વિન્ડોઝ લિનક્સ ઇન્સ્ટોલ કરેલી સિસ્ટમ્સનું સંપૂર્ણ ડિસ્ક એન્ક્રિપ્શન. એન્ક્રિપ્ટેડ મલ્ટિ-બૂટ

RuNet V0.2 માં પૂર્ણ-ડિસ્ક એન્ક્રિપ્શન માટે પોતાની માર્ગદર્શિકા અપડેટ કરી.

કાઉબોય વ્યૂહરચના:

[A] ઇન્સ્ટોલ કરેલ સિસ્ટમનું વિન્ડોઝ 7 સિસ્ટમ બ્લોક એન્ક્રિપ્શન;
[B] GNU/Linux સિસ્ટમ બ્લોક એન્ક્રિપ્શન (ડેબિયન) સ્થાપિત સિસ્ટમ (/બૂટ સહિત);
[C] GRUB2 રૂપરેખાંકન, ડિજિટલ હસ્તાક્ષર/ઓથેન્ટિકેશન/હેશિંગ સાથે બુટલોડર સુરક્ષા;
[D] સ્ટ્રીપિંગ—એન્ક્રિપ્ટેડ ડેટાનો વિનાશ;
એનક્રિપ્ટેડ OS નો સાર્વત્રિક બેકઅપ;
[F] હુમલો <આઇટમ પર [C6]> લક્ષ્ય - GRUB2 બુટલોડર;
[જી]સહાયક દસ્તાવેજીકરણ.

╭───#રૂમ 40# ની સ્કીમ :
├──╼ Windows 7 ઇન્સ્ટોલ કરેલું - સંપૂર્ણ સિસ્ટમ એન્ક્રિપ્શન, છુપાયેલ નથી;
├──╼ GNU/Linux ઇન્સ્ટોલ કરેલું (ડેબિયન અને વ્યુત્પન્ન વિતરણ) - સંપૂર્ણ સિસ્ટમ એન્ક્રિપ્શન, છુપાયેલ નથી(/, /બૂટ સહિત; સ્વેપ);
├──╼ સ્વતંત્ર બુટલોડર્સ: MBR માં VeraCrypt બુટલોડર ઇન્સ્ટોલ કરેલું છે, GRUB2 બુટલોડર વિસ્તૃત પાર્ટીશનમાં ઇન્સ્ટોલ કરેલું છે;
├──╼કોઈ OS ઇન્સ્ટોલેશન/રીઇન્સ્ટોલેશન જરૂરી નથી;
└──╼ ક્રિપ્ટોગ્રાફિક સોફ્ટવેર વપરાયેલ: VeraCrypt; ક્રિપ્ટસેટઅપ; GnuPG; દરિયાઈ ઘોડો; હશદીપ; GRUB2 મફત/મુક્ત છે.

ઉપરોક્ત યોજના આંશિક રીતે "ફ્લેશ ડ્રાઇવ પર રીમોટ બૂટ" ની સમસ્યાને હલ કરે છે, તમને એન્ક્રિપ્ટેડ OS Windows/Linux નો આનંદ માણવા અને એક OS થી બીજી "એન્ક્રિપ્ટેડ ચેનલ" દ્વારા ડેટાની આપલે કરવાની મંજૂરી આપે છે.

પીસી બૂટ ઓર્ડર (વિકલ્પોમાંથી એક):

• મશીન ચાલુ કરવું;
• VeraCrypt બુટલોડર લોડ કરી રહ્યું છે (સાચો પાસવર્ડ દાખલ કરવાથી વિન્ડોઝ 7 બુટ થવાનું ચાલુ રહેશે);
• "Esc" કી દબાવવાથી GRUB2 બુટ લોડર લોડ થશે;
• GRUB2 બુટ લોડર (વિતરણ પસંદ કરો/GNU/Linux/CLI), ને GRUB2 સુપરયુઝર <login/password> ના પ્રમાણીકરણની જરૂર પડશે;
• સફળ પ્રમાણીકરણ અને વિતરણની પસંદગી પછી, તમારે “/boot/initrd.img” ને અનલૉક કરવા માટે પાસફ્રેઝ દાખલ કરવાની જરૂર પડશે;
• ભૂલ-મુક્ત પાસવર્ડો દાખલ કર્યા પછી, GRUB2 ને પાસવર્ડ એન્ટ્રીની "જરૂરીયાત" થશે (ત્રીજો, BIOS પાસવર્ડ અથવા GNU/Linux વપરાશકર્તા એકાઉન્ટ પાસવર્ડ - ધ્યાનમાં લેશો નહીં) GNU/Linux OSને અનલૉક કરવા અને બૂટ કરવા અથવા ગુપ્ત કીના સ્વચાલિત અવેજીમાં (બે પાસવર્ડ + કી, અથવા પાસવર્ડ + કી);
• GRUB2 રૂપરેખાંકનમાં બાહ્ય ઘૂસણખોરી GNU/Linux બૂટ પ્રક્રિયાને સ્થિર કરશે.

મુશ્કેલી? ઠીક છે, ચાલો પ્રક્રિયાઓને સ્વચાલિત કરીએ.

હાર્ડ ડ્રાઈવ પાર્ટીશન કરતી વખતે (MBR ટેબલ) પીસીમાં 4 મુખ્ય પાર્ટીશનો અથવા 3 મુખ્ય અને એક વિસ્તૃત, તેમજ ફાળવેલ વિસ્તાર ન હોઈ શકે. એક વિસ્તૃત વિભાગ, મુખ્ય વિભાગથી વિપરીત, પેટાવિભાગો સમાવી શકે છે (લોજિકલ ડ્રાઇવ્સ = વિસ્તૃત પાર્ટીશન). બીજા શબ્દોમાં કહીએ તો, HDD પરનું “વિસ્તૃત પાર્ટીશન” હાથ પરના કાર્ય માટે LVM ને બદલે છે: સંપૂર્ણ સિસ્ટમ એન્ક્રિપ્શન. જો તમારી ડિસ્ક 4 મુખ્ય પાર્ટીશનોમાં વિભાજિત થયેલ હોય, તો તમારે lvm અથવા ટ્રાન્સફોર્મનો ઉપયોગ કરવાની જરૂર છે. (ફોર્મેટિંગ સાથે) મુખ્યથી અદ્યતન સુધીનો વિભાગ, અથવા ચારેય વિભાગોનો સમજદારીપૂર્વક ઉપયોગ કરો અને ઇચ્છિત પરિણામ મેળવવા માટે બધું જેમ છે તેમ છોડી દો. જો તમારી પાસે તમારી ડિસ્ક પર એક પાર્ટીશન હોય, તો પણ Gparted તમને તમારા HDD ને પાર્ટીશન કરવામાં મદદ કરશે (વધારાના વિભાગો માટે) ડેટા નુકશાન વિના, પરંતુ હજુ પણ આવી ક્રિયાઓ માટે નાના દંડ સાથે.

હાર્ડ ડ્રાઇવ લેઆઉટ સ્કીમ, જેના સંબંધમાં આખો લેખ મૌખિક કરવામાં આવશે, તે નીચેના કોષ્ટકમાં પ્રસ્તુત છે.

1TB પાર્ટીશનોનું કોષ્ટક (નં. 1).

તમારી પાસે પણ કંઈક એવું જ હોવું જોઈએ.
sda1 - મુખ્ય પાર્ટીશન નંબર 1 NTFS (એનક્રિપ્ટેડ);
sda2 - વિસ્તૃત વિભાગ માર્કર;
sda6 - લોજિકલ ડિસ્ક (તે GRUB2 બુટલોડર ઇન્સ્ટોલ કરેલું છે);
sda8 - સ્વેપ (એનક્રિપ્ટેડ સ્વેપ ફાઇલ/હંમેશા નહીં);
sda9 - પરીક્ષણ લોજિકલ ડિસ્ક;
sda5 - વિચિત્ર માટે લોજિકલ ડિસ્ક;
sda7 - GNU/Linux OS (એક એન્ક્રિપ્ટેડ લોજિકલ ડિસ્ક પર OS સ્થાનાંતરિત);
sda3 - વિન્ડોઝ 2 OS સાથે મુખ્ય પાર્ટીશન નંબર 7 (એનક્રિપ્ટેડ);
sda4 - મુખ્ય વિભાગ નંબર 3 (તેમાં એનક્રિપ્ટેડ GNU/Linux શામેલ છે, બેકઅપ માટે વપરાય છે/હંમેશા નહીં).

[A] Windows 7 સિસ્ટમ બ્લોક એન્ક્રિપ્શન

A1. વેરાક્રિપ્ટ

પરથી ડાઉનલોડ કરો સત્તાવાર સાઇટ, અથવા અરીસામાંથી સ્રોતફોર્જ VeraCrypt ક્રિપ્ટોગ્રાફિક સોફ્ટવેરનું ઇન્સ્ટોલેશન વર્ઝન (લેખ v1.24-Update3 ના પ્રકાશન સમયે, VeraCrypt નું પોર્ટેબલ સંસ્કરણ સિસ્ટમ એન્ક્રિપ્શન માટે યોગ્ય નથી). ડાઉનલોડ કરેલ સોફ્ટવેરનું ચેકસમ તપાસો

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

અને VeraCrypt ડેવલપર વેબસાઇટ પર પોસ્ટ કરેલ CS સાથે પરિણામની સરખામણી કરો.

જો HashTab સૉફ્ટવેર ઇન્સ્ટોલ કરેલું હોય, તો તે વધુ સરળ છે: RMB (VeraCrypt સેટઅપ 1.24.exe)-પ્રોપર્ટીઝ - ફાઇલોનો હેશ સરવાળો.

પ્રોગ્રામની સહી ચકાસવા માટે, સોફ્ટવેર અને ડેવલપરની સાર્વજનિક pgp કી સિસ્ટમ પર ઇન્સ્ટોલ કરેલી હોવી આવશ્યક છે. gnuPG; gpg4win.

A2. એડમિનિસ્ટ્રેટર અધિકારો સાથે વેરાક્રિપ્ટ સોફ્ટવેર ઇન્સ્ટોલ/ચાલવું

A3. સક્રિય પાર્ટીશન માટે સિસ્ટમ એન્ક્રિપ્શન પરિમાણો પસંદ કરી રહ્યા છીએવેરાક્રિપ્ટ - સિસ્ટમ - સિસ્ટમ પાર્ટીશન/ડિસ્કને એન્ક્રિપ્ટ કરો - સામાન્ય - વિન્ડોઝ સિસ્ટમ પાર્ટીશનને એન્ક્રિપ્ટ કરો - મલ્ટિબૂટ - (ચેતવણી: "બિનઅનુભવી વપરાશકર્તાઓને આ પદ્ધતિનો ઉપયોગ કરવાની ભલામણ કરવામાં આવતી નથી" અને આ સાચું છે, અમે "હા" સાથે સંમત છીએ) - બુટ ડિસ્ક (“હા”, તેમ ન હોય તો પણ, “હા”) - સિસ્ટમ ડિસ્કની સંખ્યા "2 અથવા વધુ" - એક ડિસ્ક પર ઘણી સિસ્ટમો "હા" - નોન-વિન્ડોઝ બુટલોડર "ના" (હકીકતમાં, "હા," પરંતુ VeraCrypt/GRUB2 બૂટ લોડર્સ MBR ને એકબીજામાં વહેંચશે નહીં; વધુ સ્પષ્ટ રીતે, બુટ લોડર કોડનો માત્ર સૌથી નાનો ભાગ MBR/બૂટ ટ્રેકમાં સંગ્રહિત છે, તેનો મુખ્ય ભાગ છે. ફાઇલ સિસ્ટમમાં સ્થિત છે) - મલ્ટિબૂટ - એન્ક્રિપ્શન સેટિંગ્સ...

જો તમે ઉપરોક્ત પગલાંઓથી વિચલિત થાઓ છો (બ્લોક સિસ્ટમ એન્ક્રિપ્શન યોજનાઓ), પછી VeraCrypt ચેતવણી જારી કરશે અને તમને પાર્ટીશનને એનક્રિપ્ટ કરવાની પરવાનગી આપશે નહીં.

લક્ષ્યાંકિત ડેટા સંરક્ષણ તરફના આગલા પગલામાં, "પરીક્ષણ" કરો અને એન્ક્રિપ્શન અલ્ગોરિધમ પસંદ કરો. જો તમારી પાસે જૂનું CPU છે, તો સંભવતઃ સૌથી ઝડપી એન્ક્રિપ્શન એલ્ગોરિધમ ટુફિશ હશે. જો CPU શક્તિશાળી છે, તો તમે તફાવત જોશો: AES એન્ક્રિપ્શન, પરીક્ષણ પરિણામો અનુસાર, તેના ક્રિપ્ટો સ્પર્ધકો કરતાં અનેકગણું ઝડપી હશે. AES એ એક લોકપ્રિય એન્ક્રિપ્શન અલ્ગોરિધમ છે; આધુનિક CPUsનું હાર્ડવેર ખાસ કરીને “ગુપ્ત” અને “હેકિંગ” બંને માટે ઑપ્ટિમાઇઝ કરેલ છે.

VeraCrypt AES કાસ્કેડમાં ડિસ્કને એન્ક્રિપ્ટ કરવાની ક્ષમતાને સમર્થન આપે છે(ટ્વોફિશ)/અને અન્ય સંયોજનો. દસ વર્ષ પહેલાંના જૂના કોર ઇન્ટેલ CPU પર (AES, A/T કાસ્કેડ એન્ક્રિપ્શન માટે હાર્ડવેર સપોર્ટ વિના) પ્રભાવમાં ઘટાડો અનિવાર્યપણે અગોચર છે. (સમાન યુગના AMD CPUs/~પેરામીટર્સ માટે, પ્રદર્શન થોડું ઓછું થયું છે). OS ગતિશીલ રીતે કાર્ય કરે છે અને પારદર્શક એન્ક્રિપ્શન માટે સંસાધનનો વપરાશ અદ્રશ્ય છે. તેનાથી વિપરીત, ઉદાહરણ તરીકે, ઇન્સ્ટોલ કરેલ અસ્થિર ટેસ્ટ ડેસ્કટોપ એન્વાયર્નમેન્ટ મેટ v1.20.1ને કારણે પ્રભાવમાં નોંધપાત્ર ઘટાડો થયો છે. (અથવા v1.20.2 મને બરાબર યાદ નથી) GNU/Linux માં, અથવા વિન્ડોઝ7↑ માં ટેલિમેટ્રી રૂટીનના સંચાલનને કારણે. સામાન્ય રીતે, અનુભવી વપરાશકર્તાઓ એન્ક્રિપ્શન પહેલાં હાર્ડવેર પ્રદર્શન પરીક્ષણો કરે છે. ઉદાહરણ તરીકે, Aida64/Sysbench/systemd-analyze માં દોષની તુલના સિસ્ટમને એન્ક્રિપ્ટ કર્યા પછીના સમાન પરીક્ષણોના પરિણામો સાથે કરવામાં આવે છે, ત્યાંથી "સિસ્ટમ એન્ક્રિપ્શન હાનિકારક છે" એવી માન્યતાને પોતાને માટે રદિયો આપે છે. એન્ક્રિપ્ટેડ ડેટાને બેકઅપ/રીસ્ટોર કરતી વખતે મશીનની મંદી અને અસુવિધા નોંધનીય છે, કારણ કે "સિસ્ટમ ડેટા બેકઅપ" ઓપરેશન પોતે ms માં માપવામાં આવતું નથી, અને તે જ <decrypt/encrypt on the fly> ઉમેરવામાં આવે છે. આખરે, દરેક વપરાશકર્તા કે જેમને ક્રિપ્ટોગ્રાફી સાથે ટિંકર કરવાની મંજૂરી આપવામાં આવે છે તે હાથમાં રહેલા કાર્યોના સંતોષ, તેમના પેરાનોઇયાના સ્તર અને ઉપયોગમાં સરળતા સામે એન્ક્રિપ્શન અલ્ગોરિધમને સંતુલિત કરે છે.

