הצפנת דיסק מלאה של מערכות מותקנות של Windows Linux. ריבוי אתחול מוצפן

עודכן מדריך משלו להצפנת דיסק מלא ב-RuNet V0.2.

אסטרטגיית בוקרים:

[א] הצפנת חסימת מערכת Windows 7 של המערכת המותקנת;
[ב] הצפנת חסימת מערכת GNU/Linux (דביאן) מערכת מותקנת (כולל /אתחול);
[C] תצורת GRUB2, הגנת מאתחול עם חתימה דיגיטלית/אימות/גיבוש;
[ד] הפשטה - השמדת נתונים לא מוצפנים;
[E] גיבוי אוניברסלי של מערכת הפעלה מוצפנת;
[F] תקיפת יעד <על פריט [C6]> - טוען אתחול GRUB2;
[G]תיעוד מועיל.

╭───תוכנית של #חדר 40# :
├──╼ מותקן Windows 7 - הצפנת מערכת מלאה, לא מוסתרת;
├──╼ מותקן GNU/Linux (הפצות דביאן ונגזרות) - הצפנת מערכת מלאה, לא מוסתרת(/, כולל /boot; swap);
├──╼ מעמיסי אתחול עצמאיים: טוען האתחול VeraCrypt מותקן ב-MBR, טוען האתחול GRUB2 מותקן במחיצה המורחבת;
├──╼אין צורך בהתקנה/התקנה מחדש של מערכת ההפעלה;
└──╼ תוכנה קריפטוגרפית בשימוש: VeraCrypt; Cryptsetup; GnuPG; סוסון ים; Hashdeep; GRUB2 הוא בחינם/חינם.

הסכימה לעיל פותרת חלקית את הבעיה של "אתחול מרחוק לכונן הבזק", מאפשרת לך ליהנות ממערכת הפעלה מוצפנת Windows/Linux ולהחליף נתונים באמצעות "ערוץ מוצפן" ממערכת הפעלה אחת לאחרת.

סדר האתחול של המחשב (אחת האפשרויות):

• הפעלת המכונה;
• טוען את טוען האתחול VeraCrypt (הזנת הסיסמה הנכונה תמשיך לאתחל את Windows 7);
• לחיצה על מקש "Esc" תטען את טוען האתחול GRUB2;
• מטעין אתחול GRUB2 (בחר הפצה/GNU/Linux/CLI), ידרוש אימות של משתמש העל GRUB2 <login/password>;
• לאחר אימות ובחירה מוצלחים של ההפצה, תצטרך להזין ביטוי סיסמה כדי לבטל את הנעילה של "/boot/initrd.img";
• לאחר הזנת סיסמאות ללא שגיאות, GRUB2 "ידרוש" הזנת סיסמה (שלישי, סיסמת BIOS או סיסמת חשבון משתמש GNU/Linux - לא לקחת בחשבון) כדי לפתוח ולאתחל את מערכת ההפעלה GNU/Linux, או החלפה אוטומטית של מפתח סודי (שתי סיסמאות + מפתח, או סיסמה + מפתח);
• חדירה חיצונית לתצורת GRUB2 תקפיא את תהליך האתחול של GNU/Linux.

בעייתי? אוקיי, בוא נלך להפוך את התהליכים לאוטומטיים.

בעת חלוקת כונן קשיח למחיצות (טבלת MBR) למחשב אישי יכולים להיות לא יותר מ-4 מחיצות עיקריות, או 3 מחיצות ראשיות ואחת מורחבת, כמו גם אזור לא מוקצה. קטע מורחב, בניגוד לראשי, יכול להכיל תת-סעיפים (כוננים לוגיים=מחיצה מורחבת). במילים אחרות, "המחיצה המורחבת" ב-HDD מחליפה את LVM עבור המשימה שלפנינו: הצפנת מערכת מלאה. אם הדיסק שלך מחולק ל-4 מחיצות עיקריות, עליך להשתמש ב-lvm, או ב-transform (עם עיצוב) חלק מהראשי למתקדם, או השתמש בחוכמה בכל ארבעת החלקים והשאיר הכל כפי שהוא, כדי לקבל את התוצאה הרצויה. גם אם יש לך מחיצה אחת בדיסק שלך, Gparted יעזור לך לחלק את הדיסק הקשיח שלך למחיצות (לקטעים נוספים) ללא אובדן נתונים, אבל עדיין עם קנס קטן על פעולות כאלה.

ערכת פריסת הכונן הקשיח, שביחס אליה יתפרסם המאמר כולו, מוצגת בטבלה שלהלן.

טבלה (מס' 1) של מחיצות 1TB.

גם לך צריך משהו דומה.
sda1 - מחיצה ראשית מס' 1 NTFS (מוצפן);
sda2 - סמן מקטע מורחב;
sda6 - דיסק לוגי (מותקן בו את טוען האתחול GRUB2);
sda8 - swap (קובץ החלפה מוצפן/לא תמיד);
sda9 - בדיקת דיסק לוגי;
sda5 - דיסק לוגי לסקרנים;
sda7 - GNU/Linux OS (מערכת ההפעלה הועברה לדיסק לוגי מוצפן);
sda3 - מחיצה ראשית מס' 2 עם מערכת ההפעלה Windows 7 (מוצפן);
sda4 - סעיף ראשי מס' 3 (הוא הכיל GNU/Linux לא מוצפן, משמש לגיבוי/לא תמיד).

[א] Windows 7 System Block Encryption

A1. VeraCrypt

הורד מ אתר רשמי, או מהמראה מקור גרסת התקנה של תוכנת ההצפנה VeraCrypt (בזמן פרסום המאמר v1.24-Update3, הגרסה הניידת של VeraCrypt אינה מתאימה להצפנת מערכת). בדוק את סכום הבדיקה של התוכנה שהורדת

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

והשוו את התוצאה ל-CS שפורסמה באתר המפתחים של VeraCrypt.

אם מותקנת תוכנת HashTab, זה אפילו יותר קל: RMB (VeraCrypt Setup 1.24.exe)-מאפיינים - סכום גיבוב של קבצים.

כדי לאמת את חתימת התוכנית, יש להתקין את התוכנה ואת מפתח ה-pgp הציבורי של המפתח במערכת gnuPG; gpg4win.

A2. התקנה/הפעלה של תוכנת VeraCrypt עם זכויות מנהל

A3. בחירת פרמטרי הצפנת מערכת עבור המחיצה הפעילהVeraCrypt – מערכת – הצפנת מחיצת מערכת/דיסק – רגיל – הצפנת מחיצת מערכת Windows – Multiboot – (אזהרה: "לא מומלץ למשתמשים לא מנוסים להשתמש בשיטה זו" וזה נכון, אנו מסכימים "כן") - דיסק אתחול ("כן", גם אם לא כך, עדיין "כן") - מספר דיסקי מערכת "2 או יותר" - מספר מערכות בדיסק אחד "כן" - טוען אתחול שאינו Windows "לא" (למעשה, "כן", אבל מעמיסי האתחול VeraCrypt/GRUB2 לא יחלקו את ה-MBR בינם לבין עצמם; ליתר דיוק, רק החלק הקטן ביותר של קוד מטעין האתחול מאוחסן במסלול MBR/אתחול, החלק העיקרי שלו הוא ממוקם בתוך מערכת הקבצים) – Multiboot – הגדרות הצפנה...

אם אתה סוטה מהשלבים לעיל (חסימת תוכניות הצפנת מערכת), אז VeraCrypt תוציא אזהרה ולא תאפשר לך להצפין את המחיצה.

בשלב הבא לקראת הגנת מידע ממוקדת, ערכו "בדיקה" ובחרו אלגוריתם הצפנה. אם יש לך מעבד מיושן, סביר להניח שאלגוריתם ההצפנה המהיר ביותר יהיה Twofish. אם המעבד חזק, תבחינו בהבדל: הצפנת AES, על פי תוצאות הבדיקה, תהיה מהירה פי כמה ממתחרות הקריפטו. AES הוא אלגוריתם הצפנה פופולרי; החומרה של מעבדים מודרניים מותאמת במיוחד הן ל"סודי" והן ל"פריצה".

VeraCrypt תומך ביכולת להצפין דיסקים במפל AES(שני דגים)/ושילובים אחרים. על מעבד ליבה ישן של אינטל מלפני עשר שנים (ללא תמיכת חומרה עבור AES, הצפנת מפל A/T) הירידה בביצועים היא למעשה בלתי מורגשת. (עבור מעבדי AMD מאותו עידן/פרמטרים, הביצועים מופחתים מעט). מערכת ההפעלה פועלת באופן דינמי וצריכת המשאבים להצפנה שקופה אינה נראית. לעומת זאת, למשל, ישנה ירידה ניכרת בביצועים עקב סביבת שולחן העבודה הבלתי יציבה לבדיקה המותקנת Mate v1.20.1 (או v1.20.2 אני לא זוכר בדיוק) ב-GNU/Linux, או עקב פעולת שגרת הטלמטריה ב-Windows7↑. בדרך כלל, משתמשים מנוסים עורכים בדיקות ביצועי חומרה לפני ההצפנה. לדוגמה, ב-Aida64/Sysbench/systemd-analyze משווים את האשמה לתוצאות של אותן בדיקות לאחר הצפנת המערכת, ובכך מפריכים בעצמם את המיתוס ש"הצפנת המערכת מזיקה". האטה של ​​המכונה ואי הנוחות ניכרות בעת גיבוי/שחזור נתונים מוצפנים, מכיוון שפעולת "גיבוי נתוני המערכת" עצמה אינה נמדדת ב-ms, ונוספים אותם <פענוח/הצפנה תוך כדי תנועה>. בסופו של דבר, כל משתמש שמותר לו להתעסק בהצפנה מאזן את אלגוריתם ההצפנה מול שביעות הרצון של המשימות העומדות על הפרק, רמת הפרנויה שלהם וקלות השימוש.

