ProHoster > Blog > Administración > Cifrado de disco completo dos sistemas instalados Windows Linux. Arranque múltiple cifrado

Cifrado de disco completo dos sistemas instalados Windows Linux. Arranque múltiple cifrado

Cifrado de disco completo dos sistemas instalados Windows Linux. Arranque múltiple cifrado
Обновленное свое же руководство по полнодисковому шифрованию в рунете V0.2.

Estratexia cowboy:

[A] O sistema de Windows 7 bloquea o cifrado do sistema instalado;
[B] Cifrado de bloques do sistema GNU/Linux (Debian) sistema instalado (incluíndo /boot);
[C] Configuración GRUB2, protección do cargador de arranque con sinatura dixital/autenticación/hash;
[D] eliminación: destrución de datos sen cifrar;
[E] copia de seguridade universal do sistema operativo cifrado;
[F] ataque <no elemento [C6]> destino - cargador de arranque GRUB2;
[G]documentación útil.

╭───Diagrama da #habitación 40# :
├──╼ Windows 7 установленная — шифрование полное системное, не скрытое;
├──╼ GNU/Linux instalado (Debian e distribucións derivadas) - cifrado completo do sistema, non oculto(/, incluíndo /boot; intercambio);
├──╼ cargadores de arranque independentes: o cargador de arranque VeraCrypt está instalado no MBR, o cargador de arranque GRUB2 está instalado na partición estendida;
├──╼non se precisa instalación/reinstalación do SO;
└──╼ используемое криптографическое ПО: VeraCrypt; Cryptsetup; GnuPG; Seahorse; Hashdeep; GRUB2 – свободное/бесплатное.

O esquema anterior resolve parcialmente o problema do "arranque remoto nunha unidade flash", permítelle gozar do sistema operativo Windows/Linux cifrado e intercambiar datos a través dunha "canle cifrada" dun sistema operativo a outro.

Orde de inicio do PC (unha das opcións):

  • acender a máquina;
  • cargando o cargador de arranque VeraCrypt (introducindo o contrasinal correcto seguirá iniciando Windows 7);
  • premendo a tecla "Esc" cargarase o cargador de arranque GRUB2;
  • Cargador de arranque GRUB2 (выбор дистрибутива/ GNU/Linux/CLI), requirirá a autenticación do superusuario GRUB2 <login/password>;
  • despois da autenticación e selección exitosa da distribución, terá que introducir unha frase de acceso para desbloquear "/boot/initrd.img";
  • despois de introducir contrasinais sen erros, GRUB2 "requirirá" unha entrada de contrasinal (terceiro, contrasinal da BIOS ou contrasinal da conta de usuario GNU/Linux - non considerar) para desbloquear e iniciar o sistema operativo GNU/Linux, ou substitución automática dunha chave secreta (dous contrasinais + chave ou contrasinal + chave);
  • a intrusión externa na configuración de GRUB2 conxelará o proceso de arranque de GNU/Linux.

Хлопотно? Ок, идём автоматизировать процессы.

Ao particionar un disco duro (táboa MBR) Un PC non pode ter máis de 4 particións principais, ou 3 principais e unha estendida, así como unha área non asignada. Unha sección estendida, a diferenza da principal, pode conter subseccións (unidades lóxicas = partición estendida). Noutras palabras, a "partición estendida" do disco duro substitúe a LVM para a tarefa en cuestión: o cifrado completo do sistema. Se o teu disco está dividido en 4 particións principais, debes usar lvm ou transform (con formato) sección de principal a avanzado, ou usa sabiamente as catro seccións e deixa todo como está, obtendo o resultado desexado. Aínda que teñas unha partición no teu disco, Gparted axudarache a particionar o teu disco duro (para seccións adicionais) sen perda de datos, pero aínda cunha pequena penalización por tales accións.

Схема разметки жесткого диска, относительно которой пойдет вербализация всей статьи, представлена в таблице ниже.

Cifrado de disco completo dos sistemas instalados Windows Linux. Arranque múltiple cifrado
Táboa (n.o 1) de particións de 1 TB.

Tamén deberías ter algo parecido.
sda1 - partición principal número 1 NTFS (cifrado);
sda2 - marcador de sección estendida;
sda6 - disco lóxico (ten instalado o cargador de arranque GRUB2);
sda8 - intercambio (ficheiro de intercambio cifrado/non sempre);
sda9 - probar o disco lóxico;
sda5 - disco lóxico para curiosos;
sda7 - Sistema operativo GNU/Linux (SO transferido a un disco lóxico cifrado);
sda3 - partición principal número 2 con sistema operativo Windows 7 (cifrado);
sda4 - sección principal no 3 (contiña GNU/Linux sen cifrar, usado para copias de seguridade/non sempre).

[A] Cifrado de bloques do sistema de Windows 7

A1. VeraCryptCifrado de disco completo dos sistemas instalados Windows Linux. Arranque múltiple cifrado

Cargando desde web oficial, ou dende o espello fonteforge versión de instalación del software criptográfico VeraCrypt (no momento da publicación do artigo v1.24-Update3, a versión portátil de VeraCrypt non é adecuada para o cifrado do sistema). Comprobe a suma de verificación do software descargado

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

e compare o resultado co CS publicado no sitio web do programador VeraCrypt.

Se o software HashTab está instalado, é aínda máis fácil: RMB (Configuración de VeraCrypt 1.24.exe)-properties - suma hash de ficheiros.

Para verificar a sinatura do programa, o software e a clave pgp pública do programador deben estar instalados no sistema gnuPG; gpg4win.

A2. Instalación/execución do software VeraCrypt con dereitos de administradorCifrado de disco completo dos sistemas instalados Windows Linux. Arranque múltiple cifrado

A3. Selección dos parámetros de cifrado do sistema para a partición activaVeraCrypt – Sistema – Cifrar partición/disco do sistema – Normal – Cifrar partición do sistema Windows – Arranque múltiple – (advertencia: "Non se recomenda aos usuarios sen experiencia que utilicen este método" e isto é certo, estamos de acordo en "Si") - Disco de arranque ("si", aínda que non sexa así, aínda "si") – Número de discos do sistema “2 ou máis” – Varios sistemas nun disco “Si” – Cargador de arranque non Windows “Non” (de feito, "Si", pero os cargadores de arranque VeraCrypt/GRUB2 non compartirán o MBR entre eles; máis precisamente, só a parte máis pequena do código do cargador de arranque se almacena no MBR/pista de arranque, a súa parte principal é situado dentro do sistema de ficheiros) - Arranque múltiple - Configuración de cifrado...

Se se desvía dos pasos anteriores (bloqueo de esquemas de cifrado do sistema), entón VeraCrypt emitirá un aviso e non che permitirá cifrar a partición.

No seguinte paso cara á protección de datos específica, realice unha "Proba" e seleccione un algoritmo de cifrado. Se tes unha CPU obsoleta, o máis probable é que o algoritmo de cifrado máis rápido sexa Twofish. Se a CPU é potente, notarás a diferenza: o cifrado AES, segundo os resultados das probas, será varias veces máis rápido que os seus competidores criptográficos. AES é un algoritmo de cifrado popular; o hardware das CPU modernas está especialmente optimizado tanto para "segredo" como para "piratear".

VeraCrypt admite a capacidade de cifrar discos nunha cascada AES(Dous peixes)/e outras combinacións. Nunha CPU Intel de núcleo vello de hai dez anos (sen soporte de hardware para AES, cifrado en cascada A/T) A diminución do rendemento é esencialmente imperceptible. (para CPUs AMD da mesma época/~parámetros, o rendemento redúcese lixeiramente). ОС работает в динамике и потребление ресурсов на прозрачное шифрование – незаметное. В отличие, как например, заметное снижение производительности из-за установленного тестового нестабильного desktop environment Mate v1.20.1 (ou v1.20.2 non lembro exactamente) en GNU/Linux, ou debido ao funcionamento da rutina de telemetría en Windows7↑. Normalmente, os usuarios experimentados realizan probas de rendemento do hardware antes do cifrado. Por exemplo, en Aida64/Sysbench/systemd-analyze compárase a culpa cos resultados das mesmas probas despois de cifrar o sistema, refutando así o mito de que "o cifrado do sistema é prexudicial". A desaceleración da máquina e as molestias nótanse ao facer copias de seguridade/restaurar datos cifrados, porque a propia operación de "copia de seguridade de datos do sistema" non se mide en ms, e engádense eses mesmos <descifrar/cifrar sobre a marcha>. En definitiva, cada usuario ao que se lle permite xogar coa criptografía equilibra o algoritmo de cifrado coa satisfacción das tarefas a realizar, o seu nivel de paranoia e a facilidade de uso.

