विंडोज लिनक्स स्थापित सिस्टम का पूर्ण डिस्क एन्क्रिप्शन। एन्क्रिप्टेड मल्टी-बूट

RuNet V0.2 में पूर्ण-डिस्क एन्क्रिप्शन के लिए अद्यतन स्वयं की मार्गदर्शिका।

चरवाहे रणनीति:

[ए] स्थापित सिस्टम का विंडोज 7 सिस्टम ब्लॉक एन्क्रिप्शन;
[बी] जीएनयू/लिनक्स सिस्टम ब्लॉक एन्क्रिप्शन (डेबियन) स्थापित प्रणाली (/बूट सहित);
[सी] GRUB2 कॉन्फ़िगरेशन, डिजिटल हस्ताक्षर/प्रमाणीकरण/हैशिंग के साथ बूटलोडर सुरक्षा;
[डी] स्ट्रिपिंग-अनएन्क्रिप्टेड डेटा का विनाश;
[ई] एन्क्रिप्टेड ओएस का सार्वभौमिक बैकअप;
[एफ] हमला <आइटम पर [सी6]> लक्ष्य - GRUB2 बूटलोडर;
[जी] उपयोगी दस्तावेज।

╭───#कमरे 40# का आरेख :
├──╼ विंडोज 7 स्थापित - पूर्ण सिस्टम एन्क्रिप्शन, छिपा हुआ नहीं;
├──╼ जीएनयू/लिनक्स स्थापित (डेबियन और व्युत्पन्न वितरण) - पूर्ण सिस्टम एन्क्रिप्शन, छिपा हुआ नहीं(/, /बूट; स्वैप सहित);
├──╼ स्वतंत्र बूटलोडर: VeraCrypt बूटलोडर MBR में स्थापित है, GRUB2 बूटलोडर विस्तारित विभाजन में स्थापित है;
├──╼कोई OS इंस्टालेशन/पुनर्इंस्टॉलेशन आवश्यक नहीं;
└──╼क्रिप्टोग्राफ़िक सॉफ़्टवेयर का उपयोग किया गया: VeraCrypt; क्रिप्टसेटअप; जीएनयूपीजी; समुद्री घोड़ा; हशदीप; GRUB2 मुफ़्त/मुफ़्त है.

उपरोक्त योजना आंशिक रूप से "फ्लैश ड्राइव में रिमोट बूट" की समस्या को हल करती है, जिससे आप एन्क्रिप्टेड ओएस विंडोज/लिनक्स का आनंद ले सकते हैं और एक ओएस से दूसरे ओएस में "एन्क्रिप्टेड चैनल" के माध्यम से डेटा का आदान-प्रदान कर सकते हैं।

पीसी बूट ऑर्डर (विकल्पों में से एक):

• मशीन चालू करना;
• VeraCrypt बूटलोडर लोड हो रहा है (सही पासवर्ड दर्ज करने से विंडोज 7 बूट होता रहेगा);
• "Esc" कुंजी दबाने से GRUB2 बूट लोडर लोड हो जाएगा;
• GRUB2 बूट लोडर (वितरण/जीएनयू/लिनक्स/सीएलआई का चयन करें), GRUB2 सुपरयूजर <लॉगिन/पासवर्ड> के प्रमाणीकरण की आवश्यकता होगी;
• सफल प्रमाणीकरण और वितरण के चयन के बाद, आपको "/boot/initrd.img" को अनलॉक करने के लिए एक पासफ़्रेज़ दर्ज करना होगा;
• त्रुटि-मुक्त पासवर्ड दर्ज करने के बाद, GRUB2 को पासवर्ड प्रविष्टि की "आवश्यकता" होगी (तीसरा, BIOS पासवर्ड या GNU/Linux उपयोगकर्ता खाता पासवर्ड - विचार नहीं करें) जीएनयू/लिनक्स ओएस को अनलॉक और बूट करने के लिए, या गुप्त कुंजी का स्वचालित प्रतिस्थापन (दो पासवर्ड + कुंजी, या पासवर्ड + कुंजी);
• GRUB2 कॉन्फ़िगरेशन में बाहरी घुसपैठ से GNU/Linux बूट प्रक्रिया रुक जाएगी।

कष्टकारी? ठीक है, आइए प्रक्रियाओं को स्वचालित करें।

हार्ड ड्राइव का विभाजन करते समय (एमबीआर तालिका) एक पीसी में 4 से अधिक मुख्य विभाजन, या 3 मुख्य और एक विस्तारित, साथ ही एक असंबद्ध क्षेत्र नहीं हो सकता है। एक विस्तारित अनुभाग, मुख्य अनुभाग के विपरीत, उपधाराओं को शामिल कर सकता है (तार्किक ड्राइव=विस्तारित विभाजन). दूसरे शब्दों में, एचडीडी पर "विस्तारित विभाजन" कार्य के लिए एलवीएम को प्रतिस्थापित करता है: पूर्ण सिस्टम एन्क्रिप्शन। यदि आपकी डिस्क 4 मुख्य विभाजनों में विभाजित है, तो आपको lvm, या ट्रांसफॉर्म का उपयोग करने की आवश्यकता है (फ़ॉर्मेटिंग के साथ) मुख्य से उन्नत तक अनुभाग, या बुद्धिमानी से सभी चार अनुभागों का उपयोग करें और वांछित परिणाम प्राप्त करते हुए, सब कुछ वैसे ही छोड़ दें। भले ही आपकी डिस्क पर एक विभाजन हो, Gparted आपके HDD को विभाजित करने में आपकी सहायता करेगा (अतिरिक्त अनुभागों के लिए) डेटा हानि के बिना, लेकिन फिर भी ऐसे कार्यों के लिए एक छोटे से दंड के साथ।

हार्ड ड्राइव लेआउट योजना, जिसके संबंध में संपूर्ण लेख को मौखिक रूप दिया जाएगा, नीचे दी गई तालिका में प्रस्तुत की गई है।

1टीबी विभाजन की तालिका (नंबर 1)।

आपके पास भी कुछ ऐसा ही होना चाहिए.
sda1 - मुख्य विभाजन संख्या 1 NTFS (कूट रूप दिया गया);
sda2 - विस्तारित अनुभाग मार्कर;
sda6 - तार्किक डिस्क (इसमें GRUB2 बूटलोडर स्थापित है);
sda8 - स्वैप (एन्क्रिप्टेड स्वैप फ़ाइल/हमेशा नहीं);
sda9 - तार्किक डिस्क का परीक्षण करें;
sda5 - जिज्ञासु के लिए तार्किक डिस्क;
sda7 - जीएनयू/लिनक्स ओएस (एक एन्क्रिप्टेड लॉजिकल डिस्क पर स्थानांतरित ओएस);
sda3 - विंडोज 2 ओएस के साथ मुख्य विभाजन संख्या 7 (कूट रूप दिया गया);
एसडीए4 - मुख्य अनुभाग संख्या 3 (इसमें अनएन्क्रिप्टेड जीएनयू/लिनक्स शामिल है, जिसका उपयोग बैकअप के लिए किया जाता है/हमेशा नहीं).

[ए] विंडोज 7 सिस्टम ब्लॉक एन्क्रिप्शन

ए1. वेराक्रिप्ट

वहाँ से डाउनलोड आधिकारिक साइट, या दर्पण से sourceforge VeraCrypt क्रिप्टोग्राफ़िक सॉफ़्टवेयर का इंस्टॉलेशन संस्करण (लेख v1.24-अपडेट3 के प्रकाशन के समय, VeraCrypt का पोर्टेबल संस्करण सिस्टम एन्क्रिप्शन के लिए उपयुक्त नहीं है). डाउनलोड किए गए सॉफ़्टवेयर का चेकसम जांचें

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

और परिणाम की तुलना VeraCrypt डेवलपर वेबसाइट पर पोस्ट किए गए CS से करें।

यदि हैशटैब सॉफ़्टवेयर स्थापित है, तो यह और भी आसान है: आरएमबी (वेराक्रिप्ट सेटअप 1.24.exe)-गुण - फ़ाइलों का हैश योग।

प्रोग्राम हस्ताक्षर को सत्यापित करने के लिए, सॉफ़्टवेयर और डेवलपर की सार्वजनिक पीजीपी कुंजी को सिस्टम पर स्थापित किया जाना चाहिए gnuPG; gpg4win.

ए2. व्यवस्थापक अधिकारों के साथ VeraCrypt सॉफ़्टवेयर स्थापित/चलाना

ए3. सक्रिय विभाजन के लिए सिस्टम एन्क्रिप्शन पैरामीटर का चयन करनावेराक्रिप्ट - सिस्टम - एन्क्रिप्ट सिस्टम विभाजन/डिस्क - सामान्य - एन्क्रिप्ट विंडोज सिस्टम विभाजन - मल्टीबूट - (चेतावनी: "अनुभवहीन उपयोगकर्ताओं को इस पद्धति का उपयोग करने की अनुशंसा नहीं की जाती है" और यह सच है, हम "हां" से सहमत हैं) - बूट चक्र ("हाँ", भले ही ऐसा न हो, फिर भी "हाँ") - सिस्टम डिस्क की संख्या "2 या अधिक" - एक डिस्क पर कई सिस्टम "हां" - गैर-विंडोज बूटलोडर "नहीं" (वास्तव में, "हां," लेकिन VeraCrypt/GRUB2 बूट लोडर MBR को आपस में साझा नहीं करेंगे; अधिक सटीक रूप से, बूट लोडर कोड का केवल सबसे छोटा हिस्सा MBR/बूट ट्रैक में संग्रहीत होता है, इसका मुख्य भाग है फ़ाइल सिस्टम के भीतर स्थित) - मल्टीबूट - एन्क्रिप्शन सेटिंग्स...

यदि आप उपरोक्त चरणों से विचलित होते हैं (सिस्टम एन्क्रिप्शन योजनाओं को ब्लॉक करें), तो VeraCrypt एक चेतावनी जारी करेगा और आपको विभाजन को एन्क्रिप्ट करने की अनुमति नहीं देगा।

लक्षित डेटा सुरक्षा की दिशा में अगले चरण में, एक "परीक्षण" करें और एक एन्क्रिप्शन एल्गोरिदम चुनें। यदि आपके पास पुराना सीपीयू है, तो संभवतः सबसे तेज़ एन्क्रिप्शन एल्गोरिदम ट्वोफिश होगा। यदि सीपीयू शक्तिशाली है, तो आप अंतर देखेंगे: परीक्षण परिणामों के अनुसार, एईएस एन्क्रिप्शन, अपने क्रिप्टो प्रतिस्पर्धियों की तुलना में कई गुना तेज होगा। एईएस एक लोकप्रिय एन्क्रिप्शन एल्गोरिदम है; आधुनिक सीपीयू का हार्डवेयर विशेष रूप से "गुप्त" और "हैकिंग" दोनों के लिए अनुकूलित है।

VeraCrypt AES कैस्केड में डिस्क को एन्क्रिप्ट करने की क्षमता का समर्थन करता है(दो मछली)/और अन्य संयोजन. दस साल पहले के पुराने कोर इंटेल सीपीयू पर (एईएस, ए/टी कैस्केड एन्क्रिप्शन के लिए हार्डवेयर समर्थन के बिना) प्रदर्शन में कमी अनिवार्य रूप से अगोचर है। (समान युग/~पैरामीटर के एएमडी सीपीयू के लिए, प्रदर्शन थोड़ा कम हो गया है). ओएस गतिशील रूप से काम करता है और पारदर्शी एन्क्रिप्शन के लिए संसाधन खपत अदृश्य है। इसके विपरीत, उदाहरण के लिए, स्थापित अस्थिर परीक्षण डेस्कटॉप वातावरण Mate v1.20.1 के कारण प्रदर्शन में उल्लेखनीय कमी आई है (या v1.20.2 मुझे ठीक से याद नहीं है) GNU/Linux में, या Windows7↑ में टेलीमेट्री रूटीन के संचालन के कारण। आमतौर पर, अनुभवी उपयोगकर्ता एन्क्रिप्शन से पहले हार्डवेयर प्रदर्शन परीक्षण करते हैं। उदाहरण के लिए, Aida64/Sysbench/systemd-analyze में दोष की तुलना सिस्टम को एन्क्रिप्ट करने के बाद उन्हीं परीक्षणों के परिणामों से की जाती है, जिससे उनके लिए यह मिथक खारिज हो जाता है कि "सिस्टम एन्क्रिप्शन हानिकारक है।" एन्क्रिप्टेड डेटा का बैकअप/पुनर्स्थापना करते समय मशीन की धीमी गति और असुविधा ध्यान देने योग्य है, क्योंकि "सिस्टम डेटा बैकअप" ऑपरेशन को एमएस में नहीं मापा जाता है, और वही <डिक्रिप्ट/एन्क्रिप्ट ऑन द फ्लाई> जोड़े जाते हैं। अंततः, प्रत्येक उपयोगकर्ता जिसे क्रिप्टोग्राफी के साथ छेड़छाड़ करने की अनुमति दी जाती है, वह हाथ में कार्यों की संतुष्टि, उनके व्याकुलता के स्तर और उपयोग में आसानी के विरुद्ध एन्क्रिप्शन एल्गोरिथ्म को संतुलित करता है।