עדיף להשאיר את פרמטר PIM כברירת מחדל, כך שבטעינת מערכת ההפעלה לא תצטרך להזין את ערכי האיטרציה המדויקים בכל פעם. VeraCrypt משתמש במספר עצום של איטרציות כדי ליצור "hash איטי" באמת. התקפה על "חילזון קריפטו" כזה בשיטת Brute force/bow tables הגיונית רק עם משפט סיסמה קצר "פשוט" ורשימת התווים האישית של הקורבן. המחיר שיש לשלם עבור חוזק הסיסמה הוא עיכוב בהזנת הסיסמה הנכונה בעת טעינת מערכת ההפעלה. (הרכבת נפחי VeraCrypt ב-GNU/Linux מהירה משמעותית).
תוכנה חינמית ליישום התקפות כוח גס (חלץ ביטוי סיסמה מכותרת הדיסק VeraCrypt/LUKS) האשקט. ג'ון המרטש לא יודע איך "לשבור את Veracrypt", וכשהוא עובד עם LUKS לא מבין בקריפטוגרפיה של Twofish.

בשל החוזק ההצפנה של אלגוריתמי ההצפנה, סייפרפאנקים בלתי ניתנים לעצירה מפתחים תוכנה עם וקטור התקפה שונה. לדוגמה, חילוץ מטא נתונים/מפתחות מ-RAM (אתחול קר/התקפת גישה ישירה לזיכרון), יש תוכנה מיוחדת חינמית ולא חינמית למטרות אלו.

עם השלמת ההגדרה/יצירת "מטא נתונים ייחודיים" של המחיצה הפעילה המוצפנת, VeraCrypt תציע להפעיל מחדש את המחשב האישי ולבדוק את הפונקציונליות של טוען האתחול שלו. לאחר אתחול/הפעלה מחדש של Windows, VeraCrypt ייטען במצב המתנה, כל מה שנותר הוא לאשר את תהליך ההצפנה - Y.

בשלב האחרון של הצפנת המערכת, VeraCrypt תציע ליצור עותק גיבוי של הכותרת של המחיצה המוצפנת הפעילה בצורה של "veracrypt rescue disk.iso" - יש לעשות זאת - בתוכנה זו פעולה כזו היא דרישה (ב-LUKS, כדרישה - זה למרבה הצער מושמט, אך מודגש בתיעוד). דיסק הצלה יהיה שימושי לכולם, ולחלקם יותר מפעם אחת. הֶפסֵד (שכתוב כותרת/MBR) עותק גיבוי של הכותרת ימנע לצמיתות גישה למחיצה המפוענחת עם מערכת ההפעלה Windows.

A4. יצירת USB/דיסק הצלה של VeraCryptכברירת מחדל, VeraCrypt מציעה לצרוב "~2-3MB של מטא נתונים" לתקליטור, אך לא לכל האנשים יש דיסקים או כונני DWD-ROM, ויצירת כונן הבזק הניתן לאתחול "VeraCrypt Rescue disk" תהיה הפתעה טכנית עבור חלקם: Rufus /GUIDd-ROSA ImageWriter ותוכנות דומות אחרות לא יוכלו להתמודד עם המשימה, מכיוון שבנוסף להעתקת מטא נתונים אופסט לכונן הבזק הניתן לאתחול, עליך להעתיק/להדביק את התמונה מחוץ למערכת הקבצים של כונן ה-USB, בקיצור, העתק נכון את ה-MBR/כביש למחזיק מפתחות. אתה יכול ליצור כונן הבזק הניתן לאתחול ממערכת ההפעלה GNU/Linux באמצעות כלי השירות "dd", תוך הסתכלות על השלט הזה.

יצירת דיסק הצלה בסביבת Windows שונה. המפתח של VeraCrypt לא כלל את הפתרון לבעיה זו ברשמי תיעוד על ידי "דיסק הצלה", אבל הציע פתרון בדרך אחרת: הוא פרסם תוכנה נוספת ליצירת "דיסק הצלה usb" לגישה חופשית בפורום VeraCrypt שלו. הארכיון של תוכנה זו עבור Windows "יוצר דיסק הצלה usb veracrypt". לאחר שמירת ה-rescue disk.iso, יתחיל תהליך של הצפנת מערכת חסימת המחיצה הפעילה. במהלך ההצפנה, פעולת מערכת ההפעלה אינה נעצרת; אין צורך בהפעלה מחדש של המחשב. עם השלמת פעולת ההצפנה, המחיצה הפעילה הופכת למוצפנת מלאה וניתן להשתמש בה. אם מטעין האתחול של VeraCrypt לא מופיע בעת הפעלת המחשב, ופעולת שחזור הכותרת לא עוזרת, בדוק את דגל "אתחול", יש להגדיר אותו למחיצה שבה Windows נמצא (ללא קשר להצפנה ומערכת הפעלה אחרת, ראה טבלה מס' 1).
זה משלים את התיאור של הצפנת מערכת חסימה עם מערכת ההפעלה Windows.

[ב]מזל. הצפנת GNU/Linux (~דביאן) מערכת הפעלה מותקנת. אלגוריתם ושלבים

על מנת להצפין הפצה של Debian/נגזרת, עליך למפות את המחיצה המוכנה להתקן בלוק וירטואלי, להעביר אותה לדיסק GNU/Linux ממופה ולהתקין/להגדיר GRUB2. אם אין לך שרת מתכת חשוף, ואתה מעריך את הזמן שלך, אז אתה צריך להשתמש ב-GUI, ורוב פקודות הטרמינל המתוארות להלן נועדו להיות מופעלות ב"מצב צ'אק-נוריס".

B1. אתחול המחשב מ-USB חי GNU/Linux

"ערוך מבחן קריפטו לביצועי החומרה"

lscpu && сryptsetup benchmark

אם אתה הבעלים המאושר של מכונית חזקה עם תמיכה בחומרה של AES, אז המספרים ייראו כמו הצד הימני של הטרמינל; אם אתה בעלים מאושר, אבל עם חומרה עתיקה, המספרים ייראו כמו הצד השמאלי.

B2. חלוקת דיסק. הרכבה/פירמוט fs דיסק לוגי HDD ל-Ext4 (Gparted)

B2.1. יצירת כותרת מחיצת sda7 מוצפנתאתאר את שמות המחיצות, כאן ובהמשך, בהתאם לטבלת המחיצות שלי שפורסמה למעלה. בהתאם לפריסת הדיסק שלך, עליך להחליף את שמות המחיצות שלך.

מיפוי הצפנת כונן לוגי (/dev/sda7 > /dev/mapper/sda7_crypt).
#יצירה קלה של "מחיצת LUKS-AES-XTS"

cryptsetup -v -y luksFormat /dev/sda7

אפשרויות:

* luksFormat - אתחול של כותרת LUKS;
* -y -phrase (לא מפתח/קובץ);
* -v -וורבליזציה (הצגת מידע בטרמינל);
* /dev/sda7 - הדיסק הלוגי שלך מהמחיצה המורחבת (היכן מתוכנן להעביר/להצפין את GNU/Linux).

אלגוריתם הצפנה ברירת מחדל <LUKS1: aes-xts-plain64, מפתח: 256 סיביות, גיבוב כותרת LUKS: sha256, RNG: /dev/urandom> (תלוי בגרסת cryptsetup).

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

אם אין תמיכת חומרה עבור AES במעבד, הבחירה הטובה ביותר תהיה ליצור מחיצת "LUKS-Twofish-XTS-מחיצה" מורחבת.

B2.2. יצירה מתקדמת של "LUKS-Twofish-XTS-partition"

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

אפשרויות:
* luksFormat - אתחול של כותרת LUKS;
* /dev/sda7 הוא הדיסק הלוגי המוצפן העתידי שלך;
* -v מילולית;
* -y ביטוי סיסמה;
* -c בחר אלגוריתם הצפנת נתונים;
* גודל מפתח ההצפנה -s;
* -h אלגוריתם גיבוב/פונקציית קריפטו, נעשה שימוש ב-RNG (--שימוש-אורנדום) ליצור מפתח הצפנה/פענוח ייחודי עבור כותרת הדיסק הלוגי, מפתח כותרת משני (XTS); מפתח מאסטר ייחודי המאוחסן בכותרת הדיסק המוצפנת, מפתח XTS משני, כל המטא נתונים האלה ושגרת הצפנה שבאמצעות מפתח המאסטר ומפתח ה-XTS המשני, מצפין/מפענח כל נתונים על המחיצה (חוץ מכותרת הסעיף) מאוחסן ב-~3MB במחיצת הדיסק הקשיח שנבחרה.
* -i איטרציות באלפיות שניות, במקום "כמות" (עיכוב הזמן בעת ​​עיבוד ביטוי הסיסמה משפיע על טעינת מערכת ההפעלה ועל החוזק ההצפנה של המפתחות). כדי לשמור על איזון של חוזק קריפטוגרפי, עם סיסמה פשוטה כמו "רוסית" אתה צריך להגדיל את הערך -(i); עם סיסמה מורכבת כמו "?8dƱob/øfh" ניתן להקטין את הערך.
* -שימוש מחולל מספרים אקראיים אורנדומליים, יוצר מפתחות ומלח.

