Windows Linux がインストールされているシステムのフルディスク暗号化。 暗号化されたマルチブート

RuNet V0.2 のフルディスク暗号化に関する独自のガイドを更新しました。

カウボーイ戦略:

[A] Windows 7 システムは、インストールされているシステムの暗号化をブロックします。
[B] GNU/Linux システムブロック暗号化 （デビアン） インストールされているシステム (/bootを含む);
[C] GRUB2 構成、デジタル署名/認証/ハッシュによるブートローダー保護。
[D] ストリッピング - 暗号化されていないデータの破壊。
[E] 暗号化された OS のユニバーサル バックアップ。
[F] 攻撃 <項目 [C6]> ターゲット - GRUB2 ブートローダー;
[G]役立つドキュメント。

╭─── #room40# の図案:
§──╼ Windows 7 がインストールされています - 完全なシステム暗号化、非表示ではありません。
§──╼ GNU/Linux がインストールされている (Debian および派生ディストリビューション) — 隠蔽ではなく完全なシステム暗号化(/、/boot を含む、交換);
§──╼ 独立したブートローダー: VeraCrypt ブートローダーは MBR にインストールされ、GRUB2 ブートローダーは拡張パーティションにインストールされます。
§──╼OS のインストール/再インストールは必要ありません。
使用した暗号化ソフトウェア: VeraCrypt; 暗号化セットアップ; GnuPG; タツノオトシゴ; ハッシュディープ; GRUB2は無料です。

上記のスキームは、「フラッシュ ドライブへのリモート ブート」の問題を部分的に解決し、暗号化された OS Windows/Linux を楽しみ、ある OS から別の OS への「暗号化チャネル」を介してデータを交換できるようにします。

PC の起動順序 (オプションの XNUMX つ):

• 機械の電源を入れる。
• VeraCrypt ブートローダーのロード (正しいパスワードを入力すると、引き続き Windows 7 が起動します);
• 「Esc」キーを押すと、GRUB2 ブートローダーがロードされます。
• GRUB2ブートローダー (ディストリビューション/GNU/Linux/CLIを選択)、GRUB2 スーパーユーザー <ログイン/パスワード> の認証が必要になります。
• 認証が成功し、ディストリビューションを選択した後、パスフレーズを入力して「/boot/initrd.img」のロックを解除する必要があります。
• エラーのないパスワードを入力すると、GRUB2 はパスワードの入力を「要求」します。 (XNUMX 番目、BIOS パスワードまたは GNU/Linux ユーザー アカウント パスワード – 考慮しない) GNU/Linux OS のロックを解除して起動するか、秘密鍵を自動的に置き換えます (XNUMX つのパスワード + キー、またはパスワード + キー);
• GRUB2 構成に外部から侵入すると、GNU/Linux ブート プロセスがフリーズします。

面倒ですか？ さて、プロセスを自動化しましょう。

ハードドライブをパーティション分割する場合 (MBRテーブル) PC には、最大 4 つのメイン パーティション、または 3 つのメイン パーティションと XNUMX つの拡張パーティション、および未割り当て領域を含めることができます。 メインセクションとは異なり、拡張セクションにはサブセクションを含めることができます (論理ドライブ=拡張パーティション)。 言い換えれば、HDD 上の「拡張パーティション」は、システム全体の暗号化という当面のタスクのために LVM を置き換えます。 ディスクが 4 つのメイン パーティションに分割されている場合は、lvm を使用するか、変換する必要があります。 (フォーマットあり) セクションをメインからアドバンスまで選択するか、XNUMX つのセクションすべてを賢明に使用してすべてをそのままにし、望ましい結果を得ることができます。 ディスク上に XNUMX つのパーティションがある場合でも、Gparted は HDD のパーティション分割を支援します。 (追加セクション用) データの損失はありませんが、そのような操作に対して若干のペナルティが発生します。

ハードドライブのレイアウトスキームは、記事全体の言語化に関連して、以下の表に示されています。

1TB パーティションのテーブル (その 1)。

あなたも同様のものを持っているはずです。
sda1 - メインパーティション No.1 NTFS (暗号化されています);
sda2 - 拡張セクションマーカー。
sda6 - 論理ディスク (GRUB2 ブートローダーがインストールされています);
sda8 - スワップ (暗号化されたスワップ ファイル/常にではない);
sda9 - テスト論理ディスク。
sda5 - 好奇心旺盛な人向けの論理ディスク。
sda7 - GNU/Linux OS (OS を暗号化された論理ディスクに転送);
sda3 - メイン パーティション No. 2 (Windows 7 OS) (暗号化されています);
sda4 - メインセクション No.3 (暗号化されていない GNU/Linux が含まれており、バックアップに使用されますが、常に使用されるわけではありません).

[A] Windows 7のシステムブロック暗号化

A1. ベラクリプト

ダウンロードから 公式サイト、または鏡から ソースフォージ VeraCrypt暗号化ソフトウェアのインストールバージョン (記事 v1.24-Update3 の公開時点では、VeraCrypt のポータブル バージョンはシステム暗号化に適していません)。 ダウンロードしたソフトウェアのチェックサムを確認する

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

そしてその結果を VeraCrypt 開発者 Web サイトに掲載されている CS と比較します。

HashTab ソフトウェアがインストールされている場合は、さらに簡単です: RMB (VeraCrypt セットアップ 1.24.exe)-properties - ファイルのハッシュ合計。

プログラムの署名を検証するには、ソフトウェアと開発者の公開 PGP キーがシステムにインストールされている必要があります gnuPG; gpg4win.

A2. 管理者権限で VeraCrypt ソフトウェアをインストール/実行する

A3. アクティブなパーティションのシステム暗号化パラメータの選択VeraCrypt – システム – システム パーティション/ディスクの暗号化 – 通常 – Windows システム パーティションの暗号化 – マルチブート – (警告: 「経験の浅いユーザーはこの方法を使用することをお勧めしません」。これは真実であり、私たちは「はい」に同意します) – ブートディスク （「はい」、そうでなくても「はい」） – システムディスクの数「2 つ以上」 – XNUMX つのディスク上に複数のシステムを搭載 “はい” – 非 Windows ブートローダー “いいえ” (実際には「はい」ですが、VeraCrypt/GRUB2 ブート ローダーはそれらの間で MBR を共有しません。より正確には、ブート ローダー コードの最小部分のみが MBR/ブート トラックに保存され、その主要部分はファイル システム内にあります) – マルチブート – 暗号化設定…

上記の手順から逸脱した場合 (ブロックシステム暗号化スキーム）、その場合、VeraCryptは警告を発行し、パーティションの暗号化を許可しません。

対象を絞ったデータ保護に向けた次のステップでは、「テスト」を実施し、暗号化アルゴリズムを選択します。 古い CPU を使用している場合、最も高速な暗号化アルゴリズムは Twofish である可能性が高くなります。 CPU が強力であれば、違いに気づくでしょう。テスト結果によると、AES 暗号化は、競合他社の暗号化よりも数倍高速です。 AES は一般的な暗号化アルゴリズムであり、最新の CPU のハードウェアは「秘密」と「ハッキング」の両方に対して特別に最適化されています。

VeraCrypt は、AES カスケードでディスクを暗号化する機能をサポートしています(トゥーフィッシュ)/その他の組み合わせ。 XNUMX 年前の古いコア Intel CPU を搭載 (AES、A/T カスケード暗号化のハードウェア サポートなし) パフォーマンスの低下は基本的には感知できません。 (同時代/~パラメータのAMD CPUの場合、パフォーマンスが若干低下します)。 OS は動的に動作し、透過的な暗号化によるリソースの消費は目に見えません。 対照的に、たとえば、不安定なテスト デスクトップ環境 Mate v1.20.1 がインストールされているため、パフォーマンスが著しく低下しています。 (正確には覚えていませんが、v1.20.2 でしたか) GNU/Linux の場合、または Windows7↑ のテレメトリ ルーチンの動作によるものです。 通常、経験豊富なユーザーは、暗号化の前にハードウェア パフォーマンス テストを実施します。 たとえば、Aida64/Sysbench/systemd-analyze では、システムを暗号化した後の同じテストの結果と非難が比較され、それによって「システムの暗号化は有害である」という通説自体が否定されます。 暗号化されたデータをバックアップ/復元する場合、マシンの速度の低下と不便さが顕著になります。これは、「システム データのバックアップ」操作自体がミリ秒単位で測定されず、同じ <実行中の復号化/暗号化> が追加されるためです。 最終的に、暗号化をいじることを許可されている各ユーザーは、当面のタスクの満足度、被害妄想のレベル、使いやすさと照らし合わせて暗号化アルゴリズムのバランスをとります。

