Windows Linux տեղադրված համակարգերի ամբողջական սկավառակի կոդավորումը: Գաղտնագրված բազմաբնակարան

Թարմացվել է ամբողջ սկավառակի կոդավորման սեփական ուղեցույցը RuNet V0.2-ում:

Կովբոյի ռազմավարություն.

[A] Windows 7 համակարգի բլոկային գաղտնագրում տեղադրված համակարգի;
[B] GNU/Linux համակարգի արգելափակման գաղտնագրում (Դեբյան) տեղադրված համակարգ (ներառյալ / boot);
[C] GRUB2 կոնֆիգուրացիա, բեռնիչի պաշտպանություն թվային ստորագրությամբ/նույնականացում/հեշինգով;
[D] stripping — չգաղտնագրված տվյալների ոչնչացում;
[E] կոդավորված ՕՀ-ի ունիվերսալ կրկնօրինակում;
[F] հարձակման <[C6] կետի վրա> թիրախ - GRUB2 bootloader;
[G]Օգտակար փաստաթղթեր:

╭───#40# սենյակի դիագրամ :
├──╼ Տեղադրված է Windows 7 - համակարգի ամբողջական գաղտնագրում, ոչ թաքնված;
Տեղադրված է ├──╼ GNU/Linux (Debian և ածանցյալ բաշխումներ) — համակարգի ամբողջական գաղտնագրում, ոչ թաքնված(/, ներառյալ /boot; swap);
├──╼ անկախ bootloader. VeraCrypt bootloader-ը տեղադրված է MBR-ում, GRUB2 bootloader-ը տեղադրված է ընդլայնված միջնորմում;
├──╼OS-ի տեղադրում/վերատեղադրում չի պահանջվում;
└──╼ Օգտագործված գաղտնագրման ծրագիր՝ VeraCrypt; Cryptsetup; GnuPG; Ծովաձի; Hashdeep; GRUB2-ն անվճար/անվճար է:

Վերոնշյալ սխեման մասամբ լուծում է «ֆլեշ կրիչի հեռաբեռնման» խնդիրը, թույլ է տալիս վայելել կոդավորված Windows/Linux OS և տվյալների փոխանակում «գաղտնագրված ալիքի» միջոցով մեկ ՕՀ-ից մյուսը:

PC boot order (տարբերակներից մեկը).

• մեքենան միացնելը;
• բեռնում է VeraCrypt bootloader-ը (ճիշտ գաղտնաբառը մուտքագրելով կշարունակվի Windows 7-ի բեռնումը);
• սեղմելով «Esc» ստեղնը՝ կբեռնվի GRUB2 boot loader-ը;
• GRUB2 boot loader (ընտրեք բաշխում/GNU/Linux/CLI), կպահանջի GRUB2 գերօգտագործողի նույնականացում <login/password>;
• Բաշխման հաջող վավերացումից և ընտրությունից հետո դուք պետք է մուտքագրեք անցաբառ՝ «/boot/initrd.img» բացելու համար;
• առանց սխալների գաղտնաբառեր մուտքագրելուց հետո GRUB2-ը «կպահանջի» գաղտնաբառի մուտքագրում (երրորդ, BIOS-ի գաղտնաբառ կամ GNU/Linux օգտվողի հաշվի գաղտնաբառ – չհաշված) GNU/Linux OS-ն ապակողպելու և բեռնելու համար կամ գաղտնի բանալիի ավտոմատ փոխարինում (երկու գաղտնաբառ + բանալի, կամ գաղտնաբառ + բանալի);
• Արտաքին ներխուժումը GRUB2 կոնֆիգուրացիա կսառեցնի GNU/Linux-ի բեռնման գործընթացը:

Անհանգիստ. Լավ, եկեք ավտոմատացնենք գործընթացները:

Կոշտ սկավառակի բաժանման ժամանակ (MBR աղյուսակ) ԱՀ-ն կարող է ունենալ ոչ ավելի, քան 4 հիմնական բաժանմունք, կամ 3 հիմնական և մեկ ընդլայնված, ինչպես նաև չբաշխված տարածք: Ընդլայնված բաժինը, ի տարբերություն հիմնականի, կարող է պարունակել ենթաբաժիններ (տրամաբանական կրիչներ = ընդլայնված միջնորմ). Այլ կերպ ասած, HDD-ի «ընդլայնված բաժանումը» փոխարինում է LVM-ին առաջադրանքի համար՝ ամբողջական համակարգի կոդավորումը: Եթե ​​ձեր սկավառակը բաժանված է 4 հիմնական միջնորմների, դուք պետք է օգտագործեք lvm կամ փոխակերպեք (ձևաչափմամբ) բաժինը հիմնականից մինչև առաջադեմ, կամ խելամտորեն օգտագործեք բոլոր չորս բաժինները և թողեք ամեն ինչ այնպես, ինչպես կա՝ ստանալով ցանկալի արդյունք: Նույնիսկ եթե դուք ունեք մեկ բաժին ձեր սկավառակի վրա, Gparted-ը կօգնի ձեզ բաժանել ձեր HDD-ը (լրացուցիչ բաժինների համար) առանց տվյալների կորստի, բայց դեռ փոքր տուգանք նման գործողությունների համար:

Կոշտ սկավառակի դասավորության սխեման, որի առնչությամբ ամբողջ հոդվածը կբերվի բառացի, ներկայացված է ստորև բերված աղյուսակում:

Աղյուսակ (թիվ 1) 1TB միջնորմների:

Դուք նույնպես պետք է ունենաք նման բան:
sda1 - հիմնական միջնորմ թիվ 1 NTFS (կոդավորված);
sda2 - ընդլայնված հատվածի նշիչ;
sda6 - տրամաբանական սկավառակ (այն ունի GRUB2 bootloader տեղադրված);
sda8 - փոխանակում (կոդավորված փոխանակման ֆայլ / ոչ միշտ);
sda9 - փորձարկման տրամաբանական սկավառակ;
sda5 - տրամաբանական սկավառակ հետաքրքրասերների համար;
sda7 - GNU/Linux OS (OS-ը փոխանցվել է կոդավորված տրամաբանական սկավառակի վրա);
sda3 - հիմնական միջնորմ թիվ 2 Windows 7 ՕՀ-ով (կոդավորված);
sda4 - հիմնական բաժին թիվ 3 (այն պարունակում էր չգաղտնագրված GNU/Linux, որն օգտագործվում էր կրկնօրինակման համար/ոչ միշտ).

[A] Windows 7 համակարգի բլոկի գաղտնագրում

Ա1. VeraCrypt

Ներբեռնեք պաշտոնական կայք, կամ հայելից sourceforge VeraCrypt ծածկագրային ծրագրաշարի տեղադրման տարբերակը (v1.24-Update3 հոդվածի հրապարակման պահին VeraCrypt-ի շարժական տարբերակը հարմար չէ համակարգի կոդավորման համար). Ստուգեք ներբեռնված ծրագրաշարի ստուգման գումարը

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

և համեմատեք արդյունքը VeraCrypt ծրագրավորողների կայքում տեղադրված CS-ի հետ:

Եթե ​​HashTab ծրագրակազմը տեղադրված է, դա ավելի հեշտ է. RMB (VeraCrypt Setup 1.24.exe)-հատկություններ - ֆայլերի հեշ գումար:

Ծրագրի ստորագրությունը ստուգելու համար ծրագրաշարը և մշակողի հանրային pgp բանալին պետք է տեղադրվեն համակարգում gnuPG; gpg4win.

A2. VeraCrypt ծրագրաշարի տեղադրում/գործարկում՝ ադմինիստրատորի իրավունքներով

A3. Ակտիվ բաժանման համար համակարգի կոդավորման պարամետրերի ընտրությունVeraCrypt – Համակարգ – Կոդավորել համակարգի բաժանումը/սկավառակը – Նորմալ – Գաղտնագրել Windows համակարգի բաժանումը – Multiboot – (Զգուշացում. «Անփորձ օգտվողներին խորհուրդ չի տրվում օգտագործել այս մեթոդը» և դա ճիշտ է, մենք համաձայն ենք «Այո») - Բեռնման սկավառակ («այո», նույնիսկ եթե այդպես չէ, այնուամենայնիվ «այո») – Համակարգային սկավառակների քանակը «2 կամ ավելի» – Մի քանի համակարգեր մեկ սկավառակի վրա «Այո» – Ոչ Windows-ի բեռնիչ «Ոչ» (իրականում, «Այո», բայց VeraCrypt/GRUB2 բեռնիչները չեն կիսի MBR-ը միմյանց միջև. ավելի ճիշտ, բեռնման բեռնիչի կոդի միայն ամենափոքր մասը պահվում է MBR/boot track-ում, դրա հիմնական մասը. գտնվում է ֆայլային համակարգում) – Multiboot – Գաղտնագրման կարգավորումներ…

Եթե ​​դուք շեղվում եք վերը նշված քայլերից (արգելափակել համակարգի գաղտնագրման սխեմաները), ապա VeraCrypt-ը նախազգուշացում կկատարի և թույլ չի տա գաղտնագրել բաժանումը։

Տվյալների նպատակային պաշտպանության ուղղությամբ հաջորդ քայլում անցկացրեք «Թեստ» և ընտրեք գաղտնագրման ալգորիթմ: Եթե ​​դուք ունեք հնացած պրոցեսոր, ապա, ամենայն հավանականությամբ, ամենաարագ գաղտնագրման ալգորիթմը կլինի Twofish-ը: Եթե ​​պրոցեսորը հզոր է, ապա կնկատեք տարբերությունը՝ AES կոդավորումը, ըստ թեստի արդյունքների, մի քանի անգամ ավելի արագ կլինի, քան իր կրիպտո մրցակիցները։ AES-ը գաղտնագրման հանրաճանաչ ալգորիթմ է, ժամանակակից պրոցեսորների ապարատը հատուկ օպտիմիզացված է և՛ «գաղտնի», և՛ «կոտրելու համար»:

VeraCrypt-ն աջակցում է AES կասկադում սկավառակների գաղտնագրման կարողությանը(Երկու ձուկ)/ և այլ համակցություններ: Տասը տարի առաջվա հին միջուկային Intel պրոցեսորի վրա (առանց AES-ի ապարատային աջակցության, A/T կասկադային կոդավորման) Կատարողականի նվազումը ըստ էության աննկատելի է։ (նույն դարաշրջանի AMD պրոցեսորների համար/~պարամետրերի համար կատարումը փոքր-ինչ նվազել է). ՕՀ-ն աշխատում է դինամիկ, և թափանցիկ կոդավորման համար ռեսուրսների սպառումը անտեսանելի է: Ի հակադրություն, օրինակ, կա կատարողականի նկատելի նվազում՝ կապված տեղադրված անկայուն փորձնական աշխատասեղանի միջավայրի Mate v1.20.1-ի հետ: (կամ v1.20.2 ճշգրիտ չեմ հիշում) GNU/Linux-ում կամ Windows7↑-ում հեռաչափության ռեժիմի գործարկման պատճառով: Սովորաբար, փորձառու օգտատերերը նախքան գաղտնագրումը կատարում են ապարատային աշխատանքի թեստեր: Օրինակ՝ Aida64/Sysbench/systemd-analyze-ում մեղքը համեմատվում է նույն թեստերի արդյունքների հետ՝ համակարգը գաղտնագրելուց հետո՝ դրանով իսկ հերքելով իրենց համար «համակարգի գաղտնագրումը վնասակար» առասպելը: Մեքենայի դանդաղեցումը և անհարմարությունները նկատելի են գաղտնագրված տվյալների կրկնօրինակում/վերականգնում կատարելիս, քանի որ «համակարգի տվյալների կրկնօրինակում» օպերացիան ինքնին ms-ով չի չափվում, և ավելացվում են նույն <decrypt/encrypt on the fly>: Ի վերջո, յուրաքանչյուր օգտատեր, ում թույլատրվում է գաղտնագրության հետ աշխատել, հավասարակշռում է գաղտնագրման ալգորիթմը՝ ընդդեմ առաջադրանքների բավարարման, նրանց պարանոյայի մակարդակի և օգտագործման հեշտության:

