeraCrypt rabhadh agus ní ligfidh sé duit an deighilt a chriptiú.

Sa chéad chéim eile i dtreo chosaint sonraí spriocdhírithe, déan "Tástáil" agus roghnaigh algartam criptithe. Má tá LAP as dáta agat, is dócha gurb é Twofish an t-algartam criptithe is tapúla. Má tá an LAP cumhachtach, tabharfaidh tú faoi deara an difríocht: beidh criptiú AES, de réir na dtorthaí tástála, arís agus arís eile níos tapúla ná a chuid iomaitheoirí crypto. Is algartam criptithe coitianta é AES; tá crua-earraí CPUanna nua-aimseartha optamaithe go speisialta le haghaidh “rúnda” agus “hacking”.

Tacaíonn VeraCrypt leis an gcumas dioscaí a chriptiú i easghluaiseachta AES(Dhá iasc)/agus teaglaim eile. Ar CPU croí d'aois Intel ó dheich mbliana ó shin (gan tacaíocht crua-earraí le haghaidh AES, criptiú cascáide A/T) Tá an laghdú ar fheidhmíocht do-airithe go bunúsach. (do CPUanna AMD den ré chéanna / ~ paraiméadair, laghdaítear an fheidhmíocht beagán). Oibríonn an OS go dinimiciúil agus tá an tomhaltas acmhainní le haghaidh criptithe trédhearcach dofheicthe. I gcodarsnacht leis sin, mar shampla, tá laghdú suntasach ar fheidhmíocht mar gheall ar an timpeallacht deisce tástála éagobhsaí suiteáilte Mate v1.20.1 (nó v1.20.2 ní cuimhin liom go díreach) in GNU/Linux, nó mar gheall ar fheidhmiú an ghnáthaimh teiliméadrachta in Windows7↑. De ghnáth, déanann úsáideoirí a bhfuil taithí acu tástálacha feidhmíochta crua-earraí roimh chriptiú. Mar shampla, in Aida64/Sysbench/systemd-analyze cuirtear an milleán i gcomparáid le torthaí na dtástálacha céanna tar éis an córas a chriptiú, rud a bhréagnaíonn an miotas dóibh féin go bhfuil “criptiúchán córais díobhálach.” Tá moilliú an mheaisín agus an mhíchaoithiúlacht le feiceáil nuair a dhéantar sonraí criptithe a chúltacú/a athchóiriú, toisc nach ndéantar an oibríocht “cúltaca sonraí córais” féin a thomhas in ms, agus cuirtear na cinn chéanna <díchriptiú/criptithe ar an eitilt> leis. I ndeireadh na dála, déanann gach úsáideoir a cheadaítear tinker le cripteagrafaíocht an t-algartam criptithe a chothromú i gcoinne sástacht na dtascanna atá ar láimh, a leibhéal paranóia, agus éascaíocht úsáide.

Is fearr an paraiméadar PIM a fhágáil mar réamhshocrú, ionas nach mbeidh ort na luachanna atriallta cruinne a chur isteach nuair a bhíonn tú ag luchtú an OS. Úsáideann VeraCrypt líon mór atriallta chun “hash mall” a chruthú. Ní dhéanann ionsaí ar a leithéid de “seilide crypto” ag baint úsáide as modh an fhórsa Brute / táblaí tuar ceatha ciall ach le pasfhrása gearr “simplí” agus liosta thacair phearsanta an íospartaigh. Is é an praghas atá le híoc as neart focal faire ná moill ar iontráil an focal faire ceart agus an OS á luchtú. (tá méideanna VeraCrypt gléasta i GNU/Linux i bhfad níos tapúla).
Bogearraí saor in aisce chun ionsaithe fórsa brute a chur i bhfeidhm (sliocht pasfhrása ó cheanntásc diosca VeraCrypt/LUKS) Hashcat. Níl a fhios ag John the Ripper conas “Veracrypt a bhriseadh”, agus nuair a bhíonn sé ag obair le LUKS ní thuigeann sé cripteagrafaíocht Twofish.

Mar gheall ar neart cripteagrafach na n-halgartaim criptithe, tá cypherpunks unstoppable ag forbairt bogearraí le veicteoir ionsaí éagsúla. Mar shampla, meiteashonraí/eochracha a bhaint as RAM (bróg fuar/ionsaí rochtana díreach cuimhne), Tá bogearraí speisialaithe saor in aisce agus neamh-saor in aisce chun na gcríoch sin.

Nuair a bheidh “meiteashonraí uathúla” na críochdheighilte gníomhach criptithe curtha i gcrích/gineadh, tairgfidh VeraCrypt an ríomhaire a atosú agus feidhmiúlacht a lódálaí tosaithe a thástáil. Tar éis Windows a atosú / a thosú, luchtóidh VeraCrypt i mód fuireachais, níl fágtha ach an próiseas criptithe a dhearbhú - Y.

Ag an gcéim dheireanach de chriptiú an chórais, tairgfidh VeraCrypt cóip chúltaca de cheanntásc na críochdheighilte criptithe gníomhach a chruthú i bhfoirm “veracrypt rescue disk.iso” - ní mór é seo a dhéanamh - sna bogearraí seo tá oibríocht den sórt sin ina riachtanas (i LUKS, mar riachtanas - fágtar é seo ar lár ar an drochuair, ach cuirtear béim air sa doiciméadú). Beidh diosca tarrthála áisiúil do gach duine, agus do roinnt acu níos mó ná uair amháin. Caillteanas (ceanntásc/MBR athscríobh) diúltóidh cóip chúltaca den cheanntásc go buan rochtain ar an deighilt díchriptithe le OS Windows.

A4. USB/diosca tarrthála VeraCrypt a chruthúDe réir réamhshocraithe, tairgeann VeraCrypt “~ 2-3MB meiteashonraí” a dhó ar dhlúthdhiosca, ach níl dioscaí nó tiomántáin DWD-ROM ag gach duine, agus beidh sé ina ábhar iontais theicniúil do roinnt daoine gur féidir tiomáint flash bootable “Diosca Tarrthála VeraCrypt” a chruthú: Ní bheidh Rufus /GUdd-ROSA ImageWriter agus bogearraí eile dá leithéid in ann dul i ngleic leis an tasc, mar chomh maith le meiteashonraí fritháirimh a chóipeáil chuig tiomántán splanc bootable, ní mór duit an íomhá a chóipeáil / a ghreamú lasmuigh de chóras comhaid an tiomántáin USB, i mbeagán focal, cóipeáil i gceart an MBR/bóthar chuig keychain. Is féidir leat tiomántán splanc bootable a chruthú ó GNU/Linux OS ag baint úsáide as an áirgiúlacht “dd”, ag féachaint ar an gcomhartha seo.

Tá sé difriúil diosca tarrthála a chruthú i dtimpeallacht Windows. Níor chuir forbróir VeraCrypt an réiteach ar an bhfadhb seo san oifigeach doiciméadú trí “diosca tarrthála”, ach mhol sé réiteach ar bhealach difriúil: phostáil sé bogearraí breise chun “diosca tarrthála usb” a chruthú le rochtain saor in aisce ar a fhóram VeraCrypt. Tá cartlannaí na mbogearraí seo do Windows “ag cruthú diosca tarrthála usb veracrypt”. Tar éis disk.iso tarrthála a shábháil, cuirfear tús le próiseas criptithe an chórais bloc ar an deighilt ghníomhach. Le linn criptithe, ní stopann oibriú an OS; ní gá atosú PC. Nuair a bheidh an oibríocht criptithe críochnaithe, déantar an deighilt ghníomhach a chriptiú go hiomlán agus is féidir é a úsáid. Mura bhfuil an tosaitheoir VeraCrypt le feiceáil nuair a thosaíonn tú an ríomhaire, agus nach gcuidíonn an oibríocht athshlánaithe ceanntásc, seiceáil an bratach "tosaithe", ní mór é a shocrú go dtí an deighilt ina bhfuil Windows i láthair (beag beann ar chriptiú agus OS eile, féach tábla Uimh. 1).
Críochnaíonn sé seo an cur síos ar chriptiú blocchórais le Windows OS.

[B]LUCS. Criptiú GNU/Linux (~Debian) OS suiteáilte. Algartam agus Céimeanna

Chun dáileadh Debian/díorthaigh suiteáilte a chriptiú, ní mór duit an deighilt ullmhaithe a mhapáil chuig gléas bloc fíorúil, é a aistriú chuig an diosca GNU/Linux mapáilte, agus GRUB2 a shuiteáil/chumrú. Mura bhfuil freastalaí miotail lom agat, agus go bhfuil luach agat ar do chuid ama, ní mór duit an GUI a úsáid, agus tá an chuid is mó de na horduithe teirminéil a gcuirtear síos orthu thíos i gceist le bheith á rith i "mód Chuck-Norris".

B1. ríomhaire tosaithe ó beo usb GNU/Linux

“Déan tástáil criptithe le haghaidh feidhmíochta crua-earraí”

lscpu && сryptsetup benchmark

Má tá tú ina úinéir sásta ar charr cumhachtach le tacaíocht crua-earraí AES, ansin beidh cuma ar na huimhreacha ar thaobh na láimhe deise den chríochfort; má tá tú ina úinéir sásta, ach le crua-earraí antique, beidh cuma ar na huimhreacha ar an taobh clé.

