Ažurirani vlastiti vodič za enkripciju cijelog diska u RuNet V0.2.
Kaubojska strategija:
[A] Windows 7 sistemska blok enkripcija instaliranog sustava;
[B] Enkripcija blokova GNU/Linux sustava (Debian) instalirani sustav (uključujući /boot);
[C] GRUB2 konfiguracija, zaštita bootloadera s digitalnim potpisom/autentifikacijom/raspršivanjem;
[D] skidanje—uništavanje nešifriranih podataka;
[E] univerzalna sigurnosna kopija šifriranog OS-a;
[F] napad <na stavku [C6]> cilj - GRUB2 bootloader;
[G]korisna dokumentacija.
╭───Šema #sobe 40# :
├──╼ Windows 7 instaliran - potpuna enkripcija sustava, nije skrivena;
├──╼ GNU/Linux instaliran (Debian i izvedene distribucije) — potpuna enkripcija sustava, nije skrivena(/, uključujući /boot; swap);
├──╼ nezavisni bootloaderi: VeraCrypt bootloader instaliran je u MBR, GRUB2 bootloader instaliran je na proširenoj particiji;
├──╼nije potrebna instalacija/ponovna instalacija OS-a;
└──╼korišteni kriptografski softver: VeraCrypt; Cryptsetup; GnuPG; Morski konj; Hashdeep; GRUB2 je besplatan/besplatan.
Gornja shema djelomično rješava problem "daljinskog pokretanja s flash pogona", omogućuje vam uživanje u kriptiranom OS Windows/Linux i razmjenu podataka putem "šifriranog kanala" s jednog OS na drugi.
Redoslijed pokretanja računala (jedna od opcija):
- uključivanje stroja;
- učitavanje VeraCrypt bootloadera (unos ispravne lozinke će nastaviti s pokretanjem sustava Windows 7);
- pritiskom na tipku "Esc" učitat će se GRUB2 bootloader;
- GRUB2 pokretački program (odaberite distribuciju/GNU/Linux/CLI), zahtijevat će provjeru autentičnosti GRUB2 superkorisnika <login/password>;
- nakon uspješne provjere autentičnosti i odabira distribucije, morat ćete unijeti zaporku za otključavanje “/boot/initrd.img”;
- nakon unosa lozinki bez grešaka, GRUB2 će "zahtijevati" unos lozinke (treće, lozinka za BIOS ili lozinka GNU/Linux korisničkog računa – ne uzima se u obzir) za otključavanje i pokretanje GNU/Linux OS-a ili automatsku zamjenu tajnog ključa (dvije lozinke + ključ ili lozinka + ključ);
- vanjski upad u GRUB2 konfiguraciju će zamrznuti GNU/Linux proces pokretanja.
Problematičan? Ok, idemo automatizirati procese.
Prilikom particioniranja tvrdog diska (MBR tablica) PC ne može imati više od 4 glavne particije, ili 3 glavne i jednu proširenu, kao i nedodijeljeno područje. Prošireni odjeljak, za razliku od glavnog, može sadržavati pododjeljke (logički pogoni=proširena particija). Drugim riječima, "proširena particija" na HDD-u zamjenjuje LVM za zadatak pri ruci: punu enkripciju sustava. Ako je vaš disk podijeljen na 4 glavne particije, morate koristiti lvm ili transform (s oblikovanjem) odjeljak od glavnog do naprednog, ili mudro koristite sva četiri odjeljka i ostavite sve kako jest, dobivajući željeni rezultat. Čak i ako imate jednu particiju na disku, Gparted će vam pomoći da particionirate HDD (za dodatne odjeljke) bez gubitka podataka, ali ipak uz malu kaznu za takve radnje.
Shema rasporeda tvrdog diska, u odnosu na koju će cijeli članak biti verbaliziran, prikazana je u donjoj tablici.
Tablica (br. 1) particija od 1TB.
I ti bi trebao imati nešto slično.
sda1 - glavna particija br. 1 NTFS (šifrirano);
sda2 - oznaka produženog odjeljka;
sda6 - logički disk (ima instaliran GRUB2 bootloader);
sda8 - swap (kriptirana swap datoteka/ne uvijek);
sda9 - testni logički disk;
sda5 - logički disk za znatiželjne;
sda7 - GNU/Linux OS (preneseni OS na šifrirani logički disk);
sda3 - glavna particija br. 2 s Windows 7 OS (šifrirano);
sda4 - glavni odjeljak br. 3 (sadržao je nešifrirani GNU/Linux, korišten za backup/ne uvijek).
[A] Enkripcija bloka sustava Windows 7
A1. VeraCrypt
Preuzmi s , ili iz ogledala instalacijska verzija VeraCrypt kriptografskog softvera (u vrijeme objave članka v1.24-Update3, prijenosna verzija VeraCrypta nije prikladna za enkripciju sustava). Provjerite kontrolni zbroj preuzetog softvera
$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256
i usporedite rezultat sa CS-om objavljenim na VeraCrypt web stranici za programere.
Ako je instaliran softver HashTab, još je lakše: RMB (VeraCrypt Setup 1.24.exe)-properties - hash zbroj datoteka.
Za provjeru potpisa programa, softver i javni pgp ključ programera moraju biti instalirani na sustavu ; .
A2. Instaliranje/pokretanje softvera VeraCrypt s administratorskim pravima
A3. Odabir parametara enkripcije sustava za aktivnu particijuVeraCrypt – Sustav – Šifriranje sistemske particije/diska – Normalno – Šifriranje sistemske particije Windowsa – Multiboot – (upozorenje: “Neiskusnim korisnicima se ne preporučuje korištenje ove metode” i to je istina, slažemo se “Da”) – Disk za pokretanje (“da”, čak i ako nije tako, ipak “da”) – Broj sistemskih diskova “2 ili više” – Nekoliko sustava na jednom disku “Da” – Ne-Windows bootloader “Ne” (u stvari, "Da", ali VeraCrypt/GRUB2 boot loaderi neće međusobno dijeliti MBR; točnije, samo najmanji dio koda boot loadera pohranjen je u MBR/boot stazi, njegov glavni dio je koji se nalazi unutar datotečnog sustava) – Multiboot – Postavke šifriranja…
Ako odstupite od gornjih koraka (sheme šifriranja blok sustava), tada će VeraCrypt izdati upozorenje i neće vam dopustiti šifriranje particije.
U sljedećem koraku prema ciljanoj zaštiti podataka, provedite "Test" i odaberite algoritam šifriranja. Ako imate zastarjeli CPU, najvjerojatnije će najbrži algoritam šifriranja biti Twofish. Ako je CPU snažan, primijetit ćete razliku: AES enkripcija, prema rezultatima testa, bit će nekoliko puta brža od svojih kripto konkurenata. AES je popularan algoritam šifriranja; hardver modernih CPU-a posebno je optimiziran i za "tajno" i za "hakiranje".
VeraCrypt podržava mogućnost šifriranja diskova u AES kaskadi(Dvije ribe)/i druge kombinacije. Na staroj jezgri Intel CPU-u od prije deset godina (bez hardverske podrške za AES, A/T kaskadno šifriranje) Smanjenje performansi je u biti neprimjetno. (za AMD CPU iste ere/~parametara, performanse su malo smanjene). OS radi dinamički i potrošnja resursa za transparentnu enkripciju je nevidljiva. Nasuprot tome, primjerice, primjetan je pad performansi zbog instaliranog nestabilnog testnog desktop okruženja Mate v1.20.1 (ili v1.20.2 ne sjećam se točno) u GNU/Linuxu, ili zbog rada telemetrijske rutine u Windows7↑. Tipično, iskusni korisnici provode testove performansi hardvera prije enkripcije. Na primjer, u Aida64/Sysbench/systemd-analyze krivnja se uspoređuje s rezultatima istih testova nakon šifriranja sustava, čime opovrgavaju mit za sebe da je "šifriranje sustava štetno". Usporenje rada stroja i neugodnosti su primjetne kod sigurnosnog kopiranja/vraćanja šifriranih podataka, jer se sama operacija “backup podataka sustava” ne mjeri u ms, a dodaju se ti isti <decrypt/encrypt on the fly>. U konačnici, svaki korisnik kojem je dopušteno petljati s kriptografijom uravnotežuje algoritam šifriranja sa zadovoljstvom zadacima koji su mu pri ruci, svojom razinom paranoje i lakoćom korištenja.
