Windows Linux telepített rendszerek teljes lemeztitkosítása. Titkosított többszörös rendszerindítás

Frissített saját útmutató a teljes lemezes titkosításhoz a RuNet V0.2-ben.

Cowboy stratégia:

[A] A telepített rendszer Windows 7 rendszerblokk-titkosítása;
[B] GNU/Linux rendszerblokk titkosítás (Debian) telepített rendszer (beleértve a /bootot is);
[C] GRUB2 konfiguráció, rendszerbetöltő védelem digitális aláírással/hitelesítéssel/kivonatozással;
[D] stripping – titkosítatlan adatok megsemmisítése;
[E] univerzális biztonsági mentés a titkosított operációs rendszerről;
[F] támadás <[C6]> elem ellen - GRUB2 rendszerbetöltő;
[G]segítő dokumentáció.

╭───A #40# szoba rajza :
├──╼ Windows 7 telepítve - teljes rendszertitkosítás, nem rejtett;
├──╼ GNU/Linux telepítve (Debian és származékos disztribúciók) — teljes rendszertitkosítás, nem rejtett(/, beleértve a /bootot; csere);
├──╼ független rendszerbetöltő: a VeraCrypt rendszerbetöltő telepítve van az MBR-ben, a GRUB2 rendszertöltő telepítve van a kiterjesztett partícióra;
├──╼nem szükséges az operációs rendszer telepítése/újratelepítése;
└──╼Használt kriptográfiai szoftver: VeraCrypt; kriptográfiai beállítás; GnuPG; Csikóhal; Hashdeep; A GRUB2 ingyenes/ingyenes.

A fenti séma részben megoldja a „távoli rendszerindítás flash meghajtóra” problémáját, lehetővé teszi a titkosított Windows/Linux operációs rendszer élvezetét, és egy „titkosított csatornán” keresztül történő adatcserét egyik operációs rendszerről a másikra.

PC-indítási sorrend (az egyik lehetőség):

• a gép bekapcsolása;
• a VeraCrypt rendszerbetöltő betöltése (a helyes jelszó megadásával a Windows 7 továbbra is elindul);
• az "Esc" billentyű lenyomása betölti a GRUB2 rendszerbetöltőt;
• GRUB2 rendszertöltő (válasszon disztribúciót/GNU/Linuxot/CLI-t), megköveteli a GRUB2 szuperfelhasználó hitelesítését <login/password>;
• a sikeres hitelesítés és a terjesztés kiválasztása után meg kell adnia egy jelszót a „/boot/initrd.img” feloldásához;
• hibamentes jelszavak megadása után a GRUB2 "megköveteli" a jelszó megadását (harmadszor BIOS-jelszó vagy GNU/Linux felhasználói fiók jelszava – ne vegye figyelembe) a GNU/Linux OS feloldásához és indításához, vagy egy titkos kulcs automatikus helyettesítéséhez (két jelszó + kulcs, vagy jelszó + kulcs);
• a GRUB2 konfigurációba való külső behatolás leállítja a GNU/Linux rendszerindítási folyamatát.

Zavaros? Rendben, automatizáljuk a folyamatokat.

Merevlemez particionálásakor (MBR táblázat) Egy PC-nek legfeljebb 4 fő partíciója vagy 3 fő és egy kiterjesztett partíciója lehet, valamint egy ki nem osztott terület. A kibővített szakasz a fő résztől eltérően alszakaszokat tartalmazhat (logikai meghajtók = kiterjesztett partíció). Más szavakkal, a merevlemez „bővített partíciója” leváltja az LVM-et az adott feladatban: teljes rendszertitkosításban. Ha a lemez 4 fő partícióra van osztva, akkor lvm-et vagy transzformációt kell használnia (formázással) szakaszt a főtől a haladóig, vagy bölcsen használja mind a négy részt, és hagyjon mindent úgy, ahogy van, így eléri a kívánt eredményt. Még ha van is egy partíció a lemezen, a Gparted segít particionálni a merevlemezt (további szakaszokhoz) adatvesztés nélkül, de mégis csekély büntetés jár az ilyen cselekedetekért.

A merevlemez-elrendezési sémát, amellyel kapcsolatban a teljes cikk szóba kerül, az alábbi táblázat mutatja be.

1 TB-os partíciók táblázata (1. sz.).

Neked is kellene valami hasonló.
sda1 - fő partíció No. 1 NTFS (titkosított);
sda2 - kiterjesztett szakaszjelző;
sda6 - logikai lemez (telepítve van a GRUB2 rendszerbetöltő);
sda8 - swap (titkosított cserefájl/nem mindig);
sda9 - logikai lemez tesztelése;
sda5 - logikai lemez a kíváncsiak számára;
sda7 - GNU/Linux OS (titkosított logikai lemezre átvitt operációs rendszer);
sda3 – 2. számú fő partíció Windows 7 operációs rendszerrel (titkosított);
sda4 - 3. számú főszakasz (titkosítatlan GNU/Linuxot tartalmazott, biztonsági mentéshez használt/nem mindig).

[A] Windows 7 rendszerblokk-titkosítás

A1. VeraCrypt

Letöltés innen hivatalos honlapja, vagy a tükörből sourceforge a VeraCrypt kriptográfiai szoftver telepítési verziója (a v1.24-Update3 cikk megjelenésekor a VeraCrypt hordozható verziója nem alkalmas rendszertitkosításra). Ellenőrizze a letöltött szoftver ellenőrző összegét

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

és hasonlítsa össze az eredményt a VeraCrypt fejlesztői webhelyén közzétett CS-vel.

Ha a HashTab szoftver telepítve van, még egyszerűbb: RMB (VeraCrypt Setup 1.24.exe)-properties - fájlok hash összege.

A program aláírásának ellenőrzéséhez a szoftvert és a fejlesztő nyilvános pgp kulcsát telepíteni kell a rendszerre gnuPG; gpg4win.

A2. VeraCrypt szoftver telepítése/futtatása rendszergazdai jogokkal

A3. Rendszertitkosítási paraméterek kiválasztása az aktív partícióhozVeraCrypt – Rendszer – Rendszerpartíció/lemez titkosítása – Normál – Windows rendszerpartíció titkosítása – Multiboot – (figyelmeztetés: "Tapasztalatlan felhasználóknak nem ajánlott ezt a módszert használni" és ez igaz, egyetértünk "Igen") – Indítólemez ("igen", még ha nem is, akkor is "igen") – Rendszerlemezek száma „2 vagy több” – Több rendszer egy lemezen „Igen” – Nem Windows rendszerbetöltő „Nem” (valójában „Igen”, de a VeraCrypt/GRUB2 rendszertöltők nem osztják meg egymás között az MBR-t; pontosabban a rendszertöltő kódnak csak a legkisebb része tárolódik az MBR/boot sávban, a fő része fájlrendszeren belül található) – Multiboot – Titkosítási beállítások…

Ha eltér a fenti lépésektől (blokkolja a rendszer titkosítási sémáit), akkor a VeraCrypt figyelmeztetést ad, és nem engedi titkosítani a partíciót.

A célzott adatvédelem felé vezető következő lépésben végezzen „Tesztet”, és válasszon titkosítási algoritmust. Ha elavult CPU-ja van, akkor valószínűleg a Twofish lesz a leggyorsabb titkosítási algoritmus. Ha a CPU erős, észreveheti a különbséget: az AES titkosítás a teszteredmények szerint többszöröse gyorsabb lesz, mint a kripto-versenytársak. Az AES egy népszerű titkosítási algoritmus, a modern CPU-k hardverét kifejezetten „titkos” és „hackelés” céljára optimalizálták.

A VeraCrypt támogatja a lemezek AES-kaszkádban történő titkosítását(Kéthal)/és egyéb kombinációk. Egy régi, tíz évvel ezelőtti mag Intel CPU-n (AES, A/T kaszkád titkosítás hardveres támogatása nélkül) A teljesítmény csökkenése lényegében észrevehetetlen. (azonos korszakú/~paraméteres AMD CPU-k esetében a teljesítmény kissé csökken). Az operációs rendszer dinamikusan működik, és az átlátható titkosítás erőforrás-fogyasztása láthatatlan. Ezzel szemben például észrevehető teljesítménycsökkenés tapasztalható a telepített instabil Mate v1.20.1 asztali tesztkörnyezet miatt. (vagy v1.20.2 nem emlékszem pontosan) GNU/Linux alatt, vagy a telemetriai rutin működése miatt a Windows7↑ alatt. A tapasztalt felhasználók általában hardverteljesítmény-teszteket hajtanak végre a titkosítás előtt. Például az Aida64/Sysbench/systemd-analyze programban a hibáztatást ugyanazon tesztek eredményeivel hasonlítják össze a rendszer titkosítása után, ezzel megcáfolva azt a mítoszt, hogy „a rendszer titkosítása káros”. A gép lassulása és a kényelmetlenség a titkosított adatok mentésénél/visszaállításánál szembetűnő, mert magát a „rendszeradat-mentés” műveletet nem ms-ban mérik, és ugyanezek a <decrypt/encrypt on the fly> is hozzáadódnak. Végső soron minden felhasználó, aki trükközhet a kriptográfiával, egyensúlyba hozza a titkosítási algoritmust az aktuális feladatok kielégítésével, a paranoiás szintjével és a könnyű használhatósággal.