B2. Deighilt diosca. gléasta/formáidiú diosca loighciúil fs HDD go Fo-líne 4 (Gparted)

B2.1. Ceanntásca deighilte criptithe sda7 a chruthúDéanfaidh mé cur síos ar ainmneacha na ndeighiltí, anseo agus níos faide, de réir an tábla laindéal atá agam thuas. De réir leagan amach do dhiosca, ní mór duit d'ainmneacha deighilte a ionadú.

Mapáil Criptithe Tiomántán Loighciúil (/dev/sda7> /dev/mapper/sda7_crypt).
#Deighiltí LUKS-AES-XTS a chruthú go héasca

cryptsetup -v -y luksFormat /dev/sda7

Roghanna:

* luksFormat - tús a chur le ceanntásc LUKS;
* -y -passphrase (ní eochair/comhad);
* -v -verbalization (eolas a thaispeáint sa teirminéal);
* /dev/sda7 - do dhiosca loighciúil ón deighilt leathnaithe (áit a bhfuil sé beartaithe GNU/Linux a aistriú/chriptiú).

Algartam criptithe réamhshocraithe <LUKS1: aes-xts-plain64, Eochair: 256 giotán, hashing ceanntásc LUKS: sha256, RNG: /dev/urandom> (ag brath ar an leagan cryptsetup).

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

Mura bhfuil tacaíocht crua-earraí ann do AES ar an LAP, is é an rogha is fearr “deighiltí LUKS-Twofish-XTS-” leathnaithe a chruthú.

B2.2. Ardchruthú “LUKS-Twofish-XTS-partition”

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

Roghanna:
* luksFormat - tús a chur le ceanntásc LUKS;
* /dev/sda7 do dhiosca loighciúil criptithe amach anseo;
* -v briathartha;
* -y pasfhocal;
* -c roghnaigh algartam criptithe sonraí;
* -s méid eochair criptithe;
* -h feidhm algartam hashing/crypto, úsáidtear RNG (--úsáid-urandam) eochair uathúil criptithe/dhíchriptithe a ghiniúint don cheanntásc loighciúil diosca, eochair thánaisteach ceanntásc (XTS); máistireochair uathúil atá stóráilte i gceanntásc an diosca criptithe, eochair XTS tánaisteach, na meiteashonraí seo go léir agus gnáthamh criptithe a dhéanann, ag baint úsáide as an máistireochair agus an eochair thánaisteach XTS, aon sonraí ar an deighilt a chriptiú/a dhíchriptiú (seachas teideal an ailt) stóráilte i ~3MB ar an deighilt diosca crua roghnaithe.
*-i atriallta i milleasoicindí, in ionad "méid" (tá tionchar ag an mhoill ama nuair a bhíonn an pasfhrása á phróiseáil ar luchtú an OS agus ar neart cripteagrafach na n-eochracha). Chun cothromaíocht neart cripteagrafach a choinneáil, le pasfhocal simplí cosúil le “Rúisis” ní mór duit an luach -(i) a mhéadú le pasfhocal casta mar “? 8dƱob/øfh” is féidir an luach a laghdú.
* —Gineadóir uimhir randamach a úsáid-uarandom, gineann eochracha agus salann.

Tar éis an t-alt sda7> sda7_crypt a mhapáil (tá an oibríocht tapa, ós rud é go gcruthaítear ceanntásc criptithe le ~3 MB de mheiteashonraí agus sin uile), ní mór duit an córas comhaid sda7_crypt a fhormáid agus a shuiteáil.

B2.3. Comparáid

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

roghanna:
* oscailte - meaitseáil an roinn “leis an ainm”;
* / dev/sda7 - diosca loighciúil;
* sda7_crypt - mapáil ainmneacha a úsáidtear chun an deighilt criptithe a shuiteáil nó a thúsú nuair a thosaíonn an OS.

B2.4. Formáidiú an chórais comhad sda7_crypt go ext4. Diosca a shuiteáil san OS(Tabhair faoi deara: ní bheidh tú in ann oibriú le críochdheighilt criptithe in Gparted)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt 

roghanna:
* -v -verbalization;
* -L - lipéad tiomáint (atá ar taispeáint in Explorer i measc thiomáineann eile).

Ansin, ba cheart duit an gléas bloc fíorúil-criptithe /dev/sda7_crypt a fheistiú ar an gcóras

mount /dev/mapper/sda7_crypt /mnt

Ag obair le comhaid san fhillteán / mnt déanfar sonraí a chriptiú/a dhíchriptiú go huathoibríoch i sda7.

Tá sé níos áisiúla an deighilt a mhapáil agus a fheistiú in Explorer (nautilus/caja GUI), beidh an deighilt ar an liosta roghnaithe diosca cheana féin, níl fágtha ach an pasfhrása a chur isteach chun an diosca a oscailt/dhíchriptiú. Roghnófar an t-ainm comhoiriúnaithe go huathoibríoch agus ní "sda7_crypt", ach rud éigin cosúil le /dev/mapper/Luks-xx-xx...

B2.5. Cúltaca ceanntásc diosca (~ meiteashonraí 3MB)Ceann de na cinn is mó tábhachtach oibríochtaí nach mór a dhéanamh gan mhoill - cóip chúltaca den cheanntásc “sda7_crypt”. Má scríobhann tú nó má dhéanann tú damáiste don cheanntásc (mar shampla, GRUB2 a shuiteáil ar dheighilt sda7, etc.), caillfear na sonraí criptithe go hiomlán gan aon fhéidearthacht é a aisghabháil, toisc go mbeidh sé dodhéanta na heochracha céanna a athghiniúint;

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7 

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

roghanna:
* luksHeaderBackup —header-cúltaca-comhad -ordú cúltaca;
* luksHeaderRestore —header-cúltaca-comhad -restore ordú;
* ~/Cúltaca_DebSHIFR - comhad cúltaca;
* /dev/sda7 - críochdheighilt a bhfuil a cóip chúltaca ceanntásc criptithe le sábháil.
Ag an gcéim seo tá <cruthú agus eagarthóireacht na críochdheighilte criptithe> críochnaithe.

B3. Ag aistriú GNU/Linux OS (sda4) chuig críochdheighilt criptithe (sda7)

Cruthaigh fillteán /mnt2 (Tabhair faoi deara - táimid fós ag obair le beo usb, tá sda7_crypt suite ag / mnt), agus ár GNU/Linux a shuiteáil in /mnt2, ar gá é a chriptiú.

mkdir /mnt2
mount /dev/sda4 /mnt2

Déanaimid aistriú ceart OS ag baint úsáide as bogearraí Rsync

rsync -avlxhHX --progress /mnt2/ /mnt

Déantar cur síos ar roghanna Rsync i mír E1.

Thairis sin, is gá defragment deighilt diosca loighciúil

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

Déan riail de: déan e4defrag ar GNU/LInux criptithe ó am go chéile má tá HDD agat.
Tá an t-aistriú agus sioncrónú [GNU/Linux> GNU/Linux-cripted] críochnaithe ag an gcéim seo.

AG 4. GNU/Linux a shocrú ar dheighilt criptithe sda7

Tar éis duit an OS /dev/sda4> /dev/sda7 a aistriú go rathúil, ní mór duit logáil isteach i GNU/Linux ar an deighilt criptithe agus cumraíocht bhreise a dhéanamh (gan ríomhaire a atosú) i gcoibhneas le córas criptithe. Is é sin, bí i USB beo, ach forghníomhaigh orduithe "i gcoibhneas le fréamh an OS criptithe." Insamhailfidh “chroot” cás comhchosúil. Chun faisnéis a fháil go tapa ar an OS a bhfuil tú ag obair leis faoi láthair (criptithe nó nach bhfuil, ós rud é go bhfuil na sonraí i sda4 agus sda7 sioncronaithe), an OS a dhíshioncrónú. Cruthaigh i bhfréamh-eolairí (sda4/sda7_crypt) comhaid marcála folamh, mar shampla, /mnt/encryptedOS agus /mnt2/decryptedOS. Seiceáil go tapa cad OS a bhfuil tú ar (don todhchaí san áireamh):

ls /<Tab-Tab>

B4.1. “Insamhladh ar logáil isteach i OS criptithe”

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. Ag fíorú go ndéantar obair i gcoinne córais criptithe

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. Babhtáil criptithe a chruthú/chumrú, eagarthóireacht a dhéanamh ar crypttab/fstabÓs rud é go ndéantar an comhad babhtála a fhormáidiú gach uair a thosaíonn an OS, ní dhéanann sé aon chiall babhtáil a chruthú agus a mhapáil go diosca loighciúil anois, agus orduithe a chlóscríobh mar atá i mír B2.2. Maidir le Babhtáil, ginfear a chuid eochracha sealadacha criptithe féin go huathoibríoch ag gach tús. Saolré na n-eochracha babhtála: críochdheighilt babhtála dífheistithe/dífheistithe (+ RAM a ghlanadh); nó an OS a atosú. Babhtáil a shocrú, an comhad a oscailt atá freagrach as cumraíocht na ngléasanna criptithe bloc (cosúil le comhad fstab, ach freagrach as crypto).

