Crioptachadh làn diosc de shiostaman stàlaichte Windows Linux. Ioma-bhròg crioptaichte

An stiùireadh agad fhèin ùrachadh mu chrioptachadh làn-diosg ann an RuNet V0.2.

Ro-innleachd Cowboy:

[A] Windows 7 siostam a’ bacadh crioptachadh an t-siostam stàlaichte;
[B] crioptachadh bloc siostam GNU/Linux (Debian) siostam stàlaichte (a’ gabhail a-steach / bròg);
[C] rèiteachadh GRUB2, dìon bootloader le ainm-sgrìobhte didseatach / dearbhadh / hashing;
[D] stripping - sgrios dàta gun chrioptachadh;
[E] cùl-taic uile-choitcheann de OS crioptaichte;
[F] ionnsaigh <air nì [C6]> targaid - bootloader GRUB2;
[G] sgrìobhainnean cuideachail.

╭─── Sgeama #room 40# :
├──╼ Windows 7 air a chuir a-steach - crioptachadh siostam slàn, gun a bhith falaichte;
├──╼ GNU/Linux air a chuir a-steach (Debian agus sgaoilidhean derivative) - crioptachadh siostam slàn, gun a bhith falaichte(/, a’ gabhail a-steach / bròg; suaip);
├──╼ bootloaders neo-eisimeileach: tha VeraCrypt bootloader air a chuir a-steach don MBR, tha bootloader GRUB2 air a chuir a-steach don sgaradh leudaichte;
├ ─ ─ ╼ chan eil feum air stàladh / ath-shuidheachadh OS;
└──╼ bathar-bog crioptach air a chleachdadh: VeraCrypt; Cryptsetup; GnuPG; Each-mara; Hashdeep; Tha GRUB2 saor/saor.

Tha an sgeama gu h-àrd gu ìre a’ fuasgladh na duilgheadas “bròg iomallach gu draibhear flash”, a’ leigeil leat tlachd fhaighinn bho OS Windows/Linux crioptaichte agus iomlaid dàta tro “seanal crioptaichte” bho aon OS gu fear eile.

Òrdugh tòiseachaidh PC (aon de na roghainnean):

• tionndadh air an inneal;
• Luchdaich a-nuas bootloader VeraCrypt (le bhith a’ dol a-steach am facal-faire ceart leanaidh sin a’ tòiseachadh Windows 7);
• ma bhriogas tu air an iuchair “Esc” luchdaichidh tu an bootloader GRUB2;
• Bathar-bog airson GRUB2 luchdadh a-nuas (tagh sgaoileadh / GNU / Linux / CLI), bidh feum air dearbhadh air sàr-chleachdaiche GRUB2 <login/password>;
• às deidh dhut an sgaoileadh a dhearbhadh agus a thaghadh gu soirbheachail, feumaidh tu abairt-fhaire a chuir a-steach gus “/boot/initrd.img” fhuasgladh;
• às deidh dha faclan-faire gun mhearachd a chuir a-steach, bidh GRUB2 “ag iarraidh” inntrigeadh facal-faire (san treas àite, facal-faire BIOS no facal-faire cunntas cleachdaiche GNU/Linux - na smaoinich) gus GNU/Linux OS fhuasgladh agus a thòiseachadh, no iuchair dhìomhair a chuir na àite gu fèin-ghluasadach (dà fhacal-faire + iuchair, no facal-faire + iuchair);
• cuiridh sàrachadh bhon taobh a-muigh a-steach don rèiteachadh GRUB2 am pròiseas tòiseachaidh GNU / Linux.

Trioblaideach? Ceart gu leòr, rachamaid air na pròiseasan a dhèanamh fèin-ghluasadach.

Nuair a bhios tu a’ sgaradh an diosg cruaidh (clàr MBR) Chan fhaod PC a bhith nas fhaide na 4 prìomh earrannan, no 3 prìomh agus aon leudaichte, a bharrachd air àite nach eil air a riarachadh. Faodaidh fo-roinnean a bhith ann an earrann leudaichte, eu-coltach ris a’ phrìomh fhear (draibhearan loidsigeach = sgaradh leudaichte). Ann am faclan eile, tha an “dealachadh leudaichte” air an HDD a ’dol an àite LVM airson a’ ghnìomh a tha ri làimh: crioptachadh siostam iomlan. Ma tha an diosc agad air a roinn ann an 4 prìomh phàirtean, feumaidh tu lvm a chleachdadh, no cruth-atharrachadh (le cruth) earrann bho phrìomh gu adhartach, no cleachd na ceithir earrannan gu ciallach agus fàg a h-uile càil mar a tha, a’ faighinn an toradh a tha thu ag iarraidh. Fiù ma tha aon sgaradh agad air an diosc agad, cuidichidh Gparted thu gus an HDD agad a sgaradh (airson earrannan a bharrachd) gun call dàta, ach fhathast le peanas beag airson gnìomhan mar sin.

Tha an sgeama cruth cruaidh-chruaidh, co-cheangailte ris an tèid an artaigil gu lèir a bhruidhinn, air a thaisbeanadh sa chlàr gu h-ìosal.

Clàr (Àireamh 1) de phàirtean 1TB.

Bu chòir rudeigin coltach ris a bhith agad cuideachd.
sda1 - prìomh sgaradh Àir. 1 NTFS (crioptaichte);
sda2 - comharradh earrann leudaichte;
sda6 - diosg loidsigeach (tha an bootloader GRUB2 air a chuir a-steach);
sda8 - suaip (faidhle suaip crioptaichte / chan ann an-còmhnaidh);
sda9 - diosc loidsigeach deuchainn;
sda5 - diosg loidsigeach airson an neònach;
sda7 - GNU/Linux OS (OS air a ghluasad gu diosc loidsigeach crioptaichte);
sda3 - prìomh sgaradh Àir. 2 le Windows 7 OS (crioptaichte);
sda4 - prìomh earrann Àir. 3 (bha GNU/Linux neo-chrioptaichte ann, air a chleachdadh airson cùl-taic/chan ann an-còmhnaidh).

[A] Windows 7 System Block Encryption

A1. VeraCrypt

Luchdaich sìos bho Ceanglaichean làraich, no as an sgàthan bun-fhiosrachadh dreach stàlaidh de bhathar-bog criptografach VeraCrypt (aig àm foillseachaidh an artaigil v1.24-Update3, chan eil an dreach so-ghiùlain de VeraCrypt freagarrach airson crioptachadh siostaim). Thoir sùil air checkum am bathar-bog a chaidh a luchdachadh sìos

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

agus dèan coimeas eadar an toradh agus an CS a chaidh a phostadh air làrach-lìn leasaiche VeraCrypt.

Ma tha bathar-bog HashTab air a chuir a-steach, tha e eadhon nas fhasa: RMB (Suidhich VeraCrypt 1.24.exe)-properties - hash suim faidhlichean.

Gus ainm-sgrìobhte a’ phrògraim a dhearbhadh, feumar am bathar-bog agus iuchair pgp poblach an leasaiche a chuir a-steach air an t-siostam gnuPG; gpg4win.

A2. A’ stàladh/ruith bathar-bog VeraCrypt le còraichean rianadair

A3. A’ taghadh paramadairean crioptachaidh an t-siostaim airson an sgaradh gnìomhachVeraCrypt - Siostam - crioptachadh sgaradh / diosc siostam - àbhaisteach - crioptachadh sgaradh siostam Windows - Multiboot - (rabhadh: “Chan eilear a’ moladh do luchd-cleachdaidh gun eòlas an dòigh seo a chleachdadh" agus tha seo fìor, tha sinn ag aontachadh “Tha”) - Boot diosc (“tha”, fiù mura h-eil, fhathast “tha”) - An àireamh de dhioscaichean siostam “2 no barrachd” - Grunn shiostaman air aon diosc “Tha” - bootloader neo-Windows “Chan eil” (gu dearbh, “Tha,” ach cha bhith na luchdan bròg VeraCrypt / GRUB2 a ’roinn an MBR eatorra fhèin; nas mionaidiche, chan eil ach am pàirt as lugha de chòd luchdan boot air a stòradh anns an t-slighe MBR / bròg, is e am prìomh phàirt dheth suidhichte taobh a-staigh an t-siostam faidhle) - Multiboot - Roghainnean crioptachaidh…

Ma ghluaiseas tu bho na ceumannan gu h-àrd (sgeamaichean crioptachaidh siostam bloc), an uairsin cuiridh VeraCrypt a-mach rabhadh agus cha leig e leat an sgaradh a chrioptachadh.

Anns an ath cheum a dh’ ionnsaigh dìon dàta cuimsichte, dèan “Deuchainn” agus tagh algairim crioptachaidh. Ma tha seann CPU agad, is coltaiche gur e Twofish an algorithm crioptachaidh as luaithe. Ma tha an CPU cumhachdach, chì thu an diofar: bidh crioptachadh AES, a rèir toraidhean an deuchainn, grunn thursan nas luaithe na na farpaisich crypto aige. Tha AES na algairim crioptachaidh mòr-chòrdte; tha bathar-cruaidh CPUan an latha an-diugh air an ùrachadh gu sònraichte airson an dà chuid “dìomhair” agus “hacking”.

Tha VeraCrypt a’ toirt taic don chomas diosgan a chrioptachadh ann an cascade AES(Dà iasg)/ agus measgachadh eile. Air seann CPU Intel bho chionn deich bliadhna (às aonais taic bathar-cruaidh airson AES, crioptachadh cascade A / T) Tha an lùghdachadh ann an coileanadh gu ìre mhòr do-fhaicsinneach. (airson CPUan AMD den aon àm / ~ paramadairean, tha coileanadh air a lughdachadh beagan). Bidh an OS ag obair gu dinamach agus tha caitheamh ghoireasan airson crioptachadh follaiseach do-fhaicsinneach. An coimeas ri sin, mar eisimpleir, tha lùghdachadh follaiseach ann an coileanadh mar thoradh air an àrainneachd deuchainn deuchainn neo-sheasmhach a chaidh a chuir a-steach Mate v1.20.1 (no v1.20.2 chan eil cuimhne agam gu cinnteach) ann an GNU/Linux, no mar thoradh air a’ chleachdadh telemetry ann an Windows7↑. Mar as trice, bidh luchd-cleachdaidh eòlach a’ dèanamh deuchainnean coileanaidh bathar-cruaidh mus tèid an crioptachadh. Mar eisimpleir, ann an Aida64 / Sysbench / systemd-anailis tha a’ choire air a choimeas ri toraidhean nan aon dheuchainnean às deidh dhaibh an siostam a chrioptachadh, agus mar sin a’ dol an aghaidh a’ mhiotais dhaibh fhèin gu bheil “crioptachadh siostaim cronail.” Tha slaodachadh an inneil agus mì-ghoireasachd follaiseach nuair a thathar a’ cumail suas / ag ath-nuadhachadh dàta crioptaichte, leis nach eil gnìomhachd “glèidhidh dàta an t-siostaim” fhèin air a thomhas ann an ms, agus tha an aon rud <dì-chrioptachadh / crioptachadh air an itealan> air an cur ris. Aig a 'cheann thall, bidh gach neach-cleachdaidh a tha ceadaichte a bhith a' tinker le cryptography a 'cothromachadh an algairim crioptachaidh an aghaidh riarachadh nan gnìomhan a tha ri làimh, an ìre paranoia aca, agus furasta an cleachdadh.