पीआईएम पैरामीटर को डिफ़ॉल्ट के रूप में छोड़ना बेहतर है, ताकि ओएस लोड करते समय आपको हर बार सटीक पुनरावृत्ति मान दर्ज न करना पड़े। VeraCrypt वास्तव में "धीमी हैश" बनाने के लिए बड़ी संख्या में पुनरावृत्तियों का उपयोग करता है। ब्रूट फ़ोर्स/इंद्रधनुष तालिका पद्धति का उपयोग करके ऐसे "क्रिप्टो घोंघे" पर हमला केवल एक छोटे "सरल" पासफ़्रेज़ और पीड़ित की व्यक्तिगत वर्णमाला सूची के साथ ही समझ में आता है। पासवर्ड की मजबूती के लिए भुगतान की जाने वाली कीमत ओएस लोड करते समय सही पासवर्ड दर्ज करने में देरी है। (GNU/Linux में VeraCrypt वॉल्यूम माउंट करना काफी तेज़ है)।
क्रूर बल के हमलों को लागू करने के लिए मुफ्त सॉफ्टवेयर (VeraCrypt/LUKS डिस्क हेडर से पासफ़्रेज़ निकालें) हैशकैट। जॉन द रिपर को पता नहीं है कि "वेराक्रिप्ट को कैसे तोड़ना है", और एलयूकेएस के साथ काम करते समय वह ट्वोफ़िश क्रिप्टोग्राफी को नहीं समझता है।

एन्क्रिप्शन एल्गोरिदम की क्रिप्टोग्राफ़िक ताकत के कारण, अजेय साइबरपंक एक अलग आक्रमण वेक्टर के साथ सॉफ़्टवेयर विकसित कर रहे हैं। उदाहरण के लिए, RAM से मेटाडेटा/कुंजियाँ निकालना (कोल्ड बूट/डायरेक्ट मेमोरी एक्सेस अटैक), इन उद्देश्यों के लिए विशेष मुफ़्त और गैर-मुफ़्त सॉफ़्टवेयर मौजूद हैं।

एन्क्रिप्टेड सक्रिय विभाजन के "अद्वितीय मेटाडेटा" की स्थापना/उत्पन्न करने के पूरा होने पर, VeraCrypt पीसी को पुनरारंभ करने और इसके बूटलोडर की कार्यक्षमता का परीक्षण करने की पेशकश करेगा। विंडोज़ को रीबूट/स्टार्ट करने के बाद, VeraCrypt स्टैंडबाय मोड में लोड होगा, केवल एन्क्रिप्शन प्रक्रिया की पुष्टि करना बाकी है - Y.

सिस्टम एन्क्रिप्शन के अंतिम चरण में, वेराक्रिप्ट "वेराक्रिप्ट रेस्क्यू डिस्क.आईएसओ" के रूप में सक्रिय एन्क्रिप्टेड विभाजन के हेडर की एक बैकअप प्रतिलिपि बनाने की पेशकश करेगा - यह किया जाना चाहिए - इस सॉफ़्टवेयर में ऐसा ऑपरेशन एक आवश्यकता है (एलयूकेएस में, एक आवश्यकता के रूप में - दुर्भाग्य से इसे छोड़ दिया गया है, लेकिन दस्तावेज़ में इस पर जोर दिया गया है). रेस्क्यू डिस्क सभी के काम आएगी, और कुछ के लिए एक से अधिक बार। नुकसान (हेडर/एमबीआर पुनः लिखना) हेडर की एक बैकअप प्रतिलिपि ओएस विंडोज़ के साथ डिक्रिप्टेड विभाजन तक पहुंच को स्थायी रूप से अस्वीकार कर देगी।

ए4. एक VeraCrypt बचाव USB/डिस्क बनानाडिफ़ॉल्ट रूप से, VeraCrypt एक सीडी में "~2-3MB मेटाडेटा" को बर्न करने की पेशकश करता है, लेकिन सभी लोगों के पास डिस्क या DWD-ROM ड्राइव नहीं हैं, और बूट करने योग्य फ्लैश ड्राइव "VeraCrypt रेस्क्यू डिस्क" बनाना कुछ लोगों के लिए एक तकनीकी आश्चर्य होगा: Rufus /GUIdd-ROSA ImageWriter और अन्य समान सॉफ़्टवेयर कार्य से निपटने में सक्षम नहीं होंगे, क्योंकि ऑफसेट मेटाडेटा को बूट करने योग्य फ्लैश ड्राइव में कॉपी करने के अलावा, आपको USB ड्राइव के फ़ाइल सिस्टम के बाहर छवि को कॉपी/पेस्ट करने की आवश्यकता होगी, संक्षेप में, एमबीआर/रोड को किचेन में सही ढंग से कॉपी करें। आप इस चिन्ह को देखकर, "dd" उपयोगिता का उपयोग करके GNU/Linux OS से बूट करने योग्य फ्लैश ड्राइव बना सकते हैं।

विंडोज़ वातावरण में बचाव डिस्क बनाना अलग है। VeraCrypt के डेवलपर ने आधिकारिक में इस समस्या का समाधान शामिल नहीं किया प्रलेखन "रेस्क्यू डिस्क" द्वारा, लेकिन एक अलग तरीके से समाधान प्रस्तावित किया: उन्होंने अपने वेराक्रिप्ट फोरम पर मुफ्त पहुंच के लिए "यूएसबी रेस्क्यू डिस्क" बनाने के लिए अतिरिक्त सॉफ्टवेयर पोस्ट किया। विंडोज़ के लिए इस सॉफ़्टवेयर का पुरालेखपाल "यूएसबी वेराक्रिप्ट रेस्क्यू डिस्क बना रहा है"। रेस्क्यू डिस्क.आईएसओ को सहेजने के बाद, सक्रिय विभाजन के ब्लॉक सिस्टम एन्क्रिप्शन की प्रक्रिया शुरू हो जाएगी। एन्क्रिप्शन के दौरान, ओएस का संचालन बंद नहीं होता है; पीसी पुनरारंभ की आवश्यकता नहीं होती है। एन्क्रिप्शन ऑपरेशन पूरा होने पर, सक्रिय विभाजन पूरी तरह से एन्क्रिप्टेड हो जाता है और इसका उपयोग किया जा सकता है। यदि पीसी शुरू करने पर वेराक्रिप्ट बूट लोडर दिखाई नहीं देता है, और हेडर रिकवरी ऑपरेशन मदद नहीं करता है, तो "बूट" ध्वज की जांच करें, इसे उस विभाजन पर सेट किया जाना चाहिए जहां विंडोज मौजूद है (एन्क्रिप्शन और अन्य ओएस की परवाह किए बिना, तालिका संख्या 1 देखें)।
यह विंडोज़ ओएस के साथ ब्लॉक सिस्टम एन्क्रिप्शन का विवरण पूरा करता है।

[बी] एलयूकेएस। जीएनयू/लिनक्स एन्क्रिप्शन (~डेबियन) स्थापित ओएस. एल्गोरिथम और चरण

स्थापित डेबियन/व्युत्पन्न वितरण को एन्क्रिप्ट करने के लिए, आपको तैयार विभाजन को वर्चुअल ब्लॉक डिवाइस पर मैप करना होगा, इसे मैप किए गए जीएनयू/लिनक्स डिस्क पर स्थानांतरित करना होगा, और GRUB2 को इंस्टॉल/कॉन्फ़िगर करना होगा। यदि आपके पास बेयर मेटल सर्वर नहीं है, और आप अपने समय को महत्व देते हैं, तो आपको जीयूआई का उपयोग करने की आवश्यकता है, और नीचे वर्णित अधिकांश टर्मिनल कमांड "चक-नोरिस मोड" में चलने के लिए हैं।

बी1. लाइव यूएसबी जीएनयू/लिनक्स से पीसी को बूट करना

"हार्डवेयर प्रदर्शन के लिए क्रिप्टो परीक्षण आयोजित करें"

lscpu && сryptsetup benchmark

यदि आप एईएस हार्डवेयर समर्थन वाली एक शक्तिशाली कार के खुश मालिक हैं, तो नंबर टर्मिनल के दाईं ओर की तरह दिखेंगे; यदि आप एक खुश मालिक हैं, लेकिन प्राचीन हार्डवेयर के साथ, नंबर बाईं ओर की तरह दिखेंगे।

बी2. डिस्क विभाजन. एफएस लॉजिकल डिस्क HDD को Ext4 (Gparted) पर माउंट करना/फ़ॉर्मेट करना

बी2.1. एक एन्क्रिप्टेड sda7 पार्टीशन हेडर बनानामैं ऊपर पोस्ट की गई मेरी विभाजन तालिका के अनुसार, यहां और आगे, विभाजनों के नामों का वर्णन करूंगा। आपके डिस्क लेआउट के अनुसार, आपको अपने विभाजन नामों को प्रतिस्थापित करना होगा।

लॉजिकल ड्राइव एन्क्रिप्शन मैपिंग (/dev/sda7 > /dev/mapper/sda7_crypt).
#"LUKS-AES-XTS विभाजन" का आसान निर्माण

cryptsetup -v -y luksFormat /dev/sda7

विकल्प:

* luksFormat - LUKS हेडर का आरंभीकरण;
* -y -पासफ़्रेज़ (कुंजी/फ़ाइल नहीं);
* -v -क्रियाकरण (टर्मिनल में जानकारी प्रदर्शित करना);
* /dev/sda7 - विस्तारित विभाजन से आपकी तार्किक डिस्क (जहां जीएनयू/लिनक्स को स्थानांतरित/एन्क्रिप्ट करने की योजना बनाई गई है).

डिफ़ॉल्ट एन्क्रिप्शन एल्गोरिदम <एलUKS1: aes-xts-plain64, कुंजी: 256 बिट्स, LUKS हेडर हैशिंग: sha256, RNG: /dev/urandom> (क्रिप्टसेटअप संस्करण पर निर्भर करता है)।

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

यदि सीपीयू पर एईएस के लिए कोई हार्डवेयर समर्थन नहीं है, तो सबसे अच्छा विकल्प एक विस्तारित "LUKS-Twofish-XTS-विभाजन" बनाना होगा।

बी2.2. "LUKS-Twofish-XTS-विभाजन" का उन्नत निर्माण

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

विकल्प:
* luksFormat - LUKS हेडर का आरंभीकरण;
* /dev/sda7 आपकी भविष्य की एन्क्रिप्टेड लॉजिकल डिस्क है;
* -v शब्दीकरण;
* -y पासफ़्रेज़;
* -सी डेटा एन्क्रिप्शन एल्गोरिथ्म का चयन करें;
* -s एन्क्रिप्शन कुंजी का आकार;
* -एच हैशिंग एल्गोरिदम/क्रिप्टो फ़ंक्शन, आरएनजी का उपयोग किया गया (--उपयोग-यूरैंडम) लॉजिकल डिस्क हेडर के लिए एक अद्वितीय एन्क्रिप्शन/डिक्रिप्शन कुंजी, एक सेकेंडरी हेडर कुंजी (एक्सटीएस) उत्पन्न करने के लिए; एन्क्रिप्टेड डिस्क हेडर में संग्रहीत एक अद्वितीय मास्टर कुंजी, एक द्वितीयक XTS कुंजी, यह सभी मेटाडेटा और एक एन्क्रिप्शन रूटीन, जो मास्टर कुंजी और द्वितीयक XTS कुंजी का उपयोग करके, विभाजन पर किसी भी डेटा को एन्क्रिप्ट/डिक्रिप्ट करता है (अनुभाग शीर्षक को छोड़कर) चयनित हार्ड डिस्क विभाजन पर ~3एमबी में संग्रहीत।
* -i "राशि" के बजाय मिलीसेकंड में पुनरावृत्तियाँ (पासफ़्रेज़ को संसाधित करते समय समय की देरी ओएस की लोडिंग और कुंजियों की क्रिप्टोग्राफ़िक ताकत को प्रभावित करती है)। क्रिप्टोग्राफ़िक ताकत का संतुलन बनाए रखने के लिए, "रूसी" जैसे सरल पासवर्ड के साथ आपको -(i) मान को बढ़ाने की आवश्यकता है; "?8dɱob/øfh" जैसे जटिल पासवर्ड के साथ मान को कम किया जा सकता है।
* -उपयोग-यूरैंडम यादृच्छिक संख्या जनरेटर, चाबियाँ और नमक उत्पन्न करता है।

अनुभाग को मैप करने के बाद sda7 > sda7_crypt (ऑपरेशन तेज़ है, क्योंकि एक एन्क्रिप्टेड हेडर ~3 एमबी मेटाडेटा के साथ बनाया गया है और बस इतना ही), आपको sda7_crypt फ़ाइल सिस्टम को प्रारूपित और माउंट करने की आवश्यकता है।