nano /etc/crypttab 

cuirimid in eagar

# "spriocainm" "gléas foinse" "comhad eochrach" "roghanna"
babhtáil /dev/sda8 /dev/urandom babhtáil,cipher=twofish-xts-plain64,size=512,hash=sha512

Roghanna
* babhtáil - ainm mapáilte nuair a bhíonn /dev/mapper/wap á chriptiú.
* /dev/sda8 - bain úsáid as do dheighilt loighciúil le haghaidh babhtála.
* / dev/urandom - gineadóir eochracha randamach criptithe le haghaidh babhtála (le gach tosaithe OS nua, cruthaítear eochracha nua). Tá an gineadóir /dev/urandom níos lú randamach ná /dev/randamach, tar éis an tsaoil úsáidtear /dev/randamach nuair a bhíonn sé ag obair i gcúinsí paranóideacha contúirteacha. Agus an OS á luchtú, mhoillíonn /dev/random an luchtú ar feadh roinnt ± nóiméad (féach córas-anailís).
* babhtáil,cipher=twofish-xts-plain64,size=512,hash=sha512: -tá a fhios ag an críochdheighilt gur babhtáil atá ann agus go bhfuil sé formáidithe “dá réir”; algartam criptithe.

#Открываем и правим fstab
nano /etc/fstab

cuirimid in eagar

Bhí # babhtáil ar /dev/sda8 le linn na suiteála
/dev/mapper/swap none babhtáil sw 0 0

/dev/mapper/swap an t-ainm a socraíodh i crypttab.

Malartú criptithe eile
Más rud é ar chúis éigin nach bhfuil tú ag iarraidh deighilt iomlán a thabhairt suas le haghaidh comhad babhtála, ansin is féidir leat bealach eile agus níos fearr a dhéanamh: comhad babhtála a chruthú i gcomhad ar dheighilt criptithe leis an OS.

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

Tá socrú na críochdheighilte babhtála críochnaithe.

B4.4. GNU/Linux criptithe a shocrú (ag cur comhaid crypttab/fstab in eagar)Déanann an comhad /etc/crypttab, mar atá scríofa thuas, cur síos ar ghléasanna bloc criptithe atá cumraithe le linn tosaithe an chórais.

#правим /etc/crypttab 
nano /etc/crypttab 

má mheaitseáil tú an roinn sda7>sda7_crypt mar atá i mír B2.1

# "spriocainm" "gléas foinse" "comhad eochrach" "roghanna"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

má mheaitseáil tú an roinn sda7>sda7_crypt mar atá i mír B2.2

# "spriocainm" "gléas foinse" "comhad eochrach" "roghanna"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

má mheaitseálann tú an roinn sda7>sda7_crypt mar atá i mír B2.1 nó B2.2, ach nach bhfuil tú ag iarraidh an focal faire a chur isteach arís chun an OS a dhíghlasáil agus a thosú, is féidir leat eochair rúnda/comhad randamach a chur in ionad an fhocail faire

# "spriocainm" "gléas foinse" "comhad eochrach" "roghanna"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

Cur síos
* ceann ar bith - tuairiscítear go bhfuil gá le pasfhrása rúnda a iontráil chun an fhréamh a dhíghlasáil agus an OS á luchtú.
* UUID - aitheantóir críochdheighilte. Chun d'aitheantas a fháil, clóscríobh an teirminéal (cuimhnigh, ón am seo ar aghaidh, go bhfuil tú ag obair i gcríochfort i dtimpeallacht chroot, agus ní i gcríochfort beo usb eile).

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное 

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

tá an líne seo le feiceáil nuair a iarrtar blkid ón teirminéal beo usb le sda7_crypt suite).
Tógann tú an UUID ó do sdaX (ní sdaX_crypt!, UUID sdaX_crypt - fágfar go huathoibríoch é nuair a bheidh an cumraíocht grub.cfg á ghiniúint).
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks criptiú i mód ardleibhéil.
* / etc/skey - comhad eochair rúnda, a chuirtear isteach go huathoibríoch chun an tosaithe OS a dhíghlasáil (seachas an 3ú pasfhocal a chur isteach). Is féidir leat aon chomhad suas le 8MB a shonrú, ach léifear na sonraí <1MB.

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7 

Beidh sé cuma rud éigin mar seo:

(Déan é féin agus féach duit féin).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

Tá /etc/fstab faisnéis thuairisciúil faoi chórais éagsúla comhad.

#Правим /etc/fstab
nano /etc/fstab

# "córas comhaid" "mount point" "cineál" "roghanna" "dumpáil" "pas"
Bhí # / ar /dev/sda7 le linn na suiteála
/dev/mapper/sda7_crypt / ext4 errors=remount-ro 0 1

rogha
* / dev/mapper/sda7_crypt - ainm na mapála sda7> sda7_crypt, atá sonraithe sa chomhad /etc/crypttab.
Tá an socrú crypttab/fstab críochnaithe.

B4.5. Comhaid cumraíochta á gcur in eagar. Nóiméad eochairB4.5.1. Ag cur an config /etc/initramfs-tools/conf.d/resume in eagar

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

agus trácht amach (má tá) "#" líne "atosú". Caithfidh an comhad a bheith go hiomlán folamh.

B4.5.2. Ag cur an config /etc/initramfs-tools/conf.d/cryptsetup in eagar

nano /etc/initramfs-tools/conf.d/cryptsetup

chóir mheaitseáil

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=tá
onnmhairiú CRYPTSETUP

B4.5.3. Ag cur an chumraíocht /etc/default/grub in eagar (tá an cumraíocht seo freagrach as an gcumas grub.cfg a ghiniúint agus tú ag obair le /boot criptithe)

nano /etc/default/grub

cuir an líne “GRUB_ENABLE_CRYPTODISK=y” leis
seiceálfaidh luach 'y', grub-mkconfig agus grub-install le haghaidh tiomántán criptithe agus ginfidh siad orduithe breise a theastaíonn chun iad a rochtain ag am tosaithe (insmods ).
caithfidh cosúlacht a bheith ann

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || macalla Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=díoltóir"
GRUB_CMDLINE_LINUX="splancscáileán ciúin gan uathoibríoch"
GRUB_ENABLE_CRYPTODISK=y

B4.5.4. Ag cur an config /etc/cryptsetup-initramfs/conf-hook in eagar

nano /etc/cryptsetup-initramfs/conf-hook

seiceáil go bhfuil an líne trácht amach <#>.
Amach anseo (agus fiú anois, ní bheidh aon bhrí leis an bparaiméadar seo, ach uaireanta cuireann sé isteach ar an íomhá initrd.img a nuashonrú).

B4.5.5. Ag cur an config /etc/cryptsetup-initramfs/conf-hook in eagar

nano /etc/cryptsetup-initramfs/conf-hook

cuir

KEYFILE_PATTERN=”/etc/skey”
UMASK=0077

Déanfaidh sé seo an eochair rúnda "skey" a phacáil isteach initrd.img, tá an eochair ag teastáil chun an fhréamh a dhíghlasáil nuair a thosaíonn an OS (mura bhfuil tú ag iarraidh an pasfhocal a chur isteach arís, cuirtear an eochair “skey” in ionad an chairr).

B4.6. Nuashonraigh /boot/initrd.img [leagan]Chun an eochair rúnda a phacáil isteach initrd.img agus socruithe criptithe a chur i bhfeidhm, nuashonraigh an íomhá

update-initramfs -u -k all

nuair a nuashonrú initrd.img (mar a deir siad "Is féidir, ach níl sé cinnte") beidh rabhaidh a bhaineann le cryptsetup le feiceáil, nó, mar shampla, fógra faoi chailliúint modúil Nvidia - is gnách é seo. Tar éis an comhad a nuashonrú, seiceáil go bhfuil sé nuashonraithe i ndáiríre, féach an t-am (i gcoibhneas le timpeallacht chroot./boot/initrd.img). Rabhadh! roimh [nuashonraigh-initramfs -u -k all] bí cinnte a sheiceáil go bhfuil cripteagrú oscailte /dev/sda7 sda7_crypt - is é seo an t-ainm atá le feiceáil in /etc/crypttab, nó tar éis atosaigh beidh earráid ghnóthach ann)
Ag an gcéim seo, tá bunú na gcomhad cumraíochta críochnaithe.

