🥇 Full dulkóðun á dulkóðun á Windows Linux uppsettum kerfum. Dulkóðuð Multiboot

Uppfærð eigin leiðbeiningar um dulkóðun á fullum diski í RuNet V0.2.

Cowboy stefna:

[A] Windows 7 kerfisblokkar dulkóðun á uppsettu kerfi;
[B] GNU/Linux kerfisblokkdulkóðun (Debian) uppsett kerfi (þar á meðal /stígvél);
[C] GRUB2 stillingar, ræsihleðsluvörn með stafrænni undirskrift / auðkenningu / hashing;
[D] stripping—eyðing ódulkóðaðra gagna;
[E] alhliða öryggisafrit af dulkóðuðu stýrikerfi;
[F] árás <á hlut [C6]> skotmark - GRUB2 ræsiforrit;
[G]gagnleg skjöl.

╭───Skipulag af #herbergi 40# :
├──╼ Windows 7 uppsett - full dulkóðun kerfisins, ekki falin;
├──╼ GNU/Linux uppsett (Debian og afleidd dreifing) — full dulkóðun kerfisins, ekki falin(/, þar á meðal /boot; skipta);
├──╼ óháðir ræsiforritarar: VeraCrypt ræsiforritið er sett upp í MBR, GRUB2 ræsiforritið er sett upp í útvíkkuðu skiptingunni;
├──╼ engin þörf á uppsetningu/enduruppsetningu stýrikerfis;
└──╼ dulritunarhugbúnaður notaður: VeraCrypt; Cryptsetup; GnuPG; Sjóhestur; Hashdeep; GRUB2 er ókeypis/ókeypis.

Ofangreind kerfi leysir að hluta til vandamálið með „fjarræsingu á glampi drif“, gerir þér kleift að njóta dulkóðaðs stýrikerfis Windows/Linux og skiptast á gögnum um „dulkóðaða rás“ frá einu stýrikerfi til annars.

PC ræsingarröð (einn af valkostunum):

kveikja á vélinni;
hleður VeraCrypt ræsiforritinu (að slá inn rétt lykilorð mun halda áfram að ræsa Windows 7);
með því að ýta á "Esc" takkann hleður GRUB2 ræsiforritinu;
GRUB2 ræsihleðslutæki (velja dreifingu/GNU/Linux/CLI), mun krefjast auðkenningar GRUB2 ofurnotanda <innskráningar/lykilorðs>;
eftir árangursríka auðkenningu og val á dreifingu þarftu að slá inn lykilorð til að opna „/boot/initrd.img“;
eftir að hafa slegið inn villulaus lykilorð mun GRUB2 "krefjast" lykilorðsfærslu (Í þriðja lagi BIOS lykilorð eða GNU/Linux lykilorð notendareiknings – ekki tekið tillit til) til að opna og ræsa GNU/Linux OS, eða sjálfvirka skiptingu á leynilykil (tvö lykilorð + lykill, eða lykilorð + lykilorð);
ytri afskipti af GRUB2 stillingunum mun frysta GNU/Linux ræsingarferlið.

Erfitt? Allt í lagi, við skulum gera sjálfvirkan ferla.

Þegar harður diskur er skipt í skiptingu (MBR tafla) Tölva getur ekki haft fleiri en 4 aðal skipting, eða 3 aðal og eitt útvíkkað, auk óúthlutaðs svæðis. Útbreiddur hluti, ólíkt þeim aðalhluta, getur innihaldið undirkafla (rökrétt drif=útvíkkuð skipting). Með öðrum orðum, „útvíkkað skipting“ á HDD kemur í stað LVM fyrir verkefnið sem er fyrir hendi: full kerfisdulkóðun. Ef disknum þínum er skipt í 4 aðal skipting þarftu að nota lvm, eða transform (með sniði) hluta frá aðal til háþróaðs, eða notaðu skynsamlega alla fjóra hlutana og láttu allt vera eins og það er og fáðu tilætluðu niðurstöðu. Jafnvel ef þú ert með eina skipting á disknum þínum mun Gparted hjálpa þér að skipta harða disknum þínum (fyrir aukahluta) án gagnataps, en samt með smá refsingu fyrir slíkar aðgerðir.

Útlitskerfi harða disksins, í tengslum við það sem öll greinin verður orðuð, er kynnt í töflunni hér að neðan.

Tafla (nr. 1) yfir 1TB skipting.

Þú ættir líka að hafa eitthvað svipað.
sda1 - aðal skipting nr. 1 NTFS (dulkóðuð);
sda2 - útvíkkað hlutamerki;
sda6 - rökréttur diskur (það er með GRUB2 ræsiforritið uppsett);
sda8 - swap (dulkóðuð skiptaskrá/ekki alltaf);
sda9 - prófa rökréttan disk;
sda5 - rökréttur diskur fyrir forvitna;
sda7 - GNU/Linux OS (flytt stýrikerfi yfir á dulkóðaðan rökréttan disk);
sda3 - aðal skipting nr. 2 með Windows 7 OS (dulkóðuð);
sda4 - aðalhluti nr. 3 (það innihélt ódulkóðaða GNU/Linux, notað til öryggisafrits/ekki alltaf).

[A] Dulkóðun Windows 7 Kerfisblokkar

A1. VeraCrypt

Sækja frá opinbera síða, eða úr speglinum sourceforge uppsetningarútgáfu af VeraCrypt dulritunarhugbúnaði (Þegar greinin v1.24-Update3 er birt, hentar færanlega útgáfan af VeraCrypt ekki fyrir dulkóðun kerfisins). Athugaðu eftirlitssummu niðurhalaðs hugbúnaðar

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

og berðu saman niðurstöðuna við CS sem birt er á VeraCrypt þróunarsíðunni.

Ef HashTab hugbúnaður er settur upp er það enn auðveldara: RMB (VeraCrypt uppsetning 1.24.exe)-eiginleikar - kjötkássa summa skráa.

Til að staðfesta undirskrift forritsins verður að setja upp hugbúnaðinn og opinbera pgp lykil þróunaraðila á kerfinu gnuPG; gpg4win.

A2. Að setja upp/keyra VeraCrypt hugbúnað með stjórnandaréttindum

A3. Velja kerfisdulkóðunarfæribreytur fyrir virka skiptingunaVeraCrypt – Kerfi – Dulkóða kerfissneið/diskur – Venjulegt – Dulkóða Windows kerfissneiðing – Multiboot – (viðvörun: „Ekki er mælt með því að óreyndir notendur noti þessa aðferð“ og þetta er satt, við erum sammála „Já“) - Ræsidiskur ("já", jafnvel þó svo sé ekki, samt "já") – Fjöldi kerfisdiska „2 eða fleiri“ – Nokkur kerfi á einum diski „Já“ – ræsiforrit sem er ekki Windows „Nei“ (reyndar „Já,“ en VeraCrypt/GRUB2 ræsihleðslutækin munu ekki deila MBR sín á milli; nánar tiltekið, aðeins minnsti hluti ræsihleðslukóðans er geymdur í MBR/ræsibrautinni, aðalhlutinn er staðsett í skráarkerfinu) – Multiboot – Dulkóðunarstillingar…

Ef þú víkur frá ofangreindum skrefum (loka fyrir dulkóðunarkerfi kerfisins), þá mun VeraCrypt gefa út viðvörun og mun ekki leyfa þér að dulkóða skiptinguna.

Í næsta skrefi í átt að markvissri gagnavernd skaltu framkvæma „próf“ og velja dulkóðunaralgrím. Ef þú ert með gamaldags örgjörva, þá mun líklegast fljótlegasta dulkóðunaralgrímið vera Twofish. Ef örgjörvinn er öflugur muntu taka eftir muninum: AES dulkóðun, samkvæmt niðurstöðum prófanna, verður nokkrum sinnum hraðari en dulritunarkeppinautarnir. AES er vinsælt dulkóðunaralgrím; vélbúnaður nútíma örgjörva er sérstaklega fínstilltur fyrir bæði „leyndarmál“ og „hakk“.

VeraCrypt styður getu til að dulkóða diska í AES fossi(Tveir fiskar)/og aðrar samsetningar. Á gömlum kjarna Intel CPU frá tíu árum síðan (án vélbúnaðarstuðnings fyrir AES, A/T cascade dulkóðun) Lækkun á frammistöðu er í meginatriðum ómerkjanleg. (fyrir AMD örgjörva af sama tímum/~ breytum, er frammistaða örlítið minni). Stýrikerfið virkar kraftmikið og auðlindanotkun fyrir gagnsæja dulkóðun er ósýnileg. Aftur á móti er til dæmis merkjanleg lækkun á afköstum vegna uppsetts óstöðugs prófunarborðsumhverfis Mate v1.20.1 (eða v1.20.2 ég man það ekki nákvæmlega) í GNU/Linux, eða vegna virkni fjarmælingarrútínu í Windows7↑. Venjulega gera reyndir notendur frammistöðuprófanir á vélbúnaði fyrir dulkóðun. Til dæmis, í Aida64/Sysbench/systemd-analyze er sök borin saman við niðurstöður sömu prófana eftir að hafa dulkóðað kerfið, og þar með vísað á bug goðsögninni um að „kerfisdulkóðun sé skaðleg. Hægt er að hægja á vélinni og óþægindin eru áberandi þegar afritað er/endurheimt dulkóðuð gögn, vegna þess að „kerfisgagnaafritið“ sjálft er ekki mæld í ms og sömu <afkóða/dulkóða á flugu> bætast við. Að lokum, hver notandi sem hefur leyfi til að fikta við dulkóðun, jafnar dulkóðunaralgrímið á móti ánægju verkefna sem fyrir hendi eru, ofsóknarstigi þeirra og auðveldi í notkun.