PIM પેરામીટરને ડિફોલ્ટ તરીકે છોડવું વધુ સારું છે, જેથી OS લોડ કરતી વખતે તમારે દરેક વખતે ચોક્કસ પુનરાવર્તન મૂલ્યો દાખલ કરવાની જરૂર નથી. VeraCrypt ખરેખર "ધીમી હેશ" બનાવવા માટે મોટી સંખ્યામાં પુનરાવર્તનોનો ઉપયોગ કરે છે. બ્રુટ ફોર્સ/રેઈન્બો ટેબલ પદ્ધતિનો ઉપયોગ કરીને આવા "ક્રિપ્ટો ગોકળગાય" પર હુમલો માત્ર ટૂંકા "સરળ" પાસફ્રેઝ અને પીડિતની વ્યક્તિગત અક્ષરસંગ્રહ સૂચિ સાથે જ અર્થપૂર્ણ બને છે. પાસવર્ડની મજબૂતાઈ માટે ચૂકવણી કરવાની કિંમત એ OS લોડ કરતી વખતે સાચો પાસવર્ડ દાખલ કરવામાં વિલંબ છે. (GNU/Linux માં VeraCrypt વોલ્યુમો માઉન્ટ કરવાનું નોંધપાત્ર રીતે ઝડપી છે).
બ્રુટ ફોર્સ એટેકના અમલીકરણ માટે મફત સોફ્ટવેર (VeraCrypt/LUKS ડિસ્ક હેડરમાંથી પાસફ્રેઝ કાઢો) હેશકેટ. જ્હોન ધ રિપર "વેરાક્રિપ્ટને કેવી રીતે તોડવું" તે જાણતો નથી, અને LUKS સાથે કામ કરતી વખતે તે ટુફિશ ક્રિપ્ટોગ્રાફી સમજી શકતો નથી.

એન્ક્રિપ્શન એલ્ગોરિધમ્સની ક્રિપ્ટોગ્રાફિક તાકાતને કારણે, અણનમ સાયફરપંક એક અલગ એટેક વેક્ટર સાથે સોફ્ટવેર વિકસાવી રહ્યા છે. ઉદાહરણ તરીકે, RAM માંથી મેટાડેટા/કીઓ કાઢવા (કોલ્ડ બૂટ/ડાયરેક્ટ મેમરી એક્સેસ એટેક), આ હેતુઓ માટે વિશિષ્ટ મફત અને બિન-મુક્ત સોફ્ટવેર છે.

એન્ક્રિપ્ટેડ એક્ટિવ પાર્ટીશનના “યુનિક મેટાડેટા” સેટઅપ/જનરેટ કર્યા પછી, વેરાક્રિપ્ટ પીસીને રિસ્ટાર્ટ કરવા અને તેના બૂટ લોડરની કાર્યક્ષમતા ચકાસવાની ઑફર કરશે. વિન્ડોઝ રીબૂટ/સ્ટાર્ટ કર્યા પછી, વેરાક્રિપ્ટ સ્ટેન્ડબાય મોડમાં લોડ થશે, જે બાકી છે તે એન્ક્રિપ્શન પ્રક્રિયાની પુષ્ટિ કરવાનું છે - Y.

સિસ્ટમ એન્ક્રિપ્શનના અંતિમ પગલા પર, VeraCrypt સક્રિય એનક્રિપ્ટેડ પાર્ટીશનના હેડરની બેકઅપ કોપી "veracrypt Rescue disk.iso" ના સ્વરૂપમાં બનાવવાની ઓફર કરશે - આ કરવું આવશ્યક છે - આ સોફ્ટવેરમાં આવી કામગીરી જરૂરી છે (LUKS માં, જરૂરિયાત તરીકે - આ કમનસીબે અવગણવામાં આવ્યું છે, પરંતુ દસ્તાવેજીકરણમાં ભાર મૂકવામાં આવ્યો છે). બચાવ ડિસ્ક દરેક માટે અને કેટલાક માટે એક કરતા વધુ વખત કામમાં આવશે. નુકસાન (હેડર/MBR પુનઃલેખન) હેડરની બેકઅપ કોપી OS Windows સાથે ડિક્રિપ્ટેડ પાર્ટીશનની ઍક્સેસને કાયમ માટે નકારશે.

A4. વેરાક્રિપ્ટ રેસ્ક્યૂ યુએસબી/ડિસ્ક બનાવવીમૂળભૂત રીતે, VeraCrypt CD પર “~2-3MB મેટાડેટા” બર્ન કરવાની ઑફર કરે છે, પરંતુ બધા લોકો પાસે ડિસ્ક અથવા DWD-ROM ડ્રાઇવ હોતી નથી, અને બુટ કરી શકાય તેવી ફ્લેશ ડ્રાઇવ “VeraCrypt Rescue disk” બનાવવી એ કેટલાક માટે ટેકનિકલ આશ્ચર્યજનક હશે: Rufus /GUIdd-ROSA ImageWriter અને અન્ય સમાન સૉફ્ટવેર કાર્યનો સામનો કરી શકશે નહીં, કારણ કે ઑફસેટ મેટાડેટાને બૂટ કરી શકાય તેવી ફ્લેશ ડ્રાઇવમાં કૉપિ કરવા ઉપરાંત, તમારે USB ડ્રાઇવની ફાઇલ સિસ્ટમની બહારની છબી કૉપિ/પેસ્ટ કરવાની જરૂર છે, ટૂંકમાં, કીચેનમાં MBR/રોડની યોગ્ય નકલ કરો. તમે આ ચિહ્નને જોઈને "dd" ઉપયોગિતાનો ઉપયોગ કરીને GNU/Linux OS માંથી બૂટ કરી શકાય તેવી ફ્લેશ ડ્રાઇવ બનાવી શકો છો.

વિન્ડોઝ એન્વાયર્નમેન્ટમાં રેસ્ક્યૂ ડિસ્ક બનાવવી અલગ છે. VeraCrypt ના વિકાસકર્તાએ આ સમસ્યાના ઉકેલને સત્તાવારમાં શામેલ કર્યો નથી દસ્તાવેજીકરણ "રેસ્ક્યુ ડિસ્ક" દ્વારા, પરંતુ એક અલગ રીતે ઉકેલનો પ્રસ્તાવ મૂક્યો: તેણે તેના વેરાક્રિપ્ટ ફોરમ પર મફત ઍક્સેસ માટે "યુએસબી રેસ્ક્યુ ડિસ્ક" બનાવવા માટે વધારાના સોફ્ટવેર પોસ્ટ કર્યા. Windows માટે આ સૉફ્ટવેરનો આર્કાઇવિસ્ટ "USB વેરાક્રિપ્ટ રેસ્ક્યૂ ડિસ્ક બનાવી રહ્યો છે". રેસ્ક્યૂ disk.iso સાચવ્યા પછી, સક્રિય પાર્ટીશનના બ્લોક સિસ્ટમ એન્ક્રિપ્શનની પ્રક્રિયા શરૂ થશે. એન્ક્રિપ્શન દરમિયાન, OS ની કામગીરી બંધ થતી નથી; પીસી પુનઃપ્રારંભ જરૂરી નથી. એન્ક્રિપ્શન કામગીરી પૂર્ણ થવા પર, સક્રિય પાર્ટીશન સંપૂર્ણપણે એનક્રિપ્ટેડ બને છે અને તેનો ઉપયોગ કરી શકાય છે. જો તમે PC શરૂ કરો ત્યારે VeraCrypt બૂટ લોડર દેખાતું નથી, અને હેડર પુનઃપ્રાપ્તિ ઑપરેશન મદદ કરતું નથી, તો પછી "બૂટ" ફ્લેગ તપાસો, તે પાર્ટીશન પર સેટ હોવું આવશ્યક છે જ્યાં વિન્ડોઝ હાજર છે. (એન્ક્રિપ્શન અને અન્ય OS ને ધ્યાનમાં લીધા વિના, કોષ્ટક નંબર 1 જુઓ).
આ Windows OS સાથે બ્લોક સિસ્ટમ એન્ક્રિપ્શનનું વર્ણન પૂર્ણ કરે છે.

[B]LUKS. GNU/Linux એન્ક્રિપ્શન (~ડેબિયન) ઇન્સ્ટોલ કરેલ OS. અલ્ગોરિધમ અને પગલાં

ઇન્સ્ટોલ કરેલ ડેબિયન/ડેરિવેટિવ ડિસ્ટ્રિબ્યુશનને એન્ક્રિપ્ટ કરવા માટે, તમારે તૈયાર પાર્ટીશનને વર્ચ્યુઅલ બ્લોક ઉપકરણ પર મેપ કરવાની જરૂર છે, તેને મેપ કરેલ GNU/Linux ડિસ્ક પર સ્થાનાંતરિત કરો, અને GRUB2 ઇન્સ્ટોલ/કોન્ફિગર કરો. જો તમારી પાસે બેર મેટલ સર્વર નથી, અને તમે તમારા સમયને મહત્વ આપો છો, તો તમારે GUI નો ઉપયોગ કરવાની જરૂર છે, અને નીચે વર્ણવેલ મોટાભાગના ટર્મિનલ આદેશો "ચક-નોરિસ મોડ" માં ચલાવવા માટે છે.

B1. લાઇવ યુએસબી જીએનયુ/લિનક્સમાંથી પીસી બુટ કરવું

"હાર્ડવેર પ્રદર્શન માટે ક્રિપ્ટો ટેસ્ટ કરો"

lscpu && сryptsetup benchmark

જો તમે AES હાર્ડવેર સપોર્ટ સાથે શક્તિશાળી કારના ખુશ માલિક છો, તો નંબરો ટર્મિનલની જમણી બાજુ જેવા દેખાશે; જો તમે ખુશ માલિક છો, પરંતુ એન્ટિક હાર્ડવેર સાથે, નંબરો ડાબી બાજુ જેવા દેખાશે.

B2. ડિસ્ક પાર્ટીશન. Fs લોજિકલ ડિસ્ક HDD થી Ext4 (Gparted) માઉન્ટ કરવાનું/ફોર્મેટિંગ

B2.1. એનક્રિપ્ટેડ sda7 પાર્ટીશન હેડર બનાવી રહ્યા છેહું પાર્ટીશનોના નામોનું વર્ણન કરીશ, અહીં અને આગળ, ઉપર પોસ્ટ કરેલ મારા પાર્ટીશન કોષ્ટક અનુસાર. તમારા ડિસ્ક લેઆઉટ મુજબ, તમારે તમારા પાર્ટીશન નામો બદલવા જ જોઈએ.

લોજિકલ ડ્રાઇવ એન્ક્રિપ્શન મેપિંગ (/dev/sda7 > /dev/mapper/sda7_crypt).
# "LUKS-AES-XTS પાર્ટીશન" ની સરળ રચના

cryptsetup -v -y luksFormat /dev/sda7

વિકલ્પો:

* luksFormat - LUKS હેડરનું આરંભ;
* -y -પાસફ્રેઝ (કી/ફાઈલ નહીં);
* -v -મૌખિકીકરણ (ટર્મિનલમાં માહિતી પ્રદર્શિત કરવી);
* /dev/sda7 - વિસ્તૃત પાર્ટીશનમાંથી તમારી લોજિકલ ડિસ્ક (જ્યાં GNU/Linux ને સ્થાનાંતરિત/એનક્રિપ્ટ કરવાની યોજના છે).

ડિફૉલ્ટ એન્ક્રિપ્શન અલ્ગોરિધમ <LUKS1: aes-xts-plain64, કી: 256 બિટ્સ, LUKS હેડર હેશિંગ: sha256, RNG: /dev/urandom> (ક્રિપ્ટસેટઅપ સંસ્કરણ પર આધાર રાખે છે).

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

જો CPU પર AES માટે કોઈ હાર્ડવેર સપોર્ટ ન હોય તો, વિસ્તૃત “LUKS-Twofish-XTS-partition” બનાવવાની શ્રેષ્ઠ પસંદગી હશે.

B2.2. "LUKS-Twofish-XTS-પાર્ટીશન" ની અદ્યતન રચના

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

વિકલ્પો:
* luksFormat - LUKS હેડરનું આરંભ;
* /dev/sda7 એ તમારી ભાવિ એન્ક્રિપ્ટેડ લોજિકલ ડિસ્ક છે;
* -v મૌખિકીકરણ;
* -y પાસફ્રેઝ;
* -c ડેટા એન્ક્રિપ્શન અલ્ગોરિધમ પસંદ કરો;
* -s એન્ક્રિપ્શન કીનું કદ;
* -h હેશિંગ અલ્ગોરિધમ/ક્રિપ્ટો ફંક્શન, RNG વપરાયેલ (--ઉપયોગ-યુરેન્ડમ) લોજિકલ ડિસ્ક હેડર માટે એક અનન્ય એન્ક્રિપ્શન/ડિક્રિપ્શન કી જનરેટ કરવા માટે, સેકન્ડરી હેડર કી (XTS); એનક્રિપ્ટેડ ડિસ્ક હેડરમાં સંગ્રહિત એક અનન્ય માસ્ટર કી, ગૌણ XTS કી, આ તમામ મેટાડેટા અને એક એન્ક્રિપ્શન રૂટિન જે, માસ્ટર કી અને સેકન્ડરી XTS કીનો ઉપયોગ કરીને, પાર્ટીશન પરના કોઈપણ ડેટાને એન્ક્રિપ્ટ/ડિક્રિપ્ટ કરે છે. (વિભાગના શીર્ષક સિવાય) પસંદ કરેલ હાર્ડ ડિસ્ક પાર્ટીશન પર ~3MB માં સંગ્રહિત.
* -i પુનરાવર્તનો મિલિસેકંડમાં, "રકમ" ને બદલે (પાસફ્રેઝની પ્રક્રિયા કરતી વખતે સમય વિલંબ OS ના લોડિંગ અને કીઓની ક્રિપ્ટોગ્રાફિક શક્તિને અસર કરે છે). ક્રિપ્ટોગ્રાફિક શક્તિનું સંતુલન જાળવવા માટે, "રશિયન" જેવા સરળ પાસવર્ડ સાથે તમારે -(i) મૂલ્ય વધારવાની જરૂર છે; "?8dƱob/øfh" જેવા જટિલ પાસવર્ડ સાથે મૂલ્ય ઘટાડી શકાય છે.
* —યુઝ-યુરેન્ડમ રેન્ડમ નંબર જનરેટર, કીઓ અને મીઠું જનરેટ કરે છે.