[C] GRUB2/Cosaint a shuiteáil agus a chumrú

C1. Más gá, formáidigh an deighilt tiomnaithe don lódóir (ní mór 20MB ar a laghad a bheith ag críochdheighilt)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. Mount /dev/sda6 go /mntMar sin oibrímid i chroot, ansin ní bheidh aon eolaire / mnt2 sa fhréamh, agus beidh an fillteán / mnt folamh.
mount an deighilt GRUB2

mount /dev/sda6 /mnt

Má tá leagan níos sine de GRUB2 suiteáilte agat, san eolaire / mnt/boot/grub/i-386-pc (is féidir ardán eile, mar shampla, ní “i386-pc”) gan modúil criptithe (i mbeagán focal, ba cheart go mbeadh modúil san fhillteán, lena n-áirítear iad seo .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), sa chás seo, is gá GRUB2 a chroitheadh.

apt-get update
apt-get install grub2 

Tábhachtach! Agus an pacáiste GRUB2 ón stór á nuashonrú, nuair a fiafraítear de “faoi roghnú” cá háit leis an tosaitheoir a shuiteáil, ní mór duit an tsuiteáil a dhiúltú (cúis - déan iarracht GRUB2 a shuiteáil - i “MBR” nó ar usb beo). Seachas sin déanfaidh tú damáiste do cheanntásc/lódóir VeraCrypt. Tar éis na pacáistí GRUB2 a nuashonrú agus an suiteáil a chealú, ní mór an lódóir tosaithe a shuiteáil de láimh ar an diosca loighciúil, agus ní sa MBR. Má tá leagan as dáta de GRUB2 ag do stór, bain triail as nuashonrú tá sé ón láithreán gréasáin oifigiúil - níl sé seiceáilte (d'oibrigh leis na lódairí tosaithe GRUB 2.02 ~BetaX is déanaí).

C3. GRUB2 a shuiteáil i ndeighilt leathnaithe [sda6]Caithfidh críochdheighilt gléasta a bheith agat [mír C.2]

grub-install --force --root-directory=/mnt /dev/sda6

roghanna
* —force - suiteáil an bootloader, seachaint gach rabhadh atá ann beagnach i gcónaí agus suiteáil bloc (bratach riachtanach).
* --root-directory - suiteáil eolaire go dtí an fhréamh sda6.
* /dev/sda6 - do dheighilt sdaХ (ná caill an <spás> idir /mnt /dev/sda6).

C4. Comhad cumraíochta á chruthú [grub.cfg]Déan dearmad faoin ordú "update-grub2", agus bain úsáid as an ordú giniúna comhad cumraíochta iomlán

grub-mkconfig -o /mnt/boot/grub/grub.cfg

tar éis giniúint/nuashonrú an chomhaid grub.cfg a chríochnú, ba cheart go mbeadh líne(eanna) sa teirminéal aschuir leis an OS atá le fáil ar an diosca (“grub-mkconfig” is dócha go bhfaighidh agus go dtógfaidh sé an OS ó usb beo, má tá tiomáint flash multiboot agat le Windows 10 agus dornán dáiltí beo - is gnách é seo). Má tá an teirminéal "folamh" agus mura ngintear an comhad "grub.cfg", is é seo an cás céanna nuair a bhíonn fabhtanna GRUB sa chóras (agus is dócha an lódóir ó bhrainse tástála an stór), athshuiteáil GRUB2 ó fhoinsí iontaofa.
Tá an suiteáil "cumraíocht shimplí" agus socrú GRUB2 críochnaithe.

C5. Tástáil cruthúnais ar GNU/Linux OS criptitheCríochnóimid an misean crypto i gceart. Ag fágáil an GNU/Linux criptithe go cúramach (timpeallacht chroot scoir).

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

Tar éis an ríomhaire a atosú, ba cheart don tosaitheoir VeraCrypt a luchtú.


* Cuirfear tús le luchtú Windows ach an focal faire don deighilt ghníomhach a chur isteach.
*Má bhrúnn tú an eochair "Esc" aistreofar rialú go GRUB2, má roghnaíonn tú GNU/Linux criptithe - beidh pasfhocal (sda7_crypt) ag teastáil chun /boot/initrd.img a dhíghlasáil (má scríobhann grub2 uuid "ní bhfuarthas" - is é seo a fadhb leis an bootloader grub2, ba chóir é a athshuiteáil, m.sh. , ó bhrainse tástála / cobhsaí etc.).


* Ag brath ar conas a chumraigh tú an córas (féach mír B4.4/4.5), tar éis duit an focal faire ceart a chur isteach chun an íomhá /boot/initrd.img a dhíghlasáil, beidh pasfhocal ag teastáil uait chun eithne / fhréamh an OS a luchtú, nó an rún cuirfear eochair "skey" in ionad go huathoibríoch, rud a fhágann nach gá an pasfhrása a chur isteach arís.

(scáileán “foinse rúnda a chur in ionad go huathoibríoch”).

*Ar aghaidh beidh an próiseas eolach ar lódáil GNU/Linux le fíordheimhniú cuntas úsáideora.


* Tar éis údarú úsáideora agus logáil isteach san OS, ní mór duit /boot/initrd.img a nuashonrú arís (féach B4.6).

update-initramfs -u -k all

Agus i gcás línte breise sa roghchlár GRUB2 (ó phiocadh OS-m le usb beo) fáil réidh leo

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

Achoimre thapa ar chriptiú córais GNU/Linux:

• Tá GNU/Linuxinux criptithe go hiomlán, lena n-áirítear /boot/kernel agus initrd;
• tá an eochair rúnda pacáistithe in initrd.img;
• scéim údaraithe reatha (ag dul isteach an focal faire chun an initrd a dhíghlasáil; pasfhocal/eochair chun an OS a thosú; pasfhocal chun an cuntas Linux a údarú).

Tá criptiú córas "Cumraíocht Simplí GRUB2" ar an deighilt bloc críochnaithe.

C6. Cumraíocht Casta GRUB2. Cosaint bootloader le síniú digiteach + cosaint fíordheimhnitheTá GNU/Linux criptithe go hiomlán, ach ní féidir an bootloader a chriptiú - is é an BIOS a ordaíonn an coinníoll seo. Ar an gcúis seo, ní féidir tosaithe slabhraithe criptithe GRUB2, ach tá tosaithe slabhraithe simplí indéanta/ar fáil, ach ó thaobh na slándála de, níl sé riachtanach [féach P. F].
Maidir leis an GRUB2 “leochaileach”, chuir na forbróirí algartam cosanta bootloader “síniú/fíordheimhniú” i bhfeidhm.

• Nuair a bheidh an tosaitheoir á chosaint ag “a shíniú digiteach féin,” cuirfear bac ar an bpróiseas lódála mar thoradh ar mhodhnú seachtrach na gcomhad, nó má dhéantar iarracht modúil bhreise a luchtú sa lódóir seo.
• Agus an tosaitheoir á chosaint le fíordheimhniú, chun dáileadh a luchtú a roghnú, nó orduithe breise a chur isteach sa CLI, beidh ort logáil isteach agus pasfhocal an superuser-GRUB2 a chur isteach.

C6.1. Cosaint fíordheimhnithe bootloaderSeiceáil go bhfuil tú ag obair i gcríochfort ar OS criptithe

ls /<Tab-Tab> #обнаружить файл-маркер

cruthaigh pasfhocal sár-úsáideoir le haghaidh údarú i GRUB2

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. 

Faigh an pasfhocal hash. Rud éigin mar seo

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

mount an críochdheighilte GRUB

mount /dev/sda6 /mnt 

in eagar an config

nano -$ /mnt/boot/grub/grub.cfg 

seiceáil an cuardach comhad nach bhfuil bratacha áit ar bith in “grub.cfg” (“-gan srianadh” “-user”,
cuir ag an deireadh an- (roimh an líne ### END /etc/grub.d/41_custom ###)
"socraigh superusers="root"
hash fréimhe password_pbkdf2."

Ba chóir go mbeadh sé rud éigin mar seo

# Soláthraíonn an comhad seo bealach éasca chun iontrálacha roghchláir saincheaptha a chur leis. Níl ort ach clóscríobh an
# iontráil roghchláir ba mhaith leat a chur leis tar éis an nóta tráchta seo. Bí cúramach gan athrú
# an líne 'eireaball exec' thuas.
### END /etc/grub.d/40_custom ###

### BEGIN /etc/grub.d/41_custom ###
má tá [ -f ${config_directory}/custom.cfg ]; ansin
foinse ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; ansin
foinse $prefix/custom.cfg;
fi
socraigh superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

Má úsáideann tú an t-ordú "grub-mkconfig -o /mnt/boot/grub/grub.cfg" go minic agus mura dteastaíonn uait athruithe a dhéanamh ar grub.cfg gach uair, cuir isteach na línte thuas (Logáil isteach: Pasfhocal) sa script úsáideora GRUB ag bun an leathanaigh

nano /etc/grub.d/41_custom 

cat <<EOF
socraigh superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

Nuair a bheidh an chumraíocht “grub-mkconfig -o /mnt/boot/grub/grub.cfg” á ghiniúint, cuirfear na línte atá freagrach as fíordheimhniú le grub.cfg go huathoibríoch.
Críochnaíonn an chéim seo socrú fíordheimhnithe GRUB2.

C6.2. Cosaint bootloader le síniú digiteachGlactar leis go bhfuil d'eochair chriptithe pgp pearsanta agat cheana féin (nó cruthaigh eochair den sórt sin). Ní mór bogearraí cripteagrafacha a bheith suiteáilte sa chóras: gnuPG; kleopatra/GPA; capall mara. Déanfaidh bogearraí Crypto do shaol i bhfad níos éasca i ngach ábhar den sórt sin. Seahorse - leagan cobhsaí den phacáiste 3.14.0 (tá leaganacha níos airde, mar shampla, V3.20, lochtach agus tá fabhtanna suntasacha acu).

