Mete ajou pwòp gid pou chifreman ki gen kapasite konplè nan RuNet V0.2.
Estrateji Cowboy:
[A] Windows 7 sistèm bloke chifreman nan sistèm enstale a;
[B] GNU/Linux sistèm bloke chifreman (Debian) sistèm enstale (ki gen ladan /bòt);
[C] GRUB2 konfigirasyon, pwoteksyon bootloader ak siyati dijital/otantifikasyon/hashing;
[D] retire rad sou ou—destriksyon done ki pa chiffres;
[E] backup inivèsèl nan eksplwatasyon an chiffres;
[F] atak <sou atik [C6]> sib - GRUB2 bootloader;
[G]dokimantasyon itil.
╭───Schéma #chanm 40# :
├──╼ Windows 7 enstale - sistèm chifreman konplè, pa kache;
├──╼ GNU/Linux enstale (Debian ak distribisyon derive) - sistèm chifreman konplè, pa kache(/, ki gen ladan / bòt; swap);
├──╼ charjeur endepandan: VeraCrypt bootloader enstale nan MBR a, GRUB2 bootloader enstale nan patisyon an pwolonje;
├──╼pa gen okenn enstalasyon OS oswa re-enstalasyon obligatwa;
└──╼lojisyèl kriptografik yo itilize: VeraCrypt; Cryptsetup; GnuPG; Seahorse; Hashdeep; GRUB2 gratis/gratis.
Konplo ki pi wo a pasyèlman rezoud pwoblèm nan nan "bòt aleka nan yon kondwi flash", pèmèt ou jwi chiffres OS Windows/Linux ak echanj done atravè yon "chanèl chiffres" soti nan yon OS nan yon lòt.
Lòd bòt PC (youn nan opsyon yo):
- vire machin nan;
- chaje bootloader VeraCrypt la (antre modpas kòrèk la ap kontinye demaraj Windows 7);
- peze "Esc" kle a pral chaje charger bòt GRUB2;
- Chargeur bòt GRUB2 (chwazi distribisyon/GNU/Linux/CLI), yo pral mande otantifikasyon GRUB2 superitilizatè <login/modpas>;
- apre otantifikasyon siksè ak seleksyon distribisyon an, w ap bezwen antre yon pasfraz pou déblotché "/boot/initrd.img";
- apre ou fin antre nan modpas san erè, GRUB2 pral "mande" yon antre modpas (twazyèm, modpas BIOS oswa modpas kont itilizatè GNU/Linux - pa konsidere) pou déblotché ak demaraj GNU/Linux OS, oswa otomatikman ranplase yon kle sekrè (de modpas + kle, oswa modpas + kle);
- entrizyon ekstèn nan konfigirasyon GRUB2 a pral jele pwosesis bòt GNU/Linux la.
Pwoblèm? Oke, ann ale otomatize pwosesis yo.
Lè partitionnement yon dis lou (Tablo MBR) Yon PC pa ka gen plis pase 4 patisyon prensipal, oswa 3 prensipal ak yon sèl pwolonje, osi byen ke yon zòn ki pa alokasyon. Yon seksyon pwolonje, kontrèman ak youn prensipal la, ka genyen sou-seksyon (kondwi lojik = patisyon pwolonje). Nan lòt mo, "patisyon pwolonje" sou HDD a ranplase LVM pou travay la nan men an: sistèm chifreman konplè. Si disk ou a divize an 4 patisyon prensipal, ou bezwen sèvi ak lvm oswa transfòme (ak fòma) seksyon soti nan prensipal nan avanse, oswa avèk sajès sèvi ak tout kat seksyon epi kite tout bagay kòm se, ap resevwa rezilta a vle. Menm si ou gen yon patisyon sou disk ou a, Gparted ap ede ou patisyon HDD ou (pou seksyon adisyonèl) san pèt done, men toujou ak yon ti penalite pou aksyon sa yo.
Konplo a Layout kondwi difisil, an relasyon ak tout atik la pral vèbalize, prezante nan tablo ki anba a.
Tablo (No 1) patisyon 1TB.
Ou ta dwe gen yon bagay ki sanble tou.
sda1 - prensipal patisyon No 1 NTFS (chiffre);
sda2 - makè seksyon pwolonje;
sda6 - disk lojik (li gen bootloader GRUB2 enstale);
sda8 - swap (fichye swap chiffres/pa toujou);
sda9 - tès lojik disk;
sda5 - disk lojik pou kirye yo;
sda7 - GNU/Linux OS (transfere eksplwatasyon sou yon disk ki lojik chifre);
sda3 - prensipal patisyon No 2 ak Windows 7 OS (chiffre);
sda4 - seksyon prensipal nimewo 3 (li gen ladann GNU/Linux ki pa kode, yo itilize pou backup/pa toujou).
[A] Windows 7 System Block Encryption
A1. VeraCrypt
Telechaje soti nan , oswa soti nan glas la vèsyon enstalasyon lojisyèl kriptografik VeraCrypt (nan moman piblikasyon atik la v1.24-Update3, vèsyon pòtab VeraCrypt a pa apwopriye pou sistèm chifreman). Tcheke sòm chèk lojisyèl telechaje a
$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256
epi konpare rezilta a ak CS afiche sou sit entènèt pwomotè VeraCrypt la.
Si lojisyèl HashTab enstale, li menm pi fasil: RMB (VeraCrypt Enstalasyon 1.24.exe)-pwopriyete - sòm total dosye yo.
Pou verifye siyati pwogram lan, lojisyèl an ak kle piblik pgp pwomotè a dwe enstale sou sistèm lan ; .
A2. Enstale/kouri lojisyèl VeraCrypt ak dwa administratè
A3. Chwazi paramèt chifreman sistèm pou patisyon aktif laVeraCrypt – Sistèm – Ankripte patisyon/disk sistèm – Nòmal – Ankripte patisyon sistèm Windows – Multiboot – (avètisman: "Itilizatè ki pa gen eksperyans yo pa rekòmande yo sèvi ak metòd sa a" e sa a se vre, nou dakò "Wi") – Diskèt bòt ("wi", menm si se pa konsa, toujou "wi") – Kantite disk sistèm “2 oswa plis” – Plizyè sistèm sou yon sèl disk “Wi” – Bootloader ki pa Windows “Non” (an reyalite, "Wi," men chajè bòt VeraCrypt/GRUB2 yo pa pral pataje MBR a nan mitan tèt yo; pi jisteman, se sèlman pati ki pi piti a nan kòd la loader bòt ki estoke nan tras la MBR / bòt, pati prensipal la nan li se ki sitiye nan sistèm dosye a) - Multiboot - Anviwònman chifreman ...
Si ou devye ak etap ki anwo yo (blòk sistèm chifreman rapid), Lè sa a, VeraCrypt pral bay yon avètisman epi li pa pral pèmèt ou ankripte patisyon an.
Nan pwochen etap la nan direksyon pwoteksyon done vize, fè yon "tès" epi chwazi yon algorithm chifreman. Si ou gen yon CPU demode, Lè sa a, gen plis chans algorithm chifreman ki pi rapid la pral Twofish. Si CPU a pwisan, ou pral remake diferans lan: AES chifreman, dapre rezilta tès yo, yo pral plizyè fwa pi vit pase konpetitè kript li yo. AES se yon algorithm chifreman popilè; pyès ki nan konpitè CPU modèn yo espesyalman optimize pou tou de "sekrè" ak "piratage".
VeraCrypt sipòte kapasite pou ankripte disk nan yon kaskad AES(De pwason)/ ak lòt konbinezon. Sou yon ansyen CPU Intel debaz soti nan dis ane de sa (san sipò pyès ki nan konpitè pou AES, A/T kaskad chifreman) Diminisyon nan pèfòmans se esansyèlman insansibl. (pou CPU AMD nan menm epòk la / ~ paramèt, pèfòmans yo se yon ti kras redwi). OS la ap travay dinamik epi konsomasyon resous pou chifreman transparan se envizib. Kontrèman, pou egzanp, gen yon diminisyon aparan nan pèfòmans akòz enstale anviwònman Desktop tès enstab Mate v1.20.1. (oswa v1.20.2 mwen pa sonje egzakteman) nan GNU/Linux, oswa akòz operasyon woutin telemetrik nan Windows7↑. Tipikman, itilizatè ki gen eksperyans fè tès pèfòmans pyès ki nan konpitè anvan chifreman. Pou egzanp, nan Aida64/Sysbench/systemd-analyse blame yo konpare ak rezilta yo nan menm tès yo apre yo fin ankripte sistèm nan, kidonk demanti mit pou tèt yo ke "chifreman sistèm se danjere." Ralentissement machin lan ak enkonvenyan yo aparan lè fè bak/restore done chiffres, paske "sistèm done sauvegarde" operasyon an tèt li pa mezire an ms, ak sa yo menm <decrypt/encrypt on the fly> yo ajoute. Alafen, chak itilizatè ki gen dwa pou brikole ak kriptografik balans algorithm chifreman an kont satisfaksyon nan travay yo nan men yo, nivo yo nan paranoya, ak fasilite nan itilize.