Ավելի լավ է PIM պարամետրը թողնել որպես լռելյայն, որպեսզի ՕՀ-ն բեռնելիս ստիպված չլինեք ամեն անգամ մուտքագրել կրկնվող ճշգրիտ արժեքները: VeraCrypt-ն իսկապես «դանդաղ հեշ» ստեղծելու համար օգտագործում է մեծ թվով կրկնումներ: Նման «կրիպտո խխունջի» վրա հարձակումը, օգտագործելով Brute force/rainbow tables մեթոդը, իմաստ ունի միայն կարճ «պարզ» անցաբառով և զոհի անձնական նիշերի ցանկով: Գաղտնաբառի ամրության համար վճարելու գինը ՕՀ-ը բեռնելիս ճիշտ գաղտնաբառ մուտքագրելու ուշացումն է: (GNU/Linux-ում VeraCrypt հատորների տեղադրումը զգալիորեն ավելի արագ է):
Անվճար ծրագրակազմ՝ դաժան ուժային հարձակումների իրականացման համար (հանել անցաբառը VeraCrypt/LUKS սկավառակի վերնագրից) Hashcat. Ջոն Ripper-ը չգիտի, թե ինչպես «կոտրել Veracrypt»-ը և LUKS-ի հետ աշխատելիս չի հասկանում Twofish ծածկագրությունը:

Գաղտնագրման ալգորիթմների կրիպտոգրաֆիկ հզորության շնորհիվ անկասելի cypherpunks-ը մշակում է ծրագրակազմ՝ տարբեր հարձակման վեկտորով: Օրինակ՝ RAM-ից մետատվյալների/ստեղների դուրսբերում (սառը բեռնախցիկ/ուղղակի հիշողության մուտքի հարձակում), Այդ նպատակների համար կա մասնագիտացված անվճար և ոչ ազատ ծրագրակազմ:

Կոդավորված ակտիվ բաժանման «եզակի մետատվյալների» ստեղծման/ստեղծման ավարտից հետո VeraCrypt-ը կառաջարկի վերագործարկել ԱՀ-ն և ստուգել դրա բեռնիչի ֆունկցիոնալությունը: Windows-ը վերագործարկելուց/գործարկելուց հետո VeraCrypt-ը կբեռնվի սպասման ռեժիմում, մնում է միայն հաստատել կոդավորման գործընթացը՝ Y:

Համակարգի գաղտնագրման վերջին քայլում VeraCrypt-ը կառաջարկի ստեղծել ակտիվ գաղտնագրված բաժնի վերնագրի կրկնօրինակը «veracrypt rescue disk.iso»-ի տեսքով. դա պետք է արվի. Այս ծրագրաշարում նման գործողությունը պարտադիր է (LUKS-ում, որպես պահանջ, սա, ցավոք, բաց է թողնված, բայց ընդգծված է փաստաթղթերում). Փրկարար սկավառակը օգտակար կլինի բոլորի համար, իսկ ոմանց՝ մեկից ավելի: Կորուստ (վերնագիր/MBR վերաշարադրում) վերնագրի կրկնօրինակը ընդմիշտ կհրաժարվի OS Windows-ով ապակոդավորված բաժանման մուտքից:

A4. VeraCrypt-ի փրկարար USB/սկավառակի ստեղծումԼռելյայնորեն, VeraCrypt-ն առաջարկում է ձայնագրել «~2-3 ՄԲ մետատվյալներ» CD-ի վրա, բայց ոչ բոլոր մարդիկ ունեն սկավառակներ կամ DWD-ROM կրիչներ, և «VeraCrypt Rescue Disk» բեռնվող ֆլեշ կրիչի ստեղծումը տեխնիկական անակնկալ կլինի ոմանց համար. Rufus /GUIdd-ROSA ImageWriter-ը և այլ նմանատիպ ծրագրերը չեն կարողանա հաղթահարել առաջադրանքը, քանի որ բացի օֆսեթ մետատվյալները bootable flash drive-ում պատճենելուց, դուք պետք է պատճենեք/տեղադրեք պատկերը USB կրիչի ֆայլային համակարգից դուրս, մի խոսքով, MBR/road-ը ճիշտ պատճենեք keychain-ին: Դուք կարող եք ստեղծել bootable flash drive GNU/Linux OS-ից՝ օգտագործելով «dd» կոմունալը՝ նայելով այս նշանին:

Windows միջավայրում փրկարարական սկավառակ ստեղծելը տարբեր է: VeraCrypt-ի մշակողը պաշտոնականի մեջ չի ներառել այս խնդրի լուծումը փաստաթղթեր «փրկարարական սկավառակի» կողմից, սակայն լուծում առաջարկեց այլ կերպ. նա իր VeraCrypt ֆորումում տեղադրեց լրացուցիչ ծրագրակազմ՝ «USB փրկարար սկավառակ» ստեղծելու համար՝ անվճար մուտք գործելու համար: Windows-ի համար այս ծրագրաշարի արխիվապահը «ստեղծում է USB veracrypt փրկարարական սկավառակ»: Rescue disk.iso-ն պահպանելուց հետո կսկսվի ակտիվ բաժանման բլոկային համակարգի գաղտնագրման գործընթացը: Գաղտնագրման ընթացքում ՕՀ-ի աշխատանքը չի դադարում, համակարգչի վերագործարկումը չի պահանջվում: Գաղտնագրման գործողության ավարտից հետո ակտիվ բաժանումը դառնում է ամբողջությամբ կոդավորված և կարող է օգտագործվել: Եթե ​​VeraCrypt boot loader-ը չի երևում համակարգիչը գործարկելիս, և վերնագրի վերականգնման գործողությունը չի օգնում, ապա ստուգեք «boot» դրոշը, այն պետք է սահմանվի այն բաժանման վրա, որտեղ առկա է Windows-ը: (անկախ գաղտնագրումից և այլ ՕՀ-ից, տե՛ս աղյուսակ թիվ 1):
Սա ավարտում է Windows OS-ով բլոկային համակարգի գաղտնագրման նկարագրությունը:

[B]ԼՈՒԿՍ. GNU/Linux կոդավորումը (~ Debian) տեղադրված OS. Ալգորիթմ և քայլեր

Տեղադրված Debian/ածանցյալ բաշխումը գաղտնագրելու համար դուք պետք է քարտեզագրեք պատրաստված բաժինը վիրտուալ բլոկի սարքի վրա, տեղափոխեք այն քարտեզագրված GNU/Linux սկավառակի վրա և տեղադրեք/կարգավորեք GRUB2-ը: Եթե ​​դուք չունեք մերկ մետաղական սերվեր և գնահատում եք ձեր ժամանակը, ապա դուք պետք է օգտագործեք GUI-ն, և ստորև նկարագրված տերմինալի հրամանների մեծ մասը նախատեսված է «Chuck-Norris ռեժիմում» գործարկելու համար:

B1. Համակարգչի բեռնում կենդանի USB GNU/Linux-ից

«Կատարել կրիպտո թեստ՝ ապարատային աշխատանքի համար»

lscpu && сryptsetup benchmark

Եթե ​​դուք AES ապարատային աջակցությամբ հզոր մեքենայի երջանիկ սեփականատեր եք, ապա թվերը նման կլինեն տերմինալի աջ կողմին, եթե երջանիկ սեփականատեր եք, բայց հնաոճ սարքավորումներով, թվերը նման կլինեն ձախ կողմին:

B2. Սկավառակի բաժանում. fs տրամաբանական սկավառակի HDD-ի տեղադրում/ձևաչափում Ext4 (Gparted)

B2.1. Կոդավորված sda7 բաժանման վերնագրի ստեղծումԵս նկարագրելու եմ միջնորմների անունները, այստեղ և հետագա, համաձայն վերևում տեղադրված իմ բաժանման աղյուսակի: Ըստ ձեր սկավառակի դասավորության, դուք պետք է փոխարինեք ձեր բաժանման անունները:

Տրամաբանական սկավառակի կոդավորման քարտեզագրում (/dev/sda7 > /dev/mapper/sda7_crypt):
#«LUKS-AES-XTS միջնորմի» հեշտ ստեղծում

cryptsetup -v -y luksFormat /dev/sda7

Ընտրանքներ:

* luksFormat - LUKS վերնագրի սկզբնավորում;
* -y - անցաբառ (ոչ բանալի/ֆայլ);
* -v - վերբալիզացիա (տերմինալում տեղեկատվության ցուցադրում);
* /dev/sda7 - ձեր տրամաբանական սկավառակը ընդլայնված բաժանումից (որտեղ նախատեսվում է փոխանցել/գաղտնագրել GNU/Linux).

Կանխադրված գաղտնագրման ալգորիթմ <LUKS1՝ aes-xts-plain64, բանալի՝ 256 բիթ, LUKS վերնագրի հեշում՝ sha256, RNG՝ /dev/urandom> (կախված է cryptsetup տարբերակից):

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

Եթե ​​պրոցեսորի վրա AES-ի համար ապարատային աջակցություն չկա, լավագույն ընտրությունը կլինի ընդլայնված «LUKS-Twofish-XTS- բաժանման» ստեղծումը:

B2.2. «LUKS-Twofish-XTS-բաժանման» առաջադեմ ստեղծում

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

Ընտրանքներ:
* luksFormat - LUKS վերնագրի սկզբնավորում;
* /dev/sda7-ը ձեր ապագա կոդավորված տրամաբանական սկավառակն է.
* -v վերբալիզացիա;
* -y անցաբառ;
* -c ընտրել տվյալների կոդավորման ալգորիթմ;
* -s կոդավորման բանալի չափը;
* -h հաշինգի ալգորիթմ/կրիպտո ֆունկցիա, օգտագործվում է RNG (--օգտագործել-ուրախական) տրամաբանական սկավառակի վերնագրի համար եզակի գաղտնագրման/վերծանման բանալի ստեղծելու համար, երկրորդական վերնագրի բանալի (XTS); եզակի հիմնական բանալի, որը պահվում է կոդավորված սկավառակի վերնագրում, երկրորդական XTS բանալի, այս բոլոր մետատվյալները և գաղտնագրման ռեժիմը, որը, օգտագործելով հիմնական բանալին և երկրորդական XTS բանալին, կոդավորում է/գաղտնագրում է բաժանման ցանկացած տվյալ (բացառությամբ բաժնի վերնագրի) պահվում է ~ 3 ՄԲ-ով ընտրված կոշտ սկավառակի բաժանման վրա:
* -i կրկնությունները միլիվայրկյաններով, «գումար»-ի փոխարեն (անցաբառը մշակելիս ժամանակի ուշացումը ազդում է ՕՀ-ի բեռնման և բանալիների ծածկագրային ուժի վրա): Կրիպտոգրաֆիկ ուժի հավասարակշռությունը պահպանելու համար պարզ գաղտնաբառով, ինչպիսին է «ռուսերենը», դուք պետք է մեծացնեք -(i) արժեքը, իսկ բարդ գաղտնաբառի դեպքում, ինչպիսին է «?8dƱob/øfh» արժեքը, կարող եք նվազեցնել արժեքը:
* — օգտագործեք պատահական թվերի գեներատոր, ստեղծում բանալիներ և աղ:

Բաժինը քարտեզագրելուց հետո sda7 > sda7_crypt (գործողությունն արագ է, քանի որ գաղտնագրված վերնագիր է ստեղծվում ~3 ՄԲ մետատվյալներով և վերջ), դուք պետք է ֆորմատավորեք և տեղադրեք sda7_crypt ֆայլային համակարգը:

B2.3. Համեմատություն

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

տարբերակներ:
* բաց - համապատասխանեցրեք «անունով» բաժինը.
* / dev/sda7 - տրամաբանական սկավառակ;
* sda7_crypt - անունների քարտեզագրում, որն օգտագործվում է գաղտնագրված միջնորմը տեղադրելու կամ այն ​​սկզբնավորելու համար, երբ OS-ը գործարկվում է:

B2.4. Sda7_crypt ֆայլային համակարգի ֆորմատավորում ext4-ի: ՕՀ-ում սկավառակի տեղադրում(Նշում. դուք չեք կարողանա աշխատել Gparted-ում կոդավորված բաժանման հետ)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt 

տարբերակներ:
* -v - վերբալիզացիա;
* -L - սկավառակի պիտակ (որը ցուցադրվում է Explorer-ում, ի թիվս այլ կրիչների):

Հաջորդը, դուք պետք է համակարգին միացնեք վիրտուալ կոդավորված բլոկ սարքը /dev/sda7_crypt

mount /dev/mapper/sda7_crypt /mnt

/mnt պանակում գտնվող ֆայլերի հետ աշխատելը ավտոմատ կերպով կգաղտնագրի/գաղտնազերծի տվյալները sda7-ում:

Ավելի հարմար է բաժանումը քարտեզագրել և տեղադրել Explorer-ում (nautilus/caja GUI), բաժանումն արդեն կլինի սկավառակի ընտրության ցանկում, մնում է մուտքագրել անցաբառը՝ սկավառակը բացելու/գաղտնազերծելու համար։ Համապատասխան անունը կընտրվի ավտոմատ կերպով և ոչ թե «sda7_crypt», այլ /dev/mapper/Luks-xx-xx...

B2.5. Սկավառակի վերնագրի կրկնօրինակում (~3 ՄԲ մետատվյալներ)Ամենից մեկը Կարեւոր գործողություններ, որոնք պետք է կատարվեն առանց հապաղելու, «sda7_crypt» վերնագրի կրկնօրինակը: Եթե ​​վերագրեք/վնասում եք վերնագիրը (օրինակ, GRUB2-ի տեղադրումը sda7 բաժանման վրա և այլն), գաղտնագրված տվյալներն ամբողջությամբ կկորչեն՝ առանց դրանք վերականգնելու հնարավորության, քանի որ անհնար կլինի նորից ստեղծել նույն բանալիները՝ բանալիները ստեղծվել են եզակի։

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7 

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

տարբերակներ:
* luksHeaderBackup — header-backup-file -backup հրաման;
* luksHeaderRestore — header-backup-file -restore հրաման;
* ~/Backup_DebSHIFR - կրկնօրինակ ֆայլ;
* /dev/sda7 - բաժին, որի գաղտնագրված սկավառակի վերնագրի կրկնօրինակը պետք է պահպանվի:
Այս քայլում ավարտված է <գաղտնագրված բաժանման ստեղծումն ու խմբագրումը>:

B3. GNU/Linux OS-ի տեղափոխում (sda4) գաղտնագրված բաժանման վրա (sda7)

Ստեղծեք թղթապանակ /mnt2 (Նշում. մենք դեռ աշխատում ենք կենդանի USB-ով, sda7_crypt-ը տեղադրված է /mnt-ում)և տեղադրեք մեր GNU/Linux-ը /mnt2-ում, որը պետք է գաղտնագրվի:

mkdir /mnt2
mount /dev/sda4 /mnt2

Մենք իրականացնում ենք ՕՀ-ի ճիշտ փոխանցում՝ օգտագործելով Rsync ծրագրաշարը

rsync -avlxhHX --progress /mnt2/ /mnt

Rsync-ի ընտրանքները նկարագրված են պարագրաֆ E1-ում:

Բացի այդ, պետք է ապաֆրագմենտացնել տրամաբանական սկավառակի բաժանումը

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

Դարձրեք դա կանոն. ժամանակ առ ժամանակ արեք e4defrag կոդավորված GNU/LInux-ի վրա, եթե ունեք HDD:
Փոխանցումը և համաժամացումը [GNU/Linux > GNU/Linux-encrypted] ավարտված է այս քայլում:

4-ում։ GNU/Linux-ի կարգավորումը գաղտնագրված sda7 բաժանման վրա

ՕՀ /dev/sda4 > /dev/sda7 հաջողությամբ փոխանցելուց հետո դուք պետք է մուտք գործեք GNU/Linux գաղտնագրված բաժանման վրա և կատարեք հետագա կազմաձևում: (առանց համակարգչի վերագործարկման) կոդավորված համակարգի համեմատ: Այսինքն՝ լինել կենդանի USB-ում, բայց կատարել հրամաններ «կոդավորված ՕՀ-ի արմատի հետ կապված»։ «chroot»-ը նմանակում է նմանատիպ իրավիճակ: Արագորեն տեղեկատվություն ստանալու համար, թե որ ՕՀ-ի հետ եք ներկայումս աշխատում (գաղտնագրված է, թե ոչ, քանի որ sda4-ի և sda7-ի տվյալները համաժամանակացված են), ապասինխրոնացրեք ՕՀ-ը: Ստեղծեք արմատային դիրեկտորիաներում (sda4/sda7_crypt) դատարկ մարկերային ֆայլեր, օրինակ՝ /mnt/encryptedOS և /mnt2/decryptedOS: Արագ ստուգեք, թե ինչ ՕՀ-ով եք դուք (ներառյալ ապագայի համար):

ls /<Tab-Tab>

B4.1. «Կոդավորված ՕՀ մուտք գործելու մոդելավորում»

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. Ստուգում, որ աշխատանքն իրականացվում է կոդավորված համակարգի դեմ

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. Կոդավորված փոխանակման ստեղծում/կարգավորում, crypttab/fstab խմբագրումՔանի որ swap ֆայլը ֆորմատավորվում է ամեն անգամ, երբ ՕՀ-ն սկսում է, անիմաստ է ստեղծել և քարտեզագրել swap-ը տրամաբանական սկավառակի վրա, և մուտքագրել հրամաններ, ինչպես պարբերություն B2.2-ում: Swap-ի համար իր սեփական ժամանակավոր գաղտնագրման բանալիները ավտոմատ կերպով կստեղծվեն յուրաքանչյուր սկզբում: Փոխանակման ստեղների կյանքի ցիկլը՝ փոխանակման բաժանման ապամոնտաժում/ապամոնտաժում (+ RAM-ի մաքրում); կամ վերագործարկեք ՕՀ-ն: Փոխանակման կարգավորում, բլոկային կոդավորված սարքերի կազմաձևման համար պատասխանատու ֆայլի բացում (նման է fstab ֆայլին, բայց պատասխանատու է կրիպտոյի համար):

nano /etc/crypttab 

մենք խմբագրում ենք

#"նպատակային անուն" "աղբյուր սարք" "բանալի ֆայլ" "ընտրանքներ"
փոխանակում /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512

Ընտրանքներ
* փոխանակում - քարտեզագրված անուն /dev/mapper/swap կոդավորման ժամանակ:
* /dev/sda8 - օգտագործեք ձեր տրամաբանական բաժանումը փոխանակման համար:
* /dev/urandom - փոխանակման համար պատահական կոդավորման բանալիների գեներատոր (ՕՀ-ի յուրաքանչյուր նոր բեռնման հետ նոր ստեղներ են ստեղծվում): /dev/urandom գեներատորն ավելի քիչ պատահական է, քան /dev/random-ը, վերջիվերջո /dev/random-ն օգտագործվում է վտանգավոր պարանոիդ պայմաններում աշխատելիս: ՕՀ-ը բեռնելիս /dev/random-ը դանդաղեցնում է բեռնումը մի քանի ± րոպեով (տես համակարգային-վերլուծություն).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: կոդավորման ալգորիթմ.

#Открываем и правим fstab
nano /etc/fstab

մենք խմբագրում ենք

Տեղադրման ընթացքում # swap- ը միացված էր / dev / sda8
/dev/mapper/swap ոչ մեկը փոխանակել sw 0 0

/dev/mapper/swap-ն այն անունն է, որը դրվել է crypttab-ում:

Այլընտրանքային կոդավորված փոխանակում
Եթե ​​ինչ-ինչ պատճառներով չեք ցանկանում հրաժարվել մի ամբողջ միջնորմից փոխանակման ֆայլի համար, ապա կարող եք գնալ այլընտրանքային և ավելի լավ ճանապարհով. ՕՀ-ով գաղտնագրված բաժանման վրա ֆայլի մեջ փոխանակման ֆայլ ստեղծելը:

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

Փոխանակման բաժանման կարգավորումն ավարտված է:

B4.4. Կոդավորված GNU/Linux-ի կարգավորում (crypttab/fstab ֆայլերի խմբագրում)/etc/crypttab ֆայլը, ինչպես գրված է վերևում, նկարագրում է գաղտնագրված բլոկ սարքերը, որոնք կազմաձևված են համակարգի բեռնման ժամանակ:

#правим /etc/crypttab 
nano /etc/crypttab 

եթե համապատասխանեցիք sda7>sda7_crypt բաժինը, ինչպես պարագրաֆ B2.1-ում

# «նպատակային անուն» «աղբյուր սարք» «բանալի ֆայլ» «տարբերակներ»
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

եթե համապատասխանեցիք sda7>sda7_crypt բաժինը, ինչպես պարագրաֆ B2.2-ում

# «նպատակային անուն» «աղբյուր սարք» «բանալի ֆայլ» «տարբերակներ»
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

եթե համընկնում եք sda7>sda7_crypt բաժնին, ինչպես պարագրաֆ B2.1 կամ B2.2-ում, բայց չեք ցանկանում նորից մուտքագրել գաղտնաբառը՝ ՕՀ-ն ապակողպելու և գործարկելու համար, ապա գաղտնաբառի փոխարեն կարող եք փոխարինել գաղտնի բանալի/պատահական ֆայլ:

# «նպատակային անուն» «աղբյուր սարք» «բանալի ֆայլ» «տարբերակներ»
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

Նկարագրություն
* none - հաղորդում է, որ ՕՀ-ը բեռնելիս անհրաժեշտ է մուտքագրել գաղտնի անցաբառ՝ արմատը բացելու համար:
* UUID - բաժանման նույնացուցիչ: Ձեր ID-ն պարզելու համար մուտքագրեք տերմինալ (հիշեցրեք, որ այս պահից սկսած դուք աշխատում եք տերմինալում chroot միջավայրում, այլ ոչ թե մեկ այլ կենդանի USB տերմինալում):

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное 

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

այս գիծը տեսանելի է, երբ sda7_crypt տեղադրված է կենդանի USB տերմինալից blkid-ը:
Դուք վերցնում եք UUID-ը ձեր sdaX-ից (ոչ sdaX_crypt!, UUID sdaX_crypt - ավտոմատ կերպով կմնա grub.cfg կազմաձևը ստեղծելիս):
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks կոդավորումը առաջադեմ ռեժիմում:
* /etc/skey - գաղտնի բանալի ֆայլ, որն ավտոմատ կերպով տեղադրվում է OS-ի բեռնախցիկը բացելու համար (3-րդ գաղտնաբառը մուտքագրելու փոխարեն): Դուք կարող եք նշել ցանկացած ֆայլ մինչև 8 ՄԲ, բայց տվյալները կկարդան <1 ՄԲ:

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7 

Այն նման տեսք կունենա.