વિભાગ sda7 > sda7_crypt ને મેપ કર્યા પછી (ઓપરેશન ઝડપી છે, કારણ કે એન્ક્રિપ્ટેડ હેડર ~3 MB મેટાડેટા સાથે બનાવવામાં આવ્યું છે અને આટલું જ), તમારે sda7_crypt ફાઇલ સિસ્ટમને ફોર્મેટ અને માઉન્ટ કરવાની જરૂર છે.

B2.3. સરખામણી

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

વિકલ્પો:
* ખોલો - "નામ સાથે" વિભાગને મેચ કરો;
* /dev/sda7 -લોજિકલ ડિસ્ક;
* sda7_crypt - નામ મેપિંગ જેનો ઉપયોગ એન્ક્રિપ્ટેડ પાર્ટીશનને માઉન્ટ કરવા અથવા જ્યારે OS બુટ થાય ત્યારે તેને પ્રારંભ કરવા માટે થાય છે.

B2.4. sda7_crypt ફાઇલ સિસ્ટમને ext4 માં ફોર્મેટ કરી રહ્યું છે. OS માં ડિસ્ક માઉન્ટ કરી રહ્યું છે(નોંધ: તમે Gparted માં એન્ક્રિપ્ટેડ પાર્ટીશન સાથે કામ કરી શકશો નહીં)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt 

વિકલ્પો:
* -v -મૌખિકીકરણ;
* -L - ડ્રાઈવ લેબલ (જે અન્ય ડ્રાઈવો વચ્ચે એક્સપ્લોરરમાં પ્રદર્શિત થાય છે).

આગળ, તમારે વર્ચ્યુઅલ-એનક્રિપ્ટેડ બ્લોક ઉપકરણ /dev/sda7_crypt ને સિસ્ટમમાં માઉન્ટ કરવું જોઈએ.

mount /dev/mapper/sda7_crypt /mnt

/mnt ફોલ્ડરમાં ફાઇલો સાથે કામ કરવાથી sda7 માં ડેટા આપમેળે એન્ક્રિપ્ટ/ડિક્રિપ્ટ થશે.

એક્સપ્લોરરમાં પાર્ટીશનને મેપ અને માઉન્ટ કરવાનું વધુ અનુકૂળ છે (નોટીલસ/કાજા GUI), પાર્ટીશન પહેલાથી જ ડિસ્ક પસંદગી યાદીમાં હશે, જે બાકી છે તે ડિસ્કને ખોલવા/ડિક્રિપ્ટ કરવા માટે પાસફ્રેઝ દાખલ કરવાનું છે. મેળ ખાતું નામ આપમેળે પસંદ કરવામાં આવશે અને "sda7_crypt" નહીં, પરંતુ કંઈક જેમ કે /dev/mapper/Luks-xx-xx...

B2.5. ડિસ્ક હેડર બેકઅપ (~3MB મેટાડેટા)સૌથી વધુ એક મહત્વનું ઑપરેશન્સ કે જે વિલંબ કર્યા વિના કરવાની જરૂર છે - "sda7_crypt" હેડરની બેકઅપ કૉપિ. જો તમે હેડરને ઓવરરાઈટ/નુકસાન કરો છો (ઉદાહરણ તરીકે, sda2 પાર્ટીશન પર GRUB7 સ્થાપિત કરવું, વગેરે.), એન્ક્રિપ્ટેડ ડેટા તેને પુનઃપ્રાપ્ત કરવાની કોઈ શક્યતા વિના સંપૂર્ણપણે ખોવાઈ જશે, કારણ કે તે જ કીને ફરીથી જનરેટ કરવી અશક્ય હશે; કીઓ અનન્ય રીતે બનાવવામાં આવી છે.

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7 

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

વિકલ્પો:
* luksHeaderBackup —header-backup-file -backup આદેશ;
* luksHeaderRestore —header-backup-file -restore આદેશ;
* ~/Backup_DebSHIFR - બેકઅપ ફાઇલ;
* /dev/sda7 - પાર્ટીશન જેની એન્ક્રિપ્ટેડ ડિસ્ક હેડર બેકઅપ કોપી સાચવવાની છે.
આ પગલા પર <એનક્રિપ્ટેડ પાર્ટીશન બનાવવાનું અને સંપાદિત કરવાનું> પૂર્ણ થયું છે.

B3. GNU/Linux OS પોર્ટીંગ (sda4) એનક્રિપ્ટેડ પાર્ટીશન માટે (sda7)

ફોલ્ડર /mnt2 બનાવો (નોંધ - અમે હજી પણ લાઇવ યુએસબી સાથે કામ કરી રહ્યા છીએ, sda7_crypt /mnt પર માઉન્ટ થયેલ છે), અને અમારા GNU/Linux ને /mnt2 માં માઉન્ટ કરો, જેને એનક્રિપ્ટેડ કરવાની જરૂર છે.

mkdir /mnt2
mount /dev/sda4 /mnt2

અમે Rsync સોફ્ટવેરનો ઉપયોગ કરીને યોગ્ય OS ટ્રાન્સફર કરીએ છીએ

rsync -avlxhHX --progress /mnt2/ /mnt

Rsync વિકલ્પો ફકરા E1 માં વર્ણવેલ છે.

આગળ, જરૂરી છે લોજિકલ ડિસ્ક પાર્ટીશનને ડિફ્રેગમેન્ટ કરો

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

તેને એક નિયમ બનાવો: જો તમારી પાસે HDD હોય તો સમય સમય પર એન્ક્રિપ્ટેડ GNU/LInux પર e4defrag કરો.
ટ્રાન્સફર અને સિંક્રોનાઇઝેશન [GNU/Linux > GNU/Linux-encrypted] આ પગલા પર પૂર્ણ થયું છે.

એટી 4. એનક્રિપ્ટેડ sda7 પાર્ટીશન પર GNU/Linux સુયોજિત કરી રહ્યા છીએ

OS /dev/sda4 > /dev/sda7 ને સફળતાપૂર્વક સ્થાનાંતરિત કર્યા પછી, તમારે એનક્રિપ્ટેડ પાર્ટીશન પર GNU/Linux માં લોગ ઇન કરવાની અને વધુ રૂપરેખાંકન હાથ ધરવાની જરૂર છે. (પીસી રીબૂટ કર્યા વિના) એન્ક્રિપ્ટેડ સિસ્ટમને સંબંધિત. એટલે કે, લાઇવ યુએસબીમાં રહો, પરંતુ "એનક્રિપ્ટેડ OS ના રૂટને સંબંધિત" આદેશો ચલાવો. "chroot" સમાન પરિસ્થિતિનું અનુકરણ કરશે. તમે હાલમાં કયા OS સાથે કામ કરી રહ્યાં છો તેની માહિતી ઝડપથી મેળવવા માટે (એન્ક્રિપ્ટેડ છે કે નહીં, કારણ કે sda4 અને sda7 માંનો ડેટા સમન્વયિત છે), OS ને ડિસિંક્રોનાઇઝ કરો. રૂટ ડિરેક્ટરીઓમાં બનાવો (sda4/sda7_crypt) ખાલી માર્કર ફાઇલો, ઉદાહરણ તરીકે, /mnt/encryptedOS અને /mnt2/decryptedOS. તમે કયા OS પર છો તે ઝડપથી તપાસો (ભવિષ્ય માટે સહિત):

ls /<Tab-Tab>

B4.1. "એક એન્ક્રિપ્ટેડ OS માં લોગીંગનું સિમ્યુલેશન"

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. એન્ક્રિપ્ટેડ સિસ્ટમ સામે કાર્ય હાથ ધરવામાં આવે છે તેની ચકાસણી કરવી

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. એન્ક્રિપ્ટેડ સ્વેપ બનાવવું/રૂપરેખાંકિત કરવું, ક્રિપ્ટટેબ/fstab સંપાદિત કરવુંદરેક વખતે જ્યારે OS શરૂ થાય ત્યારે સ્વેપ ફાઇલ ફોર્મેટ થતી હોવાથી, હવે લોજિકલ ડિસ્ક પર સ્વેપ બનાવવા અને તેને મેપ કરવાનો કોઈ અર્થ નથી, અને ફકરા B2.2 માં આદેશો દાખલ કરો. સ્વેપ માટે, તેની પોતાની અસ્થાયી એન્ક્રિપ્શન કી દરેક શરૂઆતમાં આપમેળે જનરેટ થશે. સ્વેપ કીનું જીવન ચક્ર: સ્વેપ પાર્ટીશનને અનમાઉન્ટ કરવું/અનમાઉન્ટ કરવું (+ રેમ સાફ કરવું); અથવા OS પુનઃપ્રારંભ કરો. સ્વેપ સુયોજિત કરી રહ્યા છીએ, બ્લોક એનક્રિપ્ટેડ ઉપકરણોના રૂપરેખાંકન માટે જવાબદાર ફાઇલ ખોલી રહ્યા છીએ (fstab ફાઇલને અનુરૂપ, પરંતુ ક્રિપ્ટો માટે જવાબદાર).

nano /etc/crypttab 

અમે સંપાદિત કરીએ છીએ

#"લક્ષ્ય નામ" "સ્રોત ઉપકરણ" "કી ફાઇલ" "વિકલ્પો"
સ્વેપ /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512

વિકલ્પો
* સ્વેપ - એન્ક્રિપ્ટ કરતી વખતે મેપ કરેલ નામ /dev/mapper/swap.
* /dev/sda8 - સ્વેપ માટે તમારા લોજિકલ પાર્ટીશનનો ઉપયોગ કરો.
* /dev/urandom - સ્વેપ માટે રેન્ડમ એન્ક્રિપ્શન કીનું જનરેટર (દરેક નવા OS બુટ સાથે, નવી કીઓ બનાવવામાં આવે છે). /dev/urandom જનરેટર /dev/random કરતાં ઓછું રેન્ડમ છે, પછી ખતરનાક પેરાનોઇડ સંજોગોમાં કામ કરતી વખતે /dev/random નો ઉપયોગ થાય છે. OS લોડ કરતી વખતે, /dev/random કેટલાક ± મિનિટ માટે લોડિંગને ધીમું કરે છે (સિસ્ટમડ-વિશ્લેષણ જુઓ).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -પાર્ટીશન જાણે છે કે તે સ્વેપ છે અને "તે મુજબ" ફોર્મેટ થયેલ છે; એન્ક્રિપ્શન અલ્ગોરિધમ.

#Открываем и правим fstab
nano /etc/fstab

અમે સંપાદિત કરીએ છીએ

સ્થાપન દરમ્યાન # સ્વapપ / dev / sda8 ચાલુ હતું
/dev/mapper/swap કંઈ નહીં સ્વેપ sw 0 0

/dev/mapper/swap એ નામ છે જે ક્રિપ્ટટેબમાં સેટ કરવામાં આવ્યું હતું.

વૈકલ્પિક એન્ક્રિપ્ટેડ સ્વેપ
જો કોઈ કારણોસર તમે સ્વેપ ફાઇલ માટે આખું પાર્ટીશન છોડવા માંગતા નથી, તો પછી તમે વૈકલ્પિક અને વધુ સારી રીતે જઈ શકો છો: OS સાથે એનક્રિપ્ટેડ પાર્ટીશન પર ફાઇલમાં સ્વેપ ફાઇલ બનાવવી.

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

સ્વેપ પાર્ટીશન સેટઅપ પૂર્ણ થયું છે.

B4.4. એન્ક્રિપ્ટેડ GNU/Linux સેટ કરી રહ્યું છે (ક્રિપ્ટટેબ/fstab ફાઇલોનું સંપાદન)/etc/crypttab ફાઈલ, ઉપર લખ્યા મુજબ, એનક્રિપ્ટ થયેલ બ્લોક ઉપકરણોનું વર્ણન કરે છે કે જેઓ સિસ્ટમ બુટ દરમિયાન રૂપરેખાંકિત થયેલ છે.

#правим /etc/crypttab 
nano /etc/crypttab 

જો તમે ફકરા B7 માં sda7>sda2.1_crypt વિભાગ સાથે મેળ ખાતા હોવ તો

# "લક્ષ્ય નામ" "સ્રોત ઉપકરણ" "કી ફાઇલ" "વિકલ્પો"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

જો તમે ફકરા B7 માં sda7>sda2.2_crypt વિભાગ સાથે મેળ ખાતા હોવ તો

# "લક્ષ્ય નામ" "સ્રોત ઉપકરણ" "કી ફાઇલ" "વિકલ્પો"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

જો તમે ફકરા B7 અથવા B7 માં sda2.1>sda2.2_crypt વિભાગ સાથે મેળ ખાતા હોવ, પરંતુ OS ને અનલૉક કરવા અને બુટ કરવા માટે પાસવર્ડ ફરીથી દાખલ કરવા માંગતા નથી, તો પાસવર્ડને બદલે તમે ગુપ્ત કી/રેન્ડમ ફાઇલ બદલી શકો છો.

# "લક્ષ્ય નામ" "સ્રોત ઉપકરણ" "કી ફાઇલ" "વિકલ્પો"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

વર્ણન
* કોઈ નહીં - અહેવાલ આપે છે કે OS લોડ કરતી વખતે, રૂટને અનલૉક કરવા માટે ગુપ્ત પાસફ્રેઝ દાખલ કરવો જરૂરી છે.
* UUID - પાર્ટીશન ઓળખકર્તા. તમારું ID શોધવા માટે, ટર્મિનલમાં ટાઈપ કરો (રીમાઇન્ડર કે આ સમયથી આગળ, તમે chroot પર્યાવરણમાં ટર્મિનલમાં કામ કરી રહ્યા છો, અને અન્ય લાઇવ યુએસબી ટર્મિનલમાં નહીં).

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное 

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

sda7_crypt માઉન્ટ થયેલ સાથે લાઇવ યુએસબી ટર્મિનલમાંથી blkid ની વિનંતી કરતી વખતે આ રેખા દેખાય છે).
તમે તમારા sdaX માંથી UUID લો (sdaX_crypt નથી!, UUID sdaX_crypt - grub.cfg રૂપરેખા જનરેટ કરતી વખતે આપોઆપ છોડી દેવામાં આવશે).
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks એન્ક્રિપ્શન એડવાન્સ્ડ મોડમાં.
* /etc/skey - ગુપ્ત કી ફાઇલ, જે OS બૂટને અનલૉક કરવા માટે આપમેળે દાખલ કરવામાં આવે છે (ત્રીજો પાસવર્ડ દાખલ કરવાને બદલે). તમે 8MB સુધીની કોઈપણ ફાઇલનો ઉલ્લેખ કરી શકો છો, પરંતુ ડેટા <1MB વાંચવામાં આવશે.