Li pi bon pou kite paramèt PIM la kòm default, pou lè w ap chaje eksplwatasyon an ou pa bezwen antre nan valè iterasyon egzak yo chak fwa. VeraCrypt sèvi ak yon gwo kantite iterasyon pou kreye yon "hash dousman" vrèman. Yon atak sou yon "kalmason kriptografik" konsa lè l sèvi avèk metòd Brute Force / rainbow tab la gen sans sèlman ak yon fraz pas "senp" ak lis karaktè pèsonèl viktim nan. Pri pou peye pou fòs modpas se yon reta nan antre modpas kòrèk la lè chaje OS la. (Monte komèsan VeraCrypt nan GNU/Linux siyifikativman pi vit).
Lojisyèl gratis pou mete ann aplikasyon atak fòs brital (ekstre pasfraz soti nan header disk VeraCrypt/LUKS) Hashcat. John Ripper a pa konnen ki jan yo "kraze Veracrypt", epi lè w ap travay ak LUKS pa konprann Twofish kriptografik.
Akòz fòs kriptografik algoritm chifreman yo, cypherpunks irézistibl ap devlope lojisyèl ak yon vektè atak diferan. Pou egzanp, èkstraksyon metadata / kle soti nan RAM (bòt frèt/atak aksè memwa dirèk), Gen lojisyèl espesyalize gratis ak ki pa gratis pou rezon sa yo.
Lè yo fin mete kanpe / jenere "metadone inik" nan patisyon aktif chiffres la, VeraCrypt pral ofri rekòmanse PC a epi teste fonksyonalite bootloader li yo. Apre rdemare / kòmanse Windows, VeraCrypt pral chaje nan mòd sibstiti, tout sa ki rete se konfime pwosesis la chifreman - Y.
Nan etap final la nan sistèm chifreman, VeraCrypt pral ofri yo kreye yon kopi backup nan tèt la nan patisyon an chiffres aktif nan fòm lan nan "veracrypt sekou disk.iso" - sa a dwe fè - nan lojisyèl sa a yon operasyon konsa se yon kondisyon (nan LUKS, kòm yon kondisyon - sa a se malerezman omisyon, men yo mete aksan sou nan dokiman an). Disk sekou ap vin an sou la men pou tout moun, ak pou kèk plis pase yon fwa. Pèt (tèt/MBR reekri) yon kopi sovgad nan header la pral pèmanan refize aksè nan patisyon an dechifre ak OS Windows.
A4. Kreye yon USB/disk sekou VeraCryptPa default, VeraCrypt ofri boule "~2-3MB metadata" sou yon CD, men se pa tout moun ki gen disk oswa kondui DWD-ROM, epi kreye yon kondwi flash demaraj "VeraCrypt Rescue disk" pral yon sipriz teknik pou kèk: Rufus / GUIdd-ROSA ImageWriter ak lòt lojisyèl menm jan an p ap kapab fè fas ak travay la, paske anplis kopye metadata konpanse nan yon kondwi flash demaraj, ou bezwen kopye / kole imaj la deyò sistèm dosye USB kondwi a, an ti bout tan, kòrèkteman kopi MBR / wout la nan keychain. Ou ka kreye yon kondwi flash demaraj soti nan OS GNU/Linux lè l sèvi avèk sèvis piblik "dd" la, gade siy sa a.
Kreye yon disk sekou nan yon anviwònman Windows diferan. Pwomotè a nan VeraCrypt pa t 'gen ladan solisyon an nan pwoblèm sa a nan ofisyèl la pa "disk sekou", men pwopoze yon solisyon nan yon fason diferan: li afiche lojisyèl adisyonèl pou kreye yon "disk sekou usb" pou aksè gratis sou fowòm VeraCrypt l 'yo. Achiv lojisyèl sa a pou Windows se "kreye disk sekou usb veracrypt". Apre ekonomize sekou disk.iso, pwosesis la nan cryptage sistèm blòk nan patisyon aktif la ap kòmanse. Pandan chifreman, operasyon an nan eksplwatasyon an pa sispann; yon rekòmanse PC pa obligatwa. Lè yo fini operasyon an chifreman, patisyon aktif la vin konplètman chiffres epi yo ka itilize. Si loader bòt VeraCrypt la pa parèt lè ou kòmanse PC a, epi operasyon an rekiperasyon header pa ede, Lè sa a, tcheke drapo "bòt" la, li dwe mete nan patisyon an kote Windows prezan. (kèlkeswa chifreman ak lòt OS, gade tablo nimewo 1).
Sa a konplete deskripsyon an nan cryptage sistèm blòk ak Windows OS.
[B]LUKS. GNU/Linux chifreman (~Debian) enstale OS. Algorithm ak etap
Pou kapab ankripte yon distribisyon Debian/deriv ki enstale, ou bezwen kat patisyon ki prepare a nan yon aparèy blòk vityèl, transfere li sou disk GNU/Linux ki te trase a, epi enstale/konfigure GRUB2. Si ou pa gen yon sèvè metal vid, epi ou apresye tan ou, Lè sa a, ou bezwen sèvi ak entèfas la, ak pi fò nan kòmandman tèminal ki dekri anba a yo vle di yo dwe kouri nan "mòd Chuck-Norris".
B1. Bòt PC soti nan live usb GNU/Linux
"Fè yon tès kript pou pèfòmans pyès ki nan konpitè"
lscpu && сryptsetup benchmark
Si ou se pwopriyetè kontan yon machin pwisan ak sipò pyès ki nan konpitè AES, Lè sa a, nimewo yo pral sanble bò dwat nan tèminal la; si ou se yon pwopriyetè kontan, men ak pyès ki nan konpitè antik, nimewo yo pral sanble bò gòch la.
B2. Disk patisyon. monte/fòma fs disk lojik HDD pou Ext4 (Gparted)
B2.1. Kreye yon header patisyon sda7 chiffresMwen pral dekri non patisyon yo, isit la ak pi lwen, dapre tablo patisyon mwen an ki afiche pi wo a. Dapre layout disk ou a, ou dwe ranplase non patisyon ou yo.
Lojik Drive Encryption Map (/dev/sda7 > /dev/mapper/sda7_crypt).
#Fasil kreyasyon yon "LUKS-AES-XTS patisyon"
cryptsetup -v -y luksFormat /dev/sda7Opsyon:
* luksFormat - inisyalizasyon header LUKS;
* -y -passphrase (pa kle/fichye);
* -v -verbalization (montre enfòmasyon nan tèminal la);
* /dev/sda7 - disk lojik ou soti nan patisyon pwolonje a (kote li planifye pou transfere/ankripte GNU/Linux).
Default algorithm chifreman <LUKS1: aes-xts-plain64, kle: 256 bits, LUKS header hashing: sha256, RNG: /dev/urandom> (depann sou vèsyon an cryptsetup).
#Проверка default-алгоритма шифрования
cryptsetup --help #самая последняя строка в выводе терминала.Si pa gen okenn sipò pyès ki nan konpitè pou AES sou CPU a, chwa ki pi bon ta dwe kreye yon pwolonje "LUKS-Twofish-XTS-patisyon".
B2.2. Kreyasyon avanse "LUKS-Twofish-XTS-patisyon"
cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom
Opsyon:
* luksFormat - inisyalizasyon header LUKS;
* /dev/sda7 se disk lojik chiffré pou lavni ou;
* -v vèbalizasyon;
* -y pasfraz;
* -c chwazi algorithm chifreman done;
* -s gwosè kle chifreman;
* -h hashing algorithm/crypto fonksyon, RNG itilize (--itilize-uradom) jenere yon kle cryptage/decryptage inik pou header ki gen kapasite ki lojik, yon kle header segondè (XTS); yon kle mèt inik ki estoke nan header ki gen kapasite ki ankripte, yon kle XTS segondè, tout metadata sa yo ak yon woutin chifreman ki, lè l sèvi avèk kle mèt la ak kle segondè XTS la, ankripte/dekripte nenpòt done sou patisyon an. (eksepte tit seksyon) ki estoke nan ~ 3MB sou patisyon ki gen disk di yo chwazi a.
* -i iterasyon an milisgond, olye pou yo "kantite lajan" (reta tan lè w ap trete fraz pas la afekte chajman eksplwatasyon an ak fòs kriptografik kle yo). Pou kenbe yon balans nan fòs kriptografik, ak yon modpas senp tankou "Ris" ou bezwen ogmante valè a -(i), ak yon modpas konplèks tankou "?8dƱob/øfh" valè a ka diminye.
* —itilize dèlko nimewo o aza, jenere kle ak sèl.
Apre kat seksyon sda7 > sda7_crypt (operasyon an rapid, paske yo kreye yon header chiffres ak ~3 MB metadata ak sa a tout), ou bezwen fòma ak monte sistèm nan dosye sda7_crypt.