Tha e nas fheàrr am paramadair PIM fhàgail mar an àbhaist, gus nach fheum thu na dearbh luachan ath-aithris a chuir a-steach gach turas nuair a bhios tu a’ luchdachadh an OS. Bidh VeraCrypt a’ cleachdadh àireamh mhòr de dh’ itealain gus “hash slaodach” a chruthachadh. Tha ionnsaigh air a leithid de “seilg crypto” a’ cleachdadh modh bùird feachd Brute/bogha-froise a’ dèanamh ciall a-mhàin le abairt-fhaire goirid “sìmplidh” agus liosta charset pearsanta an neach-fulaing. Is e a’ phrìs a phàigheas airson neart facal-faire dàil ann a bhith a’ dol a-steach don fhacal-fhaire cheart nuair a bhios tu a’ luchdachadh an OS. (tha a bhith a’ cur suas meudan VeraCrypt ann an GNU/Linux gu math nas luaithe).
Bathar-bog airson brute force saor an asgaidh (thoir a-mach abairt-fhaire bho bhann-cinn diosc VeraCrypt/LUKS) Hashcat. Chan eil fios aig John the Ripper mar a bhriseas e Veracrypt, agus nuair a bhios e ag obair le LUKS chan eil e a’ tuigsinn crioptachadh Twofish.

Air sgàth neart cryptographic algorithms crioptachaidh, tha cypherpunks neo-sheasmhach a’ leasachadh bathar-bog le vectar ionnsaigh eadar-dhealaichte. Mar eisimpleir, toirt a-mach meata-dàta/iuchraichean bho RAM (bròg fuar / ionnsaigh ruigsinneachd cuimhne dìreach), Tha bathar-bog sònraichte an-asgaidh agus neo-saor airson na h-adhbharan sin.

Às deidh crìoch a chuir air stèidheachadh / gineadh “meata-dàta gun samhail” den sgaradh gnìomhach crioptaichte, bidh VeraCrypt a ’tabhann am PC ath-thòiseachadh agus deuchainn a dhèanamh air comasachd a luchd-tòiseachaidh. Às deidh dha Windows ath-thòiseachadh / tòiseachadh, luchdaichidh VeraCrypt ann am modh cùl-taic, chan eil air fhàgail ach am pròiseas crioptachaidh a dhearbhadh - Y.

Aig a’ cheum mu dheireadh de chrioptachadh an t-siostaim, tairgidh VeraCrypt leth-bhreac cùl-taic a chruthachadh de bhann-cinn an sgaradh gnìomhach crioptaichte ann an cruth “veracrypt rescue disk.iso” - feumar seo a dhèanamh - anns a 'bhathar-bhog seo tha a leithid de dh' obair riatanach (ann an LUKS, mar riatanas - gu mì-fhortanach tha seo air fhàgail às, ach tha cuideam air anns na sgrìobhainnean). Bidh diosc teasairginn feumail don h-uile duine, agus dha cuid barrachd air aon uair. Cailleadh (ceann-cinn / MBR ath-sgrìobhadh) bidh leth-bhreac cùl-taic den cheann-cinn gu maireannach a’ diùltadh ruigsinneachd don sgaradh dì-chrioptaichte le OS Windows.

A4. A’ cruthachadh USB/diosc teasairginn VeraCryptGu gnàthach, tha VeraCrypt a’ tabhann “~ 2-3MB de mheata-dàta” a losgadh gu CD, ach chan eil diosgan no draibhearan DWD-ROM aig a h-uile duine, agus bidh e na iongnadh teignigeach dha cuid a bhith a’ cruthachadh draibhear flash bootable “VeraCrypt Rescue disk”: Cha bhith e comasach dha Rufus / GUIdd-ROSA ImageWriter agus bathar-bog eile den leithid dèiligeadh ris a’ ghnìomh, oir a bharrachd air a bhith a’ dèanamh leth-bhreac de mheata-dàta cuir dheth gu draibhear flash bootable, feumaidh tu an ìomhaigh a chopaigeadh / a phasgadh taobh a-muigh siostam faidhle an draibh USB, ann an ùine ghoirid, dèan lethbhreac ceart den MBR / rathad gu keychain. Faodaidh tu dreach flash bootable a chruthachadh bho GNU/Linux OS a’ cleachdadh an goireas “dd”, a’ coimhead air an t-soidhne seo.

Tha cruthachadh diosc teasairginn ann an àrainneachd Windows eadar-dhealaichte. Cha do chuir leasaiche VeraCrypt a-steach am fuasgladh don duilgheadas seo san oifigear sgrìobhainnean le “diosg teasairginn”, ach mhol e fuasgladh ann an dòigh eadar-dhealaichte: chuir e suas bathar-bog a bharrachd airson “diosg teasairginn usb” a chruthachadh airson ruigsinneachd an-asgaidh air an fhòram VeraCrypt aige. Tha tasglann a’ bhathar-bhog seo airson Windows “a’ cruthachadh diosc teasairginn usb veracrypt”. Às deidh dha sàbhaladh disk.iso a shàbhaladh, tòisichidh am pròiseas crioptachadh siostam bloc den sgaradh gnìomhach. Rè crioptachadh, cha stad gnìomhachd an OS; chan eil feum air ath-thòiseachadh PC. Nuair a bhios an obair crioptachaidh deiseil, bidh am pàirt gnìomhach air a chrioptachadh gu h-iomlan agus faodar a chleachdadh. Mura nochd am boot loader VeraCrypt nuair a thòisicheas tu air a’ PC, agus nach cuidich an obair ath-bheothachaidh bann-cinn, thoir sùil air a’ bhratach “boot”, feumaidh e a bhith air a shuidheachadh chun an sgaradh far a bheil Windows an làthair. (a dh'aindeoin crioptachadh agus OS eile, faic clàr Àir. 1).
Bidh seo a’ crìochnachadh an tuairisgeul air crioptachadh siostam bloca le Windows OS.

[B]LUCAS. crioptachadh GNU/Linux (~Debian) OS air a stàladh. Algorithm agus Steps

Gus cuairteachadh Debian / derivative a chaidh a chuir a-steach a chrioptachadh, feumaidh tu an sgaradh ullaichte a mhapadh gu inneal bloc brìgheil, a ghluasad chun diosc GNU / Linux air a mhapadh, agus GRUB2 a stàladh / a rèiteachadh. Mura h-eil frithealaiche meatailt lom agad, agus gu bheil luach agad air an ùine agad, feumaidh tu an GUI a chleachdadh, agus tha còir aig a’ mhòr-chuid de na h-òrdughan crìochnachaidh a tha air am mìneachadh gu h-ìosal a bhith air an ruith ann am modh Chuck-Norris.

B1. A’ tòiseachadh PC bho usb beò GNU/Linux

“Dèan deuchainn crypto airson coileanadh bathar-cruaidh”

lscpu && сryptsetup benchmark

Ma tha thu nad neach-seilbh toilichte càr cumhachdach le taic bathar-cruaidh AES, bidh na h-àireamhan coltach ri taobh deas a’ chrìoch; ma tha thu nad neach-seilbh toilichte, ach le seann bhathar-cruaidh, bidh na h-àireamhan coltach ris an taobh chlì.

B2. Eadar-dhealachadh diosc. cur suas / cruth fs diosc loidsigeach HDD gu Ext4 (Gparted)

B2.1. A’ cruthachadh bann-cinn sgaradh sda7 crioptaichteBheir mi cunntas air ainmean nan sgaraidhean, an seo agus nas fhaide air adhart, a rèir a’ chlàr sgaradh agam a chaidh a phostadh gu h-àrd. A rèir cruth an diosc agad, feumaidh tu na h-ainmean sgaradh agad a chuir nan àite.

Mapadh crioptachadh loidsigeach drive (/dev/sda7> /dev/mapper/sda7_crypt).
# Cruthachadh furasta de “roinn LUKS-AES-XTS”

cryptsetup -v -y luksFormat /dev/sda7

Roghainnean:

* luksFormat - tòiseachadh air bann-cinn LUKS;
* -y -passphrase (chan e iuchair/faidhle);
* -v -verbalization (a 'taisbeanadh fiosrachadh anns a' chrìoch);
* / dev/sda7 - an diosc loidsigeach agad bhon sgaradh leudaichte (far a bheilear an dùil GNU/Linux a ghluasad/a chrioptachadh).

Algairim crioptachaidh bunaiteach <LUKS1: aes-xts-plain64, Prìomh: 256 bit, LUKS header hashing: sha256, RNG: /dev/urandom> (an urra ris an tionndadh cryptsetup).

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

Mura h-eil taic bathar-cruaidh ann airson AES air an CPU, is e an roghainn as fheàrr “LUKS-Twofish-XTS-partition” leudaichte a chruthachadh.

B2.2. Cruthachadh adhartach de “LUKS-Twofish-XTS-partition”

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

Roghainnean:
* luksFormat - tòiseachadh air bann-cinn LUKS;
* / dev/sda7 an diosc loidsigeach crioptaichte agad san àm ri teachd;
* -v briathrachas ;
* -y facal-faire;
* -c tagh algairim crioptachaidh dàta;
* -s meud iuchrach crioptachaidh;
* -h algorithm hashing / gnìomh crypto, RNG air a chleachdadh (--use-urandom) gus iuchair crioptachaidh / dì-chrioptachaidh sònraichte a ghineadh airson bann-cinn diosc loidsigeach, iuchair cinn àrd-sgoile (XTS); prìomh iuchair shònraichte air a stòradh ann am bann-cinn an diosc crioptaichte, iuchair XTS àrd-sgoile, a’ mheata-dàta seo gu lèir agus cleachdadh crioptachaidh a bhios, a’ cleachdadh a’ phrìomh iuchair agus an iuchair XTS àrd-sgoile, a’ crioptachadh/dì-chrioptachadh dàta sam bith air an sgaradh (ach a-mhàin tiotal na h-earrainn) air a stòradh ann an ~ 3MB air an sgaradh diosc cruaidh taghte.
* -i iterations ann am milliseconds, an àite "suim" (bidh an dàil ùine ann a bhith a’ giullachd an abairt-fhaire a’ toirt buaidh air luchdachadh an OS agus neart criptografach nan iuchraichean). Gus cothromachadh neart criptografach a chumail, le facal-faire sìmplidh mar “Ruiseanach” feumaidh tu an luach -(i) àrdachadh; le facal-faire iom-fhillte mar “? 8dƱob/øfh” faodar an luach a lughdachadh.
* -use-urandom gineadair àireamh air thuaiream, a’ gineadh iuchraichean agus salann.

Às deidh dhut an roinn sda7> sda7_crypt a mhapadh (tha an obrachadh luath, leis gu bheil bann-cinn crioptaichte air a chruthachadh le ~ 3 MB de mheata-dàta agus sin agad uile), feumaidh tu an siostam faidhle sda7_crypt a chruth agus a chuir suas.