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7 

તે આના જેવું કંઈક દેખાશે:

(તે જાતે કરો અને તમારા માટે જુઓ).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab વિવિધ ફાઇલ સિસ્ટમો વિશે વર્ણનાત્મક માહિતી સમાવે છે.

#Правим /etc/fstab
nano /etc/fstab

# "ફાઇલ સિસ્ટમ" "માઉન્ટ પોઇન્ટ" "પ્રકાર" "વિકલ્પો" "ડમ્પ" "પાસ"
# / સ્થાપન દરમ્યાન / dev / sda7 ચાલુ હતું
/dev/mapper/sda7_crypt/ext4 errors=remount-ro 0 1

વિકલ્પ
* /dev/mapper/sda7_crypt - sda7>sda7_crypt મેપિંગનું નામ, જે /etc/crypttab ફાઇલમાં ઉલ્લેખિત છે.
crypttab/fstab સેટઅપ પૂર્ણ થયું છે.

B4.5. રૂપરેખાંકન ફાઈલો સંપાદિત કરી રહ્યા છીએ. મુખ્ય ક્ષણB4.5.1. રૂપરેખામાં ફેરફાર કરી રહ્યા છીએ /etc/initramfs-tools/conf.d/resume

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

અને ટિપ્પણી કરો (જો અસ્તિત્વમાં હોય તો) "#" લાઇન "ફરી શરૂ કરો". ફાઇલ સંપૂર્ણપણે ખાલી હોવી જોઈએ.

B4.5.2. રૂપરેખામાં ફેરફાર કરી રહ્યા છીએ /etc/initramfs-tools/conf.d/cryptsetup

nano /etc/initramfs-tools/conf.d/cryptsetup

મેચ થવું જોઈએ

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=હા
CRYPTSETUP નિકાસ કરો

B4.5.3. /etc/default/grub રૂપરેખામાં ફેરફાર કરી રહ્યા છીએ (આ રૂપરેખા એનક્રિપ્ટેડ /boot સાથે કામ કરતી વખતે grub.cfg જનરેટ કરવાની ક્ષમતા માટે જવાબદાર છે)

nano /etc/default/grub

"GRUB_ENABLE_CRYPTODISK=y" લાઇન ઉમેરો
મૂલ્ય 'y', grub-mkconfig અને grub-install એન્ક્રિપ્ટેડ ડ્રાઈવો માટે તપાસ કરશે અને બુટ સમયે તેમને ઍક્સેસ કરવા માટે જરૂરી વધારાના આદેશો જનરેટ કરશે (insmods ).
એક સમાનતા હોવી જોઈએ

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=વિક્રેતા"
GRUB_CMDLINE_LINUX="શાંત સ્પ્લેશ નોઓટોમાઉન્ટ"
GRUB_ENABLE_CRYPTODISK=y

B4.5.4. રૂપરેખામાં ફેરફાર કરી રહ્યા છીએ /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

તે લીટી તપાસો ટિપ્પણી કરી <#>.
ભવિષ્યમાં (અને અત્યારે પણ, આ પરિમાણનો કોઈ અર્થ હશે નહીં, પરંતુ કેટલીકવાર તે initrd.img ઈમેજને અપડેટ કરવામાં દખલ કરે છે).

B4.5.5. રૂપરેખામાં ફેરફાર કરી રહ્યા છીએ /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

ઉમેરો

KEYFILE_PATTERN="/etc/skey"
UMASK=0077

આ ગુપ્ત કી "sky" ને initrd.img માં પેક કરશે, જ્યારે OS બુટ થાય ત્યારે રુટને અનલોક કરવા માટે કીની જરૂર પડે છે. (જો તમે ફરીથી પાસવર્ડ દાખલ કરવા માંગતા ન હોવ, તો કાર માટે "સ્કી" કીને બદલે છે).

B4.6. અપડેટ કરો /boot/initrd.img [સંસ્કરણ]ગુપ્ત કીને initrd.img માં પેક કરવા અને ક્રિપ્ટસેટઅપ ફિક્સેસ લાગુ કરવા માટે, ઇમેજ અપડેટ કરો

update-initramfs -u -k all

initrd.img અપડેટ કરતી વખતે (જેમ કે તેઓ કહે છે "તે શક્ય છે, પરંતુ તે ચોક્કસ નથી") ક્રિપ્ટસેટઅપ સંબંધિત ચેતવણીઓ દેખાશે, અથવા, ઉદાહરણ તરીકે, Nvidia મોડ્યુલોના નુકસાન વિશેની સૂચના - આ સામાન્ય છે. ફાઇલ અપડેટ કર્યા પછી, તપાસો કે તે ખરેખર અપડેટ કરવામાં આવી છે, સમય જુઓ (chroot પર્યાવરણને સંબંધિત./boot/initrd.img). સાવધાન [update-initramfs -u -k all] પહેલાં ખાતરી કરો કે ક્રિપ્ટસેટઅપ ખુલ્લું છે કે નહીં /dev/sda7 sda7_crypt - આ તે નામ છે જે /etc/crypttab માં દેખાય છે, અન્યથા રીબૂટ કર્યા પછી બિઝીબોક્સ ભૂલ હશે)
આ પગલા પર, રૂપરેખાંકન ફાઇલોનું સેટઅપ પૂર્ણ થયું છે.

[C] GRUB2/પ્રોટેક્શન ઇન્સ્ટોલ અને ગોઠવી રહ્યું છે

C1. જો જરૂરી હોય તો, બુટલોડર માટે સમર્પિત પાર્ટીશનને ફોર્મેટ કરો (પાર્ટીશનને ઓછામાં ઓછા 20MB ની જરૂર હોય છે)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. માઉન્ટ /dev/sda6 થી /mntતેથી આપણે chroot માં કામ કરીએ છીએ, પછી રૂટમાં કોઈ /mnt2 ડિરેક્ટરી હશે નહીં, અને /mnt ફોલ્ડર ખાલી હશે.
GRUB2 પાર્ટીશનને માઉન્ટ કરો

mount /dev/sda6 /mnt

જો તમારી પાસે GRUB2 ની જૂની આવૃત્તિ સ્થાપિત હોય, તો /mnt/boot/grub/i-386-pc ડિરેક્ટરીમાં (અન્ય પ્લેટફોર્મ શક્ય છે, ઉદાહરણ તરીકે, “i386-pc” નહીં) કોઈ ક્રિપ્ટો મોડ્યુલ નથી (ટૂંકમાં, ફોલ્ડરમાં આ .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod સહિત મોડ્યુલો હોવા જોઈએ), આ કિસ્સામાં, GRUB2 ને હલાવવાની જરૂર છે.

apt-get update
apt-get install grub2 

મહત્વપૂર્ણ! રીપોઝીટરીમાંથી GRUB2 પેકેજને અપડેટ કરતી વખતે, જ્યારે બુટલોડર ક્યાં ઇન્સ્ટોલ કરવું તે "પસંદ કરવા વિશે" પૂછવામાં આવે, તો તમારે ઇન્સ્ટોલેશનનો ઇનકાર કરવો જ જોઇએ. (કારણ - GRUB2 ઇન્સ્ટોલ કરવાનો પ્રયાસ - “MBR” માં અથવા લાઇવ યુએસબી પર). અન્યથા તમે VeraCrypt હેડર/લોડરને નુકસાન પહોંચાડશો. GRUB2 પેકેજોને અપડેટ કર્યા પછી અને સ્થાપન રદ કર્યા પછી, બુટ લોડર લોજિકલ ડિસ્ક પર જાતે જ સ્થાપિત થયેલ હોવું જ જોઈએ, અને MBR માં નહીં. જો તમારી રીપોઝીટરી પાસે GRUB2 નું જૂનું સંસ્કરણ છે, તો પ્રયાસ કરો અપડેટ તે સત્તાવાર વેબસાઇટ પરથી છે - તે તપાસ્યું નથી (નવીનતમ GRUB 2.02 ~ BetaX બુટલોડર સાથે કામ કર્યું છે).

C3. વિસ્તૃત પાર્ટીશન [sda2] માં GRUB6 ને સ્થાપિત કરી રહ્યા છીએતમારી પાસે માઉન્ટ થયેલ પાર્ટીશન હોવું આવશ્યક છે [આઇટમ C.2]

grub-install --force --root-directory=/mnt /dev/sda6

વિકલ્પો
* —ફોર્સ - બુટલોડરનું ઇન્સ્ટોલેશન, બધી ચેતવણીઓને બાયપાસ કરીને જે લગભગ હંમેશા અસ્તિત્વમાં છે અને ઇન્સ્ટોલેશનને અવરોધિત કરે છે (જરૂરી ધ્વજ).
* --રુટ-ડિરેક્ટરી - ડિરેક્ટરી ઇન્સ્ટોલેશન sda6 ના મૂળ સુધી.
* /dev/sda6 - તમારું sdaХ પાર્ટીશન (/mnt /dev/sda6 વચ્ચે <space> ચૂકશો નહીં).

C4. રૂપરેખાંકન ફાઇલ બનાવવી [grub.cfg]"update-grub2" આદેશ વિશે ભૂલી જાઓ, અને સંપૂર્ણ રૂપરેખાંકન ફાઇલ જનરેશન આદેશનો ઉપયોગ કરો

grub-mkconfig -o /mnt/boot/grub/grub.cfg

grub.cfg ફાઇલનું જનરેશન/અપડેટિંગ પૂર્ણ કર્યા પછી, આઉટપુટ ટર્મિનલમાં ડિસ્ક પર મળેલી OS સાથેની રેખા(ઓ) હોવી જોઈએ. (“grub-mkconfig” કદાચ લાઇવ યુએસબીમાંથી OS શોધી અને પસંદ કરશે, જો તમારી પાસે Windows 10 સાથે મલ્ટિબૂટ ફ્લેશ ડ્રાઇવ હોય અને લાઇવ ડિસ્ટ્રિબ્યુશનનો સમૂહ હોય તો - આ સામાન્ય છે). જો ટર્મિનલ "ખાલી" હોય અને "grub.cfg" ફાઈલ જનરેટ થતી ન હોય, તો સિસ્ટમમાં GRUB બગ હોય ત્યારે આ જ કેસ છે. (અને સંભવતઃ રીપોઝીટરીની પરીક્ષણ શાખામાંથી લોડર), વિશ્વસનીય સ્ત્રોતોમાંથી GRUB2 પુનઃસ્થાપિત કરો.
"સરળ રૂપરેખાંકન" ઇન્સ્ટોલેશન અને GRUB2 સેટઅપ પૂર્ણ થયું છે.

C5. એન્ક્રિપ્ટેડ GNU/Linux OS નું પ્રૂફ-ટેસ્ટઅમે ક્રિપ્ટો મિશન યોગ્ય રીતે પૂર્ણ કરીએ છીએ. એન્ક્રિપ્ટેડ GNU/Linux ને કાળજીપૂર્વક છોડી દો (chroot પર્યાવરણમાંથી બહાર નીકળો).

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

PC રીબૂટ કર્યા પછી, VeraCrypt બુટલોડર લોડ થવો જોઈએ.


*સક્રિય પાર્ટીશન માટે પાસવર્ડ દાખલ કરવાથી વિન્ડોઝ લોડ થવાનું શરૂ થશે.
*"Esc" કી દબાવવાથી નિયંત્રણ GRUB2 માં સ્થાનાંતરિત થશે, જો તમે એન્ક્રિપ્ટેડ GNU/Linux પસંદ કરો છો - તો /boot/initrd.img ને અનલૉક કરવા માટે પાસવર્ડ (sda7_crypt) ની જરૂર પડશે (જો grub2 લખે છે uuid "ન મળ્યું" - આ એક છે grub2 બુટલોડર સાથે સમસ્યા છે, તેને પુનઃસ્થાપિત કરવું જોઈએ, દા.ત., પરીક્ષણ શાખા/સ્થિર વગેરેમાંથી).


*તમે સિસ્ટમને કેવી રીતે રૂપરેખાંકિત કરી છે તેના આધારે (ફકરો B4.4/4.5 જુઓ), /boot/initrd.img ઈમેજને અનલૉક કરવા માટે સાચો પાસવર્ડ દાખલ કર્યા પછી, તમારે OS કર્નલ/રુટ અથવા ગુપ્ત લોડ કરવા માટે પાસવર્ડની જરૂર પડશે. પાસફ્રેઝને ફરીથી દાખલ કરવાની જરૂરિયાતને દૂર કરીને કી આપોઆપ "સ્કી" બદલાઈ જશે.

(સ્ક્રીન "ગુપ્ત કીનું સ્વચાલિત અવેજી").

*પછી વપરાશકર્તા ખાતા પ્રમાણીકરણ સાથે GNU/Linux લોડ કરવાની પરિચિત પ્રક્રિયા અનુસરશે.


*વપરાશકર્તા અધિકૃતતા અને OS માં લોગિન કર્યા પછી, તમારે ફરીથી /boot/initrd.img અપડેટ કરવાની જરૂર છે. (જુઓ B4.6).

update-initramfs -u -k all

અને GRUB2 મેનૂમાં વધારાની રેખાઓના કિસ્સામાં (લાઇવ યુએસબી સાથે OS-m પિકઅપમાંથી) તેમાંથી છુટકારો મેળવો

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

GNU/Linux સિસ્ટમ એન્ક્રિપ્શનનો ઝડપી સારાંશ:

• GNU/Linuxinux સંપૂર્ણપણે એનક્રિપ્ટ થયેલ છે, જેમાં /boot/kernel અને initrd;
• ગુપ્ત કી initrd.img માં પેક કરેલ છે;
• વર્તમાન અધિકૃતતા યોજના (initrd ને અનલૉક કરવા માટે પાસવર્ડ દાખલ કરવો; OS બુટ કરવા માટે પાસવર્ડ/કી; Linux એકાઉન્ટને અધિકૃત કરવા માટે પાસવર્ડ).

બ્લોક પાર્ટીશનનું "સિમ્પલ GRUB2 રૂપરેખાંકન" સિસ્ટમ એન્ક્રિપ્શન પૂર્ણ થયું છે.

C6. અદ્યતન GRUB2 રૂપરેખાંકન. ડિજિટલ હસ્તાક્ષર + પ્રમાણીકરણ સુરક્ષા સાથે બુટલોડર સુરક્ષાGNU/Linux સંપૂર્ણપણે એન્ક્રિપ્ટેડ છે, પરંતુ બુટલોડરને એન્ક્રિપ્ટ કરી શકાતું નથી - આ સ્થિતિ BIOS દ્વારા નક્કી કરવામાં આવે છે. આ કારણોસર, GRUB2 નું સાંકળવાળું એન્ક્રિપ્ટેડ બુટ શક્ય નથી, પરંતુ સરળ સાંકળવાળું બુટ શક્ય/ઉપલબ્ધ છે, પરંતુ સુરક્ષાના દૃષ્ટિકોણથી તે જરૂરી નથી [જુઓ P. F].
"સંવેદનશીલ" GRUB2 માટે, વિકાસકર્તાઓએ "હસ્તાક્ષર/પ્રમાણીકરણ" બુટલોડર સુરક્ષા અલ્ગોરિધમનો અમલ કર્યો.