Bolje je ostaviti PIM parametar kao zadani, tako da prilikom učitavanja OS-a ne morate svaki put unositi točne vrijednosti iteracije. VeraCrypt koristi ogroman broj ponavljanja za stvaranje istinski "sporog hash-a". Napad na takvog "kripto puža" metodom Brute force/rainbow tables ima smisla samo uz kratku "jednostavnu" šifru i žrtvin osobni popis znakova. Cijena koju treba platiti za snagu lozinke je kašnjenje u unosu točne lozinke prilikom učitavanja OS-a. (montiranje VeraCrypt jedinica u GNU/Linux je značajno brže).
Besplatni softver za provedbu brute force napada (izdvoj zaporku iz VeraCrypt/LUKS zaglavlja diska) Hashcat. John the Ripper ne zna kako “razbiti Veracrypt”, a kada radi s LUKS-om ne razumije Twofish kriptografiju.
Zbog kriptografske snage algoritama za šifriranje, nezaustavljivi cypherpunks razvijaju softver s drugačijim vektorom napada. Na primjer, izdvajanje metapodataka/ključeva iz RAM-a (napad hladnog pokretanja/izravnog pristupa memoriji), Za te svrhe postoji specijalizirani besplatni i neslobodni softver.
Nakon završetka postavljanja/generiranja "jedinstvenih metapodataka" šifrirane aktivne particije, VeraCrypt će ponuditi ponovno pokretanje računala i testiranje funkcionalnosti njegovog pokretačkog programa. Nakon ponovnog pokretanja/pokretanja Windowsa, VeraCrypt će se učitati u stanju mirovanja, sve što preostaje je potvrditi proces enkripcije - Y.
U završnom koraku enkripcije sustava, VeraCrypt će ponuditi stvaranje sigurnosne kopije zaglavlja aktivne kriptirane particije u obliku “veracrypt rescue disk.iso” - to se mora učiniti - u ovom softveru takva je operacija uvjet (u LUKS-u kao uvjet - to je nažalost izostavljeno, ali je naglašeno u dokumentaciji). Rescue disk će svima dobro doći, a nekima i više puta. Gubitak (prepisivanje zaglavlja/MBR-a) sigurnosna kopija zaglavlja trajno će zabraniti pristup dekriptiranoj particiji s OS Windows.
A4. Stvaranje VeraCrypt USB-a/diska za spašavanjePrema zadanim postavkama, VeraCrypt nudi snimanje “~2-3MB metapodataka” na CD, ali nemaju svi ljudi diskove ili DWD-ROM pogone, a stvaranje flash pogona za podizanje sustava “VeraCrypt Rescue disk” za neke će biti tehničko iznenađenje: Rufus /GUIDd-ROSA ImageWriter i drugi slični softveri neće se moći nositi sa zadatkom, jer osim kopiranja metapodataka pomaka na flash pogon za pokretanje, trebate kopirati/zalijepiti sliku izvan datotečnog sustava USB pogona, ukratko, ispravno kopirajte MBR/cestu u privjesak za ključeve. Možete stvoriti flash pogon za podizanje sustava iz GNU/Linux OS-a pomoću uslužnog programa "dd", gledajući ovaj znak.
Stvaranje diska za spašavanje u Windows okruženju je drugačije. Programer VeraCrypta nije službeno uključio rješenje ovog problema "diskom za spašavanje", ali je predložio rješenje na drugačiji način: objavio je dodatni softver za stvaranje "usb diska za spašavanje" za besplatan pristup na svom VeraCrypt forumu. Arhivar ovog softvera za Windows "stvara usb veracrypt disk za spašavanje". Nakon spremanja rescue disk.iso, započet će proces šifriranja blok sustava aktivne particije. Tijekom enkripcije, rad OS-a ne prestaje, ponovno pokretanje računala nije potrebno. Po završetku operacije enkripcije, aktivna particija postaje potpuno šifrirana i može se koristiti. Ako se VeraCrypt boot loader ne pojavi kada pokrenete računalo, a operacija oporavka zaglavlja ne pomaže, tada provjerite oznaku "boot", ona mora biti postavljena na particiju na kojoj je prisutan Windows (bez obzira na enkripciju i drugi OS, vidi tablicu br. 1).
Ovo dovršava opis šifriranja blok sustava s Windows OS-om.
[B]LUKS. GNU/Linux šifriranje (~Debian) instaliran OS. Algoritam i koraci
Kako biste šifrirali Debian/izvedenu distribuciju, morate preslikati pripremljenu particiju na virtualni blok uređaj, prenijeti je na preslikani GNU/Linux disk i instalirati/konfigurirati GRUB2. Ako nemate bare metal poslužitelj, a cijenite svoje vrijeme, tada trebate koristiti GUI, a većina dolje opisanih naredbi terminala namijenjena je pokretanju u "Chuck-Norris modu".
B1. Dizanje računala s live usb GNU/Linux
"Provedite kripto test performansi hardvera"
lscpu && сryptsetup benchmark
Ako ste sretni vlasnik moćnog automobila s AES hardverskom podrškom, tada će brojevi izgledati kao desna strana terminala; ako ste sretni vlasnik, ali sa starinskim hardverom, brojevi će izgledati kao lijeva strana.
B2. Particioniranje diska. montiranje/formatiranje fs logičkog diska HDD na Ext4 (Gparted)
B2.1. Stvaranje šifriranog zaglavlja particije sda7Opisat ću nazive particija, ovdje i dalje, u skladu s mojom tablicom particija objavljenom gore. U skladu s rasporedom vašeg diska, morate zamijeniti nazive particija.
Mapiranje šifriranja logičkog pogona (/dev/sda7 > /dev/mapper/sda7_crypt).
#Jednostavna izrada “LUKS-AES-XTS particije”
cryptsetup -v -y luksFormat /dev/sda7opcije:
* luksFormat - inicijalizacija LUKS zaglavlja;
* -y -zaporka (ne ključ/datoteka);
* -v -verbalizacija (prikaz informacija u terminalu);
* /dev/sda7 - vaš logički disk s proširene particije (gdje se planira prenijeti/kriptirati GNU/Linux).
Zadani algoritam šifriranja <LUKS1: aes-xts-plain64, ključ: 256 bita, raspršivanje LUKS zaglavlja: sha256, RNG: /dev/urandom> (ovisi o verziji cryptsetup-a).
#Проверка default-алгоритма шифрования
cryptsetup --help #самая последняя строка в выводе терминала.Ako nema hardverske podrške za AES na CPU-u, najbolji bi izbor bio stvoriti proširenu "LUKS-Twofish-XTS-particiju".
B2.2. Napredno kreiranje “LUKS-Twofish-XTS-particije”
cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom
opcije:
* luksFormat - inicijalizacija LUKS zaglavlja;
* /dev/sda7 je vaš budući šifrirani logički disk;
* -v verbalizacija;
* -y lozinka;
* -c odabir algoritma šifriranja podataka;
* -s veličina ključa za šifriranje;
* -h algoritam raspršivanja/kripto funkcija, koristi se RNG (--use-urandom) za generiranje jedinstvenog ključa za šifriranje/dešifriranje za zaglavlje logičkog diska, sekundarni ključ zaglavlja (XTS); jedinstveni glavni ključ pohranjen u šifriranom zaglavlju diska, sekundarni XTS ključ, svi ti metapodaci i rutina šifriranja koja, koristeći glavni ključ i sekundarni XTS ključ, šifrira/dekriptira sve podatke na particiji (osim naslova odjeljka) pohranjeno u ~3 MB na odabranoj particiji tvrdog diska.
* -i ponavljanja u milisekundama, umjesto "iznos" (vremensko kašnjenje prilikom obrade zaporke utječe na učitavanje OS-a i kriptografsku snagu ključeva). Da biste održali ravnotežu kriptografske snage, s jednostavnom lozinkom poput "Russian" morate povećati vrijednost -(i); sa složenom lozinkom poput "?8dƱob/øfh" vrijednost se može smanjiti.
* —use-urandom generator slučajnih brojeva, generira ključeve i sol.
Nakon mapiranja odjeljka sda7 > sda7_crypt (operacija je brza, jer se kreira šifrirano zaglavlje s ~3 MB metapodataka i to je sve), trebate formatirati i montirati datotečni sustav sda7_crypt.
B2.3. Usporedba
cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.
opcije:
* otvoriti - uskladiti odjeljak "s imenom";
* /dev/sda7 -logički disk;
* sda7_crypt - mapiranje naziva koje se koristi za montiranje šifrirane particije ili njezino inicijaliziranje kada se OS podigne.