Það er betra að skilja PIM færibreytuna eftir sem sjálfgefna, þannig að þegar þú hleður stýrikerfinu þarftu ekki að slá inn nákvæm endurtekningargildi í hvert skipti. VeraCrypt notar gríðarlegan fjölda endurtekningar til að búa til sannarlega „hægt kjötkássa“. Árás á slíkan „dulmálssnigil“ með því að nota Brute force/regnbogatöfluaðferðina er aðeins skynsamleg með stuttum „einfaldri“ lykilorði og persónulegum stafalista fórnarlambsins. Verðið sem þarf að greiða fyrir styrkleika lykilorðsins er seinkun á að slá inn rétt lykilorð þegar stýrikerfið er hlaðið. (að setja upp VeraCrypt bindi í GNU/Linux er verulega hraðari).
Ókeypis hugbúnaður til að innleiða árásir á grimmur (dragið út lykilorð úr VeraCrypt/LUKS diskhaus) Hashcat. John the Ripper veit ekki hvernig á að „brjóta Veracrypt“ og þegar hann vinnur með LUKS skilur hann ekki Twofish dulmál.

Vegna dulritunarstyrks dulkóðunaralgríma eru óstöðvandi cypherpunks að þróa hugbúnað með öðrum árásarvektor. Til dæmis að draga út lýsigögn/lykla úr vinnsluminni (kaldræsing/beinn aðgangsárás á minni), Það er til sérhæfður ókeypis og ófrjáls hugbúnaður í þessum tilgangi.

Þegar búið er að setja upp / búa til „einstök lýsigögn“ á dulkóðuðu virku skiptingunni mun VeraCrypt bjóða upp á að endurræsa tölvuna og prófa virkni ræsiforritsins. Eftir að Windows hefur verið endurræst/ræst mun VeraCrypt hlaðast í biðham, allt sem er eftir er að staðfesta dulkóðunarferlið - Y.

Í síðasta skrefi kerfisdulkóðunar mun VeraCrypt bjóða upp á að búa til öryggisafrit af haus virku dulkóðuðu skiptingarinnar í formi „veracrypt björgunardiskur.iso“ - þetta verður að gera - í þessum hugbúnaði er slík aðgerð nauðsynleg (í LUKS, sem kröfu - þessu er því miður sleppt, en er áréttað í skjölunum). Björgunardiskur mun koma sér vel fyrir alla og fyrir suma oftar en einu sinni. Tap (haus/MBR endurskrifa) öryggisafrit af hausnum mun varanlega neita aðgangi að afkóðuðu skiptingunni með OS Windows.

A4. Að búa til VeraCrypt björgunar USB/diskSjálfgefið er að VeraCrypt býður upp á að brenna „~2-3MB af lýsigögnum“ á geisladisk, en ekki eru allir með diska eða DWD-ROM drif, og að búa til ræsanlegt glampi drif „VeraCrypt Rescue disk“ mun koma tæknilega á óvart fyrir suma: Rufus /GUIDd-ROSA ImageWriter og annar svipaður hugbúnaður mun ekki geta tekist á við verkefnið, því auk þess að afrita offset lýsigögnin yfir á ræsanlegt glampi drif þarftu að afrita/líma myndina utan skráarkerfis usb drifsins , í stuttu máli, afritaðu MBR/veginn rétt í lyklakippuna. Þú getur búið til ræsanlegt glampi drif frá GNU/Linux OS með því að nota „dd“ tólið og horfa á þetta merki.

Að búa til björgunardisk í Windows umhverfi er öðruvísi. Framkvæmdaraðili VeraCrypt lét ekki lausnina á þessu vandamáli fylgja opinberlega skjöl með „björgunardiski“, en lagði til lausn á annan hátt: hann setti viðbótarhugbúnað til að búa til „usb björgunardisk“ fyrir ókeypis aðgang á VeraCrypt spjallborðinu sínu. Skjalavörður þessa hugbúnaðar fyrir Windows er að „búa til usb veracrypt björgunardisk“. Eftir að bjarga disk.iso hefur verið vistað mun dulkóðunarferlið á virku skiptingunni hefjast. Meðan á dulkóðun stendur stöðvast rekstur stýrikerfisins ekki; ekki er þörf á endurræsingu tölvunnar. Þegar dulkóðunaraðgerðinni er lokið verður virka skiptingin að fullu dulkóðuð og hægt að nota hana. Ef VeraCrypt ræsiforritið birtist ekki þegar þú ræsir tölvuna og endurheimt haussins hjálpar ekki, athugaðu þá „boot“ fánann, hann verður að vera stilltur á skiptinguna þar sem Windows er til staðar (óháð dulkóðun og öðru stýrikerfi, sjá töflu nr. 1).
Þetta lýkur lýsingu á dulkóðun blokkarkerfis með Windows OS.

[B]LUKS. GNU/Linux dulkóðun (~Debian) uppsett stýrikerfi. Reiknirit og skref

Til að dulkóða uppsetta Debian/afleidd dreifingu þarftu að kortleggja tilbúna skiptinguna í sýndarblokkartæki, flytja það á kortlagða GNU/Linux diskinn og setja upp/stilla GRUB2. Ef þú ert ekki með lausan málmþjón og þú metur tíma þinn, þá þarftu að nota GUI, og flestar flugstöðvarskipanirnar sem lýst er hér að neðan eru ætlaðar til að keyra í „Chuck-Norris ham“.

B1. Ræsir tölvu frá lifandi usb GNU/Linux

„Framkvæmdu dulritunarpróf fyrir frammistöðu vélbúnaðar“

lscpu && сryptsetup benchmark

Ef þú ert ánægður eigandi öflugs bíls með AES vélbúnaðarstuðningi, þá munu tölurnar líta út eins og hægri hlið flugstöðvarinnar; ef þú ert ánægður eigandi, en með forn vélbúnað, munu tölurnar líta út eins og vinstri hlið.

B2. Disk skipting. að setja upp / forsníða fs rökrænan disk HDD í Ext4 (Gparted)

B2.1. Að búa til dulkóðaðan sda7 skiptingarhausÉg mun lýsa nöfnum skiptinganna, hér og frekar, í samræmi við skiptingartöfluna mína hér að ofan. Í samræmi við diskskipulagið þitt verður þú að skipta um skiptingarnöfnin þín.

Dulkóðunarkortlagning á rökrænum drifi (/dev/sda7 > /dev/mapper/sda7_crypt).
#Auðvelt að búa til „LUKS-AES-XTS skipting“

cryptsetup -v -y luksFormat /dev/sda7

Valmöguleikar:

* luksFormat - frumstilling á LUKS haus;
* -y -aðgangsorð (ekki lykill/skrá);
* -v -verbalization (birtir upplýsingar í flugstöðinni);
* /dev/sda7 - rökræni diskurinn þinn frá útbreiddu skiptingunni (þar sem fyrirhugað er að flytja/dulkóða GNU/Linux).

Sjálfgefin dulkóðunaralgrím <LUKS1: aes-xts-plain64, Lykill: 256 bitar, LUKS haushashing: sha256, RNG: /dev/urandom> (fer eftir cryptsetup útgáfunni).

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

Ef það er enginn vélbúnaðarstuðningur fyrir AES á örgjörvanum, þá væri besti kosturinn að búa til útbreidda „LUKS-Twofish-XTS-skiptisneið“.

B2.2. Háþróuð sköpun á „LUKS-Twofish-XTS-skiptisneið“

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

Valmöguleikar:
* luksFormat - frumstilling á LUKS haus;
* /dev/sda7 er framtíðar dulkóðaði rökréttur diskur þinn;
* -v orðræða;
* -y lykilorð;
* -c veldu dulkóðunaralgrím;
* -s dulkóðunarlykill stærð;
* -h kjötkássa reiknirit/dulkóðunaraðgerð, RNG notað (--nota-urrandom) að búa til einstakan dulkóðunar-/afkóðunarlykil fyrir rökréttan diskhaus, aukahauslykil (XTS); einstakur aðallykill geymdur í dulkóðuðum diskhausnum, auka XTS lykill, öll þessi lýsigögn og dulkóðunarrútína sem, með því að nota aðallykilinn og auka XTS lykilinn, dulkóðar/afkóðar öll gögn á skiptingunni (nema kaflaheiti) geymt í ~3MB á völdum harða diskshluta.
* -i endurtekningar í millisekúndum, í stað "magn" (töfin við vinnslu lykilorðsins hefur áhrif á hleðslu stýrikerfisins og dulritunarstyrk lyklanna). Til að viðhalda jafnvægi á dulmálsstyrk, með einföldu lykilorði eins og „rússnesku“ þarftu að auka -(i) gildið; með flóknu lykilorði eins og „?8dƱob/øfh“ er hægt að lækka gildið.
* —use-urrandom random number generator, býr til lykla og salt.