बी2.3. तुलना

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

विकल्प:
* खुला - अनुभाग "नाम के साथ" से मेल करें;
* /dev/sda7 -लॉजिकल डिस्क;
* sda7_crypt - नाम मैपिंग जिसका उपयोग एन्क्रिप्टेड विभाजन को माउंट करने या ओएस बूट होने पर इसे प्रारंभ करने के लिए किया जाता है।

बी2.4. sda7_crypt फ़ाइल सिस्टम को ext4 में फ़ॉर्मेट करना। OS में डिस्क माउंट करना(नोट: आप Gparted में एन्क्रिप्टेड विभाजन के साथ काम नहीं कर पाएंगे)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt 

विकल्प:
* -v -शब्दीकरण;
* -एल - ड्राइव लेबल (जो अन्य ड्राइव के बीच एक्सप्लोरर में प्रदर्शित होता है)।

इसके बाद, आपको वर्चुअल-एन्क्रिप्टेड ब्लॉक डिवाइस /dev/sda7_crypt को सिस्टम पर माउंट करना चाहिए

mount /dev/mapper/sda7_crypt /mnt

/mnt फ़ोल्डर में फ़ाइलों के साथ काम करने से sda7 में डेटा स्वचालित रूप से एन्क्रिप्ट/डिक्रिप्ट हो जाएगा।

एक्सप्लोरर में विभाजन को मैप और माउंट करना अधिक सुविधाजनक है (नॉटिलस/काजा जीयूआई), विभाजन पहले से ही डिस्क चयन सूची में होगा, जो कुछ बचा है वह डिस्क को खोलने/डिक्रिप्ट करने के लिए पासफ़्रेज़ दर्ज करना है। मिलान किया गया नाम स्वचालित रूप से चुना जाएगा और "sda7_crypt" नहीं, बल्कि कुछ इस तरह /dev/mapper/Luks-xx-xx...

बी2.5. डिस्क हेडर बैकअप (~3एमबी मेटाडेटा)सबसे ज्यादा एक महत्त्वपूर्ण वे ऑपरेशन जिन्हें बिना देरी किए करने की आवश्यकता है - "sda7_crypt" हेडर की एक बैकअप प्रति। यदि आप हेडर को अधिलेखित/क्षतिग्रस्त करते हैं (उदाहरण के लिए, sda2 विभाजन पर GRUB7 स्थापित करना, आदि), एन्क्रिप्टेड डेटा इसे पुनर्प्राप्त करने की किसी भी संभावना के बिना पूरी तरह से खो जाएगा, क्योंकि समान कुंजियों को फिर से उत्पन्न करना असंभव होगा; कुंजियाँ विशिष्ट रूप से बनाई जाती हैं।

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7 

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

विकल्प:
* luksHeaderBackup - हेडर-बैकअप-फ़ाइल -बैकअप कमांड;
* luksHeaderRestore —header-backup-file -restore कमांड;
* ~/Backup_DebSHIFR - बैकअप फ़ाइल;
* /dev/sda7 - वह विभाजन जिसकी एन्क्रिप्टेड डिस्क हेडर बैकअप प्रतिलिपि सहेजी जानी है।
इस चरण पर <एन्क्रिप्टेड विभाजन का निर्माण और संपादन> पूरा हो गया है।

बी3. जीएनयू/लिनक्स ओएस पोर्ट करना (एसडीए4) एक एन्क्रिप्टेड विभाजन के लिए (एसडीए7)

एक फ़ोल्डर बनाएं /mnt2 (नोट - हम अभी भी लाइव यूएसबी के साथ काम कर रहे हैं, sda7_crypt /mnt पर माउंट किया गया है), और हमारे GNU/Linux को /mnt2 में माउंट करें, जिसे एन्क्रिप्ट करने की आवश्यकता है।

mkdir /mnt2
mount /dev/sda4 /mnt2

हम Rsync सॉफ़्टवेयर का उपयोग करके सही OS स्थानांतरण करते हैं

rsync -avlxhHX --progress /mnt2/ /mnt

Rsync विकल्प पैराग्राफ E1 में वर्णित हैं।

इसके अलावा, आवश्यक है एक तार्किक डिस्क विभाजन को डीफ़्रैग्मेन्ट करें

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

इसे एक नियम बनाएं: यदि आपके पास HDD है तो समय-समय पर एन्क्रिप्टेड GNU/LInux पर e4defrag करें।
स्थानांतरण और सिंक्रनाइज़ेशन [जीएनयू/लिनक्स > जीएनयू/लिनक्स-एन्क्रिप्टेड] इस चरण पर पूरा हो गया है।

4 पर। एन्क्रिप्टेड sda7 विभाजन पर GNU/Linux की स्थापना

OS /dev/sda4 > /dev/sda7 को सफलतापूर्वक स्थानांतरित करने के बाद, आपको एन्क्रिप्टेड विभाजन पर GNU/Linux में लॉग इन करना होगा और आगे कॉन्फ़िगरेशन करना होगा (पीसी को रिबूट किए बिना) एक एन्क्रिप्टेड सिस्टम के सापेक्ष। यानी, लाइव यूएसबी में रहें, लेकिन "एन्क्रिप्टेड ओएस के रूट के सापेक्ष" कमांड निष्पादित करें। "क्रोट" एक समान स्थिति का अनुकरण करेगा। आप वर्तमान में किस ओएस के साथ काम कर रहे हैं, इसकी जानकारी तुरंत प्राप्त करने के लिए (एन्क्रिप्टेड या नहीं, क्योंकि sda4 और sda7 में डेटा सिंक्रनाइज़ है), ओएस को डीसिंक्रनाइज़ करें। रूट निर्देशिकाओं में बनाएं (sda4/sda7_crypt) खाली मार्कर फ़ाइलें, उदाहरण के लिए, /mnt/एन्क्रिप्टेडOS और /mnt2/decryptedOS। तुरंत जांचें कि आप किस ओएस पर हैं (भविष्य के लिए सहित):

ls /<Tab-Tab>

बी4.1. "एन्क्रिप्टेड ओएस में लॉग इन करने का अनुकरण"

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

बी4.2. यह सत्यापित करना कि कार्य एक एन्क्रिप्टेड सिस्टम के विरुद्ध किया गया है

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

बी4.3. एन्क्रिप्टेड स्वैप बनाना/कॉन्फ़िगर करना, क्रिप्टैब/एफ़स्टैब का संपादन करनाचूंकि हर बार ओएस शुरू होने पर स्वैप फ़ाइल को स्वरूपित किया जाता है, इसलिए अब तार्किक डिस्क पर स्वैप बनाने और मैप करने और पैराग्राफ बी2.2 के अनुसार कमांड दर्ज करने का कोई मतलब नहीं है। स्वैप के लिए, प्रत्येक शुरुआत में इसकी अपनी अस्थायी एन्क्रिप्शन कुंजियाँ स्वचालित रूप से उत्पन्न होंगी। स्वैप कुंजियों का जीवन चक्र: स्वैप विभाजन को अनमाउंट/अनमाउंट करना (+रैम की सफाई); या OS को पुनरारंभ करें. स्वैप सेट करना, ब्लॉक एन्क्रिप्टेड डिवाइस के कॉन्फ़िगरेशन के लिए जिम्मेदार फ़ाइल खोलना (एक fstab फ़ाइल के अनुरूप, लेकिन क्रिप्टो के लिए जिम्मेदार)।

nano /etc/crypttab 

हम संपादित करते हैं

#"लक्ष्य नाम" "स्रोत डिवाइस" "कुंजी फ़ाइल" "विकल्प"
स्वैप /dev/sda8 /dev/urandom स्वैप, सिफर=twofish-xts-plain64, आकार=512, हैश=sha512

विकल्प
* स्वैप - /dev/mapper/swap एन्क्रिप्ट करते समय मैप किया गया नाम।
* /dev/sda8 - स्वैप के लिए अपने तार्किक विभाजन का उपयोग करें।
* /dev/urandom - स्वैप के लिए यादृच्छिक एन्क्रिप्शन कुंजी का जनरेटर (प्रत्येक नए OS बूट के साथ, नई कुंजियाँ बनाई जाती हैं)। /dev/urandom जनरेटर /dev/random की तुलना में कम यादृच्छिक है, आख़िरकार /dev/random का उपयोग खतरनाक विक्षिप्त परिस्थितियों में काम करते समय किया जाता है। OS लोड करते समय, /dev/random कई ± मिनट के लिए लोडिंग को धीमा कर देता है (सिस्टमडी-विश्लेषण देखें).
* स्वैप, सिफर = twofish-xts-plain64, आकार = 512, हैश = sha512: -विभाजन जानता है कि यह स्वैप है और "तदनुसार" स्वरूपित किया गया है; एन्क्रिप्शन एल्गोरिथम।

#Открываем и правим fstab
nano /etc/fstab

हम संपादित करते हैं

स्थापना के दौरान # स्वैप / देव / sda8 था
/dev/mapper/swap कोई नहीं स्वैप sw 0 0

/dev/mapper/swap वह नाम है जो क्रिप्टैब में सेट किया गया था।

वैकल्पिक एन्क्रिप्टेड स्वैप
यदि किसी कारण से आप एक स्वैप फ़ाइल के लिए संपूर्ण विभाजन को छोड़ना नहीं चाहते हैं, तो आप एक वैकल्पिक और बेहतर तरीका अपना सकते हैं: ओएस के साथ एन्क्रिप्टेड विभाजन पर एक फ़ाइल में एक स्वैप फ़ाइल बनाना।

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

स्वैप विभाजन सेटअप पूरा हो गया है.

बी4.4. एन्क्रिप्टेड जीएनयू/लिनक्स की स्थापना (क्रिप्टटैब/एफस्टैब फ़ाइलों का संपादन)/etc/crypttab फ़ाइल, जैसा कि ऊपर लिखा गया है, एन्क्रिप्टेड ब्लॉक डिवाइस का वर्णन करती है जो सिस्टम बूट के दौरान कॉन्फ़िगर की जाती हैं।

#правим /etc/crypttab 
nano /etc/crypttab 

यदि आपने पैराग्राफ B7 के अनुसार sda7>sda2.1_crypt अनुभाग का मिलान किया है

# "लक्ष्य नाम" "स्रोत डिवाइस" "कुंजी फ़ाइल" "विकल्प"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

यदि आपने पैराग्राफ B7 के अनुसार sda7>sda2.2_crypt अनुभाग का मिलान किया है

# "लक्ष्य नाम" "स्रोत डिवाइस" "कुंजी फ़ाइल" "विकल्प"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

यदि आपने पैराग्राफ बी7 या बी7 के अनुसार sda2.1>sda2.2_crypt अनुभाग का मिलान किया है, लेकिन ओएस को अनलॉक और बूट करने के लिए पासवर्ड दोबारा दर्ज नहीं करना चाहते हैं, तो पासवर्ड के बजाय आप एक गुप्त कुंजी/यादृच्छिक फ़ाइल का विकल्प चुन सकते हैं

# "लक्ष्य नाम" "स्रोत डिवाइस" "कुंजी फ़ाइल" "विकल्प"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

विवरण
* कोई नहीं - रिपोर्ट करता है कि ओएस लोड करते समय, रूट को अनलॉक करने के लिए एक गुप्त पासफ़्रेज़ दर्ज करना आवश्यक है।
* यूयूआईडी - विभाजन पहचानकर्ता। अपनी आईडी जानने के लिए टर्मिनल में टाइप करें (याद रखें कि इस समय से, आप चेरोट वातावरण में एक टर्मिनल में काम कर रहे हैं, न कि किसी अन्य लाइव यूएसबी टर्मिनल में)।

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное 

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

यह लाइन sda7_crypt माउंटेड लाइव यूएसबी टर्मिनल से blkid का अनुरोध करते समय दिखाई देती है)।
आप अपने sdaX से UUID लें (sdaX_crypt नहीं!, UUID sdaX_crypt - grub.cfg कॉन्फ़िगरेशन बनाते समय स्वचालित रूप से छोड़ दिया जाएगा)।
* सिफर=twofish-xts-plain64,size=512,hash=sha512 -उन्नत मोड में एन्क्रिप्शन एन्क्रिप्शन।
* /etc/skey - गुप्त कुंजी फ़ाइल, जो OS बूट को अनलॉक करने के लिए स्वचालित रूप से डाली जाती है (तीसरा पासवर्ड दर्ज करने के बजाय)। आप 8एमबी तक की कोई भी फ़ाइल निर्दिष्ट कर सकते हैं, लेकिन डेटा <1एमबी पढ़ा जाएगा।

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7 

यह कुछ इस तरह दिखेगा:

(इसे स्वयं करें और स्वयं देखें)।

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab में विभिन्न फ़ाइल सिस्टम के बारे में वर्णनात्मक जानकारी शामिल है।

#Правим /etc/fstab
nano /etc/fstab

# "फ़ाइल सिस्टम" "माउंट पॉइंट" "टाइप" "विकल्प" "डंप" "पास"
# स्थापना के दौरान / देव / sda7 पर था
/dev/mapper/sda7_crypt / ext4 त्रुटियाँ=रिमाउंट-ro 0 1

विकल्प
* /dev/mapper/sda7_crypt - sda7>sda7_crypt मैपिंग का नाम, जो /etc/crypttab फ़ाइल में निर्दिष्ट है।
क्रिप्टैब/एफस्टैब सेटअप पूरा हो गया है।

बी4.5. कॉन्फ़िगरेशन फ़ाइलों का संपादन. महत्वपूर्ण क्षणबी4.5.1. कॉन्फ़िगरेशन का संपादन /etc/initramfs-tools/conf.d/resume

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

और टिप्पणी करें (यदि मौजूद है) "#" पंक्ति "फिर से शुरू करें"। फ़ाइल पूरी तरह खाली होनी चाहिए.