OS をロードするときに毎回正確な反復値を入力する必要がないように、PIM パラメータをデフォルトのままにすることをお勧めします。 VeraCrypt は、真の「遅いハッシュ」を作成するために膨大な数の反復を使用します。 ブルート フォース/レインボー テーブル手法を使用したこのような「暗号カタツムリ」への攻撃は、短い「単純な」パスフレーズと被害者の個人的な文字セット リストがなければ意味がありません。 パスワードの強度を高める代償として、OS のロード時に正しいパスワードを入力するのが遅くなります。 (GNU/Linux での VeraCrypt ボリュームのマウントは大幅に高速になります)。
ブルートフォース攻撃を実行するための無料ソフトウェア (VeraCrypt/LUKS ディスクヘッダーからパスフレーズを抽出) ハッシュキャット。 John the Ripper は「Veracrypt を破る」方法を知りません。また、LUKS を使用する場合、Twofish 暗号化を理解できません。

暗号化アルゴリズムの暗号強度により、止められないサイファーパンクは、異なる攻撃ベクトルを備えたソフトウェアを開発しています。 たとえば、RAM からのメタデータ/キーの抽出 (コールド ブート/ダイレクト メモリ アクセス攻撃)、 これらの目的に特化した無料ソフトウェアと非フリー ソフトウェアが存在します。

暗号化されたアクティブ パーティションの「固有のメタデータ」のセットアップ/生成が完了すると、VeraCrypt は PC を再起動し、ブート ローダーの機能をテストするよう提案します。 Windows を再起動/起動した後、VeraCrypt はスタンバイ モードでロードされます。残っているのは暗号化プロセスを確認することだけです - Y.

システム暗号化の最終ステップで、VeraCrypt はアクティブな暗号化パーティションのヘッダーのバックアップ コピーを「veracryptrescuedisk.iso」の形式で作成することを提案します - これは必ず実行する必要があります - このソフトウェアではそのような操作が必須です (LUKS では要件として - 残念ながらこれは省略されていますが、ドキュメントでは強調されています)。 レスキュー ディスクは誰にとっても、また何度も役立つ人もいます。 損失 (ヘッダー/MBR書き換え) ヘッダーのバックアップ コピーは、OS Windows での復号化されたパーティションへのアクセスを永久に拒否します。

A4. VeraCrypt レスキュー USB/ディスクの作成デフォルトでは、VeraCrypt は「〜 2 ～ 3MB のメタデータ」を CD に書き込むことを提案していますが、すべての人がディスクや DWD-ROM ドライブを持っているわけではなく、ブート可能なフラッシュ ドライブ「VeraCrypt レスキュー ディスク」を作成することは、一部の人にとっては技術的な驚きとなるでしょう。 Rufus /GUIdd-ROSA ImageWriter や他の同様のソフトウェアは、オフセット メタデータをブート可能なフラッシュ ドライブにコピーすることに加えて、USB ドライブのファイル システムの外部にイメージをコピー/ペーストする必要があるため、このタスクに対処できません。つまり、MBR/道路をキーチェーンに正しくコピーします。 この記号を確認すると、「dd」ユーティリティを使用して GNU/Linux OS からブート可能なフラッシュ ドライブを作成できます。

Windows 環境でのレスキュー ディスクの作成は異なります。 VeraCryptの開発者は、この問題の解決策を公式に含めていませんでした。 ドキュメンテーション 彼は「レスキュー ディスク」によって解決策を提案しましたが、別の方法で解決策を提案しました。彼は、無料でアクセスできる「USB レスキュー ディスク」を作成するための追加ソフトウェアを VeraCrypt フォーラムに投稿しました。 この Windows 用ソフトウェアのアーキビストは「USB veracrypt レスキュー ディスクの作成」です。 レスキュー Disk.iso を保存した後、アクティブ パーティションのブロック システム暗号化のプロセスが開始されます。 暗号化中はOSの動作が停止せず、PCの再起動も必要ありません。 暗号化操作が完了すると、アクティブなパーティションは完全に暗号化され、使用できるようになります。 PC の起動時に VeraCrypt ブート ローダーが表示されず、ヘッダー回復操作が役に立たない場合は、「ブート」フラグを確認してください。Windows が存在するパーティションに設定されている必要があります。 (暗号化や他のOSに関係なく、表No.1を参照してください)。
以上でWindows OSにおけるブロック方式暗号化についての説明を終わります。

[B]ルークス。 GNU/Linux 暗号化 (~Debian) インストールされているOS。 アルゴリズムと手順

インストールされている Debian/派生ディストリビューションを暗号化するには、準備したパーティションを仮想ブロック デバイスにマッピングし、マッピングされた GNU/Linux ディスクに転送して、GRUB2 をインストール/構成する必要があります。 ベア メタル サーバーがなく、時間を重視する場合は、GUI を使用する必要があります。また、以下で説明するターミナル コマンドのほとんどは、「チャック ノリス モード」で実行するように設計されています。

B1. ライブUSB GNU/LinuxからPCを起動する

「ハードウェアのパフォーマンスについて暗号テストを実施する」

lscpu && сryptsetup benchmark

AES ハードウェア サポートを備えた強力な車の幸せなオーナーの場合、番号はターミナルの右側のように表示されますが、アンティーク ハードウェアを備えた幸せなオーナーの場合、番号は左側のように表示されます。

B2. ディスクのパーティショニング。 fs 論理ディスク HDD を Ext4 (Gparted) にマウント/フォーマットする

B2.1. 暗号化された sda7 パーティション ヘッダーの作成上で投稿したパーティション表に従って、パーティションの名前をここでさらに説明します。 ディスク レイアウトに従って、パーティション名を置き換える必要があります。

論理ドライブ暗号化マッピング (/dev/sda7 > /dev/mapper/sda7_crypt)。
#「LUKS-AES-XTSパーティション」を簡単作成

cryptsetup -v -y luksFormat /dev/sda7

オプション：

* luksFormat - LUKS ヘッダーの初期化。
* -y -パスフレーズ (キー/ファイルではありません);
* -v -verbalization (ターミナルに情報を表示);
* /dev/sda7 - 拡張パーティションの論理ディスク (GNU/Linux の転送/暗号化が予定されている場合).

デフォルトの暗号化アルゴリズム <LUKS1: aes-xts-plain64、キー: 256 ビット、LUKS ヘッダー ハッシュ: sha256、RNG: /dev/urandom> (cryptsetup のバージョンによって異なります)。

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

CPU 上で AES に対するハードウェア サポートがない場合、最良の選択は、拡張された「LUKS-Twofish-XTS パーティション」を作成することです。

B2.2. 「LUKS-Twofish-XTS-パーティション」の高度な作成

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

オプション：
* luksFormat - LUKS ヘッダーの初期化。
* /dev/sda7 は将来の暗号化論理ディスクです。
* -v 言語化;
* -y パスフレーズ;
* -c データ暗号化アルゴリズムを選択します。
* -s 暗号化キーのサイズ。
* -h ハッシュ アルゴリズム/暗号化関数、RNG を使用 (--使用-ランダム) 論理ディスクヘッダーの一意の暗号化/復号化キー、セカンダリヘッダーキー (XTS) を生成します。 暗号化されたディスク ヘッダーに保存されている一意のマスター キー、セカンダリ XTS キー、これらすべてのメタデータ、およびマスター キーとセカンダリ XTS キーを使用してパーティション上のすべてのデータを暗号化/復号化する暗号化ルーチン (セクションタイトルを除く) 選択したハードディスク パーティション上の約 3MB に保存されます。
* -i は「量」の代わりにミリ秒単位で繰り返します。 (パスフレーズを処理する際の時間遅延は、OS のロードとキーの暗号強度に影響します)。 暗号強度のバランスを維持するには、「Russian」のような単純なパスワードの場合は -(i) の値を増やす必要がありますが、「?8dƱob/øfh」のような複雑なパスワードの場合は値を減らすことができます。
* -urandom 乱数ジェネレーターを使用し、キーとソルトを生成します。