Ní mór an eochair PGP a ghiniúint/seoladh/a chur leis ach sa timpeallacht su!

Gin eochair criptithe phearsanta

gpg - -gen-key

Easpórtáil d'eochair

gpg --export -o ~/perskey

Suiteáil an diosca loighciúil san OS mura bhfuil sé suite cheana féin

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

glan an deighilt GRUB2

rm -rf /mnt/

Suiteáil GRUB2 i sda6, ag cur d'eochair phríobháideach sa phríomhíomhá GRUB "core.img"

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

roghanna
* --force - shuiteáil an bootloader, ag seachaint na rabhaidh go léir atá ann i gcónaí (bratach riachtanach).
* —modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - treoir do GRUB2 na modúil riachtanacha a réamhlódáil nuair a thosaíonn an ríomhaire.
* -k ~ / perskey - cosán chuig an “eochair PGP” (tar éis an eochair a phacáil isteach san íomhá, is féidir é a scriosadh).
* --root-directory - socraigh an t-eolaire tosaithe go dtí an fhréamh sda6
/dev/sda6 - do dheighilt sdaX.

Grub.cfg á ghiniúint/nuashonrú

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

Cuir an líne “trust /boot/grub/perskey” le deireadh an chomhaid “grub.cfg” (Bain úsáid as eochair pgp i bhfeidhm.) Ós rud é gur shuiteáil muid GRUB2 le sraith de mhodúil, lena n-áirítear an modúl sínithe “signature_test.mod”, cuireann sé seo deireadh leis an ngá atá le orduithe cosúil le “set check_signatures = enforce” a chur leis an gcumraíocht.

Ba chóir breathnú ar rud éigin mar seo (deireadh línte i gcomhad grub.cfg)

### BEGIN /etc/grub.d/41_custom ###
má tá [ -f ${config_directory}/custom.cfg ]; ansin
foinse ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; ansin
foinse $prefix/custom.cfg;
fi
muinín / tosaithe / grub / perskey
socraigh superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

Ní gá an cosán chuig “/boot/grub/perskey” a dhíriú ar dheighilt diosca ar leith, mar shampla hd0,6; don lódóir féin, is é “root” cosán réamhshocraithe na críochdheighilte ar a bhfuil GRUB2 suiteáilte (féach an lobhadh tacair =..).

GRUB2 á síniú (gach comhad i ngach eolaire / GRUB) le d’eochair “perskey”.
Réiteach simplí ar conas síniú (do thaiscéalaí nautilus/caja): shuiteáil an síneadh “seahorse” do Explorer ón stór. Ní mór d'eochair a chur leis an timpeallacht su.
Oscail Explorer le sudo “/ mnt/boot” – RMB – comhartha. Ar an scáileán tá sé mar seo

Is í an eochair féin “/mnt/boot/grub/perskey” (cóipeáil chuig an eolaire grub) Ní mór duit a bheith sínithe freisin le do shíniú féin. Seiceáil go bhfuil na sínithe comhaid [*.sig] le feiceáil san eolaire/fochomhadlann.
Ag baint úsáide as an modh a bhfuil cur síos air thuas, sínigh “/boot” (ár eithne, initrd). Más fiú do chuid ama rud ar bith, cuireann an modh seo deireadh leis an ngá atá le script bash a scríobh chun “go leor comhad” a shíniú.

Chun gach síniú bootloader a bhaint (má chuaigh rud éigin mícheart)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

Chun gan an tosaitheoir a shíniú tar éis an córas a nuashonrú, reoimid gach pacáiste nuashonraithe a bhaineann le GRUB2.

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

Tá an chéim seo <cosaint bootloader le síniú digiteach> cumraíocht chun cinn GRUB2 críochnaithe.

C6.3. Tástáil cruthúnais ar an tosaitheoir GRUB2, cosanta ag síniú digiteach agus fíordheimhniúGRUB2. Nuair a bhíonn aon dáileadh GNU/Linux á roghnú nó ag dul isteach sa CLI (líne ordaithe) Beidh údarú sár-úsáideoir ag teastáil. Tar éis duit an t-ainm úsáideora/focal faire ceart a chur isteach, beidh an pasfhocal initrd uait

Gabháil scáileáin den fhíordheimhniú rathúil ar shárúsáideoir GRUB2.

Má chuireann tú isteach ar aon cheann de na comhaid GRUB2 / má dhéanann tú athruithe ar grub.cfg, nó má scriosann tú an comhad/síniú, nó má luchtaíonn tú modúl mailíseach.mod, feicfear rabhadh comhfhreagrach. Cuirfidh GRUB2 stop leis an luchtú.

Gabháil scáileáin, iarracht cur isteach ar GRUB2 “ón taobh amuigh”.

Le linn "gnáth" booting "gan cur isteach", is é an stádas cód scoir an chórais "0". Dá bhrí sin, níl a fhios an n-oibríonn an chosaint nó nach bhfuil (is é sin, "le nó gan cosaint sínithe bootloader" le linn gnáthlódála tá an stádas mar an gcéanna "0" - tá sé seo go dona).

Conas cosaint sínithe digiteach a sheiceáil?

Bealach deacair le seiceáil: falsa/bain modúl a úsáideann GRUB2, mar shampla, bain an síniú luks.mod.sig agus faigh earráid.

An bealach ceart: téigh go dtí an bootloader CLI agus clóscríobh an t-ordú

trust_list

Mar fhreagra air sin, ba cheart duit méarloirg “perskey” a fháil; más é an stádas “0,” ansin ní oibríonn cosaint sínithe, seiceáil faoi dhó alt C6.2.
Ag an gcéim seo, críochnaíodh an chumraíocht chun cinn “Grúb2 a chosaint le síniú digiteach agus fíordheimhniú”.

C7 Modh eile chun an tosaitheoir GRUB2 a chosaint ag baint úsáide as hashingClasaiceach is ea an modh "Cosaint/Fíordheimhniú LAP Tosaithe LAP" a bhfuil cur síos air thuas. Mar gheall ar imperfections GRUB2, i gcoinníollacha paranoid tá sé so-ghabhálach i ionsaí fíor, a thabharfaidh mé thíos i mír [F]. Ina theannta sin, tar éis an OS / eithne a nuashonrú, ní mór an tosaitheoir a athshíniú.

An bootloader GRUB2 a chosaint ag baint úsáide as hashing

Buntáistí thar na clasaicí:

• Leibhéal níos airde iontaofachta (ní dhéantar hashing/fíorú ach ó acmhainn áitiúil criptithe. Tá an deighilt leithdháilte iomlán faoi GRUB2 rialaithe le haghaidh aon athruithe, agus tá gach rud eile criptithe; sa scéim chlasaiceach le cosaint/Fíordheimhniú lódaire LAP, ní rialaítear ach comhaid, ach níl siad in aisce spás, inar féidir “rud éigin” rud éigin sinister” a chur leis).
• Logáil criptithe (cuirtear loga criptithe pearsanta atá inléite ag an duine leis an scéim).
• Speed (tarlaíonn cosaint/fíorú críochdheighilte iomlán arna leithdháileadh do GRUB2 beagnach láithreach).
• Uathoibriú gach próiseas cripteagrafach.

Míbhuntáistí thar na clasaicí.

• Brionnú sínithe (go teoiriciúil, is féidir imbhualadh feidhm hash tugtha a fháil).
• Leibhéal deacrachta méadaithe (i gcomparáid le clasaiceach, tá gá le beagán níos mó scileanna i GNU/Linux OS).

Conas a oibríonn an smaoineamh hashing GRUB2/deighiltí

Tá críochdheighilt GRUB2 “sínithe”; nuair a bhuanaíonn an OS, déantar críochdheighilt an lódóra tosaithe a sheiceáil le haghaidh neamh-luaineachta, agus logáil isteach i dtimpeallacht shlán (criptithe). Má tá an tosaitheoir nó a dheighilt i gcontúirt, chomh maith leis an logáil isteach, seolfar an méid seo a leanas:

Rud.

Tarlaíonn seiceáil den chineál céanna ceithre huaire sa lá, rud nach ualach acmhainní córais.
Ag baint úsáide as an ordú “-$ check_GRUB”, tarlaíonn seiceáil ar an toirt ag am ar bith gan logáil, ach le haschur faisnéise chuig an CLI.
Ag baint úsáide as an ordú “-$ sudo signature_GRUB”, athshínítear an tosaitheoir/deighilt GRUB2 láithreach agus a logáil nuashonraithe (riachtanach tar éis nuashonrú OS / tosaithe), agus leanann an saol ar aghaidh.

Cur i bhfeidhm modh hashing don bootloader agus a rannóg

0) Déanaimis an lódóir/deighilt GRUB a shíniú trína fheistiú ar dtús in /media/ainm úsáideora

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) Cruthaímid script gan síneadh i bhfréamh an OS ~/podpis criptithe, cuirimid na cearta slándála 744 riachtanacha agus cosaint neamhdhíobhálach i bhfeidhm air.

