ProHoster > Blog > Adminisztráció > Windows Linux telepített rendszerek teljes lemeztitkosítása. Titkosított többszörös rendszerindítás
Windows Linux telepített rendszerek teljes lemeztitkosítása. Titkosított többszörös rendszerindítás
Frissített saját útmutató a teljes lemezes titkosításhoz a RuNet V0.2-ben.
Cowboy stratégia:
[A] A telepített rendszer Windows 7 rendszerblokk-titkosítása;
[B] GNU/Linux rendszerblokk titkosítás (Debian) telepített rendszer (beleértve a /bootot is);
[C] GRUB2 konfiguráció, rendszerbetöltő védelem digitális aláírással/hitelesítéssel/kivonatozással;
[D] stripping – titkosítatlan adatok megsemmisítése;
[E] univerzális biztonsági mentés a titkosított operációs rendszerről;
[F] támadás <[C6]> elem ellen - GRUB2 rendszerbetöltő;
[G]segítő dokumentáció.
╭───A #40# szoba rajza :
├──╼ Windows 7 telepítve - teljes rendszertitkosítás, nem rejtett;
├──╼ GNU/Linux telepítve (Debian és származékos disztribúciók) — teljes rendszertitkosítás, nem rejtett(/, beleértve a /bootot; csere);
├──╼ független rendszerbetöltő: a VeraCrypt rendszerbetöltő telepítve van az MBR-ben, a GRUB2 rendszertöltő telepítve van a kiterjesztett partícióra;
├──╼nem szükséges az operációs rendszer telepítése/újratelepítése;
└──╼Használt kriptográfiai szoftver: VeraCrypt; kriptográfiai beállítás; GnuPG; Csikóhal; Hashdeep; A GRUB2 ingyenes/ingyenes.
A fenti séma részben megoldja a „távoli rendszerindítás flash meghajtóra” problémáját, lehetővé teszi a titkosított Windows/Linux operációs rendszer élvezetét, és egy „titkosított csatornán” keresztül történő adatcserét egyik operációs rendszerről a másikra.
PC-indítási sorrend (az egyik lehetőség):
a gép bekapcsolása;
a VeraCrypt rendszerbetöltő betöltése (a helyes jelszó megadásával a Windows 7 továbbra is elindul);
az "Esc" billentyű lenyomása betölti a GRUB2 rendszerbetöltőt;
GRUB2 rendszertöltő (válasszon disztribúciót/GNU/Linuxot/CLI-t), megköveteli a GRUB2 szuperfelhasználó hitelesítését <login/password>;
a sikeres hitelesítés és a terjesztés kiválasztása után meg kell adnia egy jelszót a „/boot/initrd.img” feloldásához;
hibamentes jelszavak megadása után a GRUB2 "megköveteli" a jelszó megadását (harmadszor BIOS-jelszó vagy GNU/Linux felhasználói fiók jelszava – ne vegye figyelembe) a GNU/Linux OS feloldásához és indításához, vagy egy titkos kulcs automatikus helyettesítéséhez (két jelszó + kulcs, vagy jelszó + kulcs);
a GRUB2 konfigurációba való külső behatolás leállítja a GNU/Linux rendszerindítási folyamatát.
Zavaros? Rendben, automatizáljuk a folyamatokat.
Merevlemez particionálásakor (MBR táblázat) Egy PC-nek legfeljebb 4 fő partíciója vagy 3 fő és egy kiterjesztett partíciója lehet, valamint egy ki nem osztott terület. A kibővített szakasz a fő résztől eltérően alszakaszokat tartalmazhat (logikai meghajtók = kiterjesztett partíció). Más szavakkal, a merevlemez „bővített partíciója” leváltja az LVM-et az adott feladatban: teljes rendszertitkosításban. Ha a lemez 4 fő partícióra van osztva, akkor lvm-et vagy transzformációt kell használnia (formázással) szakaszt a főtől a haladóig, vagy bölcsen használja mind a négy részt, és hagyjon mindent úgy, ahogy van, így eléri a kívánt eredményt. Még ha van is egy partíció a lemezen, a Gparted segít particionálni a merevlemezt (további szakaszokhoz) adatvesztés nélkül, de mégis csekély büntetés jár az ilyen cselekedetekért.
A merevlemez-elrendezési sémát, amellyel kapcsolatban a teljes cikk szóba kerül, az alábbi táblázat mutatja be.
1 TB-os partíciók táblázata (1. sz.).
Neked is kellene valami hasonló.
sda1 - fő partíció No. 1 NTFS (titkosított);
sda2 - kiterjesztett szakaszjelző;
sda6 - logikai lemez (telepítve van a GRUB2 rendszerbetöltő);
sda8 - swap (titkosított cserefájl/nem mindig);
sda9 - logikai lemez tesztelése;
sda5 - logikai lemez a kíváncsiak számára;
sda7 - GNU/Linux OS (titkosított logikai lemezre átvitt operációs rendszer);
sda3 – 2. számú fő partíció Windows 7 operációs rendszerrel (titkosított);
sda4 - 3. számú főszakasz (titkosítatlan GNU/Linuxot tartalmazott, biztonsági mentéshez használt/nem mindig).
[A] Windows 7 rendszerblokk-titkosítás
A1. VeraCrypt
Letöltés innen hivatalos honlapja, vagy a tükörből sourceforge a VeraCrypt kriptográfiai szoftver telepítési verziója (a v1.24-Update3 cikk megjelenésekor a VeraCrypt hordozható verziója nem alkalmas rendszertitkosításra). Ellenőrizze a letöltött szoftver ellenőrző összegét
A3. Rendszertitkosítási paraméterek kiválasztása az aktív partícióhozVeraCrypt – Rendszer – Rendszerpartíció/lemez titkosítása – Normál – Windows rendszerpartíció titkosítása – Multiboot – (figyelmeztetés: "Tapasztalatlan felhasználóknak nem ajánlott ezt a módszert használni" és ez igaz, egyetértünk "Igen") – Indítólemez ("igen", még ha nem is, akkor is "igen") – Rendszerlemezek száma „2 vagy több” – Több rendszer egy lemezen „Igen” – Nem Windows rendszerbetöltő „Nem” (valójában „Igen”, de a VeraCrypt/GRUB2 rendszertöltők nem osztják meg egymás között az MBR-t; pontosabban a rendszertöltő kódnak csak a legkisebb része tárolódik az MBR/boot sávban, a fő része fájlrendszeren belül található) – Multiboot – Titkosítási beállítások…
Ha eltér a fenti lépésektől (blokkolja a rendszer titkosítási sémáit), akkor a VeraCrypt figyelmeztetést ad, és nem engedi titkosítani a partíciót.
A célzott adatvédelem felé vezető következő lépésben végezzen „Tesztet”, és válasszon titkosítási algoritmust. Ha elavult CPU-ja van, akkor valószínűleg a Twofish lesz a leggyorsabb titkosítási algoritmus. Ha a CPU erős, észreveheti a különbséget: az AES titkosítás a teszteredmények szerint többszöröse gyorsabb lesz, mint a kripto-versenytársak. Az AES egy népszerű titkosítási algoritmus, a modern CPU-k hardverét kifejezetten „titkos” és „hackelés” céljára optimalizálták.
A VeraCrypt támogatja a lemezek AES-kaszkádban történő titkosítását(Kéthal)/és egyéb kombinációk. Egy régi, tíz évvel ezelőtti mag Intel CPU-n (AES, A/T kaszkád titkosítás hardveres támogatása nélkül) A teljesítmény csökkenése lényegében észrevehetetlen. (azonos korszakú/~paraméteres AMD CPU-k esetében a teljesítmény kissé csökken). Az operációs rendszer dinamikusan működik, és az átlátható titkosítás erőforrás-fogyasztása láthatatlan. Ezzel szemben például észrevehető teljesítménycsökkenés tapasztalható a telepített instabil Mate v1.20.1 asztali tesztkörnyezet miatt. (vagy v1.20.2 nem emlékszem pontosan) GNU/Linux alatt, vagy a telemetriai rutin működése miatt a Windows7↑ alatt. A tapasztalt felhasználók általában hardverteljesítmény-teszteket hajtanak végre a titkosítás előtt. Például az Aida64/Sysbench/systemd-analyze programban a hibáztatást ugyanazon tesztek eredményeivel hasonlítják össze a rendszer titkosítása után, ezzel megcáfolva azt a mítoszt, hogy „a rendszer titkosítása káros”. A gép lassulása és a kényelmetlenség a titkosított adatok mentésénél/visszaállításánál szembetűnő, mert magát a „rendszeradat-mentés” műveletet nem ms-ban mérik, és ugyanezek a <decrypt/encrypt on the fly> is hozzáadódnak. Végső soron minden felhasználó, aki trükközhet a kriptográfiával, egyensúlyba hozza a titkosítási algoritmust az aktuális feladatok kielégítésével, a paranoiás szintjével és a könnyű használhatósággal.