B2.3. Coimeas

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

roghainnean:
* fosgailte - maids an roinn “le ainm”;
* / dev/sda7 - diosc loidsigeach;
* sda7_crypt - mapadh ainm a thathas a’ cleachdadh gus an sgaradh crioptaichte a chuir suas no a thòiseachadh nuair a thòisicheas an OS.

B2.4. A’ cruth an t-siostam faidhle sda7_crypt gu ext4. Stàladh diosga san OS(Thoir an aire: chan urrainn dhut obrachadh le sgaradh crioptaichte ann an Gparted)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt 

roghainnean:
* -v -verbalization;
* -L - leubail draibhidh (a tha air a thaisbeanadh ann an Explorer am measg dhràibhearan eile).

An uairsin, bu chòir dhut an inneal bloca crioptaichte brìgheil / dev/sda7_crypt a chuir air an t-siostam

mount /dev/mapper/sda7_crypt /mnt

Bidh obrachadh le faidhlichean sa phasgan / mnt gu fèin-obrachail a’ crioptachadh/dì-chrioptachadh dàta ann an sda7.

Tha e nas freagarraiche an sgaradh ann an Explorer a mhapadh agus a chuir suas (nautilus/caja GUI), bidh an sgaradh mu thràth air an liosta taghaidh diosc, chan eil air fhàgail ach a dhol a-steach don fhacal-fhaire gus an diosc fhosgladh / a dhì-chrioptachadh. Thèid an t-ainm co-fhreagarrach a thaghadh gu fèin-ghluasadach agus chan e “sda7_crypt”, ach rudeigin mar /dev/mapper/Luks-xx-xx...

B2.5. Cùl-taic ceann diosc (~ meata-dàta 3MB)Aon den fheadhainn as motha cudromach obrachaidhean a dh’ fheumar a dhèanamh gun dàil - lethbhreac cùl-taic den bhann-cinn “sda7_crypt”. Ma nì thu ath-sgrìobhadh/milleadh air a’ cheann-cinn (mar eisimpleir, stàladh GRUB2 air an sgaradh sda7, msaa.), thèid an dàta crioptaichte a chall gu tur às aonais cothrom fhaighinn air ais, oir bidh e do-dhèanta na h-aon iuchraichean ath-chruthachadh; tha na h-iuchraichean air an cruthachadh gun samhail.

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7 

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

roghainnean:
* luksHeaderBackup - header-backup-file -backup command;
* luksHeaderRestore - header-backup-file -restore command;
* ~/ Backup_DebSHIFR - faidhle cùl-taic;
* / dev/sda7 - sgaradh a tha lethbhreac cùl-taic ceann diosc crioptaichte gu bhith air a shàbhaladh.
Aig a’ cheum seo tha <a’ cruthachadh agus a’ deasachadh a’ phàirteachaidh chrioptaichte> deiseil.

B3. A’ gluasad GNU/Linux OS (sda4) gu sgaradh crioptaichte (sda7)

Cruthaich pasgan /mnt2 (Thoir an aire - tha sinn fhathast ag obair le usb beò, tha sda7_crypt air a chuir suas aig / mnt), agus cuir suas ar GNU / Linux ann an / mnt2, a dh'fheumas a bhith air a chrioptachadh.

mkdir /mnt2
mount /dev/sda4 /mnt2

Bidh sinn a’ dèanamh gluasad OS ceart a’ cleachdadh bathar-bog Rsync

rsync -avlxhHX --progress /mnt2/ /mnt

Tha roghainnean Rsync air am mìneachadh ann am paragraf E1.

An ath rud riatanach sgrios sgaradh diosc loidsigeach

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

Dèan mar riaghailt: dèan e4defrag air GNU/LInux crioptaichte bho àm gu àm ma tha HDD agad.
Tha an gluasad agus sioncronadh [GNU/Linux> GNU/Linux-encrypted] air a chrìochnachadh aig a’ cheum seo.

AT 4. A’ stèidheachadh GNU/Linux air sgaradh crioptaichte sda7

Às deidh dhut an OS / dev / sda4> / dev / sda7 a ghluasad gu soirbheachail, feumaidh tu logadh a-steach gu GNU / Linux air an sgaradh crioptaichte agus tuilleadh rèiteachadh a dhèanamh (gun a bhith ag ath-thòiseachadh PC) an coimeas ri siostam crioptaichte. Is e sin, bi ann an usb beò, ach cuir an gnìomh òrdughan “co-cheangailte ri freumh an OS crioptaichte.” samhlaichidh “chroot” suidheachadh coltach ris. Gus fiosrachadh fhaighinn gu sgiobalta air dè an OS leis a bheil thu ag obair an-dràsta (air a chrioptachadh no nach eil, leis gu bheil an dàta ann an sda4 agus sda7 air a shioncronachadh), dì-shioncronaich an OS. Cruthaich ann an clàran root (sda4/sda7_crypt) faidhlichean comharra falamh, mar eisimpleir, /mnt/encryptedOS agus /mnt2/decryptedOS. Dèan cinnteach gu sgiobalta dè an OS air a bheil thu (a’ gabhail a-steach airson an ama ri teachd):

ls /<Tab-Tab>

B4.1. “Samhladh air logadh a-steach do OS crioptaichte”

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. A’ dearbhadh gu bheil obair ga dhèanamh an aghaidh siostam crioptaichte

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. A’ cruthachadh/a’ rèiteachadh suaip crioptaichte, a’ deasachadh crypttab/fstabLeis gu bheil am faidhle suaip air a chruth a h-uile uair a thòisicheas an OS, chan eil e ciallach suaip a chruthachadh agus a mhapadh gu diosc loidsigeach a-nis, agus cuir a-steach òrdughan mar ann am paragraf B2.2. Airson Swap, thèid na h-iuchraichean crioptachaidh sealach aige fhèin a chruthachadh gu fèin-ghluasadach aig gach toiseach. Cearcall beatha iuchraichean suaip: sgaradh suaip a’ dì-mhunntachadh/a’ toirt air falbh (+ glanadh RAM); no ath-thòiseachadh an OS. A’ stèidheachadh suaip, a’ fosgladh am faidhle le uallach airson rèiteachadh innealan crioptaichte bloca (coltach ri faidhle fstab, ach cunntachail airson crypto).

nano /etc/crypttab 

deasaich sinn

#"target name" "Inneal an Tùs" "Faidhle iuchrach" "roghainnean"
suaip / dev / sda8 / dev / urandom suaip, cipher = twofish-xts-plain64, meud = 512, hash = sha512

Roghainnean
* suaip - ainm air a mhapadh nuair a bhios tu a’ crioptachadh / dev/mapper/swap.
* / dev/sda8 - cleachd an sgaradh loidsigeach agad airson suaip.
* / dev/urandom - gineadair de dh’ iuchraichean crioptachaidh air thuaiream airson suaip (le gach bròg OS ùr, thèid iuchraichean ùra a chruthachadh). Tha an gineadair / dev / urandom nas lugha air thuaiream na / dev / air thuaiream, às deidh a h-uile càil / dev / air thuaiream a chleachdadh nuair a bhios e ag obair ann an suidheachaidhean paranoid cunnartach. Nuair a bhios tu a’ luchdachadh an OS, bidh / dev / air thuaiream a’ slaodadh sìos an luchdachadh airson grunn ± mionaidean (faic systemd-analyze).
* suaip, cipher = twofish-xts-plain64,size = 512, hash = sha512: -tha fios aig an sgaradh gur e suaip a th’ ann agus gu bheil e air a chruth “a rèir sin”; algairim crioptachaidh.

#Открываем и правим fstab
nano /etc/fstab

deasaich sinn

bha # swap air / dev / sda8 aig àm an stàlaidh
/dev/mapper/swap gin suaip sw 0 0

/dev/mapper/swap an t-ainm a chaidh a shuidheachadh ann an crypttab.

Malairt crioptaichte eile
Mura h-eil thu airson adhbhar air choireigin a bhith a’ toirt seachad sgaradh iomlan airson faidhle suaip, faodaidh tu a dhol ann an dòigh eile agus nas fheàrr: cruthaich faidhle suaip ann am faidhle air sgaradh crioptaichte leis an OS.

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

Tha rèiteachadh an sgaradh suaip crìochnaichte.

B4.4. A’ stèidheachadh GNU/Linux crioptaichte (a’ deasachadh fhaidhlichean crypttab/fstab)Tha am faidhle /etc/crypttab, mar a chaidh a sgrìobhadh gu h-àrd, a’ toirt cunntas air innealan bloca crioptaichte a tha air an rèiteachadh aig àm tòiseachaidh an t-siostaim.

#правим /etc/crypttab 
nano /etc/crypttab 

ma fhreagair thu an earrann sda7> sda7_crypt mar a tha ann am paragraf B2.1

# "target name" "Inneal an Tùs" "Faidhle iuchrach" "roghainnean"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

ma fhreagair thu an earrann sda7> sda7_crypt mar a tha ann am paragraf B2.2

# "target name" "Inneal an Tùs" "Faidhle iuchrach" "roghainnean"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

ma fhreagair thu an earrann sda7> sda7_crypt mar a tha ann am paragraf B2.1 no B2.2, ach nach eil thu airson am facal-faire a chuir a-steach a-rithist gus an OS fhuasgladh agus a thòiseachadh, an uairsin an àite am facal-faire faodaidh tu iuchair dhìomhair / faidhle air thuaiream a chuir na àite

# "target name" "Inneal an Tùs" "Faidhle iuchrach" "roghainnean"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

Tuairisgeul
* chan eil gin - ag aithris, nuair a bhios tu a’ luchdachadh an OS, gu bheil feum air abairt-faire dìomhair gus am freumh fhuasgladh.
* UUID - aithnichear sgaradh. Gus an ID agad a lorg, cuir a-steach an inneal-crìochnachaidh (cuimhnich, bhon àm seo air adhart, gu bheil thu ag obair ann an inneal-crìochnachaidh ann an àrainneachd chroot, agus chan ann ann an inneal usb beò eile).

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное 

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

tha an loidhne seo ri fhaicinn nuair a dh’ iarras tu blkid bhon inneal usb beò le sda7_crypt air a chuir suas).
Tha thu a' toirt an UUID bho do sdaX (chan e sdaX_crypt!, UUID sdaX_crypt - a bhith air fhàgail gu fèin-obrachail nuair a ghineas tu an grub.cfg config).
* cipher = twofish-xts-plain64,size = 512, hash = sha512 -luks crioptachadh ann am modh adhartach.
* / etc/skey - prìomh fhaidhle dìomhair, a thèid a chuir a-steach gu fèin-ghluasadach gus bròg an OS fhuasgladh (an àite a dhol a-steach don treas facal-faire). Faodaidh tu faidhle sam bith a shònrachadh suas gu 8MB, ach thèid an dàta a leughadh <1MB.

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7 

Seallaidh e rudeigin mar seo:

(dèan e fhèin agus faic dhut fhèin).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab tha fiosrachadh tuairisgeulach mu dhiofar shiostaman faidhle.