• જ્યારે બુટલોડરને "તેના પોતાના ડિજિટલ હસ્તાક્ષર" દ્વારા સુરક્ષિત કરવામાં આવે છે, ત્યારે ફાઇલોના બાહ્ય ફેરફાર અથવા આ બુટલોડરમાં વધારાના મોડ્યુલો લોડ કરવાનો પ્રયાસ, બૂટ પ્રક્રિયાને અવરોધિત કરવા તરફ દોરી જશે.
• પ્રમાણીકરણ સાથે બુટલોડરને સુરક્ષિત કરતી વખતે, વિતરણ લોડ કરવાનું પસંદ કરવા માટે, અથવા CLI માં વધારાના આદેશો દાખલ કરવા માટે, તમારે superuser-GRUB2 નો લોગિન અને પાસવર્ડ દાખલ કરવાની જરૂર પડશે.

C6.1. બુટલોડર પ્રમાણીકરણ સુરક્ષાતપાસો કે તમે એન્ક્રિપ્ટેડ OS પર ટર્મિનલમાં કામ કરી રહ્યાં છો

ls /<Tab-Tab> #обнаружить файл-маркер

GRUB2 માં અધિકૃતતા માટે સુપરયુઝર પાસવર્ડ બનાવો

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. 

પાસવર્ડ હેશ મેળવો. થોડું આના જેવું

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

GRUB પાર્ટીશનને માઉન્ટ કરો

mount /dev/sda6 /mnt 

રૂપરેખામાં ફેરફાર કરો

nano -$ /mnt/boot/grub/grub.cfg 

ફાઇલ શોધ તપાસો કે “grub.cfg” (“-અનિબંધિત” “-user” માં ક્યાંય પણ કોઈ ફ્લેગ નથી,
ખૂબ જ અંતમાં ઉમેરો (લાઈન ### END પહેલા /etc/grub.d/41_custom ###)
"સુપરયુઝર્સ સેટ કરો = "રુટ"
password_pbkdf2 રૂટ હેશ."

તે આના જેવું કંઈક હોવું જોઈએ

# આ ફાઇલ કસ્ટમ મેનુ એન્ટ્રી ઉમેરવાની સરળ રીત પ્રદાન કરે છે. ખાલી ટાઈપ કરો
# મેનૂ એન્ટ્રીઓ જે તમે આ ટિપ્પણી પછી ઉમેરવા માંગો છો. ફેરફાર ન થાય તેનું ધ્યાન રાખો
# ઉપર એક્ઝેક્યુટ પૂંછડી.
### END /etc/grub.d/40_custom ###

### BEGIN /etc/grub.d/41_custom ###
જો [ -f ${config_directory}/custom.cfg]; પછી
સ્ત્રોત ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; પછી
સ્ત્રોત $prefix/custom.cfg;
fi
સુપરયુઝર્સ = "રુટ" સેટ કરો
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

જો તમે વારંવાર "grub-mkconfig -o /mnt/boot/grub/grub.cfg" આદેશનો ઉપયોગ કરો છો અને દર વખતે grub.cfg માં ફેરફારો કરવા માંગતા નથી, તો ઉપરની લીટીઓ દાખલ કરો. (આગળ જવા માટે લોગીન થવા માટે પાસવર્ડ નાખવો) ખૂબ જ તળિયે GRUB વપરાશકર્તા સ્ક્રિપ્ટમાં

nano /etc/grub.d/41_custom 

બિલાડી <<EOF
સુપરયુઝર્સ = "રુટ" સેટ કરો
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

જ્યારે “grub-mkconfig -o /mnt/boot/grub/grub.cfg” રૂપરેખા જનરેટ કરી રહ્યા હોય, ત્યારે સત્તાધિકરણ માટે જવાબદાર લીટીઓ grub.cfg માં આપોઆપ ઉમેરવામાં આવશે.
આ પગલું GRUB2 સત્તાધિકરણ સેટઅપ પૂર્ણ કરે છે.

C6.2. ડિજિટલ હસ્તાક્ષર સાથે બુટલોડર સુરક્ષાએવું માનવામાં આવે છે કે તમારી પાસે પહેલેથી જ તમારી વ્યક્તિગત pgp એન્ક્રિપ્શન કી છે (અથવા આવી કી બનાવો). સિસ્ટમમાં ક્રિપ્ટોગ્રાફિક સોફ્ટવેર ઇન્સ્ટોલ હોવું આવશ્યક છે: gnuPG; ક્લિયોપેટ્રા/GPA; દરિયાઈ ઘોડો. આવી તમામ બાબતોમાં ક્રિપ્ટો સોફ્ટવેર તમારા જીવનને ઘણું સરળ બનાવશે. સીહોર્સ - પેકેજ 3.14.0નું સ્થિર સંસ્કરણ (ઉચ્ચ આવૃત્તિઓ, ઉદાહરણ તરીકે, V3.20, ખામીયુક્ત છે અને તેમાં નોંધપાત્ર ભૂલો છે).

PGP કી માત્ર su પર્યાવરણમાં જ જનરેટ/લોન્ચ/ઉમેરવાની જરૂર છે!

વ્યક્તિગત એન્ક્રિપ્શન કી જનરેટ કરો

gpg - -gen-key

તમારી કી નિકાસ કરો

gpg --export -o ~/perskey

લોજિકલ ડિસ્કને OS માં માઉન્ટ કરો જો તે પહેલાથી માઉન્ટ થયેલ ન હોય

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

GRUB2 પાર્ટીશન સાફ કરો

rm -rf /mnt/

મુખ્ય GRUB ઈમેજ "core.img" માં તમારી ખાનગી કી મૂકીને, sda2 માં GRUB6 ઇન્સ્ટોલ કરો.

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

વિકલ્પો
* --force - હંમેશા અસ્તિત્વમાં રહેલી બધી ચેતવણીઓને બાયપાસ કરીને, બુટલોડર ઇન્સ્ટોલ કરો (જરૂરી ધ્વજ).
* —modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - જ્યારે PC શરૂ થાય ત્યારે GRUB2 ને જરૂરી મોડ્યુલો પ્રીલોડ કરવા માટે સૂચના આપે છે.
* -k ~/perskey -“PGP કી” માટેનો માર્ગ (ચિત્રમાં કી પેક કર્યા પછી, તે કાઢી શકાય છે).
* --root-directory - બુટ ડિરેક્ટરીને sda6 ના રૂટ પર સેટ કરો
/dev/sda6 - તમારું sdaX પાર્ટીશન.

grub.cfg જનરેટ/અપડેટ કરી રહ્યું છે

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

"grub.cfg" ફાઇલના અંતમાં "trust /boot/grub/perskey" લાઇન ઉમેરો. (pgp કીનો બળપૂર્વક ઉપયોગ.) અમે GRUB2 ને મોડ્યુલોના સમૂહ સાથે ઇન્સ્ટોલ કર્યું હોવાથી, જેમાં હસ્તાક્ષર મોડ્યુલ “signature_test.mod”નો સમાવેશ થાય છે, આ રૂપરેખામાં “set check_signatures=enforce” જેવા આદેશો ઉમેરવાની જરૂરિયાતને દૂર કરે છે.

તે આના જેવું કંઈક દેખાવું જોઈએ (grub.cfg ફાઇલમાં અંતિમ રેખાઓ)

### BEGIN /etc/grub.d/41_custom ###
જો [ -f ${config_directory}/custom.cfg]; પછી
સ્ત્રોત ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; પછી
સ્ત્રોત $prefix/custom.cfg;
fi
વિશ્વાસ /boot/grub/perskey
સુપરયુઝર્સ = "રુટ" સેટ કરો
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

“/boot/grub/perskey” ના પાથને ચોક્કસ ડિસ્ક પાર્ટીશન તરફ નિર્દેશ કરવાની જરૂર નથી, ઉદાહરણ તરીકે hd0,6; બુટલોડર માટે જ, “રુટ” એ પાર્ટીશનનો મૂળભૂત પાથ છે કે જેના પર GRUB2 સ્થાપિત થયેલ છે. (જુઓ સેટ રોટ=..).

GRUB2 પર સહી કરી રહ્યું છે (બધી ફાઇલો તમામ /GRUB ડિરેક્ટરીઓમાં) તમારી કી "પર્સ્કી" સાથે.
કેવી રીતે સહી કરવી તેનો સરળ ઉકેલ (નોટીલસ/કાજા એક્સપ્લોરર માટે): રિપોઝીટરીમાંથી એક્સપ્લોરર માટે "સીહોર્સ" એક્સ્ટેંશન ઇન્સ્ટોલ કરો. તમારી કી su પર્યાવરણમાં ઉમેરવી જ જોઈએ.
સુડો “/mnt/boot” – RMB – ચિહ્ન સાથે એક્સપ્લોરર ખોલો. સ્ક્રીન પર તે આના જેવું દેખાય છે

કી પોતે જ છે “/mnt/boot/grub/perskey” (ગ્રબ ડિરેક્ટરીમાં કૉપિ કરો) તમારા પોતાના હસ્તાક્ષર સાથે પણ સહી કરવી આવશ્યક છે. તપાસો કે [*.sig] ફાઇલની સહીઓ ડિરેક્ટરી/સબડિરેક્ટરીઝમાં દેખાય છે.
ઉપર વર્ણવેલ પદ્ધતિનો ઉપયોગ કરીને, "/boot" પર સહી કરો (અમારી કર્નલ, initrd). જો તમારો સમય કંઈપણ મૂલ્યવાન છે, તો પછી આ પદ્ધતિ "ઘણી બધી ફાઇલો" પર સહી કરવા માટે બેશ સ્ક્રિપ્ટ લખવાની જરૂરિયાતને દૂર કરે છે.

તમામ બુટલોડર સહીઓ દૂર કરવા માટે (જો કંઈક ખોટું થયું હોય તો)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

સિસ્ટમ અપડેટ કર્યા પછી બુટલોડર પર સહી ન કરવા માટે, અમે GRUB2 થી સંબંધિત તમામ અપડેટ પેકેજોને સ્થિર કરીએ છીએ.

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

આ પગલા પર <ડિજીટલ હસ્તાક્ષર સાથે બુટલોડરને સુરક્ષિત કરો> GRUB2 નું અદ્યતન રૂપરેખાંકન પૂર્ણ થયું છે.

C6.3. GRUB2 બુટલોડરનું પ્રૂફ-ટેસ્ટ, ડિજિટલ હસ્તાક્ષર અને પ્રમાણીકરણ દ્વારા સુરક્ષિતGRUB2. કોઈપણ GNU/Linux વિતરણ પસંદ કરતી વખતે અથવા CLI દાખલ કરતી વખતે (આદેશ વાક્ય) સુપરયુઝર અધિકૃતતા જરૂરી રહેશે. સાચું વપરાશકર્તાનામ/પાસવર્ડ દાખલ કર્યા પછી, તમારે initrd પાસવર્ડની જરૂર પડશે

GRUB2 સુપરયુઝરના સફળ પ્રમાણીકરણનો સ્ક્રીનશોટ.

જો તમે કોઈપણ GRUB2 ફાઇલો સાથે ચેડા કરો છો/ grub.cfg માં ફેરફાર કરો છો, અથવા ફાઇલ/સહી કાઢી નાખો છો, અથવા દૂષિત મોડ્યુલ.મોડ લોડ કરો છો, તો અનુરૂપ ચેતવણી દેખાશે. GRUB2 લોડિંગ થોભાવશે.

સ્ક્રીનશોટ, "બહારથી" GRUB2 માં દખલ કરવાનો પ્રયાસ.

"સામાન્ય" બુટીંગ દરમિયાન "ઘૂસણખોરી વિના", સિસ્ટમ એક્ઝિટ કોડ સ્થિતિ "0" છે. તેથી, તે અજ્ઞાત છે કે રક્ષણ કામ કરે છે કે નહીં (એટલે ​​કે, "બુટલોડર સિગ્નેચર પ્રોટેક્શન સાથે અથવા વગર" સામાન્ય લોડિંગ દરમિયાન સ્થિતિ સમાન "0" છે - આ ખરાબ છે).

ડિજિટલ સિગ્નેચર પ્રોટેક્શન કેવી રીતે તપાસવું?

તપાસવાની એક અસુવિધાજનક રીત: GRUB2 દ્વારા ઉપયોગમાં લેવાતા મોડ્યુલને બનાવટી/દૂર કરો, ઉદાહરણ તરીકે, luks.mod.sig સહી દૂર કરો અને ભૂલ મેળવો.

સાચી રીત: બુટલોડર CLI પર જાઓ અને આદેશ ટાઈપ કરો

trust_list

જવાબમાં, તમારે "પર્સ્કી" ફિંગરપ્રિન્ટ પ્રાપ્ત કરવી જોઈએ; જો સ્થિતિ "0" હોય, તો હસ્તાક્ષર સુરક્ષા કામ કરતું નથી, ફકરા C6.2ને બે વાર તપાસો.
આ પગલા પર, અદ્યતન રૂપરેખાંકન "ડિજીટલ હસ્તાક્ષર અને પ્રમાણીકરણ સાથે GRUB2 નું રક્ષણ" પૂર્ણ થયું છે.

C7 હેશિંગનો ઉપયોગ કરીને GRUB2 બુટલોડરને સુરક્ષિત કરવાની વૈકલ્પિક પદ્ધતિઉપર વર્ણવેલ "CPU બુટ લોડર પ્રોટેક્શન/ઓથેન્ટિકેશન" પદ્ધતિ ક્લાસિક છે. GRUB2 ની અપૂર્ણતાને લીધે, પેરાનોઇડ પરિસ્થિતિઓમાં તે વાસ્તવિક હુમલા માટે સંવેદનશીલ છે, જે હું ફકરા [F] માં નીચે આપીશ. વધુમાં, OS/kernel અપડેટ કર્યા પછી, બુટલોડરને ફરીથી સહી કરવી આવશ્યક છે.

હેશીંગનો ઉપયોગ કરીને GRUB2 બુટલોડરનું રક્ષણ કરવું

ક્લાસિક કરતાં ફાયદા:

• ઉચ્ચ સ્તરની વિશ્વસનીયતા (હેશિંગ/વેરિફિકેશન માત્ર એનક્રિપ્ટેડ લોકલ રિસોર્સમાંથી જ થાય છે. GRUB2 હેઠળ આખું ફાળવેલ પાર્ટીશન કોઈપણ ફેરફારો માટે નિયંત્રિત થાય છે, અને બાકીનું બધું એનક્રિપ્ટેડ છે; CPU લોડર પ્રોટેક્શન/ઓથેન્ટિકેશન સાથે ક્લાસિક સ્કીમમાં, માત્ર ફાઇલો જ નિયંત્રિત થાય છે, પરંતુ મફત નથી. જગ્યા, જેમાં "કંઈક" કંઈક અશુભ" ઉમેરી શકાય છે).
• એન્ક્રિપ્ટેડ લોગીંગ (આ યોજનામાં માનવ વાંચી શકાય તેવો વ્યક્તિગત એન્ક્રિપ્ટેડ લોગ ઉમેરવામાં આવ્યો છે).
• ઝડપ (GRUB2 માટે ફાળવેલ સમગ્ર પાર્ટીશનનું રક્ષણ/ચકાસણી લગભગ તરત જ થાય છે).
• તમામ ક્રિપ્ટોગ્રાફિક પ્રક્રિયાઓનું ઓટોમેશન.