Jobb, ha a PIM paramétert alapértelmezettként hagyja meg, hogy az operációs rendszer betöltésekor ne kelljen minden alkalommal megadnia a pontos iterációs értékeket. A VeraCrypt hatalmas számú iterációt használ egy igazán „lassú hash” létrehozásához. Egy ilyen „kriptocsiga” elleni támadásnak a Brute force/Rainbow tables módszerrel csak egy rövid „egyszerű” jelmondattal és az áldozat személyes karakterkészlet-listájával van értelme. A jelszó erősségéért fizetendő ár az operációs rendszer betöltésekor a helyes jelszó beírásának késedelme. (A VeraCrypt kötetek GNU/Linux alatt történő felszerelése lényegesen gyorsabb).
Ingyenes szoftver brutális támadások végrehajtásához (kivonat jelmondat a VeraCrypt/LUKS lemezfejlécből) Hashcat. Hasfelmetsző János nem tudja, hogyan kell „megtörni a Veracryptet”, és amikor a LUKS-szal dolgozik, nem érti a Twofish kriptográfiát.
A titkosítási algoritmusok kriptográfiai erőssége miatt a megállíthatatlan cypherpunkok más támadási vektorral rendelkező szoftvereket fejlesztenek. Például metaadatok/kulcsok kinyerése a RAM-ból (hideg rendszerindítás/közvetlen memória-hozzáférési támadás), Vannak speciális ingyenes és nem ingyenes szoftverek erre a célra.
A titkosított aktív partíció „egyedi metaadatainak” beállításának/generálásának befejezése után a VeraCrypt felajánlja a PC újraindítását és a rendszertöltő funkcionalitásának tesztelését. A Windows újraindítása/indítása után a VeraCrypt készenléti módban töltődik be, csak a titkosítási folyamat megerősítése marad hátra - Y.
A rendszer titkosításának utolsó lépésében a VeraCrypt felajánlja az aktív titkosított partíció fejlécének biztonsági másolatának létrehozását „veracrypt mentési disk.iso” formájában - ezt meg kell tenni - ebben a szoftverben egy ilyen művelet követelmény (LUKS-ban követelményként - ez sajnos kimaradt, de a dokumentációban kiemelik). A mentőlemez mindenki számára jól jön, és néhánynak többször is. Veszteség (fejléc/MBR átírás) a fejléc biztonsági másolata véglegesen megtagadja a hozzáférést a visszafejtett partícióhoz az OS Windows rendszerben.
A4. VeraCrypt mentési USB/lemez létrehozásaAlapértelmezés szerint a VeraCrypt felajánlja „~2-3 MB metaadat” CD-re írását, de nem mindenkinek van lemeze vagy DWD-ROM meghajtója, és a „VeraCrypt Rescue disk” rendszerindító flash meghajtó létrehozása technikai meglepetés lesz egyesek számára: A Rufus /GUIdd-ROSA ImageWriter és más hasonló szoftverek nem fognak tudni megbirkózni a feladattal, mert az offset metaadatok bootolható flash meghajtóra való másolása mellett a képet az USB meghajtó fájlrendszerén kívülre kell másolni/beilleszteni, röviden, helyesen másolja át az MBR-t/utat a kulcstartóba. Létrehozhat egy rendszerindító flash meghajtót GNU/Linux OS-ből a „dd” segédprogrammal, ezt a jelet nézve.
A mentési lemez létrehozása Windows környezetben más. A VeraCrypt fejlesztője nem foglalta bele a probléma megoldását a hivatalos lapba dokumentáció „mentőlemezzel”, de más megoldást javasolt: a VeraCrypt fórumán további szoftvert tett közzé egy „usb mentési lemez” létrehozásához, ingyenes hozzáféréshez. A Windows rendszerhez készült szoftver archiválója „usb veracrypt mentőlemezt hoz létre”. A mentési disk.iso mentése után megkezdődik az aktív partíció blokkrendszer-titkosítási folyamata. A titkosítás során az operációs rendszer működése nem áll le, a számítógép újraindítása nem szükséges. A titkosítási művelet befejeztével az aktív partíció teljesen titkosított lesz, és használható. Ha a VeraCrypt rendszertöltő nem jelenik meg a számítógép indításakor, és a fejléc-helyreállítási művelet nem segít, akkor ellenőrizze a „boot” jelzőt, azt a partícióra kell állítani, ahol a Windows található. (a titkosítástól és más operációs rendszertől függetlenül, lásd az 1. táblázatot). Ezzel befejeződik a blokkrendszer-titkosítás leírása Windows operációs rendszerrel.
[B]LUKS. GNU/Linux titkosítás (~Debian) telepített operációs rendszer. Algoritmus és lépések
Egy telepített Debian/származékos disztribúció titkosításához le kell képeznie az előkészített partíciót egy virtuális blokkeszközre, át kell vinnie a leképezett GNU/Linux lemezre, és telepítenie/konfigurálnia kell a GRUB2-t. Ha nincs csupasz fém szervere, és értékeli az idejét, akkor a grafikus felhasználói felületet kell használnia, és az alábbiakban leírt terminálparancsok többsége „Chuck-Norris módban” való futtatásra szolgál.
B1. PC indítása élő usb GNU/Linuxról
„Végezzen kriptotesztet a hardver teljesítményéhez”
lscpu && сryptsetup benchmark
Ha Ön egy erős, AES hardvertámogatással rendelkező autó boldog tulajdonosa, akkor a számok úgy néznek ki, mint a terminál jobb oldala; ha boldog tulajdonos, de antik hardverrel, akkor a számok a bal oldalon fognak kinézni.
B2. Lemezparticionálás. fs logikai lemez merevlemez csatlakoztatása/formázása Ext4-re (Gparted)
B2.1. Titkosított sda7 partíciófejléc létrehozásaLeírom a partíciók neveit itt és a továbbiakban, a fent közzétett partíciós táblázatomnak megfelelően. A lemezelrendezésnek megfelelően le kell cserélnie a partícióneveket.
Opciók:
* luksFormat - a LUKS fejléc inicializálása;
* A /dev/sda7 a jövőbeli titkosított logikai lemezed;
* -v verbalizálás;
* -y jelmondat;
* -c adattitkosítási algoritmus kiválasztása;
* -s titkosítási kulcs mérete;
* -h hash algoritmus/kriptofüggvény, használt RNG (--használat-urandom) egyedi titkosítási/dekódolási kulcs létrehozása a logikai lemez fejlécéhez, egy másodlagos fejléc kulcs (XTS); a titkosított lemezfejlécben tárolt egyedi mesterkulcs, egy másodlagos XTS-kulcs, mindezek a metaadatok és egy titkosítási rutin, amely a mesterkulcsot és a másodlagos XTS-kulcsot használja, titkosít/dekódol minden adatot a partíción. (kivéve a szakasz címét) ~3MB-ban tárolva a kiválasztott merevlemez-partíción.
* -i iterációk ezredmásodpercben, az "összeg" helyett (a jelmondat feldolgozásának késleltetése befolyásolja az operációs rendszer betöltését és a kulcsok kriptográfiai erősségét). A kriptográfiai erősség egyensúlyának fenntartása érdekében egy egyszerű jelszóval, mint például az „orosz”, növelnie kell az -(i) értéket; összetett jelszóval, mint például „?8dƱob/øfh”, az érték csökkenthető.
* -Urán véletlenszám-generátor használata, kulcsokat és sót generál.
Az sda7 > sda7_crypt szakasz leképezése után (a művelet gyors, mivel ~3 MB metaadatokkal titkosított fejléc jön létre, és ennyi), formázni és csatlakoztatni kell az sda7_crypt fájlrendszert.
B2.3. Összehasonlítás
cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.
lehetőségek:
* nyitott - egyeztesse a „névvel” részt;
* /dev/sda7 -logikai lemez;
* sda7_crypt – névleképezés, amely a titkosított partíció csatlakoztatására vagy inicializálására szolgál az operációs rendszer indításakor.
B2.4. Az sda7_crypt fájlrendszer formázása ext4-re. Lemez beszerelése az operációs rendszerbe(Megjegyzés: a Gpartedben nem fog tudni titkosított partícióval dolgozni)
#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt
lehetőségek:
* -v -verbalizáció;
* -L - meghajtócímke (amely az Intézőben más meghajtók mellett is megjelenik).