B2.3. Konparezon
cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.
opsyon:
* louvri - matche ak seksyon "ak non" la;
* /dev/sda7 -logical disk;
* sda7_crypt - kat non ki itilize pou monte patisyon an chiffres oswa inisyalize li lè eksplwatasyon an kòmanse.
B2.4. Fòma sistèm fichye sda7_crypt nan ext4. Monte yon disk nan eksplwatasyon an(Remak: ou pa pral kapab travay ak yon patisyon chiffres nan Gparted)
#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt
opsyon:
* -v -vèbalizasyon;
* -L - etikèt kondwi (ki parèt nan Explorer pami lòt kondui).
Apre sa, ou ta dwe monte aparèy blòk vityèl-chiffre /dev/sda7_crypt nan sistèm nan
mount /dev/mapper/sda7_crypt /mntTravay ak fichye nan katab /mnt la pral otomatikman ankripte / dechifre done nan sda7.
Li pi bon pou kat ak monte patisyon an nan Explorer (nautilus/caja GUI), patisyon an pral deja nan lis seleksyon disk la, tout sa ki rete se antre nan pasfraz la louvri / dechifre disk la. Yo pral chwazi non matche a otomatikman epi yo pa "sda7_crypt", men yon bagay tankou /dev/mapper/Luks-xx-xx...
B2.5. Sovgad header disk (~3MB metadata)Youn nan pi plis yo enpòtan operasyon ki bezwen fè san pèdi tan - yon kopi backup header "sda7_crypt". Si ou recouvrir / domaje header la (pa egzanp, enstale GRUB2 sou patisyon sda7, elatriye), done yo chiffres yo pral konplètman pèdi san okenn posibilite pou rekipere li, paske li pral enposib re-jenere kle yo menm; kle yo kreye inikman.
#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7
#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>
opsyon:
* luksHeaderBackup —header-backup-file -backup kòmand;
* luksHeaderRestore —header-backup-file-restore command;
* ~/Backup_DebSHIFR - dosye backup;
* /dev/sda7 - patisyon ki gen yon kopi sovgad tèt ki ankripte pou sove.
Nan etap sa a <kreyasyon ak koreksyon patisyon an chiffres> fini.
B3. Porting GNU/Linux OS (sda4) nan yon patisyon chiffres (sda7)
Kreye yon katab /mnt2 (Remak - nou toujou ap travay ak live usb, sda7_crypt monte nan /mnt), epi monte GNU/Linux nou an nan /mnt2, ki bezwen chiffres.
mkdir /mnt2
mount /dev/sda4 /mnt2
Nou fè transfè OS kòrèk lè l sèvi avèk lojisyèl Rsync
rsync -avlxhHX --progress /mnt2/ /mntOpsyon Rsync yo dekri nan paragraf E1.
Next, nesesè defragmante yon patisyon ki gen kapasite ki lojik
e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux
Fè li yon règ: fè e4defrag sou chifreman GNU/Linux de tan zan tan si ou gen yon HDD.
Transfè ak senkronizasyon [GNU/Linux > GNU/Linux-chiffre] fini nan etap sa a.
A 4. Mete kanpe GNU/Linux sou yon patisyon sda7 chiffres
Apre ou fin transfere OS /dev/sda4> /dev/sda7 avèk siksè, ou bezwen konekte nan GNU/Linux sou patisyon an chiffres epi fè plis konfigirasyon. (san yo pa rekòmanse PC) parapò ak yon sistèm chiffres. Sa vle di, ou dwe nan usb viv, men egzekite kòmandman "an rapò ak rasin nan eksplwatasyon an chiffres." "chroot" pral simulation yon sitiyasyon ki sanble. Pou resevwa enfòmasyon byen vit sou ki OS w ap travay kounye a (chiffre oswa ou pa, depi done yo nan sda4 ak sda7 yo senkronize), desenkronize eksplwatasyon an. Kreye nan anyè rasin (sda4/sda7_crypt) dosye makè vid, pou egzanp, /mnt/encryptedOS ak /mnt2/decryptedOS. Byen vit tcheke sou ki OS ou ye (tankou pou lavni):
ls /<Tab-Tab>B4.1. "Simulasyon antre nan yon eksplwatasyon chiffres"
mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt
B4.2. Verifye ke travay fèt kont yon sistèm chiffres
ls /mnt<Tab-Tab>
#и видим файл "/шифрованнаяОС"
history
#в выводе терминала должна появиться история команд su рабочей ОС.B4.3. Kreye / konfigirasyon swap chiffres, koreksyon crypttab / fstabDepi fichye swap la fòma chak fwa OS la kòmanse, li pa gen okenn sans pou kreye ak kat swap sou yon disk ki lojik kounye a, epi tape kòmandman tankou nan paragraf B2.2. Pou Swap, pwòp kle chifreman tanporè li yo pral otomatikman pwodwi nan chak kòmansman. Sik lavi nan swap kle: demonte / demonte patisyon swap (+ netwayaj RAM); oswa rekòmanse eksplwatasyon an. Mete kanpe swap, ouvèti fichye a ki responsab pou konfigirasyon an nan blòk aparèy chiffres (analòg ak yon fichye fstab, men responsab pou crypto).
nano /etc/crypttab nou edite
#"non sib" "aparèy sous" "dosye kle" "opsyon"
swap /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512
Opsyon
* swap - non trase lè w ap chifreman /dev/mapper/swap.
* /dev/sda8 - sèvi ak patisyon lojik ou pou swap.
* /dev/urandom - dèlko kle chifreman o aza pou swap (ak chak nouvo bòt OS, nouvo kle yo kreye). Dèlko /dev/uradom a mwens o aza pase /dev/random, apre tout /dev/random yo itilize lè w ap travay nan sikonstans paranoyik danjere. Lè chaje eksplwatasyon an, /dev/random ralanti chaj la pou plizyè ± minit (gade systemd-analyse).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -patisyon an konnen ke li se swap epi li fòma "konsa"; algorithm chifreman.
#Открываем и правим fstab
nano /etc/fstab
nou edite
# swap te sou / dev / sda8 pandan enstalasyon an
/dev/mapper/swap okenn swap sw 0 0
/dev/mapper/swap se non ki te mete nan crypttab.
Swap altènatif chiffres
Si pou kèk rezon ou pa vle abandone yon patisyon antye pou yon dosye swap, Lè sa a, ou ka ale nan yon fason altènatif ak pi bon: kreye yon dosye swap nan yon dosye sou yon patisyon chiffres ak OS la.
fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянныйKonfigirasyon patisyon swap la fini.
B4.4. Mete kanpe GNU/Linux crypté (mode fichye crypttab/fstab)Fichye /etc/crypttab la, jan sa ekri pi wo a, dekri aparèy blòk chiffres ki konfigirasyon pandan demaraj sistèm lan.
#правим /etc/crypttab
nano /etc/crypttab
si ou matche seksyon sda7>sda7_crypt tankou nan paragraf B2.1
# "non sib" "aparèy sous" "dosye kle" "opsyon"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks
si ou matche seksyon sda7>sda7_crypt tankou nan paragraf B2.2
# "non sib" "aparèy sous" "dosye kle" "opsyon"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512
si ou matche ak sda7>sda7_crypt seksyon tankou nan paragraf B2.1 oswa B2.2, men ou pa vle re-antre modpas la pou déblotché ak demaraj eksplwatasyon an, Lè sa a, olye pou yo modpas la ou ka ranplase yon kle sekrè / fichye o aza.
# "non sib" "aparèy sous" "dosye kle" "opsyon"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks
Deskripsyon
* Okenn - rapòte ke lè chaje eksplwatasyon an, antre nan yon pasfraz sekrè oblije debloke rasin lan.
* UUID - idantifyan patisyon. Pou chèche konnen ID ou, tape nan tèminal la (Raple ke depi lè sa a pi devan, w ap travay nan yon tèminal nan yon anviwònman chroot, epi yo pa nan yon lòt tèminal usb ap viv).
fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное
/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»
liy sa a vizib lè w mande blkid nan tèminal usb ap viv la ak sda7_crypt monte).
Ou pran UUID nan sdaX ou (pa sdaX_crypt!, UUID sdaX_crypt - yo pral otomatikman kite lè jenere konfigirasyon grub.cfg la).
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks cryptage nan mòd avanse.
* /etc/skey - dosye kle sekrè, ki antre otomatikman pou déblotché bòt OS la (olye pou w antre 3yèm modpas la). Ou ka presize nenpòt fichye jiska 8MB, men done yo pral li <1MB.
#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey
#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7
Li pral gade yon bagay tankou sa a:
(fè li tèt ou epi wè pou tèt ou).
cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота/etc/fstab gen enfòmasyon deskriptif sou divès sistèm dosye.
#Правим /etc/fstab
nano /etc/fstab
# "sistèm fichye" "pwen mòn" "kalite" "opsyon" "depotwa" "pase"
# / te sou / dev / sda7 pandan enstalasyon an
/dev/mapper/sda7_crypt / ext4 errors=remount-ro 0 1
opsyon
* /dev/mapper/sda7_crypt - non kat la sda7>sda7_crypt, ki espesifye nan /etc/crypttab dosye a.