ક્લાસિક પર ગેરફાયદા.

• સહીની બનાવટી (સૈદ્ધાંતિક રીતે, આપેલ હેશ ફંક્શન અથડામણ શોધવાનું શક્ય છે).
• મુશ્કેલી સ્તરમાં વધારો (ક્લાસિકની તુલનામાં, GNU/Linux OS માં થોડી વધુ કુશળતા જરૂરી છે).

GRUB2/પાર્ટીશન હેશિંગ આઈડિયા કેવી રીતે કામ કરે છે

GRUB2 પાર્ટીશન "સહી કરેલ" છે; જ્યારે OS બુટ થાય છે, ત્યારે બુટ લોડર પાર્ટીશનને અપરિવર્તનક્ષમતા માટે ચકાસવામાં આવે છે, ત્યારબાદ સુરક્ષિત (એનક્રિપ્ટેડ) વાતાવરણમાં લોગ ઇન થાય છે. જો બુટલોડર અથવા તેના પાર્ટીશન સાથે ચેડા કરવામાં આવે તો, ઘૂસણખોરી લોગ ઉપરાંત, નીચેનું લોંચ કરવામાં આવે છે:

વસ્તુ.

સમાન તપાસ દિવસમાં ચાર વખત થાય છે, જે સિસ્ટમ સંસાધનો લોડ કરતી નથી.
“-$ check_GRUB” આદેશનો ઉપયોગ કરીને, કોઈપણ સમયે લોગીંગ કર્યા વિના ત્વરિત તપાસ થાય છે, પરંતુ CLI ને માહિતી આઉટપુટ સાથે.
"-$ sudo signature_GRUB" આદેશનો ઉપયોગ કરીને, GRUB2 બૂટ લોડર/પાર્ટીશન તરત જ ફરીથી સહી થાય છે અને તેનું અપડેટ કરેલ લોગીંગ (OS/બૂટ અપડેટ પછી જરૂરી), અને જીવન ચાલુ રહે છે.

બુટલોડર અને તેના વિભાગ માટે હેશિંગ પદ્ધતિનો અમલ

0) ચાલો પહેલા તેને /media/username માં માઉન્ટ કરીને GRUB બુટલોડર/પાર્ટીશન પર સહી કરીએ

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) અમે એન્ક્રિપ્ટેડ OS ~/podpis ના રૂટમાં એક્સ્ટેંશન વિના સ્ક્રિપ્ટ બનાવીએ છીએ, તેના પર જરૂરી 744 સુરક્ષા અધિકારો અને ફૂલપ્રૂફ સુરક્ષા લાગુ કરીએ છીએ.

તેના સમાવિષ્ટો ભરવા

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

અમે થી સ્ક્રિપ્ટ ચલાવીએ છીએ su, GRUB પાર્ટીશન અને તેના બુટલોડરનું હેશીંગ તપાસવામાં આવશે, લોગ સાચવો.

ચાલો બનાવીએ અથવા નકલ કરીએ, ઉદાહરણ તરીકે, GRUB2 પાર્ટીશનમાં "દૂષિત ફાઇલ" [virus.mod] અને કામચલાઉ સ્કેન/ટેસ્ટ ચલાવો:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

CLI એ અમારા -સિટાડેલ- પર આક્રમણ જોવું જોઈએ# CLI માં ટ્રિમ કરેલ લોગ

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

# જેમ તમે જોઈ શકો છો, "ફાઈલો ખસેડવામાં આવી છે: 1 અને ઓડિટ નિષ્ફળ" દેખાય છે, જેનો અર્થ છે કે ચેક નિષ્ફળ ગયો.
ચકાસાયેલ પાર્ટીશનની પ્રકૃતિને કારણે, "નવી ફાઇલો મળી" > "ફાઇલો ખસેડવામાં આવી" ને બદલે

2) અહીં gif મૂકો > ~/warning.gif, પરવાનગીઓને 744 પર સેટ કરો.

3) બુટ પર GRUB પાર્ટીશનને ઓટોમાઉન્ટ કરવા માટે fstab રૂપરેખાંકિત કરી રહ્યા છીએ

-$ sudo nano /etc/fstab

LABEL=GRUB /media/username/GRUB ext4 ડિફોલ્ટ 0 0

4) લોગ ફરતી

-$ sudo nano /etc/logrotate.d/podpis 

/var/log/podpis.txt {
દૈનિક
50 ફેરવો
કદ 5M
તારીખ
સંકુચિત કરો
delaycompress
olddir /var/log/old
}

/var/log/vtorjenie.txt {
માસિક
5 ફેરવો
કદ 5M
તારીખ
olddir /var/log/old
}

5) ક્રોનમાં નોકરી ઉમેરો

-$ sudo crontab -e

રીબુટ '/સબ્સ્ક્રિપ્શન'
0 */6 * * * '/પોડપીસ

6) કાયમી ઉપનામો બનાવી રહ્યા છીએ

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

OS અપડેટ પછી -$ apt-get upgrade અમારા GRUB પાર્ટીશન પર ફરીથી સહી કરો
-$ подпись_GRUB
આ બિંદુએ, GRUB પાર્ટીશનનું હેશિંગ સંરક્ષણ પૂર્ણ છે.

[D] વાઇપિંગ - એનક્રિપ્ટેડ ડેટાનો વિનાશ

સાઉથ કેરોલિનાના પ્રવક્તા ટ્રે ગૌડીના જણાવ્યા મુજબ, તમારી અંગત ફાઇલોને સંપૂર્ણપણે કાઢી નાખો કે "ભગવાન પણ તેને વાંચી શકતા નથી."

હંમેશની જેમ, ત્યાં વિવિધ “દંતકથાઓ અને દંતકથાઓ", હાર્ડ ડ્રાઇવમાંથી ડેટા કાઢી નાખ્યા પછી તેને પુનઃસ્થાપિત કરવા વિશે. જો તમે સાયબરવિચક્રાફ્ટમાં માનતા હો, અથવા ડૉ વેબ સમુદાયના સભ્ય છો અને ડેટા ડિલીટ/ઓવરરાઈટ થયા પછી ક્યારેય રિકવરીનો પ્રયાસ કર્યો નથી. (ઉદાહરણ તરીકે, આર-સ્ટુડિયોનો ઉપયોગ કરીને પુનઃપ્રાપ્તિ), તો પછી સૂચિત પદ્ધતિ તમને અનુકૂળ થવાની શક્યતા નથી, તમારી સૌથી નજીકનો ઉપયોગ કરો.

એનક્રિપ્ટેડ પાર્ટીશનમાં GNU/Linux ને સફળતાપૂર્વક સ્થાનાંતરિત કર્યા પછી, ડેટા પુનઃપ્રાપ્તિની શક્યતા વિના જૂની નકલ કાઢી નાખવી આવશ્યક છે. યુનિવર્સલ ક્લિનિંગ મેથડ: Windows/Linux ફ્રી GUI સૉફ્ટવેર માટે સૉફ્ટવેર બ્લીચબીટ.
Строыстро વિભાગને ફોર્મેટ કરો, ડેટા કે જેના પર નાશ કરવાની જરૂર છે (Gparted દ્વારા) બ્લીચબિટ લોંચ કરો, "ક્લીન અપ ફ્રી સ્પેસ" પસંદ કરો - પાર્ટીશન પસંદ કરો (GNU/Linux ની અગાઉની નકલ સાથે તમારું sdaX), સ્ટ્રિપિંગ પ્રક્રિયા શરૂ થશે. બ્લીચબિટ - ડિસ્કને એક પાસમાં સાફ કરે છે - આ તે છે જે "અમને જોઈએ છે", પરંતુ! જો તમે ડિસ્કનું ફોર્મેટ કર્યું હોય અને તેને BB v2.0 સોફ્ટવેરમાં સાફ કર્યું હોય તો જ આ સિદ્ધાંતમાં કામ કરે છે.

સાવધાન! BB મેટાડેટા છોડીને ડિસ્કને સાફ કરે છે; જ્યારે ડેટા કાઢી નાખવામાં આવે ત્યારે ફાઇલના નામો સાચવવામાં આવે છે (Ccleaner - મેટાડેટા છોડતું નથી).

અને ડેટા પુનઃપ્રાપ્તિની શક્યતા વિશેની દંતકથા સંપૂર્ણપણે દંતકથા નથી.Bleachbit V2.0-2 ભૂતપૂર્વ અસ્થિર OS ડેબિયન પેકેજ (અને અન્ય કોઈપણ સમાન સોફ્ટવેર: sfill; wipe-Nautilus - પણ આ ગંદા ધંધામાં જણાયું હતું) વાસ્તવમાં એક ગંભીર ભૂલ હતી: "ફ્રી સ્પેસ ક્લિયરિંગ" ફંક્શન તે ખોટી રીતે કામ કરે છે HDD/ફ્લેશ ડ્રાઇવ્સ પર (ntfs/ext4). આ પ્રકારનું સોફ્ટવેર, ખાલી જગ્યા સાફ કરતી વખતે, સમગ્ર ડિસ્ક પર ફરીથી લખતું નથી, જેમ કે ઘણા વપરાશકર્તાઓ વિચારે છે. અને કેટલાક (ઘણા) કાઢી નાખેલ ડેટા OS/સોફ્ટવેર આ ડેટાને બિન-ડીલીટ કરેલ/વપરાશકર્તા ડેટા તરીકે માને છે અને જ્યારે “OSP” સાફ કરે છે ત્યારે તે આ ફાઇલોને છોડી દે છે. સમસ્યા એ છે કે આટલા લાંબા સમય પછી, ડિસ્ક સાફ કરવી "કાઢી નાખેલી ફાઇલો" પુનઃપ્રાપ્ત કરી શકાય છે ડિસ્ક સાફ કરવાના 3+ પાસ પછી પણ.
Bleachbit પર GNU/Linux પર 2.0-2 ફાઇલો અને ડિરેક્ટરીઓ કાયમી ધોરણે કાઢી નાખવાના કાર્યો વિશ્વસનીય રીતે કાર્ય કરે છે, પરંતુ ખાલી જગ્યા સાફ કરતા નથી. સરખામણી માટે: CCleaner માં વિન્ડોઝ પર "NTFs માટે OSP" ફંક્શન યોગ્ય રીતે કામ કરે છે, અને ભગવાન ખરેખર કાઢી નાખેલો ડેટા વાંચી શકશે નહીં.

અને તેથી, સંપૂર્ણપણે દૂર કરવા માટે "સમાધાન" જૂનો એનક્રિપ્ટેડ ડેટા, બ્લીચબિટને આ ડેટાની સીધી ઍક્સેસની જરૂર છે, પછી, "ફાઈલો/ડિરેક્ટરીઓ કાયમી ધોરણે કાઢી નાખો" કાર્યનો ઉપયોગ કરો.
Windows માં "સ્ટાન્ડર્ડ OS ટૂલ્સનો ઉપયોગ કરીને કાઢી નાખેલી ફાઇલો" દૂર કરવા માટે, "OSP" ફંક્શન સાથે CCleaner/BB નો ઉપયોગ કરો. GNU/Linux માં આ સમસ્યા પર (કાઢી નાખેલી ફાઇલો કાઢી નાખો) તમારે તમારી જાતે પ્રેક્ટિસ કરવાની જરૂર છે (ડેટા કાઢી નાખવું + તેને પુનઃસ્થાપિત કરવાનો સ્વતંત્ર પ્રયાસ અને તમારે સોફ્ટવેર સંસ્કરણ પર આધાર રાખવો જોઈએ નહીં (જો બુકમાર્ક ન હોય, તો બગ)), ફક્ત આ કિસ્સામાં તમે આ સમસ્યાની પદ્ધતિને સમજી શકશો અને કાઢી નાખેલ ડેટાને સંપૂર્ણપણે છુટકારો મેળવી શકશો.

મેં Bleachbit v3.0 નું પરીક્ષણ કર્યું નથી, સમસ્યા પહેલાથી જ ઠીક થઈ ગઈ હશે.
Bleachbit v2.0 પ્રામાણિકપણે કામ કરે છે.

આ પગલા પર, ડિસ્ક સાફ કરવાનું પૂર્ણ થયું છે.

[E] એનક્રિપ્ટેડ OS નો સાર્વત્રિક બેકઅપ

દરેક વપરાશકર્તા પાસે ડેટા બેકઅપ લેવાની પોતાની પદ્ધતિ છે, પરંતુ એન્ક્રિપ્ટેડ સિસ્ટમ OS ડેટાને કાર્ય માટે થોડો અલગ અભિગમની જરૂર છે. યુનિફાઇડ સૉફ્ટવેર, જેમ કે ક્લોનેઝિલા અને સમાન સૉફ્ટવેર, એનક્રિપ્ટેડ ડેટા સાથે સીધા કામ કરી શકતા નથી.

એન્ક્રિપ્ટેડ બ્લોક ઉપકરણોનો બેકઅપ લેવાની સમસ્યાનું નિવેદન:

1. સાર્વત્રિકતા - Windows/Linux માટે સમાન બેકઅપ અલ્ગોરિધમ/સોફ્ટવેર;
2. વધારાના સોફ્ટવેર ડાઉનલોડ્સની જરૂર વગર કોઈપણ લાઈવ યુએસબી જીએનયુ/લિનક્સ સાથે કન્સોલમાં કામ કરવાની ક્ષમતા (પરંતુ હજુ પણ GUI ની ભલામણ કરો);
3. બેકઅપ નકલોની સુરક્ષા - સંગ્રહિત "છબીઓ" એનક્રિપ્ટેડ/પાસવર્ડથી સુરક્ષિત હોવી જોઈએ;
4. એન્ક્રિપ્ટેડ ડેટાનું કદ નકલ કરવામાં આવતા વાસ્તવિક ડેટાના કદને અનુરૂપ હોવું જોઈએ;
5. બેકઅપ કોપીમાંથી જરૂરી ફાઇલોનું અનુકૂળ નિષ્કર્ષણ (પ્રથમ સમગ્ર વિભાગને ડિક્રિપ્ટ કરવાની જરૂર નથી).

ઉદાહરણ તરીકે, “dd” ઉપયોગિતા દ્વારા બેકઅપ/રીસ્ટોર

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

તે કાર્યના લગભગ તમામ મુદ્દાઓને અનુરૂપ છે, પરંતુ બિંદુ 4 મુજબ તે ટીકાનો સામનો કરતું નથી, કારણ કે તે ખાલી જગ્યા સહિત સમગ્ર ડિસ્ક પાર્ટીશનની નકલ કરે છે - રસપ્રદ નથી.