#Правим /etc/fstab
nano /etc/fstab

# "siostam faidhle" "mount point" "seòrsa" "roghainnean" "dump" "pas"
# / bha e air / dev / sda7 aig àm an stàlaidh
/dev/mapper/sda7_crypt/ext4 errors=remount-ro 0 1

roghainn
* / dev/mapper/sda7_crypt - ainm a’ mhapadh sda7> sda7_crypt, a tha air a shònrachadh anns an fhaidhle /etc/crypttab.
Tha an rèiteachadh crypttab/fstab deiseil.

B4.5. Deasachadh faidhlichean rèiteachaidh. Prìomh mhionaidB4.5.1. A’ deasachadh an config /etc/initramfs-tools/conf.d/resume

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

agus thoir beachd a-mach (ma tha ann) "#" loidhne "ath-thòiseachadh". Feumaidh am faidhle a bhith gu tur falamh.

B4.5.2. A’ deasachadh an config /etc/initramfs-tools/conf.d/cryptsetup

nano /etc/initramfs-tools/conf.d/cryptsetup

bu chòir a bhith a ’maidseadh

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=tha
às-mhalairt CRYPTSETUP

B4.5.3. A’ deasachadh an config /etc/default/grub (tha uallach air an config seo airson comas grub.cfg a ghineadh nuair a bhios tu ag obair le crioptaichte / boot)

nano /etc/default/grub

cuir ris an loidhne “GRUB_ENABLE_CRYPTODISK=y”
luach 'y', nì grub-mkconfig agus grub-install sùil airson draibhearan crioptaichte agus cruthaichidh iad òrdughan a bharrachd a dh'fheumar gus faighinn thuca aig àm bròg (insmods ).
feumaidh coltas a bhith ann

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || mac-talla Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=reiceadair"
GRUB_CMDLINE_LINUX="fras sàmhach no fèin-ghluasadach"
GRUB_ENABLE_CRYPTODISK=y

B4.5.4. A’ deasachadh an config /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

dèan cinnteach gu bheil an loidhne thuirt <#>.
Anns an àm ri teachd (agus eadhon a-nis, cha bhi ciall sam bith aig a 'pharaiméadar seo, ach uaireannan bidh e a' cur bacadh air a bhith ag ùrachadh an ìomhaigh initrd.img).

B4.5.5. A’ deasachadh an config /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

cuir ris

KEYFILE_PATTERN =”/etc/skey”
UMASK=0077

Pacaidh seo an iuchair dhìomhair “skey” a-steach gu initrd.img, tha feum air an iuchair gus am freumh fhuasgladh nuair a thòisicheas an OS (mura h-eil thu airson am facal-faire a chuir a-steach a-rithist, thèid an iuchair “skey” a chuir an àite a’ chàr).

B4.6. Ùraich /boot/initrd.img [dreach]Gus an iuchair dhìomhair a phacadh a-steach gu initrd.img agus rèiteachadh cryptsetup a chuir an sàs, ùraich an ìomhaigh

update-initramfs -u -k all

nuair a bhios tu ag ùrachadh initrd.img (mar a chanas iad “Tha e comasach, ach chan eil e cinnteach”) nochdaidh rabhaidhean co-cheangailte ri cryptsetup, no, mar eisimpleir, fios mu chall mhodalan Nvidia - tha seo àbhaisteach. Às deidh dhut am faidhle ùrachadh, dèan cinnteach gu bheil e air ùrachadh, faic an ùine (an coimeas ri àrainneachd chroot./boot/initrd.img). Thoir aire! ro [ùrachadh-initramfs -u -k uile] dèan cinnteach gun dèan thu cinnteach gu bheil cryptsetup fosgailte / dev/sda7 sda7_crypt - seo an t-ainm a tha a’ nochdadh ann an /etc/crypttab, air neo às deidh ath-thòiseachadh bidh mearachd bogsa trang ann)
Aig a’ cheum seo, tha stèidheachadh nam faidhlichean rèiteachaidh deiseil.

[C] A’ stàladh agus a’ rèiteachadh GRUB2 / Dìon

C1. Ma tha feum air, cruth an sgaradh sònraichte airson an luchd-luachaidh (feumaidh sgaradh co-dhiù 20MB)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. Mount / dev/sda6 gu / mntMar sin bidh sinn ag obair ann an chroot, an uairsin cha bhi eòlaire / mnt2 anns a’ bhunait, agus bidh am pasgan / mnt falamh.
cuir suas an sgaradh GRUB2

mount /dev/sda6 /mnt

Ma tha dreach nas sine agad de GRUB2 air a chuir a-steach, san eòlaire / mnt/boot/grub/i-386-pc (tha àrd-ùrlar eile comasach, mar eisimpleir, chan e “i386-pc”) chan eil modalan crypto ann (ann an ùine ghoirid, bu chòir modalan a bhith sa phasgan, nam measg iad sin .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; sign_test.mod), anns a 'chùis seo, feumaidh GRUB2 a bhith air a chrathadh.

apt-get update
apt-get install grub2 

Cudromach! Nuair a bhios tu ag ùrachadh a’ phacaid GRUB2 bhon stòr, nuair a thèid faighneachd dhut “mu dheidhinn taghadh” càite an stàlaich thu an bootloader, feumaidh tu an stàladh a dhiùltadh (adhbhar - feuch ri GRUB2 a stàladh - ann am “MBR” no air usb beò). Rud eile nì thu milleadh air bann-cinn / luchdan VeraCrypt. Às deidh na pacaidean GRUB2 ùrachadh agus an stàladh a chuir dheth, feumaidh an luchd-luachaidh a bhith air a chuir a-steach le làimh air an diosc loidsigeach, agus chan ann san MBR. Ma tha seann tionndadh de GRUB2 aig an ionad-tasgaidh agad, feuch ùrachadh tha e bhon làrach-lìn oifigeil - cha do rinn thu sgrùdadh air (ag obair leis na luchdan boot GRUB 2.02 ~ BetaX as ùire).

C3. A’ stàladh GRUB2 ann an sgaradh leudaichte [sda6]Feumaidh sgaradh suidhichte a bhith agad [nì C.2]

grub-install --force --root-directory=/mnt /dev/sda6

roghainnean
* -force - stàladh an bootloader, a 'dol seachad air a h-uile rabhadh a tha cha mhòr an-còmhnaidh ann agus a' cur bacadh air an stàladh (bratach riatanach).
* --root-directory - stàladh eòlaire gu freumh sda6.
* / dev/sda6 - an sgaradh sdaХ agad (na caill an <space> eadar /mnt/dev/sda6).

C4. A' cruthachadh faidhle rèiteachaidh [grub.cfg]Na dìochuimhnich mun àithne “update-grub2”, agus cleachd an làn òrdugh gineadh faidhle rèiteachaidh

grub-mkconfig -o /mnt/boot/grub/grub.cfg

às deidh crìoch a chuir air ginealach / ùrachadh an fhaidhle grub.cfg, bu chòir loidhne (ean) a bhith anns a’ chrìoch toraidh leis an OS a lorgar air an diosc (“grub-mkconfig” is dòcha gun lorg agus gun tog e an OS bho usb beò, ma tha draibhear flash multiboot agad Windows 10 agus dòrlach de sgaoilidhean beò - tha seo àbhaisteach). Ma tha an inneal-crìochnachaidh “falamh” agus nach eil am faidhle “grub.cfg” air a chruthachadh, is e seo an aon chùis nuair a tha bugaichean GRUB san t-siostam (agus is dòcha an luchdan bho mheur deuchainn an stòrais), ath-stàlaich GRUB2 bho stòran earbsach.
Tha an stàladh “rèiteachadh sìmplidh” agus suidheachadh GRUB2 deiseil.

C5. Deuchainn dearbhaidh air GNU/Linux OS crioptaichteBidh sinn a 'crìochnachadh a' mhisean crypto gu ceart. A’ fàgail an GNU/Linux crioptaichte gu faiceallach (fàgail àrainneachd chroot).

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

Às deidh dhut am PC ath-thòiseachadh, bu chòir don luchd-luachaidh VeraCrypt a luchdachadh.


* Tòisichidh cuir a-steach am facal-faire airson a’ phàirt gnìomhach a’ luchdachadh Windows.
* Le putadh air an iuchair “Esc” gluaisidh sin smachd gu GRUB2, ma thaghas tu GNU/Linux crioptaichte - bidh feum air facal-faire (sda7_crypt) gus /boot/initrd.img fhuasgladh (ma sgrìobhas grub2 uuid “cha deach a lorg" - is e seo a duilgheadas leis an grub2 bootloader, bu chòir a chuir a-steach a-rithist, me , bho mheur deuchainn / stàball msaa).


* A rèir mar a shuidhich thu an siostam (faic paragraf B4.4/4.5), às deidh dhut am facal-faire ceart a chuir a-steach gus an ìomhaigh /boot/initrd.img fhuasgladh, bidh feum agad air facal-faire gus an kernel / root OS a luchdachadh, no an dìomhair thèid “skey” a chuir na h-àite gu fèin-ghluasadach, a’ cur às don fheum air am facal-faire a chuir a-steach a-rithist.

(sgrion “cuir an àite iuchair dhìomhair gu fèin-ghluasadach”).

* An uairsin leanaidh am pròiseas eòlach air luchdachadh GNU / Linux le dearbhadh cunntas cleachdaiche.


* Às deidh cead neach-cleachdaidh agus logadh a-steach don OS, feumaidh tu /boot/initrd.img ùrachadh a-rithist (faic B4.6).

update-initramfs -u -k all

Agus gun fhios nach bi loidhnichean a bharrachd ann an clàr GRUB2 (bho thogail OS-m le usb beò) cuir às dhaibh

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

Geàrr-chunntas sgiobalta de chrioptachadh siostam GNU/Linux:

• Tha GNU/Linuxinux air a chrioptachadh gu h-iomlan, a’ gabhail a-steach / boot/kernel and initrd;
• tha an iuchair dhìomhair air a phacaigeadh ann an initrd.img;
• sgeama ceadachaidh làithreach (a’ dol a-steach am facal-faire gus an initrd fhuasgladh; facal-faire/iuchair airson an OS a thòiseachadh; facal-faire airson a’ chunntas Linux a cheadachadh).

Tha crioptachadh siostam "Simple GRUB2 Configuration" den sgaradh bloca deiseil.

C6. Rèiteachadh adhartach GRUB2. Dìon Bootloader le ainm-sgrìobhte didseatach + dìon dearbhaidhTha GNU/Linux air a chrioptachadh gu tur, ach chan urrainnear an bootloader a chrioptachadh - tha an suidheachadh seo air a dhearbhadh leis an BIOS. Air an adhbhar seo, chan eil bròg crioptaichte le slabhraidh de GRUB2 comasach, ach tha bròg slabhraidh sìmplidh comasach / ri fhaighinn, ach bho shealladh tèarainteachd chan eil e riatanach [faic P. F].
Airson an GRUB2 “so-leònte”, chuir an luchd-leasachaidh an gnìomh algairim dìon bootloader “ainm-sgrìobhte / dearbhadh”.