Eftir að hafa kortlagt hlutann sda7 > sda7_crypt (aðgerðin er hröð, þar sem dulkóðaður haus er búinn til með ~3 MB af lýsigögnum og það er allt), þú þarft að forsníða og tengja sda7_crypt skráarkerfið.

B2.3. Samanburður

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

valkostir:
* opið - passa við hlutann „með nafni“;
* /dev/sda7 -rökréttur diskur;
* sda7_crypt - nafnakortlagning sem er notuð til að tengja dulkóðuðu skiptinguna eða frumstilla hana þegar stýrikerfið ræsir.

B2.4. Að forsníða sda7_crypt skráarkerfið í ext4. Að setja upp disk í stýrikerfinu(Athugið: þú munt ekki geta unnið með dulkóðaða skipting í Gparted)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt

valkostir:
* -v -orðsetning;
* -L - diskur merki (sem er birt í Explorer meðal annarra diska).

Næst ættirðu að tengja sýndardulkóðaða blokkartækið /dev/sda7_crypt við kerfið

mount /dev/mapper/sda7_crypt /mnt

Vinna með skrár í /mnt möppunni mun sjálfkrafa dulkóða/afkóða gögn í sda7.

Það er þægilegra að kortleggja og tengja skiptinguna í Explorer (nautilus/caja GUI), skiptingin verður nú þegar á diskavalslistanum, það eina sem er eftir er að slá inn lykilorðið til að opna/afkóða diskinn. Nafnið sem samsvarar verður valið sjálfkrafa og ekki „sda7_crypt“, heldur eitthvað eins og /dev/mapper/Luks-xx-xx...

B2.5. Afrit af diskhaus (~3MB lýsigögn)Einn af mest mikilvægt aðgerðir sem þarf að gera án tafar - öryggisafrit af „sda7_crypt“ hausnum. Ef þú skrifar yfir/skemmir hausinn (til dæmis að setja upp GRUB2 á sda7 skiptinguna osfrv.), dulkóðuðu gögnin glatast algjörlega án þess að nokkur möguleiki sé á að endurheimta þau, vegna þess að það verður ómögulegt að endurskapa sömu lyklana; lyklarnir eru búnir til einstaklega.

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

valkostir:
* luksHeaderBackup —header-backup-file -backup skipun;
* luksHeaderRestore —header-backup-file -restore skipun;
* ~/Backup_DebSHIFR - varaskrá;
* /dev/sda7 - skipting þar sem á að vista dulkóðaðan diskhausafrit.
Í þessu skrefi er <að búa til og breyta dulkóðuðu skiptingunni> lokið.

B3. Flytja GNU/Linux OS (sda4) yfir á dulkóðaða skiptinguna (sda7)

Búðu til möppu /mnt2 (Athugið - við erum enn að vinna með lifandi USB, sda7_crypt er fest á /mnt), og festu GNU/Linux okkar í /mnt2, sem þarf að dulkóða.

mkdir /mnt2
mount /dev/sda4 /mnt2

Við framkvæmum réttan stýrikerfisflutning með Rsync hugbúnaði

rsync -avlxhHX --progress /mnt2/ /mnt

Rsync valkostum er lýst í lið E1.

Næst nauðsynlegt afbrota rökrétta disksneiðingu

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

Gerðu það að reglu: gerðu e4defrag á dulkóðaða GNU/LInux af og til ef þú ert með HDD.
Flutningi og samstillingu [GNU/Linux > GNU/Linux-dulkóðuð] er lokið í þessu skrefi.

Á 4. Að setja upp GNU/Linux á dulkóðuðu sda7 skiptingunni

Eftir að hafa flutt stýrikerfið /dev/sda4 > /dev/sda7, þarftu að skrá þig inn á GNU/Linux á dulkóðuðu skiptingunni og framkvæma frekari stillingar (án þess að endurræsa tölvuna) miðað við dulkóðað kerfi. Það er að segja, vera í lifandi USB, en framkvæma skipanir "miðað við rót dulkóðaða stýrikerfisins." „chroot“ mun líkja eftir svipuðum aðstæðum. Til að fá fljótt upplýsingar um hvaða stýrikerfi þú ert að vinna með (dulkóðuð eða ekki, þar sem gögnin í sda4 og sda7 eru samstillt), afsamstilltu stýrikerfið. Búðu til í rótarmöppum (sda4/sda7_crypt) tómar merkjaskrár, til dæmis /mnt/encryptedOS og /mnt2/decryptedOS. Athugaðu fljótt hvaða stýrikerfi þú ert á (þar á meðal til framtíðar):

ls /<Tab-Tab>

B4.1. „Hermi innskráningar á dulkóðað stýrikerfi“

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. Staðfesta að unnið sé gegn dulkóðuðu kerfi

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. Búa til/stilla dulkóðuð skipti, breyta crypttab/fstabÞar sem skiptiskráin er sniðin í hvert skipti sem stýrikerfið byrjar, þá þýðir ekkert að búa til og kortleggja skipti á rökréttan disk núna og slá inn skipanir eins og í málsgrein B2.2. Fyrir Swap verða eigin tímabundnir dulkóðunarlyklar sjálfkrafa búnir til við hverja byrjun. Lífsferill skiptalykla: taka af/aftengja skiptaskiptingu (+hreinsun vinnsluminni); eða endurræstu stýrikerfið. Setja upp skipti, opna skrána sem ber ábyrgð á stillingum á dulkóðuðum tækjum (líkt fstab skrá, en ber ábyrgð á dulmáli).

nano /etc/crypttab

við breytum

#"markheiti" "uppspretta tæki" "lyklaskrá" "valkostir"
skipta /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,stærð=512,hash=sha512

Valkostir
* swap - kortlagt nafn við dulkóðun /dev/mapper/swap.
* /dev/sda8 - notaðu rökrétta skiptinguna þína til að skipta.
* /dev/urandom - rafall af handahófi dulkóðunarlykla fyrir skipti (með hverri nýrri ræsingu stýrikerfisins verða nýir lyklar búnir til). /dev/urandom rafallinn er minna tilviljunarkenndur en /dev/random, enda er /dev/random notað þegar unnið er við hættulegar ofsóknaraðstæður. Þegar stýrikerfið er hlaðið hægir /dev/random á hleðslunni í nokkrar ± mínútur (sjá systemd-analyze).
* swap, cipher=twofish-xts-plain64, size=512, hash=sha512: - skiptingin veit að hún er swap og er sniðin „í samræmi við það“; dulkóðunaralgrím.

#Открываем и правим fstab
nano /etc/fstab

við breytum

# skipti var á / dev / sda8 meðan á uppsetningu stóð
/dev/mapper/swap ekkert skipta sw 0 0

/dev/mapper/swap er nafnið sem var stillt í crypttab.

Önnur dulkóðuð skipti
Ef þú af einhverjum ástæðum vilt ekki gefa upp heila skiptinguna fyrir skiptiskrá, þá geturðu farið aðra og betri leið: búa til skiptiskrá í skrá á dulkóðuðu skiptingunni með stýrikerfinu.

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

Skipti skiptingunni er lokið.

B4.4. Uppsetning dulkóðaðs GNU/Linux (breytir crypttab/fstab skrám)/etc/crypttab skráin, eins og skrifað er hér að ofan, lýsir dulkóðuðum blokkartækjum sem eru stillt við ræsingu kerfisins.

#правим /etc/crypttab 
nano /etc/crypttab

ef þú passaðir við sda7>sda7_crypt hlutann eins og í lið B2.1

# "markheiti" "uppspretta tæki" "lyklaskrá" "valkostir"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

ef þú passaðir við sda7>sda7_crypt hlutann eins og í lið B2.2

# "markheiti" "uppspretta tæki" "lyklaskrá" "valkostir"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

ef þú passaðir við sda7>sda7_crypt hlutann eins og í málsgrein B2.1 eða B2.2, en vilt ekki slá inn lykilorðið aftur til að opna og ræsa stýrikerfið, þá geturðu skipt út fyrir leynilykil/handahófskennda skrá í stað lykilorðsins

# "markheiti" "uppspretta tæki" "lyklaskrá" "valkostir"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

Lýsing
* enginn - segir að þegar stýrikerfið er hlaðið inn þurfi að slá inn leyndarmál lykilorð til að opna rótina.
* UUID - skiptingarauðkenni. Til að komast að auðkenni þínu skaltu slá inn flugstöðina (minni á að héðan í frá ertu að vinna í útstöð í chroot umhverfi, en ekki í annarri lifandi usb útstöð).

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

þessi lína er sýnileg þegar beðið er um blkid frá lifandi usb útstöðinni með sda7_crypt tengt).
Þú tekur UUID frá sdaX þínum (ekki sdaX_crypt!, UUID sdaX_crypt - verður sjálfkrafa skilið eftir þegar grub.cfg stillingarnar eru búnar til).
* cipher=twoofish-xts-plain64,size=512,hash=sha512 -luks dulkóðun í háþróaðri stillingu.
* /etc/skey - leynilyklaskrá, sem er sett inn sjálfkrafa til að opna ræsingu stýrikerfisins (í stað þess að slá inn 3. lykilorðið). Þú getur tilgreint hvaða skrá sem er allt að 8MB, en gögnin verða lesin <1MB.

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7

Það mun líta eitthvað á þessa leið:

(gerðu það sjálfur og sjáðu sjálfur).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab inniheldur lýsandi upplýsingar um ýmis skráarkerfi.