לאחר מיפוי הקטע sda7 > sda7_crypt (הפעולה מהירה, מכיוון שנוצרת כותרת מוצפנת עם ~3 MB של מטא נתונים וזה הכל), עליך לעצב ולטעון את מערכת הקבצים sda7_crypt.

B2.3. השוואה

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

אפשרויות:
* פתוח - התאם את הקטע "עם שם";
* /dev/sda7 -דיסק לוגי;
* sda7_crypt - מיפוי שמות המשמש לטעינת המחיצה המוצפנת או לאתחל אותה כאשר מערכת ההפעלה מאתחלת.

B2.4. עיצוב מערכת הקבצים sda7_crypt ל-ext4. הרכבת דיסק במערכת ההפעלה(הערה: לא תוכל לעבוד עם מחיצה מוצפנת ב-Gparted)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt 

אפשרויות:
* -v -מילוליות;
* -L - תווית כונן (המוצגת בסייר בין כוננים אחרים).

לאחר מכן, עליך לעלות למערכת את התקן החסימה המוצפן הווירטואלית /dev/sda7_crypt

mount /dev/mapper/sda7_crypt /mnt

עבודה עם קבצים בתיקייה /mnt תצפין/פענח אוטומטית נתונים ב-sda7.

יותר נוח למפות ולהעלות את המחיצה באקספלורר (nautilus/caja GUI), המחיצה כבר תהיה ברשימת בחירת הדיסקים, כל שנותר הוא להזין את משפט הסיסמה לפתיחה/פענוח של הדיסק. השם המותאם ייבחר אוטומטית ולא "sda7_crypt", אלא משהו כמו /dev/mapper/Luks-xx-xx...

B2.5. גיבוי כותרות דיסק (מטא נתונים של ~3MB)אחד הכי הרבה חשוב פעולות שיש לבצע ללא דיחוי - עותק גיבוי של הכותרת "sda7_crypt". אם אתה מחליף/פוגע בכותרת (לדוגמה, התקנת GRUB2 על מחיצת sda7 וכו'), הנתונים המוצפנים יאבדו לחלוטין ללא כל אפשרות לשחזר אותם, מכיוון שאי אפשר יהיה ליצור מחדש את אותם מפתחות; המפתחות נוצרים באופן ייחודי.

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7 

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

אפשרויות:
* luksHeaderBackup —header-backup-file -פקודה גיבוי;
* luksHeaderRestore —פקודה header-backup-file -restore;
* ~/Backup_DebSHIFR - קובץ גיבוי;
* /dev/sda7 - מחיצה שיש לשמור את עותק הגיבוי של כותרת הדיסק המוצפנת שלה.
בשלב זה הושלמה <יצירה ועריכה של המחיצה המוצפנת>.

B3. העברת GNU/Linux OS (sda4) למחיצה מוצפנת (sda7)

צור תיקייה /mnt2 (שים לב - אנחנו עדיין עובדים עם usb חי, sda7_crypt מותקן ב-/mnt), והעלה את ה-GNU/Linux שלנו ב-/mnt2, שצריך להיות מוצפן.

mkdir /mnt2
mount /dev/sda4 /mnt2

אנו מבצעים העברה נכונה של מערכת ההפעלה באמצעות תוכנת Rsync

rsync -avlxhHX --progress /mnt2/ /mnt

אפשרויות Rsync מתוארות בפסקה E1.

יתר על כן, חייב איחוי מחיצת דיסק לוגית

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

הפוך את זה לכלל: עשה e4defrag על GNU/LInux מוצפן מעת לעת אם יש לך דיסק קשיח.
ההעברה והסנכרון [GNU/Linux > GNU/Linux-מוצפן] הושלמו בשלב זה.

ב 4. הגדרת GNU/Linux על מחיצת sda7 מוצפנת

לאחר העברת בהצלחה את מערכת ההפעלה /dev/sda4 > /dev/sda7, עליך להיכנס ל-GNU/Linux במחיצה המוצפנת ולבצע תצורה נוספת (בלי לאתחל את המחשב) ביחס למערכת מוצפנת. כלומר, להיות ב-usb חי, אבל לבצע פקודות "ביחס לשורש מערכת ההפעלה המוצפנת". "chroot" ידמה מצב דומה. כדי לקבל במהירות מידע על איזו מערכת הפעלה אתה עובד כעת (מוצפן או לא, מכיוון שהנתונים ב-sda4 ו-sda7 מסונכרנים), בטל סנכרון של מערכת ההפעלה. צור בספריות שורש (sda4/sda7_crypt) קובצי סמן ריקים, לדוגמה, /mnt/encryptedOS ו-/mnt2/decryptedOS. בדוק במהירות באיזו מערכת הפעלה אתה נמצא (כולל לעתיד):

ls /<Tab-Tab>

B4.1. "סימולציה של כניסה למערכת הפעלה מוצפנת"

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. וידוא שהעבודה מתבצעת מול מערכת מוצפנת

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. יצירת/הגדרת החלפה מוצפנת, עריכת crypttab/fstabמכיוון שקובץ ההחלפה מעוצב בכל פעם שמערכת ההפעלה מתחילה, אין הגיון ליצור ולמפות את ההחלפה לדיסק לוגי כעת, ולהקליד פקודות כמו בפסקה B2.2. עבור Swap, מפתחות ההצפנה הזמניים שלו יופקו אוטומטית בכל התחלה. מחזור חיים של מפתחות החלפה: ביטול/פירוק מחיצת החלפה (+ניקוי זיכרון RAM); או הפעל מחדש את מערכת ההפעלה. הגדרת swap, פתיחת הקובץ האחראי על התצורה של מכשירים מוצפנים בלוק (אנלוגי לקובץ fstab, אבל אחראי על הקריפטו).

nano /etc/crypttab 

אנחנו עורכים

#"שם יעד" "מכשיר מקור" "קובץ מפתח" "אפשרויות"
swap /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512

אפשרויות
* swap - שם ממופה בעת הצפנת /dev/mapper/swap.
* /dev/sda8 - השתמש במחיצה הלוגית שלך להחלפה.
* /dev/urandom - מחולל מפתחות הצפנה אקראיים להחלפה (עם כל אתחול מערכת ההפעלה החדשה, נוצרים מפתחות חדשים). המחולל /dev/urandom הוא פחות אקראי מ-/dev/random, אחרי הכל /dev/random משמש כאשר עובדים בנסיבות פרנואידיות מסוכנות. בעת טעינת מערכת ההפעלה, /dev/random מאט את הטעינה למשך מספר דקות ± (ראה systemd-analyze).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -המחיצה יודעת שהיא swap והיא מעוצבת "בהתאם"; אלגוריתם הצפנה.

#Открываем и правим fstab
nano /etc/fstab

אנחנו עורכים

החלפה # הופעלה / dev / sda8 במהלך ההתקנה
/dev/mapper/swap none swap sw 0 0

/dev/mapper/swap הוא השם שהוגדר ב-crypttab.

החלפה מוצפנת חלופית
אם מסיבה כלשהי אינך רוצה לוותר על מחיצה שלמה עבור קובץ swap, אז אתה יכול לקחת מסלול חלופי וטוב יותר: יצירת קובץ swap בקובץ על מחיצה מוצפנת עם מערכת ההפעלה.

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

הגדרת החלפת המחיצה הושלמה.

B4.4. הגדרת GNU/Linux מוצפן (עריכת קבצי crypttab/fstab)הקובץ /etc/crypttab, כפי שנכתב לעיל, מתאר התקני בלוק מוצפנים המוגדרים במהלך אתחול המערכת.

#правим /etc/crypttab 
nano /etc/crypttab 

אם התאמת לקטע sda7>sda7_crypt כמו בפסקה B2.1

# "שם יעד" "מכשיר מקור" "קובץ מפתח" "אפשרויות"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

אם התאמת לקטע sda7>sda7_crypt כמו בפסקה B2.2

# "שם יעד" "מכשיר מקור" "קובץ מפתח" "אפשרויות"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

אם התאמת לקטע sda7>sda7_crypt כמו בסעיף B2.1 או B2.2, אך אינך רוצה להזין מחדש את הסיסמה כדי לפתוח ולאתחל את מערכת ההפעלה, אז במקום הסיסמה תוכל להחליף מפתח סודי/קובץ אקראי

# "שם יעד" "מכשיר מקור" "קובץ מפתח" "אפשרויות"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

תיאור
* אין - מדווח כי בעת טעינת מערכת ההפעלה נדרשת הזנת ביטוי סיסמה סודי כדי לבטל את נעילת השורש.
* UUID - מזהה מחיצה. כדי לברר את תעודת הזהות שלך, הקלד בטרמינל (תזכורת שמזמן זה ואילך, אתה עובד בטרמינל בסביבת chroot, ולא במסוף usb חי אחר).