(Դա ինքներդ արեք և ինքներդ համոզվեք):

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab-ը պարունակում է նկարագրական տեղեկատվություն տարբեր ֆայլային համակարգերի մասին:

#Правим /etc/fstab
nano /etc/fstab

# "ֆայլային համակարգ" "mount point" "type" "Options" "dump" "pass"
Տեղադրման ընթացքում # / միացված էր / dev / sda7
/dev/mapper/sda7_crypt / ext4 errors=remount-ro 0 1

տարբերակ
* /dev/mapper/sda7_crypt - sda7>sda7_crypt քարտեզագրման անվանումը, որը նշված է /etc/crypttab ֆայլում:
crypttab/fstab կարգավորումն ավարտված է:

B4.5. Կազմաձևման ֆայլերի խմբագրում: Առանցքային պահB4.5.1. Կազմաձևի խմբագրում /etc/initramfs-tools/conf.d/resume

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

և մեկնաբանիր (եթե կա) «#» տող «ռեզյումե». Ֆայլը պետք է ամբողջությամբ դատարկ լինի:

Բ4.5.2. Կազմաձևի խմբագրում /etc/initramfs-tools/conf.d/cryptsetup

nano /etc/initramfs-tools/conf.d/cryptsetup

պետք է համապատասխանի

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=այո
արտահանել CRYPTSETUP

Բ4.5.3. /etc/default/grub կազմաձևի խմբագրում (այս կազմաձևը պատասխանատու է grub.cfg-ի ստեղծման ունակության համար՝ կոդավորված /boot-ով աշխատելիս)

nano /etc/default/grub

ավելացնել «GRUB_ENABLE_CRYPTODISK=y» տողը
«y» արժեքը, grub-mkconfig-ը և grub-install-ը կստուգեն գաղտնագրված կրիչներ և կստեղծեն լրացուցիչ հրամաններ, որոնք անհրաժեշտ են դրանք բեռնման պահին մուտք գործելու համար: (անհոգի ).
պետք է նմանություն լինի

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=վաճառող"
GRUB_CMDLINE_LINUX = «հանգիստ շաղ տալ ավտոմատ տեղադրում»
GRUB_ENABLE_CRYPTODISK=y

Բ4.5.4. Կազմաձևի խմբագրում /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

ստուգեք, որ գիծը մեկնաբանել է <#>:
Ապագայում (և նույնիսկ հիմա, այս պարամետրը որևէ նշանակություն չի ունենա, բայց երբեմն խանգարում է initrd.img պատկերի թարմացմանը):

Բ4.5.5. Կազմաձևի խմբագրում /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

ավելացնել

KEYFILE_PATTERN=”/etc/skey”
UMASK=0077

Սա կփաթեթավորի գաղտնի բանալին «skey» initrd.img-ում, բանալին անհրաժեշտ է արմատը բացելու համար, երբ OS-ի բեռնախցիկը բացվի: (եթե չեք ցանկանում նորից մուտքագրել գաղտնաբառը, մեքենային փոխարինում է «skey» ստեղնը):

B4.6. Թարմացրեք /boot/initrd.img [տարբերակը]Գաղտնի բանալին initrd.img-ում փաթեթավորելու և cryptsetup-ի շտկումներ կիրառելու համար թարմացրեք պատկերը

update-initramfs -u -k all

initrd.img-ը թարմացնելիս (ինչպես ասում են՝ «Հնարավոր է, բայց հաստատ չէ») կհայտնվեն cryptsetup-ի հետ կապված նախազգուշացումներ, կամ, օրինակ, ծանուցում Nvidia մոդուլների կորստի մասին, դա նորմալ է: Ֆայլը թարմացնելուց հետո ստուգեք, որ այն իրականում թարմացվել է, տեսեք ժամը (համեմատ chroot միջավայրի հետ./boot/initrd.img): Զգուշացում! նախքան [update-initramfs -u -k all], համոզվեք, որ ստուգեք, որ cryptsetup-ը բաց է /dev/sda7 sda7_crypt - սա այն անունն է, որը հայտնվում է /etc/crypttab-ում, հակառակ դեպքում վերագործարկումից հետո busybox-ի սխալ կլինի)
Այս քայլում կազմաձևման ֆայլերի կարգավորումն ավարտված է:

[C] GRUB2/Protection-ի տեղադրում և կարգավորում

C1. Անհրաժեշտության դեպքում ձևաչափեք հատուկ բաժանումը bootloader-ի համար (բաժանման համար անհրաժեշտ է առնվազն 20 ՄԲ)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. Տեղադրեք /dev/sda6-ը /mntԱյսպիսով, մենք աշխատում ենք chroot-ում, այնուհետև արմատում /mnt2 գրացուցակը չի լինի, և /mnt թղթապանակը դատարկ կլինի:
տեղադրեք GRUB2 միջնորմը

mount /dev/sda6 /mnt

Եթե ​​ունեք GRUB2-ի ավելի հին տարբերակը տեղադրված, ապա /mnt/boot/grub/i-386-pc գրացուցակում (հնարավոր է այլ հարթակ, օրինակ, ոչ «i386-pc») ոչ կրիպտոմոդուլներ (կարճ ասած՝ թղթապանակը պետք է պարունակի մոդուլներ, այդ թվում՝ .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), այս դեպքում GRUB2-ը պետք է թափահարվի:

apt-get update
apt-get install grub2 

Կարևոր! GRUB2 փաթեթը պահոցից թարմացնելիս, երբ հարցնում են «ընտրելու մասին», որտեղ տեղադրել bootloader, դուք պետք է հրաժարվեք տեղադրումից: (պատճառը՝ փորձել տեղադրել GRUB2-ը «MBR»-ում կամ կենդանի USB-ում). Հակառակ դեպքում դուք կվնասեք VeraCrypt վերնագիրը/բեռնիչը: GRUB2 փաթեթները թարմացնելուց և տեղադրումը չեղարկելուց հետո բեռնիչը պետք է ձեռքով տեղադրվի տրամաբանական սկավառակի վրա, այլ ոչ թե MBR-ում: Եթե ​​ձեր պահոցն ունի GRUB2-ի հնացած տարբերակ, փորձեք թարմացնել դա պաշտոնական կայքից է - չեմ ստուգել այն (աշխատել է վերջին GRUB 2.02 ~BetaX բեռնիչներով):

C3. GRUB2-ի տեղադրում ընդլայնված բաժանման մեջ [sda6]Դուք պետք է ունենաք տեղադրված միջնորմ [կետ C.2]

grub-install --force --root-directory=/mnt /dev/sda6

ընտրանքներ
* — force - բեռնիչի տեղադրում, շրջանցելով գրեթե միշտ գոյություն ունեցող բոլոր նախազգուշացումները և արգելափակում է տեղադրումը (պարտադիր դրոշակ):
* --root-directory - գրացուցակի տեղադրում sda6-ի արմատին։
* /dev/sda6 - ձեր sdaХ միջնորմը (բաց մի թողեք <space>-ը /mnt /dev/sda6-ի միջև):

C4. Կազմաձևման ֆայլի ստեղծում [grub.cfg]Մոռացեք «update-grub2» հրամանի մասին և օգտագործեք ամբողջական կազմաձևման ֆայլերի ստեղծման հրամանը

grub-mkconfig -o /mnt/boot/grub/grub.cfg

grub.cfg ֆայլի ստեղծումը/թարմացումն ավարտելուց հետո ելքային տերմինալը պետք է պարունակի սկավառակի վրա հայտնաբերված ՕՀ-ի տող(ներ) («grub-mkconfig»-ը, հավանաբար, կգտնի և կվերցնի ՕՀ-ն ուղիղ USB-ից, եթե ունեք Windows 10-ով բազմաբնույթ ֆլեշ կրիչ և մի շարք կենդանի բաշխումներ, դա նորմալ է): Եթե ​​տերմինալը «դատարկ» է, և «grub.cfg» ֆայլը չի ​​ստեղծվում, ապա սա նույն դեպքն է, երբ համակարգում կան GRUB սխալներ։ (և, ամենայն հավանականությամբ, բեռնիչը պահեստի փորձնական ճյուղից), վերատեղադրեք GRUB2-ը վստահելի աղբյուրներից:
«Պարզ կոնֆիգուրացիա» տեղադրումը և GRUB2-ի կարգավորումն ավարտված են:

C5. Գաղտնագրված GNU/Linux OS-ի ապացույց-թեստՄենք ճիշտ ենք կատարում ծպտյալ առաքելությունը։ Զգուշորեն հեռանալով գաղտնագրված GNU/Linux-ից (դուրս գալ chroot միջավայրից):

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

Համակարգիչը վերագործարկելուց հետո VeraCrypt բեռնիչը պետք է բեռնվի:


*Ակտիվ բաժանման գաղտնաբառը մուտքագրելով կսկսվի Windows-ի բեռնումը:
*«Esc» ստեղնը սեղմելը կառավարումը կփոխանցի GRUB2-ին, եթե ընտրում եք գաղտնագրված GNU/Linux, ապա գաղտնաբառ (sda7_crypt) կպահանջվի բացելու համար /boot/initrd.img (եթե grub2-ը գրում է uuid «not found» - սա խնդիր է grub2 bootloader-ի հետ, այն պետք է նորից տեղադրվի, օրինակ՝ թեստային մասնաճյուղից/կայունից և այլն):


*Կախված նրանից, թե ինչպես եք կազմաձևել համակարգը (տես պարբերություն B4.4/4.5), /boot/initrd.img պատկերն ապակողպելու համար ճիշտ գաղտնաբառը մուտքագրելուց հետո ձեզ անհրաժեշտ կլինի գաղտնաբառ՝ OS միջուկը/արմատը կամ գաղտնիքը բեռնելու համար: բանալին ավտոմատ կերպով կփոխարինվի « skey»՝ վերացնելով անցաբառը նորից մուտքագրելու անհրաժեշտությունը:

(էկրան «գաղտնի բանալու ավտոմատ փոխարինում»):

*Այնուհետև կհետևի GNU/Linux-ի օգտատիրոջ հաշվի նույնականացմամբ բեռնելու ծանոթ գործընթացը:


*Օգտատիրոջ թույլտվությունից և ՕՀ մուտք գործելուց հետո դուք պետք է նորից թարմացնեք /boot/initrd.img-ը: (տես B4.6):

update-initramfs -u -k all

Իսկ GRUB2 մենյուում ավելորդ տողերի դեպքում (OS-m պիկապից ուղիղ USB-ով) ազատվել դրանցից

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

GNU/Linux համակարգի գաղտնագրման արագ ամփոփում.

• GNU/Linuxinux-ը լիովին կոդավորված է, ներառյալ /boot/kernel և initrd;
• գաղտնի բանալին փաթեթավորված է initrd.img-ում;
• գործող թույլտվության սխեման (մուտքագրեք գաղտնաբառը՝ initrd-ն ապակողպելու համար, գաղտնաբառ/բանալի՝ ՕՀ-ն գործարկելու համար, գաղտնաբառ՝ Linux հաշիվը թույլատրելու համար).