B2.4. Formatiranje datotečnog sustava sda7_crypt u ext4. Montiranje diska u OS(Napomena: nećete moći raditi s šifriranom particijom u Gpartedu)
#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt
opcije:
* -v -verbalizacija;
* -L - oznaka pogona (koja se prikazuje u Exploreru među ostalim pogonima).
Zatim biste trebali montirati virtualno šifrirani blok uređaj /dev/sda7_crypt na sustav
mount /dev/mapper/sda7_crypt /mntRad s datotekama u mapi /mnt automatski će šifrirati/dekriptirati podatke u sda7.
Pogodnije je mapirati i montirati particiju u Exploreru (nautilus/caja GUI), particija će već biti na popisu za odabir diska, preostaje samo unijeti šifru za otvaranje/dešifriranje diska. Odgovarajuće ime bit će odabrano automatski, a ne "sda7_crypt", već nešto poput /dev/mapper/Luks-xx-xx...
B2.5. Sigurnosna kopija zaglavlja diska (~3MB metapodataka)Jedan od najvažnijih važno operacije koje je potrebno izvršiti bez odgode - sigurnosna kopija zaglavlja “sda7_crypt”. Ako prebrišete/oštetite zaglavlje (na primjer, instaliranje GRUB2 na sda7 particiju, itd.), šifrirani podaci bit će potpuno izgubljeni bez ikakve mogućnosti oporavka, jer će biti nemoguće ponovno generirati iste ključeve; ključevi se kreiraju jedinstveno.
#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7
#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>
opcije:
* luksHeaderBackup —header-backup-file -backup naredba;
* luksHeaderRestore —naredba zaglavlje-backup-file -restore;
* ~/Backup_DebSHIFR - datoteka sigurnosne kopije;
* /dev/sda7 - particija čija sigurnosna kopija zaglavlja kriptiranog diska treba biti spremljena.
Na ovom koraku <stvaranje i uređivanje šifrirane particije> je završeno.
B3. Prijenos GNU/Linux OS-a (sda4) na šifriranu particiju (sda7)
Napravite mapu /mnt2 (Napomena - još uvijek radimo s live usb-om, sda7_crypt je montiran na /mnt), i montirajte naš GNU/Linux u /mnt2, koji mora biti šifriran.
mkdir /mnt2
mount /dev/sda4 /mnt2
Ispravan prijenos OS-a provodimo pomoću softvera Rsync
rsync -avlxhHX --progress /mnt2/ /mntOpcije Rsync opisane su u paragrafu E1.
dalje, nužan defragmentirati particiju logičkog diska
e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux
Postavite si pravilo: s vremena na vrijeme napravite e4defrag na šifriranom GNU/LInuxu ako imate HDD.
Prijenos i sinkronizacija [GNU/Linux > GNU/Linux-šifrirano] dovršeni su u ovom koraku.
U 4. Postavljanje GNU/Linuxa na šifriranoj sda7 particiji
Nakon uspješnog prijenosa OS-a /dev/sda4 > /dev/sda7, morate se prijaviti u GNU/Linux na šifriranoj particiji i izvršiti daljnju konfiguraciju (bez ponovnog pokretanja računala) u odnosu na šifrirani sustav. To jest, biti u live usb-u, ali izvršavati naredbe "u odnosu na korijen šifriranog OS-a." "chroot" će simulirati sličnu situaciju. Za brzo dobivanje informacija s kojim OS-om trenutno radite (šifrirano ili ne, jer su podaci u sda4 i sda7 sinkronizirani), desinkronizirajte OS. Stvorite u korijenskim direktorijima (sda4/sda7_kripta) prazne markerske datoteke, na primjer, /mnt/encryptedOS i /mnt2/decryptedOS. Brzo provjerite koji OS koristite (uključujući i za budućnost):
ls /<Tab-Tab>B4.1. “Simulacija prijave u šifrirani OS”
mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt
B4.2. Provjera da li se rad izvodi protiv šifriranog sustava
ls /mnt<Tab-Tab>
#и видим файл "/шифрованнаяОС"
history
#в выводе терминала должна появиться история команд su рабочей ОС.B4.3. Stvaranje/konfiguriranje šifrirane zamjene, uređivanje crypttab/fstabBudući da se swap datoteka formatira svaki put kad se OS pokrene, nema smisla sada stvarati i mapirati swap na logički disk i upisivati naredbe kao u odlomku B2.2. Za Swap, vlastiti privremeni ključevi šifriranja bit će automatski generirani pri svakom pokretanju. Životni ciklus swap ključeva: demontiranje/demontiranje swap particije (+čišćenje RAM-a); ili ponovno pokrenite OS. Postavljanje swapa, otvaranje datoteke odgovorne za konfiguraciju blok kriptiranih uređaja (analogno fstab datoteci, ali odgovorno za kripto).
nano /etc/crypttab uređujemo
#"target name" "source device" "key file" "options"
swap /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512
Opcije
* swap - mapirano ime prilikom šifriranja /dev/mapper/swap.
* /dev/sda8 - koristite svoju logičku particiju za swap.
* /dev/urandom - generator slučajnih ključeva šifriranja za razmjenu (sa svakim novim pokretanjem OS-a stvaraju se novi ključevi). Generator /dev/urandom je manje nasumičan od /dev/random, nakon svega /dev/random se koristi kada se radi u opasnim paranoidnim okolnostima. Prilikom učitavanja OS-a, /dev/random usporava učitavanje nekoliko ± minuta (pogledajte systemd-analyze).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -particija zna da je swap i formatirana je “u skladu s tim”; algoritam šifriranja.
#Открываем и правим fstab
nano /etc/fstab
uređujemo
# swap je bio uključen / dev / sda8 tijekom instalacije
/dev/mapper/swap nijedan swap sw 0 0
/dev/mapper/swap je naziv koji je postavljen u crypttab.
Alternativna šifrirana zamjena
Ako iz nekog razloga ne želite dati cijelu particiju za swap datoteku, tada možete odabrati alternativni i bolji put: stvaranje swap datoteke u datoteci na šifriranoj particiji s OS-om.
fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянныйPostavljanje swap particije je dovršeno.
B4.4. Postavljanje šifriranog GNU/Linuxa (uređivanje datoteka crypttab/fstab)Datoteka /etc/crypttab, kao što je gore napisano, opisuje šifrirane blok uređaje koji se konfiguriraju tijekom pokretanja sustava.
#правим /etc/crypttab
nano /etc/crypttab
ako ste uparili odjeljak sda7>sda7_crypt kao u paragrafu B2.1
# "target name" "source device" "key file" "options"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks
ako ste uparili odjeljak sda7>sda7_crypt kao u paragrafu B2.2
# "target name" "source device" "key file" "options"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512
ako ste podudarili odjeljak sda7>sda7_crypt kao u odlomku B2.1 ili B2.2, ali ne želite ponovno unijeti lozinku za otključavanje i pokretanje OS-a, tada umjesto lozinke možete zamijeniti tajni ključ/nasumičnu datoteku
# "target name" "source device" "key file" "options"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks
Opis
* ništa - javlja da je prilikom učitavanja OS-a potreban unos tajne šifre za otključavanje korijena.
* UUID - identifikator particije. Da biste saznali svoj ID, upišite terminal (podsjetnik da od ovog trenutka nadalje, radite na terminalu u chroot okruženju, a ne na drugom živom USB terminalu).
fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное
/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»
ova linija je vidljiva kada se zahtijeva blkid s live usb terminala s montiranim sda7_crypt).
Uzimate UUID sa svog sdaX-a (ne sdaX_crypt!, UUID sdaX_crypt - bit će automatski ostavljen prilikom generiranja grub.cfg konfiguracije).
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks enkripcija u naprednom načinu rada.
* /etc/skey - datoteka s tajnim ključem, koja se automatski umeće za otključavanje pokretanja OS-a (umjesto unosa 3. lozinke). Možete navesti bilo koju datoteku do 8 MB, ali podaci će se čitati <1 MB.
#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey
#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7
Izgledat će otprilike ovako:
(uradite sami i uvjerite se sami).
cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота/etc/fstab sadrži opisne informacije o različitim sustavima datoteka.
#Правим /etc/fstab
nano /etc/fstab
# "file system" "mount point" "type" "options" "dump" "pass"
# / bio je na / dev / sda7 tijekom instalacije
/dev/mapper/sda7_crypt / ext4 errors=remount-ro 0 1
opcija
* /dev/mapper/sda7_crypt - naziv mapiranja sda7>sda7_crypt, koji je naveden u datoteci /etc/crypttab.
Postavljanje crypttab/fstab je dovršeno.
