Windows Linux დაყენებული სისტემების სრული დისკის დაშიფვრა. დაშიფრული მრავალ ჩატვირთვა

განახლებულია საკუთარი სახელმძღვანელო სრული დისკის დაშიფვრისთვის RuNet V0.2-ში.

კოვბოის სტრატეგია:

[A] დაინსტალირებული სისტემის Windows 7 სისტემის ბლოკის დაშიფვრა;
[B] GNU/Linux სისტემის ბლოკის დაშიფვრა (დებიანი) დამონტაჟებული სისტემა (მათ შორის / ჩატვირთვა);
[C] GRUB2 კონფიგურაცია, ჩამტვირთველის დაცვა ციფრული ხელმოწერით/ავთენტიფიკაციით/ჰეშინგით;
[D] stripping-დაშიფრული მონაცემების განადგურება;
[E] დაშიფრული OS-ის უნივერსალური სარეზერვო ასლი;
[F] თავდასხმა <პუნქტზე [C6]> სამიზნე - GRUB2 ჩამტვირთავი;
[G]სასარგებლო დოკუმენტაცია.

╭───#40# ოთახის სქემა :
├──╼ დაინსტალირებული Windows 7 - სისტემის სრული დაშიფვრა, არ არის დამალული;
დაინსტალირებულია ├──╼ GNU/Linux (Debian და წარმოებული განაწილებები) - სისტემის სრული დაშიფვრა, არ არის დამალული(/, მათ შორის / boot; swap);
├──╼ დამოუკიდებელი ჩამტვირთველი: VeraCrypt ჩამტვირთველი დაინსტალირებულია MBR-ში, GRUB2 ჩამტვირთველი დაინსტალირებულია გაფართოებულ დანაყოფში;
├──╼ არ არის საჭირო OS-ის ინსტალაცია/ხელახალი ინსტალაცია;
გამოყენებული └──╼კრიპტოგრაფიული პროგრამული უზრუნველყოფა: VeraCrypt; კრიპტის დაყენება; GnuPG; ზღვის ცხენი; ჰეშდიპი; GRUB2 არის უფასო/უფასო.

ზემოაღნიშნული სქემა ნაწილობრივ აგვარებს პრობლემას „დისტანციური ჩატვირთვის ფლეშ დრაივზე“, საშუალებას გაძლევთ ისარგებლოთ დაშიფრული ოპერაციით Windows/Linux-ით და გაცვალოთ მონაცემები „დაშიფრული არხის“ მეშვეობით ერთი OS-დან მეორეზე.

კომპიუტერის ჩატვირთვის შეკვეთა (ერთ-ერთი ვარიანტი):

• მანქანის ჩართვა;
• იტვირთება VeraCrypt ჩამტვირთველი (სწორი პაროლის შეყვანა გაგრძელდება Windows 7-ის ჩატვირთვაზე);
• "Esc" ღილაკზე დაჭერით ჩაიტვირთება GRUB2 ჩამტვირთავი;
• GRUB2 ჩამტვირთველი (აირჩიეთ განაწილება/GNU/Linux/CLI), დასჭირდება GRUB2 სუპერმომხმარებლის <login/password> ავტორიზაციას;
• წარმატებული ავთენტიფიკაციისა და განაწილების შერჩევის შემდეგ, თქვენ უნდა შეიყვანოთ საიდუმლო ფრაზა „/boot/initrd.img“-ის განბლოკვისთვის;
• შეცდომების გარეშე პაროლების შეყვანის შემდეგ, GRUB2 "მოითხოვს" პაროლის შეყვანას (მესამე, BIOS პაროლი ან GNU/Linux მომხმარებლის ანგარიშის პაროლი - არ განიხილება) განბლოკვა და ჩატვირთვა GNU/Linux OS, ან საიდუმლო გასაღების ავტომატური ჩანაცვლება (ორი პაროლი + გასაღები, ან პაროლი + გასაღები);
• GRUB2-ის კონფიგურაციაში გარე შეჭრა გაყინავს GNU/Linux-ის ჩატვირთვის პროცესს.

Პრობლემური? კარგი, მოდით გადავიდეთ პროცესების ავტომატიზაციაზე.

მყარი დისკის დაყოფისას (MBR ცხრილი) კომპიუტერს შეიძლება ჰქონდეს არაუმეტეს 4 ძირითადი დანაყოფი, ან 3 ძირითადი და ერთი გაფართოებული, ასევე გამოუყენებელი ტერიტორია. გაფართოებული განყოფილება, მთავარისგან განსხვავებით, შეიძლება შეიცავდეს ქვესექციას (ლოგიკური დისკები = გაფართოებული დანაყოფი). სხვა სიტყვებით რომ ვთქვათ, HDD-ზე „გაფართოებული დანაყოფი“ ცვლის LVM-ს დავალებისთვის: სრული სისტემის დაშიფვრა. თუ თქვენი დისკი დაყოფილია 4 მთავარ დანაყოფი, თქვენ უნდა გამოიყენოთ lvm, ან ტრანსფორმაცია (ფორმატით) განყოფილება ძირითადიდან გაფართოებამდე, ან გონივრულად გამოიყენეთ ოთხივე განყოფილება და დატოვეთ ყველაფერი ისე, როგორც არის, მიიღეთ სასურველი შედეგი. მაშინაც კი, თუ თქვენს დისკზე გაქვთ ერთი დანაყოფი, Gparted დაგეხმარებათ HDD-ის დაყოფაში (დამატებითი სექციებისთვის) მონაცემთა დაკარგვის გარეშე, მაგრამ მაინც მცირე ჯარიმით ასეთი ქმედებებისთვის.

მყარი დისკის განლაგების სქემა, რომლის მიმართაც მთელი სტატია სიტყვიერი იქნება, წარმოდგენილია ქვემოთ მოცემულ ცხრილში.

ცხრილი (No. 1) 1TB ტიხრების.

შენც უნდა გქონდეს მსგავსი რამ.
sda1 - მთავარი დანაყოფი No1 NTFS (დაშიფრული);
sda2 - გაფართოებული მონაკვეთის მარკერი;
sda6 - ლოგიკური დისკი (დაინსტალირებული აქვს GRUB2 ჩამტვირთველი);
sda8 - swap (დაშიფრული swap ფაილი/არა ყოველთვის);
sda9 - ტესტი ლოგიკური დისკი;
sda5 - ლოგიკური დისკი ცნობისმოყვარეებისთვის;
sda7 - GNU/Linux OS (გადატანილი OS დაშიფრულ ლოგიკურ დისკზე);
sda3 - მთავარი დანაყოფი No2 Windows 7 OS-ით (დაშიფრული);
sda4 - მთავარი განყოფილება No3 (ის შეიცავდა დაშიფრულ GNU/Linux-ს, რომელიც გამოიყენება სარეზერვო ასლისთვის/არა ყოველთვის).