Բլոկային բաժանման «Պարզ GRUB2 կոնֆիգուրացիա» համակարգի գաղտնագրումն ավարտված է:

C6. Ընդլայնված GRUB2 կոնֆիգուրացիա: Bootloader-ի պաշտպանություն թվային ստորագրությամբ + նույնականացման պաշտպանությունGNU/Linux-ը ամբողջությամբ գաղտնագրված է, բայց bootloader-ը չի կարող գաղտնագրվել. այս պայմանը թելադրված է BIOS-ի կողմից: Այս պատճառով, GRUB2-ի շղթայված կոդավորված բեռնախցիկը հնարավոր չէ, բայց պարզ շղթայական բեռնախցիկը հնարավոր է/հասանելի է, բայց անվտանգության տեսանկյունից դա անհրաժեշտ չէ [տես. P. F].
«Խոցելի» GRUB2-ի համար մշակողները ներդրել են «ստորագրություն/վավերականացում» բեռնիչի պաշտպանության ալգորիթմ:

• Երբ bootloader-ը պաշտպանված է «իր սեփական թվային ստորագրությամբ», ֆայլերի արտաքին փոփոխությունը կամ լրացուցիչ մոդուլներ բեռնելու փորձը այս բեռնիչում կհանգեցնի բեռնման գործընթացի արգելափակմանը:
• Bootloader-ը նույնականացումով պաշտպանելիս, բաշխման բեռնումը ընտրելու կամ CLI-ում լրացուցիչ հրամաններ մուտքագրելու համար, ձեզ հարկավոր է մուտքագրել գերօգտագործողի-GRUB2-ի մուտքն ու գաղտնաբառը:

C6.1. Bootloader-ի նույնականացման պաշտպանությունՍտուգեք, որ դուք աշխատում եք տերմինալում գաղտնագրված ՕՀ-ով

ls /<Tab-Tab> #обнаружить файл-маркер

ստեղծել գերօգտագործողի գաղտնաբառ GRUB2-ում թույլտվության համար

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. 

Ստացեք գաղտնաբառի հաշը: Այսպիսի մի բան

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

տեղադրեք GRUB միջնորմը

mount /dev/sda6 /mnt 

խմբագրել կազմաձևը

nano -$ /mnt/boot/grub/grub.cfg 

ստուգեք ֆայլի որոնումը, որ «grub.cfg» («-անսահմանափակ» «-user») որևէ դրոշակ չկա:
ավելացրեք հենց վերջում (մինչև ### END տողը /etc/grub.d/41_custom ###)
"set superusers = "root"
password_pbkdf2 արմատային հեշ»:

Դա պետք է լինի նման բան

# Այս ֆայլը տրամադրում է հարմարեցված ցանկի գրառումներ ավելացնելու հեշտ միջոց: Պարզապես մուտքագրեք
Մենյուի # գրառում, որոնք ցանկանում եք ավելացնել այս մեկնաբանությունից հետո: Զգույշ եղեք, որ չփոխվեք
# վերևում գտնվող «exec tail» տողը:
### ՎԵՐՋ /etc/grub.d/40_custom ###

### ՍԿՍԵԼ /etc/grub.d/41_custom ###
եթե [ -f ${config_directory}/custom.cfg ]; ապա
աղբյուրը՝ ${config_directory}/custom.cfg
elif [ -z «${config_directory}» -a -f $prefix/custom.cfg ]; ապա
աղբյուր $prefix/custom.cfg;
fi
set superusers = "արմատ"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### ՎԵՐՋ /etc/grub.d/41_custom ###
#

Եթե ​​դուք հաճախ օգտագործում եք «grub-mkconfig -o /mnt/boot/grub/grub.cfg» հրամանը և չեք ցանկանում ամեն անգամ փոփոխություններ կատարել grub.cfg-ում, մուտքագրեք վերը նշված տողերը: (Մուտքանուն Գաղտնաբառ) GRUB օգտվողի սկրիպտում հենց ներքևում

nano /etc/grub.d/41_custom 

կատու <<ԷՕՖ
set superusers = "արմատ"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

«grub-mkconfig -o /mnt/boot/grub/grub.cfg» կազմաձևը ստեղծելիս նույնականացման համար պատասխանատու տողերը ավտոմատ կերպով կավելացվեն grub.cfg-ին:
Այս քայլն ավարտում է GRUB2 վավերացման կարգավորումը:

C6.2. Բեռնախցիկի պաշտպանություն թվային ստորագրությամբԵնթադրվում է, որ դուք արդեն ունեք ձեր անձնական pgp կոդավորման բանալին (կամ ստեղծել նման բանալի): Համակարգում պետք է տեղադրված լինի գաղտնագրման ծրագիր՝ gnuPG; kleopatra/GPA; Ծովաձիու. Crypto ծրագրակազմը շատ ավելի հեշտ կդարձնի ձեր կյանքը բոլոր նման հարցերում: Seahorse - 3.14.0 փաթեթի կայուն տարբերակ (ավելի բարձր տարբերակները, օրինակ՝ V3.20-ը, թերի են և ունեն զգալի սխալներ):

PGP բանալին պետք է ստեղծվի/գործարկվի/ավելացվի միայն su միջավայրում:

Ստեղծեք անձնական կոդավորման բանալի

gpg - -gen-key

Արտահանեք ձեր բանալին

gpg --export -o ~/perskey

Տեղադրեք տրամաբանական սկավառակը ՕՀ-ում, եթե այն արդեն տեղադրված չէ

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

մաքրել GRUB2 միջնորմը

rm -rf /mnt/

Տեղադրեք GRUB2-ը sda6-ում՝ տեղադրելով ձեր անձնական բանալին GRUB-ի հիմնական պատկերում՝ «core.img»

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

ընտրանքներ
* --force - տեղադրել bootloader-ը` շրջանցելով միշտ գոյություն ունեցող բոլոր նախազգուշացումները (պարտադիր դրոշակ):
* —modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - հրահանգում է GRUB2-ին նախապես բեռնել անհրաժեշտ մոդուլները, երբ համակարգիչը գործարկվի:
* -k ~/perskey - ուղի դեպի «PGP բանալի» (Բանալին նկարի մեջ փաթեթավորելուց հետո այն կարող է ջնջվել):
* --root-directory - բեռնման գրացուցակը սահմանել sda6-ի արմատին
/ dev/sda6 - ձեր sdaX միջնորմը:

Ստեղծվում/թարմացվում է grub.cfg-ը

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

Ավելացնել «trust /boot/grub/perskey» տողը «grub.cfg» ֆայլի վերջում: (պարտադիր օգտագործել pgp ստեղնը): Քանի որ մենք տեղադրեցինք GRUB2-ը մի շարք մոդուլներով, ներառյալ ստորագրության «signature_test.mod» մոդուլը, սա վերացնում է «set check_signatures=enforce» հրամաններ ավելացնելու անհրաժեշտությունը կազմաձևում:

Այն պետք է նման բան լինի (վերջ տողերը grub.cfg ֆայլում)

### ՍԿՍԵԼ /etc/grub.d/41_custom ###
եթե [ -f ${config_directory}/custom.cfg ]; ապա
աղբյուրը՝ ${config_directory}/custom.cfg
elif [ -z «${config_directory}» -a -f $prefix/custom.cfg ]; ապա
աղբյուր $prefix/custom.cfg;
fi
վստահել /boot/grub/perskey
set superusers = "արմատ"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### ՎԵՐՋ /etc/grub.d/41_custom ###
#

Դեպի «/boot/grub/perskey» ուղին պետք չէ մատնանշել որոշակի սկավառակի բաժանումը, օրինակ՝ hd0,6, իսկ bootloader-ի համար «root»-ը բաժանման լռելյայն ուղին է, որի վրա տեղադրված է GRUB2-ը: (տե՛ս հավաքածու rot=..):

Ստորագրում է GRUB2 (բոլոր ֆայլերը բոլոր /GRUB գրացուցակներում) ձեր բանալին «perskey»-ով:
Պարզ լուծում, թե ինչպես ստորագրել (nautilus/caja explorer-ի համար): տեղադրեք «seahorse» ընդլայնումը Explorer-ի համար պահեստից: Ձեր բանալին պետք է ավելացվի su միջավայրում:
Բացեք Explorer-ը sudo «/mnt/boot» – RMB – նշանով: Էկրանի վրա այն կարծես այսպիսին է

Բանալին ինքնին «/mnt/boot/grub/perskey» է (պատճենել grub գրացուցակում) պետք է ստորագրվի նաև ձեր սեփական ստորագրությամբ։ Ստուգեք, որ [*.sig] ֆայլի ստորագրությունները հայտնվեն գրացուցակում/ենթագրքերում:
Օգտագործելով վերը նկարագրված մեթոդը, ստորագրեք «/boot» (մեր միջուկը, initrd): Եթե ​​ձեր ժամանակը ինչ-որ բան արժե, ապա այս մեթոդը վերացնում է «շատ ֆայլեր» ստորագրելու համար bash սցենար գրելու անհրաժեշտությունը:

Բոլոր bootloader ստորագրությունները հեռացնելու համար (եթե ինչ-որ բան սխալ է տեղի ունեցել)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

Համակարգը թարմացնելուց հետո bootloader-ը չստորագրելու համար մենք սառեցնում ենք GRUB2-ի հետ կապված բոլոր թարմացման փաթեթները:

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

Այս քայլում <պաշտպանել բեռնիչը թվային ստորագրությամբ> GRUB2-ի առաջադեմ կոնֆիգուրացիան ավարտված է:

C6.3. GRUB2 bootloader-ի ապացուցման թեստ՝ պաշտպանված թվային ստորագրությամբ և իսկորոշմամբGRUB2. Ցանկացած GNU/Linux բաշխում ընտրելիս կամ CLI մուտքագրելիս (հրամանի տող) Կպահանջվի գերօգտագործողի թույլտվություն: Ճիշտ օգտանուն/գաղտնաբառ մուտքագրելուց հետո ձեզ անհրաժեշտ կլինի առաջին գաղտնաբառ

GRUB2 գերօգտագործողի հաջող նույնականացման սքրինշոթ:

Եթե ​​դուք կեղծեք GRUB2 ֆայլերից որևէ մեկը/փոփոխություններ կատարեք grub.cfg-ում, կամ ջնջեք ֆայլը/ստորագրությունը կամ բեռնեք վնասակար module.mod, համապատասխան նախազգուշացում կհայտնվի: GRUB2-ը կդադարեցնի բեռնումը:

Սքրինշոթ, GRUB2-ին «դրսից» միջամտելու փորձ:

«Առանց ներխուժման» «սովորական» բեռնման ժամանակ համակարգի ելքի կոդի կարգավիճակը «0» է։ Ուստի անհայտ է՝ պաշտպանությունն աշխատում է, թե ոչ (այսինքն, «բեռնիչի ստորագրության պաշտպանությամբ կամ առանց» նորմալ բեռնման ժամանակ կարգավիճակը նույնն է «0» - սա վատ է):

Ինչպե՞ս ստուգել թվային ստորագրության պաշտպանությունը:

Ստուգելու անհարմար միջոց՝ կեղծել/հեռացնել GRUB2-ի կողմից օգտագործվող մոդուլը, օրինակ՝ հեռացնել luks.mod.sig ստորագրությունը և ստանալ սխալ:

Ճիշտ ճանապարհ՝ անցեք bootloader CLI և մուտքագրեք հրամանը

trust_list

Ի պատասխան՝ դուք պետք է ստանաք «perskey» մատնահետք, եթե կարգավիճակը «0» է, ապա ստորագրության պաշտպանությունը չի աշխատում, կրկնակի ստուգեք C6.2 պարբերությունը:
Այս քայլում ավարտված է «GRUB2-ի պաշտպանություն թվային ստորագրությամբ և իսկորոշմամբ» առաջադեմ կոնֆիգուրացիան:

C7 Հեշինգի միջոցով GRUB2 բեռնիչի պաշտպանության այլընտրանքային մեթոդՎերևում նկարագրված «CPU Boot Loader Protection/Authentication» մեթոդը դասական է: GRUB2-ի անկատարության պատճառով պարանոիդային պայմաններում այն ​​ենթակա է իրական հարձակման, որը ես կտամ ստորև [F] պարբերությունում: Բացի այդ, ՕՀ/միջուկը թարմացնելուց հետո բեռնիչը պետք է նորից ստորագրվի։

GRUB2 bootloader-ի պաշտպանություն հաշինգի միջոցով

Առավելությունները դասականների նկատմամբ.