#Правим /etc/fstab
nano /etc/fstab

# "skráarkerfi" "festingarpunktur" "tegund" "valkostir" "dump" "pass"
# / var á / dev / sda7 meðan á uppsetningu stóð
/dev/mapper/sda7_crypt / ext4 errors=remount-ro 0 1

kostur
* /dev/mapper/sda7_crypt - heiti sda7>sda7_crypt kortlagningarinnar, sem er tilgreint í /etc/crypttab skránni.
Uppsetningu crypttab/fstab er lokið.

B4.5. Að breyta stillingarskrám. Lykil augnablikB4.5.1. Að breyta stillingum /etc/initramfs-tools/conf.d/resume

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

og kommenta út (ef það er til) "#" lína "ferilskrá". Skráin verður að vera alveg tóm.

B4.5.2. Að breyta stillingum /etc/initramfs-tools/conf.d/cryptsetup

nano /etc/initramfs-tools/conf.d/cryptsetup

ætti að passa

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=já
flytja út CRYPTSETUP

B4.5.3. Að breyta /etc/default/grub stillingum (þessi stilling er ábyrg fyrir getu til að búa til grub.cfg þegar unnið er með dulkóðaða /boot)

nano /etc/default/grub

bættu við línunni „GRUB_ENABLE_CRYPTODISK=y“
gildið 'y', grub-mkconfig og grub-install munu leita að dulkóðuðum drifum og búa til viðbótarskipanir sem þarf til að fá aðgang að þeim við ræsingu (insmods ).
það hlýtur að vera líkt

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=seljandi"
GRUB_CMDLINE_LINUX="rólegur skvetta án sjálfvirkrar festingar"
GRUB_ENABLE_CRYPTODISK=y

B4.5.4. Að breyta stillingunni /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

athugaðu að línan skrifaði ummæli út <#>.
Í framtíðinni (og jafnvel núna mun þessi færibreyta ekki hafa neina merkingu, en stundum truflar hún uppfærslu á initrd.img myndinni).

B4.5.5. Að breyta stillingunni /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

bæta við

KEYFILE_PATTERN="/etc/skey"
UMASK=0077

Þetta mun pakka leynilyklinum "skey" inn í initrd.img, lykilinn er nauðsynlegur til að opna rótina þegar stýrikerfið ræsir (ef þú vilt ekki slá inn lykilorðið aftur, kemur „lykill“ lykillinn í staðinn fyrir bílinn).

B4.6. Uppfærðu /boot/initrd.img [útgáfa]Til að pakka leynilyklinum inn í initrd.img og beita cryptsetup lagfæringum, uppfærðu myndina

update-initramfs -u -k all

við uppfærslu initrd.img (eins og þeir segja „Það er mögulegt, en það er ekki víst“) viðvaranir sem tengjast cryptsetup munu birtast, eða, til dæmis, tilkynning um tap á Nvidia einingum - þetta er eðlilegt. Eftir að skráin hefur verið uppfærð skaltu athuga hvort hún hafi í raun verið uppfærð, sjáðu tímann (miðað við chroot umhverfi./boot/initrd.img). Attention! áður en [update-initramfs -u -k allt] vertu viss um að athuga hvort cryptsetup sé opið /dev/sda7 sda7_crypt - þetta er nafnið sem birtist í /etc/crypttab, annars eftir endurræsingu verður busybox villa)
Í þessu skrefi er uppsetningu á stillingarskránum lokið.

[C] Uppsetning og stilling GRUB2/Protection

C1. Ef nauðsyn krefur, forsníða sérstaka skiptinguna fyrir ræsiforritið (sneið þarf að minnsta kosti 20MB)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. Settu /dev/sda6 í /mntSvo við vinnum í chroot, þá verður engin /mnt2 mappa í rótinni og /mnt mappan verður tóm.
festu GRUB2 skiptinguna

mount /dev/sda6 /mnt

Ef þú ert með eldri útgáfu af GRUB2 uppsettu, í /mnt/boot/grub/i-386-pc möppunni (annar vettvangur er mögulegur, til dæmis ekki „i386-pc“) engar dulritunareiningar (í stuttu máli ætti mappan að innihalda einingar, þar á meðal þessar .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), í þessu tilviki þarf að hrista GRUB2.

apt-get update
apt-get install grub2

Mikilvægt! Þegar þú uppfærir GRUB2 pakkann úr geymslunni, þegar þú ert spurður „um að velja“ hvar á að setja upp ræsiforritið, verður þú að neita uppsetningunni (ástæða - reyndu að setja upp GRUB2 - í "MBR" eða á lifandi usb). Annars muntu skemma VeraCrypt hausinn/hleðsluforritið. Eftir að hafa uppfært GRUB2 pakkana og hætt við uppsetninguna, verður að setja ræsiforritið upp handvirkt á rökræna disknum, en ekki í MBR. Ef geymslan þín er með úrelta útgáfu af GRUB2, reyndu uppfærsla það er af opinberu vefsíðunni - hef ekki athugað það (virkaði með nýjustu GRUB 2.02 ~BetaX ræsihleðsluvélunum).

C3. Uppsetning GRUB2 í útvíkkað skipting [sda6]Þú verður að hafa uppsett skipting [liður C.2]

grub-install --force --root-directory=/mnt /dev/sda6

valkosti
* —force - uppsetning ræsiforritsins, framhjá öllum viðvörunum sem eru næstum alltaf til og hindra uppsetningu (áskilið fána).
* --rótarskrá - uppsetning möppu að rót sda6.
* /dev/sda6 - sdaХ skiptingin þín (ekki missa af <bilinu> á milli /mnt /dev/sda6).

C4. Að búa til stillingarskrá [grub.cfg]Gleymdu "update-grub2" skipuninni og notaðu skipunina til að búa til fulla stillingarskrá

grub-mkconfig -o /mnt/boot/grub/grub.cfg

eftir að búið er að búa til/uppfæra grub.cfg skrána ætti úttaksstöðin að innihalda línu(r) með stýrikerfinu sem er að finna á disknum ("grub-mkconfig" mun líklega finna og taka upp stýrikerfið frá lifandi USB, ef þú ert með multiboot glampi drif með Windows 10 og fullt af lifandi dreifingum - þetta er eðlilegt). Ef flugstöðin er „tóm“ og „grub.cfg“ skráin er ekki búin til, þá er þetta sama tilvikið þegar það eru GRUB villur í kerfinu (og líklegast hleðslutækið frá prófunargrein geymslunnar), settu GRUB2 aftur upp frá traustum aðilum.
„Einföld stilling“ uppsetningu og GRUB2 uppsetningu er lokið.

C5. Sönnunarpróf á dulkóðuðu GNU/Linux OSVið ljúkum dulritunarverkefninu rétt. Farðu varlega eftir dulkóðaða GNU/Linux (hættu chroot umhverfi).

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

Eftir endurræsingu á tölvunni ætti VeraCrypt ræsiforritið að hlaðast.

*Að slá inn lykilorðið fyrir virku skiptinguna byrjar að hlaða Windows.
* Með því að ýta á "Esc" takkann mun stjórnin flytjast yfir í GRUB2, ef þú velur dulkóðað GNU/Linux - lykilorð (sda7_crypt) þarf til að opna /boot/initrd.img (ef grub2 skrifar uuid "finnist ekki" - þetta er a vandamál með grub2 ræsiforritið, ætti að setja það upp aftur, t.d. frá prófunargrein/stöpli osfrv.).

*Það fer eftir því hvernig þú stilltir kerfið (sjá málsgrein B4.4/4.5), eftir að þú hefur slegið inn rétt lykilorð til að opna /boot/initrd.img myndina þarftu lykilorð til að hlaða stýrikerfiskjarna/rót, eða leyndarmálið lykill verður sjálfkrafa skipt út fyrir " skey ", sem útilokar þörfina á að slá inn lykilorðið aftur.

(skjárinn „sjálfvirk skipting leynilykils“).

*Þá mun kunnuglega ferlið við að hlaða GNU/Linux með auðkenningu notendareiknings fylgja.

*Eftir notandaheimild og innskráningu á stýrikerfið þarftu að uppfæra /boot/initrd.img aftur (sjá B4.6).

update-initramfs -u -k all

Og ef um aukalínur er að ræða í GRUB2 valmyndinni (frá OS-m pallbíl með lifandi usb) losaðu þig við þá

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

Fljótleg samantekt á dulkóðun GNU/Linux kerfisins:

GNU/Linuxinux er fullkomlega dulkóðuð, þar á meðal /boot/kernel og initrd;
leynilykillinn er pakkaður í initrd.img;
gildandi heimildakerfi (sláðu inn lykilorðið til að opna initrd; lykilorð/lykill til að ræsa stýrikerfið; lykilorð til að heimila Linux reikninginn).

"Simple GRUB2 Configuration" kerfisdulkóðun á blokkaskiptingu er lokið.

C6. Ítarleg GRUB2 stillingar. Bootloader vörn með stafrænni undirskrift + auðkenningarvörnGNU/Linux er algjörlega dulkóðuð, en ekki er hægt að dulkóða ræsiforritið - þetta ástand ræðst af BIOS. Af þessum sökum er hlekkjað dulkóðuð ræsing af GRUB2 ekki möguleg, en einföld hlekkjað ræsing er möguleg/fáanleg, en frá öryggissjónarmiði er það ekki nauðsynlegt [sjá P. F].
Fyrir „viðkvæman“ GRUB2, innleiddu verktaki „undirskrift/auðkenning“ ræsiforritaverndaralgrím.