A ábhar a líonadh

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

Rith an script ó su, déanfar hashing na críochdheighilte GRUB agus a bootloader a sheiceáil, ach amháin an logáil.

Déanaimis, mar shampla, “comhad mailíseach” [virus.mod] a chruthú nó a chóipeáil go dtí an deighilt GRUB2 agus scanadh/tástáil sealadach a reáchtáil:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

Ní mór don CLI ionradh ar ár n-dúthracht a fheiceáil#Trimmed logáil isteach CLI

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

# Mar a fheiceann tú, tá an chuma ar "Comhaid ar athraíodh a ionad: 1 agus Theip ar Iniúchadh", rud a chiallaíonn gur theip ar an tseic.
Mar gheall ar nádúr na críochdheighilte atá á thástáil, in ionad “Aimsíodh comhaid nua” > “Aistríodh na comhaid”

2) Cuir an gif anseo > ~/warning.gif, socraigh na ceadanna go 744.

3) Fstab á chumrú chun an deighilt GRUB a fheistiú go huathoibríoch ag an tosaithe

-$ sudo nano /etc/fstab

Réamhshocrú LABEL=GRUB /media/username/GRUB ext4 0 0

4) Rothlú an loga

-$ sudo nano /etc/logrotate.d/podpis 

/var/log/podpis.txt {
laethúil
rothlú 50
méid 5M
dátaext
compress
moillcompress
olddir /var/log/old
}

/var/log/vtorjenie.txt {
míosúil
rothlú 5
méid 5M
dátaext
olddir /var/log/old
}

5) Cuir post le cron

-$ sudo crontab -e

Atosaigh '/sintiús'
0 */6 * * * '/podpis

6) Ailiasanna buana a chruthú

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

Tar éis nuashonrú OS -$ apt-get upgrade athshínigh ár ndeighilt GRUB
-$ подпись_GRUB
Ag an bpointe seo, tá cosaint hashing na críochdheighilte GRUB críochnaithe.

[D] Glanadh - scrios sonraí neamhchriptithe

Scrios do chomhaid phearsanta chomh hiomlán sin “nach féidir le Dia fiú iad a léamh,” dar le hurlabhraí Carolina Theas, Trey Gowdy.

Mar is gnách, tá “miotais agus finscéalta", maidir le sonraí a athshlánú tar éis iad a scriosadh ó thiomáint crua. Má chreideann tú i gcibear-cheirdeachas, nó má tá tú i do bhall de phobal gréasáin an Dr agus mura ndearna tú iarracht riamh sonraí a aisghabháil tar éis é a scriosadh / a fhorscríobh (mar shampla, aisghabháil ag baint úsáide as R-studio), ansin ní dócha go mbeidh an modh molta oiriúnach duit, bain úsáid as an rud is gaire duit.

Tar éis GNU/Linux a aistriú go críochdheighilte criptithe go rathúil, ní mór an seanchóip a scriosadh gan an deis sonraí a aisghabháil. Modh glantacháin uilíoch: bogearraí do bhogearraí GUI saor in aisce Windows/Linux BleachBit.
Tapa formáid an rannáin, na sonraí ar gá iad a scrios (trí Gparted) seoladh BleachBit, roghnaigh "Glan suas spás saor" - roghnaigh an deighilt (do sdaX le cóip roimhe seo de GNU/Linux), cuirfear tús leis an bpróiseas stripping. BleachBit - wipes an diosca i pas amháin - is é seo cad "ní mór dúinn", Ach! Ní oibríonn sé seo go teoiriciúil ach amháin má fhormáid tú an diosca agus má ghlan tú é i mbogearraí BB v2.0.

Aird! Glanann BB an diosca, rud a fhágann meiteashonraí; caomhnaítear ainmneacha comhaid nuair a chuirtear deireadh le sonraí (Ccleaner - ní fhágann meiteashonraí).

Agus ní miotas go hiomlán é an miotas faoin bhféidearthacht sonraí a aisghabháil.Bleachbit V2.0-2 iar-phacáiste éagobhsaí OS Debian (agus aon bhogearraí eile dá leithéid: sfill; wipe-Nautilus - tugadh faoi deara freisin sa ghnó salach seo) i ndáiríre bhí fabht chriticiúil: an fheidhm "imréitigh spás saor in aisce". oibríonn sé go mícheart ar thiomáineann HDD/Flash (ntfs/ext4). Ní dhéanann bogearraí den chineál seo, nuair a bhíonn spás saor in aisce á ghlanadh, an diosca iomlán a fhorscríobh, mar a cheapann go leor úsáideoirí. Agus roinnt (a lán) sonraí scriosta Measann OS/bogearraí na sonraí seo mar shonraí neamhscriosta/úsáideora agus nuair a bhíonn “OSP” á ghlanadh ní scipeann sé na comhaid seo. Is í an fhadhb atá ann go tar éis chomh fada, glanadh an diosca Is féidir "comhaid scriosta" a aisghabháil fiú tar éis 3+ pas de ghlanadh an diosca.
Ar GNU/Linux ag Bleachbit 2.0-2 Oibríonn na feidhmeanna a bhaineann le comhaid agus eolairí a scriosadh go buan go hiontaofa, ach gan spás saor in aisce a ghlanadh. Mar chomparáid: ar Windows i CCleaner oibríonn an fheidhm “OSP for ntfs” i gceart, agus i ndáiríre ní bheidh Dia in ann sonraí scriosta a léamh.

Agus mar sin, a bhaint go críochnúil "comhréiteach" sean sonraí gan chriptiú, Teastaíonn rochtain dhíreach ar na sonraí seo ó Bleachbit, ansin, bain úsáid as an bhfeidhm "scrios comhaid/eolaire go buan".
Chun “comhaid scriosta ag baint úsáide as uirlisí caighdeánacha OS” a bhaint i Windows, úsáid CCleaner/BB leis an bhfeidhm “OSP”. In GNU/Linux faoin bhfadhb seo (scrios comhaid scriosta) ní mór duit cleachtadh a fháil leat féin (sonraí a scriosadh + iarracht neamhspleách chun é a chur ar ais agus níor cheart duit brath ar an leagan bogearraí (mura leabharmharc é, ansin fabht)), ach amháin sa chás seo beidh tú in ann meicníocht na faidhbe seo a thuiscint agus fáil réidh leis na sonraí a scriosadh go hiomlán.

Níor thástáil mé Bleachbit v3.0, seans go bhfuil an fhadhb socraithe cheana féin.
Oibríonn Bleachbit v2.0 go hionraic.

Ag an gcéim seo, tá glanadh diosca críochnaithe.

[E] Cúltaca uilíoch den OS criptithe

Tá a modh féin ag gach úsáideoir chun sonraí a thacú, ach éilíonn sonraí criptithe System OS cur chuige beagán difriúil don tasc. Ní féidir le bogearraí aontaithe, ar nós Clonezilla agus bogearraí comhchosúla, oibriú go díreach le sonraí criptithe.

Ráiteas faoin bhfadhb a bhaineann le cúltaca de ghléasanna bloc criptithe:

1. uilíocht - an t-algartam/bogearraí cúltaca céanna do Windows/Linux;
2. an cumas oibriú sa chonsól le haon usb beo GNU/Linux gan gá le híoslódálacha bogearraí breise (ach molaim GUI fós);
3. slándáil cóipeanna cúltaca - ní mór “íomhánna” stóráilte a chriptiú/cosanta le pasfhocal;
4. ní mór méid na sonraí criptithe a bheith ag freagairt do mhéid na sonraí iarbhír atá á gcóipeáil;
5. eastóscadh áisiúil na gcomhad riachtanach ó chóip chúltaca (ní gá an chuid iomlán a dhíchriptiú ar dtús).

Mar shampla, cúltaca/athchóirigh tríd an bhfóntas “dd”.

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

Freagraíonn sé le beagnach gach pointe den tasc, ach de réir phointe 4 ní seasann sé le cáineadh, ós rud é go ndéanann sé cóipeáil ar dheighilt iomlán an diosca, lena n-áirítear spás saor in aisce - ní suimiúil.

Mar shampla, cúltaca GNU/Linux tríd an gcartlann [tar" | gpg] áisiúil, ach le haghaidh cúltaca Windows ní mór duit réiteach eile a lorg - níl sé suimiúil.

E1. Cúltaca Uilíoch Windows/Linux. Nasc rsync (Grsync)+ toirt VeraCryptAlgartam chun cóip chúltaca a chruthú:

1. coimeádán criptithe a chruthú (imleabhar/comhad) VeraCrypt le haghaidh OS;
2. an OS a aistriú/shioncronú ag baint úsáide as bogearraí Rsync isteach sa choimeádán cripte VeraCrypt;
3. más gá, an t-imleabhar VeraCrypt a uaslódáil chuig www.

Tá a saintréithe féin ag cruthú coimeádán VeraCrypt criptithe:
toirt dinimiciúil a chruthú (tá cruthú DT ar fáil i Windows amháin, is féidir é a úsáid in GNU/Linux freisin);
toirt rialta a chruthú, ach tá “carachtar paranóideach” riachtanach (de réir an fhorbróra) – formáidiú coimeádáin.