É mellor deixar o parámetro PIM como predeterminado, para que ao cargar o SO non teñas que introducir os valores de iteración exactos cada vez. VeraCrypt usa un gran número de iteracións para crear un "hash lento" verdadeiramente. Un ataque a tal "caracol criptográfico" usando o método de táboas de forza bruta/arco da vella só ten sentido cunha frase de paso "simple" curta e a lista de conxuntos de caracteres persoal da vítima. O prezo a pagar pola forza do contrasinal é un atraso na introdución do contrasinal correcto ao cargar o sistema operativo. (Montar volumes VeraCrypt en GNU/Linux é significativamente máis rápido).
Software gratuíto para implementar ataques de forza bruta (extraer a frase de acceso da cabeceira do disco VeraCrypt/LUKS) Hashcat. John the Ripper non sabe como "romper Veracrypt" e cando traballa con LUKS non entende a criptografía Twofish.

Debido á forza criptográfica dos algoritmos de cifrado, os cypherpunks imparables están a desenvolver software cun vector de ataque diferente. Por exemplo, extraer metadatos/claves da memoria RAM (ataque de arranque en frío/acceso directo a memoria), Existe software libre e non libre especializado para estes fins.

Tras completar a configuración/xeración de "metadatos únicos" da partición activa cifrada, VeraCrypt ofrecerá reiniciar o PC e probar a funcionalidade do seu cargador de arranque. Despois de reiniciar/iniciar Windows, VeraCrypt cargarase en modo de espera, só queda confirmar o proceso de cifrado - Y.

No paso final do cifrado do sistema, VeraCrypt ofrecerá crear unha copia de seguridade da cabeceira da partición cifrada activa en forma de "veracrypt rescue disk.iso" - isto debe facerse - neste software tal operación é un requisito (en LUKS, como requisito - desafortunadamente omítese, pero subliñarase na documentación). O disco de rescate será útil para todos, e para algúns máis dunha vez. Perda (encabezado/reescritura de MBR) резервной копии заголовка навсегда лишит доступа к дешифрованному разделу с OS Windows.

A4. Creando un USB/disco de rescate VeraCryptPor defecto, VeraCrypt ofrece gravar "~2-3MB de metadatos" nun CD, pero non todas as persoas teñen discos ou unidades DWD-ROM, e crear unha unidade flash de arranque "VeraCrypt Rescue disk" será unha sorpresa técnica para algúns: Rufus /GUIDd-ROSA ImageWriter e outro software similar non poderán facer fronte á tarefa, porque ademais de copiar metadatos de compensación nunha unidade flash de arranque, cómpre copiar/pegar a imaxe fóra do sistema de ficheiros da unidade USB, en resumo, copie correctamente o MBR/road ao chaveiro. Podes crear unha unidade flash de arranque desde o sistema operativo GNU/Linux usando a utilidade "dd", mirando este sinal.

Cifrado de disco completo dos sistemas instalados Windows Linux. Arranque múltiple cifrado

Crear un disco de rescate nun ambiente Windows é diferente. O desenvolvedor de VeraCrypt non incluíu a solución a este problema no oficial documentación por “disco de rescate”, pero propuxo unha solución dun xeito diferente: publicou software adicional para crear un “disco de rescate USB” de acceso gratuíto no seu foro VeraCrypt. O arquiveiro deste software para Windows está "creando un disco de rescate usb veracrypt". Despois de gardar o disco de rescate.iso, comezará o proceso de cifrado do sistema de bloques da partición activa. Durante o cifrado, o funcionamento do SO non se detén; non é necesario reiniciar a PC. Ao completar a operación de cifrado, a partición activa cífrase completamente e pódese usar. Se o cargador de arranque de VeraCrypt non aparece cando inicia o PC e a operación de recuperación da cabeceira non axuda, comprobe a bandeira de "inicio", debe configurarse na partición na que está presente Windows (independentemente do cifrado e doutros SO, consulte a táboa número 1).
Isto completa a descrición do cifrado do sistema de bloques co sistema operativo Windows.

[B]LUKS. Cifrado GNU/Linux (~Debian) OS instalado. Algoritmo e pasos

Para cifrar unha distribución Debian/derivada instalada, cómpre asignar a partición preparada a un dispositivo de bloque virtual, transferila ao disco GNU/Linux mapeado e instalar/configurar GRUB2. Se non tes un servidor simple e valoras o teu tempo, entón tes que usar a GUI, e a maioría dos comandos do terminal descritos a continuación están destinados a executarse en "modo Chuck-Norris".

B1. Arrancar o PC desde usb vivo GNU/Linux

"Realiza unha proba criptográfica para o rendemento do hardware"

lscpu && сryptsetup benchmark

Cifrado de disco completo dos sistemas instalados Windows Linux. Arranque múltiple cifrado

Se es o feliz propietario dun coche potente con soporte de hardware AES, os números pareceranse ao lado dereito do terminal; se es un propietario feliz, pero con hardware antigo, os números pareceranse ao lado esquerdo.

B2. Partición de disco. montaxe/formateo do disco lóxico fs HDD a Ext4 (Gparted)

B2.1. Creando unha cabeceira de partición sda7 cifradaDescribirei os nomes das particións, aquí e máis aló, de acordo coa miña táboa de particións publicada anteriormente. Segundo o deseño do teu disco, debes substituír os nomes das túas particións.

Asignación de cifrado de unidades lóxicas (/dev/sda7 > /dev/mapper/sda7_crypt).
#Fácil creación dunha "partición LUKS-AES-XTS"

cryptsetup -v -y luksFormat /dev/sda7

Opcións:

* luksFormat - inicialización da cabeceira LUKS;
* -y -contrasinal (non clave/ficheiro);
* -v -verbalización (mostrando información no terminal);
* /dev/sda7 - o teu disco lóxico desde a partición estendida (onde está previsto transferir/cifrar GNU/Linux).

По умолчанию алгоритм шифрования <LUKS1: aes-xts-plain64, clave: 256 bits, hash de cabeceira LUKS: sha256, RNG: /dev/urandom> (depende da versión de cryptsetup).

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

Se non hai soporte de hardware para AES na CPU, a mellor opción sería crear unha "partición LUKS-Twofish-XTS" estendida.

B2.2. Creación avanzada de "LUKS-Twofish-XTS-partition"

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

Opcións:
* luksFormat - inicialización da cabeceira LUKS;
* /dev/sda7 é o teu futuro disco lóxico cifrado;
* -v verbalización;
* frase de paso -y;
* -c seleccionar algoritmo de cifrado de datos;
* -s tamaño da clave de cifrado;
* -h algoritmo de hash/función criptográfica, RNG usado (--use-urandom) para xerar unha clave de cifrado/descifrado única para a cabeceira do disco lóxico, unha clave de cabeceira secundaria (XTS); unha clave mestra única almacenada na cabeceira do disco cifrado, unha clave XTS secundaria, todos estes metadatos e unha rutina de cifrado que, utilizando a chave mestra e a clave XTS secundaria, cifra/descifra calquera dato da partición. (excepto título da sección) almacenado en ~3MB na partición do disco duro seleccionada.
* -i iteracións en milisegundos, en lugar de "cantidade" (o atraso de tempo ao procesar a frase de paso afecta á carga do SO e á forza criptográfica das claves). Para manter un equilibrio de forza criptográfica, cun contrasinal simple como "ruso" cómpre aumentar o valor -(i); cun contrasinal complexo como "?8dƱob/øfh" pódese diminuír o valor.
* —use-xerador de números aleatorios aleatorios, xera claves e sal.