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное 

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

השורה הזו גלויה כאשר מבקשים blkid ממסוף ה-USB החי עם sda7_crypt מותקן).
אתה לוקח את ה-UUID מה-sdaX שלך (לא sdaX_crypt!, UUID sdaX_crypt - יישאר אוטומטית בעת יצירת התצורה grub.cfg).
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks הצפנה במצב מתקדם.
* /etc/skey - קובץ מפתח סודי, המוכנס אוטומטית כדי לבטל את נעילת האתחול של מערכת ההפעלה (במקום להזין את הסיסמה השלישית). אתה יכול לציין כל קובץ של עד 8MB, אבל הנתונים ייקראו <1MB.

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7 

זה ייראה בערך כך:

(עשה זאת בעצמך ותראה בעצמך).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab מכיל מידע תיאורי על מערכות קבצים שונות.

#Правим /etc/fstab
nano /etc/fstab

# "מערכת קבצים" "נקודת הרכבה" "הקלד" "אפשרויות" "dump" "מעבר"
# / היה ב- / dev / sda7 במהלך ההתקנה
/dev/mapper/sda7_crypt / ext4 errors=remount-ro 0 1

אוֹפְּצִיָה
* /dev/mapper/sda7_crypt - שם המיפוי sda7>sda7_crypt, שצוין בקובץ /etc/crypttab.
הגדרת crypttab/fstab הושלמה.

B4.5. עריכת קבצי תצורה. רגע מפתחB4.5.1. עריכת התצורה /etc/initramfs-tools/conf.d/resume

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

ולהגיב (אם קיים) שורה "#" "קורות חיים". הקובץ חייב להיות ריק לחלוטין.

B4.5.2. עריכת התצורה /etc/initramfs-tools/conf.d/cryptsetup

nano /etc/initramfs-tools/conf.d/cryptsetup

צריך להתאים

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=כן
ייצא CRYPTSETUP

B4.5.3. עריכת התצורה /etc/default/grub (תצורה זו אחראית ליכולת ליצור grub.cfg בעת עבודה עם /boot מוצפן)

nano /etc/default/grub

הוסף את השורה "GRUB_ENABLE_CRYPTODISK=y"
הערך 'y', grub-mkconfig ו-grub-install יבדקו כוננים מוצפנים ויפיקו פקודות נוספות הדרושות כדי לגשת אליהם בזמן האתחול (אינסמודס ).
חייב להיות דמיון

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=ספק"
GRUB_CMDLINE_LINUX="נתז שקט ללא התקנה אוטומטית"
GRUB_ENABLE_CRYPTODISK=y

B4.5.4. עריכת התצורה /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

לבדוק שהקו הגיב על <#>.
בעתיד (וגם עכשיו, לפרמטר הזה לא תהיה שום משמעות, אבל לפעמים הוא מפריע לעדכון התמונה initrd.img).

B4.5.5. עריכת התצורה /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

הוסף

KEYFILE_PATTERN="/etc/skey"
UMASK=0077

זה תארוז את המפתח הסודי "Skey" לתוך initrd.img, המפתח נחוץ כדי לבטל את נעילת השורש כאשר מערכת ההפעלה מאתחלת (אם אינך רוצה להזין את הסיסמה שוב, מקש "מפתח" מוחלף לרכב).

B4.6. עדכן /boot/initrd.img [גרסה]כדי לארוז את המפתח הסודי לתוך initrd.img ולהחיל תיקוני cryptsetup, עדכן את התמונה

update-initramfs -u -k all

בעת עדכון initrd.img (כמו שאומרים "זה אפשרי, אבל זה לא בטוח") יופיעו אזהרות הקשורות ל-cryptsetup, או, למשל, הודעה על אובדן מודולי Nvidia - זה נורמלי. לאחר עדכון הקובץ, בדקו שהוא אכן עודכן, ראו את השעה (ביחס לסביבת chroot./boot/initrd.img). אזהרה! לפני [update-initramfs -u -k all] הקפד לבדוק ש-cryptsetup פתוח /dev/sda7 sda7_crypt - זה השם שמופיע ב-/etc/crypttab, אחרת לאחר אתחול מחדש תהיה שגיאת busybox)
בשלב זה, הגדרת קבצי התצורה הושלמה.

[ג] התקנה והגדרה של GRUB2/Protection

C1. במידת הצורך, פרמט את המחיצה הייעודית עבור טוען האתחול (מחיצה צריכה לפחות 20MB)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. הר /dev/sda6 ל-/mntאז אנחנו עובדים ב-chroot, אז לא תהיה ספריית /mnt2 בשורש, והתיקיה /mnt תהיה ריקה.
הרכב את מחיצת GRUB2

mount /dev/sda6 /mnt

אם מותקנת אצלך גרסה ישנה יותר של GRUB2, בספריית /mnt/boot/grub/i-386-pc (פלטפורמה אחרת אפשרית, למשל, לא "i386-pc") ללא מודולי קריפטו (בקיצור, התיקיה צריכה להכיל מודולים, כולל .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), במקרה זה, יש לנער את GRUB2.

apt-get update
apt-get install grub2 

חָשׁוּב! בעת עדכון חבילת GRUB2 מהמאגר, כאשר נשאל "על בחירה" היכן להתקין את טוען האתחול, עליך לסרב להתקנה (סיבה - נסה להתקין GRUB2 - ב-"MBR" או ב-USB חי). אחרת תגרום נזק לכותרת/מטען VeraCrypt. לאחר עדכון חבילות GRUB2 וביטול ההתקנה, יש להתקין את טוען האתחול באופן ידני בדיסק הלוגי, ולא ב-MBR. אם למאגר שלך יש גרסה מיושנת של GRUB2, נסה עדכון זה מהאתר הרשמי - לא בדקתי את זה (עבד עם מטעני האתחול העדכניים ביותר של GRUB 2.02 ~BetaX).

C3. התקנת GRUB2 למחיצה מורחבת [sda6]חייבת להיות לך מחיצה מותקנת [פריט C.2]

grub-install --force --root-directory=/mnt /dev/sda6

אפשרויות
* —force - התקנה של טוען האתחול, עקיפת כל האזהרות שקיימות כמעט תמיד וחוסמות התקנה (דגל נדרש).
* --root-directory - התקנת ספריה לשורש sda6.
* /dev/sda6 - מחיצת ה-sdaХ שלך (אל תפספס את ה<space> בין /mnt /dev/sda6).

C4. יצירת קובץ תצורה [grub.cfg]תשכח מהפקודה "update-grub2" והשתמש בפקודה ליצירת קובץ התצורה המלא

grub-mkconfig -o /mnt/boot/grub/grub.cfg

לאחר השלמת היצירה/עדכון של קובץ grub.cfg, מסוף הפלט צריך להכיל שורות עם מערכת ההפעלה שנמצאת בדיסק ("grub-mkconfig" כנראה ימצא ויאסוף את מערכת ההפעלה מ-USB חי, אם יש לך כונן הבזק רב אתחול עם Windows 10 וחבורה של הפצות חיות - זה נורמלי). אם הטרמינל "ריק" והקובץ "grub.cfg" לא נוצר, אז זה אותו מקרה כשיש באגים GRUB במערכת (וככל הנראה המעמיס מענף הבדיקה של המאגר), התקן מחדש GRUB2 ממקורות מהימנים.
ההתקנה של "תצורה פשוטה" והגדרת GRUB2 הושלמו.

C5. מבחן הוכחה של מערכת ההפעלה GNU/Linux מוצפנתאנו משלימים את משימת ההצפנה בצורה נכונה. עוזב בזהירות את GNU/Linux המוצפן (צא מסביבת chroot).

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

לאחר אתחול המחשב, מטעין האתחול של VeraCrypt אמור להיטען.


*הזנת הסיסמה למחיצה הפעילה תתחיל לטעון את Windows.
*לחיצה על מקש "Esc" תעביר את השליטה ל-GRUB2, אם תבחר ב-GNU/Linux מוצפן - תידרש סיסמה (sda7_crypt) כדי לפתוח את /boot/initrd.img (אם grub2 כותב את uuid "לא נמצא" - זה בעיה עם טוען האתחול grub2, יש להתקין אותו מחדש, למשל, מסניף בדיקה/יציב וכו').


*בהתאם לאופן שבו הגדרת את המערכת (ראה סעיף B4.4/4.5), לאחר הזנת הסיסמה הנכונה כדי לפתוח את תמונת /boot/initrd.img, תזדקק לסיסמה כדי לטעון את ליבת מערכת ההפעלה/שורש, או את הסוד המפתח יוחלף אוטומטית ב- "Skey", תוך ביטול הצורך להזין מחדש את ביטוי הסיסמה.

(מסך "החלפה אוטומטית של מפתח סודי").

*אז יבוא התהליך המוכר של טעינת GNU/Linux עם אימות חשבון משתמש.


*לאחר הרשאת משתמש וכניסה למערכת ההפעלה, עליך לעדכן שוב את /boot/initrd.img (ראה B4.6).

update-initramfs -u -k all

ובמקרה של קווים נוספים בתפריט GRUB2 (מאסוף OS-m עם usb חי) תיפטר מהם

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

סיכום מהיר של הצפנת מערכת GNU/Linux:

• GNU/Linuxinux מוצפן במלואה, כולל /boot/kernel ו-initrd;
• המפתח הסודי ארוז ב-initrd.img;
• תכנית ההרשאה הנוכחית (הזנת הסיסמה כדי לפתוח את ה-initrd; סיסמה/מפתח לאתחול מערכת ההפעלה; סיסמה להרשאת חשבון Linux).

הצפנת מערכת "תצורת GRUB2 פשוטה" של מחיצת הבלוק הושלמה.