セクション sda7 > sda7_crypt をマッピングした後 (暗号化されたヘッダーが約 3 MB のメタデータで作成されるだけなので、操作は高速です)、sda7_crypt ファイル システムをフォーマットしてマウントする必要があります。

B2.3. 比較

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

オプション:
* 開く - 「名前付き」セクションと一致します。
* /dev/sda7 - 論理ディスク;
* sda7_crypt - 暗号化されたパーティションをマウントするか、OS の起動時に初期化するために使用される名前マッピング。

B2.4. sda7_crypt ファイル システムを ext4 にフォーマットします。 OSへのディスクのマウント(注: Gparted では暗号化されたパーティションを操作することはできません)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt 

オプション:
* -v -言語化;
* -L - ドライブ ラベル (他のドライブとともにエクスプローラーに表示されます)。

次に、仮想暗号化ブロックデバイス /dev/sda7_crypt をシステムにマウントする必要があります。

mount /dev/mapper/sda7_crypt /mnt

/mnt フォルダー内のファイルを操作すると、sda7 内のデータが自動的に暗号化/復号化されます。

エクスプローラーでパーティションをマップしてマウントすると便利です。 (ノーチラス/カハ GUI)の場合、パーティションはすでにディスク選択リストに含まれており、残っているのはディスクを開く/復号化するためのパスフレーズを入力することだけです。 一致した名前は自動的に選択され、「sda7_crypt」ではなく、/dev/mapper/Luks-xx-xx... のような名前が選択されます。

B2.5。 ディスクヘッダーのバックアップ (~3MB メタデータ)一番の一つ 重要 遅滞なく実行する必要がある操作 - 「sda7_crypt」ヘッダーのバックアップ コピー。 ヘッダーを上書き・破損した場合 (例: GRUB2 を sda7 パーティションにインストールするなど)を実行すると、同じキーを再生成することが不可能になり、キーは独自に作成されるため、暗号化されたデータは完全に失われ、復元することはできません。

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7 

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

オプション:
* luksHeaderBackup —ヘッダー バックアップ ファイル -バックアップ コマンド;
* luksHeaderRestore —ヘッダーバックアップファイル -restore コマンド;
* ~/Backup_DebSHIFR - バックアップ ファイル;
* /dev/sda7 - 暗号化されたディスク ヘッダーのバックアップ コピーが保存されるパーティション。
これで＜暗号化パーティションの作成と編集＞は完了です。

B3. GNU/Linux OSの移植 (sda4) 暗号化されたパーティションに (sda7)

フォルダー/mnt2を作成します (注 - 私たちはまだライブ USB で作業しています。sda7_crypt は /mnt にマウントされています)、暗号化する必要がある GNU/Linux を /mnt2 にマウントします。

mkdir /mnt2
mount /dev/sda4 /mnt2

Rsyncソフトウェアを使用して正確なOS転送を実行します

rsync -avlxhHX --progress /mnt2/ /mnt

Rsync オプションについては段落 E1 で説明されています。

次に 必要 論理ディスクパーティションをデフラグする

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

HDD がある場合は、暗号化された GNU/LINux で e4defrag を時々実行することをルールにしてください。
転送と同期 [GNU/Linux > GNU/Linux 暗号化] はこのステップで完了します。

AT4。 暗号化された sda7 パーティションでの GNU/Linux のセットアップ

OS /dev/sda4 > /dev/sda7 を正常に転送した後、暗号化されたパーティション上の GNU/Linux にログインし、さらに構成を実行する必要があります。 (PCの再起動なし) 暗号化されたシステムに対して。 つまり、ライブ USB 内にありますが、「暗号化された OS のルートに関連して」コマンドを実行します。 「chroot」は同様の状況をシミュレートします。 現在使用している OS に関する情報をすぐに受け取るには (sda4 と sda7 のデータは同期されているため、暗号化されているかどうかは関係ありません)、OSの同期を解除します。 ルートディレクトリに作成 (sda4/sda7_crypt) 空のマーカー ファイル (/mnt/encryptedOS や /mnt2/decryptedOS など)。 使用している OS をすぐに確認する (将来を含む):

ls /<Tab-Tab>

B4.1. 「暗号化されたOSへのログインシミュレーション」

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. 暗号化されたシステムに対して作業が実行されていることを確認する

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. 暗号化スワップの作成/構成、crypttab/fstab の編集スワップ ファイルは OS が起動するたびにフォーマットされるため、ここでスワップを作成して論理ディスクにマップし、B2.2 項のようにコマンドを入力することは意味がありません。 スワップの場合、開始のたびに独自の一時暗号化キーが自動的に生成されます。 スワップキーのライフサイクル: スワップパーティションのアンマウント/アンマウント (+RAMのクリーニング); またはOSを再起動してください。 スワップを設定し、ブロック暗号化デバイスの構成を担当するファイルを開く (fstab ファイルに似ていますが、暗号化を担当します)。

nano /etc/crypttab 

私たちは編集します

#「ターゲット名」「ソースデバイス」「キーファイル」「オプション」
swap /dev/sda8 /dev/urandom swap、cipher=twofish-xts-plain64、size=512、hash=sha512

オプション
* swap - /dev/mapper/swap を暗号化するときにマップされた名前。
* /dev/sda8 - スワップに論理パーティションを使用します。
* /dev/urandom - スワップ用のランダム暗号化キーのジェネレーター (新しい OS が起動するたびに、新しいキーが作成されます)。 /dev/urandom ジェネレーターは、/dev/random よりもランダム性が低く、結局のところ、/dev/random は危険な偏執的な状況で作業するときに使用されます。 OS をロードするときに、/dev/random によりロードが数±分間遅くなります。 (systemd-analyze を参照).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: - パーティションは、それがスワップであることを認識し、「それに応じて」フォーマットされます。 暗号化アルゴリズム。

#Открываем и правим fstab
nano /etc/fstab

私たちは編集します

＃インストール中にスワップが/ dev / sda8にありました
/dev/mapper/swap なし スワップ sw 0 0

/dev/mapper/swap は crypttab で設定した名前です。

代替の暗号化スワップ
何らかの理由で、スワップ ファイル用にパーティション全体を使用したくない場合は、別のより良い方法、つまり OS で暗号化されたパーティション上のファイルにスワップ ファイルを作成することができます。

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

スワップパーティションの設定が完了しました。

B4.4. 暗号化された GNU/Linux のセットアップ (crypttab/fstab ファイルの編集)/etc/crypttab ファイルには、上で説明したように、システムの起動時に設定される暗号化されたブロック デバイスが記述されています。

#правим /etc/crypttab 
nano /etc/crypttab 

段落 B7 のように sda7>sda2.1_crypt セクションと一致した場合

# "ターゲット名" "ソースデバイス" "キーファイル" "オプション"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

段落 B7 のように sda7>sda2.2_crypt セクションと一致した場合

# "ターゲット名" "ソースデバイス" "キーファイル" "オプション"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

段落 B7 または B7 のように sda2.1>sda2.2_crypt セクションと一致したが、OS のロックを解除して起動するためにパスワードを再入力したくない場合は、パスワードの代わりに秘密キー/ランダム ファイルを使用できます。

# "ターゲット名" "ソースデバイス" "キーファイル" "オプション"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

説明
* none - OS のロード時に、ルートのロックを解除するために秘密のパスフレーズの入力が必要であることを報告します。
* UUID - パーティション識別子。 IDを確認するには、ターミナルに入力してください (これ以降、別のライブ USB 端末ではなく、chroot 環境の端末で作業することになることに注意してください)。

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное 

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

この行は、sda7_crypt がマウントされたライブ USB ターミナルから blkid をリクエストするときに表示されます)。
sdaX から UUID を取得します (sdaX_crypt! ではなく、UUID sdaX_crypt - grub.cfg 構成の生成時に自動的に残されます)。
* cipher=twofish-xts-plain64,size=512,hash=sha512 - 詳細モードでの luks 暗号化。
* /etc/skey - OS ブートのロックを解除するために自動的に挿入される秘密キー ファイル (3 番目のパスワードを入力する代わりに)。 最大 8MB までの任意のファイルを指定できますが、データは 1MB 未満で読み取られます。