Þegar ræsiforritið er varið með „eigin stafrænni undirskrift“, mun ytri breyting á skrám, eða tilraun til að hlaða viðbótareiningum í þessum ræsiforriti, leiða til þess að ræsingarferlið verður lokað.
Þegar þú verndar ræsiforritann með auðkenningu, til að velja að hlaða dreifingu, eða slá inn viðbótarskipanir í CLI, þarftu að slá inn notandanafn og lykilorð ofurnotanda-GRUB2.

C6.1. Staðfestingarvörn ræsiforritaraAthugaðu hvort þú sért að vinna í flugstöð á dulkóðuðu stýrikerfi

ls /<Tab-Tab> #обнаружить файл-маркер

búa til ofurnotanda lykilorð fyrir heimild í GRUB2

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя.

Sæktu hash lykilorðsins. Eitthvað eins og þetta

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

festu GRUB skiptinguna

mount /dev/sda6 /mnt

breyta stillingum

nano -$ /mnt/boot/grub/grub.cfg

athugaðu skráaleitina að það eru engir fánar neins staðar í "grub.cfg" ("-ótakmarkaður" "-notandi",
bæta við alveg í lokin (á undan línunni ### END /etc/grub.d/41_custom ###)
"setja ofurnotendur = "rót"
password_pbkdf2 rót kjötkássa."

Það ætti að vera eitthvað svona

# Þessi skrá veitir auðveld leið til að bæta við sérsniðnum valmyndarfærslum. Sláðu einfaldlega inn
# valmyndarfærslur sem þú vilt bæta við eftir þessa athugasemd. Gættu þess að breyta ekki
# „exec tail“ línan fyrir ofan.
### END /etc/grub.d/40_custom ###

### BYRJA /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; Þá
uppspretta ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; Þá
uppspretta $prefix/custom.cfg;
fi
setja ofurnotendur = "rót"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

Ef þú notar oft skipunina „grub-mkconfig -o /mnt/boot/grub/grub.cfg“ og vilt ekki gera breytingar á grub.cfg í hvert skipti, sláðu inn línurnar hér að ofan (Innskráning: Lykilorð) í GRUB notendahandritinu alveg neðst

nano /etc/grub.d/41_custom

köttur <<EOF
setja ofurnotendur = "rót"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

Þegar þú býrð til stillinguna "grub-mkconfig -o /mnt/boot/grub/grub.cfg", verða línurnar sem bera ábyrgð á auðkenningu bætt sjálfkrafa við grub.cfg.
Þetta skref lýkur GRUB2 auðkenningaruppsetningu.

C6.2. Bootloader vörn með stafrænni undirskriftGert er ráð fyrir að þú sért nú þegar með persónulega pgp dulkóðunarlykilinn þinn (eða búa til slíkan lykil). Kerfið verður að hafa dulritunarhugbúnað uppsettan: gnuPG; kleopatra/GPA; Sjóhestur. Dulritunarhugbúnaður mun gera líf þitt miklu auðveldara í öllum slíkum málum. Seahorse - stöðug útgáfa af pakkanum 3.14.0 (hærri útgáfur, til dæmis V3.20, eru gölluð og hafa verulegar villur).

PGP lykilinn þarf aðeins að búa til/ræsa/bæta við í su umhverfinu!

Búðu til persónulegan dulkóðunarlykil

gpg - -gen-key

Flyttu út lykilinn þinn

gpg --export -o ~/perskey

Settu rökrétta diskinn í stýrikerfið ef hann er ekki þegar festur

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

hreinsaðu GRUB2 skiptinguna

rm -rf /mnt/

Settu upp GRUB2 í sda6, settu einkalykilinn þinn í aðal GRUB myndina "core.img"

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

valkosti
* --force - settu upp ræsiforritið, framhjá öllum viðvörunum sem alltaf eru til (áskilið fána).
* —modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - skipar GRUB2 að forhlaða nauðsynlegum einingum þegar tölvan fer í gang.
* -k ~/perskey -slóð að „PGP lyklinum“ (eftir að hafa pakkað lyklinum inn í myndina er hægt að eyða honum).
* --root-directory - stilltu ræsiskrána á rót sda6
/dev/sda6 - sdaX skiptingin þín.

Búa til/uppfæra grub.cfg

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

Bættu línunni „trust /boot/grub/perskey“ við lok „grub.cfg“ skrárinnar (þvinga notkun pgp lykla.) Þar sem við settum upp GRUB2 með setti af einingum, þar á meðal undirskriftareiningunni „signature_test.mod“, útilokar þetta þörfina á að bæta skipunum eins og „set check_signatures=enforce“ við stillinguna.

Það ætti að líta einhvern veginn svona út (endalínur í grub.cfg skrá)

### BYRJA /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; Þá
uppspretta ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; Þá
uppspretta $prefix/custom.cfg;
fi
treysta /boot/grub/perskey
setja ofurnotendur = "rót"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

Slóðina að „/boot/grub/perskey“ þarf ekki að benda á tiltekna disksneið, til dæmis hd0,6; fyrir ræsiforritann sjálft er „root“ sjálfgefin slóð skiptingarinnar sem GRUB2 er sett upp á (sjá sett rot=..).

Undirritun GRUB2 (allar skrár í öllum /GRUB möppum) með lyklinum þínum „perskey“.
Einföld lausn á hvernig á að skrifa undir (fyrir nautilus/caja explorer): settu upp „seahorse“ viðbótina fyrir Explorer úr geymslunni. Lykillinn þinn verður að vera bætt við su umhverfið.
Opnaðu Explorer með sudo "/mnt/boot" - RMB - merki. Á skjánum lítur þetta svona út

Lykillinn sjálfur er "/mnt/boot/grub/perskey" (afritaðu í grub möppu) verður einnig að vera undirritaður með eigin undirskrift. Athugaðu að [*.sig] skráarundirskriftirnar birtast í möppunni/undirmöppunum.
Notaðu aðferðina sem lýst er hér að ofan, skráðu "/boot" (kjarna okkar, initrd). Ef tíminn þinn er einhvers virði, þá útilokar þessi aðferð þörfina á að skrifa bash forskrift til að skrifa undir „mikið af skrám“.

Til að fjarlægja allar undirskriftir ræsiforritara (ef eitthvað fór úrskeiðis)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

Til þess að skrifa ekki undir ræsiforritið eftir að hafa uppfært kerfið, frystum við alla uppfærslupakka sem tengjast GRUB2.

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

Þessu skrefi <vernd ræsiforritara með stafrænni undirskrift> háþróaða stillingu GRUB2 er lokið.

C6.3. Sönnunarpróf á GRUB2 ræsiforritinu, varið með stafrænni undirskrift og auðkenninguGRUB2. Þegar þú velur hvaða GNU/Linux dreifingu sem er eða fer inn í CLI (skipanalína) Ofurnotendaheimild verður krafist. Eftir að þú hefur slegið inn rétt notandanafn/lykilorð þarftu initrd lykilorðið

Skjáskot af auðkenningu GRUB2 ofurnotanda sem heppnaðist.

Ef þú átt við einhverja af GRUB2 skránum/breytir grub.cfg, eða eyðir skránni/undirskriftinni eða hleður illgjarnri module.mod, mun samsvarandi viðvörun birtast. GRUB2 mun gera hlé á hleðslu.

Skjáskot, tilraun til að trufla GRUB2 „að utan“.

Við „venjulega“ ræsingu „án afskipta“ er staða lokakóða kerfisins „0“. Því er ekki vitað hvort vörnin virkar eða ekki (þ.e. „með eða án undirskriftarverndar ræsiforritara“ við venjulega hleðslu er staðan sú sama „0“ - þetta er slæmt).

Hvernig á að athuga verndun stafrænna undirskrifta?

Óþægileg leið til að athuga: falsa/fjarlægja einingu sem GRUB2 notar, til dæmis, fjarlægðu undirskriftina luks.mod.sig og færð villu.

Rétt leið: farðu í ræsiforritið CLI og sláðu inn skipunina

trust_list

Til að bregðast við, ættir þú að fá „perskey“ fingrafar; ef staðan er „0,“ þá virkar undirskriftavörn ekki, athugaðu málsgrein C6.2.
Í þessu skrefi er háþróaðri stillingunni „Vernd GRUB2 með stafrænni undirskrift og auðkenningu“ lokið.

C7 Önnur aðferð til að vernda GRUB2 ræsiforritið með því að nota hashing„CPU Boot Loader Protection/Authentication“ aðferðin sem lýst er hér að ofan er klassísk. Vegna ófullkomleika GRUB2 er það við ofsóknaræði viðkvæmt fyrir alvöru árás, sem ég mun gefa hér að neðan í málsgrein [F]. Að auki, eftir að hafa uppfært stýrikerfið/kjarnann, verður að undirrita ræsiforritið aftur.