Despois de mapear a sección sda7 > sda7_crypt (a operación é rápida, xa que se crea unha cabeceira cifrada con ~3 MB de metadatos e iso é todo), cómpre formatear e montar o sistema de ficheiros sda7_crypt.

B2.3. Comparación

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

opcións:
* abrir: fai coincidir a sección "con nome";
* /dev/sda7 -disco lóxico;
* sda7_crypt - asignación de nomes que se usa para montar a partición cifrada ou inicializala cando se inicia o SO.

B2.4. Formatando o sistema de ficheiros sda7_crypt a ext4. Montar un disco no SO(Nota: non poderás traballar cunha partición cifrada en Gparted)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt

opcións:
* -v -verbalización;
* -L - etiqueta da unidade (que se mostra no Explorer entre outras unidades).

A continuación, debes montar o dispositivo de bloque cifrado virtualmente /dev/sda7_crypt no sistema

mount /dev/mapper/sda7_crypt /mnt

Traballar con ficheiros no cartafol /mnt cifrará/descifrará automaticamente os datos en sda7.

É máis cómodo mapear e montar a partición no Explorer (nautilus/caja GUI), a partición xa estará na lista de selección de discos, só queda introducir o contrasinal para abrir/descifrar o disco. O nome coincidente seleccionarase automaticamente e non "sda7_crypt", senón algo así como /dev/mapper/Luks-xx-xx...

B2.5. Copia de seguranza da cabeceira do disco (~3 MB de metadatos)Un dos máis importante operacións que deben facerse sen demora: unha copia de seguridade da cabeceira "sda7_crypt". Se sobreescribe/dana a cabeceira (por exemplo, instalando GRUB2 na partición sda7, etc.), os datos cifrados perderanse por completo sen posibilidade de recuperalos, xa que será imposible volver xerar as mesmas claves; as claves son creadas de forma única.

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7 


#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

opcións:
* luksHeaderBackup —comando header-backup-file -backup;
* luksHeaderRestore —comando header-backup-file -restore;
* ~/Бэкап_DebSHIFR — файл резервной копии;
* /dev/sda7 - partición cuxa copia de seguridade da cabeceira do disco cifrada se vai gardar.
Neste paso completouse a <creación e edición da partición cifrada>.

B3. Portando SO GNU/Linux (sda4) a unha partición cifrada (sda7)

Создаем папку /mnt2 (Nota: aínda estamos traballando con usb en directo, sda7_crypt está montado en /mnt), e montar o noso GNU/Linux en /mnt2, que debe ser cifrado.

mkdir /mnt2
mount /dev/sda4 /mnt2

Realizamos a transferencia correcta do sistema operativo usando o software Rsync

rsync -avlxhHX --progress /mnt2/ /mnt

As opcións de Rsync descríbense no parágrafo E1.

Ademais, necesario desfragmentar unha partición do disco lóxico

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

Faino unha regra: fai e4defrag en GNU/Linux cifrado de cando en vez se tes un disco duro.
A transferencia e sincronización [GNU/Linux > GNU/Linux-encrypted] complétase neste paso.

Á 4. Configurando GNU/Linux nunha partición sda7 cifrada

Despois de transferir correctamente o sistema operativo /dev/sda4 > /dev/sda7, cómpre iniciar sesión en GNU/Linux na partición cifrada e realizar unha configuración adicional (sen reiniciar o PC) en relación a un sistema cifrado. É dicir, estar en usb en directo, pero executar comandos "relativos á raíz do sistema operativo cifrado". "chroot" simulará unha situación similar. Para recibir rapidamente información sobre o sistema operativo co que está a traballar actualmente (cifrado ou non, xa que os datos en sda4 e sda7 están sincronizados), desincronice o SO. Crear en directorios raíz (sda4/sda7_crypt) ficheiros de marcador baleiros, por exemplo, /mnt/encryptedOS e /mnt2/decryptedOS. Comproba rapidamente en que sistema operativo estás (incluído para o futuro):

ls /<Tab-Tab>

B4.1. "Simulación de inicio de sesión nun SO cifrado"

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. Проверка, что работа осуществляется относительно зашифрованной системы

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"


history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. Creando/configurando intercambio cifrado, editando crypttab/fstabDado que o ficheiro de intercambio está formateado cada vez que se inicia o SO, non ten sentido crear e mapear o intercambio nun disco lóxico agora e introducir comandos como no parágrafo B2.2. Para o intercambio, xeraranse automaticamente as súas propias claves de cifrado temporais en cada inicio. Ciclo de vida das chaves de intercambio: desmontar/desmontar a partición de intercambio (+limpeza de RAM); ou reinicie o sistema operativo. Configurando o intercambio, abrindo o ficheiro responsable da configuración dos dispositivos cifrados en bloque (análogo a un ficheiro fstab, pero responsable de crypto).

nano /etc/crypttab

editamos

#"nome de destino" "dispositivo fonte" "ficheiro de chave" "opcións"
swap /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512

Opcións
* swap - nome asignado ao cifrar /dev/mapper/swap.
* /dev/sda8 - use a súa partición lóxica para o intercambio.
* /dev/urandom -генератор случайных ключей шифрования для swap (con cada novo arranque do sistema operativo, créanse novas claves). O xerador /dev/urandom é menos aleatorio que /dev/random, despois de todo, /dev/random úsase cando se traballa en circunstancias paranoicas perigosas. Ao cargar o SO, /dev/random ralentiza a carga durante varios ± minutos (ver systemd-analyse).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -a partición sabe que é swap e está formateada "en consecuencia"; algoritmo de cifrado.

#Открываем и правим fstab
nano /etc/fstab

editamos

# swap estivo activado / dev / sda8 durante a instalación
/dev/mapper/swap none swap sw 0 0

/dev/mapper/swap é o nome que se estableceu en crypttab.

Intercambio cifrado alternativo
Se por algún motivo non queres renunciar a unha partición enteira por un ficheiro de intercambio, podes tomar unha ruta alternativa e mellor: crear un ficheiro de intercambio nun ficheiro nunha partición cifrada co SO.

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

A configuración da partición de intercambio completouse.

B4.4. Configurar GNU/Linux cifrado (edición de ficheiros crypttab/fstab)O ficheiro /etc/crypttab, como se escribiu anteriormente, describe os dispositivos de bloque cifrados que se configuran durante o inicio do sistema.

#правим /etc/crypttab 
nano /etc/crypttab

se coincidiu coa sección sda7>sda7_crypt como no parágrafo B2.1

# «target name» «source device» «key file» «options»
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

se coincidiu coa sección sda7>sda7_crypt como no parágrafo B2.2

# «target name» «source device» «key file» «options»
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

se coincidiu coa sección sda7>sda7_crypt como no parágrafo B2.1 ou B2.2, pero non quere volver introducir o contrasinal para desbloquear e iniciar o sistema operativo, en lugar do contrasinal pode substituír unha clave secreta/ficheiro aleatorio

# «target name» «source device» «key file» «options»
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

Descrición
* none - informa de que ao cargar o sistema operativo, é necesario introducir unha contrasinal secreta para desbloquear a raíz.
* UUID - identificador de partición. Para saber o teu DNI, escribe no terminal (recorda que a partir deste momento, estás a traballar nun terminal nun ambiente chroot, e non noutro terminal USB en directo).

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

esta liña é visible cando se solicita blkid desde o terminal USB en directo con sda7_crypt montado).
Tomas o UUID do teu sdaX (non sdaX_crypt!, UUID sdaX_crypt - deixarase automaticamente ao xerar a configuración de grub.cfg).
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks cifrado en modo avanzado.
* /etc/skey - ficheiro de chave secreta, que se insire automaticamente para desbloquear o inicio do SO (en lugar de introducir o 3o contrasinal). Podes especificar calquera ficheiro de ata 8 MB, pero os datos leranse <1 MB.

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey


#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7

Será algo así:

(Faino vostede mesmo e comprobe por si mesmo).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab contén información descritiva sobre varios sistemas de ficheiros.