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7 

次のようになります。

（自分でやってみて、自分の目で見てください）。

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab には、さまざまなファイル システムに関する説明情報が含まれています。

#Правим /etc/fstab
nano /etc/fstab

# "ファイルシステム" "マウントポイント" "タイプ" "オプション" "ダンプ" "パス"
＃/インストール中に/ dev / sda7にありました
/dev/mapper/sda7_crypt / ext4 エラー=再マウント ro 0 1

オプション
* /dev/mapper/sda7_crypt - sda7>sda7_crypt マッピングの名前。/etc/crypttab ファイルで指定されます。
crypttab/fstabのセットアップが完了しました。

B4.5。 設定ファイルの編集。 重要な瞬間B4.5.1. 構成 /etc/initramfs-tools/conf.d/resume の編集

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

そしてコメントアウトしてください (存在する場合) 「#」行は「再開」です。 ファイルは完全に空である必要があります。

B4.5.2. 構成 /etc/initramfs-tools/conf.d/cryptsetup の編集

nano /etc/initramfs-tools/conf.d/cryptsetup

一致するはずです

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=はい
CRYPTSETUP をエクスポートする

B4.5.3. /etc/default/grub 構成の編集 (この設定は、暗号化された /boot を操作するときに grub.cfg を生成する機能を担当します)

nano /etc/default/grub

「GRUB_ENABLE_CRYPTODISK=y」という行を追加します
値が 'y' の場合、grub-mkconfig および grub-install は暗号化されたドライブをチェックし、起動時にそれらにアクセスするために必要な追加コマンドを生成します。 (insmods ).
類似点があるはずです

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || エコー Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=ベンダー"
GRUB_CMDLINE_LINUX="自動マウントなしの静かなスプラッシュ"
GRUB_ENABLE_CRYPTODISK=y

B4.5.4. 構成 /etc/cryptsetup-initramfs/conf-hook の編集

nano /etc/cryptsetup-initramfs/conf-hook

ラインを確認してください<#> をコメントアウトしました。
将来は (そして現在でも、このパラメータには何の意味もありませんが、場合によっては initrd.img イメージの更新に干渉することがあります)。

B4.5.5. 構成 /etc/cryptsetup-initramfs/conf-hook の編集

nano /etc/cryptsetup-initramfs/conf-hook

追加

KEYFILE_PATTERN=”/etc/skey”
UMASK=0077

これにより、秘密キー「skey」が initrd.img にパックされます。このキーは、OS の起動時にルートのロックを解除するために必要です。 (パスワードを再度入力したくない場合は、車のキーの代わりに「スキー」キーを使用します)。

B4.6. /boot/initrd.img [バージョン] を更新します秘密キーを initrd.img にパックし、cryptsetup の修正を適用するには、イメージを更新します

update-initramfs -u -k all

initrd.img を更新するとき （彼らは「可能性はあるが、確実ではない」と言います） cryptsetup に関連する警告が表示されたり、Nvidia モジュールの損失に関する通知などが表示されますが、これは正常です。 ファイルを更新した後、実際に更新されたことを確認し、時間を確認します (chroot 環境./boot/initrd.img に対して)。 警告！ [update-initramfs -u -k all] の前に、cryptsetup が /dev/sda7 で開いていることを必ず確認してください。 sda7_crypt - これは /etc/crypttab に表示される名前です。そうでない場合は、再起動後に Busybox エラーが発生します)
このステップで、構成ファイルのセットアップは完了です。

[C] GRUB2/Protection のインストールと構成

C1. 必要に応じて、ブートローダー専用のパーティションをフォーマットします (パーティションには少なくとも 20MB が必要です)。

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. /dev/sda6 を /mnt にマウントしますしたがって、chroot で作業すると、ルートには /mnt2 ディレクトリは存在せず、/mnt フォルダーは空になります。
GRUB2パーティションをマウントする

mount /dev/sda6 /mnt

古いバージョンの GRUB2 がインストールされている場合は、/mnt/boot/grub/i-386-pc ディレクトリに (他のプラットフォームも可能です。たとえば、「i386-pc」ではありません) 暗号化モジュールはありません (つまり、フォルダーには、.mod: cryptodisk、luks、gcry_twofish、gcry_sha512、signature_test.mod などのモジュールが含まれている必要があります)、 この場合、GRUB2 をシェイクする必要があります。

apt-get update
apt-get install grub2 

重要！ リポジトリから GRUB2 パッケージを更新するときに、ブートローダーをインストールする場所の「選択」について尋ねられた場合、インストールを拒否する必要があります (理由 - GRUB2 をインストールしようとした - 「MBR」またはライブ USB に)。 そうしないと、VeraCrypt ヘッダー/ローダーが損傷します。 GRUB2 パッケージを更新してインストールをキャンセルした後、ブート ローダーは MBR ではなく論理ディスクに手動でインストールする必要があります。 リポジトリに古いバージョンの GRUB2 がある場合は、次のことを試してください。 アップデート 公式ウェブサイトからのものですが、確認していません (最新の GRUB 2.02 ~BetaX ブートローダーで動作しました)。

C3. 拡張パーティションへの GRUB2 のインストール [sda6]マウントされたパーティションが必要です [項目 C.2]

grub-install --force --root-directory=/mnt /dev/sda6

オプション
* —force - ブートローダーのインストール。ほとんどの場合に存在し、インストールをブロックするすべての警告をバイパスします。 (必須フラグ)。
* --root-directory - ディレクトリのインストールsda6のルートに。
* /dev/sda6 - sdaХ パーティション (/mnt /dev/sda6 間の <space> を忘れないでください)。

C4. 設定ファイル[grub.cfg]の作成「update-grub2」コマンドを忘れて、完全な設定ファイル生成コマンドを使用してください。

grub-mkconfig -o /mnt/boot/grub/grub.cfg

grub.cfg ファイルの生成/更新が完了すると、出力ターミナルにはディスク上で見つかった OS を示す行が含まれるはずです。 (Windows 10 と多数のライブ ディストリビューションがインストールされたマルチブート フラッシュ ドライブがある場合、「grub-mkconfig」はおそらくライブ USB から OS を見つけて取得します。これは正常です)。 ターミナルが「空」で「grub.cfg」ファイルが生成されない場合、これはシステムに GRUB バグがある場合と同じです。 (そしておそらくリポジトリのテスト ブランチからのローダー)、 信頼できるソースから GRUB2 を再インストールします。
「簡易構成」のインストールと GRUB2 のセットアップが完了しました。

C5. 暗号化されたGNU/Linux OSの実証テスト私たちは暗号ミッションを正しく完了しました。 暗号化された GNU/Linux を慎重に離れる (chroot環境を終了します)。

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

PC を再起動すると、VeraCrypt ブートローダーがロードされるはずです。


*アクティブ パーティションのパスワードを入力すると、Windows の読み込みが開始されます。
*暗号化された GNU/Linux を選択した場合、「Esc」キーを押すと制御が GRUB2 に移ります - /boot/initrd.img のロックを解除するにはパスワード (sda7_crypt) が必要になります (grub2 が uuid を「見つかりません」と書き込んだ場合 - これはgrub2 ブートローダーに問題がある場合は、テスト ブランチ/安定版などから再インストールする必要があります。


*システムの構成方法に応じて (B4.4/4.5 項を参照)、正しいパスワードを入力して /boot/initrd.img イメージのロックを解除した後、OS カーネル/ルート、またはシークレットをロードするためのパスワードが必要になります。 key は自動的に「skey」に置き換えられるため、パスフレーズを再入力する必要がなくなります。

（「秘密鍵の自動置換」画面）

*その後、ユーザー アカウント認証を使用して GNU/Linux をロードするおなじみのプロセスが続きます。


※ユーザー認証後、OSにログイン後、/boot/initrd.imgを再度更新する必要があります （B4.6を参照）。

update-initramfs -u -k all

GRUB2 メニューに余分な行がある場合 (ライブ USB を使用した OS-m ピックアップから) それらを取り除く

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

GNU/Linux システム暗号化の簡単な概要:

• GNU/Linuxinux は、/boot/kernel と initrd を含めて完全に暗号化されています。
• 秘密鍵は initrd.img にパッケージ化されています。
• 現在の認可スキーム (initrdのロックを解除するためのパスワード、OSを起動するためのパスワード/キー、Linuxアカウントを認証するためのパスワードを入力します).