ઉદાહરણ તરીકે, આર્કાઇવર [tar" | દ્વારા GNU/Linux બેકઅપ gpg] અનુકૂળ છે, પરંતુ વિન્ડોઝ બેકઅપ માટે તમારે અન્ય ઉકેલ શોધવાની જરૂર છે - તે રસપ્રદ નથી.

E1. યુનિવર્સલ વિન્ડોઝ/લિનક્સ બેકઅપ. લિંક rsync (Grsync)+VeraCrypt વોલ્યુમબેકઅપ નકલ બનાવવા માટે અલ્ગોરિધમ:

1. એન્ક્રિપ્ટેડ કન્ટેનર બનાવવું (વોલ્યુમ/ફાઈલ) OS માટે વેરાક્રિપ્ટ;
2. VeraCrypt ક્રિપ્ટો કન્ટેનરમાં Rsync સોફ્ટવેરનો ઉપયોગ કરીને OS ને ટ્રાન્સફર/સિંક્રોનાઇઝ કરો;
3. જો જરૂરી હોય તો, www પર VeraCrypt વોલ્યુમ અપલોડ કરવું.

એન્ક્રિપ્ટેડ વેરાક્રિપ્ટ કન્ટેનર બનાવવાની તેની પોતાની લાક્ષણિકતાઓ છે:
ગતિશીલ વોલ્યુમ બનાવવું (DT ની રચના ફક્ત Windows માં ઉપલબ્ધ છે, GNU/Linux માં પણ વાપરી શકાય છે);
નિયમિત વોલ્યુમ બનાવવું, પરંતુ "પેરાનોઇડ પાત્ર" ની આવશ્યકતા છે (વિકાસકર્તા અનુસાર) - કન્ટેનર ફોર્મેટિંગ.

વિન્ડોઝમાં ડાયનેમિક વોલ્યુમ લગભગ તરત જ બનાવવામાં આવે છે, પરંતુ જ્યારે GNU/Linux > VeraCrypt DT માંથી ડેટાની નકલ કરવામાં આવે છે, ત્યારે બેકઅપ ઓપરેશનનું એકંદર પ્રદર્શન નોંધપાત્ર રીતે ઘટે છે.

નિયમિત 70 જીબી ટુફિશ વોલ્યુમ બનાવવામાં આવે છે (ચાલો ફક્ત કહીએ, સરેરાશ પીસી પાવર પર) અડધા કલાકમાં HDD ~ (ભૂતપૂર્વ કન્ટેનર ડેટાને એક પાસમાં ઓવરરાઇટ કરવું એ સુરક્ષા જરૂરિયાતોને કારણે છે). વોલ્યુમ બનાવતી વખતે તેને ઝડપથી ફોર્મેટ કરવાનું કાર્ય VeraCrypt Windows/Linux માંથી દૂર કરવામાં આવ્યું છે, તેથી કન્ટેનર બનાવવાનું ફક્ત "વન-પાસ રીરાઇટીંગ" દ્વારા અથવા ઓછા-પ્રદર્શન ગતિશીલ વોલ્યુમ બનાવવા દ્વારા જ શક્ય છે.

નિયમિત VeraCrypt વોલ્યુમ બનાવો (ડાયનેમિક/ntfs નથી), કોઈ સમસ્યા ન હોવી જોઈએ.

VeraCrypt GUI> GNU/Linux live usb માં કન્ટેનર ગોઠવો/બનાવો/ખોલો (વોલ્યુમને /media/veracrypt2 પર ઓટોમાઉન્ટ કરવામાં આવશે, Windows OS વોલ્યુમને /media/veracrypt1 પર માઉન્ટ કરવામાં આવશે). GUI rsync નો ઉપયોગ કરીને Windows OS નું એન્ક્રિપ્ટેડ બેકઅપ બનાવવું (grsync)બોક્સ ચેક કરીને.

પ્રક્રિયા પૂર્ણ થવાની રાહ જુઓ. એકવાર બેકઅપ પૂર્ણ થઈ જાય, પછી અમારી પાસે એક એન્ક્રિપ્ટેડ ફાઇલ હશે.

તેવી જ રીતે, rsync GUI માં "Windows સુસંગતતા" ચેકબોક્સને અનચેક કરીને GNU/Linux OS ની બેકઅપ કોપી બનાવો.

સાવધાન! ફાઇલ સિસ્ટમમાં "GNU/Linux બેકઅપ" માટે વેરાક્રિપ્ટ કન્ટેનર બનાવો EX4. જો તમે ntfs કન્ટેનરમાં બેકઅપ લો છો, તો જ્યારે તમે આવી નકલ પુનઃસ્થાપિત કરશો, તો તમે તમારા તમામ ડેટાના તમામ અધિકારો/જૂથો ગુમાવશો.

તમે ટર્મિનલમાં તમામ કામગીરી કરી શકો છો. rsync માટે મૂળભૂત વિકલ્પો:
* -g -સમૂહો સાચવો;
* -P —પ્રગતિ — ફાઇલ પર કામ કરવામાં વિતાવેલા સમયની સ્થિતિ;
* -H - હાર્ડલિંકની જેમ છે તેમ નકલ કરો;
* -a -આર્કાઇવ મોડ (બહુવિધ rlptgoD ફ્લેગ્સ);
* -v -મૌખિકીકરણ.

જો તમે ક્રિપ્ટસેટઅપ સોફ્ટવેરમાં કન્સોલ દ્વારા "Windows VeraCrypt વોલ્યુમ" માઉન્ટ કરવા માંગતા હો, તો તમે ઉપનામ (su) બનાવી શકો છો.

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

હવે "veramount પિક્ચર્સ" આદેશ તમને પાસફ્રેઝ દાખલ કરવા માટે પૂછશે, અને એન્ક્રિપ્ટેડ Windows સિસ્ટમ વોલ્યુમ OS માં માઉન્ટ કરવામાં આવશે.

ક્રિપ્ટસેટઅપ આદેશમાં નકશો/માઉન્ટ વેરાક્રિપ્ટ સિસ્ટમ વોલ્યુમ

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

ક્રિપ્ટસેટઅપ આદેશમાં નકશો/માઉન્ટ વેરાક્રિપ્ટ પાર્ટીશન/કન્ટેનર

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

ઉપનામને બદલે, અમે GNU/Linux સ્ટાર્ટઅપમાં Windows OS સાથે સિસ્ટમ વોલ્યુમ અને લોજિકલ એન્ક્રિપ્ટેડ ntfs ડિસ્ક (સ્ટાર્ટઅપ માટે સ્ક્રિપ્ટ) ઉમેરીશું.

સ્ક્રિપ્ટ બનાવો અને તેને ~/VeraOpen.sh માં સાચવો

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

અમે "સાચા" અધિકારોનું વિતરણ કરીએ છીએ:

sudo chmod 100 /VeraOpen.sh

/etc/rc.local અને ~/etc/init.d/rc.local માં બે સરખી ફાઈલો (સમાન નામ!) બનાવો
ફાઇલો ભરી રહ્યા છીએ

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

અમે "સાચા" અધિકારોનું વિતરણ કરીએ છીએ:

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local 

બસ, હવે જ્યારે GNU/Linux લોડ કરી રહ્યા છીએ ત્યારે એન્ક્રિપ્ટેડ ntfs ડિસ્કને માઉન્ટ કરવા માટે અમારે પાસવર્ડ દાખલ કરવાની જરૂર નથી, ડિસ્ક આપમેળે માઉન્ટ થાય છે.

પગલું દ્વારા ફકરા E1 માં ઉપર વર્ણવેલ છે તે વિશે ટૂંકમાં નોંધ (પરંતુ હવે OS GNU/Linux માટે)
1) Veracrypt [Cryptbox] માં fs ext4 > 4gb (ફાઈલ માટે) Linux માં વોલ્યુમ બનાવો.
2) લાઇવ યુએસબી પર રીબૂટ કરો.
3) ~$ ક્રિપ્ટસેટઅપ ઓપન /dev/sda7 Lunux #mapping એનક્રિપ્ટેડ પાર્ટીશન.
4) ~$ mount /dev/mapper/Linux /mnt #એનક્રિપ્ટેડ પાર્ટીશનને /mnt પર માઉન્ટ કરો.
5) ~$ mkdir mnt2 # ભાવિ બેકઅપ માટે ડિરેક્ટરી બનાવી રહ્યા છે.
6) ~$ ક્રિપ્ટસેટઅપ ઓપન —veracrypt —ટાઈપ tcrypt ~/CryptoBox CryptoBox && mount /dev/mapper/CryptoBox /mnt2 #“ક્રિપ્ટોબોક્સ” નામના વેરાક્રિપ્ટ વોલ્યુમનો નકશો બનાવો અને ક્રિપ્ટોબોક્સને /mnt2 પર માઉન્ટ કરો.
7) ~$ rsync -avlxhHX —પ્રગતિ /mnt /mnt2/ એનક્રિપ્ટેડ વેરાક્રિપ્ટ વોલ્યુમમાં એન્ક્રિપ્ટેડ પાર્ટીશનનું #બેકઅપ ઓપરેશન.

(p/s/ સાવધાન! જો તમે એનક્રિપ્ટેડ GNU/Linux ને એક આર્કિટેક્ચર/મશીનમાંથી બીજામાં ટ્રાન્સફર કરી રહ્યા હોવ, ઉદાહરણ તરીકે, Intel > AMD (એટલે ​​કે, એક એન્ક્રિપ્ટેડ પાર્ટીશનમાંથી બીજા એનક્રિપ્ટેડ Intel > AMD પાર્ટીશનમાં બેકઅપ જમાવવું), ભૂલી ના જતા એન્ક્રિપ્ટેડ OS ને સ્થાનાંતરિત કર્યા પછી, પાસવર્ડને બદલે ગુપ્ત અવેજી કી સંપાદિત કરો, કદાચ. પાછલી કી ~/etc/skey - હવે બીજા એન્ક્રિપ્ટેડ પાર્ટીશનને ફિટ કરશે નહીં, અને ક્રોટની નીચેથી નવી કી “cryptsetup luksAddKey” બનાવવાની સલાહ આપવામાં આવતી નથી - ભૂલ શક્ય છે, ફક્ત ~/etc/crypttab માં તેના બદલે સ્પષ્ટ કરો "/etc/skey" અસ્થાયી રૂપે "કોઈ નહીં" ", રીબોટ કર્યા પછી અને OS માં લૉગ ઇન કર્યા પછી, તમારી ગુપ્ત વાઇલ્ડકાર્ડ કી ફરીથી બનાવો).

IT વેટરન્સ તરીકે, એન્ક્રિપ્ટેડ Windows/Linux OS પાર્ટીશનોના હેડરોનો અલગથી બેકઅપ લેવાનું યાદ રાખો, નહીં તો એન્ક્રિપ્શન તમારી વિરુદ્ધ થઈ જશે.
આ પગલા પર, એન્ક્રિપ્ટેડ OS નો બેકઅપ પૂર્ણ થાય છે.

[F] GRUB2 બુટલોડર પર હુમલો

વિગતો જુઓજો તમે તમારા બુટલોડરને ડિજિટલ હસ્તાક્ષર અને/અથવા પ્રમાણીકરણ સાથે સુરક્ષિત કર્યું છે (બિંદુ C6 જુઓ.), તો પછી આ ભૌતિક ઍક્સેસ સામે રક્ષણ કરશે નહીં. એન્ક્રિપ્ટેડ ડેટા હજી પણ અપ્રાપ્ય હશે, પરંતુ સુરક્ષાને બાયપાસ કરવામાં આવશે (ડિજીટલ હસ્તાક્ષર સુરક્ષા રીસેટ કરો) GRUB2 શંકા ઉપજાવ્યા વિના સાયબર-વિલનને તેનો કોડ બુટલોડરમાં દાખલ કરવાની મંજૂરી આપે છે (જ્યાં સુધી વપરાશકર્તા જાતે બુટલોડર સ્થિતિનું નિરીક્ષણ ન કરે, અથવા grub.cfg માટે તેમના પોતાના મજબૂત મનસ્વી-સ્ક્રીપ્ટ કોડ સાથે આવે).

હુમલો અલ્ગોરિધમનો. ઘુસણખોર

* લાઇવ યુએસબીથી પીસી બુટ કરો. કોઈપણ ફેરફાર (ભંગ કરનાર) ફાઇલો પીસીના વાસ્તવિક માલિકને બુટલોડરમાં ઘૂસણખોરી વિશે સૂચિત કરશે. પરંતુ grub.cfg રાખીને GRUB2 નું સરળ પુનઃસ્થાપન (અને તેને સંપાદિત કરવાની અનુગામી ક્ષમતા) હુમલાખોરને કોઈપણ ફાઇલોમાં ફેરફાર કરવાની મંજૂરી આપશે (આ સ્થિતિમાં, GRUB2 લોડ કરતી વખતે, વાસ્તવિક વપરાશકર્તાને સૂચિત કરવામાં આવશે નહીં. સ્થિતિ સમાન છે <0>)
* એનક્રિપ્ટેડ પાર્ટીશનને માઉન્ટ કરે છે, "/mnt/boot/grub/grub.cfg" સ્ટોર કરે છે.
* બુટલોડર પુનઃસ્થાપિત કરે છે (core.img ઈમેજમાંથી "પર્સ્કી" દૂર કરી રહ્યા છીએ)

grub-install --force --root-directory=/mnt /dev/sda6

* “grub.cfg” > “/mnt/boot/grub/grub.cfg” પરત કરે છે, જો જરૂરી હોય તો તેને સંપાદિત કરે છે, ઉદાહરણ તરીકે, તમારા મોડ્યુલ “keylogger.mod” ને “grub.cfg” માં લોડર મોડ્યુલો સાથે ફોલ્ડરમાં ઉમેરવું. > લાઇન "insmod keylogger". અથવા, ઉદાહરણ તરીકે, જો દુશ્મન ઘડાયેલું છે, તો પછી GRUB2 ફરીથી ઇન્સ્ટોલ કર્યા પછી (બધી હસ્તાક્ષરો સ્થાને રહે છે) તે "વિકલ્પ (-c) સાથે grub-mkimage" નો ઉપયોગ કરીને મુખ્ય GRUB2 ઈમેજ બનાવે છે. "-c" વિકલ્પ તમને મુખ્ય "grub.cfg" લોડ કરતા પહેલા તમારી રૂપરેખાને લોડ કરવાની મંજૂરી આપશે. રૂપરેખામાં માત્ર એક લીટી હોઈ શકે છે: કોઈપણ “modern.cfg” પર રીડાયરેક્ટ, મિશ્રિત, ઉદાહરણ તરીકે, ~400 ફાઈલો સાથે (મોડ્યુલ્સ + સહી) "/boot/grub/i386-pc" ફોલ્ડરમાં. આ કિસ્સામાં, હુમલાખોર "/boot/grub/grub.cfg" ને અસર કર્યા વિના મનસ્વી કોડ દાખલ કરી શકે છે અને મોડ્યુલો લોડ કરી શકે છે, પછી ભલે વપરાશકર્તાએ ફાઇલ પર "હેશસમ" લાગુ કર્યું હોય અને તેને સ્ક્રીન પર અસ્થાયી રૂપે પ્રદર્શિત કર્યું હોય.
હુમલાખોરને GRUB2 સુપરયુઝર લોગિન/પાસવર્ડ હેક કરવાની જરૂર રહેશે નહીં; તેણે માત્ર લીટીઓની નકલ કરવાની જરૂર પડશે (પ્રમાણીકરણ માટે જવાબદાર) તમારા "modern.cfg" પર "/boot/grub/grub.cfg"

સુપરયુઝર્સ = "રુટ" સેટ કરો
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

અને PC માલિકને હજુ પણ GRUB2 સુપરયુઝર તરીકે પ્રમાણિત કરવામાં આવશે.