Jobb, ha a PIM paramétert alapértelmezettként hagyja meg, hogy az operációs rendszer betöltésekor ne kelljen minden alkalommal megadnia a pontos iterációs értékeket. A VeraCrypt hatalmas számú iterációt használ egy igazán „lassú hash” létrehozásához. Egy ilyen „kriptocsiga” elleni támadásnak a Brute force/Rainbow tables módszerrel csak egy rövid „egyszerű” jelmondattal és az áldozat személyes karakterkészlet-listájával van értelme. A jelszó erősségéért fizetendő ár az operációs rendszer betöltésekor a helyes jelszó beírásának késedelme. (A VeraCrypt kötetek GNU/Linux alatt történő felszerelése lényegesen gyorsabb).
Ingyenes szoftver brutális támadások végrehajtásához (kivonat jelmondat a VeraCrypt/LUKS lemezfejlécből) Hashcat. Hasfelmetsző János nem tudja, hogyan kell „megtörni a Veracryptet”, és amikor a LUKS-szal dolgozik, nem érti a Twofish kriptográfiát.

A titkosítási algoritmusok kriptográfiai erőssége miatt a megállíthatatlan cypherpunkok más támadási vektorral rendelkező szoftvereket fejlesztenek. Például metaadatok/kulcsok kinyerése a RAM-ból (hideg rendszerindítás/közvetlen memória-hozzáférési támadás), Vannak speciális ingyenes és nem ingyenes szoftverek erre a célra.

A titkosított aktív partíció „egyedi metaadatainak” beállításának/generálásának befejezése után a VeraCrypt felajánlja a PC újraindítását és a rendszertöltő funkcionalitásának tesztelését. A Windows újraindítása/indítása után a VeraCrypt készenléti módban töltődik be, csak a titkosítási folyamat megerősítése marad hátra - Y.

A rendszer titkosításának utolsó lépésében a VeraCrypt felajánlja az aktív titkosított partíció fejlécének biztonsági másolatának létrehozását „veracrypt mentési disk.iso” formájában - ezt meg kell tenni - ebben a szoftverben egy ilyen művelet követelmény (LUKS-ban követelményként - ez sajnos kimaradt, de a dokumentációban kiemelik). A mentőlemez mindenki számára jól jön, és néhánynak többször is. Veszteség (fejléc/MBR átírás) a fejléc biztonsági másolata véglegesen megtagadja a hozzáférést a visszafejtett partícióhoz az OS Windows rendszerben.

A4. VeraCrypt mentési USB/lemez létrehozásaAlapértelmezés szerint a VeraCrypt felajánlja „~2-3 MB metaadat” CD-re írását, de nem mindenkinek van lemeze vagy DWD-ROM meghajtója, és a „VeraCrypt Rescue disk” rendszerindító flash meghajtó létrehozása technikai meglepetés lesz egyesek számára: A Rufus /GUIdd-ROSA ImageWriter és más hasonló szoftverek nem fognak tudni megbirkózni a feladattal, mert az offset metaadatok bootolható flash meghajtóra való másolása mellett a képet az USB meghajtó fájlrendszerén kívülre kell másolni/beilleszteni, röviden, helyesen másolja át az MBR-t/utat a kulcstartóba. Létrehozhat egy rendszerindító flash meghajtót GNU/Linux OS-ből a „dd” segédprogrammal, ezt a jelet nézve.

A mentési lemez létrehozása Windows környezetben más. A VeraCrypt fejlesztője nem foglalta bele a probléma megoldását a hivatalos lapba dokumentáció „mentőlemezzel”, de más megoldást javasolt: a VeraCrypt fórumán további szoftvert tett közzé egy „usb mentési lemez” létrehozásához, ingyenes hozzáféréshez. A Windows rendszerhez készült szoftver archiválója „usb veracrypt mentőlemezt hoz létre”. A mentési disk.iso mentése után megkezdődik az aktív partíció blokkrendszer-titkosítási folyamata. A titkosítás során az operációs rendszer működése nem áll le, a számítógép újraindítása nem szükséges. A titkosítási művelet befejeztével az aktív partíció teljesen titkosított lesz, és használható. Ha a VeraCrypt rendszertöltő nem jelenik meg a számítógép indításakor, és a fejléc-helyreállítási művelet nem segít, akkor ellenőrizze a „boot” jelzőt, azt a partícióra kell állítani, ahol a Windows található. (a titkosítástól és más operációs rendszertől függetlenül, lásd az 1. táblázatot).
Ezzel befejeződik a blokkrendszer-titkosítás leírása Windows operációs rendszerrel.

[B]LUKS. GNU/Linux titkosítás (~Debian) telepített operációs rendszer. Algoritmus és lépések

Egy telepített Debian/származékos disztribúció titkosításához le kell képeznie az előkészített partíciót egy virtuális blokkeszközre, át kell vinnie a leképezett GNU/Linux lemezre, és telepítenie/konfigurálnia kell a GRUB2-t. Ha nincs csupasz fém szervere, és értékeli az idejét, akkor a grafikus felhasználói felületet kell használnia, és az alábbiakban leírt terminálparancsok többsége „Chuck-Norris módban” való futtatásra szolgál.

B1. PC indítása élő usb GNU/Linuxról

„Végezzen kriptotesztet a hardver teljesítményéhez”

lscpu && сryptsetup benchmark

Ha Ön egy erős, AES hardvertámogatással rendelkező autó boldog tulajdonosa, akkor a számok úgy néznek ki, mint a terminál jobb oldala; ha boldog tulajdonos, de antik hardverrel, akkor a számok a bal oldalon fognak kinézni.

B2. Lemezparticionálás. fs logikai lemez merevlemez csatlakoztatása/formázása Ext4-re (Gparted)

B2.1. Titkosított sda7 partíciófejléc létrehozásaLeírom a partíciók neveit itt és a továbbiakban, a fent közzétett partíciós táblázatomnak megfelelően. A lemezelrendezésnek megfelelően le kell cserélnie a partícióneveket.

Logikai meghajtó titkosítási leképezés (/dev/sda7 > /dev/mapper/sda7_crypt).
#A „LUKS-AES-XTS partíció” egyszerű létrehozása

cryptsetup -v -y luksFormat /dev/sda7

Opciók:

* luksFormat - a LUKS fejléc inicializálása;
* -y -jelszó (nem kulcs/fájl);
* -v -verbalizáció (információk megjelenítése a terminálban);
* /dev/sda7 – az Ön logikai lemeze a kiterjesztett partícióról (ahova tervezik a GNU/Linux átvitelét/titkosítását).

Alapértelmezett titkosítási algoritmus <LUKS1: aes-xts-plain64, Kulcs: 256 bit, LUKS fejléc hash: sha256, RNG: /dev/urandom> (a cryptsetup verziójától függ).

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

Ha a CPU-n nincs hardveres támogatás az AES-hez, a legjobb választás egy kiterjesztett „LUKS-Twofish-XTS-partíció” létrehozása.

B2.2. A „LUKS-Twofish-XTS-partíció” haladó létrehozása

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

Opciók:
* luksFormat - a LUKS fejléc inicializálása;
* A /dev/sda7 a jövőbeli titkosított logikai lemezed;
* -v verbalizálás;
* -y jelmondat;
* -c adattitkosítási algoritmus kiválasztása;
* -s titkosítási kulcs mérete;
* -h hash algoritmus/kriptofüggvény, használt RNG (--használat-urandom) egyedi titkosítási/dekódolási kulcs létrehozása a logikai lemez fejlécéhez, egy másodlagos fejléc kulcs (XTS); a titkosított lemezfejlécben tárolt egyedi mesterkulcs, egy másodlagos XTS-kulcs, mindezek a metaadatok és egy titkosítási rutin, amely a mesterkulcsot és a másodlagos XTS-kulcsot használja, titkosít/dekódol minden adatot a partíción. (kivéve a szakasz címét) ~3MB-ban tárolva a kiválasztott merevlemez-partíción.
* -i iterációk ezredmásodpercben, az "összeg" helyett (a jelmondat feldolgozásának késleltetése befolyásolja az operációs rendszer betöltését és a kulcsok kriptográfiai erősségét). A kriptográfiai erősség egyensúlyának fenntartása érdekében egy egyszerű jelszóval, mint például az „orosz”, növelnie kell az -(i) értéket; összetett jelszóval, mint például „?8dƱob/øfh”, az érték csökkenthető.
* -Urán véletlenszám-generátor használata, kulcsokat és sót generál.

Az sda7 > sda7_crypt szakasz leképezése után (a művelet gyors, mivel ~3 MB metaadatokkal titkosított fejléc jön létre, és ennyi), formázni és csatlakoztatni kell az sda7_crypt fájlrendszert.

B2.3. Összehasonlítás

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

lehetőségek:
* nyitott - egyeztesse a „névvel” részt;
* /dev/sda7 -logikai lemez;
* sda7_crypt – névleképezés, amely a titkosított partíció csatlakoztatására vagy inicializálására szolgál az operációs rendszer indításakor.