[A] Windows 7 სისტემის ბლოკის დაშიფვრა

A1. VeraCrypt

ჩამოტვირთეთ დან ოფიციალური საიტი, ან სარკიდან წყაროფორგის VeraCrypt კრიპტოგრაფიული პროგრამის საინსტალაციო ვერსია (სტატიის v1.24-Update3 გამოქვეყნების დროს VeraCrypt-ის პორტატული ვერსია არ არის შესაფერისი სისტემის დაშიფვრისთვის). შეამოწმეთ გადმოწერილი პროგრამული უზრუნველყოფის საკონტროლო ჯამი

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

და შეადარეთ შედეგი VeraCrypt დეველოპერის ვებსაიტზე გამოქვეყნებულ CS-ს.

თუ HashTab პროგრამული უზრუნველყოფა დაინსტალირებულია, ეს კიდევ უფრო ადვილია: RMB (VeraCrypt Setup 1.24.exe)-თვისებები - ფაილების ჰეშის ჯამი.

პროგრამის ხელმოწერის დასადასტურებლად, პროგრამული უზრუნველყოფა და დეველოპერის საჯარო pgp გასაღები უნდა იყოს დაინსტალირებული სისტემაში gnuPG; gpg4win.

A2. VeraCrypt პროგრამული უზრუნველყოფის ინსტალაცია/გაშვება ადმინისტრატორის უფლებებით

A3. სისტემის დაშიფვრის პარამეტრების შერჩევა აქტიური დანაყოფისთვისVeraCrypt – სისტემა – სისტემის დანაყოფის/დისკის დაშიფვრა – ნორმალური – Windows სისტემის დანაყოფის დაშიფვრა – Multiboot – (გაფრთხილება: "გამოუცდელ მომხმარებლებს არ არის რეკომენდებული ამ მეთოდის გამოყენება" და ეს მართალია, ჩვენ ვეთანხმებით "დიახ") - ჩატვირთვის დისკი ("დიახ", თუნდაც ასე არ იყოს, მაინც "დიახ") – სისტემური დისკების რაოდენობა „2 ან მეტი“ – რამდენიმე სისტემა ერთ დისკზე „დიახ“ – არა Windows-ის ჩამტვირთველი „არა“ (ფაქტობრივად, „დიახ“, მაგრამ VeraCrypt/GRUB2 ჩამტვირთველი არ იზიარებს MBR-ს ერთმანეთში; უფრო ზუსტად, ჩატვირთვის კოდის მხოლოდ უმცირესი ნაწილი ინახება MBR/ჩატვირთვის ტრეკში, მისი ძირითადი ნაწილია. მდებარეობს ფაილურ სისტემაში) – Multiboot – დაშიფვრის პარამეტრები…

თუ გადაუხვევთ ზემოთ მოცემულ ნაბიჯებს (სისტემის დაშიფვრის სქემების დაბლოკვა), მაშინ VeraCrypt გამოსცემს გაფრთხილებას და არ მოგცემთ დანაყოფის დაშიფვრის საშუალებას.

მიზნობრივი მონაცემების დაცვის შემდგომ ეტაპზე, ჩაატარეთ „ტესტი“ და აირჩიეთ დაშიფვრის ალგორითმი. თუ თქვენ გაქვთ მოძველებული CPU, მაშინ, სავარაუდოდ, ყველაზე სწრაფი დაშიფვრის ალგორითმი იქნება Twofish. თუ CPU ძლიერია, შეამჩნევთ განსხვავებას: AES დაშიფვრა, ტესტის შედეგების მიხედვით, რამდენჯერმე უფრო სწრაფი იქნება, ვიდრე მისი კრიპტო კონკურენტები. AES არის პოპულარული დაშიფვრის ალგორითმი; თანამედროვე პროცესორების აპარატურა სპეციალურად ოპტიმიზებულია როგორც „საიდუმლო“ და „ჰაკერებისთვის“.

VeraCrypt მხარს უჭერს დისკების დაშიფვრის შესაძლებლობას AES კასკადში(ორი თევზი)/ და სხვა კომბინაციები. ძველ ბირთვულ Intel CPU-ზე ათი წლის წინ (AES, A/T კასკადი დაშიფვრის ტექნიკის მხარდაჭერის გარეშე) შესრულების დაქვეითება არსებითად შეუმჩნეველია. (იგივე ეპოქის AMD პროცესორებისთვის/~ პარამეტრებისთვის, შესრულება ოდნავ შემცირებულია). OS მუშაობს დინამიურად და რესურსის მოხმარება გამჭვირვალე დაშიფვრისთვის უხილავია. ამის საპირისპიროდ, მაგალითად, შესრულების შესამჩნევი შემცირება დაინსტალირებული ტესტის არასტაბილური დესკტოპის გარემო Mate v1.20.1 გამო. (ან v1.20.2 ზუსტად არ მახსოვს) GNU/Linux-ში, ან Windows7↑-ში ტელემეტრიის რუტინის მუშაობის გამო. როგორც წესი, გამოცდილი მომხმარებლები ატარებენ ტექნიკის მუშაობის ტესტებს დაშიფვრამდე. მაგალითად, Aida64/Sysbench/systemd-analyze-ში ბრალი შედარებულია იმავე ტესტების შედეგებთან სისტემის დაშიფვრის შემდეგ, რითაც უარყოფენ მითს, რომ „სისტემის დაშიფვრა საზიანოა“. აპარატის შენელება და უხერხულობა შესამჩნევია დაშიფრული მონაცემების სარეზერვო/აღდგენისას, რადგან თავად „სისტემის მონაცემთა სარეზერვო“ ოპერაცია არ იზომება ms-ში და ემატება იგივე <decrypt/encrypt on the fly>. საბოლოო ჯამში, ყოველი მომხმარებელი, რომელსაც უფლება აქვს კრიპტოგრაფიის გამოყენება, აბალანსებს დაშიფვრის ალგორითმს დავალებების დაკმაყოფილების, მათი პარანოიის დონისა და გამოყენების სიმარტივის წინააღმდეგ.