Konfigirasyon crypttab/fstab la konplè.
B4.5. Edite fichye konfigirasyon yo. Moman kleB4.5.1. Edite konfigirasyon /etc/initramfs-tools/conf.d/resume
#Если у вас ранее был активирован swap раздел, отключите его.
nano /etc/initramfs-tools/conf.d/resume
epi fè kòmantè (si egziste) "#" liy "rezime". Fichye a dwe konplètman vid.
B4.5.2. Edite konfigirasyon /etc/initramfs-tools/conf.d/cryptsetup
nano /etc/initramfs-tools/conf.d/cryptsetupta dwe matche
# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=wi
ekspòtasyon CRYPTSETUP
B4.5.3. Edit /etc/default/grub konfigirasyon an (konfigirasyon sa a responsab pou kapasite pou jenere grub.cfg lè w ap travay ak chiffres /boot)
nano /etc/default/grub
ajoute liy "GRUB_ENABLE_CRYPTODISK=y"
valè 'y', grub-mkconfig ak grub-install pral tcheke pou kondui chiffres epi jenere kòmandman adisyonèl ki nesesè pou jwenn aksè nan yo nan moman demaraj. (ensmod ).
dwe gen yon resanblans
GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || eko Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=machann"
GRUB_CMDLINE_LINUX="quiet splash noautomount"
GRUB_ENABLE_CRYPTODISK=y
B4.5.4. Edite konfigirasyon /etc/cryptsetup-initramfs/conf-hook la
nano /etc/cryptsetup-initramfs/conf-hook
tcheke liy lan kòmante soti <#>.
Nan lavni (e menm kounye a, paramèt sa a pa pral gen okenn siyifikasyon, men pafwa li entèfere ak mete ajou imaj initrd.img la).
B4.5.5. Edite konfigirasyon /etc/cryptsetup-initramfs/conf-hook la
nano /etc/cryptsetup-initramfs/conf-hookajoute
KEYFILE_PATTERN="/etc/skey"
UMASK=0077
Sa a pral pake kle sekrè "skey" nan initrd.img, kle a nesesè pou déblotché rasin lan lè OS yo bòt. (si ou pa vle antre modpas la ankò, kle "skey" la ranplase machin nan).
B4.6. Mizajou /boot/initrd.img [vèsyon]Pou mete kle sekrè a nan initrd.img epi aplike repare cryptsetup, mete ajou imaj la
update-initramfs -u -k all
lè w mete ajou initrd.img (jan yo di "Li posib, men li pa sèten") avètisman ki gen rapò ak cryptsetup ap parèt, oswa, pou egzanp, yon notifikasyon sou pèt la nan modil Nvidia - sa a se nòmal. Apre mete ajou fichye a, tcheke si li te aktyèlman mete ajou, gade lè a (an rapò ak anviwònman chroot./boot/initrd.img). Attention! anvan [update-initramfs -u -k all] asire w ke w tcheke cryptsetup louvri /dev/sda7 sda7_crypt - sa a se non ki parèt nan /etc/crypttab, otreman apre rdemare pral gen yon erè busybox)
Nan etap sa a, konfigirasyon fichye konfigirasyon yo fini.
[C] Enstale ak konfigirasyon GRUB2/Protection
C1. Si sa nesesè, fòma patisyon dedye a pou bootloader la (yon patisyon bezwen omwen 20MB)
mkfs.ext4 -v -L GRUB2 /dev/sda6C2. Monte /dev/sda6 sou /mntSe konsa, nou travay nan chroot, Lè sa a, pa pral gen / mnt2 anyè nan rasin lan, ak folder nan / mnt yo pral vid.
monte patisyon GRUB2 la
mount /dev/sda6 /mntSi ou gen yon vèsyon ki pi gran nan GRUB2 enstale, nan /mnt/boot/grub/i-386-pc anyè (lòt platfòm posib, pou egzanp, pa "i386-pc") pa gen modil kript (nan ti bout tan, katab la ta dwe gen ladan modil, ki gen ladan sa yo .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), nan ka sa a, GRUB2 bezwen souke.
apt-get update
apt-get install grub2
Enpòtan! Lè w mete ajou pake GRUB2 nan repozitwa a, lè w mande "sou w ap chwazi" kote pou w enstale bootloader la, ou dwe refize enstalasyon an. (rezon ki fè - eseye enstale GRUB2 - nan "MBR" oswa sou usb ap viv). Sinon ou pral domaje header/loader VeraCrypt la. Apre mete ajou pakè GRUB2 yo ak anile enstalasyon an, yo dwe enstale loader bòt la manyèlman sou disk ki lojik la, epi yo pa nan MBR la. Si depo ou a gen yon vèsyon demode nan GRUB2, eseye li soti nan sit entènèt ofisyèl la - pa t tcheke li (te travay ak dènye GRUB 2.02 ~ BetaX bootloaders).
C3. Enstale GRUB2 nan yon patisyon pwolonje [sda6]Ou dwe gen yon patisyon monte [atik C.2]
grub-install --force --root-directory=/mnt /dev/sda6
opsyon
* —fòs - enstalasyon bootloader la, kontourne tout avètisman ki prèske toujou egziste epi bloke enstalasyon (drapo obligatwa).
* --root-directory - enstalasyon anyè nan rasin sda6.
* /dev/sda6 - patisyon sdaХ ou (pa rate <espas> ki genyen ant /mnt /dev/sda6).
C4. Kreye yon fichye konfigirasyon [grub.cfg]Bliye lòd "update-grub2" la, epi sèvi ak lòd jenerasyon fichye konfigirasyon konplè a
grub-mkconfig -o /mnt/boot/grub/grub.cfg
apre w fin ranpli jenerasyon / aktyalizasyon dosye grub.cfg la, tèminal pwodiksyon an ta dwe genyen liy (yo) ak eksplwatasyon an yo jwenn sou disk la. ("grub-mkconfig" ap pwobableman jwenn ak ranmase eksplwatasyon an nan yon usb ap viv, si ou gen yon kondwi flash multiboot ak Windows 10 ak yon pakèt distribisyon ap viv - sa a se nòmal). Si tèminal la se "vid" epi dosye "grub.cfg" la pa pwodwi, Lè sa a, sa a se menm ka a lè gen pinèz GRUB nan sistèm lan. (ak gen plis chans loader ki soti nan branch tès la nan repozitwa a), réinstaller GRUB2 de sous ou fè konfyans.
Enstalasyon "senp konfigirasyon" ak konfigirasyon GRUB2 konplè.
C5. Prèv-tès pou GNU/Linux OS chiffresNou ranpli misyon kript la kòrèkteman. Ak anpil atansyon kite chifreman GNU/Linux la (sòti anviwònman chroot).
umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot
Apre rdemare PC a, VeraCrypt bootloader la ta dwe chaje.
* Antre modpas la pou patisyon aktif la ap kòmanse chaje Windows.
* Peze "Esc" kle a pral transfere kontwòl nan GRUB2, si ou chwazi chiffres GNU/Linux - yon modpas (sda7_crypt) pral oblije debloke /boot/initrd.img (si grub2 ekri uuid "pa jwenn" - sa a se yon pwoblèm ak bootloader grub2, li ta dwe reenstale, pa egzanp, soti nan branch tès / ki estab elatriye).
* Tou depan de fason ou konfigirasyon sistèm lan (gade paragraf B4.4/4.5), apre w fin antre modpas kòrèk la pou debloke imaj /boot/initrd.img la, w ap bezwen yon modpas pou chaje nwayo OS/rasin lan, oswa sekrè a. kle pral otomatikman ranplase "skey", elimine nesesite pou re-antre pasfraz la.
(ekran "sibstitisyon otomatik nan yon kle sekrè").
*Lè sa a, pwosesis abitye chaje GNU/Linux ak otantifikasyon kont itilizatè a pral swiv.
*Apre otorizasyon itilizatè a epi konekte ak eksplwatasyon an, ou bezwen mete ajou /boot/initrd.img ankò. (gade B4.6).
update-initramfs -u -k allAk nan ka ta gen liy siplemantè nan meni an GRUB2 (ki soti nan OS-m pickup ak usb ap viv) debarase m de yo
mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg
Yon rezime rapid sou chifreman sistèm GNU/Linux:
- GNU/Linuxinux konplètman ankode, ki gen ladan /boot/kernel ak initrd;
- kle sekrè a pake nan initrd.img;
- konplo otorizasyon aktyèl la (antre modpas la pou déblotché initrd la; modpas/kle pou demaraj eksplwatasyon an; modpas pou otorize kont Linux la).
"Simple GRUB2 Configuration" sistèm chifreman nan patisyon an blòk konplè.
C6. Avanse konfigirasyon GRUB2. Pwoteksyon Bootloader ak siyati dijital + pwoteksyon otantifikasyonGNU/Linux konplètman ankode, men bootloader la pa ka ankode - kondisyon sa a dikte pa BIOS la. Pou rezon sa a, yon bòt kode nan chenn nan GRUB2 pa posib, men yon bòt senp chèn posib/disponib, men nan yon pwen de vi sekirite li pa nesesè [gade P. F].