Ezután csatlakoztassa a /dev/sda7_crypt virtuálisan titkosított blokkeszközt a rendszerhez
mount /dev/mapper/sda7_crypt /mnt
A /mnt mappában lévő fájlokkal végzett munka automatikusan titkosítja/visszafejti az sda7-ben található adatokat.
Kényelmesebb a partíció leképezése és csatlakoztatása az Explorerben (nautilus/caja GUI), a partíció már a lemezkiválasztási listában lesz, már csak a jelszó megadása van hátra a lemez megnyitásához/visszafejtéséhez. Az egyező név automatikusan kiválasztásra kerül, és nem „sda7_crypt”, hanem valami ilyesmi: /dev/mapper/Luks-xx-xx...
B2.5. Lemezfejléc biztonsági mentése (~3 MB metaadat)Az egyik fontos késedelem nélkül végrehajtandó műveletek - az „sda7_crypt” fejléc biztonsági másolata. Ha felülírja/sérül a fejléc (például a GRUB2 telepítése az sda7 partícióra stb.), a titkosított adatok teljesen elvesznek anélkül, hogy vissza lehetne őket állítani, mert lehetetlen lesz ugyanazokat a kulcsokat újra előállítani, a kulcsok egyedileg jönnek létre.
lehetőségek:
* luksHeaderBackup —header-backup-file -backup parancs;
* luksHeaderRestore —header-backup-file -restore parancs;
* ~/Backup_DebSHIFR - biztonsági mentési fájl;
* /dev/sda7 - partíció, amelynek titkosított lemezfejlécének biztonsági másolatát el kell menteni. Ennél a lépésnél a <titkosított partíció létrehozása és szerkesztése> befejeződött.
B3. GNU/Linux OS portolása (sda4) titkosított partícióra (sda7)
Hozzon létre egy /mnt2 mappát (Megjegyzés – még mindig élő usb-vel dolgozunk, az sda7_crypt a /mnt könyvtárba van felszerelve), és csatoljuk a GNU/Linuxunkat az /mnt2 könyvtárba, amelyet titkosítani kell.
mkdir /mnt2
mount /dev/sda4 /mnt2
A megfelelő operációs rendszer átvitelt az Rsync szoftverrel végezzük
rsync -avlxhHX --progress /mnt2/ /mnt
Az Rsync opciók leírása az E1 bekezdésben található.
Továbbá, szükséges defragmentál egy logikai lemezpartíciót
e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux
Legyen szabály: ha van merevlemeze, időnként végezzen e4defrag-ot titkosított GNU/LINux-on. Az átvitel és a szinkronizálás [GNU/Linux > GNU/Linux-titkosított] ezzel a lépéssel befejeződött.
AT 4. A GNU/Linux beállítása titkosított sda7 partíción
Az operációs rendszer /dev/sda4 > /dev/sda7 sikeres átvitele után be kell jelentkeznie a GNU/Linuxba a titkosított partíción, és el kell végeznie a további konfigurációt. (a PC újraindítása nélkül) egy titkosított rendszerhez képest. Vagyis legyen élő USB-n, de a parancsokat „a titkosított operációs rendszer gyökeréhez képest” hajtsa végre. A „chroot” hasonló helyzetet szimulál. Hogy gyorsan információt kapjon arról, hogy éppen melyik operációs rendszerrel dolgozik (titkosított-e vagy sem, mivel az sda4 és sda7 adatok szinkronizálva vannak), deszinkronizálja az operációs rendszert. Hozzon létre gyökérkönyvtárban (sda4/sda7_crypt) üres jelölőfájlok, például /mnt/encryptedOS és /mnt2/decryptedOS. Gyorsan ellenőrizze, hogy melyik operációs rendszert használja (beleértve a jövőt is):
ls /<Tab-Tab>
B4.1. „Titkosított operációs rendszerbe való bejelentkezés szimulációja”
mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt
B4.2. Annak ellenőrzése, hogy a munka titkosított rendszeren történik-e
ls /mnt<Tab-Tab>
#и видим файл "/шифрованнаяОС"
history
#в выводе терминала должна появиться история команд su рабочей ОС.
B4.3. Titkosított csere létrehozása/konfigurálása, crypttab/fstab szerkesztéseMivel a swap fájl formázásra kerül minden alkalommal, amikor az operációs rendszer elindul, nincs értelme létrehozni és leképezni a cserefájlt egy logikai lemezre, és be kell írnia a parancsokat a B2.2 bekezdésben leírtak szerint. A Swap esetében a rendszer minden indításakor automatikusan generálja a saját ideiglenes titkosítási kulcsait. A swap kulcsok életciklusa: swap partíció le-/leválasztása (+RAM tisztítása); vagy indítsa újra az operációs rendszert. Swap beállítása, a blokk-titkosított eszközök konfigurációjáért felelős fájl megnyitása (Analóg egy fstab fájlhoz, de felelős a titkosításért).
Lehetőségek
* swap – leképezett név a /dev/mapper/swap titkosításakor.
* /dev/sda8 – használja a logikai partíciót a swaphoz.
* /dev/urandom - véletlenszerű titkosítási kulcsok generátora a cseréhez (minden új operációs rendszer indításakor új kulcsok jönnek létre). A /dev/urandom generátor kevésbé véletlenszerű, mint a /dev/random, elvégre a /dev/random akkor használatos, ha veszélyes paranoiás körülmények között dolgozik. Az operációs rendszer betöltésekor a /dev/random néhány ± percre lelassítja a betöltést (lásd: systemd-analyze).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -a partíció tudja, hogy csere van, és ennek megfelelően van formázva; titkosítási algoritmus.
#Открываем и правим fstab
nano /etc/fstab
szerkesztjük
A # swap a / dev / sda8 fájlon volt a telepítés során
/dev/mapper/swap nincs swap sw 0 0
A /dev/mapper/swap a crypttabban beállított név.
Alternatív titkosított csere
Ha valamilyen oknál fogva nem szeretne egy teljes partíciót feladni egy swap fájlért, akkor választhat egy alternatív és jobb utat: swap fájlt hozhat létre egy titkosított partíción lévő fájlban az operációs rendszerrel.
fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный
A cserepartíció beállítása befejeződött.
B4.4. Titkosított GNU/Linux beállítása (crypttab/fstab fájlok szerkesztése)Az /etc/crypttab fájl, ahogy fent írtuk, leírja a rendszerindítás során beállított titkosított blokkeszközöket.
#правим /etc/crypttab
nano /etc/crypttab
ha megfelelt az sda7>sda7_crypt szakasznak a B2.1. bekezdésben leírtak szerint
ha megfelelt az sda7>sda7_crypt szakasznak a B2.1 vagy B2.2 bekezdésben leírtak szerint, de nem szeretné újra megadni a jelszót a zárolás feloldásához és az operációs rendszer indításához, akkor a jelszó helyett titkos kulcsot/véletlen fájlt helyettesíthet
Leírás
* nincs – azt jelenti, hogy az operációs rendszer betöltésekor titkos jelszót kell megadni a gyökér feloldásához.
* UUID - partíció azonosító. Az azonosítójának megtudásához írja be a terminálba (emlékeztessen arra, hogy ettől kezdve egy chroot környezetben lévő terminálon dolgozik, nem pedig egy másik élő usb terminálon).
fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное
ez a sor akkor látható, ha az élő usb-terminálról blkid-t kérünk, az sda7_crypt beillesztéssel).
Elveszed az UUID-t az sdaX-edről (nem sdaX_crypt!, UUID sdaX_crypt - automatikusan megmarad a grub.cfg konfiguráció létrehozásakor).
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks titkosítás speciális módban.
* /etc/skey - titkos kulcsfájl, amely automatikusan beszúrásra kerül az operációs rendszer rendszerindításának feloldásához (a 3. jelszó megadása helyett). 8 MB-ig bármilyen fájlt megadhat, de az adatok 1 MB-nál kisebbek lesznek.
#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey
cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота
Az /etc/fstab leíró információkat tartalmaz a különféle fájlrendszerekről.
#Правим /etc/fstab
nano /etc/fstab
# "fájlrendszer" "csatolási pont" "típus" "opciók" "kiírás" "pass"
# / a / dev / sda7-en volt a telepítés során
/dev/mapper/sda7_crypt / ext4 errors=remount-ro 0 1
választási lehetőség
* /dev/mapper/sda7_crypt – az sda7>sda7_crypt leképezés neve, amely az /etc/crypttab fájlban van megadva. A crypttab/fstab telepítése befejeződött.