B4.5. Uređivanje konfiguracijskih datoteka. Ključni trenutakB4.5.1. Uređivanje konfiguracije /etc/initramfs-tools/conf.d/resume
#Если у вас ранее был активирован swap раздел, отключите его.
nano /etc/initramfs-tools/conf.d/resume
i komentirajte (ako postoji) "#" redak "nastavak". Datoteka mora biti potpuno prazna.
B4.5.2. Uređivanje konfiguracije /etc/initramfs-tools/conf.d/cryptsetup
nano /etc/initramfs-tools/conf.d/cryptsetuptreba odgovarati
# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=da
izvoz CRYPTSETUP
B4.5.3. Uređivanje /etc/default/grub config (ova konfiguracija je odgovorna za mogućnost generiranja grub.cfg pri radu sa šifriranim /boot)
nano /etc/default/grub
dodajte redak “GRUB_ENABLE_CRYPTODISK=y”
vrijednost 'y', grub-mkconfig i grub-install će provjeriti postoje li šifrirani pogoni i generirati dodatne naredbe potrebne za pristup njima tijekom pokretanja sustava (insmods ).
mora postojati sličnost
GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=dobavljač"
GRUB_CMDLINE_LINUX="tiho prskanje noautomount"
GRUB_ENABLE_CRYPTODISK=g
B4.5.4. Uređivanje konfiguracije /etc/cryptsetup-initramfs/conf-hook
nano /etc/cryptsetup-initramfs/conf-hook
provjerite je li linija komentirao <#>.
U budućnosti (čak i sada, ovaj parametar neće imati nikakvo značenje, ali ponekad ometa ažuriranje initrd.img slike).
B4.5.5. Uređivanje konfiguracije /etc/cryptsetup-initramfs/conf-hook
nano /etc/cryptsetup-initramfs/conf-hookdodajući
KEYFILE_PATTERN=”/etc/key”
UMASK=0077
Ovo će spakirati tajni ključ "skey" u initrd.img, ključ je potreban za otključavanje root-a kada se OS pokrene (ako ne želite ponovno unijeti lozinku, umjesto auta je ključ "skey").
B4.6. Ažurirajte /boot/initrd.img [verzija]Da biste zapakirali tajni ključ u initrd.img i primijenili popravke cryptsetup, ažurirajte sliku
update-initramfs -u -k all
prilikom ažuriranja initrd.img (kako kažu "Moguće je, ali nije sigurno") pojavit će se upozorenja vezana za cryptsetup ili, na primjer, obavijest o gubitku Nvidia modula - to je normalno. Nakon ažuriranja datoteke provjerite je li stvarno ažurirana, pogledajte vrijeme (u odnosu na chroot okruženje./boot/initrd.img). Upozorenje! prije [update-initramfs -u -k all] svakako provjerite je li otvoren cryptsetup /dev/sda7 sda7_kripta - ovo je ime koje se pojavljuje u /etc/crypttab, inače će nakon ponovnog pokretanja doći do busybox pogreške)
U ovom koraku je dovršeno postavljanje konfiguracijskih datoteka.
[C] Instaliranje i konfiguriranje GRUB2/Protection
C1. Ako je potrebno, formatirajte namjensku particiju za bootloader (particija treba najmanje 20 MB)
mkfs.ext4 -v -L GRUB2 /dev/sda6C2. Montirajte /dev/sda6 u /mntDakle, radimo u chroot-u, tada neće biti /mnt2 direktorija u korijenu, a /mnt folder će biti prazan.
montirajte GRUB2 particiju
mount /dev/sda6 /mntAko imate instaliranu stariju verziju GRUB2, u direktoriju /mnt/boot/grub/i-386-pc (druga platforma je moguća, na primjer, ne "i386-pc") nema kripto modula (ukratko, mapa bi trebala sadržavati module, uključujući ove .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), u ovom slučaju GRUB2 treba protresti.
apt-get update
apt-get install grub2
Važno! Prilikom ažuriranja GRUB2 paketa iz repozitorija, na pitanje "o odabiru" gdje instalirati bootloader, morate odbiti instalaciju (razlog - pokušaj instaliranja GRUB2 - u “MBR” ili na live usb). Inače ćete oštetiti VeraCrypt zaglavlje/učitavač. Nakon ažuriranja GRUB2 paketa i otkazivanja instalacije, boot loader se mora ručno instalirati na logički disk, a ne u MBR. Ako vaše spremište ima zastarjelu verziju GRUB2, pokušajte to je sa službene web stranice - nisam provjerio (radio s najnovijim GRUB 2.02 ~BetaX bootloaderima).
C3. Instaliranje GRUB2 u proširenu particiju [sda6]Morate imati montiranu particiju [stavka C.2]
grub-install --force --root-directory=/mnt /dev/sda6
opcije
* —force - instalacija bootloadera, zaobilazeći sva upozorenja koja gotovo uvijek postoje i blokiraju instalaciju (obavezna zastavica).
* --root-directory - instalacija direktorija korijenu sda6.
* /dev/sda6 - vaša sdaH particija (nemojte propustiti <razmak> između /mnt /dev/sda6).
C4. Stvaranje konfiguracijske datoteke [grub.cfg]Zaboravite na naredbu "update-grub2" i koristite naredbu za generiranje pune konfiguracijske datoteke
grub-mkconfig -o /mnt/boot/grub/grub.cfg
nakon završetka generiranja/ažuriranja datoteke grub.cfg, izlazni terminal trebao bi sadržavati retke s OS-om koji se nalazi na disku (“grub-mkconfig” će vjerojatno pronaći i pokupiti OS s live usb-a, ako imate multiboot flash pogon sa Windows 10 i hrpu live distribucija - to je normalno). Ako je terminal "prazan" i datoteka "grub.cfg" nije generirana, onda je to isti slučaj kada postoje GRUB greške u sustavu (i najvjerojatnije učitavač iz testne grane repozitorija), ponovno instalirajte GRUB2 iz pouzdanih izvora.
Instalacija "jednostavne konfiguracije" i postavljanje GRUB2 je dovršeno.
C5. Dokazni test šifriranog GNU/Linux OS-aIspravno smo izvršili kriptomisiju. Pažljivo napuštajući šifrirani GNU/Linux (izlaz iz chroot okruženja).
umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot
Nakon ponovnog pokretanja računala, VeraCrypt bootloader bi se trebao učitati.
*Unosom lozinke za aktivnu particiju započet će učitavanje Windowsa.
*Pritiskom na tipku "Esc" kontrola će se prenijeti na GRUB2, ako odaberete šifrirani GNU/Linux - bit će potrebna lozinka (sda7_crypt) za otključavanje /boot/initrd.img (ako grub2 napiše uuid "not found" - ovo je problem s grub2 bootloaderom, treba ga ponovno instalirati, npr. iz testne grane/stabilne itd.).
*Ovisno o tome kako ste konfigurirali sustav (pogledajte odlomak B4.4/4.5), nakon unosa ispravne lozinke za otključavanje slike /boot/initrd.img, trebat će vam lozinka za učitavanje OS kernela/root-a ili tajne ključ će automatski biti zamijenjen "skey", čime se eliminira potreba za ponovnim unosom zaporke.
(zaslon “automatska zamjena tajnog ključa”).
*Tada će uslijediti poznati postupak učitavanja GNU/Linuxa s provjerom autentičnosti korisničkog računa.
*Nakon autorizacije korisnika i prijave na OS, trebate ponovo ažurirati /boot/initrd.img (vidi B4.6).
update-initramfs -u -k allI u slučaju dodatnih linija u GRUB2 izborniku (iz OS-m preuzimanja sa live usb-om) riješi ih se
mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg
Kratki sažetak šifriranja sustava GNU/Linux:
- GNU/Linuxinux je potpuno šifriran, uključujući /boot/kernel i initrd;
- tajni ključ je pakiran u initrd.img;
- trenutna shema autorizacije (unos lozinke za otključavanje initrd-a; lozinka/ključ za pokretanje OS-a; lozinka za autorizaciju Linux računa).
"Simple GRUB2 Configuration" šifriranje sustava blok particije je dovršeno.
C6. Napredna GRUB2 konfiguracija. Zaštita bootloadera s digitalnim potpisom + zaštita autentifikacijeGNU/Linux je potpuno šifriran, ali bootloader ne može biti šifriran - ovaj uvjet diktira BIOS. Iz tog razloga, lančano šifrirano pokretanje GRUB2 nije moguće, ali je jednostavno lančano pokretanje moguće/dostupno, ali sa sigurnosne točke gledišta nije potrebno [pogledajte P. F].