#Правим /etc/fstab
nano /etc/fstab

# "sistema de ficheiros" "punto de montaxe" "tipo" "opcións" "volcado" "pasar"
# / estaba en / dev / sda7 durante a instalación
/dev/mapper/sda7_crypt / ext4 errors=remount-ro 0 1

opción
* /dev/mapper/sda7_crypt - o nome da asignación sda7>sda7_crypt, que se especifica no ficheiro /etc/crypttab.
A configuración de crypttab/fstab completouse.

B4.5. Editando ficheiros de configuración. Momento claveB4.5.1. Editando a configuración /etc/initramfs-tools/conf.d/resume

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

e comenta (se existe) "#" liña "currículo". O ficheiro debe estar completamente baleiro.

B4.5.2. Editando a configuración /etc/initramfs-tools/conf.d/cryptsetup

nano /etc/initramfs-tools/conf.d/cryptsetup

debería coincidir

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=si
exportar CRYPTSETUP

B4.5.3. Editando a configuración de /etc/default/grub (esta configuración é responsable da capacidade de xerar grub.cfg cando se traballa con /boot cifrado)

nano /etc/default/grub

engade a liña "GRUB_ENABLE_CRYPTODISK=y"
o valor 'y', grub-mkconfig e grub-install comprobarán as unidades cifradas e xerarán comandos adicionais necesarios para acceder a elas no momento do arranque (insmods ).
debe haber unha semellanza

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT=«acpi_backlight=vendor»
GRUB_CMDLINE_LINUX="salpicadura silenciosa sen montaxe automática"
GRUB_ENABLE_CRYPTODISK=y

B4.5.4. Editando a configuración /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

comproba que a liña comentou <#>.
No futuro (e aínda agora, este parámetro non terá ningún significado, pero ás veces interfire coa actualización da imaxe initrd.img).

B4.5.5. Editando a configuración /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

engadir

KEYFILE_PATTERN="/etc/skey"
UMASK=0077

Isto empaquetará a chave secreta "skey" en initrd.img, a chave é necesaria para desbloquear a raíz cando se inicia o sistema operativo (se non quere introducir o contrasinal de novo, a chave "skey" substitúese ao coche).

B4.6. Actualizar /boot/initrd.img [versión]Para empaquetar a chave secreta en initrd.img e aplicar correccións de cryptsetup, actualice a imaxe

update-initramfs -u -k all

ao actualizar initrd.img (como din "É posible, pero non é certo") aparecerán avisos relacionados coa configuración de criptografía ou, por exemplo, unha notificación sobre a perda de módulos de Nvidia, isto é normal. Despois de actualizar o ficheiro, verifique que se actualizou realmente, vexa a hora (относительно chroot среды./boot/initrd.img). Atención! antes de [update-initramfs -u -k all] asegúrese de comprobar que cryptsetup estea aberto /dev/sda7 sda7_crypt - este é o nome que aparece en /etc/crypttab, se non despois do reinicio, producirase un erro de busybox)
Neste paso, a configuración dos ficheiros de configuración está completa.

[C] Instalación e configuración de GRUB2/Protection

C1. Se é necesario, formatee a partición dedicada para o cargador de arranque (unha partición necesita polo menos 20 MB)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. Monte /dev/sda6 en /mntEntón traballamos en chroot, entón non haberá directorio /mnt2 na raíz e o cartafol /mnt estará baleiro.
montar a partición GRUB2

mount /dev/sda6 /mnt

Se tes instalada unha versión máis antiga de GRUB2, no directorio /mnt/boot/grub/i-386-pc (outra plataforma é posible, por exemplo, non "i386-pc") sen módulos criptográficos (en resumo, o cartafol debería conter módulos, incluíndo estes .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), neste caso, hai que axitar GRUB2. 

apt-get update
apt-get install grub2

Важно! Во время обновления пакета GRUB2 из репозитория, на вопрос «о выборе» в какое место устанавливать загрузчик – необходимо отказаться от инсталляции (razón - intente instalar GRUB2 - en "MBR" ou en usb en directo). En caso contrario, danará o encabezado/cargador de VeraCrypt. Despois de actualizar os paquetes GRUB2 e cancelar a instalación, o cargador de arranque debe instalarse manualmente no disco lóxico, e non no MBR. Se o teu repositorio ten unha versión desactualizada de GRUB2, téntao actualizar é do sitio web oficial - non o comprobei (funcionou cos últimos cargadores de arranque de GRUB 2.02 ~BetaX).

C3. Instalando GRUB2 nunha partición estendida [sda6]Debes ter unha partición montada [elemento C.2] 

grub-install --force --root-directory=/mnt /dev/sda6

opcións
* —force - instalación do cargador de arranque, evitando todos os avisos que case sempre existen e bloquea a instalación (bandeira obrigatoria).
* --root-directory - instalación do directorio á raíz de sda6.
* /dev/sda6 -ваш sdaХ раздел (non perda o <espazo> entre /mnt /dev/sda6).

C4. Creando un ficheiro de configuración [grub.cfg]Esquece o comando "update-grub2" e utiliza o comando de xeración de ficheiros de configuración completo

grub-mkconfig -o /mnt/boot/grub/grub.cfg

despois de completar a xeración/actualización do ficheiro grub.cfg, o terminal de saída debería conter liñas co sistema operativo que se atopa no disco. ("grub-mkconfig" probablemente atopará e collerá o sistema operativo desde un usb activo, se tes unha unidade flash de arranque múltiple con Windows 10 e unha morea de distribucións en directo, isto é normal). Se o terminal está "baleiro" e non se xera o ficheiro "grub.cfg", entón este é o mesmo caso cando hai erros GRUB no sistema (e moi probablemente o cargador da rama de proba do repositorio), reinstale GRUB2 desde fontes fiables.
A instalación da "configuración sinxela" e a configuración de GRUB2 están completadas.

C5. Proba de proba do sistema operativo cifrado GNU/LinuxКорректное завершаем криптомиссию. Аккуратно покидаем зашифрованную GNU/Linux (saír do contorno chroot).

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

Despois de reiniciar o PC, debería cargarse o cargador de arranque VeraCrypt.
Cifrado de disco completo dos sistemas instalados Windows Linux. Arranque múltiple cifrado

* Ao introducir o contrasinal da partición activa comezará a cargar Windows.
*Premendo a tecla "Esc" transferirase o control a GRUB2, se selecciona GNU/Linux cifrado - será necesario un contrasinal (sda7_crypt) para desbloquear /boot/initrd.img (se grub2 escribe uuid "not found" - este é un problema co cargador de arranque grub2, debería reinstalarse, por exemplo, desde a rama de proba/estable, etc.).
Cifrado de disco completo dos sistemas instalados Windows Linux. Arranque múltiple cifrado

* Dependendo de como configurou o sistema (consulte o parágrafo B4.4/4.5), despois de introducir o contrasinal correcto para desbloquear a imaxe /boot/initrd.img, necesitará un contrasinal para cargar o kernel/root do SO ou o segredo. a clave substituirase automaticamente por "skey", eliminando a necesidade de volver introducir a frase de acceso.
Cifrado de disco completo dos sistemas instalados Windows Linux. Arranque múltiple cifrado
(pantalla “substitución automática dunha chave secreta”).

*Entón seguirá o proceso familiar de carga de GNU/Linux coa autenticación da conta de usuario.
Cifrado de disco completo dos sistemas instalados Windows Linux. Arranque múltiple cifrado

*Despois da autorización do usuario e iniciar sesión no SO, cómpre actualizar /boot/initrd.img de novo (ver B4.6).

update-initramfs -u -k all

E en caso de liñas extra no menú GRUB2 (desde OS-m pickup con usb en directo) desfacerse deles

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

Краткий итог по системному шифрованию GNU/Linux:

  • GNU/Linuxinux está totalmente cifrado, incluíndo /boot/kernel e initrd;
  • a clave secreta está empaquetada en initrd.img;
  • текущая схема авторизации (introducindo o contrasinal para desbloquear o initrd; contrasinal/clave para iniciar o sistema operativo; contrasinal para autorizar a conta de Linux).

O cifrado do sistema "Configuración sinxela de GRUB2" da partición de bloques está completo.