B2.4. Az sda7_crypt fájlrendszer formázása ext4-re. Lemez beszerelése az operációs rendszerbe(Megjegyzés: a Gpartedben nem fog tudni titkosított partícióval dolgozni)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt 

lehetőségek:
* -v -verbalizáció;
* -L - meghajtócímke (amely az Intézőben más meghajtók mellett is megjelenik).

Ezután csatlakoztassa a /dev/sda7_crypt virtuálisan titkosított blokkeszközt a rendszerhez

mount /dev/mapper/sda7_crypt /mnt

A /mnt mappában lévő fájlokkal végzett munka automatikusan titkosítja/visszafejti az sda7-ben található adatokat.

Kényelmesebb a partíció leképezése és csatlakoztatása az Explorerben (nautilus/caja GUI), a partíció már a lemezkiválasztási listában lesz, már csak a jelszó megadása van hátra a lemez megnyitásához/visszafejtéséhez. Az egyező név automatikusan kiválasztásra kerül, és nem „sda7_crypt”, hanem valami ilyesmi: /dev/mapper/Luks-xx-xx...

B2.5. Lemezfejléc biztonsági mentése (~3 MB metaadat)Az egyik fontos késedelem nélkül végrehajtandó műveletek - az „sda7_crypt” fejléc biztonsági másolata. Ha felülírja/sérül a fejléc (például a GRUB2 telepítése az sda7 partícióra stb.), a titkosított adatok teljesen elvesznek anélkül, hogy vissza lehetne őket állítani, mert lehetetlen lesz ugyanazokat a kulcsokat újra előállítani, a kulcsok egyedileg jönnek létre.

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7 

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

lehetőségek:
* luksHeaderBackup —header-backup-file -backup parancs;
* luksHeaderRestore —header-backup-file -restore parancs;
* ~/Backup_DebSHIFR - biztonsági mentési fájl;
* /dev/sda7 - partíció, amelynek titkosított lemezfejlécének biztonsági másolatát el kell menteni.
Ennél a lépésnél a <titkosított partíció létrehozása és szerkesztése> befejeződött.

B3. GNU/Linux OS portolása (sda4) titkosított partícióra (sda7)

Hozzon létre egy /mnt2 mappát (Megjegyzés – még mindig élő usb-vel dolgozunk, az sda7_crypt a /mnt könyvtárba van felszerelve), és csatoljuk a GNU/Linuxunkat az /mnt2 könyvtárba, amelyet titkosítani kell.

mkdir /mnt2
mount /dev/sda4 /mnt2

A megfelelő operációs rendszer átvitelt az Rsync szoftverrel végezzük

rsync -avlxhHX --progress /mnt2/ /mnt

Az Rsync opciók leírása az E1 bekezdésben található.

Továbbá, szükséges defragmentál egy logikai lemezpartíciót

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

Legyen szabály: ha van merevlemeze, időnként végezzen e4defrag-ot titkosított GNU/LINux-on.
Az átvitel és a szinkronizálás [GNU/Linux > GNU/Linux-titkosított] ezzel a lépéssel befejeződött.

AT 4. A GNU/Linux beállítása titkosított sda7 partíción

Az operációs rendszer /dev/sda4 > /dev/sda7 sikeres átvitele után be kell jelentkeznie a GNU/Linuxba a titkosított partíción, és el kell végeznie a további konfigurációt. (a PC újraindítása nélkül) egy titkosított rendszerhez képest. Vagyis legyen élő USB-n, de a parancsokat „a titkosított operációs rendszer gyökeréhez képest” hajtsa végre. A „chroot” hasonló helyzetet szimulál. Hogy gyorsan információt kapjon arról, hogy éppen melyik operációs rendszerrel dolgozik (titkosított-e vagy sem, mivel az sda4 és sda7 adatok szinkronizálva vannak), deszinkronizálja az operációs rendszert. Hozzon létre gyökérkönyvtárban (sda4/sda7_crypt) üres jelölőfájlok, például /mnt/encryptedOS és /mnt2/decryptedOS. Gyorsan ellenőrizze, hogy melyik operációs rendszert használja (beleértve a jövőt is):

ls /<Tab-Tab>

B4.1. „Titkosított operációs rendszerbe való bejelentkezés szimulációja”

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. Annak ellenőrzése, hogy a munka titkosított rendszeren történik-e

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. Titkosított csere létrehozása/konfigurálása, crypttab/fstab szerkesztéseMivel a swap fájl formázásra kerül minden alkalommal, amikor az operációs rendszer elindul, nincs értelme létrehozni és leképezni a cserefájlt egy logikai lemezre, és be kell írnia a parancsokat a B2.2 bekezdésben leírtak szerint. A Swap esetében a rendszer minden indításakor automatikusan generálja a saját ideiglenes titkosítási kulcsait. A swap kulcsok életciklusa: swap partíció le-/leválasztása (+RAM tisztítása); vagy indítsa újra az operációs rendszert. Swap beállítása, a blokk-titkosított eszközök konfigurációjáért felelős fájl megnyitása (Analóg egy fstab fájlhoz, de felelős a titkosításért).

nano /etc/crypttab 

szerkesztjük

#"cél neve" "forráseszköz" "kulcsfájl" "beállítások"
swap /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512

Lehetőségek
* swap – leképezett név a /dev/mapper/swap titkosításakor.
* /dev/sda8 – használja a logikai partíciót a swaphoz.
* /dev/urandom - véletlenszerű titkosítási kulcsok generátora a cseréhez (minden új operációs rendszer indításakor új kulcsok jönnek létre). A /dev/urandom generátor kevésbé véletlenszerű, mint a /dev/random, elvégre a /dev/random akkor használatos, ha veszélyes paranoiás körülmények között dolgozik. Az operációs rendszer betöltésekor a /dev/random néhány ± percre lelassítja a betöltést (lásd: systemd-analyze).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -a partíció tudja, hogy csere van, és ennek megfelelően van formázva; titkosítási algoritmus.

#Открываем и правим fstab
nano /etc/fstab

szerkesztjük

A # swap a / dev / sda8 fájlon volt a telepítés során
/dev/mapper/swap nincs swap sw 0 0

A /dev/mapper/swap a crypttabban beállított név.

Alternatív titkosított csere
Ha valamilyen oknál fogva nem szeretne egy teljes partíciót feladni egy swap fájlért, akkor választhat egy alternatív és jobb utat: swap fájlt hozhat létre egy titkosított partíción lévő fájlban az operációs rendszerrel.

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

A cserepartíció beállítása befejeződött.

B4.4. Titkosított GNU/Linux beállítása (crypttab/fstab fájlok szerkesztése)Az /etc/crypttab fájl, ahogy fent írtuk, leírja a rendszerindítás során beállított titkosított blokkeszközöket.

#правим /etc/crypttab 
nano /etc/crypttab 

ha megfelelt az sda7>sda7_crypt szakasznak a B2.1. bekezdésben leírtak szerint

# "célnév" "forráseszköz" "kulcsfájl" "beállítások"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

ha megfelelt az sda7>sda7_crypt szakasznak a B2.2. bekezdésben leírtak szerint

# "célnév" "forráseszköz" "kulcsfájl" "beállítások"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

ha megfelelt az sda7>sda7_crypt szakasznak a B2.1 vagy B2.2 bekezdésben leírtak szerint, de nem szeretné újra megadni a jelszót a zárolás feloldásához és az operációs rendszer indításához, akkor a jelszó helyett titkos kulcsot/véletlen fájlt helyettesíthet

# "célnév" "forráseszköz" "kulcsfájl" "beállítások"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

Leírás
* nincs – azt jelenti, hogy az operációs rendszer betöltésekor titkos jelszót kell megadni a gyökér feloldásához.
* UUID - partíció azonosító. Az azonosítójának megtudásához írja be a terminálba (emlékeztessen arra, hogy ettől kezdve egy chroot környezetben lévő terminálon dolgozik, nem pedig egy másik élő usb terminálon).

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное 

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

ez a sor akkor látható, ha az élő usb-terminálról blkid-t kérünk, az sda7_crypt beillesztéssel).
Elveszed az UUID-t az sdaX-edről (nem sdaX_crypt!, UUID sdaX_crypt - automatikusan megmarad a grub.cfg konfiguráció létrehozásakor).
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks titkosítás speciális módban.
* /etc/skey - titkos kulcsfájl, amely automatikusan beszúrásra kerül az operációs rendszer rendszerindításának feloldásához (a 3. jelszó megadása helyett). 8 MB-ig bármilyen fájlt megadhat, de az adatok 1 MB-nál kisebbek lesznek.

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7 

Valahogy így fog kinézni:

(csináld magad és nézd meg magad).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

Az /etc/fstab leíró információkat tartalmaz a különféle fájlrendszerekről.

#Правим /etc/fstab
nano /etc/fstab

# "fájlrendszer" "csatolási pont" "típus" "opciók" "kiírás" "pass"
# / a / dev / sda7-en volt a telepítés során
/dev/mapper/sda7_crypt / ext4 errors=remount-ro 0 1

választási lehetőség
* /dev/mapper/sda7_crypt – az sda7>sda7_crypt leképezés neve, amely az /etc/crypttab fájlban van megadva.
A crypttab/fstab telepítése befejeződött.