Pou GRUB2 "vilnerab", devlopè yo te aplike yon algorithm pwoteksyon bootloader "siyati/otantifikasyon".
- Lè bootloader la pwoteje pa "pwòp siyati dijital li yo," modifikasyon ekstèn nan dosye, oswa yon tantativ pou chaje modil adisyonèl nan bootloader sa a, ap mennen nan pwosesis bòt la bloke.
- Lè w ap pwoteje bootloader la ak otantifikasyon, pou w ka chwazi chajman yon distribisyon, oswa antre kòmandman adisyonèl nan CLI a, w ap bezwen antre login ak modpas superuser-GRUB2 la.
C6.1. Pwoteksyon otantifikasyon bootloaderTcheke ke w ap travay nan yon tèminal sou yon eksplwatasyon chiffres
ls /<Tab-Tab> #обнаружить файл-маркерkreye yon modpas superitilize pou otorizasyon nan GRUB2
grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. Jwenn hash modpas la. Yon bagay tankou sa a
grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
monte patisyon GRUB la
mount /dev/sda6 /mnt edite konfigirasyon an
nano -$ /mnt/boot/grub/grub.cfg
tcheke rechèch fichye a ke pa gen okenn drapo nenpòt kote nan "grub.cfg" ("-unrestricted" "-user",
ajoute nan fen anpil (anvan liy ### FINI /etc/grub.d/41_custom ###)
"set superusers="rasin"
password_pbkdf2 rasin hash."
Li ta dwe yon bagay tankou sa a
# Fichye sa a bay yon fason fasil pou ajoute antre meni koutim. Senpleman tape la
# antre meni ou vle ajoute apre kòmantè sa a. Fè atansyon pou pa chanje
# liy 'exec ke' anwo a.
### FINI /etc/grub.d/40_custom ###### BEGIN /etc/grub.d/41_custom ###
si [-f ${config_directory}/custom.cfg]; lè sa a
sous ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; lè sa a
sous $prefix/custom.cfg;
fi
mete superusers="rasin"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### FINI /etc/grub.d/41_custom ###
#
Si ou souvan itilize lòd "grub-mkconfig -o /mnt/boot/grub/grub.cfg" epi ou pa vle fè chanjman nan grub.cfg chak fwa, antre nan liy ki anwo yo. (Konekte: Modpas) nan script itilizatè GRUB nan anba a anpil
nano /etc/grub.d/41_custom chat <<EOF
mete superusers="rasin"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF
Lè w ap jenere konfigirasyon "grub-mkconfig -o /mnt/boot/grub/grub.cfg", liy ki responsab otantifikasyon yo pral ajoute otomatikman nan grub.cfg.
Etap sa a konplete konfigirasyon otantifikasyon GRUB2 la.
C6.2. Pwoteksyon bootloader ak siyati dijitalLi sipoze ke ou deja gen kle pèsonèl pgp chifreman ou (oswa kreye yon kle konsa). Sistèm nan dwe genyen lojisyèl kriptografik enstale: gnuPG; kleopatra/GPA; Seahorse. Lojisyèl Crypto pral fè lavi ou pi fasil nan tout zafè sa yo. Seahorse - vèsyon ki estab nan pake a 3.14.0 (Vèsyon ki pi wo, pou egzanp, V3.20, yo defektye epi yo gen ensèk enpòtan).
Kle PGP a bezwen pou pwodwi/lanse/ajoute sèlman nan anviwònman su!
Jenere kle chifreman pèsonèl
gpg - -gen-keyEkspòte kle ou
gpg --export -o ~/perskeyMonte disk lojik la nan eksplwatasyon an si li pa deja monte
mount /dev/sda6 /mnt #sda6 – раздел GRUB2netwaye patisyon GRUB2 la
rm -rf /mnt/Enstale GRUB2 nan sda6, mete kle prive ou a nan imaj prensipal GRUB "core.img"
grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6
opsyon
* --force - enstale bootloader la, kontourne tout avètisman ki toujou egziste (drapo obligatwa).
* —modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - enstwi GRUB2 pou prechaje modil ki nesesè yo lè PC a kòmanse.
* -k ~/perskey -chemen nan "kle PGP la" (apre anbalaj kle a nan imaj la, li ka efase).
* --root-directory -set anyè bòt la nan rasin sda6
/dev/sda6 - patisyon sdaX ou a.
Jenere/mete ajou grub.cfg
grub-mkconfig -o /mnt/boot/grub/grub.cfgAjoute liy "trust /boot/grub/perskey" nan fen "grub.cfg" dosye a. (fòse itilizasyon kle pgp.) Depi nou enstale GRUB2 ak yon seri modil, ki gen ladan modil siyati "signature_test.mod", sa elimine nesesite pou ajoute kòmandman tankou "set check_signatures=enforce" nan konfigirasyon an.
Li ta dwe gade yon bagay tankou sa a (fen liy nan dosye grub.cfg)
### BEGIN /etc/grub.d/41_custom ###
si [-f ${config_directory}/custom.cfg]; lè sa a
sous ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; lè sa a
sous $prefix/custom.cfg;
fi
fè konfyans /boot/grub/perskey
mete superusers="rasin"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### FINI /etc/grub.d/41_custom ###
#
Chemen nan "/boot/grub/perskey" pa bezwen pwente nan yon patisyon ki gen kapasite espesifik, pou egzanp hd0,6; pou bootloader nan tèt li, "rasin" se chemen an default nan patisyon an sou ki GRUB2 enstale. (gade set pouriti=..).
Siyen GRUB2 (tout fichye nan tout anyè /GRUB) ak kle ou "perskey".
Yon solisyon senp sou kijan pou siyen (pou nautilus/caja explorer): enstale ekstansyon "seahorse" pou Explorer soti nan depo a. Ou dwe ajoute kle ou nan anviwònman an.
Louvri Explorer ak sudo "/mnt/boot" - RMB - siy. Sou ekran an li sanble sa a
Kle a li menm se "/mnt/boot/grub/perskey" (kopi nan anyè grub) dwe siyen tou ak pwòp siyati ou. Tcheke siyati dosye [*.sig] yo parèt nan anyè/sous-dosye yo.
Sèvi ak metòd ki dekri pi wo a, siyen "/boot" (kernel nou an, initrd). Si tan ou vo anyen, Lè sa a, metòd sa a elimine nesesite pou ekri yon script bash pou siyen "anpil fichye."
Pou retire tout siyati bootloader yo (si yon bagay ale mal)
rm -f $(find /mnt/boot/grub -type f -name '*.sig')Pou nou pa siyen bootloader la apre mete ajou sistèm nan, nou jele tout pakè aktyalizasyon ki gen rapò ak GRUB2.
apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-commonNan etap sa a <protect bootloader with digital signature> konfigirasyon avanse GRUB2 fini.
C6.3. Tès prèv bootloader GRUB2, pwoteje pa siyati dijital ak otantifikasyonGRUB2. Lè w ap chwazi nenpòt distribisyon GNU/Linux oswa w ap antre nan CLI (liy kòmand) Yo pral mande otorizasyon super-itilize. Apre w fin antre nan non itilizatè/modpas ki kòrèk la, w ap bezwen modpas initrd la
Ekran nan otantifikasyon siksè nan superitilizatè GRUB2 la.
Si ou manyen nenpòt nan dosye GRUB2 yo/fè chanjman nan grub.cfg, oswa efase fichye a/siyati a, oswa chaje yon move module.mod, yon avètisman korespondan ap parèt. GRUB2 pral sispann chaje.
Ekran, yon tantativ pou entèfere ak GRUB2 "soti deyò".
Pandan "nòmal" demaraj "san entrizyon", estati kòd sòti sistèm lan se "0". Se poutèt sa, li se enkoni si pwoteksyon an ap travay oswa ou pa (ki se, "avèk oswa san pwoteksyon siyati bootloader" pandan chaj nòmal estati a se menm "0" - sa a se move).
Ki jan yo tcheke pwoteksyon siyati dijital?
Yon fason enkonvenyan yo tcheke: fo / retire yon modil itilize pa GRUB2, pou egzanp, retire siyati luks.mod.sig la epi jwenn yon erè.
Fason ki kòrèk la: ale nan bootloader CLI a epi tape lòd la
trust_list
Kòm repons, ou ta dwe resevwa yon anprent "perskey"; si estati a se "0," Lè sa a, pwoteksyon siyati pa travay, tcheke doub paragraf C6.2.
Nan etap sa a, konfigirasyon avanse "Pwoteje GRUB2 ak siyati dijital ak otantifikasyon" fini.