Að vernda GRUB2 ræsiforritið með því að nota hashing

Kostir yfir klassík:

Hærra áreiðanleikastig (hashing/staðfesting fer aðeins fram frá dulkóðuðu staðbundnu auðlindinni. Öllu úthlutaða skiptingunni undir GRUB2 er stjórnað fyrir allar breytingar og allt annað er dulkóðað; í klassíska kerfinu með CPU loader vernd/Authentication er aðeins skrám stjórnað, en ekki ókeypis pláss, þar sem hægt er að bæta við „eitthvað“ eitthvað óheiðarlegt“).
Dulkóðuð skráning (mennskulæsilegur persónulegur dulkóðaður annál er bætt við kerfið).
Speed (vernd/staðfesting á heilu skiptingunni sem úthlutað er fyrir GRUB2 á sér stað nánast samstundis).
Sjálfvirkni allra dulritunarferla.

Ókostir yfir klassíkinni.

Fölsun á undirskrift (fræðilega séð er hægt að finna tiltekinn kjötkássafallsárekstur).
Hækkað erfiðleikastig (miðað við klassískt, aðeins meiri þekkingu á GNU/Linux OS er krafist).

Hvernig GRUB2/partition hashing hugmyndin virkar

GRUB2 skiptingin er „undirrituð“; þegar stýrikerfið ræsir er ræsihleðsluskiptingin athugað með tilliti til óbreytanleika, fylgt eftir með því að skrá þig inn í öruggt (dulkóðað) umhverfi. Ef ræsiforritið eða skipting hans er í hættu, auk innbrotsskrárinnar, er eftirfarandi ræst:

Hlutur.

Svipuð athugun á sér stað fjórum sinnum á dag, sem hleður ekki kerfisauðlindum.
Með því að nota „-$ check_GRUB“ skipunina á sér stað tafarlaus athugun hvenær sem er án skráningar, en með úttak upplýsinga til CLI.
Með því að nota skipunina „-$ sudo signature_GRUB“ er GRUB2 ræsihleðsluforritið/skiptingin samstundis undirrituð aftur og uppfærð skráning þess (nauðsynlegt eftir stýrikerfi/ræsiuppfærslu), og lífið heldur áfram.

Innleiðing á kjötkássaaðferð fyrir ræsiforritið og hluta þess

0) Við skulum skrifa undir GRUB ræsiforritið/sneiðina með því að tengja það fyrst í /media/notendanafn

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) Við búum til skriftu án framlengingar í rót dulkóðuðu stýrikerfisins ~/podpis, beitum nauðsynlegum 744 öryggisréttindum og pottþéttri vernd á það.

Að fylla út innihald þess

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

Keyra handritið frá su, verður hakað á GRUB skiptingunni og ræsiforriti hennar, vistaðu annálinn.

Við skulum búa til eða afrita, til dæmis, „illgjarn skrá“ [virus.mod] í GRUB2 skiptinguna og keyra tímabundna skönnun/prófun:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

CLI verður að sjá innrás í -borg okkar-#Trimmað innskráningu í CLI

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

#Eins og þú sérð birtist „Skrá flutt: 1 og endurskoðun mistókst“, sem þýðir að athugunin mistókst.
Vegna eðlis skiptingarinnar sem verið er að prófa, í stað „Nýjar skrár fundnar“ > „Skráar færðar“

2) Settu gifið hér > ~/warning.gif, stilltu heimildirnar á 744.

3) Stillir fstab til að tengja GRUB skiptinguna sjálfkrafa við ræsingu

-$ sudo nano /etc/fstab

LABEL=GRUB /media/notendanafn/GRUB ext4 sjálfgefið 0 0

4) Snúið loganum

-$ sudo nano /etc/logrotate.d/podpis

/var/log/podpis.txt {
daglega
snúa 50
stærð 5M
dagsexti
þjappa
tefja þjappa
olddir /var/log/old
}

/var/log/vtorjenie.txt {
mánaðarlega
snúa 5
stærð 5M
dagsexti
olddir /var/log/old
}

5) Bættu starfi við cron

-$ sudo crontab -e

endurræsa '/Áskrift'
0 */6 * * * '/podpis

6) Að búa til varanleg samnefni

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

Eftir OS uppfærslu -$ apt-get upgrade endurskrifaðu GRUB skiptinguna okkar
-$ подпись_GRUB
Á þessum tímapunkti er hassvörn GRUB skiptingarinnar lokið.

[D] Þurrka - eyðilegging á ódulkóðuðum gögnum

Eyddu persónulegum skrám þínum svo algjörlega að „ekki einu sinni Guð getur lesið þær,“ að sögn talsmanns Suður-Karólínu, Trey Gowdy.

Eins og venjulega eru ýmsar „goðsagnir og þjóðsögur", um að endurheimta gögn eftir að þeim hefur verið eytt af harða diskinum. Ef þú trúir á nettöfra, eða ert meðlimur Dr vefsamfélagsins og hefur aldrei reynt að endurheimta gögn eftir að þeim var eytt/skrifað yfir (td bata með R-stúdíó), þá er ólíklegt að fyrirhuguð aðferð henti þér, notaðu það sem er næst þér.

Eftir að GNU/Linux hefur tekist að flytja yfir á dulkóðaða skipting verður að eyða gamla afritinu án möguleika á endurheimt gagna. Alhliða hreinsunaraðferð: hugbúnaður fyrir Windows/Linux ókeypis GUI hugbúnað BleachBit.
Hratt forsníða hlutann, gögnin sem þarf að eyða (í gegnum Gparted) ræstu BleachBit, veldu „Hreinsa upp laust pláss“ - veldu skiptinguna (sdaX þinn með fyrra afriti af GNU/Linux), strípunarferlið hefst. BleachBit - þurrkar diskinn í einni umferð - þetta er það sem "við þurfum", En! Þetta virkar bara í orði ef þú formattaðir diskinn og hreinsaðir hann í BB v2.0 hugbúnaði.

Attention! BB þurrkar af disknum og skilur eftir lýsigögn; skráarnöfn eru varðveitt þegar gögnum er eytt (Ccleaner - skilur ekki eftir lýsigögn).

Og goðsögnin um möguleikann á endurheimt gagna er ekki algjör goðsögn.Bleachbit V2.0-2 fyrrum óstöðugt OS Debian pakki (og annar svipaður hugbúnaður: sfill; wipe-Nautilus - var líka tekið eftir í þessum óhreina viðskiptum) var í raun með mikilvæga villu: "lausa plásshreinsun" aðgerðina það virkar vitlaust á HDD/Flash drifum (ntfs/ext4). Hugbúnaður af þessu tagi, þegar laust pláss er hreinsað, skrifar ekki yfir allan diskinn eins og margir notendur halda. Og sumir (margir) eyddum gögnum Stýrikerfi/hugbúnaður lítur á þessi gögn sem óeyddum/notendagögnum og þegar „OSP“ er hreinsað sleppir það þessum skrám. Vandamálið er að eftir svo langan tíma, að þrífa diskinn "eyddar skrár" er hægt að endurheimta jafnvel eftir 3+ umferðaþurrka á disknum.
Á GNU/Linux hjá Bleachbit 2.0-2 Aðgerðirnar við að eyða skrám og möppum til frambúðar virka á áreiðanlegan hátt, en hreinsa ekki laust pláss. Til samanburðar: á Windows í CCleaner virkar „OSP fyrir ntfs“ aðgerðin rétt og Guð mun í raun ekki geta lesið eydd gögn.

Og svo, að fjarlægja vandlega "málamiðlun" gömul ódulkóðuð gögn, Bleachbit þarf beinan aðgang að þessum gögnum, notaðu síðan aðgerðina „eyða skrám/möppum varanlega“.
Til að fjarlægja „eyddar skrár með stöðluðum stýrikerfum“ í Windows, notaðu CCleaner/BB með „OSP“ aðgerðinni. Í GNU/Linux yfir þessu vandamáli (eyða eyddum skrám) þú þarft að æfa þig sjálfur (eyða gögnum + sjálfstæð tilraun til að endurheimta þau og þú ættir ekki að treysta á hugbúnaðarútgáfuna (ef ekki bókamerki, þá villu)), aðeins í þessu tilfelli munt þú geta skilið hvernig þetta vandamál er og losað þig við eydd gögn alveg.

Ég hef ekki prófað Bleachbit v3.0, vandamálið gæti hafa þegar verið lagað.
Bleachbit v2.0 virkar heiðarlega.

Í þessu skrefi er diskþurrkun lokið.

[E] Alhliða öryggisafrit af dulkóðuðu stýrikerfi

Hver notandi hefur sína eigin aðferð til að taka öryggisafrit af gögnum, en dulkóðuð System OS gögn krefjast örlítið mismunandi nálgun við verkefnið. Sameinaður hugbúnaður, eins og Clonezilla og svipaður hugbúnaður, getur ekki unnið beint með dulkóðuðum gögnum.

Yfirlýsing um vandamálið við að taka öryggisafrit af dulkóðuðum blokkartækjum:

algildi - sama afritunaralgrím/hugbúnað fyrir Windows/Linux;
getu til að vinna í stjórnborðinu með hvaða lifandi USB GNU/Linux sem er án þess að þurfa að hlaða niður viðbótarhugbúnaði (en mæli samt með GUI);
öryggi öryggisafrita - geymdar „myndir“ verða að vera dulkóðaðar/varðar með lykilorði;
stærð dulkóðuðu gagna verður að samsvara stærð raunverulegra gagna sem verið er að afrita;
þægileg útdráttur nauðsynlegra skráa úr öryggisafriti (engin krafa um að afkóða allan hlutann fyrst).