C6. תצורת GRUB2 מתקדמת. הגנת מאתחול עם חתימה דיגיטלית + הגנת אימותGNU/Linux מוצפן לחלוטין, אך לא ניתן להצפין את טוען האתחול - מצב זה מוכתב על ידי ה-BIOS. מסיבה זו, אתחול מוצפן משורשר של GRUB2 אינו אפשרי, אך אתחול משורשר פשוט אפשרי/זמין, אך מנקודת מבט אבטחה אין צורך [ראה פ' ו].
עבור GRUB2 ה"פגיע", המפתחים הטמיעו אלגוריתם הגנה של מאתחול "חתימה/אימות".

• כאשר טוען האתחול מוגן על ידי "חתימה דיגיטלית משלו", שינוי חיצוני של קבצים, או ניסיון לטעון מודולים נוספים בטוען האתחול הזה, יובילו לחסימת תהליך האתחול.
• בעת הגנה על טוען האתחול באמצעות אימות, על מנת לבחור טעינת הפצה, או להזין פקודות נוספות ב-CLI, תצטרך להזין את פרטי הכניסה והסיסמה של superuser-GRUB2.

C6.1. הגנה על אימות מאתחולבדוק שאתה עובד במסוף על מערכת הפעלה מוצפנת

ls /<Tab-Tab> #обнаружить файл-маркер

צור סיסמת משתמש-על להרשאה ב-GRUB2

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. 

קבל את ה-hash של הסיסמה. משהו כזה

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

הרכב את מחיצת GRUB

mount /dev/sda6 /mnt 

לערוך את התצורה

nano -$ /mnt/boot/grub/grub.cfg 

בדוק בחיפוש הקבצים שאין דגלים בשום מקום ב-"grub.cfg" ("-unrestricted" "-user",
להוסיף ממש בסוף (לפני השורה ### END /etc/grub.d/41_custom ###)
"set superusers="root"
password_pbkdf2 hash root."

זה צריך להיות משהו כזה

# קובץ זה מספק דרך קלה להוסיף ערכי תפריט מותאמים אישית. פשוט הקלד את
# ערכי תפריט שברצונך להוסיף לאחר הערה זו. היזהר לא לשנות
# השורה 'זנב exec' למעלה.
### END /etc/grub.d/40_custom ###

### BEGIN /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; לאחר מכן
מקור ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; לאחר מכן
מקור $prefix/custom.cfg;
fi
set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

אם אתה משתמש לעתים קרובות בפקודה "grub-mkconfig -o /mnt/boot/grub/grub.cfg" ואינך רוצה לבצע שינויים ב-grub.cfg בכל פעם, הזן את השורות לעיל (סיסמת כניסה) בסקריפט המשתמש GRUB בתחתית

nano /etc/grub.d/41_custom 

חתול <<EOF
set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

בעת יצירת התצורה "grub-mkconfig -o /mnt/boot/grub/grub.cfg", השורות האחראיות לאימות יתווספו אוטומטית ל-grub.cfg.
שלב זה משלים את הגדרת האימות GRUB2.

C6.2. הגנת מאתחול עם חתימה דיגיטליתההנחה היא שכבר יש לך את מפתח ההצפנה האישי שלך ב-pgp (או ליצור מפתח כזה). על המערכת להיות מותקנת תוכנת הצפנה: gnuPG; קלאופטרה/GPA; סוסון ים. תוכנת קריפטו תעשה את החיים שלך הרבה יותר קלים בכל העניינים האלה. סוס ים - גרסה יציבה של החבילה 3.14.0 (גרסאות גבוהות יותר, למשל, V3.20, פגומות ויש להן באגים משמעותיים).

יש ליצור/להפעיל/להוסיף את מפתח ה-PGP רק בסביבת su!

צור מפתח הצפנה אישי

gpg - -gen-key

ייצא את המפתח שלך

gpg --export -o ~/perskey

התקן את הדיסק הלוגי במערכת ההפעלה אם הוא עדיין לא מותקן

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

נקה את מחיצת GRUB2

rm -rf /mnt/

התקן GRUB2 ב-sda6, שים את המפתח הפרטי שלך בתמונת GRUB הראשית "core.img"

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

אפשרויות
* --force - התקן את טוען האתחול, עוקף את כל האזהרות שתמיד קיימות (דגל נדרש).
* —modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - מורה ל-GRUB2 לטעון מראש את המודולים הדרושים כאשר המחשב מופעל.
* -k ~/perskey -נתיב אל "מפתח PGP" (לאחר אריזת המפתח בתמונה, ניתן למחוק אותו).
* --root-directory -הגדר את ספריית האתחול לשורש של sda6
/dev/sda6 - מחיצת ה-sdaX שלך.

יצירה/עדכון של grub.cfg

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

הוסף את השורה "trust /boot/grub/perskey" לסוף הקובץ "grub.cfg" (כפה שימוש במפתח pgp.) מכיוון שהתקנו GRUB2 עם קבוצה של מודולים, כולל מודול החתימה "signature_test.mod", זה מבטל את הצורך להוסיף פקודות כמו "set check_signatures=enforce" ל-config.

זה צריך להיראות משהו כזה (שורות סיום בקובץ grub.cfg)

### BEGIN /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; לאחר מכן
מקור ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; לאחר מכן
מקור $prefix/custom.cfg;
fi
trust /boot/grub/perskey
set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

אין צורך להצביע על הנתיב אל "/boot/grub/perskey" למחיצת דיסק ספציפית, למשל hd0,6; עבור טוען האתחול עצמו, "root" הוא נתיב ברירת המחדל של המחיצה עליה מותקן GRUB2 (ראה סט ריקבון=..).

חתימה על GRUB2 (כל הקבצים בכל ספריות /GRUB) עם המפתח שלך "perskey".
פתרון פשוט כיצד לחתום (עבור nautilus/caja explorer): התקן את התוסף "סוס ים" עבור Explorer מהמאגר. יש להוסיף את המפתח שלך לסביבת su.
פתח את Explorer עם sudo "/mnt/boot" - RMB - סימן. על המסך זה נראה כך

המפתח עצמו הוא "/mnt/boot/grub/perskey" (העתק לספריית grub) חייב להיות חתום גם בחתימה משלך. בדוק שחתימות הקובץ [*.sig] מופיעות בספרייה/ספריות המשנה.
באמצעות השיטה המתוארת לעיל, סימן "/boot" (הליבה שלנו, initrd). אם הזמן שלך שווה משהו, שיטה זו מבטלת את הצורך לכתוב סקריפט bash כדי לחתום על "הרבה קבצים".

כדי להסיר את כל החתימות של טוען האתחול (אם משהו השתבש)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

כדי לא לחתום על טוען האתחול לאחר עדכון המערכת, אנו מקפיאים את כל חבילות העדכונים הקשורות ל-GRUB2.

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

בשלב זה <הגן על טוען האתחול עם חתימה דיגיטלית> הושלמה התצורה המתקדמת של GRUB2.

C6.3. בדיקת הוכחה של טוען האתחול GRUB2, מוגן על ידי חתימה דיגיטלית ואימותGRUB2. בעת בחירת הפצת GNU/Linux כלשהי או כניסה ל-CLI (שורת פקודה) יידרש הרשאת משתמש-על. לאחר הזנת שם המשתמש/הסיסמה הנכונים, תזדקק לסיסמה Initrd

צילום מסך של אימות מוצלח של משתמש העל GRUB2.

אם תתעסק באחד מקבצי GRUB2/תבצע שינויים ב-grub.cfg, או תמחק את הקובץ/חתימה, או טוען module.mod זדוני, תופיע אזהרה מתאימה. GRUB2 ישהה ​​את הטעינה.

צילום מסך, ניסיון להפריע ל-GRUB2 "מבחוץ".

במהלך אתחול "רגיל" "ללא חדירה", מצב קוד היציאה של המערכת הוא "0". לכן, לא ידוע אם ההגנה עובדת או לא (כלומר, "עם או בלי הגנת חתימות של טוען האתחול" במהלך טעינה רגילה, המצב הוא אותו "0" - זה רע).

איך בודקים הגנה על חתימה דיגיטלית?

דרך לא נוחה לבדוק: זיוף/הסר מודול בשימוש GRUB2, למשל, הסר את החתימה luks.mod.sig וקבל שגיאה.

הדרך הנכונה: עבור אל CLI של טוען האתחול והקלד את הפקודה

trust_list

בתגובה, אתה אמור לקבל טביעת אצבע "perskey"; אם המצב הוא "0", אז הגנת חתימה לא עובדת, בדוק שוב את סעיף C6.2.
בשלב זה, הושלמה התצורה המתקדמת "הגנה על GRUB2 עם חתימה דיגיטלית ואימות".

C7 שיטה חלופית להגנה על טוען האתחול GRUB2 באמצעות hashingשיטת "הגנת/אימות מאתחול של CPU" המתוארת לעיל היא קלאסית. בשל חוסר השלמות של GRUB2, בתנאים פרנואידים הוא רגיש להתקפה אמיתית, אותה אתן להלן בפסקה [F]. בנוסף, לאחר עדכון מערכת ההפעלה/קרנל, יש לחתום מחדש על טוען האתחול.