• Nuair a bhios an bootloader air a dhìon le “ainm-sgrìobhte didseatach fhèin,” leanaidh atharrachadh taobh a-muigh de fhaidhlichean, no oidhirp air modalan a bharrachd a luchdachadh san bootloader seo, gun tèid am pròiseas bròg a bhacadh.
• Nuair a dhìonas tu an bootloader le dearbhadh, gus taghadh a dhèanamh de luchdachadh sgaoilidh, no cuir a-steach òrdughan a bharrachd anns an CLI, feumaidh tu logadh a-steach agus facal-faire an superuser-GRUB2 a chuir a-steach.

C6.1. Dìon dearbhaidh bootloaderDèan cinnteach gu bheil thu ag obair ann an inneal-crìochnachaidh air OS crioptaichte

ls /<Tab-Tab> #обнаружить файл-маркер

cruthaich facal-faire superuser airson cead ann an GRUB2

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. 

Luchdaich a-nuas hash am facal-faire. Rud mar seo

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

cuir suas an sgaradh GRUB

mount /dev/sda6 /mnt 

deasaich an config

nano -$ /mnt/boot/grub/grub.cfg 

thoir sùil air an sgrùdadh faidhle nach eil brataichean an àite sam bith ann an “grub.cfg” (“-unrestricted” “-user”,
cuir ris aig an deireadh (ron loidhne ### END /etc/grub.d/41_custom ###)
"suidhich superusers = "root"
password_pbkdf2 root hash."

Bu chòir dha a bhith rudeigin mar seo

# Tha am faidhle seo a’ toirt seachad dòigh furasta air inntrigidhean clàr àbhaisteach a chuir ris. Dìreach sgrìobh an
# clàr-taice a tha thu airson a chur ris às deidh a’ bheachd seo. Bi faiceallach nach atharraich thu
# an loidhne ‘exec tail’ gu h-àrd.
### END /etc/grub.d/40_custom ###

### BEGIN /etc/grub.d/41_custom ###
ma tha [ -f ${config_directory}/custom.cfg ]; an uair sin
stòr ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $ prefix/custom.cfg ]; an uair sin
stòr $ prefix/custom.cfg;
fi
suidhich superusers = "root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

Ma chleachdas tu an àithne gu tric “grub-mkconfig -o /mnt/boot/grub/grub.cfg” agus nach eil thu airson atharraichean a dhèanamh air grub.cfg a h-uile turas, cuir a-steach na loidhnichean gu h-àrd (Log a-steach: Facal-faire) ann an sgriobt cleachdaiche GRUB aig a’ bhonn

nano /etc/grub.d/41_custom 

cat << EOF
suidhich superusers = "root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

Nuair a ghineas tu an config “grub-mkconfig -o /mnt/boot/grub/grub.cfg”, thèid na loidhnichean a tha an urra ri dearbhadh a chuir gu fèin-ghluasadach ri grub.cfg.
Bidh an ceum seo a’ crìochnachadh suidheachadh dearbhaidh GRUB2.

C6.2. Dìon bootloader le ainm-sgrìobhte didseatachThathas a’ gabhail ris gu bheil an iuchair crioptachaidh pgp pearsanta agad mu thràth (no cruthaich iuchair mar sin). Feumaidh bathar-bog criptografach a bhith air a chuir a-steach san t-siostam: gnuPG; kleopatra/GPA; Each-mara. Nì bathar-bog crypto do bheatha gu math nas fhasa anns a h-uile cùis mar sin. Seahorse - dreach seasmhach den phacaid 3.14.0 (tha dreachan nas àirde, mar eisimpleir, V3.20, easbhaidheach agus tha mialan mòra orra).

Feumaidh an iuchair PGP a bhith air a ghineadh / air a chuir air bhog / air a chur ris a-mhàin san àrainneachd su!

Cruthaich iuchair crioptachaidh pearsanta

gpg - -gen-key

Às-mhalairt an iuchair agad

gpg --export -o ~/perskey

Suidhich an diosc loidsigeach san OS mura h-eil e air a chuir suas mu thràth

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

glan an sgaradh GRUB2

rm -rf /mnt/

Stàlaich GRUB2 ann an sda6, a 'cur an iuchair phrìobhaideach agad ann am prìomh ìomhaigh GRUB "core.img"

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

roghainnean
* --force - stàlaich am bootloader, a’ dol seachad air a h-uile rabhadh a tha ann an-còmhnaidh (bratach riatanach).
* —modules = "gcry_sha256 gcry_sha512 sign_test gcry_dsa gcry_rsa" - ag iarraidh air GRUB2 na modalan riatanach a luchdachadh ro-làimh nuair a thòisicheas am PC.
* -k ~ / perskey -slighe chun an “iuchair PGP” (às deidh dhut an iuchair a phacadh a-steach don ìomhaigh, faodar a dhubhadh às).
* --root-directory - cuir am pasgan bròg gu freumh sda6
/dev/sda6 - an sgaradh sdaX agad.

A’ gineadh/ag ùrachadh grub.cfg

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

Cuir an loidhne “trust /boot/grub/perskey” gu deireadh an fhaidhle “grub.cfg” (feum air iuchair pgp a chleachdadh.) Leis gun do chuir sinn a-steach GRUB2 le seata de mhodalan, a’ toirt a-steach am modal ainm-sgrìobhte “signature_test.mod”, tha seo a’ cur às don fheum air òrdughan mar “set check_signatures = enforce” a chur ris an config.

Bu chòir dha coimhead air rudeigin mar seo (loidhnichean crìochnachaidh ann am faidhle grub.cfg)

### BEGIN /etc/grub.d/41_custom ###
ma tha [ -f ${config_directory}/custom.cfg ]; an uair sin
stòr ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $ prefix/custom.cfg ]; an uair sin
stòr $ prefix/custom.cfg;
fi
earbsa /boot/grub/perskey
suidhich superusers = "root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

Chan fheum an t-slighe gu “/ boot / grub / perskey” a bhith air a chomharrachadh gu sgaradh diosc sònraichte, mar eisimpleir hd0,6; airson an bootloader fhèin, is e “root” an t-slighe bunaiteach den sgaradh air a bheil GRUB2 air a chuir a-steach (faic seata rot = ..).

A’ soidhnigeadh GRUB2 (a h-uile faidhle anns a h-uile clàr / GRUB) leis an iuchair “perskey” agad.
Fuasgladh sìmplidh air mar a nì thu soidhnigeadh (airson nautilus/caja explorer): stàlaich an leudachadh “seahorse” airson Explorer bhon stòr. Feumaidh an iuchair agad a bhith air a chur ris an àrainneachd su.
Fosgail Explorer le sudo “/ mnt/boot” - RMB - soidhne. Air an sgrion tha e coltach ri seo

Is e an iuchair fhèin “/mnt/boot/grub/perskey” (lethbhreac dhan eòlaire grub) feumaidh tu cuideachd a bhith air a shoidhnigeadh leis an ainm-sgrìobhte agad fhèin. Dèan cinnteach gu bheil ainmean-sgrìobhte an fhaidhle [*.sig] a’ nochdadh san eòlaire/fo-eòlairean.
A’ cleachdadh an dòigh a tha air a mhìneachadh gu h-àrd, soidhnig “/boot” (ar n-eithne, initrd). Mas fhiach an ùine agad dad, tha an dòigh seo a’ cur às don fheum air sgriobt bash a sgrìobhadh gus ainm a chuir ri “tòrr fhaidhlichean.”

Gus gach ainm-sgrìobhte bootloader a thoirt air falbh (ma chaidh rudeigin ceàrr)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

Gus nach cuir sinn ainm ris an bootloader às deidh dhuinn an siostam ùrachadh, bidh sinn a’ reothadh a h-uile pasgan ùrachaidh co-cheangailte ri GRUB2.

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

Aig a’ cheum seo <dìon bootloader le ainm-sgrìobhte didseatach> tha rèiteachadh adhartach GRUB2 air a chrìochnachadh.

C6.3. Deuchainn dearbhaidh air bootloader GRUB2, air a dhìon le ainm-sgrìobhte didseatach agus dearbhadhGRUB2. Nuair a thaghas tu cuairteachadh GNU / Linux sam bith no nuair a thèid thu a-steach don CLI (loidhne àithne) Bidh feum air cead superuser. Às deidh dhut an t-ainm-cleachdaidh / facal-faire ceart a chuir a-steach, feumaidh tu am facal-faire initrd

Glacadh-sgrìn de dhearbhadh soirbheachail air sàr-chleachdaiche GRUB2.

Ma chuireas tu dragh air gin de na faidhlichean GRUB2/ ma nì thu atharraichean air grub.cfg, no ma sguabas tu às am faidhle/ainm-sgrìobhte, no ma luchdaicheas tu modal droch-rùnach.mod, nochdaidh rabhadh co-fhreagarrach. Cuiridh GRUB2 stad air luchdachadh.

Glacadh-sgrìn, oidhirp casg a chuir air GRUB2 “bhon taobh a-muigh”.

Rè bròg “àbhaisteach” “às aonais sàrachadh”, is e inbhe còd fàgail an t-siostaim “0”. Mar sin, chan eil fios a bheil an dìon ag obair no nach eil (is e sin, “le no às aonais dìon ainm-sgrìobhte bootloader” rè luchdachadh àbhaisteach tha an inbhe mar an ceudna “0” - tha seo dona).

Ciamar a nì thu sgrùdadh air dìon ainm sgrìobhte didseatach?

Dòigh mì-ghoireasach airson sgrùdadh: falsa / thoir air falbh modal a chleachd GRUB2, mar eisimpleir, thoir air falbh an ainm-sgrìobhte luks.mod.sig agus faigh mearachd.

An dòigh cheart: rachaibh chun bootloader CLI agus sgrìobh an àithne

trust_list

Mar fhreagairt, bu chòir dhut lorgan-meòir “perskey” fhaighinn; mas e “0” an inbhe, chan obraich dìon ainm-sgrìobhte, thoir sùil dhùbailte air paragraf C6.2.
Aig a’ cheum seo, tha an rèiteachadh adhartach “Dìon GRUB2 le ainm-sgrìobhte didseatach agus dearbhadh” air a chrìochnachadh.

C7 Dòigh eile airson an inneal-luachaidh GRUB2 a dhìon le bhith a’ cleachdadh hashingTha an dòigh "Dìon / Dearbhadh Boot Loader CPU" a tha air a mhìneachadh gu h-àrd na chlasaig. Air sgàth neo-fhoirfeachdan GRUB2, ann an suidheachaidhean paranoid tha e buailteach do fhìor ionnsaigh, a bheir mi gu h-ìosal ann am paragraf [F]. A bharrachd air an sin, às deidh ùrachadh an OS / kernel, feumaidh an bootloader a bhith air ath-shoidhnigeadh.