უმჯობესია დატოვოთ PIM პარამეტრი ნაგულისხმევად, რათა OS-ის ჩატვირთვისას არ დაგჭირდეთ ყოველ ჯერზე ზუსტი გამეორების მნიშვნელობების შეყვანა. VeraCrypt იყენებს გამეორებების უზარმაზარ რაოდენობას ჭეშმარიტად "ნელი ჰეშის" შესაქმნელად. ასეთ „კრიპტო ლოკოკინაზე“ თავდასხმა Brute force/Rainbow tables მეთოდის გამოყენებით აზრი აქვს მხოლოდ მოკლე „მარტივი“ ფრაზით და მსხვერპლის პირადი სიმბოლოების სიით. პაროლის სიძლიერისთვის გადასახდელი ფასი არის OS-ის ჩატვირთვისას სწორი პაროლის შეყვანის დაგვიანება. (GNU/Linux-ში VeraCrypt ტომების დამონტაჟება მნიშვნელოვნად უფრო სწრაფია).
უფასო პროგრამა უხეში ძალის შეტევების განსახორციელებლად (ამოიღეთ პაროლი VeraCrypt/LUKS დისკის სათაურიდან) ჰეშკატი. ჯონ რიპერმა არ იცის როგორ "გატეხოს ვერაკრიპტი" და LUKS-თან მუშაობისას არ ესმის Twofish კრიპტოგრაფია.

დაშიფვრის ალგორითმების კრიპტოგრაფიული სიძლიერის გამო, შეუჩერებელი cypherpunks ავითარებენ პროგრამულ უზრუნველყოფას სხვადასხვა შეტევის ვექტორით. მაგალითად, მეტამონაცემების/გასაღებების ამოღება RAM-დან (ცივი ჩატვირთვა/პირდაპირი მეხსიერების წვდომის შეტევა), ამ მიზნებისათვის არსებობს სპეციალიზებული უფასო და არათავისუფალი პროგრამული უზრუნველყოფა.

დაშიფრული აქტიური დანაყოფის „უნიკალური მეტამონაცემების“ დაყენების/გენერაციის დასრულების შემდეგ, VeraCrypt შესთავაზებს კომპიუტერის გადატვირთვას და მისი ჩამტვირთველის ფუნქციონირების შემოწმებას. Windows-ის გადატვირთვის/გაშვების შემდეგ VeraCrypt იტვირთება ლოდინის რეჟიმში, რჩება მხოლოდ დაშიფვრის პროცესის დადასტურება - Y.

სისტემის დაშიფვრის ბოლო ეტაპზე, VeraCrypt შესთავაზებს შექმნას აქტიური დაშიფრული დანაყოფის სათაურის სარეზერვო ასლი "veracrypt rescue disk.iso" სახით - ეს უნდა გაკეთდეს - ამ პროგრამულ უზრუნველყოფაში ასეთი ოპერაცია არის მოთხოვნა (LUKS-ში, როგორც მოთხოვნა - ეს სამწუხაროდ გამოტოვებულია, მაგრამ ხაზგასმულია დოკუმენტაციაში). სამაშველო დისკი გამოდგება ყველასთვის და ზოგს არაერთხელ. Დაკარგვა (სათაური/MBR გადაწერა) სათაურის სარეზერვო ასლი სამუდამოდ უარყოფს წვდომას გაშიფრულ დანაყოფზე OS Windows-ით.

A4. VeraCrypt სამაშველო USB/დისკის შექმნანაგულისხმევად, VeraCrypt გთავაზობთ "~2-3 მბ მეტამონაცემების" ჩაწერას CD-ზე, მაგრამ ყველა ადამიანს არ აქვს დისკები ან DWD-ROM დისკები და ჩამტვირთავი ფლეშ დრაივის შექმნა "VeraCrypt Rescue disk" ზოგიერთისთვის ტექნიკური სიურპრიზი იქნება: Rufus /GUIdd-ROSA ImageWriter და სხვა მსგავსი პროგრამული უზრუნველყოფა ვერ გაუმკლავდებიან დავალებას, რადგან ოფსეტური მეტამონაცემების ჩამტვირთველ ფლეშ დრაივზე კოპირების გარდა, საჭიროა სურათის კოპირება/ჩასმა USB დისკის ფაილური სისტემის გარეთ. მოკლედ, სწორად დააკოპირეთ MBR/road keychain-ზე. თქვენ შეგიძლიათ შექმნათ ჩამტვირთავი ფლეშ დრაივი GNU/Linux OS-დან „dd“ უტილიტის გამოყენებით, ამ ნიშნის დათვალიერებით.

Windows-ის გარემოში სამაშველო დისკის შექმნა განსხვავებულია. VeraCrypt-ის დეველოპერმა არ შეიტანა ამ პრობლემის გადაწყვეტა ოფიციალურში დოკუმენტაცია "სამაშველო დისკის" მიერ, მაგრამ შესთავაზა გამოსავალი სხვაგვარად: მან გამოაქვეყნა დამატებითი პროგრამული უზრუნველყოფა "USB სამაშველო დისკის" შესაქმნელად თავის VeraCrypt ფორუმზე. Windows-ისთვის ამ პროგრამული უზრუნველყოფის არქივისტი "ქმნის usb veracrypt სამაშველო დისკს". Rescue disk.iso-ს შენახვის შემდეგ დაიწყება აქტიური დანაყოფის ბლოკის სისტემის დაშიფვრის პროცესი. დაშიფვრის დროს, ოპერაციული სისტემა არ ჩერდება, კომპიუტერის გადატვირთვა არ არის საჭირო. დაშიფვრის ოპერაციის დასრულების შემდეგ, აქტიური დანაყოფი ხდება სრულად დაშიფრული და მისი გამოყენება შესაძლებელია. თუ კომპიუტერის გაშვებისას VeraCrypt ჩამტვირთავი არ გამოჩნდება და სათაურის აღდგენის ოპერაცია არ დაგვეხმარება, მაშინ შეამოწმეთ „ჩატვირთვის“ დროშა, ის უნდა იყოს დაყენებული დანაყოფზე, სადაც არის Windows. (დაშიფვრისა და სხვა ოპერაციული სისტემების მიუხედავად, იხილეთ ცხრილი No1).
ეს ასრულებს Windows OS-ით ბლოკის სისტემის დაშიფვრის აღწერას.

[B]LUKS. GNU/Linux დაშიფვრა (~ Debian) დაინსტალირებული OS. ალგორითმი და ნაბიჯები

დაინსტალირებული Debian/დერივატიული დისტრიბუციის დაშიფვრის მიზნით, თქვენ უნდა მოაწყოთ მომზადებული დანაყოფი ვირტუალური ბლოკის მოწყობილობაზე, გადაიტანოთ იგი შედგენილ GNU/Linux დისკზე და დააინსტალიროთ/დააკონფიგურიროთ GRUB2. თუ არ გაქვთ შიშველი ლითონის სერვერი და აფასებთ თქვენს დროს, მაშინ უნდა გამოიყენოთ GUI და ქვემოთ აღწერილი ტერმინალის ბრძანებების უმეტესობა გამიზნულია ჩაკ-ნორისის რეჟიმში გასაშვებად.