Til dæmis, öryggisafrit/endurheimt með „dd“ tólinu

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

Það samsvarar nánast öllum atriðum verkefnisins, en samkvæmt lið 4 stenst það ekki gagnrýni, þar sem það afritar alla disksneiðina, þar með talið laust pláss - ekki áhugavert.

Til dæmis, GNU/Linux öryggisafrit í gegnum skjalavarann [tar" | gpg] er þægilegt, en fyrir Windows öryggisafrit þarftu að leita að annarri lausn - hún er ekki áhugaverð.

E1. Alhliða Windows/Linux öryggisafrit. Tengill rsync (Grsync)+VeraCrypt bindiReiknirit til að búa til öryggisafrit:

búa til dulkóðaðan ílát (bindi/skrá) VeraCrypt fyrir OS;
flytja/samstilla stýrikerfið með því að nota Rsync hugbúnað í VeraCrypt dulmálsílátið;
ef nauðsyn krefur, hlaðið upp VeraCrypt bindi á www.

Að búa til dulkóðaðan VeraCrypt ílát hefur sín eigin einkenni:
búa til kraftmikið hljóðstyrk (gerð DT er aðeins fáanleg í Windows, einnig hægt að nota í GNU/Linux);
búa til venjulegt bindi, en það er krafa um „ofsóknaræði“ (samkvæmt framkvæmdaraðila) – gámasnið.

Kraftmikið bindi myndast nánast samstundis í Windows, en þegar afritað er gögn frá GNU/Linux > VeraCrypt DT minnkar heildarafköst öryggisafritunar verulega.

Venjulegt 70 GB Twofish bindi er búið til (segjum bara, að meðaltali tölvuorku) á HDD ~ eftir hálftíma (að skrifa yfir fyrri gámagögnin í einni umferð er vegna öryggiskrafna). Hlutverk þess að forsníða bindi fljótt þegar það er búið til hefur verið fjarlægt úr VeraCrypt Windows/Linux, þannig að búa til gám er aðeins mögulegt með „endurskrifun í einni umferð“ eða með því að búa til kraftmikið hljóðstyrk með litlum afköstum.

Búðu til venjulegt VeraCrypt bindi (ekki dynamic/ntfs), það ættu ekki að vera nein vandamál.

Stilla/búa til/opna gám í VeraCrypt GUI> GNU/Linux lifandi usb (hljóðstyrkurinn verður sjálfkrafa settur á /media/veracrypt2, Windows OS hljóðstyrkurinn verður festur á /media/veracrypt1). Að búa til dulkóðað öryggisafrit af Windows OS með GUI rsync (grsync)með því að haka í reitina.

Bíddu eftir að ferlinu lýkur. Þegar öryggisafritinu er lokið munum við hafa eina dulkóðaða skrá.

Á sama hátt skaltu búa til öryggisafrit af GNU/Linux OS með því að haka við gátreitinn „Windows eindrægni“ í rsync GUI.

Attention! búa til Veracrypt ílát fyrir „GNU/Linux öryggisafrit“ í skráarkerfinu ext4. Ef þú tekur öryggisafrit í ntfs gám, þá muntu tapa öllum réttindum/hópum á öllum gögnum þínum þegar þú endurheimtir slíkt afrit.

Þú getur framkvæmt allar aðgerðir í flugstöðinni. Grunnvalkostir fyrir rsync:
* -g -vista hópa;
* -P —framvinda — staða tímans sem varið er í að vinna að skránni;
* -H - afritaðu harða tengla eins og er;
* -a -skjalasafnshamur (margir rlptgoD fánar);
* -v -orðsetning.

Ef þú vilt setja upp „Windows VeraCrypt bindi“ í gegnum stjórnborðið í cryptsetup hugbúnaðinum geturðu búið til samnefni (su)

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

Nú mun skipunin „veramount pictures“ biðja þig um að slá inn lykilorð og dulkóðaða Windows kerfismagnið verður sett á stýrikerfið.

Korta/tengja VeraCrypt kerfismagn í cryptsetup skipun

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

Kort/festu VeraCrypt skipting/ílát í cryptsetup skipun

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

Í stað samnefnis munum við bæta (skriftu til að ræsa) kerfisbindi með Windows OS og rökrétt dulkóðuðum ntfs diski við ræsingu GNU/Linux

Búðu til handrit og vistaðu það í ~/VeraOpen.sh

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

Við dreifum „réttum“ réttindum:

sudo chmod 100 /VeraOpen.sh

Búðu til tvær eins skrár (sama nafn!) í /etc/rc.local og ~/etc/init.d/rc.local
Að fylla út skrárnar

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

Við dreifum „réttum“ réttindum:

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local

Það er það, núna þegar við hleðum GNU/Linux þurfum við ekki að slá inn lykilorð til að setja upp dulkóðaða ntfs diska, diskarnir eru sjálfkrafa settir upp.

Athugasemd stuttlega um það sem lýst er hér að ofan í lið E1 skref fyrir skref (en nú fyrir OS GNU/Linux)
1) Búðu til bindi í fs ext4 > 4gb (fyrir skrá) Linux í Veracrypt [Cryptbox].
2) Endurræstu í lifandi usb.
3) ~$ cryptsetup opið /dev/sda7 Lunux #mapping dulkóðuð skipting.
4) ~$ tengja /dev/mapper/Linux /mnt #tengja dulkóðuðu skiptinguna í /mnt.
5) ~$ mkdir mnt2 #að búa til möppu fyrir framtíðarafrit.
6) ~$ cryptsetup open —veracrypt —type tcrypt ~/CryptoBox CryptoBox && mount /dev/mapper/CryptoBox /mnt2 #Kortaðu Veracrypt bindi sem heitir „CryptoBox“ og settu CryptoBox á /mnt2.
7) ~$ rsync -avlxhHX —framvinda /mnt /mnt2/ #afritunaraðgerð dulkóðaðs skiptingar í dulkóðað Veracrypt bindi.

(p/s/ Attention! Ef þú ert að flytja dulkóðaða GNU/Linux frá einum arkitektúr/vél til annarrar, til dæmis Intel > AMD (þ.e. að setja öryggisafrit frá einni dulkóðuðu skiptingunni yfir á aðra dulkóðaða Intel > AMD skipting), Ekki gleyma Eftir að hafa flutt dulkóðaða stýrikerfið skaltu breyta leynilegum staðgengilslyklinum í stað lykilorðsins, kannski. fyrri lykill ~/etc/skey - passar ekki lengur við annað dulkóðað skipting, og það er ekki ráðlegt að búa til nýjan lykil "cryptsetup luksAddKey" undir chroot - galli er mögulegur, bara í ~/etc/crypttab tilgreinið í staðinn fyrir “/etc/skey” tímabundið “none” “, eftir endurbót og innskráningu á stýrikerfið skaltu endurskapa leynilega algildislykilinn þinn aftur).

Sem vopnahlésdagurinn í upplýsingatækni, mundu að taka sérstaklega afrit af hausum á dulkóðuðum Windows/Linux OS skiptingum, annars mun dulkóðunin snúast gegn þér.
Í þessu skrefi er öryggisafrit af dulkóðuðu stýrikerfinu lokið.

[F] Árás á GRUB2 ræsiforritið

UpplýsingarEf þú hefur verndað ræsiforritið þitt með stafrænni undirskrift og/eða auðkenningu (sjá lið C6.), þá mun þetta ekki vernda gegn líkamlegum aðgangi. Dulkóðuð gögn verða enn óaðgengileg, en verndunin verður framhjá (endurstilla vernd fyrir stafræna undirskrift) GRUB2 leyfir net-illmenni að sprauta kóða sínum inn í ræsiforritið án þess að vekja grunsemdir (nema notandinn fylgist handvirkt með stöðu ræsiforritsins eða komi með sinn eigin öfluga handahófskennda handritskóða fyrir grub.cfg).

Árásaralgrím. Innbrotsþjófur

* Stígvél tölvu frá lifandi usb. Einhver breyting (brjótandi) skrár munu tilkynna raunverulegum eiganda tölvunnar um afskipti af ræsiforritinu. En einföld enduruppsetning á GRUB2 með grub.cfg (og síðari hæfileikinn til að breyta því) mun leyfa árásarmanni að breyta hvaða skrá sem er (í þessum aðstæðum, þegar GRUB2 er hlaðið, verður raunverulegur notandi ekki látinn vita. Staðan er sú sama <0>)
* Setur upp ódulkóðaða skipting, geymir “/mnt/boot/grub/grub.cfg”.
* Setur upp ræsiforritinu aftur (fjarlægir "perskey" úr core.img myndinni)

grub-install --force --root-directory=/mnt /dev/sda6

* Skilar „grub.cfg“ > „/mnt/boot/grub/grub.cfg“, breytir því ef þörf krefur, til dæmis, bætir einingunni „keylogger.mod“ við möppuna með hleðslueiningum, í „grub.cfg“ > lína "insmod keylogger". Eða, til dæmis, ef óvinurinn er slægur, þá eftir að hafa sett GRUB2 upp aftur (allar undirskriftir eru áfram á sínum stað) það byggir aðal GRUB2 myndina með því að nota "grub-mkimage með valmöguleika (-c)." “-c” valmöguleikinn gerir þér kleift að hlaða upp stillingunum þínum áður en þú hleður aðal “grub.cfg”. Stillingin getur samanstendur af aðeins einni línu: tilvísun í hvaða „modern.cfg“ sem er, blandað til dæmis við ~400 skrár (einingar+undirskriftir) í möppunni "/boot/grub/i386-pc". Í þessu tilviki getur árásarmaður sett inn handahófskenndan kóða og hlaðið einingar án þess að hafa áhrif á „/boot/grub/grub.cfg“, jafnvel þótt notandinn hafi notað „hashsum“ á skrána og birt hana tímabundið á skjánum.
Árásarmaður mun ekki þurfa að hakka innskráningu/lykilorð GRUB2 ofurnotanda; hann þarf bara að afrita línurnar (ábyrgur fyrir auðkenningu) "/boot/grub/grub.cfg" í "modern.cfg" þinn

setja ofurnotendur = "rót"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

Og PC eigandinn verður enn auðkenndur sem GRUB2 ofurnotandi.