「Simple GRUB2 Configuration」システムによるブロックパーティションの暗号化が完了しました。

C6. 高度な GRUB2 構成。 デジタル署名 + 認証保護によるブートローダー保護GNU/Linux は完全に暗号化されていますが、ブートローダーは暗号化できません。この条件は BIOS によって決まります。 このため、GRUB2 のチェーン暗号化ブートは不可能ですが、単純なチェーンブートは可能/利用可能ですが、セキュリティの観点からは必要ありません [参照] P.F]。
「脆弱な」GRUB2 に対して、開発者は「署名/認証」ブートローダー保護アルゴリズムを実装しました。

• ブートローダーが「独自のデジタル署名」によって保護されている場合、外部からファイルを変更したり、このブートローダーに追加モジュールをロードしようとすると、ブート プロセスがブロックされます。
• ブートローダーを認証で保護する場合、ディストリビューションのロードを選択するか、CLI で追加のコマンドを入力するには、スーパーユーザー GRUB2 のログインとパスワードを入力する必要があります。

C6.1. ブートローダー認証保護暗号化された OS 上のターミナルで作業していることを確認してください

ls /<Tab-Tab> #обнаружить файл-маркер

GRUB2で認可用のスーパーユーザーパスワードを作成する

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. 

パスワードのハッシュを取得します。 このようなもの

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

GRUB パーティションをマウントする

mount /dev/sda6 /mnt 

構成を編集する

nano -$ /mnt/boot/grub/grub.cfg 

ファイル検索で「grub.cfg」（「-unrestricted」「-user」、
一番最後に追加します (行 ### END /etc/grub.d/41_custom ### の前)
"set superusers="root"
パスワード_pbkdf2 ルート ハッシュ。」

このようなものになるはずです

# このファイルは、カスタム メニュー エントリを追加する簡単な方法を提供します。 単に次のように入力するだけです
# このコメントの後に追加するメニュー エントリ。 変更しないように注意してください
＃上記の「exectail」行。
### 終了 /etc/grub.d/40_custom ###

### 開始 /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; それから
ソース ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; それから
ソース $prefix/custom.cfg;
fi
スーパーユーザー = "ルート" を設定します
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### 終了 /etc/grub.d/41_custom ###
#

コマンド「grub-mkconfig -o /mnt/boot/grub/grub.cfg」を頻繁に使用し、毎回 grub.cfg を変更したくない場合は、上記の行を入力します。 （ログインパスワード） 一番下にある GRUB ユーザー スクリプト内

nano /etc/grub.d/41_custom 

猫 <<EOF
スーパーユーザー = "ルート" を設定します
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

構成「grub-mkconfig -o /mnt/boot/grub/grub.cfg」を生成すると、認証を担当する行が grub.cfg に自動的に追加されます。
この手順により、GRUB2 認証のセットアップが完了します。

C6.2. デジタル署名によるブートローダー保護個人用の PGP 暗号化キーをすでに持っていることを前提としています。 (またはそのようなキーを作成します)。 システムには暗号化ソフトウェア gnuPG がインストールされている必要があります。 クレオパトラ/GPA; タツノオトシゴ。 暗号化ソフトウェアは、このような問題すべてにおいてあなたの生活をずっと楽にしてくれます。 Seahorse - パッケージの安定バージョン 3.14.0 (V3.20 などのそれ以降のバージョンには欠陥があり、重大なバグがあります)。

PGP キーは su 環境でのみ生成、起動、追加する必要があります。

個人の暗号化キーを生成する

gpg - -gen-key

キーをエクスポートする

gpg --export -o ~/perskey

論理ディスクがまだマウントされていない場合は、OS にマウントします。

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

GRUB2パーティションをクリーンアップする

rm -rf /mnt/

sda2 に GRUB6 をインストールし、メイン GRUB イメージ「core.img」に秘密キーを置きます。

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

オプション
* --force - 常に存在するすべての警告をバイパスして、ブートローダーをインストールします。 (必須フラグ)。
* —modules="gcry_sha256 gcry_sha512 signal_test gcry_dsa gcry_rsa" - PC の起動時に必要なモジュールをプリロードするように GRUB2 に指示します。
* -k ~/perskey -「PGP キー」へのパス (キーをイメージにパックした後、削除できます)。
* --root-directory - ブート ディレクトリを sda6 のルートに設定します
/dev/sda6 - sdaX パーティション。

grub.cfgの生成/更新

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

「grub.cfg」ファイルの末尾に「trust /boot/grub/perskey」という行を追加します。 (pgp キーの使用を強制します。) GRUB2 は署名モジュール「signature_test.mod」を含む一連のモジュールとともにインストールしたため、「set check_signatures=enforce」などのコマンドを構成に追加する必要がなくなります。

このように見えるはずです (grub.cfg ファイルの終了行)

### 開始 /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; それから
ソース ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; それから
ソース $prefix/custom.cfg;
fi
/boot/grub/perskey を信頼します
スーパーユーザー = "ルート" を設定します
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### 終了 /etc/grub.d/41_custom ###
#

「/boot/grub/perskey」へのパスは、hd0,6 などの特定のディスク パーティションを指す必要はありません。ブートローダー自体の場合、「root」は GRUB2 がインストールされているパーティションのデフォルト パスです。 (set rot=..を参照)。

GRUB2 への署名 (すべての /GRUB ディレクトリ内のすべてのファイル) キー「perskey」を使用してください。
署名方法に関する簡単な解決策 (ノーチラス/カハエクスプローラーの場合): リポジトリから Explorer 用の「seahorse」拡張機能をインストールします。 キーを su 環境に追加する必要があります。
sudo「/mnt/boot」-RMB-記号を使用してエクスプローラーを開きます。 画面上ではこんな感じです

キー自体は「/mnt/boot/grub/perskey」です。 (grubディレクトリにコピー) あなた自身の署名も必要です。 [*.sig] ファイルの署名がディレクトリ/サブディレクトリに表示されていることを確認します。
上記の方法で「/boot」に署名します。 (私たちのカーネル、initrd)。 時間に価値があるのであれば、この方法を使用すると、「大量のファイル」に署名するための bash スクリプトを作成する必要がなくなります。

すべてのブートローダー署名を削除するには (何か問題があった場合)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

システムの更新後にブートローダーに署名しないようにするために、GRUB2 に関連するすべての更新パッケージをフリーズします。

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

このステップで、<デジタル署名によるブートローダーの保護> の GRUB2 の高度な構成が完了します。

C6.3. デジタル署名と認証によって保護された GRUB2 ブートローダーの実証テストGRUB2。 GNU/Linux ディストリビューションを選択するとき、または CLI に入るとき （コマンドライン） スーパーユーザー権限が必要になります。 正しいユーザー名/パスワードを入力した後、initrd パスワードが必要になります。

GRUB2 スーパーユーザーの認証に成功したスクリーンショット。

GRUB2 ファイルのいずれかを改ざんしたり、grub.cfg を変更したり、ファイルや署名を削除したり、悪意のある module.mod をロードしたりすると、対応する警告が表示されます。 GRUB2 はロードを一時停止します。

スクリーンショット。「外部から」GRUB2 に干渉しようとする試み。

「侵入なし」の「通常の」ブート中、システム終了コードのステータスは「0」です。 したがって、保護が機能するかどうかは不明です (つまり、「ブートローダー署名保護の有無にかかわらず」通常のロード中のステータスは同じ「0」です。これは問題です)。

デジタル署名の保護を確認するにはどうすればよいですか?