Dìon an bootloader GRUB2 a’ cleachdadh hashing

Buannachdan thairis air clasaigeach:

• Ìre nas àirde de earbsachd (bidh hashing/dearbhadh a’ tachairt a-mhàin bho ghoireas ionadail crioptaichte. Tha smachd air a’ phàirteachadh gu lèir fo GRUB2 airson atharrachaidhean sam bith, agus tha a h-uile càil eile air a chrioptachadh; anns an sgeama clasaigeach le dìon/Dearbhadh luchdan CPU, chan eil ach faidhlichean fo smachd, ach chan eil iad saor àite, anns am faodar “rudeigin” rudeigin sinister a chuir ris).
• Logadh crioptaichte (tha log crioptaichte pearsanta a ghabhas leughadh le daoine air a chur ris an sgeama).
• Astar (tha dìon / dearbhadh de sgaradh iomlan a chaidh a shònrachadh airson GRUB2 a’ tachairt cha mhòr sa bhad).
• Automation de gach pròiseas criptografach.

Eas-bhuannachdan thairis air na clasaigeach.

• Faochadh ainm-sgrìobhte (gu teòiridheach, tha e comasach lorg gnìomh hash sònraichte a lorg).
• Àrdachadh ìre duilgheadas (an taca ri clasaigeach, tha feum air beagan a bharrachd sgilean ann an GNU/Linux OS).

Mar a tha am beachd hashing GRUB2 / partition ag obair

Tha an sgaradh GRUB2 “air a shoidhnigeadh”; nuair a bhios an OS a ’bròg, thèid an sgaradh luchdan boot a sgrùdadh airson neo-sheasmhachd, agus an uairsin logadh a-steach ann an àrainneachd thèarainte (crioptaichte). Ma tha an bootloader no an sgaradh aige ann an cunnart, a bharrachd air an loga a-steach, thèid na leanas a chuir air bhog:

Rud.

Bidh sgrùdadh coltach ris a’ tachairt ceithir tursan san latha, nach eil a’ luchdachadh goireasan siostam.
A’ cleachdadh an àithne “-$ check_GRUB”, bidh sgrùdadh sa bhad a’ tachairt aig àm sam bith gun logadh a-steach, ach le toradh fiosrachaidh don CLI.
A’ cleachdadh na h-àithne “-$ sudo signature_GRUB”, thèid an luchd-luachaidh / sgaradh GRUB2 ath-shoidhnigeadh sa bhad agus an logadh ùraichte aige (riatanach às deidh ùrachadh OS / boot), agus beatha a’ dol air adhart.

Cur an gnìomh modh hashing airson an bootloader agus a earrann

0) Nach cuir sinn ainm ris an inneal-luachaidh / sgaradh GRUB le bhith ga chuir suas an toiseach ann an / media/username

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) Bidh sinn a’ cruthachadh sgriobt gun leudachadh ann am freumh an OS ~/podpis crioptaichte, a’ cur an sàs na còraichean tèarainteachd 744 riatanach agus dìon neo-dhligheach ris.

A 'lìonadh a susbaint

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

Ruith an sgriobt bho su, thèid sgrùdadh a dhèanamh air hashing an sgaradh GRUB agus an bootloader aige, sàbhail an loga.

Cruthaichidh sinn no dèanamaid lethbhreac, mar eisimpleir, “faidhle droch-rùnach” [virus.mod] gu roinn GRUB2 agus ruith scan / deuchainn sealach:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

Feumaidh an CLI ionnsaigh fhaicinn air ar - citadel-#Trimmed log in CLI

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

# Mar a chì thu, tha “Faidhlichean air an gluasad: 1 agus dh’ fhàillig an sgrùdadh ”a’ nochdadh, a tha a ’ciallachadh gun do dh’ fhàillig an t-seic.
Air sgàth nàdar an sgaradh a thathar a’ dèanamh deuchainn, an àite “Faidhlichean ùra a chaidh a lorg”> “Faidhlichean air an gluasad”

2) Cuir an gif an seo> ~/warning.gif, suidhich na ceadan gu 744.

3) A’ rèiteachadh fstab gus an sgaradh GRUB gu fèin-ghluasadach aig bròg

-$ sudo nano /etc/fstab

LABEL = Tha GRUB / media/username/GRUB ext4 a’ fàgail 0 0

4) A 'tionndadh an log

-$ sudo nano /etc/logrotate.d/podpis 

/var/log/podpis.txt {
làitheil
cuairteachadh 50
meud 5M
ceann-latha
compress
sgaoileadh
olddir /var/log/old
}

/var/log/vtorjenie.txt {
mìosail
cuairteachadh 5
meud 5M
ceann-latha
olddir /var/log/old
}

5) Cuir obair ri cron

-$ sudo crontab -e

reboot '/ fo-sgrìobhadh'
0 */6 * * * '/ podpis

6) Cruthachadh alias maireannach

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

Às deidh ùrachadh OS -$ apt-get upgrade ath-shoidhnigeadh ar roinn GRUB
-$ подпись_GRUB
Aig an ìre seo, tha dìon hashing air an sgaradh GRUB deiseil.

[D] Sguabadh - sgrios dàta gun chrioptachadh

Cuir às do na faidhlichean pearsanta agad cho tur is “nach urrainn eadhon Dia an leughadh," a rèir neach-labhairt Carolina a Deas Trey Gowdy.

Mar as àbhaist, tha diofar “uirsgeulan agus uirsgeulan", mu bhith ag ath-nuadhachadh dàta às dèidh dha a bhith air a sguabadh às a' chlàr-chruaidh. Ma tha thu a’ creidsinn ann an cyberwitchcraft, no ma tha thu nad bhall de choimhearsnachd lìn an Dr agus nach do dh’ fheuch thu a-riamh ri dàta fhaighinn air ais às deidh dha a bhith air a dhubhadh às / ath-sgrìobhadh (mar eisimpleir, ath-bheothachadh a 'cleachdadh R-studio), an uairsin chan eil coltas gu bheil an dòigh a thathar a 'moladh a' freagairt ort, cleachd an rud as fhaisge ort.

Às deidh dhut GNU / Linux a ghluasad gu sgaradh crioptaichte gu soirbheachail, feumaidh an seann leth-bhreac a bhith air a dhubhadh às gun a bhith comasach air dàta fhaighinn air ais. Modh glanaidh uile-choitcheann: bathar-bog airson bathar-bog GUI an-asgaidh Windows / Linux BleachBit.
Fast cruth na h-earrainn, an dàta air am feumar a sgrios (tro Gparted) cuir air bhog BleachBit, tagh “Glan àite an-asgaidh” - tagh am pàirt (an sdaX agad le leth-bhreac roimhe de GNU/Linux), tòisichidh am pròiseas sgrìobadh. BleachBit - a ’sguabadh an diosc ann an aon bhealaich - is e seo“ a dh ’fheumas sinn”, Ach! Chan obraich seo ann an teòiridh ach ma chuir thu cruth air an diosc agus ma ghlan thu e ann am bathar-bog BB v2.0.

Thoir aire! Bidh BB a’ sguabadh an diosc, a’ fàgail meata-dàta; bidh ainmean faidhle air an gleidheadh ​​​​nuair a thèid dàta a chuir às (Ccleaner - chan eil e a 'fàgail meata-dàta).

Agus chan e uirsgeul gu tur a th’ anns an uirsgeul mu chomas faighinn seachad air dàta.Bleachbit V2.0-2 seann phasgan OS Debian neo-sheasmhach (agus bathar-bog sam bith eile den aon seòrsa: sfill; wipe-Nautilus - chaidh mothachadh cuideachd anns a’ ghnìomhachas salach seo) gu dearbh bha bug èiginneach ann: an gnìomh “glanadh àite an-asgaidh”. tha e ag obair ceàrr air draibhearan HDD / Flash (ntfs/ext4). Chan eil bathar-bog den t-seòrsa seo, nuair a bhios iad a’ glanadh àite an-asgaidh, a’ sgrìobhadh thairis air an diosc gu lèir, mar a tha mòran de luchd-cleachdaidh a’ smaoineachadh. Agus cuid (lot) dàta air a dhubhadh às bidh OS / bathar-bog a’ beachdachadh air an dàta seo mar dhàta nach deach a dhubhadh às / neach-cleachdaidh agus nuair a ghlanas e “OSP” bidh e a’ leum air na faidhlichean sin. Is e an duilgheadas a th ’ann, às deidh ùine cho fada, an diosc a ghlanadh faodar "faidhlichean a chaidh a sguabadh às" fhaighinn air ais eadhon às deidh 3+ pasan de bhith a’ sguabadh an diosc.
Air GNU/Linux aig Bleachbit 2.0-2 Bidh gnìomhan cuir às gu buan de fhaidhlichean agus chlàran ag obair gu earbsach, ach gun a bhith a’ glanadh àite an-asgaidh. Airson coimeas: air Windows ann an CCleaner tha an gnìomh “OSP for ntfs” ag obair gu ceart, agus cha bhith e comasach dha Dia dàta a chaidh a dhubhadh às a leughadh.

Agus mar sin, gus a thoirt air falbh gu tur "co-rèiteachadh" seann dàta gun chrioptachadh, Feumaidh Bleachbit cothrom dìreach air an dàta seo, an uairsin, cleachd an gnìomh “cuir às gu maireannach faidhlichean / clàran”.
Gus “faidhlichean a chaidh a dhubhadh às a’ cleachdadh innealan àbhaisteach OS ”a thoirt air falbh ann an Windows, cleachd CCleaner / BB leis a’ ghnìomh “OSP”. Ann an GNU/Linux mun duilgheadas seo (sguab às na faidhlichean a chaidh a dhubhadh às) feumaidh tu trèanadh fhaighinn leat fhèin (sguabadh às dàta + oidhirp neo-eisimeileach gus a thoirt air ais agus cha bu chòir dhut a bhith an urra ris an dreach bathar-bog (mura h-e comharra-leabhair a th’ ann, an uairsin bug)), Is ann dìreach sa chùis seo a bhios e comasach dhut uidheamachd na duilgheadas seo a thuigsinn agus faighinn cuidhteas an dàta a chaidh a dhubhadh às gu tur.

Cha do rinn mi deuchainn air Bleachbit v3.0, is dòcha gu bheil an duilgheadas air a rèiteachadh mu thràth.
Bidh Bleachbit v2.0 ag obair gu h-onarach.

Aig an ìre seo, tha glanadh diosc deiseil.

[E] Cùl-taic uile-choitcheann de OS crioptaichte

Tha an dòigh fhèin aig gach neach-cleachdaidh airson taic a chumail ri dàta, ach feumaidh dàta crioptaichte System OS dòigh-obrach beagan eadar-dhealaichte a thaobh na h-obrach. Chan urrainn bathar-bog aonaichte, leithid Clonezilla agus bathar-bog coltach ris, obrachadh gu dìreach le dàta crioptaichte.

Aithris mun duilgheadas le bhith a’ cumail taic ri innealan bloca crioptaichte:

1. uile-choitcheann - an aon algairim cùl-taic / bathar-bog airson Windows / Linux;
2. an comas a bhith ag obair sa chonsail le usb beò GNU / Linux gun fheum air luchdachadh sìos bathar-bog a bharrachd (ach molaibh GUI fhathast);
3. tèarainteachd lethbhric cùl-taic - feumar “ìomhaighean” a tha air an stòradh a chrioptachadh / dìon le facal-faire;
4. feumaidh meud an dàta crioptaichte a bhith a rèir meud an dàta a thathar a’ dèanamh lethbhreac;
5. toirt a-mach goireasach de na faidhlichean riatanach bho leth-bhreac cùl-taic (chan eil feum air an earrann gu lèir a dhì-chrioptachadh an toiseach).