הגנה על טוען האתחול GRUB2 באמצעות hashing

יתרונות על פני קלאסיקות:

• רמת אמינות גבוהה יותר (גיבוש/אימות מתבצע רק ממשאב מקומי מוצפן. כל המחיצה שהוקצתה תחת GRUB2 נשלטת עבור כל שינוי, וכל השאר מוצפן; בסכימה הקלאסית עם הגנה/אימות מטעין מעבד, רק קבצים נשלטים, אך לא בחינם חלל, שבו ניתן להוסיף "משהו" משהו מרושע).
• רישום מוצפן (יומן מוצפן אישי הניתן לקריאה על ידי אדם נוסף לסכימה).
• מהירות (הגנה/אימות של מחיצה שלמה שהוקצתה עבור GRUB2 מתרחשת כמעט באופן מיידי).
• אוטומציה של כל תהליכי ההצפנה.

חסרונות על הקלאסיקה.

• זיוף חתימה (תיאורטית, אפשר למצוא התנגשות של פונקציית גיבוב נתונה).
• רמת קושי מוגברת (בהשוואה לקלאסי, נדרשות קצת יותר מיומנויות במערכת ההפעלה GNU/Linux).

איך עובד רעיון הגיבוב של GRUB2/מחיצה

מחיצת GRUB2 "חתומה"; כאשר מערכת ההפעלה מאתחלת, מחיצת מטעין האתחול נבדקת לא ניתנת לשינוי, ולאחר מכן כניסה לסביבה מאובטחת (מוצפנת). אם טוען האתחול או המחיצה שלו נפגעים, בנוסף ליומן החדירה, יופעל הפרק הבא:

דָבָר.

בדיקה דומה מתרחשת ארבע פעמים ביום, שאינה טוענת משאבי מערכת.
באמצעות הפקודה "-$ check_GRUB", בדיקה מיידית מתרחשת בכל עת ללא רישום, אלא עם פלט מידע ל-CLI.
באמצעות הפקודה "-$ sudo signature_GRUB", טוען/מחיצת האתחול של GRUB2 נחתם מחדש באופן מיידי והרישום שלו מעודכן (הכרחי לאחר עדכון מערכת ההפעלה/אתחול), והחיים ממשיכים.

הטמעת שיטת גיבוב עבור טוען האתחול והקטע שלו

0) בואו נחתום על טוען האתחול/מחיצה GRUB על ידי הרכבה תחילה ב-/media/username

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) אנו יוצרים סקריפט ללא הרחבה בשורש מערכת ההפעלה המוצפנת ~/podpis, מחילים עליו את זכויות האבטחה הדרושות 744 והגנה חסינת תקלות.

מילוי תוכנו

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

אנחנו מריצים את התסריט מ su, הגיבוב של מחיצת GRUB ומטען האתחול שלה ייבדק, שמור את היומן.

בואו ניצור או נעתיק, למשל, "קובץ זדוני" [virus.mod] למחיצת GRUB2 ונפעיל סריקה/בדיקה זמנית:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

ה-CLI חייב לראות פלישה למצודה שלנו#Trimmed כניסה ל-CLI

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

#כפי שאתה יכול לראות, מופיע "קבצים הועברו: 1 וביקורת נכשלה", מה שאומר שהבדיקה נכשלה.
עקב אופי המחיצה הנבדקת, במקום "נמצאו קבצים חדשים" > "קבצים הועברו"

2) שים את ה-gif כאן > ~/warning.gif, הגדר את ההרשאות ל-744.

3) הגדרת fstab לטעינה אוטומטית של מחיצת GRUB בעת האתחול

-$ sudo nano /etc/fstab

LABEL=GRUB /media/username/GRUB ext4 ברירת המחדל 0 0

4) סיבוב היומן

-$ sudo nano /etc/logrotate.d/podpis 

/var/log/podpis.txt {
יומי
סובב 50
גודל 5M
טקסט נתונים
לדחוס
דחיסת דחיסה
olddir /var/log/old
}

/var/log/vtorjenie.txt {
אחת לחודש
סובב 5
גודל 5M
טקסט נתונים
olddir /var/log/old
}

5) הוסף עבודה ל-cron

-$ sudo crontab -e

אתחול מחדש '/מִנוּי'
0 */6 * * * '/podpis

6) יצירת כינויים קבועים

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

לאחר עדכון מערכת ההפעלה -$ apt-get upgrade לחתום מחדש על מחיצת GRUB שלנו
-$ подпись_GRUB
בשלב זה, הגנת הגיבוב של מחיצת GRUB הושלמה.

[ד] ניגוב - השמדת נתונים לא מוצפנים

מחק את הקבצים האישיים שלך בצורה כל כך מלאה ש"אפילו אלוהים לא יכול לקרוא אותם", על פי דובר דרום קרוליינה, טריי גאודי.

כרגיל, ישנם "מיתוסים ו אגדות", על שחזור נתונים לאחר מחיקתם מהכונן הקשיח. אם אתה מאמין בכישוף סייבר, או שאתה חבר בקהילת האינטרנט של Dr ומעולם לא ניסית שחזור נתונים לאחר מחיקתם/החלפתם (לדוגמה, התאוששות באמצעות R-studio), אז לא סביר שהשיטה המוצעת תתאים לך, השתמש במה שהכי קרוב אליך.

לאחר העברת GNU/Linux בהצלחה למחיצה מוצפנת, יש למחוק את העותק הישן ללא אפשרות לשחזור נתונים. שיטת ניקוי אוניברסלית: תוכנה לתוכנת GUI חינמית של Windows/Linux BleachBit.
מהר לעצב את הקטע, שהנתונים עליהם צריכים להיהרס (דרך Gparted) הפעל את BleachBit, בחר "נקה מקום פנוי" - בחר את המחיצה (sdaX שלך עם עותק קודם של GNU/Linux), תהליך ההפשטה יתחיל. BleachBit - מנגב את הדיסק במעבר אחד - זה מה "אנחנו צריכים", אבל! זה עובד רק בתיאוריה אם פירמטת את הדיסק וניקית אותו בתוכנת BB v2.0.

תשומת לב! BB מנגב את הדיסק ומשאיר מטא נתונים; שמות הקבצים נשמרים כאשר הנתונים נמחקים (CCleaner - לא משאיר מטא נתונים).

והמיתוס לגבי האפשרות לשחזור נתונים אינו לגמרי מיתוס.Bleachbit V2.0-2 חבילת Debian OS לא יציבה לשעבר (וכל תוכנה דומה אחרת: sfill; wipe-Nautilus - הבחינו גם בעסק המלוכלך הזה) למעשה היה באג קריטי: הפונקציה "פינוי שטח פנוי". זה עובד בצורה לא נכונה בכונני HDD/Flash (ntfs/ext4). תוכנות מסוג זה, בעת פינוי מקום פנוי, אינן מחליפות את כל הדיסק, כפי שמשתמשים רבים חושבים. וכמה (רב) נתונים שנמחקו מערכת הפעלה/תוכנה מחשיבה את הנתונים האלה כנתונים שלא נמחקו/משתמשים ובעת ניקוי "OSP" היא מדלגת על קבצים אלה. הבעיה היא שאחרי כל כך הרבה זמן, מנקים את הדיסק ניתן לשחזר "קבצים שנמחקו". גם לאחר 3 מעברים של ניגוב הדיסק.
ב-GNU/Linux ב-Bleachbit 2.0-2 הפונקציות של מחיקת קבצים וספריות לצמיתות פועלות בצורה מהימנה, אך אינן מפנה מקום פנוי. לשם השוואה: ב-Windows ב-CCleaner הפונקציה "OSP for ntfs" עובדת כמו שצריך, ואלוהים באמת לא יוכל לקרוא נתונים שנמחקו.

וכך, להסיר ביסודיות "פַּשׁרָנִי" נתונים ישנים לא מוצפנים, Bleachbit צריך גישה ישירה לנתונים האלה, לאחר מכן, השתמש בפונקציה "מחק קבצים/ספריות לצמיתות".
כדי להסיר "קבצים שנמחקו באמצעות כלי מערכת הפעלה סטנדרטיים" ב-Windows, השתמש ב-CCleaner/BB עם הפונקציה "OSP". ב-GNU/Linux על הבעיה הזו (מחק קבצים שנמחקו) אתה צריך להתאמן לבד (מחיקת נתונים + ניסיון עצמאי לשחזר אותם ואין להסתמך על גרסת התוכנה (אם לא סימניה, אז באג)), רק במקרה זה תוכל להבין את המנגנון של בעיה זו ולהיפטר לחלוטין מהנתונים שנמחקו.

לא בדקתי את Bleachbit v3.0, ייתכן שהבעיה כבר תוקנה.
Bleachbit v2.0 עובד ביושר.

בשלב זה, ניגוב הדיסק הושלם.

[ה] גיבוי אוניברסלי של מערכת הפעלה מוצפנת

לכל משתמש יש שיטה משלו לגיבוי נתונים, אך נתוני מערכת הפעלה מוצפנים דורשים גישה מעט שונה למשימה. תוכנות מאוחדות, כגון Clonezilla ותוכנות דומות, אינן יכולות לעבוד ישירות עם נתונים מוצפנים.

הצהרה על הבעיה של גיבוי התקני חסימה מוצפנים:

1. אוניברסליות - אותו אלגוריתם/תוכנה גיבוי עבור Windows/Linux;
2. היכולת לעבוד בקונסולה עם כל GNU/Linux usb חי ללא צורך בהורדות תוכנה נוספות (אבל עדיין ממליץ על GUI);
3. אבטחת עותקי גיבוי - "תמונות" מאוחסנות חייבות להיות מוצפנות/מוגנות באמצעות סיסמה;
4. גודל הנתונים המוצפנים חייב להתאים לגודל הנתונים המועתקים בפועל;
5. חילוץ נוח של קבצים נחוצים מעותק גיבוי (אין צורך לפענח תחילה את כל הקטע).