不便なチェック方法: GRUB2 で使用されるモジュールを偽装/削除します。たとえば、署名 luks.mod.sig を削除すると、エラーが発生します。

正しい方法: ブートローダー CLI に移動し、次のコマンドを入力します。

trust_list

応答として、「perskey」フィンガープリントを受け取る必要があります。ステータスが「0」の場合、署名保護は機能しません。C6.2 項を再確認してください。
このステップで、高度な構成「デジタル署名と認証による GRUB2 の保護」が完了します。

C7 ハッシュを使用して GRUB2 ブートローダーを保護する代替方法上記の「CPU ブート ローダー保護/認証」方法は古典的なものです。 GRUB2 は不完全なため、偏執的な状況では実際の攻撃を受けやすくなります。これについては、[F] 段落で説明します。 さらに、OS/カーネルを更新した後は、ブートローダーに再署名する必要があります。

ハッシュを使用した GRUB2 ブートローダーの保護

クラシックと比べた利点:

• より高いレベルの信頼性 (ハッシュ/検証は、暗号化されたローカル リソースからのみ行われます。GRUB2 で割り当てられたパーティション全体が変更に対して制御され、その他すべてが暗号化されます。CPU ローダー保護/認証を備えた古典的なスキームでは、ファイルのみが制御されますが、自由には制御されません) 「何か」「何か邪悪なもの」を追加できるスペース）。
• 暗号化されたロギング (人間が読める暗号化された個人ログがスキームに追加されます)。
• スピード (GRUB2 に割り当てられたパーティション全体の保護/検証はほぼ即座に行われます)。
• すべての暗号化プロセスの自動化。

クラシックに対するデメリット。

• 署名の偽造 (理論的には、特定のハッシュ関数の衝突を見つけることが可能です)。
• 難易度の上昇 (クラシックと比較して、GNU/Linux OS の知識がもう少し必要です)。

GRUB2/パーティションハッシュのアイデアがどのように機能するか

GRUB2 パーティションは「署名」されており、OS の起動時にブート ローダー パーティションの不変性がチェックされ、その後安全な (暗号化された) 環境にログインされます。 ブートローダーまたはそのパーティションが侵害された場合、侵入ログに加えて、次のものが起動されます。

もの。

同様のチェックが XNUMX 日に XNUMX 回実行されますが、システム リソースは負荷されません。
「-$ check_GRUB」コマンドを使用すると、いつでもインスタント チェックが実行されます。ログは記録されず、CLI に情報が出力されます。
コマンド「-$ sudo signed_GRUB」を使用すると、GRUB2 ブート ローダー/パーティションが即座に再署名され、ログが更新されます。 （OS/ブートアップデート後に必要）そして、生活は続きます。

ブートローダーとそのセクションのハッシュメソッドの実装

0) まず GRUB ブートローダー/パーティションを /media/username にマウントして署名しましょう

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) 暗号化された OS ~/podpis のルートに拡張子のないスクリプトを作成し、必要なセキュリティ権限と確実な保護をそれに適用します。

内容を埋める

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

からスクリプトを実行します su、GRUB パーティションとそのブートローダーのハッシュがチェックされ、ログが保存されます。

たとえば、「悪意のあるファイル」[virus.mod] を GRUB2 パーティションに作成またはコピーし、一時的なスキャン/テストを実行してみましょう。

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

CLI は私たちの -城塞- への侵入を見なければなりません#CLI でログをトリミング

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

#ご覧のとおり、「ファイルは移動されました: 1 および監査に失敗しました」と表示され、チェックが失敗したことを意味します。
テスト対象のパーティションの性質により、「新しいファイルが見つかりました」 > 「ファイルが移動されました」ではなく、

2) gif をここに置きます > ~/warning.gif、権限を 744 に設定します。

3) 起動時に GRUB パーティションを自動マウントするように fstab を構成する

-$ sudo nano /etc/fstab

LABEL=GRUB /media/username/GRUB ext4 デフォルト 0 0

4) ログをローテーションする

-$ sudo nano /etc/logrotate.d/podpis 

/var/log/podpis.txt {
daily
回転50
サイズ5M
日付ext
圧縮する
遅延圧縮
olddir /var/log/old
}

/var/log/vtorjenie.txt {
monthly
回転5
サイズ5M
日付ext
olddir /var/log/old
}

5) cronにジョブを追加する

-$ sudo crontab -e

リブート '/サブスクリプション'
0 */6 * * * '/ポドピス

6) 永続的なエイリアスの作成

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

OSアップデート後 -$ apt-get upgrade GRUB パーティションに再署名します
-$ подпись_GRUB
この時点で、GRUB パーティションのハッシュ保護が完了します。

[D] ワイピング - 暗号化されていないデータの破壊

サウスカロライナ州の広報担当者トレイ・ゴーディ氏によると、個人ファイルは「神ですら読めないほど」完全に削除してください。

いつものように、さまざまな「神話や」があります。 伝説」、ハードドライブから削除されたデータの復元について。 サイバー魔術を信じている場合、または Dr Web コミュニティのメンバーで、削除/上書きされた後にデータの回復を試したことがない場合 (例: R-studio を使用したリカバリ)、提案された方法があなたに合わない可能性が高い場合は、最も近い方法を使用してください。

GNU/Linux を暗号化されたパーティションに正常に転送した後は、データを回復できないように古いコピーを削除する必要があります。 ユニバーサルクリーニング方法: Windows/Linux用ソフトウェア無料GUIソフトウェア のbleachbit.
すばやく セクションの書式を設定する、破壊する必要があるデータ (Gparted経由) BleachBitを起動し、「空き領域をクリーンアップ」を選択します - パーティションを選択します (GNU/Linux の以前のコピーを備えた sdaX)、剥離プロセスが開始されます。 BleachBit - 2.0 回のパスでディスクを消去します - これが「必要なもの」です。しかし! これは理論的には、ディスクをフォーマットし、BB vXNUMX ソフトウェアでクリーニングした場合にのみ機能します。

注目！ BB はメタデータを残してディスクをワイプします。データが削除されてもファイル名は保持されます。 (Ccleaner - メタデータを残しません)。

データ復元の可能性に関する通説は、完全に通説ではありません。Bleachbit V2.0-2 の以前の不安定な OS Debian パッケージ (および他の同様のソフトウェア: sfill、wipe-Nautilus - もこの汚いビジネスで注目されました) 実は「空き領域のクリア」機能という重大なバグがありました。 正しく動作しません HDD/フラッシュドライブ上 (ntfs/ext4)。 この種のソフトウェアは、多くのユーザーが考えているように、空き領域をクリアするときにディスク全体を上書きしません。 いくつかの （たくさんの） 削除されたデータ OS/ソフトウェアは、このデータを削除されていない/ユーザー データと見なし、「OSP」をクリーニングするときにこれらのファイルをスキップします。 問題は、これほど長い時間が経った後、ディスクをクリーニングすることです。 「削除されたファイル」は復元できる ディスクを 3 回以上拭いた後でも。
Bleachbit の GNU/Linux について 2.0-2 ファイルとディレクトリを完全に削除する機能は確実に動作しますが、空き領域はクリアされません。 比較のために、Windows では CCleaner の「OSP for ntfs」機能が正常に動作し、神は削除されたデータを読み取ることができなくなります。

そこで、徹底的に取り除くために、 「妥協する」 暗号化されていない古いデータ、 Bleachbit はこのデータに直接アクセスする必要があります, 次に、「ファイル/ディレクトリを完全に削除」機能を使用します。
Windowsで「OS標準ツールを使用して削除されたファイル」を削除するには、「OSP」機能を備えたCCleaner/BBを使用します。 GNU/Linux ではこの問題を解決 (削除されたファイルを削除します) 自分で練習する必要がある (データの削除とそれを復元する独自の試行。ソフトウェアのバージョンに頼るべきではありません (ブックマークでない場合はバグ)), この場合にのみ、この問題のメカニズムを理解し、削除されたデータを完全に削除することができます。

Bleachbit v3.0 はテストしていませんが、問題はすでに修正されている可能性があります。
Bleachbit v2.0 は正常に動作します。

このステップで、ディスクの消去は完了です。

[E] 暗号化されたOSのユニバーサルバックアップ

各ユーザーはデータをバックアップする独自の方法を持っていますが、暗号化されたシステム OS データの場合は、タスクに対して少し異なるアプローチが必要です。 Clonezilla や類似のソフトウェアなどの統合ソフトウェアは、暗号化されたデータを直接操作できません。

暗号化されたブロックデバイスのバックアップの問題に関する声明:

1. 汎用性 - Windows/Linux で同じバックアップ アルゴリズム/ソフトウェア。
2. 追加のソフトウェアをダウンロードすることなく、ライブ USB GNU/Linux を使用してコンソールで動作する機能 (それでも GUI をお勧めします);
3. バックアップ コピーのセキュリティ - 保存された「イメージ」は暗号化/パスワードで保護されている必要があります。
4. 暗号化されたデータのサイズは、コピーされる実際のデータのサイズに対応する必要があります。
5. バックアップコピーから必要なファイルを簡単に抽出 (最初にセクション全体を復号化する必要はありません)。