बी4.5.2. कॉन्फ़िगरेशन /etc/initramfs-tools/conf.d/cryptsetup का संपादन

nano /etc/initramfs-tools/conf.d/cryptsetup

मेल खाना चाहिए

# /etc/initramfs-tools/conf.d/cryptsetup
क्रिप्टोसेटअप = हाँ
क्रिप्टोसेटअप निर्यात करें

बी4.5.3. /etc/default/grub कॉन्फ़िगरेशन का संपादन (यह कॉन्फ़िगरेशन एन्क्रिप्टेड/बूट के साथ काम करते समय grub.cfg उत्पन्न करने की क्षमता के लिए ज़िम्मेदार है)

nano /etc/default/grub

पंक्ति जोड़ें "GRUB_ENABLE_CRYPTODISK=y"
मान 'y', grub-mkconfig और grub-install एन्क्रिप्टेड ड्राइव की जांच करेंगे और बूट समय पर उन तक पहुंचने के लिए आवश्यक अतिरिक्त कमांड उत्पन्न करेंगे। (इंस्मॉड्स ).
एक समानता होनी चाहिए

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || इको डेबियन`
GRUB_CMDLINE_LINUX_DEFAULT='acpi_backlight=विक्रेता'
GRUB_CMDLINE_LINUX='शांत छप noautomount'
GRUB_ENABLE_CRYPTODISK=y

बी4.5.4. कॉन्फ़िगरेशन का संपादन /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

जांचें कि लाइन <#> टिप्पणी की।
भविष्य में (और अब भी, इस पैरामीटर का कोई अर्थ नहीं होगा, लेकिन कभी-कभी यह initrd.img छवि को अपडेट करने में हस्तक्षेप करता है)।

बी4.5.5. कॉन्फ़िगरेशन का संपादन /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

जोड़ना

KEYFILE_PATTERN=”/etc/skey”
उमास्क=0077

यह गुप्त कुंजी "स्काई" को initrd.img में पैक कर देगा, ओएस बूट होने पर रूट को अनलॉक करने के लिए कुंजी की आवश्यकता होती है (यदि आप दोबारा पासवर्ड दर्ज नहीं करना चाहते हैं, तो कार के लिए "स्काई" कुंजी प्रतिस्थापित कर दी गई है)।

बी4.6. अद्यतन /boot/initrd.img [संस्करण]गुप्त कुंजी को initrd.img में पैक करने और क्रिप्टसेटअप फ़िक्सेस लागू करने के लिए, छवि को अपडेट करें

update-initramfs -u -k all

initrd.img को अपडेट करते समय (जैसा कि वे कहते हैं "यह संभव है, लेकिन यह निश्चित नहीं है") क्रिप्टसेटअप से संबंधित चेतावनियाँ दिखाई देंगी, या, उदाहरण के लिए, एनवीडिया मॉड्यूल के नुकसान के बारे में एक अधिसूचना - यह सामान्य है। फाइल को अपडेट करने के बाद जांच लें कि यह वास्तव में अपडेट हुई है या नहीं, समय देख लें (Chroot वातावरण के सापेक्ष./boot/initrd.img)। चेतावनी! [update-initramfs -u -k all] से पहले यह सुनिश्चित कर लें कि क्रिप्टसेटअप खुला है /dev/sda7 sda7_crypt - यह वह नाम है जो /etc/crypttab में दिखाई देता है, अन्यथा रीबूट के बाद एक बिजीबॉक्स त्रुटि होगी)
इस चरण पर, कॉन्फ़िगरेशन फ़ाइलों की स्थापना पूरी हो गई है।

[सी] GRUB2/प्रोटेक्शन को स्थापित और कॉन्फ़िगर करना

सी1. यदि आवश्यक हो, तो बूटलोडर के लिए समर्पित विभाजन को प्रारूपित करें (एक विभाजन के लिए कम से कम 20 एमबी की आवश्यकता होती है)

mkfs.ext4 -v -L GRUB2 /dev/sda6

सी2. माउंट /dev/sda6 से /mntतो हम chroot में काम करते हैं, तो रूट में कोई /mnt2 निर्देशिका नहीं होगी, और /mnt फ़ोल्डर खाली होगा।
GRUB2 विभाजन माउंट करें

mount /dev/sda6 /mnt

यदि आपके पास GRUB2 का पुराना संस्करण स्थापित है, तो /mnt/boot/grub/i-386-pc निर्देशिका में (अन्य प्लेटफ़ॉर्म संभव है, उदाहरण के लिए, "i386-pc" नहीं) कोई क्रिप्टो मॉड्यूल नहीं (संक्षेप में, फ़ोल्डर में मॉड्यूल शामिल होने चाहिए, जिनमें ये .mod: क्रिप्टोडिस्क; लुक्स; gcry_twofish; gcry_sha512; हस्ताक्षर_test.mod शामिल हैं), इस मामले में, GRUB2 को हिलाने की जरूरत है।

apt-get update
apt-get install grub2 

महत्वपूर्ण! रिपॉजिटरी से GRUB2 पैकेज को अपडेट करते समय, जब बूटलोडर को स्थापित करने के लिए "चुनने" के बारे में पूछा गया, तो आपको इंस्टॉलेशन से इनकार करना होगा (कारण - GRUB2 स्थापित करने का प्रयास - "एमबीआर" में या लाइव यूएसबी पर). अन्यथा आप VeraCrypt हेडर/लोडर को नुकसान पहुंचाएंगे। GRUB2 पैकेज को अपडेट करने और इंस्टॉलेशन को रद्द करने के बाद, बूट लोडर को लॉजिकल डिस्क पर मैन्युअल रूप से इंस्टॉल किया जाना चाहिए, न कि एमबीआर में। यदि आपके रिपॉजिटरी में GRUB2 का पुराना संस्करण है, तो प्रयास करें अद्यतन यह आधिकारिक वेबसाइट से है - मैंने इसकी जाँच नहीं की है (नवीनतम GRUB 2.02 ~BetaX बूटलोडर्स के साथ काम किया)।

सी3. GRUB2 को एक विस्तारित विभाजन में स्थापित करना [sda6]आपके पास एक माउंटेड पार्टीशन होना चाहिए [आइटम सी.2]

grub-install --force --root-directory=/mnt /dev/sda6

विकल्प
* —फोर्स - बूटलोडर की स्थापना, लगभग हमेशा मौजूद सभी चेतावनियों को दरकिनार करते हुए और इंस्टॉलेशन को अवरुद्ध करती है (आवश्यक ध्वज).
* --रूट-निर्देशिका - निर्देशिका स्थापना sda6 की जड़ तक.
* /dev/sda6 - आपका sdaХ विभाजन (/mnt /dev/sda6 के बीच <space> को न चूकें)।

सी4. एक कॉन्फ़िगरेशन फ़ाइल बनाना [grub.cfg]"अपडेट-ग्रब2" कमांड के बारे में भूल जाएं, और पूर्ण कॉन्फ़िगरेशन फ़ाइल जेनरेशन कमांड का उपयोग करें

grub-mkconfig -o /mnt/boot/grub/grub.cfg

ग्रब.सीएफजी फ़ाइल का निर्माण/अद्यतन पूरा करने के बाद, आउटपुट टर्मिनल में डिस्क पर पाए जाने वाले ओएस के साथ लाइन शामिल होनी चाहिए ("ग्रब-एमकेकॉन्फिग" संभवतः लाइव यूएसबी से ओएस ढूंढेगा और उठाएगा, यदि आपके पास विंडोज 10 के साथ मल्टीबूट फ्लैश ड्राइव और लाइव वितरण का एक समूह है - यह सामान्य है)। यदि टर्मिनल "खाली" है और "grub.cfg" फ़ाइल उत्पन्न नहीं हुई है, तो यह वही स्थिति है जब सिस्टम में GRUB बग होते हैं (और संभवतः भंडार की परीक्षण शाखा से लोडर), विश्वसनीय स्रोतों से GRUB2 को पुनः स्थापित करें।
"सरल कॉन्फ़िगरेशन" इंस्टॉलेशन और GRUB2 सेटअप पूरा हो गया है।

सी5. एन्क्रिप्टेड जीएनयू/लिनक्स ओएस का प्रमाण-परीक्षणहम क्रिप्टो मिशन को सही ढंग से पूरा करते हैं। एन्क्रिप्टेड GNU/Linux को सावधानी से छोड़ें (क्रोट वातावरण से बाहर निकलें)।

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

पीसी को रीबूट करने के बाद, VeraCrypt बूटलोडर को लोड होना चाहिए।


*सक्रिय विभाजन के लिए पासवर्ड दर्ज करने से विंडोज़ लोड होना शुरू हो जाएगा।
*यदि आप एन्क्रिप्टेड GNU/Linux का चयन करते हैं, तो "Esc" कुंजी दबाने से नियंत्रण GRUB2 पर स्थानांतरित हो जाएगा - /boot/initrd.img को अनलॉक करने के लिए एक पासवर्ड (sda7_crypt) की आवश्यकता होगी (यदि grub2 uuid "नहीं मिला" लिखता है - यह एक है ग्रब2 बूटलोडर के साथ समस्या है, तो इसे पुनः स्थापित किया जाना चाहिए, उदाहरण के लिए, परीक्षण शाखा/स्थिर आदि से)।


*इस पर निर्भर करते हुए कि आपने सिस्टम को कैसे कॉन्फ़िगर किया है (पैराग्राफ बी4.4/4.5 देखें), /boot/initrd.img छवि को अनलॉक करने के लिए सही पासवर्ड दर्ज करने के बाद, आपको ओएस कर्नेल/रूट, या रहस्य को लोड करने के लिए एक पासवर्ड की आवश्यकता होगी कुंजी स्वचालित रूप से "स्काई" से प्रतिस्थापित हो जाएगी, जिससे पासफ़्रेज़ को दोबारा दर्ज करने की आवश्यकता समाप्त हो जाएगी।

(स्क्रीन "गुप्त कुंजी का स्वचालित प्रतिस्थापन")।

*फिर उपयोगकर्ता खाता प्रमाणीकरण के साथ जीएनयू/लिनक्स लोड करने की परिचित प्रक्रिया का पालन किया जाएगा।


*उपयोगकर्ता प्राधिकरण और ओएस में लॉगिन करने के बाद, आपको /boot/initrd.img को फिर से अपडेट करना होगा (बी4.6 देखें)।

update-initramfs -u -k all

और GRUB2 मेनू में अतिरिक्त पंक्तियों के मामले में (लाइव यूएसबी के साथ ओएस-एम पिकअप से) उनसे छुटकारा पाओ

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

जीएनयू/लिनक्स सिस्टम एन्क्रिप्शन का एक त्वरित सारांश:

• GNU/Linuxinux पूरी तरह से एन्क्रिप्टेड है, जिसमें /boot/kernel और initrd शामिल हैं;
• गुप्त कुंजी initrd.img में पैक की गई है;
• वर्तमान प्राधिकरण योजना (initrd को अनलॉक करने के लिए पासवर्ड दर्ज करना; OS को बूट करने के लिए पासवर्ड/कुंजी; Linux खाते को अधिकृत करने के लिए पासवर्ड).