• Հուսալիության ավելի բարձր մակարդակ (հեշավորումը/ստուգումը տեղի է ունենում միայն գաղտնագրված տեղական ռեսուրսից: GRUB2-ի ներքո հատկացված ամբողջ բաժինը վերահսկվում է ցանկացած փոփոխության համար, իսկ մնացած ամեն ինչ գաղտնագրված է, դասական սխեմայում CPU բեռնիչի պաշտպանությամբ/Վավերացումով վերահսկվում են միայն ֆայլերը, բայց ոչ անվճար: տարածություն, որտեղ կարող է ավելացվել «ինչ-որ բան» ինչ-որ չար բան):
• Կոդավորված անտառահատումներ (սխեմային ավելացվում է մարդու կողմից ընթեռնելի անձնական կոդավորված մատյան):
• Բարեմաղթել (GRUB2-ի համար հատկացված ամբողջ բաժանման պաշտպանությունը/ստուգումը տեղի է ունենում գրեթե ակնթարթորեն):
• Բոլոր գաղտնագրային գործընթացների ավտոմատացում:

Թերությունները դասականների նկատմամբ.

• Ստորագրության կեղծում (տեսականորեն հնարավոր է գտնել տրված հեշ ֆունկցիայի բախում):
• Բարդության մակարդակի բարձրացում (դասականի համեմատ GNU/Linux OS-ի մի քիչ ավելի շատ իմացություն է պահանջվում):

Ինչպես է աշխատում GRUB2/բաժանման հեշավորման գաղափարը

GRUB2 բաժանումը «ստորագրված է», երբ OS-ի բեռնախցիկը բացվում է, boot loader-ի բաժանումը ստուգվում է անփոփոխության համար, որին հաջորդում է մուտք գործել անվտանգ (գաղտնագրված) միջավայր: Եթե ​​bootloader-ը կամ նրա բաժանումը վտանգված է, բացի ներխուժման մատյանից, գործարկվում է հետևյալը.

Բան.

Նմանատիպ ստուգում տեղի է ունենում օրական չորս անգամ, ինչը չի բեռնում համակարգի ռեսուրսները:
Օգտագործելով «-$ check_GRUB» հրամանը, ակնթարթային ստուգումը տեղի է ունենում ցանկացած պահի, առանց գրանցման, բայց CLI-ում ստացված տեղեկատվության միջոցով:
Օգտագործելով «-$ sudo signature_GRUB» հրամանը, GRUB2 boot loader/partition-ը ակնթարթորեն վերստորագրվում է և թարմացվում է դրա գրանցումը: (անհրաժեշտ է OS/boot թարմացումից հետո), և կյանքը շարունակվում է։

Հեշինգի մեթոդի ներդրում bootloader-ի և դրա հատվածի համար

0) Եկեք ստորագրենք GRUB bootloader/partition-ը՝ նախ այն տեղադրելով /media/username-ում

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) Մենք ստեղծում ենք սկրիպտ՝ առանց ընդլայնման գաղտնագրված OS ~/podpis-ի արմատում, կիրառում ենք դրա համար անհրաժեշտ 744 անվտանգության իրավունքները և անխոհեմ պաշտպանությունը:

Լրացնելով դրա բովանդակությունը

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

Գործարկեք սցենարը su, կստուգվի GRUB միջնորմի և դրա բեռնիչի հեշինգը, պահպանեք գրանցամատյանը։

Եկեք ստեղծենք կամ պատճենենք, օրինակ, «վնասակար ֆայլ» [virus.mod] GRUB2 բաժանման մեջ և գործարկենք ժամանակավոր սկան/թեստ.

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

CLI-ն պետք է տեսնի ներխուժում մեր միջնաբերդ.#Կտրված մուտք CLI

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

#Ինչպես տեսնում եք, հայտնվում է «Ֆայլերը տեղափոխվեցին. 1 և աուդիտը ձախողվեց», ինչը նշանակում է, որ ստուգումը ձախողվեց:
Փորձարկվող բաժանման բնույթով պայմանավորված՝ «Գտնվել են նոր ֆայլեր» > «Ֆայլեր տեղափոխված» փոխարեն

2) Տեղադրեք gif-ն այստեղ > ~/warning.gif, թույլտվությունները դրեք 744-ի վրա:

3) Fstab-ի կազմաձևում՝ GRUB միջնորմի ավտոմատ տեղադրման համար բեռնման ժամանակ

-$ sudo nano /etc/fstab

LABEL=GRUB /media/username/GRUB ext4 կանխադրված 0 0

4) Պտտեցնելով գերանը

-$ sudo nano /etc/logrotate.d/podpis 

/var/log/podpis.txt {
օրական
պտտել 50
չափը 5M
ամսաթիվը
սեղմել
ուշացումով
olddir /var/log/old
}

/var/log/vtorjenie.txt {
ամսական
պտտել 5
չափը 5M
ամսաթիվը
olddir /var/log/old
}

5) Ավելացրեք աշխատանք cron-ին

-$ sudo crontab -e

reboot '/բաժանորդագրություն'
0 */6 * * * '/podpis

6) Մշտական ​​կեղծանունների ստեղծում

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

ՕՀ-ի թարմացումից հետո -$ apt-get upgrade վերստորագրեք մեր GRUB բաժանումը
-$ подпись_GRUB
Այս պահին GRUB բաժանման հեշինգային պաշտպանությունն ավարտված է:

[D] Wiping - չգաղտնագրված տվյալների ոչնչացում

Ջնջեք ձեր անձնական ֆայլերը այնքան ամբողջությամբ, որ «նույնիսկ Աստված չկարողանա կարդալ դրանք», ըստ Հարավային Կարոլինայի խոսնակ Թրեյ Գոուդիի:

Ինչպես միշտ, կան տարբեր «առասպելներ և լեգենդներ», կոշտ սկավառակից տվյալների ջնջումից հետո տվյալների վերականգնման մասին: Եթե ​​հավատում եք կիբերկախարդությանը կամ Dr վեբ համայնքի անդամ եք և երբևէ չեք փորձել վերականգնել տվյալների ջնջումից/վերագրանցումից հետո (օրինակ, վերականգնում R-studio-ի միջոցով), ապա առաջարկվող մեթոդը դժվար թե հարմարվի ձեզ, օգտագործեք այն, ինչ ձեզ ամենամոտ է:

GNU/Linux-ը գաղտնագրված բաժանման հաջողությամբ փոխանցելուց հետո հին պատճենը պետք է ջնջվի՝ առանց տվյալների վերականգնման հնարավորության: Մաքրման ունիվերսալ մեթոդ. ծրագրակազմ Windows/Linux անվճար GUI ծրագրաշարի համար BleachBit- ը.
Արագ ձևաչափել բաժինը, որի վերաբերյալ տվյալները պետք է ոչնչացվեն (Gparted-ի միջոցով) գործարկեք BleachBit-ը, ընտրեք «Մաքրել ազատ տարածքը» - ընտրեք բաժանումը (ձեր sdaX-ը GNU/Linux-ի նախորդ պատճենով), կսկսվի մերկացման գործընթացը։ BleachBit - սրբում է սկավառակը մեկ անցումով, սա այն է, ինչ «մեզ պետք է», Բայց! Սա միայն տեսականորեն է աշխատում, եթե դուք ֆորմատավորել եք սկավառակը և մաքրել այն BB v2.0 ծրագրաշարով:

Ուշադրություն! BB-ն մաքրում է սկավառակը՝ թողնելով մետատվյալներ, ֆայլերի անունները պահպանվում են, երբ տվյալները վերացվում են (Ccleaner - չի թողնում մետատվյալներ):

Իսկ տվյալների վերականգնման հնարավորության մասին առասպելը ամբողջությամբ առասպել չէ:Bleachbit V2.0-2 նախկին անկայուն OS Debian փաթեթը (և ցանկացած այլ նմանատիպ ծրագրակազմ. sfill; wipe-Nautilus - նույնպես նկատել են այս կեղտոտ բիզնեսում) իրականում ուներ կրիտիկական սխալ՝ «ազատ տարածքի մաքրման» գործառույթը այն սխալ է աշխատում HDD/Flash կրիչներում (ntfs/ext4). Այս տեսակի ծրագրակազմը, ազատ տարածությունը մաքրելիս, չի վերագրում ամբողջ սկավառակը, ինչպես կարծում են շատ օգտվողներ: Եվ ոմանք (շատ) ջնջված տվյալներ ՕՀ/ծրագրակազմը համարում է այս տվյալները որպես չջնջված/օգտագործողի տվյալներ և «OSP»-ը մաքրելիս բաց է թողնում այդ ֆայլերը: Խնդիրն այն է, որ այդքան երկար ժամանակ անց սկավառակը մաքրելը «Ջնջված ֆայլերը» կարող են վերականգնվել նույնիսկ սկավառակը սրբելուց 3+ անցումից հետո:
GNU/Linux-ում Bleachbit-ում 2.0-2 Ֆայլերը և գրացուցակները ընդմիշտ ջնջելու գործառույթները հուսալիորեն աշխատում են, բայց չեն մաքրում ազատ տարածքը: Համեմատության համար՝ Windows-ում CCleaner-ում «OSP for ntfs» ֆունկցիան ճիշտ է աշխատում, և Աստված իսկապես չի կարողանա կարդալ ջնջված տվյալները:

Եվ այսպես, մանրակրկիտ հեռացնել «փոխզիջումային» հին չգաղտնագրված տվյալներ, Bleachbit-ին անհրաժեշտ է ուղղակի մուտք դեպի այս տվյալները, ապա օգտագործեք «մշտապես ջնջել ֆայլերը/տեղեկատուները» գործառույթը:
Windows-ում «ջնջված ֆայլերը՝ օգտագործելով ստանդարտ OS գործիքներ» հեռացնելու համար, օգտագործեք CCleaner/BB «OSP» գործառույթով: GNU/Linux-ում այս խնդրի շուրջ (ջնջել ջնջված ֆայլերը) դուք պետք է ինքնուրույն պրակտիկա անցնեք (տվյալների ջնջում + դրանք վերականգնելու անկախ փորձ և չպետք է ապավինեք ծրագրաշարի տարբերակին (եթե ոչ էջանիշ, ապա վրիպակ)), միայն այս դեպքում կկարողանաք հասկանալ այս խնդրի մեխանիզմը եւ ամբողջությամբ ազատվել ջնջված տվյալներից։

Ես չեմ փորձարկել Bleachbit v3.0-ը, հնարավոր է, որ խնդիրն արդեն լուծված է:
Bleachbit v2.0-ն աշխատում է ազնիվ:

Այս քայլում սկավառակի մաքրումն ավարտված է:

[E] Կոդավորված ՕՀ-ի ունիվերսալ կրկնօրինակում

Յուրաքանչյուր օգտատեր ունի տվյալների կրկնօրինակման սեփական մեթոդը, սակայն համակարգի OS-ի գաղտնագրված տվյալները պահանջում են մի փոքր այլ մոտեցում առաջադրանքի նկատմամբ: Միասնական ծրագրերը, ինչպիսիք են Clonezilla-ն և նմանատիպ ծրագրերը, չեն կարող ուղղակիորեն աշխատել կոդավորված տվյալների հետ:

Կոդավորված բլոկային սարքերի կրկնօրինակման խնդրի հայտարարություն.