C6. Configuración avanzada de GRUB2. Protección do cargador de arranque con sinatura dixital + protección de autenticaciónGNU/Linux está completamente cifrado, pero o cargador de arranque non se pode cifrar - esta condición é ditada pola BIOS. Por este motivo, non é posible un arranque cifrado encadeado de GRUB2, pero é posible/dispoñible un arranque encadeado simple, pero dende o punto de vista da seguridade non é necesario [ver P. F].
Para o GRUB2 "vulnerable", os desenvolvedores implementaron un algoritmo de protección do cargador de arranque de "sinatura/autenticación".

  • Cando o cargador de arranque está protexido pola "súa propia sinatura dixital", a modificación externa dos ficheiros ou o intento de cargar módulos adicionais neste cargador de arranque provocará o bloqueo do proceso de arranque.
  • Ao protexer o cargador de arranque con autenticación, para seleccionar a carga dunha distribución ou introducir comandos adicionais na CLI, terá que introducir o inicio de sesión e o contrasinal do superusuario-GRUB2.

C6.1. Protección de autenticación do cargador de arranqueПроверьте, что вы работаете в терминале в зашифрованной ОС

ls /<Tab-Tab> #обнаружить файл-маркер

cree un contrasinal de superusuario para a autorización en GRUB2 

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя.

Obter o hash do contrasinal. Algo coma isto

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

montar a partición GRUB

mount /dev/sda6 /mnt

editar a configuración

nano -$ /mnt/boot/grub/grub.cfg

comprobe a busca de ficheiros que non hai marcas en ningún lugar en "grub.cfg" ("-unrestricted" "-user",
engadir ao final (antes da liña ### FIN /etc/grub.d/41_custom ###)
"set superusers="root"
password_pbkdf2 hash raíz."

Debería ser algo así

# Este ficheiro ofrece un xeito sinxelo de engadir entradas de menú personalizadas. Simplemente escriba o
# entradas de menú que queres engadir despois deste comentario. Teña coidado de non cambiar
# a liña "exec tail" enriba.
### FIN /etc/grub.d/40_custom ###

### BEGIN /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; entón
fonte ${config_directory}/custom.cfg
elif [ -z "${directorio_configuración}" -a -f $prefixo/personalizado.cfg ]; entón
fonte $prefixo/custom.cfg;
fi
establecer superusuarios="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### FIN /etc/grub.d/41_custom ###
#

Se usas a miúdo o comando "grub-mkconfig -o /mnt/boot/grub/grub.cfg" e non queres facer cambios en grub.cfg cada vez, introduce as liñas anteriores (Iniciar sesión: Contrasinal) no script de usuario GRUB na parte inferior 

nano /etc/grub.d/41_custom

gato <<EOF
establecer superusuarios="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

Ao xerar a configuración "grub-mkconfig -o /mnt/boot/grub/grub.cfg", as liñas responsables da autenticación engadiranse automaticamente a grub.cfg.
Este paso completa a configuración da autenticación GRUB2.

C6.2. Protección do cargador de arranque con sinatura dixitalSuponse que xa tes a túa clave de cifrado pgp persoal (ou crear tal chave). O sistema debe ter instalado un software criptográfico: gnuPG; kleopatra/GPA; cabaliño de mar. O software criptográfico facilitará a túa vida en todos estes asuntos. Seahorse - versión estable do paquete 3.14.0 (версии выше, например, V3.20 – неполноценная и имеет существенные баги).

A chave PGP só debe ser xerada/lanzada/engadida no ambiente su!

Xerar clave de cifrado persoal

gpg - -gen-key

Exporta a túa chave

gpg --export -o ~/perskey

Monte o disco lóxico no SO se aínda non está montado

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

limpar a partición GRUB2

rm -rf /mnt/

Instala GRUB2 en sda6, poñendo a túa clave privada na imaxe principal de GRUB "core.img"

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

opcións
* --force - instala o cargador de arranque, evitando todos os avisos que sempre existen (bandeira obrigatoria).
* —modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - indica a GRUB2 que cargue previamente os módulos necesarios cando se inicie o PC.
* -k ~/perskey -ruta á "chave PGP" (despois de embalar a chave na imaxe, pódese eliminar).
* --root-directory -establece o directorio de arranque na raíz de sda6
/dev/sda6 - a súa partición sdaX.

Xerando/actualizando grub.cfg

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

Engade a liña "trust /boot/grub/perskey" ao final do ficheiro "grub.cfg" (forzar o uso da chave pgp.) Xa que instalamos GRUB2 cun conxunto de módulos, incluíndo o módulo de sinatura "signature_test.mod", isto elimina a necesidade de engadir comandos como "set check_signatures=enforce" á configuración.

Debería parecer algo así (liñas finais no ficheiro grub.cfg)

### BEGIN /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; entón
fonte ${config_directory}/custom.cfg
elif [ -z "${directorio_configuración}" -a -f $prefixo/personalizado.cfg ]; entón
fonte $prefixo/custom.cfg;
fi
confiar en /boot/grub/perskey
establecer superusuarios="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### FIN /etc/grub.d/41_custom ###
#

O camiño a "/boot/grub/perskey" non necesita apuntar a unha partición de disco específica, por exemplo hd0,6; para o propio cargador de arranque, "root" é a ruta predeterminada da partición na que está instalado GRUB2 (ver set put=..).

Asinando GRUB2 (todos os ficheiros en todos os directorios /GRUB) coa túa chave “perskey”.
Unha solución sinxela sobre como asinar (для проводника nautilus/caja): instale a extensión "seahorse" para Explorer desde o repositorio. A súa chave debe engadirse ao ambiente su.
Abre o explorador co signo sudo "/mnt/boot" - RMB. Na pantalla parece isto

Cifrado de disco completo dos sistemas instalados Windows Linux. Arranque múltiple cifrado

A chave en si é "/mnt/boot/grub/perskey" (copiar no directorio grub) tamén debe estar asinado coa súa propia sinatura. Comprobe que as sinaturas do ficheiro [*.sig] aparecen no directorio/subdirectorios.
Usando o método descrito anteriormente, asina "/boot" (o noso núcleo, initrd). Se o teu tempo vale algo, entón este método elimina a necesidade de escribir un script bash para asinar "moitos ficheiros".

Para eliminar todas as sinaturas do cargador de arranque (se algo saíu mal)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

Para non asinar o cargador de arranque despois de actualizar o sistema, conxelamos todos os paquetes de actualización relacionados con GRUB2.

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

Neste paso <protexer o cargador de arranque con sinatura dixital> complétase a configuración avanzada de GRUB2.

C6.3. Proba de proba do cargador de arranque GRUB2, protexido por sinatura dixital e autenticaciónGRUB2. Ao seleccionar calquera distribución GNU/Linux ou entrar na CLI (liña de comandos) Será necesaria a autorización de superusuario. Despois de introducir o nome de usuario/contrasinal correctos, necesitará o contrasinal initrd

Cifrado de disco completo dos sistemas instalados Windows Linux. Arranque múltiple cifrado
Captura de pantalla da autenticación exitosa do superusuario GRUB2.

Se manipulas algún dos ficheiros GRUB2/faces cambios en grub.cfg, ou eliminas o ficheiro/sinatura, ou cargas un module.mod malicioso, aparecerá un aviso correspondente. GRUB2 pausará a carga.

Cifrado de disco completo dos sistemas instalados Windows Linux. Arranque múltiple cifrado
Captura de pantalla, un intento de interferir con GRUB2 "desde fóra".

Durante o arranque "normal" "sen intrusión", o estado do código de saída do sistema é "0". Polo tanto, descoñécese se a protección funciona ou non (то есть «с защитой загрузчика подписью или без неё» при нормальной загрузке статус один и тот же «0» — это плохо).

Como comprobar a protección da sinatura dixital?

Unha forma incómoda de comprobar: falsear/eliminar un módulo usado por GRUB2, por exemplo, eliminar a sinatura luks.mod.sig e obter un erro.

O xeito correcto: vai á CLI do cargador de arranque e escribe o comando

trust_list

Como resposta, debería recibir unha pegada dixital "perskey"; se o estado é "0", a protección da sinatura non funciona, verifique o parágrafo C6.2.
Neste paso, complétase a configuración avanzada "Protexer GRUB2 con sinatura dixital e autenticación".