B1. კომპიუტერის ჩატვირთვა ცოცხალი USB GNU/Linux-დან

"ჩაატარეთ კრიპტო ტესტი ტექნიკის მუშაობისთვის"

lscpu && сryptsetup benchmark

თუ თქვენ ხართ ძლიერი მანქანის ბედნიერი მფლობელი AES ტექნიკის მხარდაჭერით, მაშინ ნომრები გამოიყურება ტერმინალის მარჯვენა მხარეს; თუ ბედნიერი მფლობელი ხართ, მაგრამ ანტიკური ტექნიკით, ნომრები გამოიყურება მარცხენა მხარეს.

B2. დისკის დაყოფა. fs ლოგიკური დისკის HDD-ის დამონტაჟება/ფორმატირება Ext4-ზე (Gparted)

B2.1. დაშიფრული sda7 დანაყოფის სათაურის შექმნამე აღვწერ ტიხრების სახელებს, აქ და შემდგომში, ზემოთ გამოქვეყნებული ჩემი დანაყოფების ცხრილის შესაბამისად. თქვენი დისკის განლაგების მიხედვით, თქვენ უნდა შეცვალოთ თქვენი დანაყოფის სახელები.

ლოგიკური დისკის დაშიფვრის რუქა (/dev/sda7 > /dev/mapper/sda7_crypt).
"LUKS-AES-XTS დანაყოფის" მარტივი შექმნა

cryptsetup -v -y luksFormat /dev/sda7

Опцици:

* luksFormat - LUKS სათაურის ინიციალიზაცია;
* -y - საიდუმლო ფრაზა (არა გასაღები/ფაილი);
* -v -ვერბალიზაცია (ტერმინალში ინფორმაციის ჩვენება);
* /dev/sda7 - თქვენი ლოგიკური დისკი გაფართოებული დანაყოფიდან (სადაც იგეგმება GNU/Linux-ის გადატანა/დაშიფვრა).

დაშიფვრის ნაგულისხმევი ალგორითმი <LUKS1: aes-xts-plain64, გასაღები: 256 ბიტი, LUKS სათაურის ჰეშირება: sha256, RNG: /dev/urandom> (დამოკიდებულია cryptsetup ვერსიაზე).

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

თუ პროცესორზე არ არის AES ტექნიკის მხარდაჭერა, საუკეთესო არჩევანი იქნება გაფართოებული "LUKS-Twofish-XTS- დანაყოფის" შექმნა.

B2.2. "LUKS-Twofish-XTS-partition" გაფართოებული შექმნა

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

Опцици:
* luksFormat - LUKS სათაურის ინიციალიზაცია;
* /dev/sda7 არის თქვენი მომავალი დაშიფრული ლოგიკური დისკი;
* -v ვერბალიზაცია;
* -y საიდუმლო ფრაზა;
* -c აირჩიეთ მონაცემთა დაშიფვრის ალგორითმი;
* -s დაშიფვრის გასაღების ზომა;
* -h ჰეშირების ალგორითმი/კრიპტო ფუნქცია, გამოყენებულია RNG (--გამოყენება-ურანდომ) ლოგიკური დისკის სათაურის უნიკალური დაშიფვრის/გაშიფვრის გასაღების გენერირება, მეორადი სათაურის გასაღები (XTS); დაშიფრული დისკის სათაურში შენახული უნიკალური ძირითადი გასაღები, მეორადი XTS გასაღები, მთელი ეს მეტამონაცემები და დაშიფვრის რუტინა, რომელიც ძირითადი გასაღების და მეორადი XTS გასაღების გამოყენებით დაშიფვრავს/გაშიფრავს დანაყოფზე არსებულ ნებისმიერ მონაცემს. (სექციის სათაურის გარდა) ინახება ~3MB-ში შერჩეულ მყარ დისკზე.
* -i გამეორებები მილიწამებში, ნაცვლად "რაოდენობის" (საპასუხო ფრაზის დამუშავებისას დროის შეფერხება გავლენას ახდენს OS-ის ჩატვირთვაზე და გასაღებების კრიპტოგრაფიულ სიძლიერეზე). კრიპტოგრაფიული სიმტკიცის ბალანსის შესანარჩუნებლად, მარტივი პაროლით, როგორიცაა „რუსული“, თქვენ უნდა გაზარდოთ -(i) მნიშვნელობა, რთული პაროლით, როგორიცაა „?8dƱob/øfh“ მნიშვნელობა შეიძლება შემცირდეს.
* —გამოიყენე შემთხვევითი რიცხვების გენერატორი, აგენერირებს გასაღებებს და მარილს.

განყოფილების შედგენის შემდეგ sda7 > sda7_crypt (ოპერაცია სწრაფია, რადგან დაშიფრული სათაური იქმნება ~3 მბ მეტამონაცემებით და სულ ეს არის), თქვენ უნდა დააფორმოთ და დაამონტაჟოთ sda7_crypt ფაილური სისტემა.

B2.3. შედარება

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

პარამეტრები:
* გახსნა - შეადარეთ განყოფილება "სახელით";
* /dev/sda7 -ლოგიკური დისკი;
* sda7_crypt - სახელების რუკება, რომელიც გამოიყენება დაშიფრული დანაყოფის დასამონტაჟებლად ან მისი ინიციალიზაციისთვის, როდესაც OS ჩაიტვირთება.

B2.4. sda7_crypt ფაილური სისტემის ფორმატირება ext4-ზე. დისკის დამონტაჟება OS-ში(შენიშვნა: Gparted-ში დაშიფრულ დანაყოფთან მუშაობას ვერ შეძლებთ)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt 

პარამეტრები:
* -v -ვერბალიზაცია;
* -L - დისკის ეტიკეტი (რომელიც ნაჩვენებია Explorer-ში სხვა დისკებს შორის).

შემდეგი, თქვენ უნდა დააინსტალიროთ ვირტუალური დაშიფრული ბლოკის მოწყობილობა /dev/sda7_crypt სისტემაში

mount /dev/mapper/sda7_crypt /mnt

ფაილებთან მუშაობა /mnt საქაღალდეში ავტომატურად დაშიფრავს/გაშიფრავს მონაცემებს sda7-ში.

უფრო მოსახერხებელია დანაყოფის რუკა და დამონტაჟება Explorer-ში (nautilus/caja GUI), დანაყოფი უკვე იქნება დისკის შერჩევის სიაში, რჩება მხოლოდ პაროლის შეყვანა დისკის გასახსნელად/გაშიფვრისთვის. შესაბამისი სახელი შეირჩევა ავტომატურად და არა „sda7_crypt“, არამედ რაღაც მსგავსი /dev/mapper/Luks-xx-xx...