Za "ranjivi" GRUB2, programeri su implementirali zaštitni algoritam bootloadera "potpis/autentifikacija".
- Kada je bootloader zaštićen "vlastitim digitalnim potpisom", vanjska izmjena datoteka ili pokušaj učitavanja dodatnih modula u ovaj bootloader, dovest će do blokiranja procesa pokretanja.
- Kada štitite bootloader autentifikacijom, da biste odabrali učitavanje distribucije ili unijeli dodatne naredbe u CLI, morat ćete unijeti prijavu i lozinku superkorisnika-GRUB2.
C6.1. Zaštita provjere autentičnosti pokretačaProvjerite radite li na terminalu na šifriranom OS-u
ls /<Tab-Tab> #обнаружить файл-маркерkreirajte lozinku superkorisnika za autorizaciju u GRUB2
grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. Dobijte hash zaporke. Nešto kao ovo
grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
montirajte GRUB particiju
mount /dev/sda6 /mnt uredi konfiguraciju
nano -$ /mnt/boot/grub/grub.cfg
provjerite pretraživanje datoteka da nigdje nema oznaka u “grub.cfg” (“-unrestricted” “-user”,
dodajte na samom kraju (ispred retka ### END /etc/grub.d/41_custom ###)
"postavi superkorisnike="root"
lozinka_pbkdf2 root hash."
Trebalo bi biti ovako nešto
# Ova datoteka omogućuje jednostavan način dodavanja prilagođenih unosa izbornika. Jednostavno upišite
# unos jelovnika koji želite dodati nakon ovog komentara. Pazite da se ne promijenite
# gornja linija 'exec tail'.
### KRAJ /etc/grub.d/40_custom ###### POČETAK /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; zatim
izvor ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; zatim
izvor $prefix/custom.cfg;
fi
postavi superkorisnike="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### KRAJ /etc/grub.d/41_custom ###
#
Ako često koristite naredbu “grub-mkconfig -o /mnt/boot/grub/grub.cfg” i ne želite svaki put mijenjati grub.cfg, unesite gornje retke (Lozinka) u GRUB korisničkoj skripti na samom dnu
nano /etc/grub.d/41_custom mačka <<EOF
postavi superkorisnike="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF
Prilikom generiranja konfiguracije “grub-mkconfig -o /mnt/boot/grub/grub.cfg”, linije odgovorne za autentifikaciju automatski će se dodati u grub.cfg.
Ovaj korak dovršava postavljanje GRUB2 provjere autentičnosti.
C6.2. Zaštita pokretačkog programa s digitalnim potpisomPretpostavlja se da već imate svoj osobni pgp ključ za šifriranje (ili izradite takav ključ). Sustav mora imati instaliran kriptografski softver: gnuPG; kleopatra/GPA; Morski konj. Kripto softver će vam uvelike olakšati život u svim takvim stvarima. Seahorse - stabilna verzija paketa 3.14.0 (više verzije, na primjer, V3.20, su neispravne i imaju značajne greške).
PGP ključ treba generirati/pokrenuti/dodati samo u su okruženju!
Generirajte osobni ključ za šifriranje
gpg - -gen-keyIzvezite svoj ključ
gpg --export -o ~/perskeyMontirajte logički disk u OS ako već nije montiran
mount /dev/sda6 /mnt #sda6 – раздел GRUB2očisti GRUB2 particiju
rm -rf /mnt/Instalirajte GRUB2 u sda6, stavljajući svoj privatni ključ u glavnu GRUB sliku "core.img"
grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6
opcije
* --force - instalirajte bootloader, zaobilazeći sva upozorenja koja uvijek postoje (obavezna zastavica).
* —modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - upućuje GRUB2 da unaprijed učita potrebne module kada se računalo pokrene.
* -k ~/perskey -staza do “PGP ključa” (nakon pakiranja ključa u sliku, može se obrisati).
* --root-directory -postavite direktorij za pokretanje na korijen sda6
/dev/sda6 - vaša sdaX particija.
Generiranje/ažuriranje grub.cfg
grub-mkconfig -o /mnt/boot/grub/grub.cfgDodajte redak “trust /boot/grub/perskey” na kraj datoteke “grub.cfg” (prisilno korištenje pgp ključa.) Budući da smo instalirali GRUB2 sa skupom modula, uključujući modul potpisa “signature_test.mod”, to eliminira potrebu za dodavanjem naredbi poput “set check_signatures=enforce” u konfiguraciju.
Trebalo bi izgledati otprilike ovako (krajnji redovi u grub.cfg datoteci)
### POČETAK /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; zatim
izvor ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; zatim
izvor $prefix/custom.cfg;
fi
povjerenje /boot/grub/perskey
postavi superkorisnike="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### KRAJ /etc/grub.d/41_custom ###
#
Put do “/boot/grub/perskey” ne mora biti usmjeren na određenu particiju diska, na primjer hd0,6; za sam bootloader, “root” je zadana staza particije na kojoj je instaliran GRUB2 (vidi set rot=..).
Potpisivanje GRUB2 (sve datoteke u svim /GRUB direktorijima) s vašim ključem "perskey".
Jednostavno rješenje kako se potpisati (za nautilus/caja explorer): instalirajte proširenje “seahorse” za Explorer iz repozitorija. Vaš ključ mora biti dodan u su okruženje.
Otvorite Explorer pomoću sudo “/mnt/boot” – RMB – znak. Na ekranu to izgleda ovako
Sam ključ je “/mnt/boot/grub/perskey” (kopiraj u grub direktorij) također mora biti potpisan vlastitim potpisom. Provjerite pojavljuju li se potpisi datoteke [*.sig] u direktoriju/poddirektorijima.
Koristeći gore opisanu metodu, potpišite "/boot" (naš kernel, initrd). Ako vaše vrijeme išta vrijedi, onda ova metoda eliminira potrebu za pisanjem bash skripte za potpisivanje "puno datoteka".
Za uklanjanje svih potpisa pokretačkog programa (ako je nešto pošlo po zlu)
rm -f $(find /mnt/boot/grub -type f -name '*.sig')Kako ne bismo potpisali bootloader nakon ažuriranja sustava, zamrzavamo sve pakete ažuriranja koji se odnose na GRUB2.
apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-commonU ovom koraku <zaštiti bootloader digitalnim potpisom> napredna konfiguracija GRUB2 je dovršena.
C6.3. Dokazni test GRUB2 bootloadera, zaštićen digitalnim potpisom i autentifikacijomGRUB2. Prilikom odabira bilo koje GNU/Linux distribucije ili ulaska u CLI (naredbeni redak) Bit će potrebna autorizacija superkorisnika. Nakon unosa ispravnog korisničkog imena/lozinke, trebat će vam initrd lozinka
Snimka zaslona uspješne autentifikacije superkorisnika GRUB2.
Ako petljate u bilo koju GRUB2 datoteku/napravite promjene u grub.cfg, ili izbrišete datoteku/potpis, ili učitate zlonamjerni module.mod, pojavit će se odgovarajuće upozorenje. GRUB2 će pauzirati učitavanje.
Screenshot, pokušaj miješanja u GRUB2 "izvana".
Tijekom "normalnog" pokretanja "bez upada", status izlaznog koda sustava je "0". Stoga je nepoznato radi li zaštita ili ne (odnosno, "sa ili bez zaštite potpisa bootloadera" tijekom normalnog učitavanja status je isti "0" - ovo je loše).
Kako provjeriti zaštitu digitalnog potpisa?
Nezgodan način provjere: krivotvorite/uklonite modul koji koristi GRUB2, na primjer, uklonite potpis luks.mod.sig i dobit ćete pogrešku.
Ispravan način: idite na CLI pokretačkog programa i upišite naredbu
trust_list
Kao odgovor trebali biste primiti otisak prsta "perskey"; ako je status "0", tada zaštita potpisa ne radi, još jednom provjerite paragraf C6.2.
U ovom koraku je dovršena napredna konfiguracija “Zaštita GRUB2 digitalnim potpisom i autentifikacijom”.
C7 Alternativna metoda zaštite GRUB2 bootloadera pomoću hashiranjaGore opisana metoda "CPU Boot Loader Protection/Authentication" je klasična. Zbog nesavršenosti GRUB2, u paranoidnim uvjetima podložan je stvarnom napadu, što ću dati niže u paragrafu [F]. Osim toga, nakon ažuriranja OS-a/kernela, bootloader mora biti ponovno potpisan.