B4.5. Konfigurációs fájlok szerkesztése. Kulcs pillanatB4.5.1. Az /etc/initramfs-tools/conf.d/resume konfiguráció szerkesztése
#Если у вас ранее был активирован swap раздел, отключите его.
nano /etc/initramfs-tools/conf.d/resume
és kommentáld (ha létezik) "#" sor "folytatás". A fájlnak teljesen üresnek kell lennie.
B4.5.2. Az /etc/initramfs-tools/conf.d/cryptsetup konfiguráció szerkesztése
nano /etc/initramfs-tools/conf.d/cryptsetup
egyeznie kell
# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=igen
exportálja a CRYPTSETUP-ot
B4.5.3. Az /etc/default/grub konfiguráció szerkesztése (ez a konfiguráció felelős a grub.cfg létrehozásának képességéért, ha titkosított /boot fájllal dolgozik)
nano /etc/default/grub
add hozzá a „GRUB_ENABLE_CRYPTODISK=y” sort
Az 'y' érték, a grub-mkconfig és a grub-install ellenőrzi a titkosított meghajtókat, és további parancsokat generál, amelyek a rendszerindításkor való eléréséhez szükségesek (insmods ).
hasonlóságnak kell lennie
B4.5.4. Az /etc/cryptsetup-initramfs/conf-hook konfiguráció szerkesztése
nano /etc/cryptsetup-initramfs/conf-hook
ellenőrizze, hogy a vonal megjegyzést fűzött <#>.
A jövőben (és még most sem lesz értelme ennek a paraméternek, de néha zavarja az initrd.img kép frissítését).
B4.5.5. Az /etc/cryptsetup-initramfs/conf-hook konfiguráció szerkesztése
nano /etc/cryptsetup-initramfs/conf-hook
add hozzá
KEYFILE_PATTERN=”/etc/skey”
IMASK=0077
Ez becsomagolja a titkos kulcsot, a "skey" az initrd.img fájlba, a kulcs a gyökér feloldásához szükséges az operációs rendszer indításakor (ha nem akarja újra megadni a jelszót, akkor a „kulcs” kulcs az autó helyett).
B4.6. A /boot/initrd.img [verzió] frissítéseA titkos kulcs becsomagolásához az initrd.img fájlba és a cryptsetup javítások alkalmazásához frissítse a képet
update-initramfs -u -k all
az initrd.img frissítésekor (ahogy mondják: Lehetséges, de nem biztos) a kriptográfiai beállításokkal kapcsolatos figyelmeztetések jelennek meg, vagy például egy értesítés az Nvidia modulok elvesztéséről - ez normális. A fájl frissítése után ellenőrizze, hogy valóban frissült-e, nézze meg az időt (a chroot környezethez képest./boot/initrd.img). Figyelem! [update-initramfs -u -k all] előtt győződjön meg arról, hogy a cryptsetup nyitva van-e a /dev/sda7 sda7_crypt - ez a név jelenik meg az /etc/crypttab fájlban, különben újraindítás után busybox hiba lesz) Ennél a lépésnél a konfigurációs fájlok beállítása befejeződött.
[C] A GRUB2/Protection telepítése és konfigurálása
C1. Ha szükséges, formázza meg a dedikált partíciót a rendszerbetöltőhöz (egy partíciónak legalább 20 MB-ra van szüksége)
mkfs.ext4 -v -L GRUB2 /dev/sda6
C2. Csatlakoztassa a /dev/sda6-ot a /mnt-hezTehát chrootban dolgozunk, akkor a gyökérben nem lesz /mnt2 könyvtár, és üres lesz az /mnt mappa.
csatolja a GRUB2 partíciót
mount /dev/sda6 /mnt
Ha a GRUB2 régebbi verziója van telepítve, akkor a /mnt/boot/grub/i-386-pc könyvtárban (más platform is lehetséges, például nem „i386-pc”) nincsenek kriptomodulok (röviden, a mappának modulokat kell tartalmaznia, beleértve a következőt: .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), ebben az esetben a GRUB2-t meg kell rázni.
apt-get update
apt-get install grub2
Fontos! Amikor frissíti a GRUB2 csomagot a tárolóból, amikor a rendszertöltő telepítési helyének kiválasztásáról kérdezik, meg kell tagadnia a telepítést (ok - próbálja meg telepíteni a GRUB2-t - "MBR"-ben vagy élő USB-n). Ellenkező esetben megsérül a VeraCrypt fejléc/betöltő. A GRUB2 csomagok frissítése és a telepítés megszakítása után a rendszertöltőt manuálisan kell telepíteni a logikai lemezre, nem pedig az MBR-re. Ha a tárhelyen a GRUB2 elavult verziója található, próbálkozzon frissítés a hivatalos webhelyről származik - még nem ellenőriztem (a legújabb GRUB 2.02 ~ BetaX rendszertöltőkkel működött).
lehetőségek
* —force - a rendszerbetöltő telepítése, megkerülve az összes szinte mindig létező figyelmeztetést, és blokkolja a telepítést (kötelező zászló).
* --root-directory - könyvtár telepítése az sda6 gyökeréhez.
* /dev/sda6 – az Ön sdaХ partíciója (ne hagyja ki a /mnt /dev/sda6 közötti <space>-t).
C4. Konfigurációs fájl létrehozása [grub.cfg]Felejtse el az "update-grub2" parancsot, és használja a teljes konfigurációs fájl generálási parancsot
grub-mkconfig -o /mnt/boot/grub/grub.cfg
a grub.cfg fájl létrehozásának/frissítésének befejezése után a kimeneti terminálnak tartalmaznia kell egy sort a lemezen található operációs rendszerrel. (A „grub-mkconfig” valószínűleg meg fogja találni és felveszi az operációs rendszert egy élő usb-ről, ha Windows 10 rendszerű multiboot flash meghajtóval és egy csomó élő disztribúcióval rendelkezik – ez normális). Ha a terminál „üres” és a „grub.cfg” fájl nem jön létre, akkor ez ugyanaz az eset, amikor GRUB hibák vannak a rendszerben (és valószínűleg a betöltő a tároló tesztágából), telepítse újra a GRUB2-t megbízható forrásból. Az "egyszerű konfiguráció" telepítése és a GRUB2 beállítása befejeződött.
C5. Titkosított GNU/Linux OS próbájaA kriptoküldetést megfelelően teljesítjük. Óvatosan hagyja el a titkosított GNU/Linuxot (kilépés a chroot környezetből).
umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot
A számítógép újraindítása után a VeraCrypt rendszerbetöltőnek be kell töltenie.
*Az aktív partíció jelszavának megadása megkezdi a Windows betöltését.
*Az "Esc" billentyű lenyomása átadja a vezérlést a GRUB2-nek, ha titkosított GNU/Linuxot választ - jelszó (sda7_crypt) szükséges a /boot/initrd.img zárolásának feloldásához (ha a grub2 azt írja ki, hogy uuid "not found" - ez egy probléma a grub2 rendszerbetöltővel, újra kell telepíteni, pl. tesztágról/stabilról stb.).
*Attól függően, hogy hogyan konfigurálta a rendszert (lásd a B4.4/4.5 bekezdést), a /boot/initrd.img képfájl zárolásának feloldásához szükséges helyes jelszó megadása után jelszóra lesz szüksége az operációs rendszer kernel/root betöltéséhez, vagy a titkos kód betöltéséhez. A kulcs automatikusan "skey"-re cserélődik, így nincs szükség a jelszó újbóli megadására.
*Ezután a GNU/Linux felhasználói fiók hitelesítéssel történő betöltésének ismerős folyamata következik.
*A felhasználó engedélyezése és az operációs rendszerbe való bejelentkezés után újra frissítenie kell a /boot/initrd.img fájlt. (lásd B4.6).
update-initramfs -u -k all
Plusz sorok esetén pedig a GRUB2 menüben (OS-m hangfelvételről élő usb-vel) Szabadulj meg tőlük
mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg
A GNU/Linux rendszertitkosítás gyors összefoglalása:
A GNU/Linuxinux teljesen titkosított, beleértve a /boot/kernel-t és az initrd-t;
a titkos kulcs az initrd.img fájlba van csomagolva;
jelenlegi engedélyezési rendszer (a jelszó megadása az initrd feloldásához; jelszó/kulcs az operációs rendszer indításához; jelszó a Linux fiók engedélyezéséhez).
A blokkpartíció "Simple GRUB2 Configuration" rendszertitkosítása befejeződött.
C6. Speciális GRUB2 konfiguráció. Bootloader védelem digitális aláírással + hitelesítés védelemA GNU/Linux teljesen titkosított, de a rendszerbetöltő nem titkosítható – ezt a feltételt a BIOS diktálja. Emiatt a GRUB2 láncolt titkosított rendszerindítása nem lehetséges, de egy egyszerű láncolt rendszerindítás lehetséges/elérhető, de biztonsági szempontból nem szükséges [ld. P. F].