B2.5. დისკის სათაურის სარეზერვო ასლი (~3 მბ მეტამონაცემები)ერთ-ერთი ყველაზე მნიშვნელოვანია ოპერაციები, რომლებიც უნდა გაკეთდეს შეფერხების გარეშე - "sda7_crypt" სათაურის სარეზერვო ასლი. თუ გადაწერთ/დააზიანებთ სათაურს (მაგალითად, GRUB2-ის დაყენება sda7 დანაყოფზე და ა.შ.), დაშიფრული მონაცემები მთლიანად დაიკარგება მათი აღდგენის შესაძლებლობის გარეშე, რადგან შეუძლებელი იქნება იგივე გასაღებების ხელახლა გენერირება; გასაღებები იქმნება ცალსახად.

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7 

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

პარამეტრები:
* luksHeaderBackup —header-backup-file -backup ბრძანება;
* luksHeaderRestore — header-backup-file -restore ბრძანება;
* ~/Backup_DebSHIFR - სარეზერვო ფაილი;
* /dev/sda7 - დანაყოფი, რომლის დაშიფრული დისკის სათაურის სარეზერვო ასლი უნდა შეინახოს.
ამ ეტაპზე <დაშიფრული დანაყოფის შექმნა და რედაქტირება> დასრულებულია.

B3. GNU/Linux OS-ის პორტირება (sda4) დაშიფრულ დანაყოფზე (sda7)

შექმენით საქაღალდე /mnt2 (შენიშვნა - ჩვენ ჯერ კიდევ ვმუშაობთ ცოცხალი USB-ით, sda7_crypt დამონტაჟებულია /mnt-ზე)და დააინსტალირეთ ჩვენი GNU/Linux-ში /mnt2, რომელიც უნდა იყოს დაშიფრული.

mkdir /mnt2
mount /dev/sda4 /mnt2

ჩვენ ვახორციელებთ ოპერაციული სისტემის სწორ გადაცემას Rsync პროგრამული უზრუნველყოფის გამოყენებით

rsync -avlxhHX --progress /mnt2/ /mnt

Rsync პარამეტრები აღწერილია E1 პარაგრაფში.

შემდეგი, საჭირო ლოგიკური დისკის დანაყოფის დეფრაგმენტირება

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

წესად აქციეთ: დროდადრო გააკეთეთ e4defrag დაშიფრული GNU/LInux-ზე, თუ თქვენ გაქვთ HDD.
გადაცემა და სინქრონიზაცია [GNU/Linux > GNU/Linux-შიფრირებული] დასრულებულია ამ ეტაპზე.

4-ზე. GNU/Linux-ის დაყენება დაშიფრულ sda7 დანაყოფზე

OS /dev/sda4 > /dev/sda7 წარმატებით გადაცემის შემდეგ, თქვენ უნდა შეხვიდეთ GNU/Linux-ში დაშიფრულ დანაყოფზე და განახორციელოთ შემდგომი კონფიგურაცია. (კომპიუტერის გადატვირთვის გარეშე) დაშიფრულ სისტემასთან შედარებით. ანუ, იყავით პირდაპირ USB-ში, მაგრამ შეასრულეთ ბრძანებები „დაშიფრული OS-ის ფესვთან მიმართებით“. „chroot“ მსგავს სიტუაციას მოახდენს. სწრაფად მიიღოთ ინფორმაცია, თუ რომელ ოპერაციულ სისტემასთან მუშაობთ ამჟამად (დაშიფრულია თუ არა, რადგან sda4 და sda7 მონაცემები სინქრონიზებულია)OS-ის დესინქრონიზაცია. შექმენით root დირექტორიაში (sda4/sda7_crypt) ცარიელი მარკერის ფაილები, მაგალითად, /mnt/encryptedOS და /mnt2/decryptedOS. სწრაფად შეამოწმეთ რომელ OS-ზე ხართ (მათ შორის მომავლისთვის):

ls /<Tab-Tab>

B4.1. "დაშიფრულ OS-ში შესვლის სიმულაცია"

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. დადასტურება, რომ მუშაობა ხორციელდება დაშიფრული სისტემის წინააღმდეგ

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. დაშიფრული სვოპის შექმნა/კონფიგურაცია, crypttab/fstab-ის რედაქტირებაიმის გამო, რომ swap ფაილის ფორმატირება ხდება ოპერაციული სისტემის გაშვების ყოველ ჯერზე, აზრი არ აქვს ახლა ლოგიკურ დისკზე სვოპის შექმნას და გადაცვლას და ბრძანებების შეყვანას, როგორც B2.2 პუნქტში. Swap-ისთვის, მისი დროებითი დაშიფვრის გასაღებები ავტომატურად გენერირებული იქნება ყოველი დაწყებისას. სვოპ კლავიშების სასიცოცხლო ციკლი: სვოპ დანაყოფის დემონტაჟი/დამონტაჟება (+ RAM-ის გაწმენდა); ან გადატვირთეთ OS. სვოპის დაყენება, ფაილის გახსნა, რომელიც პასუხისმგებელია ბლოკში დაშიფრული მოწყობილობების კონფიგურაციაზე (fstab ფაილის ანალოგი, მაგრამ პასუხისმგებელი კრიპტო).

nano /etc/crypttab 

ჩვენ ვასწორებთ

#"სამიზნე სახელი" "წყაროს მოწყობილობა" "საკვანძო ფაილი" "ოფციები"
swap /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512

პარამეტრები
* swap - შედგენილი სახელი /dev/mapper/swap დაშიფვრისას.
* /dev/sda8 - გამოიყენეთ თქვენი ლოგიკური დანაყოფი სვოპისთვის.
* /dev/urandom - შემთხვევითი დაშიფვრის გასაღებების გენერატორი გაცვლისთვის (ყოველი ახალი OS ჩატვირთვისას იქმნება ახალი კლავიშები). /dev/urandom გენერატორი ნაკლებად შემთხვევითია ვიდრე /dev/random, ბოლოს და ბოლოს, /dev/random გამოიყენება საშიში პარანოიდულ გარემოებებში მუშაობისას. OS-ის ჩატვირთვისას /dev/random ანელებს დატვირთვას რამდენიმე ± წუთის განმავლობაში (იხილეთ სისტემური ანალიზი).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -პარტიციამ იცის, რომ არის swap და დაფორმატებულია „შესაბამისად“; დაშიფვრის ალგორითმი.