C7 Método alternativo para protexer o cargador de arranque GRUB2 mediante hashO método "Protección/autenticación do cargador de arranque da CPU" descrito anteriormente é un clásico. Debido ás imperfeccións de GRUB2, en condicións paranoicas é susceptible a un ataque real, que darei a continuación no parágrafo [F]. Ademais, despois de actualizar o sistema operativo/kernel, o cargador de arranque debe ser asinado de novo.

Protexendo o cargador de arranque GRUB2 mediante hash

Vantaxes fronte aos clásicos:

  • Maior nivel de fiabilidade (o hash/verificación ten lugar só desde un recurso local cifrado. Toda a partición asignada baixo GRUB2 está controlada para calquera cambio, e todo o demais está cifrado; no esquema clásico con protección/autenticación do cargador da CPU, só se controlan os ficheiros, pero non son gratuítos). espazo, no que se pode engadir “algo” algo sinistro”).
  • Rexistro cifrado (Engádese ao esquema un rexistro cifrado persoal lexible por humanos).
  • Acelerar (a protección/verificación dunha partición enteira asignada para GRUB2 prodúcese case ao instante).
  • Automatización de todos os procesos criptográficos.

Desvantaxes fronte aos clásicos.

  • Подделка подписи (teoricamente, é posible atopar unha colisión da función hash).
  • Nivel de dificultade aumentado (en comparación co clásico, requírense un pouco máis de habilidades no sistema operativo GNU/Linux).

Como funciona a idea de hash de GRUB2/partición

A partición GRUB2 está "asinada"; cando se inicia o SO, compróbase a inmutabilidade da partición do cargador de arranque, seguido de iniciar sesión nun ambiente seguro (cifrado). Se o cargador de arranque ou a súa partición están comprometidos, ademais do rexistro de intrusións, lánzase o seguinte:

Cousa.Cifrado de disco completo dos sistemas instalados Windows Linux. Arranque múltiple cifrado

Unha comprobación similar ocorre catro veces ao día, que non carga os recursos do sistema.
Usando o comando "-$ check_GRUB", unha comprobación instantánea ocorre en calquera momento sen rexistro, pero coa saída de información á CLI.
Usando o comando "-$ sudo signature_GRUB", o cargador de arranque/partición GRUB2 volve asinarse ao instante e o seu rexistro actualizado (necesario despois da actualización do SO/inicio) e a vida continúa.

Implementación dun método de hash para o cargador de arranque e a súa sección

0) Подпишем загрузчик/раздел GRUB, предварительно смонтировав его в /media/username

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) Creamos un script sen extensión na raíz do SO cifrado ~/podpis, aplicamoslle os dereitos de seguranza necesarios e unha protección infalible.

Enchendo o seu contido

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

Запускаем скрипт от su, comprobarase o hash da partición GRUB e o seu cargador de arranque, garda o rexistro.

Creemos ou copiemos, por exemplo, un "ficheiro malicioso" [virus.mod] na partición GRUB2 e realicemos unha análise/proba temporal:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

O CLI debe ver unha invasión da nosa -cidadela-#Trimmed inicio de sesión na CLI

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

#Como podes ver, aparece "Ficheiros movidos: 1 e fallou a auditoría", o que significa que fallou a comprobación.
Debido á natureza da partición que se está a probar, en lugar de "Atopáronse novos ficheiros" > "Ficheiros movidos"

2) Pon o gif aquí > ~/warning.gif, establece os permisos en 744.

3) Configurando fstab para montar automaticamente a partición GRUB no arranque

-$ sudo nano /etc/fstab

LABEL=GRUB /media/username/GRUB ext4 valores predeterminados 0 0

4) Xirando o rexistro

-$ sudo nano /etc/logrotate.d/podpis

/var/log/podpis.txt {
diario
xirar 50
tamaño 5M
dataext
comprimir
compresión retardada
olddir /var/log/old
}

/var/log/vtorjenie.txt {
mensual
xirar 5
tamaño 5M
dataext
olddir /var/log/old
}

5) Engade un traballo a cron

-$ sudo crontab -e

reinicio '/subscrición'
0 */6 * * * '/podpis

6) Creación de alias permanentes 

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

Despois da actualización do SO -$ apt-get upgrade volve asinar a nosa partición GRUB
-$ подпись_GRUB
Neste punto, a protección hashing da partición GRUB está completa.

[D] Limpar - destrución de datos sen cifrar

Elimina os teus ficheiros persoais tan completamente que "nin Deus pode lelos", segundo o portavoz de Carolina do Sur, Trey Gowdy.

Como é habitual, existen diversos “mitos e lendas", sobre a restauración dos datos despois de ser eliminados dun disco duro. Se cres na ciberbruxería ou es membro da comunidade web de Dr e nunca intentou a recuperación de datos despois de borralos/sobrescribiros (por exemplo, recuperación mediante R-studio), entón o método proposto é improbable que che conveña, usa o que está máis preto de ti.

Despois de transferir GNU/Linux con éxito a unha partición cifrada, a copia antiga debe eliminarse sen posibilidade de recuperación de datos. Método de limpeza universal: software para Windows/Linux software GUI gratuíto BleachBit.
Rapidamente dar formato á sección, cuxos datos hai que destruír (a través de Gparted) inicie BleachBit, seleccione "Limpar espazo libre" - seleccione a partición (o teu sdaX cunha copia anterior de GNU/Linux), iniciarase o proceso de eliminación. BleachBit - limpa o disco dunha soa pasada - isto é o que "necesitamos", pero! Isto só funciona en teoría se formateou o disco e o limpou no software BB v2.0.

Atención! BB borra o disco, deixando os metadatos; os nomes dos ficheiros consérvanse cando se eliminan os datos (Ccleaner: non deixa metadatos).

E o mito sobre a posibilidade de recuperación de datos non é totalmente un mito.Bleachbit V2.0-2 antigo paquete Debian do sistema operativo inestable (e calquera outro software similar: sfill; wipe-Nautilus - tamén se notaron neste negocio sucio) en realidade tiña un erro crítico: a función de "borrar espazo libre". funciona incorrectamente en unidades de disco duro/flash (ntfs/ext4). O software deste tipo, ao limpar espazo libre, non sobrescribe todo o disco, como pensan moitos usuarios. E algúns (moitos) os datos eliminados O SO/software considera estes datos como datos de usuario/non borrados e ao limpar "OSP" omite estes ficheiros. O problema é que despois de tanto tempo, limpa o disco "Arquivos eliminados" poden ser recuperados mesmo despois de máis de 3 pasadas de limpar o disco.
En GNU/Linux en Bleachbit 2.0-2 As funcións de eliminación permanente de ficheiros e directorios funcionan de forma fiable, pero non borran espazo libre. Para comparación: en Windows en CCleaner a función "OSP para ntfs" funciona correctamente e Deus realmente non poderá ler os datos eliminados.

E así, para eliminar completamente "comprometido" datos antigos sen cifrar, Bleachbit necesita acceso directo a estes datos, entón, use a función "eliminar ficheiros/directorios permanentemente".
Para eliminar "arquivos eliminados usando ferramentas do sistema operativo estándar" en Windows, use CCleaner/BB coa función "OSP". En GNU/Linux sobre este problema (eliminar ficheiros eliminados) necesitas practicar pola túa conta (eliminando datos + un intento independente de restauralos e non debe confiar na versión do software (se non é un marcador, entón un erro)), só neste caso poderás comprender o mecanismo deste problema e desfacerte completamente dos datos eliminados.

Non probei Bleachbit v3.0, é posible que o problema xa se solucionou.
Bleachbit v2.0 funciona honestamente.

Neste paso, a limpeza do disco está completa.

[E] Copia de seguranza universal do SO cifrado

Cada usuario ten o seu propio método para facer copias de seguranza dos datos, pero os datos cifrados do SO do sistema requiren un enfoque lixeiramente diferente da tarefa. O software unificado, como Clonezilla e software similar, non pode funcionar directamente con datos cifrados.