A „sebezhető” GRUB2 esetében a fejlesztők egy „aláírás/hitelesítés” rendszerbetöltő védelmi algoritmust vezettek be.
Ha a rendszerbetöltőt „saját digitális aláírása” védi, a fájlok külső módosítása vagy további modulok betöltésére tett kísérlet ebbe a rendszerbetöltőbe a rendszerindítási folyamat blokkolásához vezet.
Amikor a rendszerbetöltőt hitelesítéssel védi, egy disztribúció betöltésének kiválasztásához vagy további parancsok megadásához a CLI-ben meg kell adnia a superuser-GRUB2 bejelentkezési nevét és jelszavát.
C6.1. Bootloader hitelesítés védelemEllenőrizze, hogy titkosított operációs rendszer terminálján dolgozik-e
ls /<Tab-Tab> #обнаружить файл-маркер
hozzon létre egy szuperfelhasználói jelszót az engedélyezéshez a GRUB2-ben
ellenőrizze a fájlkeresést, hogy a „grub.cfg” fájlban sehol nincsenek jelzők („-unrestricted” „-user”,
add hozzá a legvégén (a ### sor előtt END /etc/grub.d/41_custom ###) "set superusers="root"
password_pbkdf2 root hash."
Valami ilyesminek kellene lennie
# Ez a fájl egyszerű módot kínál egyéni menübejegyzések hozzáadására. Egyszerűen írja be a
# menübejegyzést szeretne hozzáadni a megjegyzés után. Ügyeljen arra, hogy ne változzon
# a fenti 'exec farok' sor.
### VÉGE /etc/grub.d/40_custom ###
### BEGIN /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; akkor
forrás ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; akkor
forrás $prefix/custom.cfg;
fi
set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### VÉGE /etc/grub.d/41_custom ###
#
Ha gyakran használja a „grub-mkconfig -o /mnt/boot/grub/grub.cfg” parancsot, és nem szeretné minden alkalommal módosítani a grub.cfg fájlt, írja be a fenti sorokat (Bejelentkezési jelszó) a GRUB felhasználói szkriptben a legvégén
nano /etc/grub.d/41_custom
macska << EOF
set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF
A „grub-mkconfig -o /mnt/boot/grub/grub.cfg” konfiguráció létrehozásakor a hitelesítésért felelős sorok automatikusan hozzáadódnak a grub.cfg fájlhoz. Ez a lépés befejezi a GRUB2 hitelesítés beállítását.
C6.2. Bootloader védelem digitális aláírássalFeltételezzük, hogy már rendelkezik személyes pgp titkosítási kulcsával (vagy hozzon létre egy ilyen kulcsot). A rendszerre telepített kriptográfiai szoftvernek kell lennie: gnuPG; kleopátra/GPA; Csikóhal. A kriptoszoftverek minden ilyen ügyben sokkal könnyebbé teszik az életét. Seahorse – a 3.14.0 csomag stabil verziója (a magasabb verziók, például a V3.20 hibásak és jelentős hibákat tartalmaznak).
A PGP kulcsot csak a su környezetben kell előállítani/indítani/adni!
Személyes titkosítási kulcs létrehozása
gpg - -gen-key
Exportálja a kulcsát
gpg --export -o ~/perskey
Csatlakoztassa a logikai lemezt az operációs rendszerbe, ha még nincs csatlakoztatva
mount /dev/sda6 /mnt #sda6 – раздел GRUB2
tisztítsa meg a GRUB2 partíciót
rm -rf /mnt/
Telepítse a GRUB2-t az sda6-ban, és helyezze el a privát kulcsát a fő GRUB „core.img” képfájlba.
lehetőségek
* --force - a rendszerbetöltő telepítése, megkerülve a mindig létező figyelmeztetéseket (kötelező zászló).
* —modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - utasítja a GRUB2-t a szükséges modulok előtöltésére, amikor a számítógép elindul.
* -k ~/perskey -útvonal a „PGP-kulcshoz” (a kulcs képbe pakolása után törölhető).
* --root-directory - az sda6 gyökérkönyvtárának beállítása
/dev/sda6 – az Ön sdaX partíciója.
A grub.cfg generálása/frissítése
grub-mkconfig -o /mnt/boot/grub/grub.cfg
Adja hozzá a „trust /boot/grub/perskey” sort a „grub.cfg” fájl végéhez (kényszeríti a pgp kulcs használatát.) Mivel a GRUB2-t egy sor modullal telepítettük, beleértve a „signature_test.mod” aláírási modult, így nincs szükség olyan parancsokra, mint a „set check_signatures=enforce” a konfigurációhoz.
Valahogy így kell kinéznie (vég sorok a grub.cfg fájlban)
### BEGIN /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; akkor
forrás ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; akkor
forrás $prefix/custom.cfg;
fi
bízzon a /boot/grub/perskey-ben
set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### VÉGE /etc/grub.d/41_custom ###
#
A „/boot/grub/perskey” elérési útnak nem kell egy adott lemezpartícióra mutatnia, például a hd0,6-ra; magának a rendszerbetöltőnek a „root” annak a partíciónak az alapértelmezett elérési útja, amelyre a GRUB2 telepítve van. (lásd halmaz rothadás=..).
GRUB2 aláírása (az összes fájl az összes /GRUB könyvtárban) a „perskey” kulcsával.
Egy egyszerű megoldás az aláírásra (a nautilus/caja explorer számára): telepítse a „seahorse” kiterjesztést az Explorerhez a tárolóból. A kulcsát hozzá kell adni a su környezethez.
Nyissa meg az Explorert a sudo „/mnt/boot” – RMB – jellel. A képernyőn így néz ki
Maga a kulcs a „/mnt/boot/grub/perskey” (másolás a grub könyvtárba) saját aláírásával is alá kell írni. Ellenőrizze, hogy a [*.sig] fájl aláírásai megjelennek-e a könyvtárban/alkönyvtárban.
A fent leírt módszerrel írja alá a „/boot” (a mi kernelünk, initrd). Ha az idő bármit is ér, akkor ezzel a módszerrel nem kell bash szkriptet írni „sok fájl” aláírásához.
Az összes rendszerbetöltő aláírás eltávolítása (ha valami elromlott)
rm -f $(find /mnt/boot/grub -type f -name '*.sig')
Annak érdekében, hogy a rendszerfrissítés után ne írjuk alá a rendszerbetöltőt, lefagyasztjuk a GRUB2-vel kapcsolatos összes frissítési csomagot.
apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common
Ennél a lépésnél a <bootloader védelme digitális aláírással> befejeződött a GRUB2 speciális konfigurálása.
C6.3. A GRUB2 rendszerbetöltő próbateste, digitális aláírással és hitelesítéssel védettGRUB2. Bármely GNU/Linux disztribúció kiválasztásakor vagy a CLI megadásakor (parancs sor) Superuser engedélyre lesz szükség. A helyes felhasználónév/jelszó megadása után szüksége lesz az initrd jelszóra
Képernyőkép a GRUB2 szuperfelhasználó sikeres hitelesítéséről.
Ha módosítja valamelyik GRUB2 fájlt, módosítja a grub.cfg fájlt, törli a fájlt/aláírást, vagy betölt egy rosszindulatú module.mod fájlt, egy megfelelő figyelmeztetés jelenik meg. A GRUB2 leállítja a betöltést.
Képernyőkép, kísérlet „kívülről” megzavarni a GRUB2-t.
"Normál" "behatolás nélküli" indításkor a rendszer kilépési kód állapota "0". Ezért nem ismert, hogy a védelem működik-e vagy sem (vagyis „bootloader aláírásvédelemmel vagy anélkül” normál betöltéskor az állapot ugyanaz a „0” - ez rossz).
Hogyan ellenőrizhető a digitális aláírás védelme?
Egy kényelmetlen módja az ellenőrzésnek: hamisítson meg/eltávolítson egy GRUB2 által használt modult, például távolítsa el a luks.mod.sig aláírást, és hibaüzenetet kap.
A helyes út: lépjen a rendszerbetöltő CLI-be, és írja be a parancsot
trust_list
Válaszul egy „perskey” ujjlenyomatot kell kapnia; ha az állapot „0”, akkor az aláírásvédelem nem működik, ellenőrizze még egyszer a C6.2. Ennél a lépésnél a „GRUB2 védelme digitális aláírással és hitelesítéssel” speciális konfiguráció befejeződik.