Cruthaítear toirt dinimiciúil beagnach láithreach i Windows, ach nuair a dhéantar sonraí a chóipeáil ó GNU/Linux> VeraCrypt DT, laghdaítear feidhmíocht fhoriomlán na hoibríochta cúltaca go suntasach.

Cruthaítear toirt Twofish rialta 70 GB (a ligean le rá, ar chumhacht ríomhaire meán) go HDD ~ i leath uair an chloig (Is mar gheall ar riachtanais slándála a fhorscríobhtar sonraí an iar-choimeádáin in aon phas amháin). Baineadh an fheidhm chun toirt a fhormáidiú go tapa agus é á chruthú ó VeraCrypt Windows/Linux, mar sin ní féidir coimeádán a chruthú ach trí “athscríobh pas amháin” nó trí toirt dinimiciúil ísealfheidhmíochta a chruthú.

Cruthaigh toirt VeraCrypt rialta (ní dinimiciúil/ntfs), níor cheart go mbeadh aon fhadhbanna ann.

Cumraigh/cruthaigh/oscail coimeádán i VeraCrypt GUI> GNU/Linux beo usb (cuirfear an t-imleabhar go huathoibríoch chuig /media/veracrypt2, suiteálfar imleabhar Windows OS ar /media/veracrypt1). Cúltaca criptithe de Windows OS a chruthú ag baint úsáide as GUI rsync (grsync)trí na boscaí a sheiceáil.

Fan go gcríochnóidh an próiseas. Nuair a bheidh an cúltaca críochnaithe, beidh comhad criptithe amháin againn.

Ar an gcaoi chéanna, cruthaigh cóip chúltaca den GNU/Linux OS tríd an ticbhosca “Comhoiriúnacht Windows” a dhíthiceáil sa rsync GUI.

Aird! cruthaigh coimeádán Veracrypt le haghaidh “cúltaca GNU/Linux” sa chóras comhad ext4. Má dhéanann tú cúltaca de choimeádán ntfs, ansin nuair a chuireann tú cóip dá leithéid ar ais, caillfidh tú gach ceart/grúpa ar do shonraí go léir.

Is féidir na hoibríochtaí go léir a dhéanamh sa chríochfort. Roghanna bunúsacha le haghaidh rsync:
* -g -shábháil grúpaí;
* -P —dul chun cinn — stádas an ama a chaitear ag obair ar an gcomhad;
* -H - cóipeáil na naisc chrua mar atá;
* -a - modh cartlainne (bratacha iolracha rlptgoD);
* -v -verbalization.

Más mian leat “toirt Windows VeraCrypt” a shuiteáil tríd an consól sna bogearraí criptithe, is féidir leat ailias (su) a chruthú

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

Anois spreagfaidh an t-ordú “pictiúir fíormhéid” tú pasfhrása a chur isteach, agus beidh an toirt criptithe chórais Windows suite san OS.

Map/mount VeraCrypt toirt an chórais in ordú criptsetup

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

Déan deighilt/coimeádán VeraCrypt a mhapáil/mount in ordú criptithe

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

In ionad ailias, cuirfimid (script chun tosaithe) toirt córais le Windows OS agus diosca ntfs criptithe loighciúil le tosaithe GNU/Linux

Cruthaigh script agus sábháil in ~/VeraOpen.sh í

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

Dáileann muid na cearta “cearta”:

sudo chmod 100 /VeraOpen.sh

Cruthaigh dhá chomhad chomhionanna (an t-ainm céanna!) in /etc/rc.local agus ~/etc/init.d/rc.local
Na comhaid a líonadh

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

Dáileann muid na cearta “cearta”:

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local 

Sin é, anois agus GNU/Linux á luchtú againn ní gá dúinn pasfhocail a chur isteach chun dioscaí ntfs criptithe a shuiteáil, tá na dioscaí gléasta go huathoibríoch.

Nóta gairid faoina bhfuil cur síos air thuas i mír E1 céim ar chéim (ach anois le haghaidh OS GNU/Linux)
1) Cruthaigh toirt i fs ext4 > 4gb (le haghaidh comhad) Linux i Veracrypt [Cryptbox].
2) Atosaigh chun beo usb.
3) ~$ cryptsetup oscailte /dev/sda7 Lunux #mapping críochdheighilte criptithe.
4) ~$ mount /dev/mapper/Linux /mnt #mount an deighilt criptithe go /mnt.
5) ~$ mkdir mnt2 # eolaire a chruthú le haghaidh cúltaca sa todhchaí.
6) ~$ cryptsetup oscailte —veracrypt —type tcrypt ~/CryptoBox CryptoBox && mount / dev/mapper/CryptoBox /mnt2 #Map a Veracrypt volume darb ainm “CryptoBox” agus mount an CryptoBox go /mnt2.
7) ~$ rsync -avlxhHX —dul chun cinn /mnt /mnt2/ # oibriú cúltaca de dheighilt criptithe go dtí toirt Veracrypt criptithe.

(p/s/ Aird! Má tá tú ag aistriú GNU/Linux criptithe ó ailtireacht/meaisín amháin go ceann eile, mar shampla, Intel > AMD (is é sin, cúltaca a imscaradh ó dheighilt criptithe amháin go críochdheighilt criptithe Intel> AMD eile), Ná déan dearmad Tar éis duit an OS criptithe a aistriú, cuir an eochair ionad rúnda in eagar in ionad an fhocail faire, b'fhéidir. ní bheidh an eochair roimhe ~/etc/skey - oiriúnach do dheighilt chriptithe eile a thuilleadh, agus níl sé inmholta eochair nua "cryptsetup luksAddKey" a chruthú ó under chroot - is féidir glitch, díreach i ~/etc/crypttab sonraigh ina ionad “/etc/skey” go sealadach “nada”, tar éis rebot agus logáil isteach san OS, athchruthaigh d’eochair saoróg rúnda arís).

Mar veterans TF, cuimhnigh cúltacaí a dhéanamh ar leithligh de cheanntásca na ndeighiltí criptithe Windows/Linux OS, nó rachaidh an criptiú i do choinne.
Ag an gcéim seo, cuirtear cúltaca an OS criptithe i gcrích.

[F] Ionsaí ar an tosaitheoir GRUB2

SonraíMá tá do thosaitheoir cosanta agat le síniú digiteach agus/nó fíordheimhniú (féach pointe C6.), ansin ní chosnóidh sé seo i gcoinne rochtain fhisiciúil. Ní bheidh rochtain fós ar shonraí criptithe, ach seachnófar an chosaint (cosaint síniú digiteach a athshocrú) Ligeann GRUB2 do chibear-villain a chód a instealladh isteach sa bootloader gan amhras a ardú (mura ndéanann an t-úsáideoir monatóireacht de láimh ar staid an bootloader, nó má thagann sé suas lena cód láidir treallach-script féin le haghaidh grub.cfg).

Algartam ionsaí. Ionróir

* Buataisí ríomhaire ó usb beo. Aon athrú (violator) Cuirfidh comhaid fíor-úinéir an ríomhaire ar an eolas faoin gcur isteach ar an tosaitheoir. Ach athshuiteáil simplí de GRUB2 ag coinneáil grub.cfg (agus an cumas é a chur in eagar ina dhiaidh sin) ligfidh sé d'ionsaitheoir aon chomhaid a chur in eagar (sa chás seo, agus GRUB2 á luchtú, ní thabharfar fógra don fhíorúsáideoir. Tá an stádas mar an gcéanna <0>)
* Suiteáiltear críochdheighilt neamhchriptithe, stóráiltear “/mnt/boot/grub/grub.cfg”.
* Athshuiteálann sé an tosaitheoir ("perskey" a bhaint den íomhá core.img)

grub-install --force --root-directory=/mnt /dev/sda6

* Filleann “grub.cfg” > “/mnt/boot/grub/grub.cfg”, in eagar é más gá, mar shampla, do mhodúl “keylogger.mod” a chur leis an bhfillteán le modúil lódóra, in “grub.cfg” > líne "insmod keylogger". Nó, mar shampla, má tá an namhaid cunning, ansin tar éis reinstalling GRUB2 (Fanann gach síniú i bhfeidhm) tógann sé príomh-íomhá GRUB2 ag baint úsáide as "grub-mkimage le rogha (-c)." Ligfidh an rogha “-c” duit do chumraíocht a lódáil sula lódálann tú an príomh-"grub.cfg". Ní féidir ach líne amháin a bheith sa chumraíocht: atreorú chuig aon “modern.cfg”, measctha, mar shampla, le ~400 comhad (modúil + sínithe) san fhillteán "/boot/grub/i386-pc". Sa chás seo, is féidir le hionsaitheoir cód treallach agus modúil a luchtú a chur isteach gan cur isteach ar “/boot/grub/grub.cfg”, fiú má chuir an t-úsáideoir “hashsum” i bhfeidhm ar an gcomhad agus é a thaispeáint go sealadach ar an scáileán.
Ní bheidh ar ionsaitheoir logáil isteach/pasfhocal sár-úsáideoir GRUB2 a hack; ní bheidh air ach na línte a chóipeáil (freagrach as fíordheimhniú) "/boot/grub/grub.cfg" chuig do "modern.cfg"

socraigh superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

Agus beidh úinéir an ríomhaire fós fíordheimhnithe mar an superuser GRUB2.