1. ունիվերսալություն - նույն կրկնօրինակման ալգորիթմը/ծրագրակազմը Windows/Linux-ի համար;
2. կոնսոլում աշխատելու ցանկացած կենդանի USB GNU/Linux-ի հետ առանց լրացուցիչ ծրագրերի ներբեռնման անհրաժեշտության (բայց դեռ խորհուրդ եմ տալիս GUI);
3. պահուստային պատճենների անվտանգություն. պահված «պատկերները» պետք է գաղտնագրված/գաղտնաբառով պաշտպանված լինեն.
4. գաղտնագրված տվյալների չափը պետք է համապատասխանի իրական պատճենվող տվյալների չափին.
5. անհրաժեշտ ֆայլերի հարմար արդյունահանում կրկնօրինակից (Ամբողջ բաժինը նախ գաղտնազերծելու պահանջ չկա):

Օրինակ՝ կրկնօրինակում/վերականգնում «dd» կոմունալ ծրագրի միջոցով

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

Այն համապատասխանում է առաջադրանքի գրեթե բոլոր կետերին, բայց 4-րդ կետի համաձայն այն չի դիմանում քննադատությանը, քանի որ այն պատճենում է սկավառակի ամբողջ բաժանումը, ներառյալ ազատ տարածքը, հետաքրքիր չէ:

Օրինակ՝ GNU/Linux-ի կրկնօրինակը արխիվատորի միջոցով [tar» | gpg] հարմար է, բայց Windows-ի կրկնօրինակման համար պետք է այլ լուծում փնտրել՝ դա հետաքրքիր չէ:

E1. Ունիվերսալ Windows/Linux կրկնօրինակում: Հղում rsync (Grsync)+VeraCrypt ծավալըՊահուստային պատճեն ստեղծելու ալգորիթմ.

1. ստեղծելով կոդավորված կոնտեյներ (ծավալ/ֆայլ) VeraCrypt OS-ի համար;
2. փոխանցել/համաժամեցնել ՕՀ-ը՝ օգտագործելով Rsync ծրագրաշարը VeraCrypt կրիպտո կոնտեյների մեջ;
3. անհրաժեշտության դեպքում վերբեռնելով VeraCrypt հատորը www.

Կոդավորված VeraCrypt կոնտեյների ստեղծումն ունի իր առանձնահատկությունները.
ստեղծելով դինամիկ ծավալ (DT-ի ստեղծումը հասանելի է միայն Windows-ում, կարող է օգտագործվել նաև GNU/Linux-ում);
ստեղծելով կանոնավոր ծավալ, բայց կա «պարանոիդ բնույթի» պահանջ. (ըստ մշակողի) - բեռնարկղերի ձևավորում:

Windows-ում դինամիկ ծավալ է ստեղծվում գրեթե ակնթարթորեն, սակայն GNU/Linux > VeraCrypt DT-ից տվյալները պատճենելիս կրկնօրինակման գործողության ընդհանուր կատարումը զգալիորեն նվազում է:

Ստեղծվում է սովորական 70 ԳԲ Twofish ծավալ (ասենք, ԱՀ միջին հզորությամբ) to HDD ~ կես ժամում (նախկին կոնտեյների տվյալները մեկ անցումով վերագրանցելը պայմանավորված է անվտանգության պահանջներով): Հատորը ստեղծելիս արագ ձևաչափելու գործառույթը հեռացվել է VeraCrypt Windows/Linux-ից, ուստի կոնտեյներ ստեղծելը հնարավոր է միայն «մեկ անցումով վերագրման» կամ ցածր կատարողականության դինամիկ ծավալ ստեղծելու միջոցով:

Ստեղծեք սովորական VeraCrypt ծավալ (ոչ դինամիկ/ntfs), խնդիրներ չպետք է լինեն։

Կարգավորել/ստեղծել/բացել կոնտեյներ VeraCrypt GUI> GNU/Linux կենդանի USB-ում (ձայնը ավտոմատ կերպով կտեղադրվի /media/veracrypt2, Windows OS ծավալը կտեղադրվի /media/veracrypt1): Windows OS-ի կոդավորված կրկնօրինակի ստեղծում՝ օգտագործելով GUI rsync (grsync)վանդակները ստուգելով:

Սպասեք գործընթացի ավարտին: Կրկնօրինակումն ավարտվելուց հետո մենք կունենանք մեկ կոդավորված ֆայլ:

Նմանապես, ստեղծեք GNU/Linux OS-ի կրկնօրինակ պատճենը՝ հեռացնելով «Windows-ի համատեղելիություն» վանդակը rsync GUI-ում:

Ուշադրություն! ստեղծեք Veracrypt կոնտեյներ «GNU/Linux կրկնօրինակման» համար ֆայլային համակարգում ext4. Եթե ​​դուք կրկնօրինակում եք ntfs կոնտեյներով, ապա երբ դուք վերականգնում եք նման պատճենը, դուք կկորցնեք բոլոր իրավունքները/խմբերը ձեր բոլոր տվյալների նկատմամբ:

Բոլոր գործողությունները կարող են իրականացվել տերմինալում: Rsync-ի հիմնական տարբերակները.
* -g - պահպանել խմբերը;
* -P — առաջընթաց — ֆայլի վրա աշխատած ժամանակի կարգավիճակ;
* -H - պատճենեք կոշտ հղումները այնպես, ինչպես կա;
* -a -արխիվային ռեժիմ (բազմաթիվ rlptgoD դրոշներ);
* -v - վերբալիզացիա:

Եթե ​​ցանկանում եք տեղադրել «Windows VeraCrypt ծավալը» cryptsetup ծրագրաշարի վահանակի միջոցով, կարող եք ստեղծել անուն (su)

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

Այժմ «veramount pictures» հրամանը կհուշի ձեզ մուտքագրել անցաբառ, և Windows-ի կոդավորված համակարգի ծավալը կտեղադրվի ՕՀ-ում:

Քարտեզ/տեղադրեք VeraCrypt համակարգի ծավալը cryptsetup հրամանով

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

Քարտեզ/տեղադրեք VeraCrypt միջնորմ/կոնտեյներ cryptsetup հրամանում

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

Այլանունի փոխարեն մենք GNU/Linux-ի գործարկմանը կավելացնենք (սկրիպտը գործարկելու համար) Windows OS-ով համակարգային ծավալ և տրամաբանական կոդավորված ntfs սկավառակ:

Ստեղծեք սցենար և պահեք այն ~/VeraOpen.sh-ում

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

Մենք բաշխում ենք «ճիշտ» իրավունքները.

sudo chmod 100 /VeraOpen.sh

Ստեղծեք երկու նույնական ֆայլ (նույն անունով!) /etc/rc.local և ~/etc/init.d/rc.local-ում:
Ֆայլերի լրացում

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

Մենք բաշխում ենք «ճիշտ» իրավունքները.

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local 

Ահա և վերջ, հիմա GNU/Linux-ը բեռնելիս մեզ հարկավոր չէ գաղտնաբառեր մուտքագրել կոդավորված ntfs սկավառակներ տեղադրելու համար, սկավառակները տեղադրվում են ավտոմատ կերպով:

Հակիրճ նշում այն ​​մասին, թե ինչ է նկարագրված վերևում E1 պարբերությունում քայլ առ քայլ (բայց այժմ OS GNU/Linux-ի համար)
1) Ստեղծեք ծավալ fs ext4 > 4gb (ֆայլի համար) Linux-ում Veracrypt [Cryptbox]-ում:
2) Վերագործարկեք կենդանի USB-ի համար:
3) ~$ cryptsetup բաց /dev/sda7 Lunux #mapping կոդավորված միջնորմ:
4) ~$ mount /dev/mapper/Linux /mnt #mount կոդավորված բաժանումը /mnt-ում:
5) ~$ mkdir mnt2 #գրացուցակի ստեղծում ապագա կրկնօրինակի համար:
6) ~$ cryptsetup open —veracrypt — տիպ tcrypt ~/CryptoBox CryptoBox && mount /dev/mapper/CryptoBox /mnt2 #Քարտեզագրեք «CryptoBox» անունով Veracrypt հատորը և տեղադրեք CryptoBox-ը /mnt2:
7) ~$ rsync -avlxhHX — առաջընթաց /mnt /mnt2/ #պահուստային գործողություն գաղտնագրված բաժանման կոդավորված Veracrypt հատորին:

(p/s/ Ուշադրություն! Եթե ​​դուք փոխանցում եք գաղտնագրված GNU/Linux-ը մի ճարտարապետությունից/մեքենայից մյուսը, օրինակ՝ Intel > AMD (այսինքն՝ տեղադրում եք կրկնօրինակում մեկ կոդավորված բաժանմունքից մյուս կոդավորված Intel-ից> AMD միջնորմ), Չմոռանաս Կոդավորված ՕՀ-ն փոխանցելուց հետո գաղտնաբառի փոխարեն խմբագրեք գաղտնի փոխարինող բանալին, գուցե։ նախորդ բանալին ~/etc/skey - այլևս չի տեղավորվի մեկ այլ կոդավորված բաժանման, և խորհուրդ չի տրվում ստեղծել նոր բանալի «cryptsetup luksAddKey» chroot-ի տակից. հնարավոր է անսարքություն, պարզապես ~/etc/crypttab-ում նշեք դրա փոխարեն: «/etc/skey» ժամանակավորապես «ոչ մի» », rebot-ից և OS մուտք գործելուց հետո նորից ստեղծեք ձեր գաղտնի նիշերի բանալին):

Որպես ՏՏ վետերաններ, վստահ եղեք, որ Windows/Linux OS-ի գաղտնագրված միջնորմների վերնագրերի առանձին կրկնօրինակումներ արեք, հակառակ դեպքում գաղտնագրումը կշրջվի ձեր դեմ:
Այս քայլում ավարտվում է գաղտնագրված ՕՀ-ի կրկնօրինակումը:

[F] Հարձակում GRUB2 բեռնիչի վրա

ՄանրամասնԵթե ​​դուք պաշտպանել եք ձեր bootloader-ը թվային ստորագրությամբ և/կամ իսկորոշմամբ (տե՛ս կետ Գ6):, ապա սա չի պաշտպանի ֆիզիկական մուտքից: Գաղտնագրված տվյալները դեռ անհասանելի կլինեն, սակայն պաշտպանությունը կշրջանցվի (վերակայել թվային ստորագրության պաշտպանությունը) GRUB2-ը թույլ է տալիս կիբեր չարագործին ներարկել իր կոդը bootloader-ի մեջ՝ առանց կասկածներ հարուցելու (եթե օգտատերը ձեռքով չի վերահսկում bootloader-ի վիճակը կամ չի ստեղծում grub.cfg-ի սեփական կամայական սկրիպտի սեփական կոդ):