B4.5. Konfigurációs fájlok szerkesztése. Kulcs pillanatB4.5.1. Az /etc/initramfs-tools/conf.d/resume konfiguráció szerkesztése

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

és kommentáld (ha létezik) "#" sor "folytatás". A fájlnak teljesen üresnek kell lennie.

B4.5.2. Az /etc/initramfs-tools/conf.d/cryptsetup konfiguráció szerkesztése

nano /etc/initramfs-tools/conf.d/cryptsetup

egyeznie kell

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=igen
exportálja a CRYPTSETUP-ot

B4.5.3. Az /etc/default/grub konfiguráció szerkesztése (ez a konfiguráció felelős a grub.cfg létrehozásának képességéért, ha titkosított /boot fájllal dolgozik)

nano /etc/default/grub

add hozzá a „GRUB_ENABLE_CRYPTODISK=y” sort
Az 'y' érték, a grub-mkconfig és a grub-install ellenőrzi a titkosított meghajtókat, és további parancsokat generál, amelyek a rendszerindításkor való eléréséhez szükségesek (insmods ).
hasonlóságnak kell lennie

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=szállító"
GRUB_CMDLINE_LINUX="csendes splash noautomount"
GRUB_ENABLE_CRYPTODISK=y

B4.5.4. Az /etc/cryptsetup-initramfs/conf-hook konfiguráció szerkesztése

nano /etc/cryptsetup-initramfs/conf-hook

ellenőrizze, hogy a vonal megjegyzést fűzött <#>.
A jövőben (és még most sem lesz értelme ennek a paraméternek, de néha zavarja az initrd.img kép frissítését).

B4.5.5. Az /etc/cryptsetup-initramfs/conf-hook konfiguráció szerkesztése

nano /etc/cryptsetup-initramfs/conf-hook

add hozzá

KEYFILE_PATTERN=”/etc/skey”
IMASK=0077

Ez becsomagolja a titkos kulcsot, a "skey" az initrd.img fájlba, a kulcs a gyökér feloldásához szükséges az operációs rendszer indításakor (ha nem akarja újra megadni a jelszót, akkor a „kulcs” kulcs az autó helyett).

B4.6. A /boot/initrd.img [verzió] frissítéseA titkos kulcs becsomagolásához az initrd.img fájlba és a cryptsetup javítások alkalmazásához frissítse a képet

update-initramfs -u -k all

az initrd.img frissítésekor (ahogy mondják: Lehetséges, de nem biztos) a kriptográfiai beállításokkal kapcsolatos figyelmeztetések jelennek meg, vagy például egy értesítés az Nvidia modulok elvesztéséről - ez normális. A fájl frissítése után ellenőrizze, hogy valóban frissült-e, nézze meg az időt (a chroot környezethez képest./boot/initrd.img). Figyelem! [update-initramfs -u -k all] előtt győződjön meg arról, hogy a cryptsetup nyitva van-e a /dev/sda7 sda7_crypt - ez a név jelenik meg az /etc/crypttab fájlban, különben újraindítás után busybox hiba lesz)
Ennél a lépésnél a konfigurációs fájlok beállítása befejeződött.

[C] A GRUB2/Protection telepítése és konfigurálása

C1. Ha szükséges, formázza meg a dedikált partíciót a rendszerbetöltőhöz (egy partíciónak legalább 20 MB-ra van szüksége)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. Csatlakoztassa a /dev/sda6-ot a /mnt-hezTehát chrootban dolgozunk, akkor a gyökérben nem lesz /mnt2 könyvtár, és üres lesz az /mnt mappa.
csatolja a GRUB2 partíciót

mount /dev/sda6 /mnt

Ha a GRUB2 régebbi verziója van telepítve, akkor a /mnt/boot/grub/i-386-pc könyvtárban (más platform is lehetséges, például nem „i386-pc”) nincsenek kriptomodulok (röviden, a mappának modulokat kell tartalmaznia, beleértve a következőt: .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), ebben az esetben a GRUB2-t meg kell rázni.

apt-get update
apt-get install grub2 

Fontos! Amikor frissíti a GRUB2 csomagot a tárolóból, amikor a rendszertöltő telepítési helyének kiválasztásáról kérdezik, meg kell tagadnia a telepítést (ok - próbálja meg telepíteni a GRUB2-t - "MBR"-ben vagy élő USB-n). Ellenkező esetben megsérül a VeraCrypt fejléc/betöltő. A GRUB2 csomagok frissítése és a telepítés megszakítása után a rendszertöltőt manuálisan kell telepíteni a logikai lemezre, nem pedig az MBR-re. Ha a tárhelyen a GRUB2 elavult verziója található, próbálkozzon frissítés a hivatalos webhelyről származik - még nem ellenőriztem (a legújabb GRUB 2.02 ~ BetaX rendszertöltőkkel működött).

C3. GRUB2 telepítése kiterjesztett partícióra [sda6]Felszerelt partícióval kell rendelkeznie [C.2 elem]

grub-install --force --root-directory=/mnt /dev/sda6

lehetőségek
* —force - a rendszerbetöltő telepítése, megkerülve az összes szinte mindig létező figyelmeztetést, és blokkolja a telepítést (kötelező zászló).
* --root-directory - könyvtár telepítése az sda6 gyökeréhez.
* /dev/sda6 – az Ön sdaХ partíciója (ne hagyja ki a /mnt /dev/sda6 közötti <space>-t).

C4. Konfigurációs fájl létrehozása [grub.cfg]Felejtse el az "update-grub2" parancsot, és használja a teljes konfigurációs fájl generálási parancsot

grub-mkconfig -o /mnt/boot/grub/grub.cfg

a grub.cfg fájl létrehozásának/frissítésének befejezése után a kimeneti terminálnak tartalmaznia kell egy sort a lemezen található operációs rendszerrel. (A „grub-mkconfig” valószínűleg meg fogja találni és felveszi az operációs rendszert egy élő usb-ről, ha Windows 10 rendszerű multiboot flash meghajtóval és egy csomó élő disztribúcióval rendelkezik – ez normális). Ha a terminál „üres” és a „grub.cfg” fájl nem jön létre, akkor ez ugyanaz az eset, amikor GRUB hibák vannak a rendszerben (és valószínűleg a betöltő a tároló tesztágából), telepítse újra a GRUB2-t megbízható forrásból.
Az "egyszerű konfiguráció" telepítése és a GRUB2 beállítása befejeződött.

C5. Titkosított GNU/Linux OS próbájaA kriptoküldetést megfelelően teljesítjük. Óvatosan hagyja el a titkosított GNU/Linuxot (kilépés a chroot környezetből).

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

A számítógép újraindítása után a VeraCrypt rendszerbetöltőnek be kell töltenie.


*Az aktív partíció jelszavának megadása megkezdi a Windows betöltését.
*Az "Esc" billentyű lenyomása átadja a vezérlést a GRUB2-nek, ha titkosított GNU/Linuxot választ - jelszó (sda7_crypt) szükséges a /boot/initrd.img zárolásának feloldásához (ha a grub2 azt írja ki, hogy uuid "not found" - ez egy probléma a grub2 rendszerbetöltővel, újra kell telepíteni, pl. tesztágról/stabilról stb.).


*Attól függően, hogy hogyan konfigurálta a rendszert (lásd a B4.4/4.5 bekezdést), a /boot/initrd.img képfájl zárolásának feloldásához szükséges helyes jelszó megadása után jelszóra lesz szüksége az operációs rendszer kernel/root betöltéséhez, vagy a titkos kód betöltéséhez. A kulcs automatikusan "skey"-re cserélődik, így nincs szükség a jelszó újbóli megadására.

("titkos kulcs automatikus helyettesítése" képernyő).

*Ezután a GNU/Linux felhasználói fiók hitelesítéssel történő betöltésének ismerős folyamata következik.


*A felhasználó engedélyezése és az operációs rendszerbe való bejelentkezés után újra frissítenie kell a /boot/initrd.img fájlt. (lásd B4.6).

update-initramfs -u -k all

Plusz sorok esetén pedig a GRUB2 menüben (OS-m hangfelvételről élő usb-vel) Szabadulj meg tőlük

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

A GNU/Linux rendszertitkosítás gyors összefoglalása:

• A GNU/Linuxinux teljesen titkosított, beleértve a /boot/kernel-t és az initrd-t;
• a titkos kulcs az initrd.img fájlba van csomagolva;
• jelenlegi engedélyezési rendszer (a jelszó megadása az initrd feloldásához; jelszó/kulcs az operációs rendszer indításához; jelszó a Linux fiók engedélyezéséhez).

A blokkpartíció "Simple GRUB2 Configuration" rendszertitkosítása befejeződött.