Mar eisimpleir, cùl-taic / ath-nuadhachadh tro ghoireas “dd”.

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

Tha e a 'freagairt ri cha mhòr a h-uile puing den obair, ach a rèir puing 4 chan eil e a' seasamh an aghaidh càineadh, seach gu bheil e a 'dèanamh lethbhreac den sgaradh diosg gu lèir, a' gabhail a-steach àite an-asgaidh - chan eil e inntinneach.

Mar eisimpleir, lethbhreac-glèidhidh GNU/Linux tron ​​tasglann [tar" | gpg] goireasach, ach airson cùl-taic Windows feumaidh tu coimhead airson fuasgladh eile - chan eil e inntinneach.

E1. Cùl-taic uile-choitcheann Windows / Linux. Ceangal rsync (Grsync) + tomhas-lìonaidh VeraCryptAlgorithm airson lethbhreac cùl-taic a chruthachadh:

1. cruthachadh soitheach crioptaichte (leabhar/faidhle) VeraCrypt airson OS;
2. gluais / sioncronaich an OS a’ cleachdadh bathar-bog Rsync a-steach don inneal crypto VeraCrypt;
3. ma tha sin riatanach, luchdaich suas an tomhas VeraCrypt gu www.

Tha na feartan aige fhèin aig cruthachadh inneal crioptaichte VeraCrypt:
cruthachadh fuaim fiùghantach (chan eil cruthachadh DT ri fhaighinn ach ann an Windows, faodar a chleachdadh cuideachd ann an GNU/Linux);
cruthachadh leabhar cunbhalach, ach tha feum air “caractar paranoid” (a rèir an leasaiche) - cruth container.

Tha tomhas fiùghantach air a chruthachadh cha mhòr sa bhad ann an Windows, ach nuair a thathar a’ dèanamh lethbhreac de dhàta bho GNU/Linux> VeraCrypt DT, tha coileanadh iomlan na h-obrach cùl-taic a’ dol sìos gu mòr.

Thèid tomhas cunbhalach de 70 GB Twofish a chruthachadh (canamaid dìreach, gu cuibheasach cumhachd PC) gu HDD ~ ann an leth uair a thìde (tha ath-sgrìobhadh an dàta soitheach a bh’ ann roimhe ann an aon chead mar thoradh air riatanasan tèarainteachd). Chaidh an gnìomh a bhith a’ cruth cruth gu sgiobalta nuair a thathar ga chruthachadh a thoirt air falbh bho VeraCrypt Windows/Linux, agus mar sin chan eil e comasach soitheach a chruthachadh ach tro “ath-sgrìobhadh aon-pas” no a bhith a’ cruthachadh tomhas fiùghantach le coileanadh ìosal.

Cruthaich tomhas-lìonaidh VeraCrypt cunbhalach (chan eil fiùghantach/ntfs), cha bu chòir duilgheadas sam bith a bhith ann.

Dèan rèiteachadh / cruthaich / fosgail soitheach ann an VeraCrypt GUI> GNU / Linux live usb (thèid an tomhas-lìonaidh a chuir gu fèin-ghluasadach gu / media/veracrypt2, thèid an tomhas-lìonaidh Windows OS a chuir suas gu / media/veracrypt1). A’ cruthachadh cùl-taic crioptaichte de Windows OS a’ cleachdadh GUI rsync (grsync)le bhith a’ sgrùdadh nam bogsaichean.

Fuirich airson a 'phròiseas a chrìochnachadh. Aon uair ‘s gu bheil an cùl-taic deiseil, bidh aon fhaidhle crioptaichte againn.

San aon dòigh, cruthaich leth-bhreac cùl-taic den GNU/Linux OS le bhith a’ dì-sgrùdadh a’ bhogsa sgrùdaidh “Co-chòrdalachd Windows” anns an rsync GUI.

Thoir aire! cruthaich inneal Veracrypt airson “GNU/Linux backup” san t-siostam faidhle ext4. Ma nì thu cùl-taic do shoitheach ntfs, an uairsin nuair a bheir thu air ais a leithid de leth-bhreac, caillidh tu a h-uile còir / buidheann air an dàta agad gu lèir.

Faodar a h-uile gnìomh a dhèanamh anns a’ chrìoch. Roghainnean bunaiteach airson rsync:
* -g -sabhail buidhnean;
* -P -progress - inbhe na h-ùine a chaidh a chaitheamh ag obair air an fhaidhle;
* -H - dèan lethbhreac de cheanglaichean cruaidh mar a tha;
* -a - modh tasglann (iomadh brataichean rlptgoD);
* -v -verbalization.

Ma tha thu airson “Windows VeraCrypt volume” a chuir suas tron ​​​​chonsól anns a ’bhathar-bog cryptsetup, faodaidh tu alias (su) a chruthachadh

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

A-nis brosnaichidh an àithne “veramount pictures” thu gus abairt-fhaire a chuir a-steach, agus thèid meud siostam crioptaichte Windows a chuir suas san OS.

Mapa/mount meud siostam VeraCrypt ann an àithne cryptsetup

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

Mapa / mount VeraCrypt sgaradh / soitheach ann an àithne cryptsetup

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

An àite alias, cuiridh sinn (sgriobt airson tòiseachadh) meud siostam le Windows OS agus diosc ntfs crioptaichte loidsigeach gu toiseach tòiseachaidh GNU/Linux

Cruthaich sgriobt agus sàbhail e ann an ~/VeraOpen.sh

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

Bidh sinn a’ sgaoileadh nan còraichean “ceart”:

sudo chmod 100 /VeraOpen.sh

Cruthaich dà fhaidhle co-ionann (an aon ainm!) ann an /etc/rc.local agus ~/etc/init.d/rc.local
A 'lìonadh nam faidhlichean

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

Bidh sinn a’ sgaoileadh nan còraichean “ceart”:

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local 

Sin agad e, a-nis nuair a bhios sinn a’ luchdachadh GNU/Linux chan fheum sinn faclan-faire a chuir a-steach gus diosgan ntfs crioptaichte a chuir suas, tha na diosgan air an cur suas gu fèin-ghluasadach.

Nòta goirid mu na tha air a mhìneachadh gu h-àrd ann am paragraf E1 ceum air cheum (ach a-nis airson OS GNU / Linux)
1) Cruthaich leabhar ann am fs ext4> 4gb (airson faidhle) Linux ann an Veracrypt [Cryptbox].
2) Ath-thòisich gu usb beò.
3) ~ $ cryptsetup fosgailte /dev/sda7 Lunux #mapping sgaradh crioptaichte.
4) ~ $ mount /dev/mapper/Linux/mnt #mount an sgaradh crioptaichte gu /mnt.
5) ~$ mkdir mnt2 # cruthachadh eòlaire airson cùl-taic san àm ri teachd.
6) ~ $ cryptsetup fosgailte -veracrypt -type tcrypt ~/CryptoBox CryptoBox && mount / dev/mapper/CryptoBox / mnt2 #Map a Veracrypt volume leis an ainm “CryptoBox” agus cuir suas an CryptoBox gu / mnt2.
7) ~ $ rsync -avlxhHX - adhartas / mnt / mnt2 / # obrachadh cùl-taic de sgaradh crioptaichte gu tomhas crioptaichte Veracrypt.

(p/s/ Thoir aire! Ma tha thu a’ gluasad GNU / Linux crioptaichte bho aon ailtireachd / inneal gu fear eile, mar eisimpleir, Intel> AMD (is e sin, a’ cleachdadh cùl-taic bho aon sgaradh crioptaichte gu sgaradh crioptaichte Intel> AMD eile), Na dì-chuimhnich Às deidh dhut an OS crioptaichte a ghluasad, deasaich an iuchair ionaid dhìomhair an àite am facal-faire, is dòcha. cha bhith an iuchair roimhe ~/etc/skey - a’ freagairt air sgaradh crioptaichte eile tuilleadh, agus chan eilear a’ moladh iuchair ùr “cryptsetup luksAddKey” a chruthachadh bho fo chroot - tha glitch comasach, dìreach ann an ~/etc/crypttab sònraich an àite “/ etc/skey” airson ùine ghoirid “chan eil”, às deidh ath-aithris agus logadh a-steach don OS, ath-chruthaich an iuchair dhìomhair dìomhair agad a-rithist).

Mar sheann shaighdearan IT, cuimhnich gun dèan thu cùl-taic air leth de chinn-cinn nam pàirtean crioptaichte Windows / Linux OS, air neo tionndaidh an crioptachadh nad aghaidh.
Aig a 'cheum seo, tha cùl-taic an OS crioptaichte air a chrìochnachadh.

[F] Thoir ionnsaigh air bootloader GRUB2

Seall mion-fhiosrachadhMa tha thu air do bootloader a dhìon le ainm-sgrìobhte didseatach agus/no dearbhadh (faic puing C6.), an uairsin cha dìon seo an aghaidh ruigsinneachd corporra. Bidh dàta crioptaichte fhathast ruigsinneach, ach thèid an dìon a sheachnadh (ath-shuidheachadh dìon ainm sgrìobhte didseatach) Tha GRUB2 a’ leigeil le cyber-villain a chòd a chuir a-steach don luchd-luidh gun a bhith a’ togail amharas (mura h-eil an neach-cleachdaidh a 'cumail sùil air staid an luchd-luidh, no a' tighinn suas leis a 'chòd sgriobt neo-riaghailteach aca fhèin airson grub.cfg).

Algorithm ionnsaigh. Fear-ionnsaigh

* Boots PC bho usb beò. Atharrachadh sam bith (violator) cuiridh faidhlichean fios gu fìor neach-seilbh a’ PC mun t-sàrachadh a-steach don luchd-luachaidh. Ach ath-shuidheachadh sìmplidh de GRUB2 a’ cumail grub.cfg (agus an comas an dèidh sin a dheasachadh) leigidh seo le neach-ionnsaigh faidhlichean sam bith a dheasachadh (anns an t-suidheachadh seo, nuair a bhios tu a' luchdachadh GRUB2, cha tèid fios a chur chun an fhìor chleachdaiche. Tha an inbhe mar an ceudna <0>)
* A’ cur suas sgaradh gun chrioptachadh, a’ stòradh “/mnt/boot/grub/grub.cfg”.
* Ath-stàlaich an bootloader (a 'toirt air falbh "perskey" bhon ìomhaigh core.img)

grub-install --force --root-directory=/mnt /dev/sda6

* Tilleadh “grub.cfg” > “/mnt/boot/grub/grub.cfg”, deasaich e ma tha sin riatanach, mar eisimpleir, cuir do mhodal “keylogger.mod” ris a’ phasgan le modalan luchdan, ann an “grub.cfg” > loidhne "insmod keylogger". No, mar eisimpleir, ma tha an nàmhaid seòlta, an uairsin às deidh dha GRUB2 ath-shuidheachadh (tha gach ainm-sgrìobhte fhathast nan àite) bidh e a 'togail prìomh ìomhaigh GRUB2 a' cleachdadh "grub-mkimage le roghainn (-c)." Leigidh an roghainn “-c” leat do config a luchdachadh mus luchdaich thu am prìomh “grub.cfg”. Faodaidh dìreach aon loidhne a bhith anns an rèiteachadh: ath-stiùireadh gu “modern.cfg”, measgaichte, mar eisimpleir, le ~ 400 faidhle (modalan + ainmean-sgrìobhte) sa phasgan "/boot/grub/i386-pc". Anns a ’chùis seo, faodaidh neach-ionnsaigh còd neo-riaghailteach a chuir a-steach agus modalan a luchdachadh gun a bhith a’ toirt buaidh air “/boot/grub/grub.cfg”, eadhon ged a chuir an neach-cleachdaidh “hashsum” air an fhaidhle agus gun do sheall e e airson ùine air an sgrion.
Cha bhith feum aig neach-ionnsaigh logadh a-steach / facal-faire superuser GRUB2 a bhualadh; cha leig e leas ach na loidhnichean a chopaigeadh (uallach airson dearbhadh) "/boot/grub/grub.cfg" dhan "modern.cfg" agad

suidhich superusers = "root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

Agus bidh sealbhadair a’ PC fhathast air a dhearbhadh mar an superuser GRUB2.