Declaración do problema de facer copias de seguranza de dispositivos de bloque cifrados:

  1. universalidade: o mesmo algoritmo/software de copia de seguridade para Windows/Linux;
  2. a posibilidade de traballar na consola con calquera USB en directo GNU/Linux sen necesidade de descargas de software adicionais (pero aínda recomendo GUI);
  3. seguridade das copias de seguridade: as "imaxes" almacenadas deben estar cifradas/protexidas con contrasinal;
  4. o tamaño dos datos cifrados debe corresponder ao tamaño dos datos reais que se copian;
  5. extracción conveniente dos ficheiros necesarios dunha copia de seguridade (non é necesario descifrar toda a sección primeiro).

Por exemplo, copia de seguridade/restauración mediante a utilidade "dd".

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

Corresponde a case todos os puntos da tarefa, pero segundo o punto 4 non resiste as críticas, xa que copia toda a partición do disco, incluído o espazo libre, non é interesante.

Por exemplo, unha copia de seguridade de GNU/Linux a través do arquivador [tar" | gpg] é conveniente, pero para a copia de seguridade de Windows cómpre buscar outra solución; non é interesante.

E1. Copia de seguridade universal de Windows/Linux. Ligazón rsync (Grsync) + volume VeraCryptAlgoritmo para crear unha copia de seguridade:

  1. creando un contedor cifrado (volume/ficheiro) VeraCrypt para OS;
  2. transferir/sincronizar o SO usando o software Rsync ao contenedor criptográfico VeraCrypt;
  3. se é necesario, cargando o volume VeraCrypt en www.

Crear un contedor cifrado VeraCrypt ten as súas propias características:
creando un volume dinámico (a creación de DT só está dispoñible en Windows, tamén se pode usar en GNU/Linux);
creando un volume normal, pero hai un requisito dun "carácter paranoico" (segundo o desenvolvedor) - Formato do contedor.

Un volume dinámico créase case ao instante en Windows, pero ao copiar datos de GNU/Linux > VeraCrypt DT, o rendemento xeral da operación de copia de seguridade diminúe significativamente.

Créase un volume Twofish regular de 70 GB (digamos que a potencia media do PC) ao disco duro ~ en media hora (sobrescribir os datos do contedor anterior nunha pasada débese a requisitos de seguridade). Из VeraCrypt Windows/Linux убрали функцию быстрого форматирования тома при его создании, поэтому создание контейнера возможно только через «перезапись в один проход», либо создание слабопроизводительного динамического тома.

Crea un volume VeraCrypt normal (non dinámico/ntfs), non debería haber ningún problema.

Configurar/crear/abrir un contedor en VeraCrypt GUI> GNU/Linux live usb (o volume montarase automaticamente en /media/veracrypt2, o volume do sistema operativo Windows montarase en /media/veracrypt1). Creando unha copia de seguridade cifrada do sistema operativo Windows usando GUI rsync (grsync)marcando as caixas.

Cifrado de disco completo dos sistemas instalados Windows Linux. Arranque múltiple cifrado

Дождаться окончания процесса. По завершению резервного копирования, у нас будет один зашифрованный файл.

Do mesmo xeito, cree unha copia de seguridade do sistema operativo GNU/Linux desmarcando a caixa de verificación "Compatibilidade con Windows" na GUI de rsync.

Atención! cree un contenedor Veracrypt para a "copia de seguridade de GNU/Linux" no sistema de ficheiros ext4. Se fai unha copia de seguridade nun contedor ntfs, cando restaure esa copia, perderá todos os dereitos/grupos de todos os seus datos.

Podes realizar todas as operacións no terminal. Opcións básicas para rsync:
* -g -garda grupos;
* -P —progreso — estado do tempo dedicado a traballar no ficheiro;
* -H - copia as ligazóns duras tal e como están;
* -a -modo de arquivo (varias bandeiras rlptgoD);
* -v -verbalización.

Если хочется монтировать «том Windows VeraCrypt» через консоль в ПО cryptsetup, можно создать alias (su)

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

Agora o comando "Veramount pictures" pediralle que introduza unha frase de acceso e o volume cifrado do sistema de Windows montarase no sistema operativo.

Asignar/montar o volume do sistema VeraCrypt no comando cryptsetup

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

Asignar/montar a partición/contedor VeraCrypt no comando cryptsetup

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

En lugar de alias, engadiremos (un script para iniciar) un volume do sistema co sistema operativo Windows e un disco NTFS cifrado lóxico ao inicio de GNU/Linux

Создаём скрипт и сохраняем его в ~/VeraOpen.sh

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

Distribuímos os dereitos "correctos": 

sudo chmod 100 /VeraOpen.sh

Crea dous ficheiros idénticos (o mesmo nome!) en /etc/rc.local e ~/etc/init.d/rc.local
Enchendo os arquivos 

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

Distribuímos os dereitos "correctos": 

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local

Isto é todo, agora ao cargar GNU/Linux non necesitamos introducir contrasinais para montar discos ntfs cifrados, os discos están montados automaticamente.

Unha nota breve sobre o descrito anteriormente no parágrafo E1 paso a paso (pero agora para OS GNU/Linux)
1) Cree un volume en fs ext4 > 4gb (para ficheiro) Linux en Veracrypt [Cryptbox].
2) Reinicie para vivir USB.
3) ~$ cryptsetup abrir /dev/sda7 Lunux #mapping partición cifrada.
4) ~$ mount /dev/mapper/Linux /mnt #monte a partición cifrada en /mnt.
5) ~$ mkdir mnt2 #creando un directorio para unha copia de seguridade futura.
6) ~$ cryptsetup open —veracrypt —escriba tcrypt ~/CryptoBox CryptoBox && monte /dev/mapper/CryptoBox /mnt2 #Mapee un volume de Veracrypt chamado “CryptoBox” e monte o CryptoBox en /mnt2.
7) ~$ rsync -avlxhHX —progress /mnt /mnt2/ #operación de copia de seguridade dunha partición cifrada nun volume de Veracrypt cifrado.

(p/s/ Atención! Se está a transferir GNU/Linux cifrado dunha arquitectura/máquina a outra, por exemplo, Intel > AMD (é dicir, implementando unha copia de seguridade dunha partición cifrada a outra partición Intel > AMD cifrada), Non esquezas Despois de transferir o sistema operativo cifrado, pode editar a clave de substitución secreta en lugar do contrasinal. a chave anterior ~/etc/skey - xa non encaixará con outra partición cifrada, e non é recomendable crear unha nova chave "cryptsetup luksAddKey" desde chroot - é posible un fallo, só en ~/etc/crypttab especifique no canto de "/etc/skey" temporalmente "none" ", despois de reiniciar e iniciar sesión no sistema operativo, recrea de novo a túa clave comodín secreta).

Como veteranos de TI, lembre de facer copias de seguranza por separado das cabeceiras das particións cifradas do sistema operativo Windows/Linux, ou o cifrado volverá en contra.
Neste paso, complétase a copia de seguridade do sistema operativo cifrado.

[F] Ataque ao cargador de arranque GRUB2

DetallesSe protexeches o teu cargador de arranque cunha sinatura dixital e/ou autenticación (см п.C6.), entón isto non protexerá contra o acceso físico. Os datos cifrados seguirán sendo inaccesibles, pero omitirase a protección (restablecer a protección da firma dixital) GRUB2 permite que un ciber-vilán inxecte o seu código no cargador de arranque sen levantar sospeitas (a non ser que o usuario supervise manualmente o estado do cargador de arranque, ou dea o seu propio código de script arbitrario robusto para grub.cfg).