C6. Speciális GRUB2 konfiguráció. Bootloader védelem digitális aláírással + hitelesítés védelemA GNU/Linux teljesen titkosított, de a rendszerbetöltő nem titkosítható – ezt a feltételt a BIOS diktálja. Emiatt a GRUB2 láncolt titkosított rendszerindítása nem lehetséges, de egy egyszerű láncolt rendszerindítás lehetséges/elérhető, de biztonsági szempontból nem szükséges [ld. P. F].
A „sebezhető” GRUB2 esetében a fejlesztők egy „aláírás/hitelesítés” rendszerbetöltő védelmi algoritmust vezettek be.

• Ha a rendszerbetöltőt „saját digitális aláírása” védi, a fájlok külső módosítása vagy további modulok betöltésére tett kísérlet ebbe a rendszerbetöltőbe a rendszerindítási folyamat blokkolásához vezet.
• Amikor a rendszerbetöltőt hitelesítéssel védi, egy disztribúció betöltésének kiválasztásához vagy további parancsok megadásához a CLI-ben meg kell adnia a superuser-GRUB2 bejelentkezési nevét és jelszavát.

C6.1. Bootloader hitelesítés védelemEllenőrizze, hogy titkosított operációs rendszer terminálján dolgozik-e

ls /<Tab-Tab> #обнаружить файл-маркер

hozzon létre egy szuperfelhasználói jelszót az engedélyezéshez a GRUB2-ben

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. 

Szerezd meg a jelszókivonatot. Valami ilyesmi

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

csatolja a GRUB partíciót

mount /dev/sda6 /mnt 

szerkessze a konfigurációt

nano -$ /mnt/boot/grub/grub.cfg 

ellenőrizze a fájlkeresést, hogy a „grub.cfg” fájlban sehol nincsenek jelzők („-unrestricted” „-user”,
add hozzá a legvégén (a ### sor előtt END /etc/grub.d/41_custom ###)
"set superusers="root"
password_pbkdf2 root hash."

Valami ilyesminek kellene lennie

# Ez a fájl egyszerű módot kínál egyéni menübejegyzések hozzáadására. Egyszerűen írja be a
# menübejegyzést szeretne hozzáadni a megjegyzés után. Ügyeljen arra, hogy ne változzon
# a fenti 'exec farok' sor.
### VÉGE /etc/grub.d/40_custom ###

### BEGIN /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; akkor
forrás ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; akkor
forrás $prefix/custom.cfg;
fi
set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### VÉGE /etc/grub.d/41_custom ###
#

Ha gyakran használja a „grub-mkconfig -o /mnt/boot/grub/grub.cfg” parancsot, és nem szeretné minden alkalommal módosítani a grub.cfg fájlt, írja be a fenti sorokat (Bejelentkezési jelszó) a GRUB felhasználói szkriptben a legvégén

nano /etc/grub.d/41_custom 

macska << EOF
set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

A „grub-mkconfig -o /mnt/boot/grub/grub.cfg” konfiguráció létrehozásakor a hitelesítésért felelős sorok automatikusan hozzáadódnak a grub.cfg fájlhoz.
Ez a lépés befejezi a GRUB2 hitelesítés beállítását.

C6.2. Bootloader védelem digitális aláírássalFeltételezzük, hogy már rendelkezik személyes pgp titkosítási kulcsával (vagy hozzon létre egy ilyen kulcsot). A rendszerre telepített kriptográfiai szoftvernek kell lennie: gnuPG; kleopátra/GPA; Csikóhal. A kriptoszoftverek minden ilyen ügyben sokkal könnyebbé teszik az életét. Seahorse – a 3.14.0 csomag stabil verziója (a magasabb verziók, például a V3.20 hibásak és jelentős hibákat tartalmaznak).

A PGP kulcsot csak a su környezetben kell előállítani/indítani/adni!

Személyes titkosítási kulcs létrehozása

gpg - -gen-key

Exportálja a kulcsát

gpg --export -o ~/perskey

Csatlakoztassa a logikai lemezt az operációs rendszerbe, ha még nincs csatlakoztatva

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

tisztítsa meg a GRUB2 partíciót

rm -rf /mnt/

Telepítse a GRUB2-t az sda6-ban, és helyezze el a privát kulcsát a fő GRUB „core.img” képfájlba.

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

lehetőségek
* --force - a rendszerbetöltő telepítése, megkerülve a mindig létező figyelmeztetéseket (kötelező zászló).
* —modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - utasítja a GRUB2-t a szükséges modulok előtöltésére, amikor a számítógép elindul.
* -k ~/perskey -útvonal a „PGP-kulcshoz” (a kulcs képbe pakolása után törölhető).
* --root-directory - az sda6 gyökérkönyvtárának beállítása
/dev/sda6 – az Ön sdaX partíciója.

A grub.cfg generálása/frissítése

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

Adja hozzá a „trust /boot/grub/perskey” sort a „grub.cfg” fájl végéhez (kényszeríti a pgp kulcs használatát.) Mivel a GRUB2-t egy sor modullal telepítettük, beleértve a „signature_test.mod” aláírási modult, így nincs szükség olyan parancsokra, mint a „set check_signatures=enforce” a konfigurációhoz.

Valahogy így kell kinéznie (vég sorok a grub.cfg fájlban)

### BEGIN /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; akkor
forrás ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; akkor
forrás $prefix/custom.cfg;
fi
bízzon a /boot/grub/perskey-ben
set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### VÉGE /etc/grub.d/41_custom ###
#

A „/boot/grub/perskey” elérési útnak nem kell egy adott lemezpartícióra mutatnia, például a hd0,6-ra; magának a rendszerbetöltőnek a „root” annak a partíciónak az alapértelmezett elérési útja, amelyre a GRUB2 telepítve van. (lásd halmaz rothadás=..).

GRUB2 aláírása (az összes fájl az összes /GRUB könyvtárban) a „perskey” kulcsával.
Egy egyszerű megoldás az aláírásra (a nautilus/caja explorer számára): telepítse a „seahorse” kiterjesztést az Explorerhez a tárolóból. A kulcsát hozzá kell adni a su környezethez.
Nyissa meg az Explorert a sudo „/mnt/boot” – RMB – jellel. A képernyőn így néz ki

Maga a kulcs a „/mnt/boot/grub/perskey” (másolás a grub könyvtárba) saját aláírásával is alá kell írni. Ellenőrizze, hogy a [*.sig] fájl aláírásai megjelennek-e a könyvtárban/alkönyvtárban.
A fent leírt módszerrel írja alá a „/boot” (a mi kernelünk, initrd). Ha az idő bármit is ér, akkor ezzel a módszerrel nem kell bash szkriptet írni „sok fájl” aláírásához.

Az összes rendszerbetöltő aláírás eltávolítása (ha valami elromlott)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

Annak érdekében, hogy a rendszerfrissítés után ne írjuk alá a rendszerbetöltőt, lefagyasztjuk a GRUB2-vel kapcsolatos összes frissítési csomagot.

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

Ennél a lépésnél a <bootloader védelme digitális aláírással> befejeződött a GRUB2 speciális konfigurálása.

C6.3. A GRUB2 rendszerbetöltő próbateste, digitális aláírással és hitelesítéssel védettGRUB2. Bármely GNU/Linux disztribúció kiválasztásakor vagy a CLI megadásakor (parancs sor) Superuser engedélyre lesz szükség. A helyes felhasználónév/jelszó megadása után szüksége lesz az initrd jelszóra

Képernyőkép a GRUB2 szuperfelhasználó sikeres hitelesítéséről.

Ha módosítja valamelyik GRUB2 fájlt, módosítja a grub.cfg fájlt, törli a fájlt/aláírást, vagy betölt egy rosszindulatú module.mod fájlt, egy megfelelő figyelmeztetés jelenik meg. A GRUB2 leállítja a betöltést.

Képernyőkép, kísérlet „kívülről” megzavarni a GRUB2-t.

"Normál" "behatolás nélküli" indításkor a rendszer kilépési kód állapota "0". Ezért nem ismert, hogy a védelem működik-e vagy sem (vagyis „bootloader aláírásvédelemmel vagy anélkül” normál betöltéskor az állapot ugyanaz a „0” - ez rossz).

Hogyan ellenőrizhető a digitális aláírás védelme?

Egy kényelmetlen módja az ellenőrzésnek: hamisítson meg/eltávolítson egy GRUB2 által használt modult, például távolítsa el a luks.mod.sig aláírást, és hibaüzenetet kap.

A helyes út: lépjen a rendszerbetöltő CLI-be, és írja be a parancsot

trust_list

Válaszul egy „perskey” ujjlenyomatot kell kapnia; ha az állapot „0”, akkor az aláírásvédelem nem működik, ellenőrizze még egyszer a C6.2.
Ennél a lépésnél a „GRUB2 védelme digitális aláírással és hitelesítéssel” speciális konfiguráció befejeződik.

C7 Alternatív módszer a GRUB2 rendszerbetöltő védelmére hash segítségévelA fent leírt "CPU Boot Loader Protection/Authentication" módszer klasszikus. A GRUB2 tökéletlenségei miatt paranoiás körülmények között valós támadásra érzékeny, amit alább az [F] bekezdésben ismertetek. Ezenkívül az operációs rendszer/kernel frissítése után a rendszerbetöltőt újra alá kell írni.