לדוגמה, גיבוי/שחזור באמצעות כלי השירות "dd".

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

זה מתאים כמעט לכל נקודות המשימה, אבל לפי נקודה 4 הוא לא עומד בביקורת, מכיוון שהוא מעתיק את כל מחיצת הדיסק, כולל מקום פנוי - לא מעניין.

לדוגמה, גיבוי GNU/Linux דרך הארכיון [tar" | gpg] נוח, אבל לגיבוי של Windows אתה צריך לחפש פתרון אחר - זה לא מעניין.

E1. גיבוי אוניברסלי של Windows/Linux. קישור rsync (Grsync)+נפח VeraCryptאלגוריתם ליצירת עותק גיבוי:

1. יצירת מיכל מוצפן (נפח/קובץ) VeraCrypt עבור מערכת ההפעלה;
2. העבר/סנכרן את מערכת ההפעלה באמצעות תוכנת Rsync לתוך מיכל ההצפנה של VeraCrypt;
3. במידת הצורך, העלה את אמצעי האחסון של VeraCrypt אל www.

ליצירת מיכל VeraCrypt מוצפן יש מאפיינים משלה:
יצירת נפח דינמי (יצירת DT זמינה רק ב-Windows, ניתן להשתמש גם ב-GNU/Linux);
יצירת נפח רגיל, אך ישנה דרישה ל"דמות פרנואידית" (לפי היזם) - עיצוב מיכל.

נפח דינמי נוצר כמעט באופן מיידי ב-Windows, אך בעת העתקת נתונים מ-GNU/Linux > VeraCrypt DT, הביצועים הכוללים של פעולת הגיבוי יורדים באופן משמעותי.

נוצר נפח Twofish רגיל של 70 GB (בוא נגיד, בכוח המחשב הממוצע) ל- HDD ~ בעוד חצי שעה (החלפת נתוני המכולה לשעבר במעבר אחד נובעת מדרישות אבטחה). הפונקציה של עיצוב מהיר של אמצעי אחסון בעת ​​יצירתו הוסרה מ-VeraCrypt Windows/Linux, כך שיצירת קונטיינר אפשרית רק באמצעות "שכתוב מחדש במעבר אחד" או יצירת אמצעי אחסון דינמי בעל ביצועים נמוכים.

צור אמצעי אחסון רגילים של VeraCrypt (לא דינמי/ntfs), לא אמורות להיות בעיות.

הגדר/צור/פתח מיכל ב-VeraCrypt GUI> GNU/Linux live usb (עוצמת הקול יורכב אוטומטית ל-/media/veracrypt2, עוצמת הקול של מערכת ההפעלה של Windows יורכב ל-/media/veracrypt1). יצירת גיבוי מוצפן של מערכת ההפעלה Windows באמצעות GUI rsync (grsync)על ידי סימון התיבות.

המתן עד להשלמת התהליך. לאחר השלמת הגיבוי, יהיה לנו קובץ מוצפן אחד.

באופן דומה, צור עותק גיבוי של מערכת ההפעלה GNU/Linux על ידי ביטול הסימון בתיבת הסימון "תאימות Windows" בממשק המשתמש של rsync.

תשומת לב! צור מיכל Veracrypt עבור "גיבוי GNU/Linux" במערכת הקבצים ext4. אם תבצע גיבוי לקונטיינר ntfs, אז כשתשחזר עותק כזה, תאבד את כל הזכויות/קבוצות לכל הנתונים שלך.

ניתן לבצע את כל הפעולות בטרמינל. אפשרויות בסיסיות עבור rsync:
* -g -שמור קבוצות;
* -P — התקדמות — מצב הזמן שהושקע בעבודה על הקובץ;
* -H - העתק קישורים קשיחים כפי שהם;
* -מצב ארכיון (מספר דגלים של rlptgoD);
* -v -מילוליות.

אם ברצונך להעלות "נפח Windows VeraCrypt" דרך המסוף בתוכנת cryptsetup, אתה יכול ליצור כינוי (su)

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

כעת הפקודה "veramount pictures" תבקש ממך להזין ביטוי סיסמה, ונפח מערכת Windows המוצפן יותקן במערכת ההפעלה.

מפה/הר נפח מערכת VeraCrypt בפקודת cryptsetup

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

מפה/הר מחיצת VeraCrypt/מיכל בפקודה cryptsetup

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

במקום כינוי, נוסיף (סקריפט להפעלה) אמצעי אחסון במערכת עם מערכת ההפעלה Windows ודיסק ntfs מוצפן לוגי לאתחול GNU/Linux

צור סקריפט ושמור אותו ב-~/VeraOpen.sh

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

אנו מפיצים את הזכויות "הנכונות":

sudo chmod 100 /VeraOpen.sh

צור שני קבצים זהים (אותו שם!) ב-/etc/rc.local ו-~/etc/init.d/rc.local
מילוי הקבצים

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

אנו מפיצים את הזכויות "הנכונות":

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local 

זהו, כעת בעת טעינת GNU/Linux איננו צריכים להזין סיסמאות כדי להעלות דיסקי ntfs מוצפנים, הדיסקים מותקנים אוטומטית.

הערה בקצרה על מה שמתואר לעיל בפסקה E1 שלב אחר שלב (אבל עכשיו עבור OS GNU/Linux)
1) צור אמצעי אחסון ב-fs ext4 > 4gb (עבור קובץ) לינוקס ב-Veracrypt [Cryptbox].
2) הפעל מחדש ל-USB חי.
3) ~$ cryptsetup פתוח /dev/sda7 Lunux #מיפוי מחיצה מוצפנת.
4) ~$ mount /dev/mapper/Linux /mnt #העלה את המחיצה המוצפנת ל-/mnt.
5) ~$ mkdir mnt2 #יצירת ספרייה לגיבוי עתידי.
6) ~$ cryptsetup open —veracrypt —type tcrypt ~/CryptoBox CryptoBox && mount /dev/mapper/CryptoBox /mnt2 #מפו אמצעי אחסון של Veracrypt בשם "CryptoBox" והעלו את ה-CryptoBox ל-/mnt2.
7) ~$ rsync -avlxhHX —progress /mnt /mnt2/ #פעולת גיבוי של מחיצה מוצפנת לנפח Veracrypt מוצפן.

(נ.ב/ תשומת לב! אם אתה מעביר GNU/Linux מוצפן מארכיטקטורה/מכונה אחת לאחרת, למשל, Intel > AMD (כלומר, פריסת גיבוי ממחיצה מוצפנת אחת למחיצת Intel > AMD מוצפנת אחרת), אל תשכח לאחר העברת מערכת ההפעלה המוצפנת, ערוך את מפתח התחליף הסודי במקום את הסיסמה, אולי. המפתח הקודם ~/etc/skey - לא יתאים יותר למחיצה מוצפנת אחרת, ולא כדאי ליצור מפתח חדש "cryptsetup luksAddKey" מתחת ל-chroot - תיתכן תקלה, רק ב-~/etc/crypttab ציין במקום "/etc/skey" באופן זמני "none" ", לאחר בוט מחדש וכניסה למערכת ההפעלה, צור מחדש את מפתח התו הכללי הסודי שלך שוב).

בתור ותיקי IT, זכרו לבצע גיבויים בנפרד של הכותרות של מחיצות מערכת ההפעלה Windows/Linux המוצפנות, אחרת ההצפנה תפנה נגדכם.
בשלב זה, הגיבוי של מערכת ההפעלה המוצפנת הושלם.

[F] התקפה על טוען האתחול GRUB2

פרטיםאם הגנת על טוען האתחול שלך עם חתימה דיגיטלית ו/או אימות (ראה נקודה C6.), אז זה לא יגן מפני גישה פיזית. נתונים מוצפנים עדיין לא יהיו נגישים, אבל ההגנה תעקוף (אפס את הגנת חתימה דיגיטלית) GRUB2 מאפשר לנבל סייבר להחדיר את הקוד שלו למטען האתחול מבלי לעורר חשד (אלא אם המשתמש עוקב באופן ידני אחר מצב טוען האתחול, או מגיע עם קוד סקריפט שרירותי חזק משלו עבור grub.cfg).