ब्लॉक विभाजन का "सरल GRUB2 कॉन्फ़िगरेशन" सिस्टम एन्क्रिप्शन पूरा हो गया है।

सी6. उन्नत GRUB2 कॉन्फ़िगरेशन. डिजिटल हस्ताक्षर + प्रमाणीकरण सुरक्षा के साथ बूटलोडर सुरक्षाजीएनयू/लिनक्स पूरी तरह से एन्क्रिप्टेड है, लेकिन बूटलोडर को एन्क्रिप्ट नहीं किया जा सकता है - यह स्थिति BIOS द्वारा निर्धारित होती है। इस कारण से, GRUB2 का एक जंजीर वाला एन्क्रिप्टेड बूट संभव नहीं है, लेकिन एक साधारण जंजीर वाला बूट संभव/उपलब्ध है, लेकिन सुरक्षा के दृष्टिकोण से यह आवश्यक नहीं है [देखें पी. एफ]।
"असुरक्षित" GRUB2 के लिए, डेवलपर्स ने एक "हस्ताक्षर/प्रमाणीकरण" बूटलोडर सुरक्षा एल्गोरिदम लागू किया।

• जब बूटलोडर को "अपने स्वयं के डिजिटल हस्ताक्षर" द्वारा संरक्षित किया जाता है, तो फ़ाइलों का बाहरी संशोधन, या इस बूटलोडर में अतिरिक्त मॉड्यूल लोड करने का प्रयास, बूट प्रक्रिया को अवरुद्ध कर देगा।
• प्रमाणीकरण के साथ बूटलोडर की सुरक्षा करते समय, वितरण लोड करने का चयन करने के लिए, या सीएलआई में अतिरिक्त कमांड दर्ज करने के लिए, आपको सुपरयूजर-GRUB2 का लॉगिन और पासवर्ड दर्ज करना होगा।

सी6.1. बूटलोडर प्रमाणीकरण सुरक्षाजांचें कि आप एन्क्रिप्टेड ओएस पर टर्मिनल में काम कर रहे हैं

ls /<Tab-Tab> #обнаружить файл-маркер

GRUB2 में प्राधिकरण के लिए एक सुपरयूज़र पासवर्ड बनाएं

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. 

पासवर्ड हैश प्राप्त करें. कुछ इस तरह

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

GRUB विभाजन माउंट करें

mount /dev/sda6 /mnt 

कॉन्फ़िगरेशन संपादित करें

nano -$ /mnt/boot/grub/grub.cfg 

फ़ाइल खोज की जाँच करें कि "grub.cfg" ("-अप्रतिबंधित" "-user", में कहीं भी कोई झंडे नहीं हैं।
सबसे अंत में जोड़ें (पंक्ति से पहले ### END /etc/grub.d/41_custom ###)
"सुपरयूजर्स सेट करें = "रूट"
पासवर्ड_pbkdf2 रूट हैश।"

यह कुछ इस तरह होना चाहिए

# यह फ़ाइल कस्टम मेनू प्रविष्टियाँ जोड़ने का एक आसान तरीका प्रदान करती है। बस टाइप करें
# मेनू प्रविष्टियाँ जिन्हें आप इस टिप्पणी के बाद जोड़ना चाहते हैं। सावधान रहें कि परिवर्तन न हो
# ऊपर 'निष्पादित पूंछ' लाइन।
### END /etc/grub.d/40_custom ###

### प्रारंभ /etc/grub.d/41_custom ###
यदि [ -f ${config_directory}/custom.cfg ]; तब
स्रोत ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; तब
स्रोत $prefix/custom.cfg;
fi
सुपरयूजर्स = "रूट" सेट करें
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

यदि आप अक्सर "grub-mkconfig -o /mnt/boot/grub/grub.cfg" कमांड का उपयोग करते हैं और हर बार grub.cfg में परिवर्तन नहीं करना चाहते हैं, तो उपरोक्त पंक्तियाँ दर्ज करें (लॉगिन पासवर्ड) सबसे नीचे GRUB उपयोगकर्ता स्क्रिप्ट में

nano /etc/grub.d/41_custom 

बिल्ली <<EOF
सुपरयूजर्स = "रूट" सेट करें
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

कॉन्फ़िगरेशन "grub-mkconfig -o /mnt/boot/grub/grub.cfg" बनाते समय, प्रमाणीकरण के लिए जिम्मेदार लाइनें स्वचालित रूप से grub.cfg में जोड़ दी जाएंगी।
यह चरण GRUB2 प्रमाणीकरण सेटअप पूरा करता है।

सी6.2. डिजिटल हस्ताक्षर के साथ बूटलोडर सुरक्षायह माना जाता है कि आपके पास पहले से ही आपकी व्यक्तिगत पीजीपी एन्क्रिप्शन कुंजी है (या ऐसी कुंजी बनाएं)। सिस्टम में क्रिप्टोग्राफ़िक सॉफ़्टवेयर स्थापित होना चाहिए: gnuPG; क्लियोपेट्रा/जीपीए; समुद्री घोड़ा. ऐसे सभी मामलों में क्रिप्टो सॉफ्टवेयर आपके जीवन को बहुत आसान बना देगा। सीहॉर्स - पैकेज 3.14.0 का स्थिर संस्करण (उच्च संस्करण, उदाहरण के लिए, V3.20, दोषपूर्ण हैं और उनमें महत्वपूर्ण बग हैं)।

पीजीपी कुंजी को केवल सु वातावरण में उत्पन्न/लॉन्च/जोड़ा जाना आवश्यक है!

व्यक्तिगत एन्क्रिप्शन कुंजी उत्पन्न करें

gpg - -gen-key

अपनी कुंजी निर्यात करें

gpg --export -o ~/perskey

यदि लॉजिकल डिस्क पहले से माउंट नहीं है तो उसे ओएस में माउंट करें

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

GRUB2 विभाजन साफ़ करें

rm -rf /mnt/

अपनी निजी कुंजी को मुख्य GRUB छवि "core.img" में डालकर, sda2 में GRUB6 स्थापित करें

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

विकल्प
* --force - हमेशा मौजूद सभी चेतावनियों को दरकिनार करते हुए, बूटलोडर स्थापित करें (आवश्यक ध्वज).
* —मॉड्यूल = "gcry_sha256 gcry_sha512 सिग्नेचर_टेस्ट gcry_dsa gcry_rsa" - पीसी शुरू होने पर GRUB2 को आवश्यक मॉड्यूल प्रीलोड करने का निर्देश देता है।
* -k ~/perskey -पथ "पीजीपी कुंजी" के लिए (कुंजी को छवि में पैक करने के बाद, इसे हटाया जा सकता है)।
* --root-directory -बूट डायरेक्टरी को sda6 के रूट पर सेट करें
/dev/sda6 - आपका sdaX विभाजन।

grub.cfg को जनरेट/अपडेट करना

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

"grub.cfg" फ़ाइल के अंत में "trust /boot/grub/perskey" लाइन जोड़ें (पीजीपी कुंजी का बल प्रयोग।) चूँकि हमने GRUB2 को मॉड्यूल के एक सेट के साथ स्थापित किया है, जिसमें हस्ताक्षर मॉड्यूल "signature_test.mod" भी शामिल है, इससे कॉन्फ़िगरेशन में "set check_signatures=enforce" जैसे कमांड जोड़ने की आवश्यकता समाप्त हो जाती है।

यह कुछ इस तरह दिखना चाहिए (grub.cfg फ़ाइल में अंतिम पंक्तियाँ)

### प्रारंभ /etc/grub.d/41_custom ###
यदि [ -f ${config_directory}/custom.cfg ]; तब
स्रोत ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; तब
स्रोत $prefix/custom.cfg;
fi
विश्वास /बूट/ग्रब/पर्सकी
सुपरयूजर्स = "रूट" सेट करें
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

"/boot/grub/perskey" के पथ को किसी विशिष्ट डिस्क विभाजन की ओर इंगित करने की आवश्यकता नहीं है, उदाहरण के लिए hd0,6; बूटलोडर के लिए, "रूट" उस विभाजन का डिफ़ॉल्ट पथ है जिस पर GRUB2 स्थापित है (देखें सेट रोट=..)।

GRUB2 पर हस्ताक्षर करना (सभी /GRUB निर्देशिकाओं की सभी फ़ाइलें) अपनी कुंजी "पर्सकी" के साथ।
हस्ताक्षर कैसे करें इसका एक सरल समाधान (नॉटिलस/काजा एक्सप्लोरर के लिए): रिपॉजिटरी से एक्सप्लोरर के लिए "सीहॉर्स" एक्सटेंशन इंस्टॉल करें। आपकी कुंजी को सु वातावरण में जोड़ा जाना चाहिए।
Sudo “/mnt/boot” – RMB – चिह्न के साथ एक्सप्लोरर खोलें। स्क्रीन पर ऐसा दिखता है

कुंजी स्वयं "/mnt/boot/grub/perskey" है (ग्रब निर्देशिका में कॉपी करें) आपके स्वयं के हस्ताक्षर भी होने चाहिए। जांचें कि [*.sig] फ़ाइल हस्ताक्षर निर्देशिका/उपनिर्देशिकाओं में दिखाई देते हैं।
ऊपर वर्णित विधि का उपयोग करते हुए, "/boot" पर हस्ताक्षर करें (हमारा कर्नेल, initrd)। यदि आपका समय कुछ भी मूल्यवान है, तो यह विधि "बहुत सारी फ़ाइलों" पर हस्ताक्षर करने के लिए बैश स्क्रिप्ट लिखने की आवश्यकता को समाप्त कर देती है।

सभी बूटलोडर हस्ताक्षर हटाने के लिए (अगर कुछ गलत हुआ)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

सिस्टम को अपडेट करने के बाद बूटलोडर पर हस्ताक्षर न करने के लिए, हम GRUB2 से संबंधित सभी अपडेट पैकेजों को फ्रीज कर देते हैं।

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

इस चरण पर <डिजिटल हस्ताक्षर के साथ बूटलोडर को सुरक्षित रखें> GRUB2 का उन्नत कॉन्फ़िगरेशन पूरा हो गया है।

सी6.3. डिजिटल हस्ताक्षर और प्रमाणीकरण द्वारा संरक्षित GRUB2 बूटलोडर का प्रमाण-परीक्षणGRUB2. किसी जीएनयू/लिनक्स वितरण का चयन करते समय या सीएलआई दर्ज करते समय (कमांड लाइन) सुपरयूज़र प्राधिकरण की आवश्यकता होगी. सही उपयोगकर्ता नाम/पासवर्ड दर्ज करने के बाद, आपको initrd पासवर्ड की आवश्यकता होगी

GRUB2 सुपरयूज़र के सफल प्रमाणीकरण का स्क्रीनशॉट।

यदि आप GRUB2 फ़ाइलों में से किसी के साथ छेड़छाड़ करते हैं/grub.cfg में परिवर्तन करते हैं, या फ़ाइल/हस्ताक्षर हटाते हैं, या दुर्भावनापूर्ण मॉड्यूल.mod लोड करते हैं, तो एक संबंधित चेतावनी दिखाई देगी। GRUB2 लोडिंग रोक देगा.

स्क्रीनशॉट, GRUB2 में "बाहर से" हस्तक्षेप करने का प्रयास।

"सामान्य" बूटिंग "बिना घुसपैठ" के दौरान, सिस्टम निकास कोड स्थिति "0" है। इसलिए, यह अज्ञात है कि सुरक्षा काम करती है या नहीं (अर्थात, सामान्य लोडिंग के दौरान "बूटलोडर हस्ताक्षर सुरक्षा के साथ या उसके बिना" स्थिति समान "0" है - यह खराब है)।

डिजिटल हस्ताक्षर सुरक्षा की जांच कैसे करें?

जांचने का एक असुविधाजनक तरीका: GRUB2 द्वारा उपयोग किए गए मॉड्यूल को नकली/हटाएं, उदाहरण के लिए, हस्ताक्षर luks.mod.sig को हटाएं और एक त्रुटि प्राप्त करें।

सही तरीका: बूटलोडर सीएलआई पर जाएं और कमांड टाइप करें

trust_list

जवाब में, आपको एक "पर्सकी" फिंगरप्रिंट प्राप्त होना चाहिए; यदि स्थिति "0" है, तो हस्ताक्षर सुरक्षा काम नहीं करती है, पैराग्राफ C6.2 को दोबारा जांचें।
इस चरण पर, उन्नत कॉन्फ़िगरेशन "डिजिटल हस्ताक्षर और प्रमाणीकरण के साथ GRUB2 की सुरक्षा" पूरा हो गया है।

C7 हैशिंग का उपयोग करके GRUB2 बूटलोडर की सुरक्षा की वैकल्पिक विधिऊपर वर्णित "सीपीयू बूट लोडर सुरक्षा/प्रमाणीकरण" विधि एक क्लासिक है। GRUB2 की खामियों के कारण, विक्षिप्त परिस्थितियों में यह वास्तविक हमले के लिए अतिसंवेदनशील है, जिसे मैं नीचे पैराग्राफ [एफ] में बताऊंगा। इसके अलावा, ओएस/कर्नेल को अपडेट करने के बाद, बूटलोडर को फिर से साइन करना होगा।

हैशिंग का उपयोग करके GRUB2 बूटलोडर की सुरक्षा करना

क्लासिक्स की तुलना में लाभ:

• विश्वसनीयता का उच्च स्तर (हैशिंग/सत्यापन केवल एक एन्क्रिप्टेड स्थानीय संसाधन से होता है। GRUB2 के तहत संपूर्ण आवंटित विभाजन किसी भी परिवर्तन के लिए नियंत्रित किया जाता है, और बाकी सब कुछ एन्क्रिप्ट किया गया है; सीपीयू लोडर सुरक्षा/प्रमाणीकरण के साथ क्लासिक योजना में, केवल फ़ाइलें नियंत्रित होती हैं, लेकिन मुफ़्त नहीं स्थान, जिसमें "कुछ" कुछ भयावह" जोड़ा जा सकता है)।
• एन्क्रिप्टेड लॉगिंग (योजना में एक मानव-पठनीय व्यक्तिगत एन्क्रिप्टेड लॉग जोड़ा गया है)।
• गति (GRUB2 के लिए आवंटित संपूर्ण विभाजन की सुरक्षा/सत्यापन लगभग तुरंत होता है)।
• सभी क्रिप्टोग्राफ़िक प्रक्रियाओं का स्वचालन।

क्लासिक्स की तुलना में नुकसान।

• हस्ताक्षर की जालसाजी (सैद्धांतिक रूप से, किसी दिए गए हैश फ़ंक्शन टकराव को ढूंढना संभव है)।
• कठिनाई स्तर में वृद्धि (क्लासिक की तुलना में, जीएनयू/लिनक्स ओएस में थोड़ा और कौशल आवश्यक है)।

GRUB2/विभाजन हैशिंग विचार कैसे काम करता है

GRUB2 विभाजन "हस्ताक्षरित" है; जब OS बूट होता है, तो बूट लोडर विभाजन को अपरिवर्तनीयता के लिए जांचा जाता है, इसके बाद एक सुरक्षित (एन्क्रिप्टेड) ​​वातावरण में लॉग इन किया जाता है। यदि बूटलोडर या उसके विभाजन से छेड़छाड़ की गई है, तो घुसपैठ लॉग के अलावा, निम्नलिखित लॉन्च किया गया है:

चीज़।

इसी तरह की जाँच दिन में चार बार होती है, जो सिस्टम संसाधनों को लोड नहीं करती है।
"-$ check_GRUB" कमांड का उपयोग करके, लॉगिंग के बिना किसी भी समय तत्काल जांच होती है, लेकिन सीएलआई में सूचना आउटपुट के साथ।
कमांड "-$ sudosignature_GRUB" का उपयोग करते हुए, GRUB2 बूट लोडर/विभाजन को तुरंत पुनः हस्ताक्षरित किया जाता है और इसकी अद्यतन लॉगिंग की जाती है (ओएस/बूट अपडेट के बाद आवश्यक), और जीवन चलता रहता है।

बूटलोडर और उसके अनुभाग के लिए हैशिंग विधि का कार्यान्वयन

0) आइए GRUB बूटलोडर/विभाजन को पहले /मीडिया/उपयोगकर्ता नाम में माउंट करके उस पर हस्ताक्षर करें

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) हम एन्क्रिप्टेड OS ~/podpis के रूट में एक्सटेंशन के बिना एक स्क्रिप्ट बनाते हैं, इसमें आवश्यक 744 सुरक्षा अधिकार और फुलप्रूफ सुरक्षा लागू करते हैं।

इसकी सामग्री भरना

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

से स्क्रिप्ट चलाएँ su, GRUB विभाजन और उसके बूटलोडर की हैशिंग की जाँच की जाएगी, लॉग को सहेजें।

आइए, उदाहरण के लिए, GRUB2 विभाजन में एक "दुर्भावनापूर्ण फ़ाइल" [वायरस.mod] बनाएं या कॉपी करें और एक अस्थायी स्कैन/परीक्षण चलाएं:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

सीएलआई को हमारे गढ़ पर आक्रमण अवश्य देखना चाहिए-#सीएलआई में ट्रिम किया गया लॉग

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

#जैसा कि आप देख सकते हैं, "फ़ाइलें स्थानांतरित: 1 और ऑडिट विफल" दिखाई देता है, जिसका अर्थ है कि चेक विफल हो गया।
परीक्षण किए जा रहे विभाजन की प्रकृति के कारण, "नई फ़ाइलें मिलीं" > "फ़ाइलें स्थानांतरित की गईं" के बजाय

2) GIF को यहां रखें > ~/warning.gif, अनुमतियों को 744 पर सेट करें।

3) बूट पर GRUB विभाजन को स्वचालित करने के लिए fstab को कॉन्फ़िगर करना

-$ sudo nano /etc/fstab

LABEL=GRUB /मीडिया/उपयोगकर्ता नाम/GRUB ext4 डिफ़ॉल्ट 0 0

4) लॉग को घुमाना

-$ sudo nano /etc/logrotate.d/podpis 

/var/log/podpis.txt {
दैनिक
घूमना 50
आकार 5M
तारीख
सेक
delaycompress
Olddir /var/log/old
}

/var/log/vtorjenie.txt {
मासिक
घूमना 5
आकार 5M
तारीख
Olddir /var/log/old
}

5) क्रॉन में कोई कार्य जोड़ें

-$ sudo crontab -e

रिबूट '/अंशदान'
0*/6* * *'/पॉडपिस

6) स्थायी उपनाम बनाना

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

ओएस अपडेट के बाद -$ apt-get upgrade हमारे GRUB विभाजन पर पुनः हस्ताक्षर करें
-$ подпись_GRUB
इस बिंदु पर, GRUB विभाजन की हैशिंग सुरक्षा पूरी हो गई है।

[डी] वाइपिंग - अनएन्क्रिप्टेड डेटा को नष्ट करना

दक्षिण कैरोलिना के प्रवक्ता ट्रे गौडी के अनुसार, अपनी व्यक्तिगत फ़ाइलें इतनी पूरी तरह से हटा दें कि "भगवान भी उन्हें नहीं पढ़ सकें।"

हमेशा की तरह, विभिन्न "मिथक और" हैं किंवदंतियों", हार्ड ड्राइव से डेटा डिलीट होने के बाद उसे पुनर्स्थापित करने के बारे में। यदि आप साइबर जादू-टोने में विश्वास करते हैं, या डॉ. वेब समुदाय के सदस्य हैं और आपने कभी भी डेटा को डिलीट/ओवरराइट करने के बाद पुनर्प्राप्त करने का प्रयास नहीं किया है (उदाहरण के लिए, आर-स्टूडियो का उपयोग करके पुनर्प्राप्ति), तो प्रस्तावित विधि आपके अनुकूल होने की संभावना नहीं है, जो आपके सबसे करीब है उसका उपयोग करें।

जीएनयू/लिनक्स को एन्क्रिप्टेड पार्टीशन में सफलतापूर्वक स्थानांतरित करने के बाद, डेटा पुनर्प्राप्ति की संभावना के बिना पुरानी प्रतिलिपि को हटा दिया जाना चाहिए। सार्वभौमिक सफाई विधि: विंडोज/लिनक्स के लिए मुफ्त जीयूआई सॉफ्टवेयर BleachBit.
जल्दी से अनुभाग को प्रारूपित करें, जिस डेटा को नष्ट करने की आवश्यकता है (ग्पार्टेड के माध्यम से) ब्लीचबिट लॉन्च करें, "खाली स्थान साफ़ करें" चुनें - विभाजन का चयन करें (जीएनयू/लिनक्स की पिछली प्रति के साथ आपका sdaX), स्ट्रिपिंग प्रक्रिया शुरू हो जाएगी। ब्लीचबिट - एक बार में डिस्क को मिटा देता है - यह वही है जो "हमें चाहिए", लेकिन! यह केवल सैद्धांतिक रूप से काम करता है यदि आपने डिस्क को फ़ॉर्मेट किया है और इसे BB v2.0 सॉफ़्टवेयर में साफ़ किया है।

ध्यान! बीबी डिस्क को मिटा देता है, मेटाडेटा छोड़ देता है; डेटा समाप्त होने पर फ़ाइल नाम संरक्षित होते हैं (Ccleaner - मेटाडेटा नहीं छोड़ता)।

और डेटा रिकवरी की संभावना के बारे में मिथक पूरी तरह से मिथक नहीं है।ब्लीचबिट V2.0-2 पूर्व अस्थिर ओएस डेबियन पैकेज (और कोई अन्य समान सॉफ़्टवेयर: sfill; वाइप-नॉटिलस - भी इस गंदे व्यवसाय में देखा गया था) वास्तव में एक गंभीर बग था: "फ्री स्पेस क्लियरिंग" फ़ंक्शन यह गलत तरीके से काम करता है एचडीडी/फ्लैश ड्राइव पर (एनटीएफएस/ext4). इस प्रकार का सॉफ़्टवेयर, खाली स्थान साफ़ करते समय, संपूर्ण डिस्क को अधिलेखित नहीं करता है, जैसा कि कई उपयोगकर्ता सोचते हैं। और कुछ (बहुत ज़्यादा) हटाए गए डेटा ओएस/सॉफ़्टवेयर इस डेटा को गैर-हटाए गए/उपयोगकर्ता डेटा के रूप में मानता है और "ओएसपी" को साफ़ करते समय यह इन फ़ाइलों को छोड़ देता है। समस्या यह है कि इतने लंबे समय के बाद डिस्क की सफाई हो रही है "हटाई गई फ़ाइलें" पुनर्प्राप्त की जा सकती हैं डिस्क को 3+ बार पोंछने के बाद भी।
जीएनयू/लिनक्स पर ब्लीचबिट पर 2.0-2 फ़ाइलों और निर्देशिकाओं को स्थायी रूप से हटाने का कार्य विश्वसनीय रूप से काम करता है, लेकिन खाली स्थान साफ़ नहीं करता है। तुलना के लिए: CCleaner में विंडोज़ पर "एनटीएफएस के लिए ओएसपी" फ़ंक्शन ठीक से काम करता है, और भगवान वास्तव में हटाए गए डेटा को पढ़ने में सक्षम नहीं होंगे।

और इसलिए, पूरी तरह से हटाने के लिए "समझौता" पुराना अनएन्क्रिप्टेड डेटा, ब्लीचबिट को इस डेटा तक सीधी पहुंच की आवश्यकता है, फिर, "फ़ाइलों/निर्देशिकाओं को स्थायी रूप से हटाएं" फ़ंक्शन का उपयोग करें।
विंडोज़ में "मानक OS टूल का उपयोग करके हटाई गई फ़ाइलें" हटाने के लिए, "OSP" फ़ंक्शन के साथ CCleaner/BB का उपयोग करें। जीएनयू/लिनक्स में इस समस्या पर (हटाई गई फ़ाइलें हटाएँ) आपको स्वयं अभ्यास करने की आवश्यकता है (डेटा हटाना + इसे पुनर्स्थापित करने का एक स्वतंत्र प्रयास और आपको सॉफ़्टवेयर संस्करण पर भरोसा नहीं करना चाहिए (यदि बुकमार्क नहीं है, तो एक बग)), केवल इस मामले में आप इस समस्या के तंत्र को समझ पाएंगे और हटाए गए डेटा से पूरी तरह छुटकारा पा सकेंगे।

मैंने ब्लीचबिट v3.0 का परीक्षण नहीं किया है, समस्या पहले ही ठीक हो चुकी होगी।
ब्लीचबिट v2.0 ईमानदारी से काम करता है।

इस चरण पर, डिस्क वाइपिंग पूरी हो गई है।

[ई] एन्क्रिप्टेड ओएस का यूनिवर्सल बैकअप

प्रत्येक उपयोगकर्ता के पास डेटा का बैकअप लेने का अपना तरीका होता है, लेकिन एन्क्रिप्टेड सिस्टम ओएस डेटा को कार्य के लिए थोड़ा अलग दृष्टिकोण की आवश्यकता होती है। एकीकृत सॉफ़्टवेयर, जैसे क्लोनज़िला और इसी तरह के सॉफ़्टवेयर, एन्क्रिप्टेड डेटा के साथ सीधे काम नहीं कर सकते हैं।

एन्क्रिप्टेड ब्लॉक डिवाइस का बैकअप लेने की समस्या का विवरण:

1. सार्वभौमिकता - विंडोज़/लिनक्स के लिए समान बैकअप एल्गोरिदम/सॉफ़्टवेयर;
2. अतिरिक्त सॉफ़्टवेयर डाउनलोड की आवश्यकता के बिना किसी भी लाइव यूएसबी जीएनयू/लिनक्स के साथ कंसोल में काम करने की क्षमता (लेकिन फिर भी GUI की अनुशंसा करते हैं);
3. बैकअप प्रतियों की सुरक्षा - संग्रहीत "छवियाँ" एन्क्रिप्टेड/पासवर्ड-संरक्षित होनी चाहिए;
4. एन्क्रिप्टेड डेटा का आकार कॉपी किए जा रहे वास्तविक डेटा के आकार के अनुरूप होना चाहिए;
5. बैकअप प्रतिलिपि से आवश्यक फ़ाइलों का सुविधाजनक निष्कर्षण (पहले संपूर्ण अनुभाग को डिक्रिप्ट करने की कोई आवश्यकता नहीं है)।

उदाहरण के लिए, "डीडी" उपयोगिता के माध्यम से बैकअप/पुनर्स्थापना

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

यह कार्य के लगभग सभी बिंदुओं से मेल खाता है, लेकिन बिंदु 4 के अनुसार यह आलोचना के लिए खड़ा नहीं होता है, क्योंकि यह मुक्त स्थान सहित संपूर्ण डिस्क विभाजन की प्रतिलिपि बनाता है - दिलचस्प नहीं है।

उदाहरण के लिए, आर्काइवर [टार" | के माध्यम से एक जीएनयू/लिनक्स बैकअप gpg] सुविधाजनक है, लेकिन विंडोज बैकअप के लिए आपको दूसरा समाधान तलाशना होगा - यह दिलचस्प नहीं है।

ई1. यूनिवर्सल विंडोज़/लिनक्स बैकअप। लिंक rsync (Grsync)+VeraCrypt वॉल्यूमबैकअप प्रतिलिपि बनाने के लिए एल्गोरिदम:

1. एक एन्क्रिप्टेड कंटेनर बनाना (वॉल्यूम/फ़ाइल) ओएस के लिए वेराक्रिप्ट;
2. VeraCrypt क्रिप्टो कंटेनर में Rsync सॉफ़्टवेयर का उपयोग करके OS को स्थानांतरित/सिंक्रोनाइज़ करें;
3. यदि आवश्यक हो, तो VeraCrypt वॉल्यूम को www पर अपलोड करें।

एन्क्रिप्टेड VeraCrypt कंटेनर बनाने की अपनी विशेषताएं हैं:
एक गतिशील वॉल्यूम बनाना (डीटी का निर्माण केवल विंडोज़ में उपलब्ध है, इसका उपयोग जीएनयू/लिनक्स में भी किया जा सकता है);
एक नियमित वॉल्यूम बनाना, लेकिन एक "पागल चरित्र" की आवश्यकता है (डेवलपर के अनुसार) - कंटेनर स्वरूपण.