Zaštita GRUB2 pokretača pomoću hashiranja
Prednosti u odnosu na klasike:
- Viša razina pouzdanosti (raspršivanje/provjera odvija se samo iz kriptiranog lokalnog resursa. Cijela dodijeljena particija pod GRUB2 je kontrolirana za bilo kakve promjene, a sve ostalo je kriptirano; u klasičnoj shemi sa CPU loader protection/autentifikacijom, kontroliraju se samo datoteke, ali ne i slobodne prostor, u koji se može dodati “nešto” nešto zlokobno”).
- Šifrirano bilježenje (ljudski čitljiv osobni šifrirani dnevnik dodaje se shemi).
- Ubrzati (zaštita/provjera cijele particije dodijeljene za GRUB2 događa se gotovo trenutno).
- Automatizacija svih kriptografskih procesa.
Nedostaci u odnosu na klasike.
- Krivotvorenje potpisa (teoretski, moguće je pronaći danu koliziju hash funkcije).
- Povećana razina težine (u usporedbi s klasičnim, potrebno je malo više znanja u GNU/Linux OS-u).
Kako funkcionira ideja za raspršivanje GRUB2/particije
GRUB2 particija je "potpisana"; kada se OS podigne, provjerava se nepromjenjivost particije za pokretanje sustava, nakon čega slijedi prijavljivanje u sigurno (kriptirano) okruženje. Ako je bootloader ili njegova particija ugrožena, osim dnevnika upada, pokreće se sljedeće:
Stvar.
Slična provjera događa se četiri puta dnevno, što ne opterećuje resurse sustava.
Koristeći naredbu “-$ check_GRUB”, trenutna provjera se događa u bilo kojem trenutku bez zapisivanja, ali s izlazom informacija u CLI.
Korištenjem naredbe “-$ sudo signature_GRUB”, GRUB2 boot loader/particija trenutno se ponovno potpisuje i ažurira se u dnevniku (potrebno nakon ažuriranja OS-a/boot-a), i život ide dalje.
Implementacija metode raspršivanja za bootloader i njegov odjeljak
0) Potpišimo GRUB bootloader/particiju tako da ga prvo montiramo u /media/username
-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt1) Kreiramo skriptu bez ekstenzije u korijenu kriptiranog OS-a ~/podpis, primjenjujemo na nju potrebna 744 sigurnosna prava i besprijekornu zaštitu.
Punjenje njegovog sadržaja
#!/bin/bash
#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux.
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'
a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!!
b="hashdeep: Audit failed"
#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]]
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif'
fiPokrećemo skriptu iz su, provjerit će se hashiranje GRUB particije i njenog pokretačkog programa, spremite zapisnik.
Kreirajmo ili kopirajmo, na primjer, “zlonamjernu datoteku” [virus.mod] na GRUB2 particiju i pokrenimo privremeno skeniranje/test:
-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUBCLI mora vidjeti invaziju na našu -citadelu-#Skraćeni zapisnik u CLI-u
Ср янв 2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
Input files examined: 0
Known files expecting: 0
Files matched: 325
Files partially matched: 0
Files moved: 1
New files found: 0
Known files not found: 0
#Kao što vidite, pojavljuje se "Datoteke premještene: 1 i revizija nije uspjela", što znači da provjera nije uspjela.
Zbog prirode particije koja se testira, umjesto "Pronađene nove datoteke" > "Datoteke su premještene"
2) Stavite gif ovdje > ~/warning.gif, postavite dopuštenja na 744.
3) Konfiguriranje fstaba za automatsko montiranje GRUB particije pri dizanju
-$ sudo nano /etc/fstabLABEL=GRUB /media/username/GRUB ext4 zadano je 0 0
4) Okretanje trupca
-$ sudo nano /etc/logrotate.d/podpis /var/log/podpis.txt {
svakodnevno
rotirati 50
veličine 5M
datumext
oblog
kašnjenje kompresije
staridir /var/log/stari
}/var/log/vtorjenie.txt {
mjesečno
rotirati 5
veličine 5M
datumext
staridir /var/log/stari
}
5) Dodajte posao u cron
-$ sudo crontab -e'/pretplata'
0 */6 * * * '/podpis
6) Stvaranje trajnih aliasa
-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash
Nakon ažuriranja OS-a -$ apt-get upgrade ponovno potpišite našu GRUB particiju
-$ подпись_GRUB
U ovom trenutku, zaštita od raspršivanja GRUB particije je završena.
[D] Brisanje - uništavanje nešifriranih podataka
Izbrišite svoje osobne datoteke tako potpuno da ih "čak ni Bog ne može pročitati", prema glasnogovorniku Južne Karoline Treyu Gowdyju.
Kao i obično, postoje razni „mitovi i ", o vraćanju podataka nakon što su izbrisani s tvrdog diska. Ako vjerujete u cyberwitchcraft, ili ste član Dr web zajednice i nikada niste pokušali vratiti podatke nakon što su izbrisani/prebrisani (na primjer, oporavak pomoću R-studija), tada vam predložena metoda vjerojatno neće odgovarati, upotrijebite ono što vam je najbliže.
Nakon uspješnog prijenosa GNU/Linuxa na šifriranu particiju, staru kopiju potrebno je obrisati bez mogućnosti oporavka podataka. Univerzalna metoda čišćenja: besplatni GUI softver za Windows/Linux .
brzo formatirajte odjeljak, podatke o kojima je potrebno uništiti (preko Gparteda) pokrenite BleachBit, odaberite “Clean up free space” - odaberite particiju (vaš sdaX s prethodnom kopijom GNU/Linuxa), započet će postupak skidanja. BleachBit - briše disk u jednom prolazu - to je ono što nam "treba", Ali! Ovo funkcionira samo u teoriji ako ste formatirali disk i očistili ga u BB v2.0 softveru.
Pažnja! BB briše disk, ostavljajući metapodatke; imena datoteka se čuvaju kada se podaci uklone (Ccleaner - ne ostavlja metapodatke).
A mit o mogućnosti oporavka podataka nije u potpunosti mit.Bleachbit V2.0-2 bivši nestabilni OS Debian paket (i svi drugi slični softveri: sfill; wipe-Nautilus - također su primijećeni u ovom prljavom poslu) zapravo je imao kritičnu pogrešku: funkciju "čišćenja slobodnog prostora". radi neispravno na HDD/Flash diskovima (ntfs/ext4). Softver ove vrste, prilikom čišćenja slobodnog prostora, ne prepisuje cijeli disk, kao što mnogi korisnici misle. I još (puno) obrisani podaci OS/softver te podatke smatra neobrisanim/korisničkim podacima i prilikom čišćenja "OSP" preskače te datoteke. Problem je što nakon tako dugo vremena, čišćenje diska "izbrisane datoteke" mogu se vratiti čak i nakon 3+ prolaza brisanja diska.
Na GNU/Linuxu na Bleachbitu 2.0-2 Funkcije trajnog brisanja datoteka i direktorija rade pouzdano, ali ne i brisanja slobodnog prostora. Za usporedbu: na Windowsima u CCleaneru funkcija “OSP for ntfs” radi ispravno, a Bog stvarno neće moći čitati izbrisane podatke.
I tako, temeljito ukloniti "kompromitiranje" stari nešifrirani podaci, Bleachbit treba izravan pristup ovim podacima, zatim upotrijebite funkciju "trajno brisanje datoteka/direktorija".
Za uklanjanje "izbrisanih datoteka pomoću standardnih OS alata" u sustavu Windows, koristite CCleaner/BB s funkcijom "OSP". U GNU/Linuxu preko ovog problema (brisanje izbrisanih datoteka) morate sami steći praksu (brisanje podataka + samostalan pokušaj vraćanja i ne treba se oslanjati na verziju softvera (ako ne bookmark, onda bug)), samo u ovom slučaju moći ćete razumjeti mehanizam ovog problema i potpuno se riješiti izbrisanih podataka.
Nisam testirao Bleachbit v3.0, problem je možda već riješen.
Bleachbit v2.0 radi pošteno.
U ovom koraku brisanje diska je dovršeno.
[E] Univerzalna sigurnosna kopija šifriranog OS-a
Svaki korisnik ima vlastitu metodu sigurnosnog kopiranja podataka, ali šifrirani podaci OS sustava zahtijevaju malo drugačiji pristup zadatku. Unificirani softver, kao što je Clonezilla i sličan softver, ne može izravno raditi s šifriranim podacima.