たとえば、「dd」ユーティリティを使用したバックアップ/復元

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

これはタスクのほぼすべてのポイントに対応しますが、ポイント 4 によれば、空き領域を含むディスク パーティション全体をコピーするため、批判に耐えられません。興味深いものではありません。

たとえば、アーカイバ [tar" | 経由の GNU/Linux バックアップ] です。 gpg] は便利ですが、Windows のバックアップの場合は別のソリューションを探す必要があります。それは面白くありません。

E1. ユニバーサル Windows/Linux バックアップ。 rsync (Grsync)+VeraCryptボリュームをリンクバックアップ コピーを作成するアルゴリズム:

1. 暗号化されたコンテナの作成 (ボリューム/ファイル) OS用のVeraCrypt。
2. Rsync ソフトウェアを使用して OS を VeraCrypt 暗号化コンテナに転送/同期します。
3. 必要に応じて、VeraCrypt ボリュームを www にアップロードします。

暗号化された VeraCrypt コンテナの作成には、次のような独自の特徴があります。
ダイナミックボリュームの作成 (DTの作成はWindowsのみで利用可能ですが、GNU/Linuxでも利用可能です);
通常のボリュームを作成しますが、「偏執的なキャラクター」の要件があります (開発者によると) – コンテナのフォーマット。

ダイナミック ボリュームは Windows でほぼ瞬時に作成されますが、GNU/Linux > VeraCrypt DT からデータをコピーすると、バックアップ操作の全体的なパフォーマンスが大幅に低下します。

通常の 70 GB Twofish ボリュームが作成されます (平均的な PC パワーとだけ言っておきましょう) HDDに～XNUMX分以内に (以前のコンテナ データを XNUMX 回のパスで上書きするのは、セキュリティ要件によるものです)。 VeraCrypt Windows/Linux では、ボリューム作成時に迅速にフォーマットする機能が削除されているため、コンテナの作成は「ワンパス書き換え」か、低パフォーマンスのダイナミック ボリュームの作成によってのみ可能です。

通常の VeraCrypt ボリュームを作成する (動的/NTFSではありません)、問題はないはずです。

VeraCrypt GUI > GNU/Linux ライブ USB でコンテナを構成/作成/開く (ボリュームは /media/veracrypt2 に自動マウントされ、Windows OS ボリュームは /media/veracrypt1 にマウントされます)。 GUI rsync を使用した Windows OS の暗号化バックアップの作成 (grsync)チェックボックスをオンにします。

プロセスが完了するまで待ちます。 バックアップが完了すると、暗号化されたファイルが XNUMX つ作成されます。

同様に、rsync GUI の「Windows 互換性」チェックボックスをオフにして、GNU/Linux OS のバックアップ コピーを作成します。

注目！ ファイル システムに「GNU/Linux バックアップ」用の Veracrypt コンテナを作成します。 ext4。 ntfs コンテナにバックアップを作成した場合、そのコピーを復元すると、すべてのデータに対するすべての権利/グループが失われます。

ターミナル上ですべての操作を実行できます。 rsync の基本オプション:
* -g -グループを保存します。
* -P —進行状況 — ファイルの作業にかかった時間のステータス。
* -H - ハードリンクをそのままコピーします。
* -a -アーカイブモード (複数の rlptgoD フラグ);
* -v -言語化。

cryptsetup ソフトウェアのコンソール経由で「Windows VeraCrypt ボリューム」をマウントする場合は、エイリアス (su) を作成できます。

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

これで、「veramount photos」コマンドによりパスフレーズの入力が求められ、暗号化された Windows システム ボリュームが OS にマウントされます。

cryptsetup コマンドで VeraCrypt システム ボリュームをマップ/マウントする

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

cryptsetup コマンドで VeraCrypt パーティション/コンテナをマップ/マウントする

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

エイリアスの代わりに、Windows OS と論理暗号化された ntfs ディスクを備えたシステム ボリューム (起動スクリプト) を GNU/Linux 起動に追加します。

スクリプトを作成し、~/VeraOpen.sh に保存します。

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

私たちは「正しい」権利を配布します。

sudo chmod 100 /VeraOpen.sh

/etc/rc.local と ~/etc/init.d/rc.local に XNUMX つの同一のファイル (同じ名前!) を作成します。
ファイルを埋める

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

私たちは「正しい」権利を配布します。

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local 

これで、GNU/Linux をロードするときに、暗号化された ntfs ディスクをマウントするためにパスワードを入力する必要がなく、ディスクは自動的にマウントされます。

上記の段落 E1 で段階的に説明した内容についての簡単なメモ (ただし、OS GNU/Linux について)
1) Veracrypt [Cryptbox] で fs ext4 > 4gb (ファイル用) Linux にボリュームを作成します。
2) 再起動して USB をライブ状態にします。
3) ~$ cryptsetup オープン /dev/sda7 Lunux #mapping 暗号化パーティション。
4) ~$ mount /dev/mapper/Linux /mnt #暗号化されたパーティションを /mnt にマウントします。
5) ~$ mkdir mnt2 #将来のバックアップ用のディレクトリを作成します。
6) ~$ cryptsetup open —veracrypt —type tcrypt ~/CryptoBox CryptoBox && mount /dev/mapper/CryptoBox /mnt2 #「CryptoBox」という名前の Veracrypt ボリュームをマップし、CryptoBox を /mnt2 にマウントします。
7) ~$ rsync -avlxhHX —progress /mnt /mnt2/ #暗号化された Veracrypt ボリュームへの暗号化されたパーティションのバックアップ操作。

(追伸/ 注目！ 暗号化された GNU/Linux をあるアーキテクチャ/マシンから別のアーキテクチャ/マシン、たとえば、Intel > AMD に転送する場合 (つまり、ある暗号化パーティションから別の暗号化された Intel > AMD パーティションにバックアップを展開する場合)、 忘れないで 暗号化されたOSを移行した後、パスワードの代わりに秘密代替鍵を編集してください。 以前のキー ~/etc/skey - 別の暗号化されたパーティションに適合しなくなり、chroot の下から新しいキー「cryptsetup luksAddKey」を作成することはお勧めできません。 ~/etc/crypttab の代わりに指定するだけで不具合が発生する可能性があります。 "/etc/skey" 一時的に "none" "、再起動して OS にログインした後、シークレット ワイルドカード キーを再度再作成します)。

IT のベテランとして、暗号化された Windows/Linux OS パーティションのヘッダーのバックアップを個別に作成することを忘れないでください。そうしないと、暗号化が不利になってしまいます。
これで暗号化されたOSのバックアップが完了します。

[F] GRUB2 ブートローダーに対する攻撃

細部ブートローダーをデジタル署名や認証で保護している場合 (ポイント C6 を参照)の場合、物理的なアクセスからは保護されません。 暗号化されたデータには引き続きアクセスできませんが、保護はバイパスされます (デジタル署名保護をリセット) GRUB2 を使用すると、サイバー犯罪者は疑惑を抱かずに自分のコードをブートローダーに挿入できます。 (ユーザーが手動でブートローダーの状態を監視するか、grub.cfg 用の独自の堅牢な任意のスクリプト コードを思いつく場合を除きます)。