C7 Alternatív módszer a GRUB2 rendszerbetöltő védelmére hash segítségévelA fent leírt "CPU Boot Loader Protection/Authentication" módszer klasszikus. A GRUB2 tökéletlenségei miatt paranoiás körülmények között valós támadásra érzékeny, amit alább az [F] bekezdésben ismertetek. Ezenkívül az operációs rendszer/kernel frissítése után a rendszerbetöltőt újra alá kell írni.
A GRUB2 rendszerbetöltő védelme kivonatolás segítségével
Előnyök a klasszikusokkal szemben:
Magasabb szintű megbízhatóság (a kivonatolás/ellenőrzés csak titkosított helyi erőforrásból történik. A GRUB2 alatti teljes lefoglalt partíciót minden változtatás ellenőrzi, minden más pedig titkosítva van; a klasszikus sémában a CPU betöltő védelemmel/hitelesítéssel csak a fájlok vannak vezérelve, de nem szabad tér, amelybe „valami” valami baljós is hozzáadható).
Titkosított naplózás (egy ember által olvasható személyes titkosított napló kerül a sémához).
Sebesség (a GRUB2 számára lefoglalt teljes partíció védelme/ellenőrzése szinte azonnal megtörténik).
Minden kriptográfiai folyamat automatizálása.
Hátrányok a klasszikusokhoz képest.
Aláírás-hamisítás (elméletileg meg lehet találni egy adott hash függvény ütközést).
Fokozott nehézségi szint (a klasszikushoz képest egy kicsit több GNU/Linux OS készség szükséges).
Hogyan működik a GRUB2/partíció kivonatolási ötlet
A GRUB2 partíció „aláírt”; az operációs rendszer indításakor a rendszertöltő-partíciót ellenőrizni kell a változatlanság szempontjából, majd bejelentkezik egy biztonságos (titkosított) környezetbe. Ha a rendszerbetöltő vagy annak partíciója sérült, a behatolási napló mellett a következő is elindul:
Dolog.
Hasonló ellenőrzés naponta négyszer történik, amely nem tölti be a rendszer erőforrásait.
A „-$ check_GRUB” paranccsal az azonnali ellenőrzés bármikor megtörténik naplózás nélkül, de a CLI-be érkező információkkal.
A „-$ sudo signature_GRUB” paranccsal a GRUB2 rendszerindító betöltő/partíció azonnal újra aláírásra kerül és frissített naplózása (OS/boot frissítés után szükséges), és az élet megy tovább.
Kivonatolási módszer megvalósítása a rendszerbetöltőhöz és szekciójához
0) Aláírjuk a GRUB rendszerbetöltőt/partíciót úgy, hogy először felcsatoljuk a /media/username fájlba
1) A titkosított OS ~/podpis gyökerében készítünk egy kiterjesztést nem tartalmazó szkriptet, alkalmazzuk rá a szükséges 744-es biztonsági jogokat és a bolondbiztos védelmet.
A tartalmának kitöltése
#!/bin/bash
#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux.
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'
a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!!
b="hashdeep: Audit failed"
#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]]
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif'
fi
Futtassa a szkriptet innen su, a GRUB partíció és rendszerbetöltőjének kivonatolása ellenőrzésre kerül, mentse el a naplót.
Hozzon létre vagy másoljon például egy „rosszindulatú fájlt” [virus.mod] a GRUB2 partícióra, és futtasson egy ideiglenes vizsgálatot/tesztet:
-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB
A CLI-nek látnia kell egy inváziót a fellegvárunkba#Trimmed log in CLI
Ср янв 2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
Input files examined: 0
Known files expecting: 0
Files matched: 325
Files partially matched: 0
Files moved: 1
New files found: 0
Known files not found: 0
#Amint láthatja, megjelenik a „Fájlok áthelyezve: 1 és az ellenőrzés sikertelen” üzenet, ami azt jelenti, hogy az ellenőrzés sikertelen volt.
A tesztelt partíció természetéből adódóan az „Új fájlok találhatók” > „Fájlok áthelyezve” helyett
2) Tedd ide a gifet > ~/warning.gif, állítsd a jogosultságokat 744-re.
3) Az fstab beállítása a GRUB-partíció automatikus csatlakoztatására rendszerindításkor
OS frissítés után -$ apt-get upgrade írja alá újra a GRUB partíciónkat -$ подпись_GRUB Ezen a ponton a GRUB partíció kivonatolási védelme befejeződött.
[D] Törlés – a titkosítatlan adatok megsemmisítése
A dél-karolinai szóvivő, Trey Gowdy szerint annyira törölje ki személyes fájljait, hogy „még Isten se tudja elolvasni”.
Szokás szerint léteznek különféle „mítoszok és legendák", a merevlemezről való törlés utáni adatok visszaállításáról. Ha hiszel a kiberboszorkányságban, vagy tagja vagy a Dr web közösségnek, és még soha nem próbáltad ki az adatok visszaállítását a törlés/felülírás után (például helyreállítás az R-studio használatával), akkor a javasolt módszer valószínűleg nem felel meg Önnek, használja azt, ami a legközelebb áll hozzád.
A GNU/Linux titkosított partícióra való sikeres átvitele után a régi másolatot törölni kell az adatok helyreállításának lehetősége nélkül. Univerzális tisztítási módszer: szoftver Windows/Linux ingyenes grafikus felhasználói felülethez BleachBit.
gyorsan formázza a részt, amelynek adatait meg kell semmisíteni (a Gparteden keresztül) indítsa el a BleachBit-et, válassza a „Szabad terület takarítása” lehetőséget - válassza ki a partíciót (az sdaX a GNU/Linux korábbi példányával), akkor elindul a sztrippelési folyamat. BleachBit - egy lépésben letörli a lemezt - ez az, amire „szükségünk van”, de! Ez csak elméletileg működik, ha formázta a lemezt és megtisztította a BB v2.0 szoftverben.
Figyelem! A BB törli a lemezt, így metaadatok maradnak; a fájlnevek megmaradnak az adatok törlésekor (Ccleaner – nem hagy metaadatokat).
Az adat-helyreállítás lehetőségéről szóló mítosz pedig nem teljesen mítosz.A Bleachbit V2.0-2 korábbi instabil operációs rendszerű Debian csomag (és bármilyen más hasonló szoftver: sfill; wipe-Nautilus - szintén észrevették ebben a piszkos üzletben) Valójában volt egy kritikus hiba: a "szabad hely törlése" funkció hibásan működik HDD/Flash meghajtókon (ntfs/ext4). Az ilyen szoftverek a szabad hely felszabadításakor nem írják felül a teljes lemezt, ahogy azt sok felhasználó gondolja. És néhány (sok) törölt adatok Az operációs rendszer/szoftver ezeket az adatokat nem törölt/felhasználói adatoknak tekinti, és az „OSP” tisztításakor kihagyja ezeket a fájlokat. A probléma az, hogy ilyen hosszú idő után a lemez tisztítása A "törölt fájlok" visszaállíthatók még 3+ lemeztörlés után is.
GNU/Linux rendszeren, Bleachbiten 2.0-2 A fájlok és könyvtárak végleges törlésének funkciói megbízhatóan működnek, de nem szabadítanak fel szabad helyet. Összehasonlításképpen: Windowson a CCleanerben az „OSP for ntfs” funkció megfelelően működik, és Isten tényleg nem fogja tudni elolvasni a törölt adatokat.
És így, alaposan eltávolítani "kompromittáló" régi titkosítatlan adatok, A Bleachbitnek közvetlen hozzáférésre van szüksége ezekhez az adatokhoz, majd használja a „fájlok/könyvtárak végleges törlése” funkciót.
A „törölt fájlok szabványos operációs rendszer-eszközökkel” eltávolításához Windows rendszerben használja a CCleaner/BB-t az „OSP” funkcióval. GNU/Linux alatt ezt a problémát (törölt fájlok törlése) egyedül kell gyakorolnod (adatok törlése + független visszaállítási kísérlet, és nem szabad a szoftver verziójára hagyatkozni (ha nem könyvjelző, akkor hiba)), csak ebben az esetben tudja megérteni a probléma mechanizmusát, és teljesen megszabadulni a törölt adatoktól.
A Bleachbit v3.0-t nem teszteltem, lehet, hogy a probléma már megoldódott.
A Bleachbit v2.0 becsületesen működik.
Ennél a lépésnél a lemeztörlés befejeződött.
[E] Univerzális biztonsági mentés a titkosított operációs rendszerről
Minden felhasználónak megvan a saját módszere az adatok biztonsági mentésére, de a titkosított rendszer operációs rendszer adatai kissé eltérő megközelítést igényelnek a feladathoz. Az egyesített szoftverek, például a Clonezilla és hasonló szoftverek nem működnek közvetlenül titkosított adatokkal.