Izjava o problemu sigurnosne kopije šifriranih blok uređaja:
- univerzalnost - isti backup algoritam/softver za Windows/Linux;
- mogućnost rada u konzoli s bilo kojim live usb GNU/Linuxom bez potrebe za dodatnim preuzimanjem softvera (ali ipak preporučujem GUI);
- sigurnost sigurnosnih kopija - pohranjene “slike” moraju biti šifrirane/zaštićene lozinkom;
- veličina šifriranih podataka mora odgovarati veličini stvarnih podataka koji se kopiraju;
- praktično izdvajanje potrebnih datoteka iz sigurnosne kopije (nije potrebno prvo dešifrirati cijeli odjeljak).
Na primjer, sigurnosno kopiranje/vraćanje putem uslužnog programa "dd".
dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerrorOdgovara gotovo svim točkama zadatka, ali prema točki 4 ne podnosi kritiku, jer kopira cijelu particiju diska, uključujući i slobodni prostor - nije zanimljivo.
Na primjer, GNU/Linux sigurnosna kopija putem arhivera [tar" | gpg] je prikladno, ali za Windows backup morate potražiti drugo rješenje - nije zanimljivo.
E1. Univerzalna Windows/Linux sigurnosna kopija. Povežite rsync (Grsync)+VeraCrypt volumenAlgoritam za izradu sigurnosne kopije:
- stvaranje šifriranog spremnika (svezak/datoteka) VeraCrypt za OS;
- prenijeti/sinkronizirati OS pomoću Rsync softvera u VeraCrypt kripto spremnik;
- ako je potrebno, učitavanje VeraCrypt volumena na www.
Stvaranje šifriranog VeraCrypt spremnika ima svoje karakteristike:
stvaranje dinamičnog volumena (izrada DT-a dostupna je samo u Windowsima, može se koristiti i u GNU/Linuxu);
stvaranje redovitog volumena, ali postoji zahtjev za "paranoičnim karakterom" (prema programeru) – formatiranje spremnika.
Dinamički volumen se stvara gotovo trenutno u sustavu Windows, ali kod kopiranja podataka iz GNU/Linux > VeraCrypt DT, ukupna izvedba sigurnosne kopije značajno opada.
Stvoren je uobičajeni volumen Twofish od 70 GB (recimo samo, na prosječnoj snazi računala) na HDD ~ za pola sata (prepisivanje podataka bivšeg spremnika u jednom prolazu je zbog sigurnosnih zahtjeva). Funkcija brzog formatiranja volumena prilikom njegovog stvaranja uklonjena je iz VeraCrypt Windows/Linuxa, tako da je stvaranje spremnika moguće samo kroz "prepisivanje u jednom prolazu" ili stvaranje dinamičkog volumena niskih performansi.
Stvorite obični VeraCrypt volumen (nije dinamički/ntfs), ne bi trebalo biti nikakvih problema.
Konfigurirajte/izradite/otvorite spremnik u VeraCrypt GUI> GNU/Linux live usb (volumen će se automatski montirati na /media/veracrypt2, volumen OS-a Windows bit će montiran na /media/veracrypt1). Stvaranje šifrirane sigurnosne kopije Windows OS-a pomoću GUI rsync (grsync)označavanjem kućica.
Pričekajte da se proces završi. Kada sigurnosna kopija završi, imat ćemo jednu šifriranu datoteku.
Slično, stvorite sigurnosnu kopiju GNU/Linux OS-a poništavanjem potvrdnog okvira “Windows compatibility” u rsync GUI.
Pažnja! stvoriti Veracrypt spremnik za "GNU/Linux backup" u datotečnom sustavu ext4. Ako napravite sigurnosnu kopiju u ntfs spremnik, tada kada vratite takvu kopiju, izgubit ćete sva prava/grupe na sve svoje podatke.
Sve operacije mogu se izvršiti u terminalu. Osnovne opcije za rsync:
* -g -spremi grupe;
* -P —napredak — status vremena provedenog u radu na datoteci;
* -H - kopiraj tvrde veze kakve jesu;
* -a -arhivski način (više rlptgoD oznaka);
* -v -verbalizacija.
Ako želite montirati "Windows VeraCrypt volumen" putem konzole u softveru za postavljanje kriptovaluta, možete stvoriti alias (su)
echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash
Sada će naredba “veramount pictures” od vas tražiti da unesete zaporku, a šifrirani volumen sustava Windows bit će montiran u OS.
Mapirajte/postavite VeraCrypt sistemski volumen u naredbi cryptsetup
cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mntMapa/montiranje VeraCrypt particije/spremnika u naredbi cryptsetup
cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mntUmjesto aliasa, dodat ćemo (skriptu za pokretanje) sistemski volumen s Windows OS-om i logički šifrirani ntfs disk pokretanju GNU/Linuxa
Napravite skriptu i spremite je u ~/VeraOpen.sh
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.
Distribuiramo "ispravna" prava:
sudo chmod 100 /VeraOpen.shNapravite dvije identične datoteke (isti naziv!) u /etc/rc.local i ~/etc/init.d/rc.local
Popunjavanje datoteka
#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0Distribuiramo "ispravna" prava:
sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local To je to, sada kada učitavamo GNU/Linux ne trebamo unositi lozinke za montiranje šifriranih ntfs diskova, diskovi se montiraju automatski.
Kratka napomena o onome što je gore opisano u paragrafu E1 korak po korak (ali sada za OS GNU/Linux)
1) Stvorite volumen u fs ext4 > 4gb (za datoteku) Linux u Veracrypt [Cryptbox].
2) Ponovno pokrenite za live usb.
3) ~$ cryptsetup otvori /dev/sda7 Lunux #mapping šifriranu particiju.
4) ~$ montiranje /dev/mapper/Linux /mnt #montiranje šifrirane particije u /mnt.
5) ~$ mkdir mnt2 #stvaranje direktorija za buduću sigurnosnu kopiju.
6) ~$ cryptsetup open —veracrypt —upišite tcrypt ~/CryptoBox CryptoBox && montirajte /dev/mapper/CryptoBox /mnt2 #Mapirajte Veracrypt volumen pod nazivom “CryptoBox” i montirajte CryptoBox na /mnt2.
7) ~$ rsync -avlxhHX —progress /mnt /mnt2/ #operacija sigurnosnog kopiranja šifrirane particije na šifrirani Veracrypt volumen.
(p.s/ Pažnja! Ako prenosite šifrirani GNU/Linux s jedne arhitekture/stroja na drugu, na primjer, Intel > AMD (to jest, postavljate sigurnosnu kopiju s jedne šifrirane particije na drugu šifriranu Intel > AMD particiju), Ne zaboravi Nakon prijenosa šifriranog OS-a, možda uredite tajni zamjenski ključ umjesto lozinke. prethodni ključ ~/etc/skey - više neće odgovarati drugoj kriptiranoj particiji i nije preporučljivo kreirati novi ključ “cryptsetup luksAddKey” ispod chroota - greška je moguća, samo u ~/etc/crypttab navedite umjesto “/etc/skey” privremeno “none” ", nakon ponovnog pokretanja i prijave u OS, ponovo stvorite svoj tajni zamjenski ključ).
Kao IT veterani, ne zaboravite zasebno izraditi sigurnosne kopije zaglavlja šifriranih Windows/Linux OS particija ili će se enkripcija okrenuti protiv vas.
U ovom koraku je sigurnosna kopija šifriranog OS-a dovršena.
[F] Napad na GRUB2 bootloader
DetaljiAko ste svoj bootloader zaštitili digitalnim potpisom i/ili autentifikacijom (vidi točku C6.), onda to neće zaštititi od fizičkog pristupa. Šifrirani podaci i dalje će biti nedostupni, ali će zaštita biti zaobiđena (resetiraj zaštitu digitalnog potpisa) GRUB2 dopušta cyber zlikovcu da ubaci svoj kod u bootloader bez izazivanja sumnje (osim ako korisnik ručno nadzire stanje bootloadera ili ne smisli vlastiti robusni kod proizvoljne skripte za grub.cfg).
Algoritam napada. Uljez
* Pokreće računalo s USB-a uživo. Svaka promjena (prestupnik) datoteke će pravog vlasnika računala obavijestiti o upadu u bootloader. Ali jednostavna ponovna instalacija GRUB2 zadržavajući grub.cfg (i naknadnu mogućnost uređivanja) omogućit će napadaču uređivanje bilo koje datoteke (u ovoj situaciji, prilikom učitavanja GRUB2, pravi korisnik neće biti obaviješten. Status je isti <0>)
* Montira nekriptiranu particiju, pohranjuje “/mnt/boot/grub/grub.cfg”.