攻撃アルゴリズム。 侵入者

* ライブ USB から PC を起動します。 変更 (違反者) ファイルは、ブートローダーへの侵入について PC の実際の所有者に通知します。 ただし、GRUB2 を単純に再インストールすると grub.cfg が維持されます。 (およびその後の編集機能) 攻撃者があらゆるファイルを編集できるようになります (この状況では、GRUB2 をロードするときに実際のユーザーには通知されません。ステータスは同じ <0> です)
* 暗号化されていないパーティションをマウントし、「/mnt/boot/grub/grub.cfg」を保存します。
* ブートローダーを再インストールします (core.img イメージから「perskey」を削除)

grub-install --force --root-directory=/mnt /dev/sda6

* “grub.cfg” > “/mnt/boot/grub/grub.cfg” を返します。必要に応じて編集します。たとえば、モジュール “keylogger.mod” を “grub.cfg” 内のローダー モジュールが含まれるフォルダーに追加します。 > 「insmod キーロガー」行。 または、たとえば、敵が狡猾な場合は、GRUB2 を再インストールした後、 (すべての署名はそのまま残ります) 「grub-mkimage オプション (-c)」を使用してメインの GRUB2 イメージを構築します。 「-c」オプションを使用すると、メインの「grub.cfg」をロードする前に設定をロードできます。 構成は 400 行だけで構成できます。たとえば、約 XNUMX 個のファイルが混在した任意の「modern.cfg」へのリダイレクトです。 (モジュール+署名) フォルダー「/boot/grub/i386-pc」内。 この場合、ユーザーがファイルに「ハッシュサム」を適用して一時的に画面に表示したとしても、攻撃者は「/boot/grub/grub.cfg」に影響を与えることなく、任意のコードを挿入してモジュールをロードすることができます。
攻撃者は GRUB2 スーパーユーザーのログイン/パスワードをハッキングする必要はなく、行をコピーするだけで済みます。 (認証を担当) 「/boot/grub/grub.cfg」を「modern.cfg」に

スーパーユーザー = "ルート" を設定します
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

また、PC 所有者は引き続き GRUB2 スーパーユーザーとして認証されます。

チェーンローディング (ブートローダーは別のブートローダーをロードします)上にも書きましたが意味がありません (別の目的で使用します)。 BIOS が原因で暗号化されたブートローダーをロードできません (チェーン ブートで GRUB2 が再起動 > 暗号化された GRUB2、エラー!)。 ただし、チェーンロードの考え方を引き続き使用する場合は、ロードされているのは暗号化されたものであることを確認できます。 (近代化されていない) 暗号化されたパーティションからの「grub.cfg」。 また、これは誤った安全意識でもあります。なぜなら、暗号化された「grub.cfg」に示されているものはすべてだからです。 (モジュールのロード) は、暗号化されていない GRUB2 からロードされたモジュールを追加します。

これを確認したい場合は、別のパーティション sdaY を割り当て/暗号化し、そこに GRUB2 をコピーします。 (暗号化されたパーティション上での grub-install 操作は不可能です) そして「grub.cfg」内 (暗号化されていない構成) このように行を変更します

menuentry 'GRUBx2' --class parrot --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
ロードビデオ
insmod gzio
if [ x$grub_platform = xxen ]; 次にinsmod xzio。 insmod lzopio; フィ
insmod パーツ_msdos
insmod暗号ディスク
インスタモードルクス
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
通常の /boot/grub/grub.cfg
}

行
* insmod - 暗号化されたディスクを操作するために必要なモジュールをロードします。
* GRUBx2 - GRUB2 ブート メニューに表示される行の名前。
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 - を参照してください。 fdisk -l (sda9);
* set root - root をインストールします。
* 通常の /boot/grub/grub.cfg - 暗号化されたパーティション上の実行可能構成ファイル。

ロードされているのが暗号化された「grub.cfg」であるという確信は、GRUB メニューで「GRUBx2」行を選択するときにパスワードを入力/ロック解除「sdaY」を入力することに対する肯定的な応答です。

CLI で作業する場合、混乱しないように (そして「set root」環境変数が機能したかどうかを確認してください)、 たとえば、暗号化されたセクション「/shifr_grub」や暗号化されていないセクション「/noshifr_grub」に空のトークン ファイルを作成します。 CLI でのチェックイン

cat /Tab-Tab

上で述べたように、悪意のあるモジュールが PC 上に存在する場合、これはそのモジュールのダウンロードに対して役に立ちません。 たとえば、キーロガーは、キーストロークをファイルに保存し、PC に物理的にアクセスする攻撃者によってダウンロードされるまで、「~/i386」内の他のファイルと混合することができます。

デジタル署名保護が有効に機能していることを確認する最も簡単な方法 (リセットされません)、ブートローダーに誰も侵入していない場合は、CLI にコマンドを入力します。

list_trusted

それに応じて、「パースキー」のコピーを受け取ります。攻撃された場合は何も受け取りません。 (「set check_signatures=enforce」もチェックする必要があります).
この手順の大きな欠点は、コマンドを手動で入力することです。 このコマンドを「grub.cfg」に追加し、設定をデジタル署名で保護すると、画面上のキー スナップショットの予備出力のタイミングが短すぎて、GRUB2 のロード後に出力を確認する時間がない可能性があります。 。
特に主張できる人はいません。 ドキュメンテーション 第 18.2 条は正式に宣言します

GRUB パスワード保護があっても、GRUB 自体は、マシンに物理的にアクセスできる誰かがそのマシンのファームウェア (Coreboot や BIOS など) 設定を変更して、別の (攻撃者が制御する) デバイスからマシンを起動することを防ぐことはできないことに注意してください。 GRUB は、せいぜいセキュア ブート チェーン内の XNUMX つのリンクにすぎません。」

GRUB2 は、誤ったセキュリティの感覚を与える可能性のある機能が過負荷になりすぎており、その開発は機能の点ですでに MS-DOS を上回っていますが、これは単なるブートローダーにすぎません。 GRUB2 (「明日」) が OS になり、そのためのブート可能な GNU/Linux 仮想マシンになる可能性があるのは面白いことです。

GRUB2 デジタル署名保護をリセットし、実際のユーザーへの侵入を宣言する方法についての短いビデオ (怖がらせましたが、ビデオに表示されている内容の代わりに、無害な任意のコード/.mod を記述できます).

結論：

1) Windows のブロック システム暗号化は実装が簡単で、GNU/Linux ブロック システム暗号化による複数のパスワードによる保護よりも XNUMX つのパスワードによる保護の方が便利です (公平を期すために、後者は自動化されています)。

2) 関連性があり詳細な記事を書きました 単純 家庭用マシン 50 台でフルディスク暗号化 VeraCrypt/LUKS を実行するためのガイドです。これは、RuNet の中で最も優れています (私見)。 このガイドは 51 文字を超える長さなので、いくつかの興味深い章はカバーされていません。 さまざまな GNU/Linux 本で暗号化についてほとんど書かれていない、または書かれていないという事実について。 ロシア連邦憲法第XNUMX条について。 ○ ライセンス/禁止 ロシア連邦における暗号化、「root/boot」を暗号化する必要がある理由について。 このガイドは非常に広範囲にわたるものでしたが、詳細に説明されていました。 （簡単な手順も記載）、これにより、「実際の暗号化」に到達するときに多くの時間を節約できます。

3) フルディスク暗号化は Windows 7 64 で実行されました。 GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5。

4) 攻撃を実行し、成功しました。 彼の GRUB2 ブートローダー。

5) チュートリアルは、暗号化の使用が立法レベルで許可されている CIS のすべての偏執的な人々を支援するために作成されました。 主に、構成済みのシステムを破壊せずにフルディスク暗号化を展開したい人向けです。

6) 2020 年に関連するマニュアルを作り直して更新しました。

[G] 役立つドキュメント

1. TrueCrypt ユーザーガイド (2012 年 XNUMX 月 RU)
2. VeraCryptのドキュメント
3. /usr/share/doc/cryptsetup(-run) [ローカルリソース] (cryptsetup を使用した GNU/Linux 暗号化のセットアップに関する公式の詳細ドキュメント)
4. 公式 FAQ cryptsetup (cryptsetup を使用した GNU/Linux 暗号化のセットアップに関する簡単なドキュメント)
5. LUKS デバイスの暗号化 (archlinux ドキュメント)
6. cryptsetup 構文の詳細な説明 (アーチのマニュアルページ)
7. crypttab の詳細な説明 (アーチのマニュアルページ)
8. GRUB2 の公式ドキュメント.

タグ: フルディスク暗号化、パーティション暗号化、Linux フルディスク暗号化、LUKS1 フルシステム暗号化。

登録ユーザーのみがアンケートに参加できます。 ログインお願いします。

暗号化してますか？

• 視聴者の３８%ができる限りすべてを暗号化します。 私は偏執的です。14

• 視聴者の３８%が重要なデータのみを暗号化します28

• 視聴者の３８%が暗号化することもありますが、忘れることもあります。12

• 視聴者の３８%がいいえ、暗号化はしません。不便で高価です。28

82 人のユーザーが投票しました。 22名のユーザーが棄権した。

出所： habr.com