A titkosított blokkeszközök biztonsági mentésének problémája:
egyetemesség – ugyanaz a biztonsági mentési algoritmus/szoftver a Windows/Linux számára;
a konzolban való munkavégzés bármilyen élő usb GNU/Linux-szal anélkül, hogy további szoftverletöltésekre lenne szükség (de továbbra is ajánlom a GUI-t);
biztonsági másolatok biztonsága – a tárolt „képeket” titkosítani/jelszóval kell védeni;
a titkosított adatok méretének meg kell egyeznie a ténylegesen másolt adatok méretével;
a szükséges fájlok kényelmes kinyerése egy biztonsági másolatból (nem szükséges először a teljes szakasz visszafejtése).
Például biztonsági mentés/visszaállítás a „dd” segédprogrammal
A feladat szinte minden pontjának megfelel, de a 4. pont szerint nem állja ki a kritikát, mivel a teljes lemezpartíciót másolja, beleértve a szabad helyet is - nem érdekes.
Például egy GNU/Linux biztonsági mentés az archiválón keresztül [tar" | gpg] kényelmes, de a Windows biztonsági mentéshez más megoldást kell keresnie - ez nem érdekes.
E1. Univerzális Windows/Linux biztonsági mentés. Rsync (Grsync)+VeraCrypt kötet összekapcsolásaA biztonsági másolat készítésének algoritmusa:
titkosított tároló létrehozása (kötet/fájl) VeraCrypt operációs rendszerhez;
az operációs rendszer átvitele/szinkronizálása az Rsync szoftverrel a VeraCrypt kriptotárolóba;
szükség esetén a VeraCrypt kötet feltöltése a www.
A titkosított VeraCrypt tároló létrehozásának megvannak a maga sajátosságai:
dinamikus kötet létrehozása (A DT létrehozása csak Windows alatt érhető el, GNU/Linux alatt is használható);
szabályos kötet létrehozása, de követelmény a „paranoiás karakter” (a fejlesztő szerint) – konténer formázás.
A dinamikus kötet szinte azonnal létrejön a Windows rendszerben, de ha adatokat másol a GNU/Linux > VeraCrypt DT oldalról, a biztonsági mentési művelet általános teljesítménye jelentősen csökken.
Létrejön egy normál 70 GB-os Twofish kötet (mondjuk átlagos PC teljesítmény) HDD-re ~ fél óra alatt (a korábbi konténeradatok egy menetben történő felülírása biztonsági követelmények miatt van). A VeraCrypt Windows/Linux rendszerből eltávolították a kötet létrehozása során történő gyors formázását, így a konténer létrehozása csak „egymenetes újraírással” vagy alacsony teljesítményű dinamikus kötet létrehozásával lehetséges.
Hozzon létre egy normál VeraCrypt-kötetet (nem dinamikus/ntfs), nem lehet semmi probléma.
Konténer konfigurálása/létrehozása/nyitása a VeraCrypt GUI> GNU/Linux live usb-ben (a kötet automatikusan a /media/veracrypt2 mappába, a Windows operációs rendszer kötete a /media/veracrypt1 mappába lesz csatolva). Titkosított biztonsági másolat készítése a Windows operációs rendszerről a GUI rsync használatával (grsync)a négyzetek bejelölésével.
Várja meg, amíg a folyamat befejeződik. A biztonsági mentés befejezése után egy titkosított fájlunk lesz.
Hasonlóképpen hozzon létre egy biztonsági másolatot a GNU/Linux operációs rendszerről az rsync grafikus felületén lévő „Windows-kompatibilitás” jelölőnégyzet törlésével.
Figyelem! hozzon létre egy Veracrypt tárolót a „GNU/Linux biztonsági mentéshez” a fájlrendszerben ext4. Ha biztonsági másolatot készít egy ntfs tárolóba, akkor egy ilyen másolat visszaállítása során elveszíti az összes adatához kapcsolódó jogot/csoportot.
Minden művelet elvégezhető a terminálon. Az rsync alapvető beállításai:
* -g -csoportok mentése;
* -P —haladás — a fájlon végzett munkával töltött idő állapota;
* -H - másolja a merev hivatkozásokat úgy, ahogy vannak;
* -a -archív mód (több rlptgoD jelző);
* -v -verbalizálás.
Ha „Windows VeraCrypt kötetet” szeretne csatlakoztatni a cryptsetup szoftver konzolján keresztül, létrehozhat egy álnevet (su)
echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash
Most a „veramount images” parancs felszólítja a jelszó megadására, és a titkosított Windows rendszerkötet be lesz csatolva az operációs rendszerbe.
VeraCrypt rendszerkötet hozzárendelése/csatolása a cryptsetup parancsban
cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt
VeraCrypt partíció/tároló hozzárendelése/csatolása a cryptsetup parancsban
cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt
Az alias helyett a GNU/Linux indításához egy Windows operációs rendszerű rendszerkötetet és egy logikai titkosított ntfs lemezt adunk hozzá (az indításhoz szükséges parancsfájl)
Hozzon létre egy szkriptet, és mentse el a ~/VeraOpen.sh fájlba
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.
Terjesztjük a „helyes” jogokat:
sudo chmod 100 /VeraOpen.sh
Hozzon létre két azonos fájlt (ugyanaz a név!) az /etc/rc.local és a ~/etc/init.d/rc.local könyvtárban
A fájlok kitöltése
#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0
Ennyi, most a GNU/Linux betöltésekor nem kell jelszavakat megadnunk a titkosított ntfs lemezek csatlakoztatásához, a lemezek automatikusan felcsatolódnak.
Rövid megjegyzés a fenti E1 bekezdésben leírtakhoz lépésről lépésre (de most OS GNU/Linux esetén)
1) Hozzon létre egy kötetet fs ext4 > 4gb (fájlhoz) Linux alatt Veracrypt [Cryptbox] alatt.
2) Indítsa újra az élő usb-t.
3) ~$ cryptsetup megnyitása /dev/sda7 Lunux #titkosított partíció leképezése.
4) ~$ mount /dev/mapper/Linux /mnt #csatlakoztassa a titkosított partíciót a /mnt mappába.
5) ~$ mkdir mnt2 #könyvtár létrehozása egy jövőbeli biztonsági mentéshez.
6) ~$ cryptsetup open —veracrypt — gépelje be a tcrypt parancsot ~/CryptoBox CryptoBox && mount /dev/mapper/CryptoBox /mnt2 #Térezzen le egy „CryptoBox” nevű Veracrypt kötetet, és csatlakoztassa a CryptoBoxot a /mnt2 fájlhoz.
7) ~$ rsync -avlxhHX —progress /mnt /mnt2/ #titkosított partíció biztonsági mentése titkosított Veracrypt kötetre.
(p/s/ Figyelem! Ha titkosított GNU/Linuxot visz át egyik architektúráról/gépről a másikra, például Intel > AMD (vagyis biztonsági másolat telepítése egyik titkosított partícióról egy másik titkosított Intel > AMD partícióra), Ne felejtsd el A titkosított operációs rendszer átvitele után esetleg módosítsa a titkos helyettesítő kulcsot a jelszó helyett. az előző ~/etc/skey kulcs - már nem fér bele egy másik titkosított partícióba, és nem tanácsos új "cryptsetup luksAddKey" kulcsot létrehozni a chroot alól - hiba is előfordulhat, csak a ~/etc/crypttab-ban adja meg „/etc/skey” ideiglenesen „none” ", az újraindítás és az operációs rendszerbe való bejelentkezés után hozza létre újra a titkos helyettesítő kulcsot.
Informatikai veteránként ne felejtsen el külön-külön biztonsági másolatot készíteni a titkosított Windows/Linux OS partíciók fejléceiről, különben a titkosítás ön ellen fordul. Ennél a lépésnél a titkosított operációs rendszer biztonsági mentése befejeződik.
[F] Támadás a GRUB2 rendszerbetöltő ellen
RészletekHa a rendszerbetöltőt digitális aláírással és/vagy hitelesítéssel védte (lásd a C6. pontot.), akkor ez nem véd a fizikai hozzáférés ellen. A titkosított adatok továbbra is elérhetetlenek lesznek, de a védelem megkerül (digitális aláírás védelmének visszaállítása) A GRUB2 lehetővé teszi a kibergonosz számára, hogy gyanú nélkül beadja kódját a rendszertöltőbe (kivéve, ha a felhasználó manuálisan figyeli a rendszerbetöltő állapotát, vagy nem találja ki a saját robusztus tetszőleges szkriptkódját a grub.cfg számára).