C7 Metòd altènatif pou pwoteje bootloader GRUB2 lè l sèvi avèk hachaj"CPU Boot Loader Pwoteksyon / Otantifikasyon" metòd ki dekri pi wo a se yon klasik. Akòz enpèfeksyon GRUB2 yo, nan kondisyon paranoyik li sansib a yon atak reyèl, ke mwen pral bay pi ba a nan paragraf [F]. Anplis de sa, apre yo fin mete ajou OS/kernel la, ou dwe re-siyen bootloader la.
Pwoteje bootloader GRUB2 lè l sèvi avèk hachaj
Avantaj sou klasik yo:
- Pi wo nivo fyab (Hashing/verifikasyon pran plas sèlman nan yon resous lokal ankripte. Se patisyon an antye atribye ba GRUB2 kontwole pou nenpòt ki chanjman, ak tout lòt bagay yo chiffres; nan konplo a klasik ak pwoteksyon loader CPU / Otantifikasyon, se sèlman dosye yo kontwole, men se pa gratis. espas, kote "yon bagay" yon bagay dezas" ka ajoute).
- Encrypted journal (yo ajoute yon boutèy demi lit chifre pèsonèl lizib pou moun nan konplo a).
- Speed (pwoteksyon/verifikasyon nan yon patisyon tout atribye ba pou GRUB2 rive prèske imedyatman).
- Otomatik tout pwosesis kriptografik yo.
Dezavantaj sou klasik yo.
- Fòsi siyati (teyorikman, li posib pou jwenn yon kolizyon fonksyon hash bay).
- Ogmante nivo difikilte (konpare ak klasik, yon ti kras plis ladrès nan OS GNU/Linux obligatwa).
Ki jan ide hashing GRUB2/patisyon an ap travay
Patisyon GRUB2 la "siyen"; lè OS yo kòmanse, yo tcheke patisyon loader bòt la pou imuabilite, epi antre nan yon anviwònman an sekirite (chiffre). Si bootloader la oswa patisyon li yo konpwomèt, anplis de boutèy demi lit la entrizyon, sa ki annapre yo lanse:
Bagay.
Yon chèk menm jan an fèt kat fwa pa jou, ki pa chaje resous sistèm yo.
Sèvi ak "-$ check_GRUB" kòmandman an, yon chèk enstantane fèt nenpòt ki lè san yo pa antre, men ak pwodiksyon enfòmasyon nan CLI la.
Sèvi ak kòmandman "-$ sudo signature_GRUB", chajè bòt GRUB2/patisyon an imedyatman re-siyen epi mete ajou li yo. (nesesè apre OS / aktyalizasyon bòt), ak lavi kontinye.
Aplikasyon yon metòd hachage pou bootloader la ak seksyon li yo
0) Ann siyen bootloader/patisyon GRUB pa premye monte li nan /media/username
-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt1) Nou kreye yon script san yo pa yon ekstansyon nan rasin an nan eksplwatasyon an chiffres ~/podpis, aplike dwa sekirite 744 ki nesesè yo ak pwoteksyon enfayil sou li.
Ranpli sa ki nan li yo
#!/bin/bash
#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux.
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'
a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!!
b="hashdeep: Audit failed"
#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]]
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif'
fiKouri script la soti nan su, Hashing patisyon GRUB ak bootloader li yo pral tcheke, sove boutèy la.
Ann kreye oswa kopye, pou egzanp, yon "fichye move" [virus.mod] nan patisyon GRUB2 a epi fè yon eskanè/tès tanporè:
-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUBCLI a dwe wè yon envazyon nan sitadèl nou an.#Trimmed konekte nan CLI
Ср янв 2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
Input files examined: 0
Known files expecting: 0
Files matched: 325
Files partially matched: 0
Files moved: 1
New files found: 0
Known files not found: 0
#Kòm ou ka wè, "Fichye deplase: 1 ak Odit echwe" parèt, ki vle di ke chèk la echwe.
Akòz nati a nan patisyon an yo te teste, olye pou yo "Nouvo fichye yo te jwenn"> "Fichiye deplase"
2) Mete gif la > ~/warning.gif, mete otorizasyon yo sou 744.
3) Konfigirasyon fstab pou monte otomatikman patisyon GRUB nan bòt la
-$ sudo nano /etc/fstabLABEL=GRUB /media/username/GRUB ext4 default 0 0
4) Wotasyon boutèy demi lit la
-$ sudo nano /etc/logrotate.d/podpis /var/log/podpis.txt {
chak jou
Thorne 50
gwosè 5M
datext
konpresyon
delaycompress
olddir /var/log/old
}/var/log/vtorjenie.txt {
chak mwa
Thorne 5
gwosè 5M
datext
olddir /var/log/old
}
5) Ajoute yon travay nan cron
-$ sudo crontab -e'/abònman'
0 */6 * * * '/podpis
6) Kreye alyas pèmanan
-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash
Apre aktyalizasyon OS -$ apt-get upgrade re-siyen patisyon GRUB nou an
-$ подпись_GRUB
Nan pwen sa a, pwoteksyon hachaj nan patisyon GRUB la konplè.
[D] Siye - destriksyon done ki pa chiffres
Efase dosye pèsonèl ou yo tèlman nèt ke "pa menm Bondye ka li yo," dapre pòtpawòl South Carolina Trey Gowdy.
Kòm dabitid, gen divès kalite "mit ak ", sou restorasyon done apre li te efase nan yon kondwi difisil. Si ou kwè nan cyberwitchcraft, oswa ou se yon manm nan kominote a entènèt Dr epi pa janm eseye rekiperasyon done apre li te efase / ranplase (pa egzanp, rekiperasyon lè l sèvi avèk R-studio), Lè sa a, metòd yo pwopoze a se fasil kostim ou, sèvi ak sa ki pi pre ou.
Apre transfere GNU/Linux avèk siksè nan yon patisyon chiffres, yo dwe efase ansyen kopi a san posiblite pou rekiperasyon done. Metòd netwayaj inivèsèl: lojisyèl pou Windows/Linux gratis lojisyèl GUI .
Vit fòma seksyon an, done yo sou ki bezwen yo dwe detwi (via Gparted) lanse BleachBit, chwazi "Netwaye espas gratis" - chwazi patisyon an (sdaX ou a ak yon kopi anvan GNU/Linux), pwosesis retire rad sou ou ap kòmanse. BleachBit - siye disk la nan yon sèl pas - sa a se sa "nou bezwen", Men! Sa a sèlman travay nan teyori si ou fòma disk la epi netwaye li nan lojisyèl BB v2.0.
Atansyon! BB siye disk la, kite metadata; non dosye yo konsève lè done yo elimine (Ccleaner - pa kite metadata).
Ak mit sou posibilite pou rekiperasyon done se pa antyèman yon mit.Bleachbit V2.0-2 ansyen pake OS Debian enstab (ak nenpòt lòt lojisyèl menm jan an: sfill; wipe-Nautilus - yo te remake tou nan biznis sal sa a) aktyèlman te gen yon ensèk kritik: fonksyon "espas gratis netwaye". li travay mal sou kondui HDD/Flash (ntfs/ext4). Lojisyèl sa a kalite, lè netwaye espas gratis, pa recouvrir tout disk la, jan anpil itilizatè panse. Ak kèk (anpil) efase done OS / lojisyèl konsidere done sa yo kòm done ki pa efase / itilizatè epi lè w netwaye "OSP" li sote dosye sa yo. Pwoblèm lan se ke apre sa yo yon tan long, netwaye disk la "Fichiye efase" ka refè menm apre 3+ pase nan siye disk la.
Sou GNU/Linux nan Bleachbit 2.0-2 Fonksyon yo nan efase pèmanan fichye ak repèrtwar travay seryezman, men se pa netwaye espas gratis. Pou konparezon: sou Windows nan CCleaner "OSP pou ntfs" fonksyon an ap travay byen, epi Bondye reyèlman pa pral kapab li done efase.
Se konsa, yo byen retire "konpwomi" ansyen done ki pa chiffres, Bleachbit bezwen aksè dirèk nan done sa yo, Lè sa a, sèvi ak "pèmanans efase fichye / repèrtwar" fonksyon an.
Pou retire "fichye efase lè l sèvi avèk zouti OS estanda" nan Windows, sèvi ak CCleaner/BB ak fonksyon "OSP". Nan GNU/Linux sou pwoblèm sa a (efase dosye efase) ou bezwen jwenn pratik pou kont ou (efase done + yon tantativ endepandan pou retabli li epi ou pa ta dwe konte sou vèsyon lojisyèl an (si se pa yon makè, Lè sa a, yon ensèk)), sèlman nan ka sa a ou pral kapab konprann mekanis nan pwoblèm sa a epi debarase m de done yo efase nèt.
Mwen pa te teste Bleachbit v3.0, pwoblèm nan ka te deja fikse.
Bleachbit v2.0 travay onètman.
Nan etap sa a, eswiyan disk konplè.
[E] Sovgad inivèsèl nan eksplwatasyon an chiffres
Chak itilizatè gen pwòp metòd yo pou fè bak done, men done sistèm eksplwatasyon an chiffres mande pou yon apwòch yon ti kras diferan nan travay la. Lojisyèl inifye, tankou Clonezilla ak lojisyèl menm jan an, pa ka travay dirèkteman ak done chiffres.