* Ponovno instalira bootloader (uklanjanje "perskey" sa slike core.img)
grub-install --force --root-directory=/mnt /dev/sda6
* Vraća “grub.cfg” > “/mnt/boot/grub/grub.cfg”, uređuje ga ako je potrebno, na primjer, dodaje vaš modul “keylogger.mod” u mapu s modulima za učitavanje, u “grub.cfg” > redak "insmod keylogger". Ili, na primjer, ako je neprijatelj lukav, onda nakon ponovne instalacije GRUB2 (svi potpisi ostaju na mjestu) gradi glavnu GRUB2 sliku koristeći "grub-mkimage s opcijom (-c)." Opcija “-c” omogućit će vam da učitate svoju konfiguraciju prije učitavanja glavnog “grub.cfg”. Konfiguracija se može sastojati od samo jednog retka: preusmjeravanje na bilo koji "modern.cfg", pomiješan, na primjer, s ~400 datoteka (moduli+potpisi) u mapi "/boot/grub/i386-pc". U ovom slučaju, napadač može umetnuti proizvoljan kod i učitati module bez utjecaja na “/boot/grub/grub.cfg”, čak i ako je korisnik primijenio “hashsum” na datoteku i privremeno je prikazao na ekranu.
Napadač neće morati hakirati GRUB2 superkorisničku prijavu/lozinku; samo će morati kopirati retke (odgovoran za autentifikaciju) "/boot/grub/grub.cfg" u vaš "modern.cfg"
postavi superkorisnike="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
A vlasnik osobnog računala i dalje će biti autentificiran kao GRUB2 superkorisnik.
Opterećenje lanca (bootloader učitava drugi bootloader), kao što sam gore napisao, nema smisla (namijenjen je za drugu svrhu). Šifrirani bootloader ne može se učitati zbog BIOS-a (lančano pokretanje ponovno pokreće GRUB2 > šifrirani GRUB2, pogreška!). Međutim, ako i dalje koristite ideju lančanog učitavanja, možete biti sigurni da se učitava onaj šifrirani. (nije modernizirano) "grub.cfg" s šifrirane particije. A to je također lažni osjećaj sigurnosti, jer sve što je naznačeno u šifriranom “grub.cfg” (učitavanje modula) zbraja module koji se učitavaju iz nekriptiranog GRUB2.
Ako želite ovo provjeriti, tada dodijelite/kriptirajte drugu particiju sdaY, kopirajte GRUB2 na nju (operacija grub-instalacije na šifriranoj particiji nije moguća) i u "grub.cfg" (nešifrirana konfiguracija) promijeniti linije poput ovih
menuentry 'GRUBx2' --class parrot --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
load_video
insmod gzio
if [ x$grub_platform = xxen ]; zatim insmod xzio; insmod lzopio; fi
insmod dio_msdos
insmod kriptodisk
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
normalno /boot/grub/grub.cfg
}
žice
* insmod - učitavanje potrebnih modula za rad s šifriranim diskom;
* GRUBx2 - naziv retka prikazanog u GRUB2 izborniku za pokretanje;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -vidi. fdisk -l (sda9);
* postaviti root - instalirati root;
* normalno /boot/grub/grub.cfg - izvršna konfiguracijska datoteka na šifriranoj particiji.
Povjerenje da je šifrirani "grub.cfg" taj koji je učitan pozitivan je odgovor na unos lozinke/otključavanje "sdaY" prilikom odabira retka "GRUBx2" u GRUB izborniku.
Kada radite u CLI-u, da se ne zbunite (i provjerite je li varijabla okoline "set root" radila), stvoriti prazne datoteke tokena, na primjer, u šifriranom odjeljku “/shifr_grub”, u nešifriranom odjeljku “/noshifr_grub”. Provjera u CLI
cat /Tab-TabKao što je gore navedeno, ovo neće pomoći protiv preuzimanja zlonamjernih modula ako takvi moduli završe na vašem računalu. Na primjer, keylogger koji će moći spremiti pritiske tipki u datoteku i miješati je s drugim datotekama u “~/i386” dok je ne preuzme napadač s fizičkim pristupom računalu.
Najlakši način da provjerite radi li zaštita digitalnog potpisa (nije resetirano), a nitko nije upao u bootloader, unesite naredbu u CLI
list_trusted
kao odgovor dobivamo primjerak našeg "perskeya" ili ne dobivamo ništa ako smo napadnuti (također trebate označiti "set check_signatures=enforce").
Značajan nedostatak ovog koraka je ručni unos naredbi. Ako dodate ovu naredbu u “grub.cfg” i zaštitite konfiguraciju digitalnim potpisom, tada je preliminarni izlaz snimke ključa na zaslonu vremenski prekratak i možda nećete imati vremena vidjeti izlaz nakon učitavanja GRUB2 .
Nema nikoga posebno za potraživanja: programer u svom klauzula 18.2 službeno izjavljuje
“Imajte na umu da čak i uz GRUB zaštitu lozinkom, sam GRUB ne može spriječiti nekoga s fizičkim pristupom stroju da promijeni konfiguraciju firmvera tog stroja (npr. Coreboot ili BIOS) kako bi uzrokovao pokretanje stroja s drugog (napadača) uređaja. GRUB je u najboljem slučaju samo jedna karika u sigurnom lancu pokretanja."
GRUB2 je preopterećen funkcijama koje mogu dati osjećaj lažne sigurnosti, a njegov razvoj već je nadmašio MS-DOS u smislu funkcionalnosti, ali on je samo bootloader. Smiješno je da GRUB2 - "sutra" može postati OS, i GNU/Linux virtualni strojevi za pokretanje sustava za njega.
Kratki video o tome kako sam resetirao GRUB2 zaštitu digitalnog potpisa i prijavio svoj upad pravom korisniku (Uplašio sam te, ali umjesto onoga što je prikazano u videu, možete napisati neškodljiv proizvoljan kod/.mod).
Zaključak:
1) Enkripciju blok sustava za Windows lakše je implementirati, a zaštita s jednom lozinkom je praktičnija od zaštite s nekoliko lozinki s GNU/Linux šifriranjem blok sustava, da budemo pošteni: potonja je automatizirana.
2) Članak sam napisao kao relevantan i detaljan jednostavan vodič za šifriranje cijelog diska VeraCrypt/LUKS na jednom kućnom računalu, što je daleko najbolje u RuNetu (IMHO). Vodič ima > 50 tisuća znakova, tako da nije pokrio neka zanimljiva poglavlja: kriptografi koji nestaju/zadržavaju se u sjeni; o tome da se u raznim GNU/Linux knjigama malo piše/ne piše o kriptografiji; o članku 51. Ustava Ruske Federacije; O /zabrana , o tome zašto trebate šifrirati "root/boot". Vodič se pokazao prilično opširnim, ali detaljnim. (opisuje čak i jednostavne korake), zauzvrat, ovo će vam uštedjeti mnogo vremena kada dođete do "prave enkripcije".
3) Puna enkripcija diska izvedena je na Windows 7 64; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.
4) Proveden uspješan napad na njegov GRUB2 pokretački program.
5) Vodič je stvoren kako bi pomogao svim paranoičnim ljudima u CIS-u, gdje je rad s enkripcijom dopušten na zakonodavnoj razini. I prvenstveno za one koji žele uvesti enkripciju cijelog diska bez uništavanja svojih konfiguriranih sustava.
6) Preradio sam i ažurirao svoj priručnik, koji je relevantan u 2020.
[G] Korisna dokumentacija
- (veljača 2012. RU)
- /usr/share/doc/cryptsetup(-run) [lokalni izvor] (službena detaljna dokumentacija o postavljanju GNU/Linux enkripcije pomoću cryptsetupa)
- (kratka dokumentacija o postavljanju GNU/Linux enkripcije pomoću cryptsetupa)
- (archlinux dokumentacija)
- (arch man stranica)
- (arch man stranica)
- .
Oznake: enkripcija cijelog diska, enkripcija particije, Linux enkripcija cijelog diska, LUKS1 puna enkripcija sustava.
U anketi mogu sudjelovati samo registrirani korisnici. , molim.
Šifrirate li?
-
17,1%Šifriram sve što mogu. paranoičan sam.14
-
34,2%Šifriram samo važne podatke.28
-
14,6%Ponekad šifriram, ponekad zaboravim.12
-
34,2%Ne, ne šifriram, nezgodno je i skupo.28
Glasovalo je 82 korisnika. Suzdržana su bila 22 korisnika.
Izvor: www.habr.com