A 'luchdachadh slabhraidh (bidh bootloader a’ luchdachadh bootloader eile), mar a sgrìobh mi gu h-àrd, chan eil e a’ dèanamh ciall (tha e an dùil airson adhbhar eile). Chan urrainnear bootloader crioptaichte a luchdachadh air sgàth BIOS (bidh bròg slabhraidh ag ath-thòiseachadh GRUB2> GRUB2 crioptaichte, mearachd!). Ach, ma chleachdas tu am beachd air luchdachadh slabhraidh fhathast, faodaidh tu a bhith cinnteach gur e am fear crioptaichte a thathas a’ luchdachadh. (gun ùrachadh) "grub.cfg" bhon roinn chrioptaichte. Agus tha seo cuideachd na mhothachadh meallta air tèarainteachd, leis gu bheil a h-uile dad a tha air a chomharrachadh anns an “grub.cfg” crioptaichte (luachadh mhodalan) a’ cur suas ri modalan a tha air an luchdachadh bho GRUB2 gun chrioptachadh.

Ma tha thu airson seo a dhearbhadh, an uairsin roinn / crioptaich sgaradh eile sdaY, dèan lethbhreac de GRUB2 thuige (chan eil e comasach obrachadh grub-install air sgaradh crioptaichte) agus ann an "grub.cfg" (config gun chrioptachadh) atharraich loidhnichean mar seo

clàr-taice 'GRUBx2' --clas parrot --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
luchdaich_bhideo
insmod gzio
ma tha [ x$grub_platform = xxen ]; an sin insmod xzio; insmod lzopio; fi
insmod pàirt_msdos
insmod cryptodisk
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
àbhaisteach /boot/grub/grub.cfg
}

loidhnichean
* insmod - a’ luchdachadh nam modalan riatanach airson obrachadh le diosc crioptaichte;
* GRUBx2 - ainm na loidhne a tha air a thaisbeanadh ann an clàr bròg GRUB2;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 - faic. fdisk -l (sda9);
* suidhich freumh - stàlaich root;
* àbhaisteach /boot/grub/grub.cfg - faidhle rèiteachaidh so-ghnìomhaichte air sgaradh crioptaichte.

Tha misneachd gur e an “grub.cfg” crioptaichte a tha air a luchdachadh na fhreagairt dheimhinneach mu bhith a’ dol a-steach don fhacal-fhaire / fhuasgladh “sdaY” nuair a thaghas tu an loidhne “GRUBx2” sa chlàr GRUB.

Nuair a bhios tu ag obair anns an CLI, gus nach bi thu troimh-chèile (agus dèan cinnteach an obraich an caochladair àrainneachd “set root”), cruthaich faidhlichean tòcan falamh, mar eisimpleir, anns an roinn chrioptaichte “/ shifr_grub”, anns an roinn gun chrioptachadh “/ noshifr_grub”. A’ sgrùdadh ann an CLI

cat /Tab-Tab

Mar a chaidh a ràdh gu h-àrd, cha chuidich seo le bhith a’ luchdachadh sìos mhodalan droch-rùnach ma thig na modalan sin gu crìch air do PC. Mar eisimpleir, keylogger a bhios comasach air keystrokes a shàbhaladh gu faidhle agus a mheasgachadh le faidhlichean eile ann an “~/ i386” gus an tèid a luchdachadh sìos le neach-ionnsaigh le ruigsinneachd corporra air a ’PC.

Is e an dòigh as fhasa dearbhadh gu bheil dìon ainm sgrìobhte didseatach ag obair gu gnìomhach (gun ath-shuidheachadh), agus chan eil duine air ionnsaigh a thoirt air an bootloader, cuir a-steach an àithne san CLI

list_trusted

mar fhreagairt gheibh sinn leth-bhreac den “perskey” againn, no chan fhaigh sinn dad ma thèid ionnsaigh a thoirt oirnn (feumaidh tu cuideachd sgrùdadh a dhèanamh air “set check_signatures=enforce”).
Is e ana-cothrom mòr den cheum seo a bhith a’ dol a-steach òrdughan le làimh. Ma chuireas tu an àithne seo ri “grub.cfg” agus ma dhìonas tu an rèiteachadh le ainm-sgrìobhte didseatach, an uairsin tha toradh tòiseachaidh a’ phrìomh dhealbh air an sgrion ro ghoirid ann an ùine, agus is dòcha nach bi ùine agad an toradh fhaicinn às deidh dhut GRUB2 a luchdachadh .
Chan eil duine gu sònraichte airson tagraidhean a dhèanamh ris: an leasaiche na chuid sgrìobhainnean clàs 18.2 air fhoillseachadh gu h-oifigeil

“Thoir an aire, eadhon le dìon facal-faire GRUB, nach urrainn dha GRUB fhèin casg a chuir air cuideigin le ruigsinneachd corporra air an inneal bho bhith ag atharrachadh rèiteachadh firmware an inneil sin (me, Coreboot no BIOS) gus toirt air an inneal bròg bho inneal eile (fo smachd neach-ionnsaigh). Aig a’ char as fheàrr chan eil ann an GRUB ach aon cheangal ann an sreath bròg tèarainte."

Tha GRUB2 air a luchdachadh cus le gnìomhan a bheir faireachdainn de thèarainteachd meallta, agus tha an leasachadh aige mu thràth air a dhol thairis air MS-DOS a thaobh gnìomhachd, ach chan eil ann ach bootloader. Tha e èibhinn gum faod GRUB2 - “amàireach” a bhith na OS, agus innealan brìgheil bootable GNU/Linux air a shon.

Bhidio goirid mu mar a dh’ ath-shuidhich mi dìon ainm sgrìobhte didseatach GRUB2 agus a chuir an cèill mo shàrachadh air fìor neach-cleachdaidh (Tha an t-eagal orm, ach an àite na tha air a shealltainn anns a 'bhidio, faodaidh tu còd neo-chinnteach / .mod a sgrìobhadh).

Co-dhùnaidhean:

1) Tha e nas fhasa crioptachadh siostam bloca airson Windows a chuir an gnìomh, agus tha dìon le aon fhacal-faire nas freagarraiche na dìon le grunn fhaclan-faire le crioptachadh siostam bloc GNU / Linux, gus a bhith cothromach: tha an tè mu dheireadh fèin-ghluasadach.

2) Sgrìobh mi an artaigil mar rud iomchaidh agus mionaideach sìmplidh iùl mu chrioptachadh làn-diosg VeraCrypt/LUKS air aon dachaigh an inneal, a tha fada nas fheàrr ann an RuNet (IMHO). Tha an iùl > 50k caractar a dh'fhaid, agus mar sin cha do chòmhdaich e cuid de chaibideilean inntinneach: criptografaichean a bhios a' dol à sealladh/a' cumail fo sgàile; mun fhìrinn gu bheil iad ann an grunn leabhraichean GNU/Linux a’ sgrìobhadh glè bheag/nach eil a’ sgrìobhadh mu chrioptachadh; mu Artaigil 51 de Bhun-reachd na Russian Federation; O ceadachd/casg crioptachadh ann an Russian Federation, mu dheidhinn carson a dh’ fheumas tu “root/boot” a chrioptachadh. Thionndaidh an stiùireadh gu bhith gu math farsaing, ach mionaideach. (a 'toirt cunntas air eadhon ceumannan sìmplidh), an uair sin, sàbhalaidh seo tòrr ùine dhut nuair a ruigeas tu an “fìor chrioptachadh”.

3) Chaidh crioptachadh diosc slàn a dhèanamh air Windows 7 64; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.

4) Chaidh ionnsaigh shoirbheachail a chuir an gnìomh e GRUB2 bootloader.

5) Chaidh oideachadh a chruthachadh gus a h-uile duine paranoid anns an CIS a chuideachadh, far a bheil e ceadaichte obrachadh le crioptachadh aig ìre reachdail. Agus gu sònraichte dhaibhsan a tha airson crioptachadh làn-diosg a sgaoileadh gun a bhith a’ leagail na siostaman rèiteachaidh aca.

6) Rinn mi ath-obrachadh agus ùrachadh air an leabhar-làimhe agam, a tha buntainneach ann an 2020.

[G] Sgrìobhainnean feumail

1. Stiùireadh cleachdaiche TrueCrypt (An Gearran 2012 RU)
2. Sgrìobhainnean VeraCrypt
3. /usr/share/doc/cryptsetup(-run) [goireas ionadail] (sgrìobhainnean oifigeil mionaideach mu bhith a’ stèidheachadh crioptachadh GNU/Linux a’ cleachdadh cryptsetup)
4. cryptsetup oifigeil Ceistean Cumanta (sgrìobhainnean goirid mu bhith a’ stèidheachadh crioptachadh GNU/Linux a’ cleachdadh cryptsetup)
5. crioptachadh inneal LUKS (sgrìobhainnean archlinux)
6. Tuairisgeul mionaideach air co-chòrdadh cryptsetup (duilleag fear bogha)
7. Tuairisgeul mionaideach air crypttab (duilleag fear bogha)
8. Sgrìobhainnean oifigeil GRUB2.

Tags: crioptachadh làn diosc, crioptachadh sgaradh, crioptachadh làn diosc Linux, crioptachadh siostam slàn LUKS1.

Chan fhaod ach luchd-cleachdaidh clàraichte pàirt a ghabhail san sgrùdadh. Soidhnig a-steach, mas e do thoil e.

A bheil thu a’ crioptachadh?

• 17,1%Bidh mi a’ crioptachadh a h-uile rud as urrainn dhomh. Tha mi paranoid.14

• 34,2%Chan eil mi a’ crioptachadh ach dàta cudromach.28

• 14,6%Aig amannan bidh mi a’ crioptachadh, uaireannan bidh mi a’ dìochuimhneachadh.12

• 34,2%Chan e, chan eil mi a’ crioptachadh, tha e mì-ghoireasach agus daor.28

Bhòt 82 neach-cleachdaidh. Sheall 22 neach-cleachdaidh.

Source: www.habr.com