સાંકળ લોડિંગ (બુટલોડર બીજા બુટલોડરને લોડ કરે છે), જેમ મેં ઉપર લખ્યું છે, તેનો અર્થ નથી (તે એક અલગ હેતુ માટે બનાવાયેલ છે). BIOS ને કારણે એન્ક્રિપ્ટેડ બુટલોડર લોડ કરી શકાતું નથી (ચેન બૂટ GRUB2 પુનઃપ્રારંભ થાય છે > એન્ક્રિપ્ટેડ GRUB2, ભૂલ!). જો કે, જો તમે હજી પણ ચેઇન લોડિંગના વિચારનો ઉપયોગ કરો છો, તો તમે ખાતરી કરી શકો છો કે તે એન્ક્રિપ્ટેડ છે જે લોડ થઈ રહ્યું છે. (આધુનિક નથી) એનક્રિપ્ટેડ પાર્ટીશનમાંથી "grub.cfg". અને આ સુરક્ષાની ખોટી સમજ પણ છે, કારણ કે એન્ક્રિપ્ટેડ “grub.cfg” માં દર્શાવેલ દરેક વસ્તુ (મોડ્યુલ લોડીંગ) એ મોડ્યુલો સુધી ઉમેરે છે જે એનક્રિપ્ટેડ GRUB2 માંથી લોડ થાય છે.

જો તમે આને તપાસવા માંગતા હો, તો બીજા પાર્ટીશન sdaY ફાળવો/એનક્રિપ્ટ કરો, તેમાં GRUB2 કોપી કરો (એનક્રિપ્ટેડ પાર્ટીશન પર ગ્રબ-ઇન્સ્ટોલ ઓપરેશન શક્ય નથી) અને "grub.cfg" માં (એન્ક્રિપ્ટેડ રૂપરેખા) આવી રેખાઓ બદલો

મેનુએન્ટ્રી 'GRUBx2' --class પોપટ --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
load_video
insmod gzio
જો [ x$grub_platform = xxen ]; પછી insmod xzio; insmod lzopio; fi
insmod part_msdos
insmod ક્રિપ્ટોડિસ્ક
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
ઇન્સમોડ ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
સામાન્ય /boot/grub/grub.cfg
}

રેખાઓ
* insmod - એન્ક્રિપ્ટેડ ડિસ્ક સાથે કામ કરવા માટે જરૂરી મોડ્યુલો લોડ કરી રહ્યું છે;
* GRUBx2 - GRUB2 બુટ મેનુમાં પ્રદર્શિત લીટીનું નામ;
* ક્રિપ્ટોમાઉન્ટ -u 15c47d1c4bd34e5289df77bcf60ee838 -જુઓ. fdisk -l (sda9);
* સેટ રુટ - રુટ ઇન્સ્ટોલ કરો;
* સામાન્ય /boot/grub/grub.cfg - એનક્રિપ્ટેડ પાર્ટીશન પર એક્ઝેક્યુટેબલ રૂપરેખાંકન ફાઈલ.

વિશ્વાસ કે તે એન્ક્રિપ્ટેડ “grub.cfg” છે જે લોડ થયેલ છે એ GRUB મેનુમાં “GRUBx2” લાઇન પસંદ કરતી વખતે પાસવર્ડ/અનલોકિંગ “sdaY” દાખલ કરવા માટે હકારાત્મક પ્રતિભાવ છે.

CLI માં કામ કરતી વખતે, જેથી મૂંઝવણમાં ન આવે (અને તપાસો કે શું "સેટ રૂટ" પર્યાવરણ ચલ કામ કરે છે), ખાલી ટોકન ફાઈલો બનાવો, ઉદાહરણ તરીકે, એન્ક્રિપ્ટેડ વિભાગ “/shifr_grub” માં, અનએનક્રિપ્ટેડ વિભાગ “/noshifr_grub” માં. CLI માં તપાસ કરી રહ્યા છીએ

cat /Tab-Tab

ઉપર નોંધ્યું છે તેમ, જો આવા મોડ્યુલો તમારા PC પર સમાપ્ત થાય તો દૂષિત મોડ્યુલો ડાઉનલોડ કરવામાં આ મદદ કરશે નહીં. ઉદાહરણ તરીકે, એક કીલોગર કે જે ફાઇલમાં કીસ્ટ્રોકને સાચવવામાં સક્ષમ હશે અને તેને “~/i386” માં અન્ય ફાઇલો સાથે મિશ્રિત કરી શકશે જ્યાં સુધી તેને PC પર ભૌતિક ઍક્સેસ ધરાવતા હુમલાખોર દ્વારા ડાઉનલોડ કરવામાં ન આવે.

ડિજિટલ હસ્તાક્ષર સંરક્ષણ સક્રિય રીતે કાર્ય કરી રહ્યું છે તે ચકાસવાની સૌથી સરળ રીત (રીસેટ નથી), અને કોઈએ બુટલોડર પર આક્રમણ કર્યું નથી, CLI માં આદેશ દાખલ કરો

list_trusted

જવાબમાં અમને અમારી "પર્સ્કી" ની નકલ પ્રાપ્ત થાય છે, અથવા જો અમારા પર હુમલો કરવામાં આવે તો અમને કંઈ પ્રાપ્ત થતું નથી (તમારે "સેટ ચેક_સિગ્નેચર=એન્ફોર્સ" પણ ચેક કરવાની જરૂર છે).
આ પગલાનો નોંધપાત્ર ગેરલાભ એ આદેશોને મેન્યુઅલી દાખલ કરવાનો છે. જો તમે આ આદેશને “grub.cfg” માં ઉમેરો છો અને ડિજીટલ હસ્તાક્ષર વડે રૂપરેખાને સુરક્ષિત કરો છો, તો પછી સ્ક્રીન પરના કી સ્નેપશોટનું પ્રારંભિક આઉટપુટ સમયની દ્રષ્ટિએ ખૂબ જ ટૂંકું છે, અને GRUB2 લોડ કર્યા પછી તમારી પાસે આઉટપુટ જોવા માટે સમય નથી. .
દાવો કરવા માટે ખાસ કરીને કોઈ નથી: તેનામાં વિકાસકર્તા દસ્તાવેજીકરણ કલમ 18.2 સત્તાવાર રીતે જાહેર કરે છે

“નોંધ કરો કે GRUB પાસવર્ડ પ્રોટેક્શન સાથે પણ, GRUB પોતે મશીનના ફર્મવેર (દા.ત., Coreboot અથવા BIOS) રૂપરેખાંકનને મશીનને અલગ (હુમલાખોર-નિયંત્રિત) ઉપકરણમાંથી બુટ થવાનું કારણ બને તે માટે મશીનની ભૌતિક ઍક્સેસ ધરાવતી કોઈ વ્યક્તિને રોકી શકતું નથી. સુરક્ષિત બૂટ શૃંખલામાં GRUB શ્રેષ્ઠ રીતે માત્ર એક જ લિંક છે."

GRUB2 એ ફંક્શન્સ સાથે ખૂબ ઓવરલોડ છે જે ખોટી સુરક્ષાનો અહેસાસ આપી શકે છે, અને તેના વિકાસ પહેલાથી જ કાર્યક્ષમતાના સંદર્ભમાં MS-DOS કરતાં આગળ નીકળી ગયા છે, પરંતુ તે માત્ર એક બુટલોડર છે. તે રમુજી છે કે GRUB2 - "કાલે" OS બની શકે છે, અને તેના માટે બુટ કરી શકાય તેવી GNU/Linux વર્ચ્યુઅલ મશીનો.

મેં GRUB2 ડિજિટલ સિગ્નેચર પ્રોટેક્શનને કેવી રીતે રીસેટ કર્યું અને વાસ્તવિક વપરાશકર્તાને મારી ઘૂસણખોરી જાહેર કરી તે વિશેનો ટૂંકો વિડિયો (મેં તમને ડરાવી દીધો, પરંતુ વિડિઓમાં જે બતાવવામાં આવ્યું છે તેના બદલે, તમે બિન-હાનિકારક મનસ્વી કોડ/.mod લખી શકો છો).

તારણો:

1) Windows માટે બ્લોક સિસ્ટમ એન્ક્રિપ્શન અમલમાં મૂકવું સરળ છે, અને GNU/Linux બ્લોક સિસ્ટમ એન્ક્રિપ્શન સાથેના ઘણા પાસવર્ડ્સ સાથેના રક્ષણ કરતાં એક પાસવર્ડ સાથેનું રક્ષણ વધુ અનુકૂળ છે, વાજબી રીતે: બાદમાં સ્વચાલિત છે.

2) મેં લેખને સંબંધિત અને વિગતવાર લખ્યો છે સરળ સંપૂર્ણ-ડિસ્ક એન્ક્રિપ્શન VeraCrypt/LUKS માટે માર્ગદર્શિકા એક ઘરના મશીન પર, જે RuNet (IMHO) માં અત્યાર સુધી શ્રેષ્ઠ છે. માર્ગદર્શિકા > 50k અક્ષરો લાંબી છે, તેથી તે કેટલાક રસપ્રદ પ્રકરણોને આવરી લેતું નથી: સંકેતલિપીઓ જે અદૃશ્ય થઈ જાય છે/પડછાયામાં રાખે છે; એ હકીકત વિશે કે વિવિધ GNU/Linux પુસ્તકોમાં તેઓ ક્રિપ્ટોગ્રાફી વિશે થોડું લખતા/લખતા નથી; રશિયન ફેડરેશનના બંધારણના આર્ટિકલ 51 વિશે; ઓ લાઇસન્સ/પ્રતિબંધ રશિયન ફેડરેશનમાં એન્ક્રિપ્શન, તમારે શા માટે "રુટ/બૂટ" એનક્રિપ્ટ કરવાની જરૂર છે તે વિશે. માર્ગદર્શિકા તદ્દન વ્યાપક, પરંતુ વિગતવાર હોવાનું બહાર આવ્યું. (સરળ પગલાંઓનું પણ વર્ણન કરવું), બદલામાં, જ્યારે તમે "વાસ્તવિક એન્ક્રિપ્શન" પર પહોંચશો ત્યારે આ તમારો ઘણો સમય બચાવશે.

3) વિન્ડોઝ 7 64 પર સંપૂર્ણ ડિસ્ક એન્ક્રિપ્શન કરવામાં આવ્યું હતું; GNU/Linux પોપટ 4x; જીએનયુ/ડેબિયન 9.0/9.5.

4) પર સફળ હુમલો કર્યો તેના GRUB2 બુટલોડર.

5) ટ્યુટોરીયલ CIS માં તમામ પેરાનોઇડ લોકોને મદદ કરવા માટે બનાવવામાં આવ્યું હતું, જ્યાં કાયદાકીય સ્તરે એન્ક્રિપ્શન સાથે કામ કરવાની મંજૂરી છે. અને મુખ્યત્વે તે લોકો માટે કે જેઓ તેમની રૂપરેખાંકિત સિસ્ટમોને તોડી પાડ્યા વિના પૂર્ણ-ડિસ્ક એન્ક્રિપ્શન રોલ આઉટ કરવા માંગે છે.

6) મારું મેન્યુઅલ ફરીથી કામ કર્યું અને અપડેટ કર્યું, જે 2020 માં સંબંધિત છે.

[જી] ઉપયોગી દસ્તાવેજીકરણ

1. ટ્રુક્રિપ્ટ વપરાશકર્તા માર્ગદર્શિકા (ફેબ્રુઆરી 2012 RU)
2. વેરાક્રિપ્ટ દસ્તાવેજીકરણ
3. /usr/share/doc/cryptsetup(-run) [સ્થાનિક સંસાધન] (ક્રિપ્ટસેટઅપનો ઉપયોગ કરીને GNU/Linux એન્ક્રિપ્શન સેટ કરવા પર સત્તાવાર વિગતવાર દસ્તાવેજીકરણ)
4. સત્તાવાર FAQ ક્રિપ્ટસેટઅપ (ક્રિપ્ટસેટઅપનો ઉપયોગ કરીને GNU/Linux એન્ક્રિપ્શન સેટ કરવા પર સંક્ષિપ્ત દસ્તાવેજીકરણ)
5. LUKS ઉપકરણ એન્ક્રિપ્શન (આર્કલિનક્સ દસ્તાવેજીકરણ)
6. ક્રિપ્ટસેટઅપ સિન્ટેક્સનું વિગતવાર વર્ણન (આર્ક મેન પેજ)
7. ક્રિપ્ટટેબનું વિગતવાર વર્ણન (આર્ક મેન પેજ)
8. સત્તાવાર GRUB2 દસ્તાવેજીકરણ.

ટૅગ્સ: સંપૂર્ણ ડિસ્ક એન્ક્રિપ્શન, પાર્ટીશન એન્ક્રિપ્શન, લિનક્સ સંપૂર્ણ ડિસ્ક એન્ક્રિપ્શન, LUKS1 સંપૂર્ણ સિસ્ટમ એન્ક્રિપ્શન.

ફક્ત નોંધાયેલા વપરાશકર્તાઓ જ સર્વેમાં ભાગ લઈ શકે છે. સાઇન ઇન કરો, મહેરબાની કરીને.

શું તમે એન્ક્રિપ્ટ કરી રહ્યાં છો?

• 17,1%હું જે કરી શકું તે બધું એન્ક્રિપ્ટ કરું છું. હું પેરાનોઈડ છું.14

• 34,2%હું માત્ર મહત્વપૂર્ણ ડેટાને એન્ક્રિપ્ટ કરું છું.28

• 14,6%ક્યારેક હું એન્ક્રિપ્ટ કરું છું, ક્યારેક ભૂલી જાઉં છું.12

• 34,2%ના, હું એન્ક્રિપ્ટ કરતો નથી, તે અસુવિધાજનક અને ખર્ચાળ છે.28

82 વપરાશકર્તાઓએ મત ​​આપ્યો. 22 વપરાશકર્તાઓ દૂર રહ્યા.

સોર્સ: www.habr.com