विंडोज़ में एक डायनामिक वॉल्यूम लगभग तुरंत बनाया जाता है, लेकिन जब GNU/Linux > VeraCrypt DT से डेटा कॉपी किया जाता है, तो बैकअप ऑपरेशन का समग्र प्रदर्शन काफी कम हो जाता है।

एक नियमित 70 जीबी टूफिश वॉल्यूम बनाया जाता है (आइए मान लें, औसत पीसी पावर पर) एचडीडी ~ आधे घंटे में (पूर्व कंटेनर डेटा को एक पास में ओवरराइट करना सुरक्षा आवश्यकताओं के कारण है)। किसी वॉल्यूम को बनाते समय उसे तुरंत फ़ॉर्मेट करने का कार्य VeraCrypt Windows/Linux से हटा दिया गया है, इसलिए एक कंटेनर बनाना केवल "वन-पास रीराइटिंग" या कम-प्रदर्शन वाले डायनेमिक वॉल्यूम के निर्माण के माध्यम से संभव है।

एक नियमित VeraCrypt वॉल्यूम बनाएं (डायनामिक/एनटीएफएस नहीं), कोई समस्या नहीं होनी चाहिए.

VeraCrypt GUI> GNU/Linux लाइव यूएसबी में एक कंटेनर को कॉन्फ़िगर/बनाएं/खोलें (वॉल्यूम /मीडिया/वेराक्रिप्ट2 पर स्वचालित रूप से माउंट किया जाएगा, विंडोज़ ओएस वॉल्यूम /मीडिया/वेराक्रिप्ट1 पर माउंट किया जाएगा)। GUI rsync का उपयोग करके Windows OS का एन्क्रिप्टेड बैकअप बनाना (जीआरसिंक)बक्सों को चेक करके.

प्रक्रिया पूरी होने तक प्रतीक्षा करें. एक बार बैकअप पूरा हो जाने पर, हमारे पास एक एन्क्रिप्टेड फ़ाइल होगी।

इसी तरह, rsync GUI में "विंडोज कम्पैटिबिलिटी" चेकबॉक्स को अनचेक करके GNU/Linux OS की बैकअप कॉपी बनाएं।

ध्यान! फ़ाइल सिस्टम में "जीएनयू/लिनक्स बैकअप" के लिए एक वेराक्रिप्ट कंटेनर बनाएं ext4. यदि आप किसी एनटीएफएस कंटेनर का बैकअप बनाते हैं, तो जब आप ऐसी प्रतिलिपि को पुनर्स्थापित करते हैं, तो आप अपने सभी डेटा के सभी अधिकार/समूह खो देंगे।

आप टर्मिनल में सभी ऑपरेशन कर सकते हैं. rsync के लिए बुनियादी विकल्प:
* -जी -समूह सहेजें;
* -पी - प्रगति - फ़ाइल पर काम करने में बिताए गए समय की स्थिति;
* -एच - हार्डलिंक को वैसे ही कॉपी करें;
* -ए -संग्रह मोड (एकाधिक rlptgoD झंडे);
* -v -शब्दीकरण।

यदि आप क्रिप्टसेटअप सॉफ़्टवेयर में कंसोल के माध्यम से "विंडोज वेराक्रिप्ट वॉल्यूम" माउंट करना चाहते हैं, तो आप एक उपनाम (सु) बना सकते हैं

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

अब "वेरामाउंट पिक्चर्स" कमांड आपको पासफ़्रेज़ दर्ज करने के लिए संकेत देगा, और एन्क्रिप्टेड विंडोज सिस्टम वॉल्यूम ओएस में माउंट किया जाएगा।

क्रिप्टसेटअप कमांड में VeraCrypt सिस्टम वॉल्यूम को मैप/माउंट करें

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

क्रिप्टसेटअप कमांड में VeraCrypt पार्टीशन/कंटेनर को मैप/माउंट करें

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

उपनाम के बजाय, हम (स्टार्टअप के लिए एक स्क्रिप्ट) विंडोज ओएस के साथ एक सिस्टम वॉल्यूम और जीएनयू/लिनक्स स्टार्टअप में एक तार्किक एन्क्रिप्टेड एनटीएफएस डिस्क जोड़ देंगे।

एक स्क्रिप्ट बनाएं और इसे ~/VeraOpen.sh में सहेजें

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

हम "सही" अधिकार वितरित करते हैं:

sudo chmod 100 /VeraOpen.sh

/etc/rc.local और ~/etc/init.d/rc.local में दो समान फ़ाइलें (समान नाम!) बनाएं
फ़ाइलें भरना

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

हम "सही" अधिकार वितरित करते हैं:

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local 

बस, अब जीएनयू/लिनक्स लोड करते समय हमें एन्क्रिप्टेड एनटीएफएस डिस्क को माउंट करने के लिए पासवर्ड दर्ज करने की आवश्यकता नहीं है, डिस्क स्वचालित रूप से माउंट हो जाती हैं।

पैराग्राफ ई1 में चरण दर चरण ऊपर वर्णित बातों के बारे में संक्षेप में एक नोट (लेकिन अब ओएस जीएनयू/लिनक्स के लिए)
1) वेराक्रिप्ट [क्रिप्टबॉक्स] में fs ext4 > 4जीबी (फ़ाइल के लिए) लिनक्स में एक वॉल्यूम बनाएं।
2) लाइव यूएसबी को रीबूट करें।
3) ~$ क्रिप्टसेटअप ओपन /dev/sda7 लूनक्स #मैपिंग एन्क्रिप्टेड पार्टीशन।
4) ~$ माउंट /dev/mapper/Linux /mnt #एन्क्रिप्टेड विभाजन को /mnt पर माउंट करें।
5) ~$ mkdir mnt2 #भविष्य के बैकअप के लिए एक निर्देशिका बनाना।
6) ~$ क्रिप्टसेटअप ओपन —वेराक्रिप्ट—टाइप tcrypt ~/CryptoBox क्रिप्टोबॉक्स && माउंट /dev/mapper/CryptoBox /mnt2 #“CryptoBox” नामक वेराक्रिप्ट वॉल्यूम को मैप करें और क्रिप्टोबॉक्स को /mnt2 पर माउंट करें।
7) ~$ rsync -avlxhHX —प्रगति /mnt /mnt2/ एन्क्रिप्टेड वेराक्रिप्ट वॉल्यूम में एन्क्रिप्टेड विभाजन का #बैकअप ऑपरेशन।

(पी/एस/ ध्यान! यदि आप एन्क्रिप्टेड जीएनयू/लिनक्स को एक आर्किटेक्चर/मशीन से दूसरे आर्किटेक्चर/मशीन में स्थानांतरित कर रहे हैं, उदाहरण के लिए, इंटेल > एएमडी (अर्थात, एक एन्क्रिप्टेड विभाजन से दूसरे एन्क्रिप्टेड इंटेल > एएमडी विभाजन पर बैकअप तैनात करना), मत भूलो एन्क्रिप्टेड ओएस को स्थानांतरित करने के बाद, पासवर्ड के बजाय गुप्त स्थानापन्न कुंजी को संपादित करें। पिछली कुंजी ~/etc/skey - अब किसी अन्य एन्क्रिप्टेड विभाजन में फिट नहीं होगी, और chroot के अंतर्गत एक नई कुंजी "cryptsetup luksAddKey" बनाना उचित नहीं है - एक गड़बड़ी संभव है, बस इसके बजाय ~/etc/crypttab निर्दिष्ट करें "/etc/skey" अस्थायी रूप से "कोई नहीं" ", रीबॉट और ओएस में लॉग इन करने के बाद, अपनी गुप्त वाइल्डकार्ड कुंजी को फिर से बनाएं)।

आईटी दिग्गजों के रूप में, एन्क्रिप्टेड विंडोज/लिनक्स ओएस विभाजन के हेडर का अलग-अलग बैकअप बनाना सुनिश्चित करें, अन्यथा एन्क्रिप्शन आपके खिलाफ हो जाएगा।
इस चरण पर, एन्क्रिप्टेड OS का बैकअप पूरा हो गया है।

[एफ] GRUB2 बूटलोडर पर हमला

विवरणयदि आपने अपने बूटलोडर को डिजिटल हस्ताक्षर और/या प्रमाणीकरण से सुरक्षित रखा है (बिंदु C6 देखें।), तो यह भौतिक पहुंच से रक्षा नहीं करेगा। एन्क्रिप्टेड डेटा अभी भी पहुंच योग्य नहीं होगा, लेकिन सुरक्षा को दरकिनार कर दिया जाएगा (डिजिटल हस्ताक्षर सुरक्षा रीसेट करें) GRUB2 एक साइबर-खलनायक को बिना किसी संदेह के बूटलोडर में अपना कोड डालने की अनुमति देता है (जब तक उपयोगकर्ता मैन्युअल रूप से बूटलोडर स्थिति की निगरानी नहीं करता है, या grub.cfg के लिए अपने स्वयं के मजबूत मनमाना-स्क्रिप्ट कोड के साथ नहीं आता है)।

आक्रमण एल्गोरिथ्म. घुसेड़नेवाला

* पीसी को लाइव यूएसबी से बूट करें। कोई बदलाव (उल्लंघनकर्ता) फ़ाइलें पीसी के वास्तविक मालिक को बूटलोडर में घुसपैठ के बारे में सूचित करेंगी। लेकिन grub.cfg को ध्यान में रखते हुए GRUB2 की एक सरल पुनर्स्थापना (और बाद में इसे संपादित करने की क्षमता) किसी हमलावर को किसी भी फ़ाइल को संपादित करने की अनुमति देगा (इस स्थिति में, GRUB2 लोड करते समय, वास्तविक उपयोगकर्ता को सूचित नहीं किया जाएगा। स्थिति वही है <0>)
* एक अनएन्क्रिप्टेड विभाजन को माउंट करता है, "/mnt/boot/grub/grub.cfg" को संग्रहीत करता है।
* बूटलोडर को पुनः स्थापित करता है (कोर.आईएमजी छवि से "पर्सकी" हटा रहा है)

grub-install --force --root-directory=/mnt /dev/sda6

* "grub.cfg" > "/mnt/boot/grub/grub.cfg" लौटाता है, यदि आवश्यक हो तो इसे संपादित करता है, उदाहरण के लिए, अपने मॉड्यूल "keylogger.mod" को "grub.cfg" में लोडर मॉड्यूल वाले फ़ोल्डर में जोड़ता है। > लाइन "इन्समॉड कीलॉगर"। या, उदाहरण के लिए, यदि दुश्मन चालाक है, तो GRUB2 को पुनः स्थापित करने के बाद (सभी हस्ताक्षर यथावत रहेंगे) यह "grub-mkimage with option (-c)" का उपयोग करके मुख्य GRUB2 छवि बनाता है। "-सी" विकल्प आपको मुख्य "ग्रब.सीएफजी" लोड करने से पहले अपनी कॉन्फ़िगरेशन लोड करने की अनुमति देगा। कॉन्फ़िगरेशन में केवल एक पंक्ति शामिल हो सकती है: किसी भी "आधुनिक.cfg" पर पुनर्निर्देशन, उदाहरण के लिए, ~400 फ़ाइलों के साथ मिश्रित (मॉड्यूल+हस्ताक्षर) फ़ोल्डर में "/boot/grub/i386-pc"। इस मामले में, एक हमलावर "/boot/grub/grub.cfg" को प्रभावित किए बिना मनमाना कोड डाल सकता है और मॉड्यूल लोड कर सकता है, भले ही उपयोगकर्ता ने फ़ाइल में "हैशसम" लागू किया हो और अस्थायी रूप से इसे स्क्रीन पर प्रदर्शित किया हो।
एक हमलावर को GRUB2 सुपरयूजर लॉगिन/पासवर्ड को हैक करने की आवश्यकता नहीं होगी; उसे केवल पंक्तियों को कॉपी करने की आवश्यकता होगी (प्रमाणीकरण के लिए जिम्मेदार) "/boot/grub/grub.cfg" से आपके "आधुनिक.cfg"