A GRUB2 rendszerbetöltő védelme kivonatolás segítségével

Előnyök a klasszikusokkal szemben:

• Magasabb szintű megbízhatóság (a kivonatolás/ellenőrzés csak titkosított helyi erőforrásból történik. A GRUB2 alatti teljes lefoglalt partíciót minden változtatás ellenőrzi, minden más pedig titkosítva van; a klasszikus sémában a CPU betöltő védelemmel/hitelesítéssel csak a fájlok vannak vezérelve, de nem szabad tér, amelybe „valami” valami baljós is hozzáadható).
• Titkosított naplózás (egy ember által olvasható személyes titkosított napló kerül a sémához).
• Sebesség (a GRUB2 számára lefoglalt teljes partíció védelme/ellenőrzése szinte azonnal megtörténik).
• Minden kriptográfiai folyamat automatizálása.

Hátrányok a klasszikusokhoz képest.

• Aláírás-hamisítás (elméletileg meg lehet találni egy adott hash függvény ütközést).
• Fokozott nehézségi szint (a klasszikushoz képest egy kicsit több GNU/Linux OS készség szükséges).

Hogyan működik a GRUB2/partíció kivonatolási ötlet

A GRUB2 partíció „aláírt”; az operációs rendszer indításakor a rendszertöltő-partíciót ellenőrizni kell a változatlanság szempontjából, majd bejelentkezik egy biztonságos (titkosított) környezetbe. Ha a rendszerbetöltő vagy annak partíciója sérült, a behatolási napló mellett a következő is elindul:

Dolog.

Hasonló ellenőrzés naponta négyszer történik, amely nem tölti be a rendszer erőforrásait.
A „-$ check_GRUB” paranccsal az azonnali ellenőrzés bármikor megtörténik naplózás nélkül, de a CLI-be érkező információkkal.
A „-$ sudo signature_GRUB” paranccsal a GRUB2 rendszerindító betöltő/partíció azonnal újra aláírásra kerül és frissített naplózása (OS/boot frissítés után szükséges), és az élet megy tovább.

Kivonatolási módszer megvalósítása a rendszerbetöltőhöz és szekciójához

0) Aláírjuk a GRUB rendszerbetöltőt/partíciót úgy, hogy először felcsatoljuk a /media/username fájlba

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) A titkosított OS ~/podpis gyökerében készítünk egy kiterjesztést nem tartalmazó szkriptet, alkalmazzuk rá a szükséges 744-es biztonsági jogokat és a bolondbiztos védelmet.

A tartalmának kitöltése

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

Futtassa a szkriptet innen su, a GRUB partíció és rendszerbetöltőjének kivonatolása ellenőrzésre kerül, mentse el a naplót.

Hozzon létre vagy másoljon például egy „rosszindulatú fájlt” [virus.mod] a GRUB2 partícióra, és futtasson egy ideiglenes vizsgálatot/tesztet:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

A CLI-nek látnia kell egy inváziót a fellegvárunkba#Trimmed log in CLI

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

#Amint láthatja, megjelenik a „Fájlok áthelyezve: 1 és az ellenőrzés sikertelen” üzenet, ami azt jelenti, hogy az ellenőrzés sikertelen volt.
A tesztelt partíció természetéből adódóan az „Új fájlok találhatók” > „Fájlok áthelyezve” helyett

2) Tedd ide a gifet > ~/warning.gif, állítsd a jogosultságokat 744-re.

3) Az fstab beállítása a GRUB-partíció automatikus csatlakoztatására rendszerindításkor

-$ sudo nano /etc/fstab

LABEL=GRUB /media/felhasználónév/GRUB ext4 alapértelmezés 0 0

4) A rönk forgatása

-$ sudo nano /etc/logrotate.d/podpis 

/var/log/podpis.txt {
napi
forgassa el 50
méret 5M
dátumszöveg
borogatás
késleltetett tömörítés
olddir /var/log/old
}

/var/log/vtorjenie.txt {
havi
forgassa el 5
méret 5M
dátumszöveg
olddir /var/log/old
}

5) Adjon hozzá egy munkát a cronhoz

-$ sudo crontab -e

újraindítás '/Feliratkozás'
0 */6 * * * '/podpis

6) Állandó álnevek létrehozása

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

OS frissítés után -$ apt-get upgrade írja alá újra a GRUB partíciónkat
-$ подпись_GRUB
Ezen a ponton a GRUB partíció kivonatolási védelme befejeződött.

[D] Törlés – a titkosítatlan adatok megsemmisítése

A dél-karolinai szóvivő, Trey Gowdy szerint annyira törölje ki személyes fájljait, hogy „még Isten se tudja elolvasni”.

Szokás szerint léteznek különféle „mítoszok és legendák", a merevlemezről való törlés utáni adatok visszaállításáról. Ha hiszel a kiberboszorkányságban, vagy tagja vagy a Dr web közösségnek, és még soha nem próbáltad ki az adatok visszaállítását a törlés/felülírás után (például helyreállítás az R-studio használatával), akkor a javasolt módszer valószínűleg nem felel meg Önnek, használja azt, ami a legközelebb áll hozzád.

A GNU/Linux titkosított partícióra való sikeres átvitele után a régi másolatot törölni kell az adatok helyreállításának lehetősége nélkül. Univerzális tisztítási módszer: szoftver Windows/Linux ingyenes grafikus felhasználói felülethez BleachBit.
gyorsan formázza a részt, amelynek adatait meg kell semmisíteni (a Gparteden keresztül) indítsa el a BleachBit-et, válassza a „Szabad terület takarítása” lehetőséget - válassza ki a partíciót (az sdaX a GNU/Linux korábbi példányával), akkor elindul a sztrippelési folyamat. BleachBit - egy lépésben letörli a lemezt - ez az, amire „szükségünk van”, de! Ez csak elméletileg működik, ha formázta a lemezt és megtisztította a BB v2.0 szoftverben.

Figyelem! A BB törli a lemezt, így metaadatok maradnak; a fájlnevek megmaradnak az adatok törlésekor (Ccleaner – nem hagy metaadatokat).

Az adat-helyreállítás lehetőségéről szóló mítosz pedig nem teljesen mítosz.A Bleachbit V2.0-2 korábbi instabil operációs rendszerű Debian csomag (és bármilyen más hasonló szoftver: sfill; wipe-Nautilus - szintén észrevették ebben a piszkos üzletben) Valójában volt egy kritikus hiba: a "szabad hely törlése" funkció hibásan működik HDD/Flash meghajtókon (ntfs/ext4). Az ilyen szoftverek a szabad hely felszabadításakor nem írják felül a teljes lemezt, ahogy azt sok felhasználó gondolja. És néhány (sok) törölt adatok Az operációs rendszer/szoftver ezeket az adatokat nem törölt/felhasználói adatoknak tekinti, és az „OSP” tisztításakor kihagyja ezeket a fájlokat. A probléma az, hogy ilyen hosszú idő után a lemez tisztítása A "törölt fájlok" visszaállíthatók még 3+ lemeztörlés után is.
GNU/Linux rendszeren, Bleachbiten 2.0-2 A fájlok és könyvtárak végleges törlésének funkciói megbízhatóan működnek, de nem szabadítanak fel szabad helyet. Összehasonlításképpen: Windowson a CCleanerben az „OSP for ntfs” funkció megfelelően működik, és Isten tényleg nem fogja tudni elolvasni a törölt adatokat.

És így, alaposan eltávolítani "kompromittáló" régi titkosítatlan adatok, A Bleachbitnek közvetlen hozzáférésre van szüksége ezekhez az adatokhoz, majd használja a „fájlok/könyvtárak végleges törlése” funkciót.
A „törölt fájlok szabványos operációs rendszer-eszközökkel” eltávolításához Windows rendszerben használja a CCleaner/BB-t az „OSP” funkcióval. GNU/Linux alatt ezt a problémát (törölt fájlok törlése) egyedül kell gyakorolnod (adatok törlése + független visszaállítási kísérlet, és nem szabad a szoftver verziójára hagyatkozni (ha nem könyvjelző, akkor hiba)), csak ebben az esetben tudja megérteni a probléma mechanizmusát, és teljesen megszabadulni a törölt adatoktól.

A Bleachbit v3.0-t nem teszteltem, lehet, hogy a probléma már megoldódott.
A Bleachbit v2.0 becsületesen működik.

Ennél a lépésnél a lemeztörlés befejeződött.

[E] Univerzális biztonsági mentés a titkosított operációs rendszerről

Minden felhasználónak megvan a saját módszere az adatok biztonsági mentésére, de a titkosított rendszer operációs rendszer adatai kissé eltérő megközelítést igényelnek a feladathoz. Az egyesített szoftverek, például a Clonezilla és hasonló szoftverek nem működnek közvetlenül titkosított adatokkal.

A titkosított blokkeszközök biztonsági mentésének problémája:

1. egyetemesség – ugyanaz a biztonsági mentési algoritmus/szoftver a Windows/Linux számára;
2. a konzolban való munkavégzés bármilyen élő usb GNU/Linux-szal anélkül, hogy további szoftverletöltésekre lenne szükség (de továbbra is ajánlom a GUI-t);
3. biztonsági másolatok biztonsága – a tárolt „képeket” titkosítani/jelszóval kell védeni;
4. a titkosított adatok méretének meg kell egyeznie a ténylegesen másolt adatok méretével;
5. a szükséges fájlok kényelmes kinyerése egy biztonsági másolatból (nem szükséges először a teljes szakasz visszafejtése).