Támadási algoritmus. Betolakodó
* Elindítja a PC-t élő usb-ről. Bármilyen változás (törvénysértő) fájlok értesítik a számítógép valódi tulajdonosát a rendszertöltőbe való behatolásról. De a GRUB2 egyszerű újratelepítése a grub.cfg megőrzésével (és a későbbi szerkesztési lehetőség) lehetővé teszi a támadó számára, hogy szerkeszthesse a fájlokat (ebben a helyzetben a GRUB2 betöltésekor a valódi felhasználó nem kap értesítést. Az állapot ugyanaz <0>)
* Titkosítatlan partíciót csatlakoztat, tárolja a „/mnt/boot/grub/grub.cfg” fájlt.
* Újratelepíti a rendszerbetöltőt (a "perskey" eltávolítása a core.img képből)
* A „grub.cfg” > „/mnt/boot/grub/grub.cfg” értéket adja vissza, szükség esetén szerkeszti, például hozzáadja a „keylogger.mod” modult a „grub.cfg” betöltő modulokat tartalmazó mappájához. > "insmod keylogger" sor. Vagy például, ha az ellenség ravasz, akkor a GRUB2 újratelepítése után (minden aláírás a helyén marad) a fő GRUB2 képfájlt a "grub-mkimage with (-c) opcióval" használja. A „-c” opció lehetővé teszi a konfiguráció betöltését a fő „grub.cfg” betöltése előtt. A konfiguráció csak egy sorból állhat: átirányítás bármely „modern.cfg”-re, például ~400 fájllal keverve. (modulok+aláírások) a "/boot/grub/i386-pc" mappában. Ebben az esetben a támadó tetszőleges kódot illeszthet be és modulokat tölthet be anélkül, hogy befolyásolná a „/boot/grub/grub.cfg” fájlt, még akkor is, ha a felhasználó „hashsum”-ot használt a fájlra, és ideiglenesen megjelenítette a képernyőn.
A támadónak nem kell feltörnie a GRUB2 szuperfelhasználói bejelentkezési/jelszót, csak át kell másolnia a sorokat (a hitelesítésért felelős) "/boot/grub/grub.cfg" a "modern.cfg" fájlba
set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
A számítógép tulajdonosa továbbra is GRUB2 szuperfelhasználóként lesz hitelesítve.
Láncos rakodás (a rendszerbetöltő betölt egy másik rendszerbetöltőt), ahogy fentebb írtam, nincs értelme (más célra készült). A titkosított rendszerbetöltő a BIOS miatt nem tölthető be (A láncindítás újraindul a GRUB2 > titkosított GRUB2, hiba!). Ha azonban továbbra is a láncbetöltés ötletét használja, biztos lehet benne, hogy a titkosított tölt be. (nem modernizált) "grub.cfg" a titkosított partícióról. És ez egy hamis biztonságérzet is, mert minden, amit a titkosított „grub.cfg” jelez (modulbetöltés) összeadja a titkosítatlan GRUB2-ből betöltött modulokat.
Ha ezt szeretnéd ellenőrizni, akkor foglalj le/titkosíts egy másik partíciót sdaY, másold rá a GRUB2-t (a grub-install művelet titkosított partíción nem lehetséges) és a "grub.cfg"-ben (titkosítatlan konfiguráció) változtasson ilyen vonalakat
menuentry 'GRUBx2' --class papagáj --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
load_video
insmod gzio
if [ x$grub_platform = xxen ]; majd insmod xzio; insmod lzopio; fi
insmod part_msdos
insmod cryptodisk
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
normál /boot/grub/grub.cfg
}
húrok
* insmod - a szükséges modulok betöltése a titkosított lemezzel való munkához;
* GRUBx2 - a GRUB2 rendszerindító menüjében megjelenő sor neve;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -lásd. fdisk -l (sda9);
* gyökér beállítása - root telepítése;
* normál /boot/grub/grub.cfg - futtatható konfigurációs fájl egy titkosított partíción.
Ha biztos abban, hogy a titkosított „grub.cfg” betöltődik, ez pozitív válasz a jelszó megadására/feloldására „sdaY”, amikor kiválasztja a „GRUBx2” sort a GRUB menüben.
Amikor a CLI-ben dolgozik, nehogy összezavarodjon (és ellenőrizze, hogy a „set root” környezeti változó működött-e), hozzon létre üres token fájlokat, például a „/shifr_grub” titkosított szakaszban, a titkosítatlan „/noshifr_grub” részben. Ellenőrzés a CLI-ben
cat /Tab-Tab
Ahogy fentebb említettük, ez nem segít a rosszindulatú modulok letöltésében, ha ezek a modulok a számítógépére kerülnek. Például egy keylogger, amely képes a billentyűleütéseket egy fájlba menteni, és más fájlokkal keverni a „~/i386” fájlban, amíg le nem tölti a számítógéphez fizikai hozzáféréssel rendelkező támadó.
A legegyszerűbb módja annak, hogy ellenőrizze, hogy a digitális aláírás védelme aktív-e (nem reset), és senki sem támadta meg a rendszerbetöltőt, írja be a parancsot a CLI-be
list_trusted
válaszul megkapjuk a „perskey-nk” másolatát, vagy semmit sem kapunk, ha megtámadnak bennünket (a "set check_signatures=enforce" beállítást is be kell jelölnie).
Ennek a lépésnek jelentős hátránya a parancsok kézi bevitele. Ha hozzáadja ezt a parancsot a „grub.cfg” fájlhoz, és digitális aláírással védi a konfigurációt, akkor a kulcspillanatkép előzetes kimenete a képernyőn túl rövid lesz, és előfordulhat, hogy a GRUB2 betöltése után nem lesz ideje látni a kimenetet. .
Nincs kinek különösebb igénye: a fejlesztő az övében dokumentáció pont 18.2 hivatalosan kijelenti
„Ne feledje, hogy a GRUB maga még a GRUB jelszavas védelem mellett sem tudja megakadályozni, hogy valaki fizikailag hozzáférjen a géphez, hogy módosítsa az adott gép firmware-konfigurációját (pl. Coreboot vagy BIOS) úgy, hogy a gép egy másik (támadó által vezérelt) eszközről induljon el. A GRUB legjobb esetben is csak egy láncszem a biztonságos rendszerindítási láncban."
A GRUB2 túlságosan túlterhelt a hamis biztonság érzetét keltő funkciókkal, fejlesztése funkcionalitásban már túlszárnyalta az MS-DOS-t, de ez csak egy bootloader. Vicces, hogy a GRUB2 - "holnap" lehet az operációs rendszer, és hozzá bootolható GNU/Linux virtuális gépek.
Egy rövid videó arról, hogyan állítottam vissza a GRUB2 digitális aláírás védelmét, és bejelentettem a behatolásomat egy valódi felhasználónak (Megijesztettelek, de a videóban láthatók helyett írhatsz ártalmatlan tetszőleges kódot/.mod).
Következtetések:
1) A Windows blokkrendszer-titkosítása könnyebben megvalósítható, és az egy jelszóval való védelem kényelmesebb, mint a több jelszóval történő védelem GNU/Linux blokkrendszer-titkosítással, az igazság kedvéért: ez utóbbi automatizált.
2) A cikket relevánsnak és részletesnek írtam egyszerű útmutató a teljes lemezes VeraCrypt/LUKS titkosításhoz egy otthoni gépen, amely messze a legjobb a RuNetben (IMHO). Az útmutató több mint 50 51 karakter hosszú, így nem terjedt ki néhány érdekes fejezetre: rejtjelezők, akik eltűnnek/árnyékban maradnak; arról, hogy a különböző GNU/Linux könyvekben keveset írnak/nem írnak a kriptográfiáról; az Orosz Föderáció alkotmányának XNUMX. cikkéről; O engedélyezés/tilalom titkosítás az Orosz Föderációban, arról, hogy miért kell titkosítani a „root/boot”-ot. Az útmutató meglehetősen terjedelmesnek bizonyult, de részletesnek bizonyult. (egyszerű lépések leírása is), ezzel viszont sok időt takaríthat meg, amikor eljut az „igazi titkosításhoz”.
3) Windows 7 64 rendszeren teljes lemeztitkosítás történt; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.
4) Sikeres támadást hajtott végre övé GRUB2 rendszerbetöltő.
5) Az oktatóanyagot azért hozták létre, hogy segítsenek minden paranoiás embernek a FÁK-ban, ahol a titkosítással való munka törvényi szinten megengedett. És elsősorban azoknak, akik a teljes lemezes titkosítást szeretnék bevezetni anélkül, hogy lebontanák konfigurált rendszereiket.
6) Átdolgoztam és frissítettem a kézikönyvemet, amely 2020-ban releváns.