#Открываем и правим fstab
nano /etc/fstab

ჩვენ ვასწორებთ

# swap ჩართული იყო / dev / sda8 ინსტალაციის დროს
/dev/mapper/swap არცერთი გაცვალეთ sw 0 0

/dev/mapper/swap არის სახელი, რომელიც დაყენებულია crypttab-ში.

ალტერნატიული დაშიფრული გაცვლა
თუ რაიმე მიზეზით არ გსურთ დათმოთ მთელი დანაყოფი სვოპ ფაილისთვის, მაშინ შეგიძლიათ გამოიყენოთ ალტერნატიული და უკეთესი გზა: შექმნათ swap ფაილი ფაილში დაშიფრულ დანაყოფზე OS-ით.

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

სვოპ დანაყოფის დაყენება დასრულებულია.

B4.4. დაშიფრული GNU/Linux-ის დაყენება (crypttab/fstab ფაილების რედაქტირება)ფაილი /etc/crypttab, როგორც ზემოთ იყო დაწერილი, აღწერს დაშიფრულ ბლოკ მოწყობილობებს, რომლებიც კონფიგურირებულია სისტემის ჩატვირთვისას.

#правим /etc/crypttab 
nano /etc/crypttab 

თუ თქვენ დაემთხვათ sda7>sda7_crypt განყოფილებას, როგორც B2.1 პუნქტში

# "სამიზნე სახელი" "წყაროს მოწყობილობა" "საკვანძო ფაილი" "ოფციები"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

თუ თქვენ დაემთხვათ sda7>sda7_crypt განყოფილებას, როგორც B2.2 პუნქტში

# "სამიზნე სახელი" "წყაროს მოწყობილობა" "საკვანძო ფაილი" "ოფციები"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

თუ თქვენ დაემთხვათ sda7>sda7_crypt განყოფილებას, როგორც B2.1 ან B2.2 პუნქტში, მაგრამ არ გსურთ პაროლის ხელახლა შეყვანა OS-ის განბლოკვისა და ჩატვირთვისთვის, მაშინ პაროლის ნაცვლად შეგიძლიათ შეცვალოთ საიდუმლო გასაღები/შემთხვევითი ფაილი.

# "სამიზნე სახელი" "წყაროს მოწყობილობა" "საკვანძო ფაილი" "ოფციები"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

აღწერა
* არცერთი - იუწყება, რომ OS-ის ჩატვირთვისას საჭიროა საიდუმლო ფრაზის შეყვანა root-ის განბლოკვისთვის.
* UUID - დანაყოფის იდენტიფიკატორი. თქვენი პირადობის გასარკვევად, ჩაწერეთ ტერმინალი (შეგახსენებთ, რომ ამ დროიდან თქვენ მუშაობთ ტერმინალში chroot გარემოში და არა სხვა ცოცხალი USB ტერმინალში).

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное 

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

ეს ხაზი ჩანს blkid-ის მოთხოვნისას ცოცხალი USB ტერმინალიდან sda7_crypt დამონტაჟებული).
თქვენ იღებთ UUID-ს თქვენი sdaX-დან (არა sdaX_crypt!, UUID sdaX_crypt - ავტომატურად დარჩება grub.cfg კონფიგურაციის გენერირებისას).
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks დაშიფვრა გაფართოებულ რეჟიმში.
* /etc/skey - საიდუმლო გასაღების ფაილი, რომელიც ავტომატურად ჩასმულია OS-ის ჩატვირთვის განსაბლოკად (მე-3 პაროლის შეყვანის ნაცვლად). თქვენ შეგიძლიათ მიუთითოთ ნებისმიერი ფაილი 8 მბ-მდე, მაგრამ მონაცემები წაიკითხება <1 მბ.

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7 

ეს დაახლოებით ასე გამოიყურება:

(გააკეთე ეს შენ თვითონ და ნახე).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab შეიცავს აღწერით ინფორმაციას სხვადასხვა ფაილური სისტემის შესახებ.

#Правим /etc/fstab
nano /etc/fstab

# "ფაილის სისტემა" "დამონტაჟების წერტილი" "ტიპი" "ოფციები" "dump" "pass"
# / ინსტალაციის დროს ჩართული იყო / dev / sda7
/dev/mapper/sda7_crypt / ext4 errors=remount-ro 0 1

ვარიანტი
* /dev/mapper/sda7_crypt - sda7>sda7_crypt რუკების სახელი, რომელიც მითითებულია /etc/crypttab ფაილში.
crypttab/fstab-ის დაყენება დასრულებულია.

B4.5. კონფიგურაციის ფაილების რედაქტირება. საკვანძო მომენტიB4.5.1. კონფიგურაციის რედაქტირება /etc/initramfs-tools/conf.d/resume

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

და გააკეთე კომენტარი (თუ არსებობს) "#" ხაზი "რეზიუმე". ფაილი უნდა იყოს სრულიად ცარიელი.

B4.5.2. კონფიგურაციის რედაქტირება /etc/initramfs-tools/conf.d/cryptsetup

nano /etc/initramfs-tools/conf.d/cryptsetup

უნდა ემთხვეოდეს

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTTSETUP=დიახ
ექსპორტი CRYPTSETUP

B4.5.3. /etc/default/grub კონფიგურაციის რედაქტირება (ეს კონფიგურაცია პასუხისმგებელია grub.cfg-ის გენერირების უნარზე დაშიფრული /boot-თან მუშაობისას)

nano /etc/default/grub

დაამატეთ ხაზი "GRUB_ENABLE_CRYPTODISK=y"
მნიშვნელობა 'y', grub-mkconfig და grub-install შეამოწმებენ დაშიფრულ დისკებს და გამოიმუშავებენ დამატებით ბრძანებებს, რომლებიც საჭიროა მათზე წვდომისთვის ჩატვირთვის დროს (არასწორი ).
უნდა იყოს მსგავსება

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=მყიდველი"
GRUB_CMDLINE_LINUX="წყნარი ჩახშობის noautomount"
GRUB_ENABLE_CRYPTODISK=y

B4.5.4. კონფიგურაციის რედაქტირება /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

შეამოწმეთ ეს ხაზი კომენტარი გააკეთა <#>.
მომავალში (და ახლაც კი, ამ პარამეტრს არანაირი მნიშვნელობა არ ექნება, მაგრამ ზოგჯერ ხელს უშლის initrd.img სურათის განახლებას).

B4.5.5. კონფიგურაციის რედაქტირება /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

დამატება

KEYFILE_PATTERN=”/etc/skey”
UMASK=0077

ეს ჩაალაგებს საიდუმლო კლავიშს "skey" initrd.img-ში, გასაღები საჭიროა root-ის განსაბლოკად, როდესაც OS ჩაიტვირთება. (თუ პაროლის ხელახლა შეყვანა არ გსურთ, მანქანას ჩაენაცვლება გასაღები "სკი").