Például biztonsági mentés/visszaállítás a „dd” segédprogrammal

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

A feladat szinte minden pontjának megfelel, de a 4. pont szerint nem állja ki a kritikát, mivel a teljes lemezpartíciót másolja, beleértve a szabad helyet is - nem érdekes.

Például egy GNU/Linux biztonsági mentés az archiválón keresztül [tar" | gpg] kényelmes, de a Windows biztonsági mentéshez más megoldást kell keresnie - ez nem érdekes.

E1. Univerzális Windows/Linux biztonsági mentés. Rsync (Grsync)+VeraCrypt kötet összekapcsolásaA biztonsági másolat készítésének algoritmusa:

1. titkosított tároló létrehozása (kötet/fájl) VeraCrypt operációs rendszerhez;
2. az operációs rendszer átvitele/szinkronizálása az Rsync szoftverrel a VeraCrypt kriptotárolóba;
3. szükség esetén a VeraCrypt kötet feltöltése a www.

A titkosított VeraCrypt tároló létrehozásának megvannak a maga sajátosságai:
dinamikus kötet létrehozása (A DT létrehozása csak Windows alatt érhető el, GNU/Linux alatt is használható);
szabályos kötet létrehozása, de követelmény a „paranoiás karakter” (a fejlesztő szerint) – konténer formázás.

A dinamikus kötet szinte azonnal létrejön a Windows rendszerben, de ha adatokat másol a GNU/Linux > VeraCrypt DT oldalról, a biztonsági mentési művelet általános teljesítménye jelentősen csökken.

Létrejön egy normál 70 GB-os Twofish kötet (mondjuk átlagos PC teljesítmény) HDD-re ~ fél óra alatt (a korábbi konténeradatok egy menetben történő felülírása biztonsági követelmények miatt van). A VeraCrypt Windows/Linux rendszerből eltávolították a kötet létrehozása során történő gyors formázását, így a konténer létrehozása csak „egymenetes újraírással” vagy alacsony teljesítményű dinamikus kötet létrehozásával lehetséges.

Hozzon létre egy normál VeraCrypt-kötetet (nem dinamikus/ntfs), nem lehet semmi probléma.

Konténer konfigurálása/létrehozása/nyitása a VeraCrypt GUI> GNU/Linux live usb-ben (a kötet automatikusan a /media/veracrypt2 mappába, a Windows operációs rendszer kötete a /media/veracrypt1 mappába lesz csatolva). Titkosított biztonsági másolat készítése a Windows operációs rendszerről a GUI rsync használatával (grsync)a négyzetek bejelölésével.

Várja meg, amíg a folyamat befejeződik. A biztonsági mentés befejezése után egy titkosított fájlunk lesz.

Hasonlóképpen hozzon létre egy biztonsági másolatot a GNU/Linux operációs rendszerről az rsync grafikus felületén lévő „Windows-kompatibilitás” jelölőnégyzet törlésével.

Figyelem! hozzon létre egy Veracrypt tárolót a „GNU/Linux biztonsági mentéshez” a fájlrendszerben ext4. Ha biztonsági másolatot készít egy ntfs tárolóba, akkor egy ilyen másolat visszaállítása során elveszíti az összes adatához kapcsolódó jogot/csoportot.

Minden művelet elvégezhető a terminálon. Az rsync alapvető beállításai:
* -g -csoportok mentése;
* -P —haladás — a fájlon végzett munkával töltött idő állapota;
* -H - másolja a merev hivatkozásokat úgy, ahogy vannak;
* -a -archív mód (több rlptgoD jelző);
* -v -verbalizálás.

Ha „Windows VeraCrypt kötetet” szeretne csatlakoztatni a cryptsetup szoftver konzolján keresztül, létrehozhat egy álnevet (su)

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

Most a „veramount images” parancs felszólítja a jelszó megadására, és a titkosított Windows rendszerkötet be lesz csatolva az operációs rendszerbe.

VeraCrypt rendszerkötet hozzárendelése/csatolása a cryptsetup parancsban

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

VeraCrypt partíció/tároló hozzárendelése/csatolása a cryptsetup parancsban

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

Az alias helyett a GNU/Linux indításához egy Windows operációs rendszerű rendszerkötetet és egy logikai titkosított ntfs lemezt adunk hozzá (az indításhoz szükséges parancsfájl)

Hozzon létre egy szkriptet, és mentse el a ~/VeraOpen.sh fájlba

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

Terjesztjük a „helyes” jogokat:

sudo chmod 100 /VeraOpen.sh

Hozzon létre két azonos fájlt (ugyanaz a név!) az /etc/rc.local és a ~/etc/init.d/rc.local könyvtárban
A fájlok kitöltése

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

Terjesztjük a „helyes” jogokat:

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local 

Ennyi, most a GNU/Linux betöltésekor nem kell jelszavakat megadnunk a titkosított ntfs lemezek csatlakoztatásához, a lemezek automatikusan felcsatolódnak.

Rövid megjegyzés a fenti E1 bekezdésben leírtakhoz lépésről lépésre (de most OS GNU/Linux esetén)
1) Hozzon létre egy kötetet fs ext4 > 4gb (fájlhoz) Linux alatt Veracrypt [Cryptbox] alatt.
2) Indítsa újra az élő usb-t.
3) ~$ cryptsetup megnyitása /dev/sda7 Lunux #titkosított partíció leképezése.
4) ~$ mount /dev/mapper/Linux /mnt #csatlakoztassa a titkosított partíciót a /mnt mappába.
5) ~$ mkdir mnt2 #könyvtár létrehozása egy jövőbeli biztonsági mentéshez.
6) ~$ cryptsetup open —veracrypt — gépelje be a tcrypt parancsot ~/CryptoBox CryptoBox && mount /dev/mapper/CryptoBox /mnt2 #Térezzen le egy „CryptoBox” nevű Veracrypt kötetet, és csatlakoztassa a CryptoBoxot a /mnt2 fájlhoz.
7) ~$ rsync -avlxhHX —progress /mnt /mnt2/ #titkosított partíció biztonsági mentése titkosított Veracrypt kötetre.

(p/s/ Figyelem! Ha titkosított GNU/Linuxot visz át egyik architektúráról/gépről a másikra, például Intel > AMD (vagyis biztonsági másolat telepítése egyik titkosított partícióról egy másik titkosított Intel > AMD partícióra), Ne felejtsd el A titkosított operációs rendszer átvitele után esetleg módosítsa a titkos helyettesítő kulcsot a jelszó helyett. az előző ~/etc/skey kulcs - már nem fér bele egy másik titkosított partícióba, és nem tanácsos új "cryptsetup luksAddKey" kulcsot létrehozni a chroot alól - hiba is előfordulhat, csak a ~/etc/crypttab-ban adja meg „/etc/skey” ideiglenesen „none” ", az újraindítás és az operációs rendszerbe való bejelentkezés után hozza létre újra a titkos helyettesítő kulcsot.

Informatikai veteránként ne felejtsen el külön-külön biztonsági másolatot készíteni a titkosított Windows/Linux OS partíciók fejléceiről, különben a titkosítás ön ellen fordul.
Ennél a lépésnél a titkosított operációs rendszer biztonsági mentése befejeződik.

[F] Támadás a GRUB2 rendszerbetöltő ellen

RészletekHa a rendszerbetöltőt digitális aláírással és/vagy hitelesítéssel védte (lásd a C6. pontot.), akkor ez nem véd a fizikai hozzáférés ellen. A titkosított adatok továbbra is elérhetetlenek lesznek, de a védelem megkerül (digitális aláírás védelmének visszaállítása) A GRUB2 lehetővé teszi a kibergonosz számára, hogy gyanú nélkül beadja kódját a rendszertöltőbe (kivéve, ha a felhasználó manuálisan figyeli a rendszerbetöltő állapotát, vagy nem találja ki a saját robusztus tetszőleges szkriptkódját a grub.cfg számára).