Keðjuhleðsla (bootloader hleður öðrum ræsiforriti), eins og ég skrifaði hér að ofan, meikar ekki sens (það er ætlað í öðrum tilgangi). Ekki er hægt að hlaða dulkóðuðu ræsiforriti vegna BIOS (keðjuræsing endurræsir GRUB2 > dulkóðað GRUB2, villa!). Hins vegar, ef þú notar enn hugmyndina um keðjuhleðslu, geturðu verið viss um að það sé dulkóðaða sem verið er að hlaða. (ekki nútímavætt) "grub.cfg" frá dulkóðuðu skiptingunni. Og þetta er líka fölsk öryggistilfinning, því allt sem er gefið til kynna í dulkóðuðu „grub.cfg“ (hleðsla eininga) bætir við einingar sem eru hlaðnar úr ódulkóðuðu GRUB2.

Ef þú vilt athuga þetta, þá úthlutaðu/dulkóðaðu aðra skipting sdaY, afritaðu GRUB2 yfir á það (grub-uppsetning aðgerð á dulkóðuðu skiptingunni er ekki möguleg) og í "grub.cfg" (ódulkóðuð stilling) breyta línum eins og þessum

menuentry 'GRUBx2' --class páfagaukur --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
hlaða_vídeó
insmod gzio
ef [x$grub_platform = xxen]; þá insmod xzio; insmod lzopio; fi
insmod part_msdos
insmod dulritunardiskur
insmod lux
insmod gcry_twoofish
insmod gcry_twoofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
eðlilegt /boot/grub/grub.cfg
}

línur
* insmod - hleður nauðsynlegum einingum til að vinna með dulkóðaðan disk;
* GRUBx2 - heiti línunnar sem birtist í GRUB2 ræsivalmyndinni;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -sjá. fdisk -l (sda9);
* stilltu rót - settu upp rót;
* normal /boot/grub/grub.cfg - keyranleg stillingarskrá á dulkóðuðu skiptingunni.

Traust þess að það sé dulkóðaða „grub.cfg“ sem er hlaðið er jákvætt svar við því að slá inn lykilorðið/aflæsa „sdaY“ þegar þú velur línuna „GRUBx2“ í GRUB valmyndinni.

Þegar þú vinnur í CLI, til að ruglast ekki (og athugaðu hvort umhverfisbreytan „setja rót“ virkaði), búðu til tómar táknskrár, til dæmis í dulkóðuðu hlutanum „/shifr_grub“, í ódulkóðuðu hlutanum „/noshifr_grub“. Athugar í CLI

cat /Tab-Tab

Eins og fram kemur hér að ofan mun þetta ekki hjálpa til við að hlaða niður skaðlegum einingum ef slíkar einingar lenda á tölvunni þinni. Til dæmis, lyklaforriti sem mun geta vistað áslátt í skrá og blandað henni saman við aðrar skrár í „~/i386“ þar til árásarmaður sem hefur líkamlegan aðgang að tölvunni hefur hlaðið henni niður.

Auðveldasta leiðin til að sannreyna að verndun stafrænna undirskrifta sé virkur (ekki endurstillt), og enginn hefur ráðist inn í ræsiforritið, sláðu inn skipunina í CLI

list_trusted

sem svar fáum við afrit af „perskey“ okkar, eða við fáum ekkert ef ráðist er á okkur (þú þarft líka að haka við "set check_signatures=enforce").
Verulegur ókostur við þetta skref er að slá inn skipanir handvirkt. Ef þú bætir þessari skipun við "grub.cfg" og verndar stillinguna með stafrænni undirskrift, þá er bráðabirgðaúttak lyklamyndarinnar á skjánum of stutt í tímasetningu og þú gætir ekki haft tíma til að sjá úttakið eftir að GRUB2 hefur verið hlaðið. .
Það er enginn sérstakur að gera kröfur til: framkvæmdaraðila í hans skjöl ákvæði 18.2 lýsir formlega yfir

"Athugaðu að jafnvel með GRUB lykilorðavörn getur GRUB sjálft ekki komið í veg fyrir að einhver með líkamlegan aðgang að vélinni breyti vélbúnaðarstillingu vélarinnar (td Coreboot eða BIOS) til að valda því að vélin ræsist úr öðru (stýrðu árásartæki) tæki. GRUB er í besta falli aðeins einn hlekkur í öruggri ræsikeðju."

GRUB2 er of mikið af aðgerðum sem geta gefið tilfinningu um falskt öryggi og þróun þess hefur þegar farið fram úr MS-DOS hvað varðar virkni, en það er bara ræsiforrit. Það er fyndið að GRUB2 - "á morgun" getur orðið stýrikerfi og ræsanleg GNU/Linux sýndarvél fyrir það.

Stutt myndband um hvernig ég endurstillti GRUB2 stafræna undirskriftarvörnina og lýsti yfir afskiptum mínum fyrir alvöru notanda (Ég hræddi þig, en í stað þess sem er sýnt í myndbandinu geturðu skrifað óskaðalausan handahófskenndan kóða/.mod).

Ályktanir:

1) Blokkunarkerfisdulkóðun fyrir Windows er auðveldara í framkvæmd og vernd með einu lykilorði er þægilegri en vernd með nokkrum lykilorðum með GNU/Linux blokkarkerfisdulkóðun, til að vera sanngjarn: hið síðarnefnda er sjálfvirkt.

2) Ég skrifaði greinina sem viðeigandi og ítarlega einfalt leiðbeiningar um dulkóðun á fullum diski VeraCrypt/LUKS á einu heimili vélarinnar, sem er langbest í RuNet (IMHO). Leiðarvísirinn er > 50 stafir að lengd, svo hann náði ekki yfir nokkra áhugaverða kafla: dulmálsfræðingar sem hverfa/geyma í skugganum; um þá staðreynd að í ýmsum GNU/Linux bókum skrifa þeir lítið/skrifa ekki um dulmál; um 51. grein stjórnarskrár Rússlands; O leyfisveitingar/bann dulkóðun í Rússlandi, um hvers vegna þú þarft að dulkóða „root/boot“. Leiðsögnin reyndist nokkuð viðamikil, en ítarleg. (lýsir jafnvel einföldum skrefum), aftur á móti mun þetta spara þér mikinn tíma þegar þú kemur að „raunverulegu dulkóðuninni“.

3) Dulkóðun á fullri diski var framkvæmd á Windows 7 64; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.

4) Framkvæmdi árangursríka árás á hans GRUB2 ræsiforrit.

5) Kennsla var búin til til að hjálpa öllu ofsóknarbrjáluðu fólki í CIS, þar sem vinna með dulkóðun er leyfð á löggjafarstigi. Og fyrst og fremst fyrir þá sem vilja rúlla út dulkóðun á fullum diski án þess að rífa niður uppsett kerfi sín.

6) Endurgerði og uppfærði handbókina mína, sem á við árið 2020.

[G] Gagnleg skjöl

TrueCrypt notendahandbók (febrúar 2012 HR)
VeraCrypt skjöl
/usr/share/doc/cryptsetup(-run) [staðbundin auðlind] (opinber ítarleg skjöl um uppsetningu GNU/Linux dulkóðunar með cryptsetup)
Opinber algengar spurningar um dulritunaruppsetningu (stutt skjöl um uppsetningu GNU/Linux dulkóðunar með cryptsetup)
LUKS tæki dulkóðun (archlinux skjöl)
Ítarleg lýsing á setningafræði cryptsetup (arch man page)
Ítarleg lýsing á crypttab (arch man page)
Opinber GRUB2 skjöl.

Merki: dulkóðun á fullum diski, dulkóðun skiptinga, dulkóðun á fullum diski Linux, LUKS1 dulkóðun á fullu kerfi.

Aðeins skráðir notendur geta tekið þátt í könnuninni. Skráðu þig inn, takk.

Ertu að dulkóða?

17,1%Ég dulkóða allt sem ég get. Ég er paranoid.14
34,2%Ég dulkóða aðeins mikilvæg gögn.28
14,6%Stundum dulkóða ég, stundum gleymi ég.12
34,2%Nei, ég dulkóða ekki, það er óþægilegt og dýrt.28

82 notendur kusu. 22 notendur sátu hjá.

Heimild: www.habr.com

Full dulkóðun á diskum á Windows Linux uppsettum kerfum. Dulkóðuð multi-boot