सुपरयूजर्स = "रूट" सेट करें
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

और पीसी मालिक को अभी भी GRUB2 सुपरयूजर के रूप में प्रमाणित किया जाएगा।

चेन लोड हो रहा है (बूटलोडर दूसरे बूटलोडर को लोड करता है), जैसा कि मैंने ऊपर लिखा है, इसका कोई मतलब नहीं है (यह एक अलग उद्देश्य के लिए है). एन्क्रिप्टेड बूटलोडर को BIOS के कारण लोड नहीं किया जा सकता है (चेन बूट GRUB2 > एन्क्रिप्टेड GRUB2 को पुनरारंभ करता है, त्रुटि!). हालाँकि, यदि आप अभी भी चेन लोडिंग के विचार का उपयोग करते हैं, तो आप सुनिश्चित हो सकते हैं कि यह एन्क्रिप्टेड है जिसे लोड किया जा रहा है। (आधुनिकीकरण नहीं) एन्क्रिप्टेड विभाजन से "grub.cfg"। और यह सुरक्षा की झूठी भावना भी है, क्योंकि एन्क्रिप्टेड "grub.cfg" में जो कुछ भी दर्शाया गया है (मॉड्यूल लोडिंग) अनएन्क्रिप्टेड GRUB2 से लोड किए गए मॉड्यूल में जुड़ जाता है।

यदि आप इसे जांचना चाहते हैं, तो किसी अन्य विभाजन को आवंटित/एन्क्रिप्ट करें, इसमें GRUB2 को कॉपी करें (एन्क्रिप्टेड पार्टीशन पर ग्रब-इंस्टॉल ऑपरेशन संभव नहीं है) और "grub.cfg" में (अनएन्क्रिप्टेड कॉन्फ़िगरेशन) इस तरह लाइनें बदलें

मेन्यूएंट्री 'GRUBx2' --क्लास तोता --क्लास gnu-linux --क्लास gnu --क्लास ओएस $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
लोड_वीडियो
इनस्मोड गज़ियो
यदि [x$grub_platform = xxen ]; फिर इनस्मॉड xzio; इनस्मोड लोज़ोपियो; फाई
इन्समॉड part_msdos
इनस्मॉड क्रिप्टोडिस्क
इनस्मॉड लक्स
इनस्मॉड gcry_twofish
इनस्मॉड gcry_twofish
insmod gcry_sha512
इन्समॉड एक्सटी2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
सामान्य /boot/grub/grub.cfg
}

पंक्तियां
* इनस्मॉड - एन्क्रिप्टेड डिस्क के साथ काम करने के लिए आवश्यक मॉड्यूल लोड करना;
* GRUBx2 - GRUB2 बूट मेनू में प्रदर्शित लाइन का नाम;
* क्रिप्टोमाउंट -u 15c47d1c4bd34e5289df77bcf60ee838 -देखें। एफडिस्क -एल (एसडीए9);
* रूट सेट करें - रूट इंस्टॉल करें;
* सामान्य /boot/grub/grub.cfg - एन्क्रिप्टेड विभाजन पर निष्पादन योग्य कॉन्फ़िगरेशन फ़ाइल।

यह विश्वास कि यह एन्क्रिप्टेड "grub.cfg" है जिसे लोड किया गया है, GRUB मेनू में लाइन "GRUBx2" का चयन करते समय पासवर्ड दर्ज करने/"sdaY" को अनलॉक करने के लिए एक सकारात्मक प्रतिक्रिया है।

सीएलआई में काम करते समय, ताकि भ्रमित न हों (और जांचें कि क्या "सेट रूट" पर्यावरण चर काम करता है), खाली टोकन फ़ाइलें बनाएं, उदाहरण के लिए, एन्क्रिप्टेड अनुभाग "/shifr_grub" में, अनएन्क्रिप्टेड अनुभाग "/noshifr_grub" में। सीएलआई में जाँच हो रही है

cat /Tab-Tab

जैसा कि ऊपर उल्लेख किया गया है, यदि ऐसे मॉड्यूल आपके पीसी पर समाप्त हो जाते हैं तो यह दुर्भावनापूर्ण मॉड्यूल डाउनलोड करने में मदद नहीं करेगा। उदाहरण के लिए, एक कीलॉगर जो किसी फ़ाइल में कीस्ट्रोक्स को सहेजने और इसे "~/i386" में अन्य फ़ाइलों के साथ मिलाने में सक्षम होगा, जब तक कि इसे पीसी तक भौतिक पहुंच वाले हमलावर द्वारा डाउनलोड नहीं किया जाता है।

यह सत्यापित करने का सबसे आसान तरीका है कि डिजिटल हस्ताक्षर सुरक्षा सक्रिय रूप से काम कर रही है (रीसेट नहीं), और किसी ने बूटलोडर पर आक्रमण नहीं किया है, सीएलआई में कमांड दर्ज करें

list_trusted

जवाब में हमें अपने "पर्सकी" की एक प्रति प्राप्त होती है, या यदि हम पर हमला किया जाता है तो हमें कुछ भी नहीं मिलता है (आपको "set check_signatures=enforce" भी जांचना होगा).
इस चरण का एक महत्वपूर्ण नुकसान मैन्युअल रूप से कमांड दर्ज करना है। यदि आप इस कमांड को "grub.cfg" में जोड़ते हैं और डिजिटल हस्ताक्षर के साथ कॉन्फ़िगरेशन को सुरक्षित करते हैं, तो स्क्रीन पर कुंजी स्नैपशॉट का प्रारंभिक आउटपुट समय में बहुत छोटा है, और आपके पास GRUB2 लोड करने के बाद आउटपुट देखने का समय नहीं हो सकता है .
विशेष रूप से दावा करने वाला कोई नहीं है: उसका डेवलपर प्रलेखन खंड 18.2 आधिकारिक तौर पर घोषित करता है

“ध्यान दें कि GRUB पासवर्ड सुरक्षा के साथ भी, GRUB स्वयं मशीन तक भौतिक पहुंच वाले किसी व्यक्ति को उस मशीन के फ़र्मवेयर (उदाहरण के लिए, कोरबूट या BIOS) कॉन्फ़िगरेशन को बदलने से नहीं रोक सकता है, जिससे मशीन एक अलग (हमलावर-नियंत्रित) डिवाइस से बूट हो सके। GRUB सुरक्षित बूट श्रृंखला में अधिकतम केवल एक कड़ी है।"

GRUB2 ऐसे फ़ंक्शंस से भरा हुआ है जो झूठी सुरक्षा की भावना दे सकता है, और इसका विकास कार्यक्षमता के मामले में MS-DOS से पहले ही आगे निकल चुका है, लेकिन यह सिर्फ एक बूटलोडर है। यह हास्यास्पद है कि GRUB2 - "कल" ​​​​OS बन सकता है, और इसके लिए बूट करने योग्य GNU/Linux वर्चुअल मशीनें बन सकती हैं।

इस बारे में एक लघु वीडियो कि कैसे मैंने GRUB2 डिजिटल हस्ताक्षर सुरक्षा को रीसेट किया और एक वास्तविक उपयोगकर्ता के सामने अपनी घुसपैठ की घोषणा की (मैंने आपको डरा दिया, लेकिन वीडियो में जो दिखाया गया है उसके बजाय, आप हानिरहित मनमाना कोड/.mod लिख सकते हैं).

निष्कर्ष:

1) विंडोज़ के लिए ब्लॉक सिस्टम एन्क्रिप्शन को लागू करना आसान है, और एक पासवर्ड के साथ सुरक्षा जीएनयू/लिनक्स ब्लॉक सिस्टम एन्क्रिप्शन के साथ कई पासवर्ड के साथ सुरक्षा की तुलना में अधिक सुविधाजनक है, निष्पक्ष होने के लिए: बाद वाला स्वचालित है।

2) मैंने लेख को प्रासंगिक और विस्तृत रूप में लिखा है सरल एक होम मशीन पर फुल-डिस्क एन्क्रिप्शन VeraCrypt/LUKS के लिए एक गाइड, जो कि RuNet (IMHO) में अब तक का सबसे अच्छा है। गाइड> 50k वर्ण लंबा है, इसलिए इसमें कुछ दिलचस्प अध्याय शामिल नहीं हैं: क्रिप्टोग्राफर जो गायब हो जाते हैं/छाया में रहते हैं; इस तथ्य के बारे में कि विभिन्न जीएनयू/लिनक्स पुस्तकों में वे क्रिप्टोग्राफी के बारे में बहुत कम लिखते हैं/नहीं लिखते हैं; रूसी संघ के संविधान के अनुच्छेद 51 के बारे में; हे लाइसेंस/प्रतिबंध रूसी संघ में एन्क्रिप्शन, आपको "रूट/बूट" को एन्क्रिप्ट करने की आवश्यकता क्यों है। गाइड काफी व्यापक, लेकिन विस्तृत निकला। (सरल चरणों का भी वर्णन), बदले में, जब आप "वास्तविक एन्क्रिप्शन" प्राप्त करेंगे तो इससे आपका बहुत समय बचेगा।

3) पूर्ण डिस्क एन्क्रिप्शन विंडोज 7 64 पर किया गया था; जीएनयू/लिनक्स तोता 4x; जीएनयू/डेबियन 9.0/9.5.

4) पर एक सफल हमला किया उसके GRUB2 बूटलोडर.

5) ट्यूटोरियल सीआईएस में सभी पागल लोगों की मदद के लिए बनाया गया था, जहां विधायी स्तर पर एन्क्रिप्शन के साथ काम करने की अनुमति है। और मुख्य रूप से उन लोगों के लिए जो अपने कॉन्फ़िगर किए गए सिस्टम को ध्वस्त किए बिना पूर्ण-डिस्क एन्क्रिप्शन को रोल आउट करना चाहते हैं।

6) अपने मैनुअल पर दोबारा काम किया और अद्यतन किया, जो 2020 में प्रासंगिक है।

[जी] उपयोगी दस्तावेज

1. ट्रूक्रिप्ट यूजर गाइड (फरवरी 2012 आरयू)
2. वेराक्रिप्ट दस्तावेज़ीकरण
3. /usr/share/doc/cryptsetup(-run) [स्थानीय संसाधन] (क्रिप्टसेटअप का उपयोग करके जीएनयू/लिनक्स एन्क्रिप्शन स्थापित करने पर आधिकारिक विस्तृत दस्तावेज़)
4. आधिकारिक FAQ क्रिप्टोसेटअप (क्रिप्टसेटअप का उपयोग करके जीएनयू/लिनक्स एन्क्रिप्शन स्थापित करने पर संक्षिप्त दस्तावेज़)
5. LUKS डिवाइस एन्क्रिप्शन (आर्क्लिनक्स दस्तावेज़ीकरण)
6. क्रिप्टसेटअप सिंटैक्स का विस्तृत विवरण (आर्क मैन पेज)
7. क्रिप्टैब का विस्तृत विवरण (आर्क मैन पेज)
8. आधिकारिक GRUB2 दस्तावेज़ीकरण.

टैग: पूर्ण डिस्क एन्क्रिप्शन, विभाजन एन्क्रिप्शन, लिनक्स पूर्ण डिस्क एन्क्रिप्शन, LUKS1 पूर्ण सिस्टम एन्क्रिप्शन।

केवल पंजीकृत उपयोगकर्ता ही सर्वेक्षण में भाग ले सकते हैं। साइन इन करेंकृपया।

क्या आप एन्क्रिप्ट कर रहे हैं?

• 17,1% तक मैं जो कुछ भी कर सकता हूं उसे एन्क्रिप्ट करता हूं। मैं पागल हो गया हूँ.14

• 34,2% तक मैं केवल महत्वपूर्ण डेटा एन्क्रिप्ट करता हूं।28

• 14,6% तक कभी-कभी मैं एन्क्रिप्ट करता हूं, कभी-कभी मैं भूल जाता हूं।12

• 34,2% तक नहीं, मैं एन्क्रिप्ट नहीं करता, यह असुविधाजनक और महंगा है।28

82 उपयोगकर्ताओं ने मतदान किया। 22 उपयोगकर्ता अनुपस्थित रहे।

स्रोत: www.habr.com