Slabhra á luchtú (luchtaíonn an tosaitheoir lódóir eile), mar a scríobh mé thuas, nach bhfuil ciall leis (tá sé beartaithe chun críche eile). Ní féidir tosaitheoir criptithe a luchtú mar gheall ar BIOS (atosaíonn an tosaithe slabhra GRUB2 > GRUB2 criptithe, earráid!). Mar sin féin, má úsáideann tú an smaoineamh ar luchtú slabhra fós, is féidir leat a bheith cinnte gurb é an ceann criptithe atá á luchtú. (gan nuachóiriú) "grub.cfg" ón deighilt criptithe. Agus is braistint bhréagach slándála é seo freisin, toisc go bhfuil gach rud a léirítear sa “grub.cfg” criptithe (lódáil modúil) cuireann sé suas le modúil a luchtaítear ó GRUB2 neamhchriptithe.

Más mian leat é seo a sheiceáil, ansin leithroinn/criptigh deighilt eile sdaY, cóipeáil GRUB2 chuige (ní féidir oibriú grub-shuiteála ar dheighilt criptithe) agus i "grub.cfg" (cumraíocht neamhchriptithe) athraigh línte mar seo

roghchlár 'GRUBx2' --class parrot --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
luchtú_físeán
insmod gzio
má tá [ x$grub_platform = xxen ] ; ansin insmod xzio; insmod lzopio; fi
insmod cuid_msdos
insmod criptithe
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
gnáth /boot/grub/grub.cfg
}

línte
* insmod - na modúil riachtanacha a luchtú chun oibriú le diosca criptithe;
* GRUBx2 - ainm na líne ar taispeáint i roghchlár tosaithe GRUB2;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -féach. fdisk -l (sda9);
* fréamh a leagan síos - fréimhe a shuiteáil;
* gnáth /boot/grub/grub.cfg - comhad cumraíochta inrite ar dheighilt criptithe.

Is freagra dearfach é muinín a bheith agat gurb é an “grub.cfg” criptithe atá luchtaithe agus an focal faire a iontráil/díghlasáil “sdaY” nuair a roghnaíonn tú an líne “GRUBx2” sa roghchlár GRUB.

Nuair a bheidh tú ag obair sa CLI, ionas nach a fháil ar dhaoine eatarthu (agus seiceáil ar oibrigh an athróg timpeallachta “set root”), cruthaigh comhaid chomharthaí folamh, mar shampla, sa chuid criptithe “/shifr_grub”, sa roinn neamhchriptithe “/noshifr_grub”. Ag seiceáil sa CLI

cat /Tab-Tab

Mar a luadh thuas, ní chuideoidh sé seo le modúil mhailíseach a íoslódáil má chríochnaíonn modúil dá leithéid ar do ríomhaire. Mar shampla, keylogger a bheidh in ann eochairbhuillí a shábháil ar chomhad agus é a mheascadh le comhaid eile i “~/i386” go dtí go n-íoslódálann ionsaitheoir é a bhfuil rochtain fhisiciúil aige ar an ríomhaire.

Is é an bealach is éasca chun a fhíorú go bhfuil cosaint sínithe digiteach ag obair go gníomhach (gan athshocrú), agus níl aon duine tar éis ionradh a dhéanamh ar an bootloader, cuir isteach an t-ordú sa CLI

list_trusted

mar fhreagra faigheann muid cóip dár “perskey”, nó ní fhaighimid rud ar bith má ionsaítear sinn (ní mór duit "seiceáil check_signatures=enforce a shocrú freisin").
Míbhuntáiste suntasach den chéim seo ná orduithe a iontráil de láimh. Má chuireann tú an t-ordú seo le “grub.cfg” agus má chosnaíonn tú an cumraíocht le síniú digiteach, ansin tá réamh-aschur an eochairghlactha ar an scáileán ró-ghearr ó thaobh ama de, agus seans nach mbeidh am agat an t-aschur a fheiceáil tar éis duit GRUB2 a lódáil .
Níl aon duine go háirithe chun éileamh a dhéanamh ar: an forbróir ina doiciméadú dearbhaíonn clásal 18.2 go hoifigiúil

“Tabhair faoi deara, fiú le cosaint pasfhocail GRUB, ní féidir le GRUB féin cosc ​​a chur ar dhuine a bhfuil rochtain fhisiciúil acu ar an meaisín ó chumraíocht fhirmware an mheaisín sin (m.sh., Coreboot nó BIOS) a athrú chun an meaisín a thosú ó ghléas eile (faoi rialú ionsaitheoir). Níl sa GRUB ach nasc amháin i slabhra tosaithe slán."

Tá GRUB2 ró-ualaithe le feidhmeanna ar féidir leo mothú slándála bréagach a thabhairt, agus tá a fhorbairt tar éis dul i ngleic le MS-DOS cheana féin i dtéarmaí feidhmiúlachta, ach níl ann ach bootloader. Tá sé greannmhar gur féidir le GRUB2 - "amárach" a bheith ina OS, agus ina mheaisíní fíorúla GNU/Linux bootable dó.

Físeán gearr faoi conas a athshocróim cosaint sínithe digiteach GRUB2 agus mar a dhearbhaigh mé mo chur isteach ar úsáideoir fíor (Tá eagla orm ort, ach in ionad an méid a thaispeántar san fhíseán, is féidir leat cód treallach neamhdhíobhálach / .mod a scríobh).

Conclúidí:

1) Tá sé níos éasca criptiú córais bloc do Windows a chur i bhfeidhm, agus tá cosaint le pasfhocal amháin níos áisiúla ná cosaint le roinnt pasfhocail le criptiú blocchóras GNU/Linux, le bheith cothrom: tá an dara ceann acu uathoibrithe.

2) Scríobh mé an t-alt mar ábhartha agus mionsonraithe simplí treoir ar chriptiú lán-diosca VeraCrypt/LUKS ar bhaile amháin an meaisín, atá ar an gceann is fearr i bhfad i RuNet (IMHO). Tá an treoir > 50k carachtar ar fad, mar sin níor chlúdaigh sé roinnt caibidlí suimiúla: cripteagrafóirí a imíonn / a choinníonn sa scáth; faoin bhfíric gur beag a scríobhann/nach scríobhann siad faoi chripteagrafaíocht i leabhair éagsúla GNU/Linux; faoi ​​Airteagal 51 de Bhunreacht Chónaidhm na Rúise; O ceadúnú/cosc criptithe i Gcónaidhm na rúise, faoin bhfáth ar gá duit “root/boot” a chriptiú. Bhí an treoir go leor fairsing, ach mionsonraithe. (ag cur síos ar chéimeanna simplí fiú), ina dhiaidh sin, sábhálfaidh sé seo go leor ama duit nuair a shroicheann tú an “fíorchriptiú”.

3) Rinneadh criptiú diosca iomlán ar Windows 7 64; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.

4) Ionsaí rathúil i bhfeidhm ar a GRUB2 tosaitheoir.

5) Cruthaíodh teagaisc chun cabhrú leis na daoine paranoideacha go léir sa CIS, áit a gceadaítear oibriú le criptiú ag an leibhéal reachtach. Agus go príomha dóibh siúd ar mian leo criptiú diosca iomlán a rolladh amach gan a gcuid córas cumraithe a scartáil.

6) Mo lámhleabhar a athoibriú agus a nuashonrú, atá ábhartha in 2020.

[G] Doiciméid úsáideacha

1. TrueCrypt lámhleabhar úsáideora (Feabhra 2012 RU)
2. Doiciméadúchán VeraCrypt
3. /usr/share/doc/cryptsetup(-run) [acmhainn áitiúil] (cáipéisíocht mhionsonraithe oifigiúil maidir le criptiúchán GNU/Linux a shocrú le cripteagrú)
4. Socrú criptithe Ceisteanna Coitianta oifigiúil (cáipéisíocht ghairid maidir le criptiúchán GNU/Linux a shocrú le cripteagrú)
5. Criptiú gléas LUKS (doiciméadú archlinux)
6. Cur síos mionsonraithe ar chomhréir cryptsetup (leathanach fear áirse)
7. Cur síos mionsonraithe ar crypttab (leathanach fear áirse)
8. Doiciméadúchán oifigiúil GRUB2.

Clibeanna: criptiú diosca iomlán, criptiú críochdheighilte, criptiú diosca iomlán Linux, criptiú córas iomlán LUKS1.

Ní féidir ach le húsáideoirí cláraithe páirt a ghlacadh sa suirbhé. Sínigh isteach, le do thoil.

An bhfuil tú ag criptiú?

• 17,1%Criptím gach rud is féidir liom. is paranoid mé.14

• 34,2%Ní chreidim ach sonraí tábhachtacha.28

• 14,6%Uaireanta criptím, uaireanta déanaim dearmad.12

• 34,2%Ní féidir liom criptiú, tá sé deacair agus costasach.28

Vótáil 82 úsáideoir. Staon 22 úsáideoir.

Foinse: will.com