אלגוריתם תקיפה. פּוֹלֵשׁ

* אתחול מחשב מ-USB חי. כל שינוי (מפר) קבצים יודיעו לבעלים האמיתי של המחשב על החדירה לטוען האתחול. אבל התקנה מחדש פשוטה של ​​GRUB2 תוך שמירה על grub.cfg (והיכולת שלאחר מכן לערוך אותו) יאפשר לתוקף לערוך כל קובץ (במצב זה, בעת טעינת GRUB2, המשתמש האמיתי לא יקבל הודעה. הסטטוס זהה <0>)
* מעלה מחיצה לא מוצפנת, מאחסן את "/mnt/boot/grub/grub.cfg".
* מתקין מחדש את טוען האתחול (הסרת "perskey" מתמונת core.img)

grub-install --force --root-directory=/mnt /dev/sda6

* מחזיר את "grub.cfg" > "/mnt/boot/grub/grub.cfg", עורך אותו במידת הצורך, לדוגמה, הוספת המודול שלך "keylogger.mod" לתיקייה עם מודולי הטעינה, ב-"grub.cfg" > שורה "Insmod keylogger". או, למשל, אם האויב ערמומי, אז לאחר התקנה מחדש של GRUB2 (כל החתימות נשארות במקומן) הוא בונה את תמונת GRUB2 הראשית באמצעות "grub-mkimage עם אפשרות (-c)." האפשרות "-c" תאפשר לך לטעון את התצורה שלך לפני טעינת ה-"grub.cfg" הראשי. התצורה יכולה להיות מורכבת משורה אחת בלבד: ניתוב מחדש לכל "modern.cfg", מעורבב, למשל, עם ~400 קבצים (מודולים+חתימות) בתיקייה "/boot/grub/i386-pc". במקרה זה, תוקף יכול להכניס קוד שרירותי ולטעון מודולים מבלי להשפיע על "/boot/grub/grub.cfg", גם אם המשתמש החיל "hashsum" על הקובץ והציג אותו באופן זמני על המסך.
תוקף לא יצטרך לפרוץ את הכניסה/סיסמה של משתמש העל GRUB2; הוא רק יצטרך להעתיק את השורות (אחראי על האימות) "/boot/grub/grub.cfg" ל-"modern.cfg" שלך

set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

ובעל המחשב עדיין יאושר כמשתמש העל GRUB2.

טעינת שרשרת (מטען האתחול טוען טוען אתחול אחר), כפי שכתבתי למעלה, לא הגיוני (זה נועד למטרה אחרת). לא ניתן לטעון טוען אתחול מוצפן עקב BIOS (אתחול השרשרת מופעל מחדש GRUB2 > GRUB2 מוצפן, שגיאה!). עם זאת, אם אתה עדיין משתמש ברעיון של טעינת שרשרת, אתה יכול להיות בטוח שזו המוצפנת שנטענת. (לא מודרניזציה) "grub.cfg" מהמחיצה המוצפנת. וזו גם תחושת ביטחון מזויפת, כי כל מה שמצוין ב-"grub.cfg" המוצפן (טעינת מודול) מתווספת למודולים שנטענים מ-GRUB2 לא מוצפן.

אם ברצונך לבדוק זאת, הקצו/הצפין מחיצה נוספת sdaY, העתק את GRUB2 אליה (פעולת התקנת grub על מחיצה מוצפנת אינה אפשרית) וב-"grub.cfg" (תצורה לא מוצפנת) לשנות קווים כאלה

menuentry 'GRUBx2' --class parrot --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
load_video
insmod gzio
if [x$grub_platform = xxen]; ואז insmod xzio; insmod lzopio; fi
part_msdos insmod
insmod cryptodisk
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
רגיל /boot/grub/grub.cfg
}

קווים
* insmod - טעינת המודולים הדרושים לעבודה עם דיסק מוצפן;
* GRUBx2 - שם השורה המוצגת בתפריט האתחול של GRUB2;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -ראה. fdisk -l (sda9);
* הגדר שורש - התקן שורש;
* רגיל /boot/grub/grub.cfg - קובץ תצורה בר הפעלה על מחיצה מוצפנת.

הביטחון בכך שזהו "grub.cfg" המוצפן שנטען הוא תגובה חיובית להזנת הסיסמה/ביטול הנעילה של "sdaY" בעת בחירת השורה "GRUBx2" בתפריט GRUB.

כשעובדים ב-CLI, כדי לא להתבלבל (ובדוק אם משתנה הסביבה "הגדר שורש" עבד), צור קבצי אסימון ריקים, למשל, בקטע המוצפן "/shifr_grub", בקטע הלא מוצפן "/noshifr_grub". בודק ב-CLI

cat /Tab-Tab

כפי שצוין לעיל, זה לא יעזור נגד הורדת מודולים זדוניים אם מודולים כאלה מגיעים למחשב האישי שלך. לדוגמה, מקלדת שיוכל לשמור הקשות לקובץ ולערבב אותו עם קבצים אחרים ב-"~/i386" עד שיורד על ידי תוקף עם גישה פיזית למחשב האישי.

הדרך הקלה ביותר לוודא שההגנה על חתימה דיגיטלית פועלת באופן פעיל (לא מאופס), ואף אחד לא פלש למטען האתחול, הזן את הפקודה ב-CLI

list_trusted

בתגובה אנו מקבלים עותק של ה"perskey" שלנו, או שאיננו מקבלים דבר אם אנו מותקפים (עליך לסמן גם "set check_signatures=enforce").
חיסרון משמעותי של שלב זה הוא הזנת פקודות באופן ידני. אם תוסיף את הפקודה הזו ל-"grub.cfg" ותגן על התצורה עם חתימה דיגיטלית, אז הפלט הראשוני של תמונת המצב על המסך קצר מדי בתזמון, וייתכן שלא יהיה לך זמן לראות את הפלט לאחר טעינת GRUB2 .
אין למי במיוחד לטעון טענות: היזם בשלו תיעוד סעיף 18.2 מצהיר באופן רשמי

"שים לב שאפילו עם הגנת סיסמה של GRUB, GRUB עצמו לא יכול למנוע ממישהו עם גישה פיזית למכונה לשנות את תצורת הקושחה של המחשב (למשל, Coreboot או BIOS) כדי לגרום למכונה לאתחל מהתקן אחר (הנשלט על ידי תוקף). GRUB הוא במקרה הטוב רק חוליה אחת בשרשרת אתחול מאובטחת."

GRUB2 עמוס מדי בפונקציות שיכולות לתת תחושת אבטחה מזויפת, והפיתוח שלו כבר עלה על MS-DOS מבחינת פונקציונליות, אבל הוא רק טוען אתחול. זה מצחיק ש-GRUB2 - "מחר" יכול להפוך למערכת ההפעלה, ולמכונות וירטואליות של GNU/Linux הניתנות לאתחול עבורה.

סרטון קצר על איך איפסתי את הגנת החתימה הדיגיטלית של GRUB2 והצהרתי על החדירה שלי למשתמש אמיתי (הפחדתי אותך, אבל במקום מה שמוצג בסרטון, אתה יכול לכתוב קוד שרירותי לא מזיק/.mod).

מסקנות:

1) קל יותר ליישם הצפנת מערכת חסימה עבור Windows, והגנה באמצעות סיסמה אחת נוחה יותר מהגנה באמצעות מספר סיסמאות עם הצפנת מערכת חסימת GNU/Linux, למען ההגינות: האחרונה היא אוטומטית.

2) כתבתי את המאמר כרלוונטי ומפורט פשוט מדריך להצפנת דיסק מלא VeraCrypt/LUKS על בית אחד של המכונה, שהיא ללא ספק הטובה ביותר ב-RuNet (IMHO). המדריך הוא באורך של יותר מ-50 אלף תווים, כך שהוא לא כיסה כמה פרקים מעניינים: קריפטוגרפים שנעלמים/נשארים בצל; על העובדה שבספרים שונים של GNU/Linux כותבים מעט/לא כותבים על קריפטוגרפיה; על סעיף 51 של החוקה של הפדרציה הרוסית; O רישוי/לֶאֱסוֹר הצפנה בפדרציה הרוסית, על הסיבה שאתה צריך להצפין "שורש/אתחול". המדריך התברר כמרחיב למדי, אך מפורט. (מתאר אפילו שלבים פשוטים), בתורו, זה יחסוך לך הרבה זמן כשתגיע ל"הצפנה האמיתית".

3) הצפנת דיסק מלאה בוצעה ב-Windows 7 64; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.

4) יישם התקפה מוצלחת על שלו טוען אתחול GRUB2.

5) הדרכה נוצרה כדי לעזור לכל האנשים הפרנואידים בחבר העמים, שבו עבודה עם הצפנה מותרת ברמת החקיקה. ובעיקר למי שרוצה להפעיל הצפנת דיסק מלא מבלי להרוס את המערכות המוגדרות שלהם.

6) עיבד ועידכן את המדריך שלי, שרלוונטי ב-2020.

[ז] תיעוד שימושי

1. מדריך למשתמש של TrueCrypt (פברואר 2012 RU)
2. תיעוד VeraCrypt
3. /usr/share/doc/cryptsetup(-run) [משאב מקומי] (תיעוד מפורט רשמי על הגדרת הצפנת GNU/Linux באמצעות cryptsetup)
4. הגדרת קריפטה רשמית של שאלות נפוצות (תיעוד קצר על הגדרת הצפנת GNU/Linux באמצעות cryptsetup)
5. הצפנת מכשיר LUKS (תיעוד archlinux)
6. תיאור מפורט של תחביר cryptsetup (דף איש קשת)
7. תיאור מפורט של crypttab (דף איש קשת)
8. תיעוד רשמי של GRUB2.

תגיות: הצפנת דיסק מלאה, הצפנת מחיצות, הצפנת דיסק מלאה של לינוקס, הצפנת מערכת מלאה LUKS1.

רק משתמשים רשומים יכולים להשתתף בסקר. להתחברבבקשה.

אתה מצפין?

• 17,1%אני מצפין כל מה שאני יכול. אני פרנואיד.14

• 34,2%אני מצפין רק נתונים חשובים.28

• 14,6%לפעמים אני מצפין, לפעמים אני שוכח.12

• 34,2%לא, אני לא מצפין, זה לא נוח ויקר.28

82 משתמשים הצביעו. 22 משתמשים נמנעו.

מקור: www.habr.com