B4.6. განაახლეთ /boot/initrd.img [ვერსია]საიდუმლო გასაღების initrd.img-ში ჩასაწერად და cryptsetup-ის შესწორებების გამოსაყენებლად, განაახლეთ სურათი

update-initramfs -u -k all

initrd.img განახლებისას (როგორც ამბობენ "შესაძლებელია, მაგრამ ეს არ არის გარკვეული") გამოჩნდება cryptsetup-თან დაკავშირებული გაფრთხილებები, ან, მაგალითად, შეტყობინება Nvidia მოდულების დაკარგვის შესახებ - ეს ნორმალურია. ფაილის განახლების შემდეგ შეამოწმეთ, რომ ის რეალურად განახლებულია, ნახეთ დრო (chroot გარემოსთან შედარებით./boot/initrd.img). ყურადღება სანამ [update-initramfs -u -k all], დარწმუნდით, რომ შეამოწმეთ, რომ cryptsetup ღიაა /dev/sda7 sda7_crypt - ეს არის სახელი, რომელიც ჩანს /etc/crypttab-ში, წინააღმდეგ შემთხვევაში გადატვირთვის შემდეგ იქნება busybox შეცდომა)
ამ ეტაპზე, კონფიგურაციის ფაილების დაყენება დასრულებულია.

[C] GRUB2/Protection-ის ინსტალაცია და კონფიგურაცია

C1. საჭიროების შემთხვევაში, დაფორმატეთ გამოყოფილი დანაყოფი ჩატვირთვისთვის (პარტიციას სჭირდება მინიმუმ 20 მბ)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. დაამონტაჟეთ /dev/sda6 /mnt-ზეასე რომ, ჩვენ ვმუშაობთ chroot-ში, შემდეგ არ იქნება /mnt2 დირექტორია root-ში და /mnt საქაღალდე ცარიელი იქნება.
დაამონტაჟეთ GRUB2 დანაყოფი

mount /dev/sda6 /mnt

თუ დაინსტალირებული გაქვთ GRUB2-ის ძველი ვერსია, დირექტორიაში /mnt/boot/grub/i-386-pc (სხვა პლატფორმა შესაძლებელია, მაგალითად, არა "i386-pc") არ არის კრიპტო მოდულები (მოკლედ, საქაღალდე უნდა შეიცავდეს მოდულებს, მათ შორის .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod) ამ შემთხვევაში, GRUB2 უნდა შეირყა.

apt-get update
apt-get install grub2 

Მნიშვნელოვანი! GRUB2 პაკეტის საცავიდან განახლებისას, როდესაც გეკითხებით „არჩევის შესახებ“ სად უნდა დააინსტალიროთ ჩამტვირთველი, უარი უნდა თქვათ ინსტალაციაზე. (მიზეზი - GRUB2-ის დაყენების მცდელობა - "MBR"-ში ან პირდაპირ USB-ში). წინააღმდეგ შემთხვევაში თქვენ დააზიანებთ VeraCrypt-ის სათაურს/ჩამტვირთველს. GRUB2 პაკეტების განახლებისა და ინსტალაციის გაუქმების შემდეგ, ჩამტვირთველი ხელით უნდა დაინსტალირდეს ლოგიკურ დისკზე და არა MBR-ში. თუ თქვენს საცავს აქვს GRUB2-ის მოძველებული ვერსია, სცადეთ განახლება ეს არის ოფიციალური ვებგვერდიდან - არ გადამიმოწმებია (მუშაობდა უახლესი GRUB 2.02 ~BetaX ჩამტვირთველებით).

C3. GRUB2-ის დაყენება გაფართოებულ დანაყოფში [sda6]თქვენ უნდა გქონდეთ დამონტაჟებული დანაყოფი [პუნქტი C.2]

grub-install --force --root-directory=/mnt /dev/sda6

პარამეტრები
* —force - ჩამტვირთველის ინსტალაცია, თითქმის ყოველთვის არსებული ყველა გაფრთხილების გვერდის ავლით და ბლოკავს ინსტალაციას (აუცილებელი დროშა).
* --root-directory - დირექტორიას ინსტალაცია sda6-ის ძირამდე.
* /dev/sda6 - თქვენი sdaХ დანაყოფი (არ გამოტოვოთ <space> /mnt /dev/sda6-ს შორის).

C4. კონფიგურაციის ფაილის შექმნა [grub.cfg]დაივიწყეთ "update-grub2" ბრძანება და გამოიყენეთ სრული კონფიგურაციის ფაილის გენერირების ბრძანება

grub-mkconfig -o /mnt/boot/grub/grub.cfg

grub.cfg ფაილის გენერირების/განახლების დასრულების შემდეგ, გამომავალი ტერმინალი უნდა შეიცავდეს დისკზე ნაპოვნი OS-ის ხაზ(ებ)ს. ("grub-mkconfig" ალბათ იპოვის და აიღებს OS-ს ცოცხალი USB-დან, თუ თქვენ გაქვთ მულტიჩამტვირთავი ფლეშ დრაივი Windows 10-ით და ცოცხალი დისტრიბუციების მთელი რიგი - ეს ნორმალურია). თუ ტერმინალი "ცარიელია" და "grub.cfg" ფაილი არ არის გენერირებული, მაშინ ეს იგივე შემთხვევაა, როდესაც სისტემაში არის GRUB შეცდომები. (და, სავარაუდოდ, ჩამტვირთავი საცავის სატესტო ფილიალიდან), ხელახლა დააინსტალირეთ GRUB2 სანდო წყაროებიდან.
"მარტივი კონფიგურაციის" ინსტალაცია და GRUB2 დაყენება დასრულებულია.

C5. დაშიფრული GNU/Linux OS-ის დამადასტურებელი ტესტიჩვენ სწორად ვასრულებთ კრიპტო მისიას. ფრთხილად დატოვეთ დაშიფრული GNU/Linux (გამოსვლა chroot გარემოდან).

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

კომპიუტერის გადატვირთვის შემდეგ, VeraCrypt ჩამტვირთველი უნდა ჩაიტვირთოს.


*აქტიური დანაყოფის პაროლის შეყვანით დაიწყება Windows-ის ჩატვირთვა.
*"Esc" კლავიშის დაჭერით კონტროლი გადადის GRUB2-ზე, თუ თქვენ აირჩევთ დაშიფრულ GNU/Linux-ს - პაროლი (sda7_crypt) საჭირო იქნება განბლოკვისთვის /boot/initrd.img (თუ grub2 წერს uuid "not found" - ეს არის პრობლემა grub2 bootloader-თან, ის ხელახლა უნდა დააინსტალიროთ, მაგ., სატესტო ფილიალიდან/სტაბილიდან და ა.შ.).