Támadási algoritmus. Betolakodó

* Elindítja a PC-t élő usb-ről. Bármilyen változás (törvénysértő) fájlok értesítik a számítógép valódi tulajdonosát a rendszertöltőbe való behatolásról. De a GRUB2 egyszerű újratelepítése a grub.cfg megőrzésével (és a későbbi szerkesztési lehetőség) lehetővé teszi a támadó számára, hogy szerkeszthesse a fájlokat (ebben a helyzetben a GRUB2 betöltésekor a valódi felhasználó nem kap értesítést. Az állapot ugyanaz <0>)
* Titkosítatlan partíciót csatlakoztat, tárolja a „/mnt/boot/grub/grub.cfg” fájlt.
* Újratelepíti a rendszerbetöltőt (a "perskey" eltávolítása a core.img képből)

grub-install --force --root-directory=/mnt /dev/sda6

* A „grub.cfg” > „/mnt/boot/grub/grub.cfg” értéket adja vissza, szükség esetén szerkeszti, például hozzáadja a „keylogger.mod” modult a „grub.cfg” betöltő modulokat tartalmazó mappájához. > "insmod keylogger" sor. Vagy például, ha az ellenség ravasz, akkor a GRUB2 újratelepítése után (minden aláírás a helyén marad) a fő GRUB2 képfájlt a "grub-mkimage with (-c) opcióval" használja. A „-c” opció lehetővé teszi a konfiguráció betöltését a fő „grub.cfg” betöltése előtt. A konfiguráció csak egy sorból állhat: átirányítás bármely „modern.cfg”-re, például ~400 fájllal keverve. (modulok+aláírások) a "/boot/grub/i386-pc" mappában. Ebben az esetben a támadó tetszőleges kódot illeszthet be és modulokat tölthet be anélkül, hogy befolyásolná a „/boot/grub/grub.cfg” fájlt, még akkor is, ha a felhasználó „hashsum”-ot használt a fájlra, és ideiglenesen megjelenítette a képernyőn.
A támadónak nem kell feltörnie a GRUB2 szuperfelhasználói bejelentkezési/jelszót, csak át kell másolnia a sorokat (a hitelesítésért felelős) "/boot/grub/grub.cfg" a "modern.cfg" fájlba

set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

A számítógép tulajdonosa továbbra is GRUB2 szuperfelhasználóként lesz hitelesítve.

Láncos rakodás (a rendszerbetöltő betölt egy másik rendszerbetöltőt), ahogy fentebb írtam, nincs értelme (más célra készült). A titkosított rendszerbetöltő a BIOS miatt nem tölthető be (A láncindítás újraindul a GRUB2 > titkosított GRUB2, hiba!). Ha azonban továbbra is a láncbetöltés ötletét használja, biztos lehet benne, hogy a titkosított tölt be. (nem modernizált) "grub.cfg" a titkosított partícióról. És ez egy hamis biztonságérzet is, mert minden, amit a titkosított „grub.cfg” jelez (modulbetöltés) összeadja a titkosítatlan GRUB2-ből betöltött modulokat.

Ha ezt szeretnéd ellenőrizni, akkor foglalj le/titkosíts egy másik partíciót sdaY, másold rá a GRUB2-t (a grub-install művelet titkosított partíción nem lehetséges) és a "grub.cfg"-ben (titkosítatlan konfiguráció) változtasson ilyen vonalakat

menuentry 'GRUBx2' --class papagáj --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
load_video
insmod gzio
if [ x$grub_platform = xxen ]; majd insmod xzio; insmod lzopio; fi
insmod part_msdos
insmod cryptodisk
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
normál /boot/grub/grub.cfg
}

húrok
* insmod - a szükséges modulok betöltése a titkosított lemezzel való munkához;
* GRUBx2 - a GRUB2 rendszerindító menüjében megjelenő sor neve;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -lásd. fdisk -l (sda9);
* gyökér beállítása - root telepítése;
* normál /boot/grub/grub.cfg - futtatható konfigurációs fájl egy titkosított partíción.

Ha biztos abban, hogy a titkosított „grub.cfg” betöltődik, ez pozitív válasz a jelszó megadására/feloldására „sdaY”, amikor kiválasztja a „GRUBx2” sort a GRUB menüben.

Amikor a CLI-ben dolgozik, nehogy összezavarodjon (és ellenőrizze, hogy a „set root” környezeti változó működött-e), hozzon létre üres token fájlokat, például a „/shifr_grub” titkosított szakaszban, a titkosítatlan „/noshifr_grub” részben. Ellenőrzés a CLI-ben

cat /Tab-Tab

Ahogy fentebb említettük, ez nem segít a rosszindulatú modulok letöltésében, ha ezek a modulok a számítógépére kerülnek. Például egy keylogger, amely képes a billentyűleütéseket egy fájlba menteni, és más fájlokkal keverni a „~/i386” fájlban, amíg le nem tölti a számítógéphez fizikai hozzáféréssel rendelkező támadó.

A legegyszerűbb módja annak, hogy ellenőrizze, hogy a digitális aláírás védelme aktív-e (nem reset), és senki sem támadta meg a rendszerbetöltőt, írja be a parancsot a CLI-be

list_trusted

válaszul megkapjuk a „perskey-nk” másolatát, vagy semmit sem kapunk, ha megtámadnak bennünket (a "set check_signatures=enforce" beállítást is be kell jelölnie).
Ennek a lépésnek jelentős hátránya a parancsok kézi bevitele. Ha hozzáadja ezt a parancsot a „grub.cfg” fájlhoz, és digitális aláírással védi a konfigurációt, akkor a kulcspillanatkép előzetes kimenete a képernyőn túl rövid lesz, és előfordulhat, hogy a GRUB2 betöltése után nem lesz ideje látni a kimenetet. .
Nincs kinek különösebb igénye: a fejlesztő az övében dokumentáció pont 18.2 hivatalosan kijelenti

„Ne feledje, hogy a GRUB maga még a GRUB jelszavas védelem mellett sem tudja megakadályozni, hogy valaki fizikailag hozzáférjen a géphez, hogy módosítsa az adott gép firmware-konfigurációját (pl. Coreboot vagy BIOS) úgy, hogy a gép egy másik (támadó által vezérelt) eszközről induljon el. A GRUB legjobb esetben is csak egy láncszem a biztonságos rendszerindítási láncban."

A GRUB2 túlságosan túlterhelt a hamis biztonság érzetét keltő funkciókkal, fejlesztése funkcionalitásban már túlszárnyalta az MS-DOS-t, de ez csak egy bootloader. Vicces, hogy a GRUB2 - "holnap" lehet az operációs rendszer, és hozzá bootolható GNU/Linux virtuális gépek.

Egy rövid videó arról, hogyan állítottam vissza a GRUB2 digitális aláírás védelmét, és bejelentettem a behatolásomat egy valódi felhasználónak (Megijesztettelek, de a videóban láthatók helyett írhatsz ártalmatlan tetszőleges kódot/.mod).

Következtetések:

1) A Windows blokkrendszer-titkosítása könnyebben megvalósítható, és az egy jelszóval való védelem kényelmesebb, mint a több jelszóval történő védelem GNU/Linux blokkrendszer-titkosítással, az igazság kedvéért: ez utóbbi automatizált.

2) A cikket relevánsnak és részletesnek írtam egyszerű útmutató a teljes lemezes VeraCrypt/LUKS titkosításhoz egy otthoni gépen, amely messze a legjobb a RuNetben (IMHO). Az útmutató több mint 50 51 karakter hosszú, így nem terjedt ki néhány érdekes fejezetre: rejtjelezők, akik eltűnnek/árnyékban maradnak; arról, hogy a különböző GNU/Linux könyvekben keveset írnak/nem írnak a kriptográfiáról; az Orosz Föderáció alkotmányának XNUMX. cikkéről; O engedélyezés/tilalom titkosítás az Orosz Föderációban, arról, hogy miért kell titkosítani a „root/boot”-ot. Az útmutató meglehetősen terjedelmesnek bizonyult, de részletesnek bizonyult. (egyszerű lépések leírása is), ezzel viszont sok időt takaríthat meg, amikor eljut az „igazi titkosításhoz”.

3) Windows 7 64 rendszeren teljes lemeztitkosítás történt; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.

4) Sikeres támadást hajtott végre övé GRUB2 rendszerbetöltő.

5) Az oktatóanyagot azért hozták létre, hogy segítsenek minden paranoiás embernek a FÁK-ban, ahol a titkosítással való munka törvényi szinten megengedett. És elsősorban azoknak, akik a teljes lemezes titkosítást szeretnék bevezetni anélkül, hogy lebontanák konfigurált rendszereiket.

6) Átdolgoztam és frissítettem a kézikönyvemet, amely 2020-ban releváns.

[G] Hasznos dokumentáció

1. TrueCrypt felhasználói kézikönyv (2012. február, RU)
2. VeraCrypt dokumentáció
3. /usr/share/doc/cryptsetup(-run) [helyi forrás] (hivatalos részletes dokumentáció a GNU/Linux titkosítás cryptsetup segítségével történő beállításáról)
4. Hivatalos GYIK kriptabeállítás (rövid dokumentáció a GNU/Linux titkosítás beállításáról a cryptsetup segítségével)
5. LUKS eszköztitkosítás (archlinux dokumentáció)
6. A cryptsetup szintaxisának részletes leírása (arch man oldal)
7. A crypttab részletes leírása (arch man oldal)
8. Hivatalos GRUB2 dokumentáció.

Címkék: teljes lemeztitkosítás, partíciótitkosítás, Linux teljes lemeztitkosítás, LUKS1 teljes rendszertitkosítás.

A felmérésben csak regisztrált felhasználók vehetnek részt. Bejelentkezés, kérem.

Titkosít?

• 17,1%Mindent titkosítok, amit tudok. paranoiás vagyok.14

• 34,2%Csak fontos adatokat titkosítok.28

• 14,6%Néha titkosítok, néha elfelejtem.12

• 34,2%Nem, nem titkosítok, kényelmetlen és drága.28

82 felhasználó szavazott. 22 felhasználó tartózkodott.

Forrás: will.com