Deklarasyon sou pwoblèm nan fè bak aparèy blòk chiffres:
- inivèsalite - menm algorithm backup / lojisyèl pou Windows / Linux;
- kapasite nan travay nan konsole a ak nenpòt usb viv GNU/Linux san yo pa bezwen pou telechajman lojisyèl adisyonèl (men toujou rekòmande GUI);
- sekirite nan kopi backup - ki estoke "imaj" yo dwe chiffres / modpas-pwoteje;
- gwosè a nan done yo chiffres dwe koresponn ak gwosè a nan done aktyèl yo te kopye;
- ekstraksyon pratik nan dosye ki nesesè nan yon kopi backup (pa gen okenn kondisyon pou dechifre tout seksyon an premye).
Pou egzanp, backup / restore atravè sèvis piblik "dd".
dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerrorLi koresponn ak prèske tout pwen nan travay la, men dapre pwen 4 li pa kanpe devan kritik, depi li kopye patisyon an ki gen kapasite tout antye, ki gen ladan espas gratis - pa enteresan.
Pou egzanp, yon backup GNU/Linux atravè achiv la [tar" | gpg] se pratik, men pou Windows backup ou bezwen chèche yon lòt solisyon - li pa enteresan.
E1. Inivèsèl Windows/Linux backup. Link rsync (Grsync) + VeraCrypt volimAlgorithm pou kreye yon kopi backup:
- kreye yon veso chiffres (volim/fichye) VeraCrypt pou OS;
- transfere/senkronize eksplwatasyon an lè l sèvi avèk lojisyèl Rsync nan veso kript VeraCrypt la;
- si sa nesesè, telechaje volim VeraCrypt la sou www.
Kreye yon veso VeraCrypt chiffres gen karakteristik pwòp li yo:
kreye yon volim dinamik (kreyasyon DT disponib sèlman nan Windows, li ka itilize tou nan GNU/Linux);
kreye yon volim regilye, men gen yon kondisyon pou yon "karaktè paranoyik" (dapre pwomotè a) - fòma veso.
Yon volim dinamik kreye prèske imedyatman nan Windows, men lè w kopye done ki soti nan GNU/Linux > VeraCrypt DT, pèfòmans jeneral operasyon backup la diminye anpil.
Yo kreye yon volim Twofish regilye 70 GB (Ann jis di, an mwayèn pouvwa PC) nan HDD ~ nan yon demi èdtan (Remplacer done ansyen veso yo nan yon sèl pas se akòz kondisyon sekirite). Fonksyon rapid fòma yon volim lè kreye l te retire nan VeraCrypt Windows/Linux, kidonk kreye yon veso se posib sèlman atravè "reekri yon sèl-pas" oswa kreye yon volim dinamik ki ba pèfòmans.
Kreye yon volim VeraCrypt regilye (pa dinamik/ntfs), pa ta dwe gen okenn pwoblèm.
Konfigure/kreye/louvri yon veso nan VeraCrypt GUI> GNU/Linux live usb (yo pral monte otomatikman volim nan /media/veracrypt2, volim OS Windows ap monte sou /media/veracrypt1). Kreye yon backup chiffres nan Windows OS lè l sèvi avèk GUI rsync (grsync)pa tcheke bwat yo.
Rete tann pou pwosesis la fini. Yon fwa backup la fini, nou pral gen yon sèl dosye chiffres.
Menm jan an tou, kreye yon kopi sovgad OS GNU/Linux la lè w retire kaz "Konpatibilite Windows" nan entèfas rsync la.
Atansyon! kreye yon veso Veracrypt pou "GNU/Linux backup" nan sistèm dosye a Ext4. Si ou fè yon backup nan yon veso ntfs, Lè sa a, lè ou retabli yon kopi konsa, ou pral pèdi tout dwa / gwoup nan tout done ou yo.
Tout operasyon yo ka fèt nan tèminal la. Opsyon debaz pou rsync:
* -g -save gwoup;
* -P —progress — estati tan ki pase travay sou dosye a;
* -H - kopye lyen di jan yo ye;
* -a -achiv mòd (plizyè drapo rlptgoD);
* -v -vèbalizasyon.
Si ou vle monte yon "Windows VeraCrypt volim" atravè konsole a nan lojisyèl cryptsetup la, ou ka kreye yon alyas (su)
echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash
Koulye a, kòmandman "veramount pictures" pral mande w antre nan yon pasfraz, epi volim sistèm Windows chiffres la pral monte nan eksplwatasyon an.
Map/mòn sistèm VeraCrypt volim nan lòd cryptsetup
cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mntKat / mòn VeraCrypt patisyon / veso nan lòd cryptsetup
cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mntOlye pou yo alyas, nou pral ajoute (yon script nan demaraj) yon volim sistèm ak Windows OS ak yon disk ntfs ki lojik ankripte nan demaraj GNU/Linux.
Kreye yon script epi sove li nan ~/VeraOpen.sh
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.
Nou distribye dwa "kòrèk" yo:
sudo chmod 100 /VeraOpen.shKreye de dosye ki idantik (menm non!) nan /etc/rc.local ak ~/etc/init.d/rc.local
Ranpli dosye yo
#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0Nou distribye dwa "kòrèk" yo:
sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local Sa a se li, kounye a lè w ap chaje GNU/Linux nou pa bezwen antre modpas pou monte disk ntfs chiffres, disk yo monte otomatikman.
Yon nòt yon ti tan sou sa ki dekri pi wo a nan paragraf E1 etap pa etap (men kounye a pou OS GNU/Linux)
1) Kreye yon volim nan fs ext4 > 4gb (pou dosye) Linux nan Veracrypt [Cryptbox].
2) rdemare pou viv usb.
3) ~$ cryptsetup louvri /dev/sda7 Lunux #mapping patisyon chiffres.
4) ~$ monte /dev/mapper/Linux /mnt #monte patisyon an chiffres sou /mnt.
5) ~$ mkdir mnt2 # kreye yon anyè pou yon sovgad nan lavni.
6) ~$ cryptsetup louvri —veracrypt —tape tcrypt ~/CryptoBox CryptoBox && monte /dev/mapper/CryptoBox /mnt2 #Map yon volim Veracrypt ki rele “CryptoBox” epi monte CryptoBox nan /mnt2.
7) ~$ rsync -avlxhHX —progress /mnt /mnt2/ #operasyon sovgad yon patisyon chiffres nan yon volim Veracrypt chiffres.
(p/s/ Atansyon! Si w ap transfere chifre GNU/Linux soti nan yon achitekti/machin nan yon lòt, pou egzanp, Intel > AMD (ki vle di, deplwaye yon sovgad soti nan yon patisyon chiffres nan yon lòt Intel > patisyon chiffres AMD), Pa bliye Apre transfere eksplwatasyon an chiffres, edite kle ranplasan sekrè olye pou modpas la, petèt. kle anvan an ~/etc/skey - p ap anfòm yon lòt patisyon ankode, epi li pa rekòmande pou kreye yon nouvo kle "cryptsetup luksAddKey" nan anba chroot - yon glitch posib, jis nan ~/etc/crypttab presize olye pou yo. "/etc/skey" tanporèman "okenn" ", apre yo fin rebote ak konekte nan OS la, rkree kle Wildcard sekrè ou ankò).
Kòm veteran IT, sonje separeman fè sovgad nan tèt yo nan patisyon Windows/Linux OS chiffres, oswa chifreman an ap vire kont ou.
Nan etap sa a, backup la nan eksplwatasyon an chiffres fini.
[F] Atak sou bootloader GRUB2 la
DetaySi ou te pwoteje bootloader ou a ak yon siyati dijital ak/oswa otantifikasyon (gade pwen C6.), Lè sa a, sa a pa pral pwoteje kont aksè fizik. Done chiffres yo ap toujou inaksesib, men pwoteksyon an pral iyore (reset pwoteksyon siyati dijital) GRUB2 pèmèt yon cyber-mechan enjekte kòd li nan bootloader la san yo pa leve sispèk. (sòf si itilizatè a manyèlman kontwole eta bootloader la, oswa vini ak pwòp kòd solid abitrè-script yo pou grub.cfg).
Algorithm atak. Entrigan
* Bòt PC soti nan usb ap viv. Nenpòt chanjman (vyolatè) fichye yo pral avize pwopriyetè reyèl la nan PC a sou entrizyon an nan bootloader la. Men, yon senp réinstallation de GRUB2 kenbe grub.cfg (ak kapasite ki vin apre pou modifye li) pral pèmèt yon atakè modifye nenpòt ki dosye (nan sitiyasyon sa a, lè w ap chaje GRUB2, itilizatè reyèl la p ap jwenn enfòmasyon. Estati a se menm <0>)
* Monte yon patisyon ki pa chiffres, sere "/mnt/boot/grub/grub.cfg".