Algoritmo de ataque. Intruso

* Arranca o PC desde usb en directo. Calquera cambio (infractor) os ficheiros notificarán ao propietario real do PC sobre a intrusión no cargador de arranque. Pero unha simple reinstalación de GRUB2 mantendo grub.cfg (e a posterior capacidade de editalo) permitirá a un atacante editar calquera ficheiro (nesta situación, ao cargar GRUB2, o usuario real non será notificado. O estado é o mesmo <0>)
* Монтирует незашифрованный раздел, сохраняет у себя «/mnt/boot/grub/grub.cfg».
* Reinstala o cargador de arranque (eliminando "perskey" da imaxe core.img)

grub-install --force --root-directory=/mnt /dev/sda6

* Devolve “grub.cfg” > “/mnt/boot/grub/grub.cfg”, edítao se é necesario, por exemplo, engadindo o seu módulo “keylogger.mod” ao cartafol con módulos de carga, en “grub.cfg” > liña "insmod keylogger". Ou, por exemplo, se o inimigo é astuto, despois de reinstalar GRUB2 (todas as sinaturas permanecen no seu lugar) он собирает основной образ GRUB2, используя «grub-mkimage с опцией (-с).» Опция «-с» позволит загружать свой конфиг до загрузки основного «grub.cfg». Конфиг может состоять всего лишь из одной строчки: перенаправление на любой «modern.cfg», смешанный, например, с ~400 файлами (módulos+sinaturas) no cartafol "/boot/grub/i386-pc". Neste caso, un atacante pode inserir código arbitrario e cargar módulos sen afectar a "/boot/grub/grub.cfg", aínda que o usuario aplicase "hashsum" ao ficheiro e o mostrase temporalmente na pantalla.
Un atacante non necesitará piratear o inicio de sesión/contrasinal do superusuario GRUB2; só terá que copiar as liñas (responsable da autenticación) "/boot/grub/grub.cfg" ao teu "modern.cfg"

establecer superusuarios="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

E o propietario do PC aínda estará autenticado como superusuario de GRUB2.

Carga en cadea (o cargador de arranque carga outro cargador de arranque), como escribín arriba, non ten sentido (está destinado a un propósito diferente). O cargador de arranque cifrado non se pode cargar debido á BIOS (при цепной загрузке происходит перезапуск GRUB2 > зашифрованный GRUB2, ошибка!). Non obstante, se aínda usas a idea da carga en cadea, podes estar seguro de que é o cifrado o que se está cargando. (non modernizado) "grub.cfg" da partición cifrada. E esta tamén é unha falsa sensación de seguridade, porque todo o que se indica no cifrado "grub.cfg" (carga de módulos) engádese aos módulos que se cargan desde GRUB2 sen cifrar.

Se queres verificar isto, asigna/cifra outra partición sdaY, copia GRUB2 nela (non é posible a operación de instalación de grub nunha partición cifrada) и в «grub.cfg» (configuración sen cifrar) cambiar liñas coma estas

menuentry 'GRUBx2' --class parrot --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
cargar_vídeo
insmod gzio
if [ x$grub_platform = xxen ]; entón insmod xzio; insmod lzopio; fi
insmod part_msdos
criptodisco insmod
insmod luks
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
normal /boot/grub/grub.cfg
}

cordas
* insmod - cargando os módulos necesarios para traballar cun disco cifrado;
* GRUBx2 - nome da liña mostrada no menú de arranque de GRUB2;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -ver. fdisk -l (sda9);
* establecer root - instalar root;
* normal /boot/grub/grub.cfg - ficheiro de configuración executable nunha partición cifrada.

A confianza en que é o "grub.cfg" cifrado que se carga é unha resposta positiva ao introducir o contrasinal/desbloquear "sdaY" ao seleccionar a liña "GRUBx2" no menú GRUB.

Cando se traballa na CLI, para non confundirse (e comprobe se a variable de ambiente "set root" funcionou), cree ficheiros de token baleiros, por exemplo, na sección cifrada "/shifr_grub", na sección sen cifrar "/noshifr_grub". Comprobando na CLI 

cat /Tab-Tab

Como se indicou anteriormente, isto non axudará a descargar módulos maliciosos se tales módulos acaban no seu PC. Por exemplo, un rexistrador de teclas que poderá gardar as pulsacións de tecla nun ficheiro e mesturalo con outros ficheiros en “~/i386” ata que sexa descargado por un atacante con acceso físico ao PC.

A forma máis sinxela de verificar que a protección da sinatura dixital funciona activamente (non reiniciar), e ninguén invadiu o cargador de arranque, introduza o comando na CLI

list_trusted

en resposta recibimos unha copia do noso "perskey", ou non recibimos nada se somos atacados (tamén ten que marcar "set check_signatures=enforce").
Unha desvantaxe importante deste paso é introducir comandos manualmente. Se engades este comando a "grub.cfg" e protexe a configuración cunha sinatura dixital, a saída preliminar da instantánea da clave na pantalla é demasiado curta e é posible que non teñas tempo de ver a saída despois de cargar GRUB2. .
Non hai ninguén en particular a quen reclamar: o desarrollador no seu documentación a cláusula 18.2 declara oficialmente

"Ten en conta que mesmo coa protección por contrasinal de GRUB, o propio GRUB non pode evitar que alguén con acceso físico á máquina altere a configuración do firmware da máquina (por exemplo, Coreboot ou BIOS) para que a máquina se inicie desde un dispositivo diferente (controlado polo atacante). GRUB é, no mellor dos casos, só un elo dunha cadea de arranque segura".

GRUB2 está demasiado sobrecargado de funcións que poden dar unha sensación de falsa seguridade, e o seu desenvolvemento xa superou a MS-DOS en canto a funcionalidades, pero é só un cargador de arranque. É curioso que GRUB2 - "mañá" poida converterse no SO e máquinas virtuais GNU/Linux de arranque para iso.

Un pequeno vídeo sobre como restablezo a protección de sinatura dixital GRUB2 e declarei a miña intrusión a un usuario real (Asusteime, pero en lugar do que se mostra no vídeo, podes escribir código arbitrario/.mod non inofensivo).

Conclusións:

1) O cifrado do sistema de bloques para Windows é máis sinxelo de implementar e a protección cun contrasinal é máis conveniente que a protección con varios contrasinais co cifrado do sistema de bloques GNU/Linux, para ser xustos: este último está automatizado.

2) Статью написал, как релевантное, подробное sinxelo unha guía para o cifrado de disco completo VeraCrypt/LUKS nunha casa da máquina, que é de lonxe o mellor en RuNet (IMHO). A guía ten > 50 caracteres, polo que non cubría algúns capítulos interesantes: criptógrafos que desaparecen/quedan na sombra; sobre o feito de que en varios libros de GNU/Linux escriben pouco/non escriben sobre criptografía; sobre o artigo 51 da Constitución da Federación Rusa; O лицензировании/ban cifrado na Federación Rusa, sobre por que precisa cifrar "root/boot". A guía resultou ser bastante extensa, pero detallada. (describindo incluso pasos simples), á súa vez, isto aforrarache moito tempo cando chegue ao "cifrado real".

3) Realizouse o cifrado completo do disco en Windows 7 64; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.

4) Реализовал успешную атаку на súa Cargador de arranque GRUB2.

5) O titorial foi creado para axudar a todas as persoas paranoicas do CIS, onde se permite traballar co cifrado a nivel lexislativo. E principalmente para aqueles que queren implementar o cifrado de disco completo sen demoler os seus sistemas configurados.

6) Reelaborei e actualicei o meu manual, que é relevante en 2020.

[G] Documentación útil

  1. Guía de usuario de TrueCrypt (febreiro de 2012 RU)
  2. Documentación de VeraCrypt
  3. /usr/share/doc/cryptsetup(-run) [recurso local] (documentación oficial detallada sobre a configuración do cifrado GNU/Linux mediante cryptsetup)
  4. FAQ oficial de configuración de criptografía (breve documentación sobre a configuración do cifrado GNU/Linux mediante cryptsetup)
  5. Cifrado do dispositivo LUKS (documentación de archlinux)
  6. Descrición detallada da sintaxe de cryptsetup (páxina de man de arch)
  7. Descrición detallada de crypttab (páxina de man de arch)
  8. Documentación oficial GRUB2.

Etiquetas: cifrado de disco completo, cifrado de partición, cifrado de disco completo de Linux, cifrado completo do sistema LUKS1.

Só os usuarios rexistrados poden participar na enquisa. Rexístrate, por favor.

Estás a cifrar?

  • 17,1%Cifro todo o que podo. son paranoico.14

  • 34,2%Só cifro datos importantes.28

  • 14,6%Unhas veces encripto, outras esquezo.12

  • 34,2%Нет, не шифрую, это неудобно и затратно.28

Votaron 82 usuarios. 22 usuarios abstivéronse.

Fonte: www.habr.com

Engadir un comentario