Հարձակման ալգորիթմ. Ներխուժող

* Համակարգչի կոշիկները կենդանի USB-ից: Ցանկացած փոփոխություն (խախտող) ֆայլերը կտեղեկացնեն ԱՀ-ի իրական սեփականատիրոջը bootloader ներխուժման մասին: Բայց GRUB2-ի պարզ վերատեղադրում, որը պահելով grub.cfg-ը (և այն խմբագրելու հետագա հնարավորությունը) թույլ կտա հարձակվողին խմբագրել ցանկացած ֆայլ (Այս իրավիճակում GRUB2-ը բեռնելիս իրական օգտատերը չի ծանուցվի: Կարգավիճակը նույնն է <0>)
* Տեղադրում է չգաղտնագրված միջնորմ, պահում է «/mnt/boot/grub/grub.cfg»:
* Վերատեղադրում է bootloader-ը (հեռացնելով «perskey»-ը core.img պատկերից)

grub-install --force --root-directory=/mnt /dev/sda6

* Վերադարձնում է «grub.cfg» > «/mnt/boot/grub/grub.cfg», անհրաժեշտության դեպքում խմբագրում է այն, օրինակ՝ ավելացնելով ձեր «keylogger.mod» մոդուլը բեռնիչ մոդուլներով թղթապանակում՝ «grub.cfg»-ում: > տող «insmod keylogger»: Կամ, օրինակ, եթե թշնամին խորամանկ է, ապա GRUB2-ը նորից տեղադրելուց հետո (բոլոր ստորագրությունները մնում են տեղում) այն կառուցում է հիմնական GRUB2 պատկերը՝ օգտագործելով «grub-mkimage (-c) տարբերակով»: «-c» տարբերակը թույլ կտա բեռնել ձեր կոնֆիգուրը՝ նախքան հիմնական «grub.cfg»-ը բեռնելը: Կազմաձևը կարող է բաղկացած լինել ընդամենը մեկ տողից՝ վերահղում դեպի ցանկացած «modern.cfg», խառնված, օրինակ, ~400 ֆայլով: (մոդուլներ+ստորագրություններ) «/boot/grub/i386-pc» թղթապանակում։ Այս դեպքում հարձակվողը կարող է տեղադրել կամայական կոդ և բեռնել մոդուլներ՝ չազդելով «/boot/grub/grub.cfg»-ի վրա, նույնիսկ եթե օգտատերը «hashsum» է կիրառել ֆայլի վրա և ժամանակավորապես ցուցադրել այն էկրանին:
Հարձակվողը կարիք չի ունենա կոտրելու GRUB2 գերօգտագործողի մուտքի/գաղտնաբառը, նա պարզապես պետք է պատճենի տողերը: (պատասխանատու է նույնականացման համար) «/boot/grub/grub.cfg» ձեր «modern.cfg»-ին

set superusers = "արմատ"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

Իսկ ԱՀ-ի սեփականատերը դեռ կհաստատվի որպես GRUB2 գերօգտագործող:

Շղթայի բեռնում (bootloader-ը բեռնում է մեկ այլ bootloader), ինչպես վերևում գրեցի, իմաստ չունի (այն նախատեսված է այլ նպատակի համար). Կոդավորված bootloader-ը չի կարող բեռնվել BIOS-ի պատճառով (շղթայական բեռնումը վերագործարկում է GRUB2-ը > գաղտնագրված GRUB2, սխալ!). Այնուամենայնիվ, եթե դուք դեռ օգտագործում եք շղթայի բեռնման գաղափարը, կարող եք վստահ լինել, որ դա գաղտնագրվածն է, որը բեռնվում է: (արդիականացված չէ) «grub.cfg» կոդավորված բաժանումից: Եվ սա նաև անվտանգության կեղծ զգացում է, քանի որ այն ամենը, ինչ նշված է կոդավորված «grub.cfg»-ում։ (մոդուլի բեռնում) ավելանում է մինչև մոդուլներ, որոնք բեռնված են չգաղտնագրված GRUB2-ից:

Եթե ​​ցանկանում եք ստուգել սա, ապա հատկացրեք/գաղտնագրեք մեկ այլ բաժին sdaY, պատճենեք GRUB2-ը դրան: (գաղտնագրված բաժանման վրա grub-install գործողությունը հնարավոր չէ) և «grub.cfg»-ում (չկոդավորված կոնֆիգուրացիա) փոխել նման տողերը

մենյու «GRUBx2» --դաս թութակ --դաս gnu-linux --դաս gnu --դաս os ​​$menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
load_video
insmod gzio
եթե [ x$grub_platform = xxen ]; ապա insmod xzio; insmod lzopio; fi
insmod part_msdos
insmod cryptodisk
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
նորմալ /boot/grub/grub.cfg
}

գծերը
* insmod - կոդավորված սկավառակի հետ աշխատելու համար անհրաժեշտ մոդուլների բեռնում;
* GRUBx2 - GRUB2 boot menu-ում ցուցադրվող գծի անվանումը;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -տես. fdisk -l (sda9);
* set root - արմատը դնելը;
* նորմալ /boot/grub/grub.cfg - գործարկվող կազմաձևման ֆայլ կոդավորված բաժանման վրա:

Վստահությունը, որ բեռնված է գաղտնագրված «grub.cfg»-ը, դրական պատասխան է գաղտնաբառի մուտքագրմանը/«sdaY» բացելուն՝ GRUB մենյուում «GRUBx2» տողը ընտրելիս:

CLI-ում աշխատելիս՝ չշփոթվելու համար (և ստուգեք, թե արդյոք «set root» միջավայրի փոփոխականն աշխատել է), ստեղծել դատարկ նշանային ֆայլեր, օրինակ՝ կոդավորված «/shifr_grub» բաժնում, չգաղտնագրված «/noshifr_grub» բաժնում։ Ստուգում CLI-ում

cat /Tab-Tab

Ինչպես նշվեց վերևում, դա չի օգնի վնասակար մոդուլներ ներբեռնելու դեմ, եթե այդպիսի մոդուլները հայտնվում են ձեր համակարգչի վրա: Օրինակ՝ keylogger, որը կկարողանա պահել ստեղնաշարերը ֆայլի վրա և խառնել այն այլ ֆայլերի հետ «~/i386»-ում, մինչև այն ներբեռնվի գրոհայինի կողմից, ով ֆիզիկական մուտք ունի դեպի ԱՀ:

Թվային ստորագրության պաշտպանության ակտիվությունը ստուգելու ամենահեշտ ձևը (չի վերակայվում), և ոչ ոք չի ներխուժել bootloader, մուտքագրեք հրամանը CLI-ում

list_trusted

Ի պատասխան մենք ստանում ենք մեր «perskey»-ի պատճենը, կամ ոչինչ չենք ստանում, եթե մեզ վրա հարձակվեն (դուք նաև պետք է ստուգեք «set check_signatures=enforce»).
Այս քայլի զգալի թերությունը հրամաններ ձեռքով մուտքագրելն է: Եթե ​​այս հրամանն ավելացնեք «grub.cfg»-ին և պահպանեք կազմաձևը թվային ստորագրությամբ, ապա էկրանի վրա ստեղնաշարի նախնական ելքը չափազանց կարճ է, և դուք կարող եք ժամանակ չունենալ տեսնելու ելքը GRUB2-ը բեռնելուց հետո: .
Հատկապես ոչ ոք չկա, ում նկատմամբ պահանջներ կան փաստաթղթավորում 18.2 կետը պաշտոնապես հայտարարում է

«Նկատի ունեցեք, որ նույնիսկ GRUB-ի գաղտնաբառով պաշտպանվածության դեպքում, GRUB-ն ինքնին չի կարող խանգարել որևէ մեկին, ով ֆիզիկական մուտք ունի մեքենա, փոխել այդ մեքենայի որոնվածը (օրինակ՝ Coreboot կամ BIOS) կոնֆիգուրացիան՝ առաջացնելով մեքենայի բեռնումը այլ (հարձակվողի կողմից վերահսկվող) սարքից: GRUB-ը լավագույն դեպքում միայն մեկ օղակ է ապահով բեռնախցիկի շղթայում»:

GRUB2-ը չափազանց ծանրաբեռնված է գործառույթներով, որոնք կարող են կեղծ անվտանգության զգացում տալ, և դրա զարգացումը ֆունկցիոնալ առումով արդեն գերազանցել է MS-DOS-ին, բայց դա պարզապես բեռնիչ է: Զավեշտալի է, որ GRUB2 - «վաղը» կարող է դառնալ ՕՀ, և դրա համար bootable GNU/Linux վիրտուալ մեքենաներ:

Կարճ տեսանյութ այն մասին, թե ինչպես եմ վերականգնել GRUB2 թվային ստորագրության պաշտպանությունը և հայտարարել իմ ներխուժման մասին իրական օգտատիրոջը (Ես քեզ վախեցրի, բայց տեսանյութում ցուցադրվածի փոխարեն կարող ես գրել ոչ անվնաս կամայական կոդ/.mod).

Եզրակացություններ:

1) Արգելափակման համակարգի գաղտնագրումը Windows-ի համար ավելի հեշտ է իրականացնել, և մեկ գաղտնաբառով պաշտպանությունն ավելի հարմար է, քան GNU/Linux բլոկ համակարգի գաղտնագրմամբ մի քանի գաղտնաբառերով պաշտպանությունը, արդարության համար՝ վերջինս ավտոմատացված է:

2) Ես հոդվածը գրել եմ որպես համապատասխան և մանրամասն պարզ ամբողջական սկավառակի գաղտնագրման ուղեցույց VeraCrypt/LUKS սարքի մեկ տան վրա, որն անհամեմատ լավագույնն է RuNet-ում (IMHO): Ուղեցույցը ավելի քան 50 հազար նիշ է, ուստի այն չի ընդգրկում որոշ հետաքրքիր գլուխներ. այն մասին, որ տարբեր GNU/Linux գրքերում նրանք քիչ են գրում/չեն գրում ծածկագրության մասին. Ռուսաստանի Դաշնության Սահմանադրության 51-րդ հոդվածի մասին. Օ լիցենզավորում/արգել կոդավորումը Ռուսաստանի Դաշնությունում, այն մասին, թե ինչու պետք է գաղտնագրել «root/boot»: Ուղեցույցը բավականին ընդարձակ է, բայց մանրամասն։ (նկարագրելով նույնիսկ պարզ քայլերը), իր հերթին, սա ձեզ շատ ժամանակ կխնայի, երբ հասնեք «իրական գաղտնագրմանը»:

3) Ամբողջական սկավառակի կոդավորումը կատարվել է Windows 7 64-ում; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.

4) Իրականացրել է հաջող հարձակում նրա GRUB2 bootloader.

5) Ձեռնարկը ստեղծվել է ԱՊՀ բոլոր պարանոյիկ մարդկանց օգնելու համար, որտեղ օրենսդրական մակարդակով թույլատրվում է գաղտնագրման հետ աշխատելը: Եվ հիմնականում նրանց համար, ովքեր ցանկանում են ներդնել ամբողջական սկավառակի կոդավորումը՝ առանց իրենց կազմաձևված համակարգերը քանդելու:

6) Վերամշակել և թարմացրել եմ իմ ձեռնարկը, որը տեղին է 2020 թ.

[G] Օգտակար փաստաթղթեր

1. TrueCrypt Օգտագործողի ուղեցույց (Փետրվար 2012 RU)
2. VeraCrypt Փաստաթղթեր
3. /usr/share/doc/cryptsetup(-run) [տեղական ռեսուրս] (Պաշտոնական մանրամասն փաստաթղթեր՝ GNU/Linux կոդավորումը գաղտնագրման տեղադրման միջոցով կարգավորելու վերաբերյալ)
4. Պաշտոնական FAQ cryptsetup (գաղտնագրման տեղադրման միջոցով GNU/Linux կոդավորումը կարգավորելու համառոտ փաստաթղթեր)
5. LUKS սարքի կոդավորումը (archlinux փաստաթղթեր)
6. cryptsetup շարահյուսության մանրամասն նկարագրությունը (arch man էջ)
7. crypttab-ի մանրամասն նկարագրությունը (arch man էջ)
8. Պաշտոնական GRUB2 փաստաթղթեր.

Պիտակներ՝ ամբողջական սկավառակի կոդավորում, բաժանման կոդավորում, Linux-ի ամբողջական սկավառակի կոդավորում, LUKS1 ամբողջական համակարգի կոդավորում:

Հարցմանը կարող են մասնակցել միայն գրանցված օգտվողները։ Մուտք գործել, խնդրում եմ:

Դուք կոդավորում եք:

• 17,1%Ես գաղտնագրում եմ այն ​​ամենը, ինչ կարող եմ: Ես պարանոյիկ եմ.14

• 34,2%Ես միայն գաղտնագրում եմ կարևոր տվյալները.28

• 14,6%Երբեմն գաղտնագրում եմ, երբեմն մոռանում:12

• 34,2%Ոչ, ես չեմ գաղտնագրում, դա անհարմար է և թանկ:28

Քվեարկել է 82 օգտատեր։ 22 օգտատեր ձեռնպահ է մնացել։

Source: www.habr.com