* Réinstalle bootloader la (retire "perskey" nan imaj la core.img)
grub-install --force --root-directory=/mnt /dev/sda6
* Retounen "grub.cfg" > "/mnt/boot/grub/grub.cfg", modifye li si sa nesesè, pou egzanp, ajoute modil ou "keylogger.mod" nan katab la ak modil loader, nan "grub.cfg" > liy "insmod kelodje". Oswa, pou egzanp, si lènmi an se atizan konn fè, Lè sa a, apre re-enstale GRUB2 (tout siyati rete an plas) li bati imaj prensipal GRUB2 lè l sèvi avèk "grub-mkimage ak opsyon (-c)." Opsyon "-c" la pral pèmèt ou chaje konfigirasyon ou anvan ou chaje prensipal "grub.cfg". Konfigirasyon an ka konpoze de yon sèl liy: redireksyon nan nenpòt "modern.cfg", melanje, pou egzanp, ak ~ 400 fichye. (modil + siyati) nan katab la "/boot/grub/i386-pc". Nan ka sa a, yon atakè ka mete kòd abitrè ak chaj modil san yo pa afekte "/boot/grub/grub.cfg", menm si itilizatè a aplike "hashsum" nan dosye a epi tanporèman parèt li sou ekran an.
Yon atakè pa pral bezwen pirate login / modpas GRUB2 superitilizatè a; li pral jis bezwen kopye liy yo. (responsab pou otantifikasyon) "/boot/grub/grub.cfg" nan "modern.cfg" ou a
mete superusers="rasin"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
Epi pwopriyetè PC a ap toujou otantifye kòm superitilizatè GRUB2.
Chain chèn (Bootloader chaje yon lòt bootloader), jan mwen te ekri pi wo a, pa fè sans (li fèt pou yon lòt rezon). Bootloader chiffré pa ka chaje akòz BIOS (Bòt chèn rekòmanse GRUB2> GRUB2 chiffres, erè!). Sepandan, si ou toujou sèvi ak lide chaje chèn, ou ka asire w ke se youn nan chiffres ke yo te chaje. (pa modènize) "grub.cfg" soti nan patisyon an chiffres. Ak sa a se tou yon fo sans de sekirite, paske tout bagay ki endike nan chiffres "grub.cfg" la. (chajman modil) ajoute jiska modil ki chaje soti nan GRUB2 ki pa kode.
Si ou vle tcheke sa a, Lè sa a, asiyen/ankripte yon lòt patisyon sdaY, kopi GRUB2 sou li (operasyon grub-enstale sou yon patisyon chiffres pa posib) ak nan "grub.cfg" (konfigirasyon ki pa kode) chanje liy tankou sa yo
menuentry 'GRUBx2' --klas jako --klas gnu-linux --klas gnu --klas os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
load_video
ensmod gzio
si [ x$grub_platform = xxen ]; Lè sa a, insmod xzio; insmod lzopio; fi
insmod part_msdos
insmod cryptodisk
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
nòmal /boot/grub/grub.cfg
}
liy yo
* insmod - chaje modil ki nesesè yo pou travay avèk yon disk chiffres;
* GRUBx2 - non liy ki parèt nan meni bòt GRUB2 la;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -wè. fdisk -l (sda9);
* mete rasin - enstale rasin;
* nòmal /boot/grub/grub.cfg - ègzekutabl fichye konfigirasyon sou yon patisyon chiffres.
Konfyans ke li se "grub.cfg" ki chaje a se yon repons pozitif pou antre modpas la / debloke "sdaY" lè w ap chwazi liy "GRUBx2" nan meni GRUB la.
Lè w ap travay nan CLI a, se konsa yo pa jwenn konfonn (epi tcheke si varyab anviwònman "set rasin" la te travay), kreye fichye siy vid, pou egzanp, nan seksyon an chiffres "/shifr_grub", nan seksyon an ki pa chiffres "/noshifr_grub". Tcheke nan CLI la
cat /Tab-TabKòm te note pi wo a, sa a pa pral ede kont telechaje modil move si modil sa yo fini sou PC ou. Pou egzanp, yon keylogger ki pral kapab sove frap nan yon dosye epi melanje li ak lòt dosye nan "~/i386" jiskaske li telechaje pa yon atakè ki gen aksè fizik nan PC a.
Fason ki pi fasil pou verifye pwoteksyon siyati dijital ap travay aktivman (pa reset), epi pa gen moun ki te anvayi bootloader la, antre lòd la nan CLI la
list_trusted
an repons nou resevwa yon kopi "perskey" nou an, oswa nou pa resevwa anyen si nou atake (ou bezwen tou tcheke "set check_signatures=enforce").
Yon dezavantaj enpòtan nan etap sa a se antre nan kòmandman manyèlman. Si ou ajoute lòd sa a nan "grub.cfg" epi pwoteje konfigirasyon an ak yon siyati dijital, Lè sa a, pwodiksyon an preliminè nan snapshot kle a sou ekran an twò kout nan distribisyon, epi ou ka pa gen tan wè pwodiksyon an apre chaje GRUB2. .
Pa gen pesonn an patikilye pou fè reklamasyon pou: pwomotè a nan l kloz 18.2 deklare ofisyèlman
"Remake byen ke menm avèk pwoteksyon modpas GRUB, GRUB tèt li pa ka anpeche yon moun ki gen aksè fizik nan machin nan chanje mikrolojisyèl machin sa a (egzanp, Coreboot oswa BIOS) konfigirasyon machin nan demare soti nan yon aparèy diferan (atakè-kontwole). GRUB se nan pi bon yon sèl lyen nan yon chèn bòt sekirite."
GRUB2 twò chaje ak fonksyon ki ka bay yon sans de fo sekirite, ak devlopman li te deja depase MS-DOS an tèm de fonctionnalités, men li se jis yon bootloader. Li komik ke GRUB2 - "demen" ka vin eksplwatasyon an, ak demaraj GNU/Linux machin vityèl pou li.
Yon videyo kout sou fason mwen retabli pwoteksyon siyati dijital GRUB2 la epi mwen deklare entrizyon mwen an bay yon itilizatè reyèl (Mwen pè ou, men olye de sa yo montre nan videyo a, ou ka ekri kòd abitrè ki pa inofansif/.mod).
Konklizyon:
1) Blòk sistèm chifreman pou Windows se pi fasil pou aplike, ak pwoteksyon ak yon sèl modpas pi pratik pase pwoteksyon ak plizyè modpas ak GNU/Linux sistèm chifreman blòk, yo dwe jis: lèt la se otomatize.
2) Mwen te ekri atik la kòm enpòtan ak detaye senp yon gid pou cryptage plen ki gen kapasite VeraCrypt/LUKS sou yon sèl kay machin nan, ki se byen lwen pi bon an nan RuNet (IMHO). Gid la se > 50k karaktè long, kidonk li pa t 'kouvri kèk chapit enteresan: kriptograf ki disparèt / kenbe nan lonbraj yo; sou lefèt ke nan divès liv GNU/Linux yo ekri ti kras / pa ekri sou kriptografi; sou Atik 51 nan Konstitisyon an nan Federasyon Larisi la; O /entèdiksyon , sou poukisa ou bezwen ankripte "rasin / bòt". Gid la te tounen byen vaste, men detaye. (ki dekri etap menm senp), nan vire, sa a pral sove ou anpil tan lè ou rive nan "vrè chifreman an".
3) Yo te fè chifreman konplè ki gen kapasite sou Windows 7 64; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.
4) aplike yon atak siksè sou l ' GRUB2 bootloader.
5) Leson patikilye yo te kreye pou ede tout moun paranoyik nan CIS la, kote yo pèmèt travay ak chifreman nan nivo lejislatif la. Ak prensipalman pou moun ki vle woule chifreman konplè ki gen kapasite san yo pa demoli sistèm konfigirasyon yo.
6) Retravay ak mete ajou manyèl mwen an, ki enpòtan an 2020.
[G] Dokiman itil
- (Fevriye 2012 RU)
- /usr/share/doc/cryptsetup(-run) [resous lokal] (dokimantasyon ofisyèl detaye sou konfigirasyon GNU/Linux chifreman lè l sèvi avèk cryptsetup)
- (Brèf dokiman sou konfigirasyon GNU/Linux chifreman lè l sèvi avèk cryptsetup)
- (dokimantasyon archlinux)
- (paj man ark)
- (paj man ark)
- .
Tags: konplè chifreman ki gen kapasite, chifreman patisyon, Linux plen chifreman ki gen kapasite, LUKS1 chifreman sistèm konplè.
Se sèlman itilizatè ki anrejistre ki ka patisipe nan sondaj la. , tanpri.
Èske ou cryptage?
-
17,1%Mwen ankripte tout sa mwen kapab. Mwen paranoya.14
-
34,2%Mwen sèlman ankripte done enpòtan.28
-
14,6%Pafwa mwen ankripte, pafwa mwen bliye.12
-
34,2%Non, mwen pa ankripte, li enkonvenyan ak chè.28
82 itilizatè te vote. 22 itilizatè te absteni.
Sous: www.habr.com