* დამოკიდებულია იმაზე, თუ როგორ დააკონფიგურირეთ სისტემა (იხილეთ პუნქტი B4.4/4.5), სწორი პაროლის შეყვანის შემდეგ /boot/initrd.img სურათის განსაბლოკად, დაგჭირდებათ პაროლი OS ბირთვის/ძირის ჩასატვირთად, ან საიდუმლო. გასაღები ავტომატურად შეიცვლება " skey", რაც გამორიცხავს პაროლის ხელახლა შეყვანის აუცილებლობას.

(ეკრანი "საიდუმლო გასაღების ავტომატური ჩანაცვლება").

*შემდეგ მოჰყვება GNU/Linux-ის მომხმარებლის ანგარიშის ავთენტიფიკაციით ჩატვირთვის ნაცნობი პროცესი.


*მომხმარებლის ავტორიზაციისა და OS-ში შესვლის შემდეგ, თქვენ კვლავ უნდა განაახლოთ /boot/initrd.img (იხ. B4.6).

update-initramfs -u -k all

და დამატებითი ხაზების შემთხვევაში GRUB2 მენიუში (OS-m პიკაპიდან ცოცხალი USB-ით) თავიდან მოიშორე ისინი

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

GNU/Linux სისტემის დაშიფვრის სწრაფი შეჯამება:

• GNU/Linuxinux სრულად არის დაშიფრული, მათ შორის /boot/kernel და initrd;
• საიდუმლო გასაღები შეფუთულია initrd.img-ში;
• ავტორიზაციის მიმდინარე სქემა (პაროლის შეყვანა initrd-ის განბლოკვისთვის; პაროლი/გასაღები OS-ის ჩატვირთვისთვის; პაროლი Linux ანგარიშის ავტორიზაციისთვის).

ბლოკის დანაყოფის "მარტივი GRUB2 კონფიგურაციის" სისტემის დაშიფვრა დასრულებულია.

C6. გაფართოებული GRUB2 კონფიგურაცია. ჩამტვირთველის დაცვა ციფრული ხელმოწერით + ავთენტიფიკაციის დაცვაGNU/Linux მთლიანად დაშიფრულია, მაგრამ ჩამტვირთველის დაშიფვრა შეუძლებელია - ეს მდგომარეობა ნაკარნახევია BIOS-ის მიერ. ამ მიზეზით, GRUB2-ის ჯაჭვური დაშიფრული ჩატვირთვა შეუძლებელია, მაგრამ მარტივი ჯაჭვური ჩატვირთვა შესაძლებელია/ხელმისაწვდომია, მაგრამ უსაფრთხოების თვალსაზრისით ეს არ არის აუცილებელი [იხ. P.F].
„დაუცველი“ GRUB2-ისთვის დეველოპერებმა განახორციელეს „ხელმოწერის/ავთენტიფიკაციის“ ჩამტვირთველის დაცვის ალგორითმი.

• როდესაც ჩამტვირთავი დაცულია „საკუთარი ციფრული ხელმოწერით“, ფაილების გარე მოდიფიკაცია ან ამ ჩამტვირთავში დამატებითი მოდულების ჩატვირთვის მცდელობა გამოიწვევს ჩატვირთვის პროცესის დაბლოკვას.
• ჩამტვირთველის ავთენტიფიკაციით დაცვისას, დისტრიბუციის ჩატვირთვის ასარჩევად ან CLI-ში დამატებითი ბრძანებების შესაყვანად, თქვენ უნდა შეიყვანოთ სუპერმომხმარებლის-GRUB2-ის შესვლა და პაროლი.

C6.1. ჩამტვირთველის ავთენტიფიკაციის დაცვაშეამოწმეთ, რომ მუშაობთ ტერმინალში დაშიფრულ OS-ზე

ls /<Tab-Tab> #обнаружить файл-маркер

შექმენით სუპერმომხმარებლის პაროლი ავტორიზაციისთვის GRUB2-ში

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. 

მიიღეთ პაროლის ჰეში. Რაღაც მსგავსი

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

დაამონტაჟეთ GRUB დანაყოფი

mount /dev/sda6 /mnt 

კონფიგურაციის რედაქტირება

nano -$ /mnt/boot/grub/grub.cfg 

შეამოწმეთ ფაილის ძებნა, რომ არ არის დროშები არსად "grub.cfg" ("-შეუზღუდავი" "-user",
დაამატე ბოლოს (სტრიქონამდე ### END /etc/grub.d/41_custom ###)
"set superusers="root"
password_pbkdf2 root ჰეში."

ეს უნდა იყოს რაღაც მსგავსი

# ეს ფაილი გთავაზობთ მენიუს პერსონალური ჩანაწერების დამატების მარტივ გზას. უბრალოდ ჩაწერეთ
მენიუს # ჩანაწერი, რომლის დამატებაც გსურთ ამ კომენტარის შემდეგ. ფრთხილად იყავით, რომ არ შეცვალოთ
# ზემოთ "შესრულებული კუდის" ხაზი.
### დასასრული /etc/grub.d/40_custom ###

### დასაწყისი /etc/grub.d/41_custom ###
თუ [ -f ${config_directory}/custom.cfg ]; მაშინ
წყარო ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg]; მაშინ
წყარო $prefix/custom.cfg;
fi
set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### დასასრული /etc/grub.d/41_custom ###
#

თუ ხშირად იყენებთ ბრძანებას "grub-mkconfig -o /mnt/boot/grub/grub.cfg" და არ გსურთ ცვლილებების შეტანა grub.cfg-ში ყოველ ჯერზე, შეიყვანეთ ზემოთ მოცემული ხაზები. (Შესვლა პაროლი) GRUB მომხმარებლის სკრიპტში ბოლოში

nano /etc/grub.d/41_custom 

კატა <<EOF
set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

კონფიგურაციის „grub-mkconfig -o /mnt/boot/grub/grub.cfg“ გენერირებისას, ავთენტიფიკაციაზე პასუხისმგებელი ხაზები ავტომატურად დაემატება grub.cfg-ს.
ეს ნაბიჯი ასრულებს GRUB2 ავთენტიფიკაციის დაყენებას.

C6.2. ჩამტვირთველის დაცვა ციფრული ხელმოწერითვარაუდობენ, რომ თქვენ უკვე გაქვთ თქვენი პირადი pgp დაშიფვრის გასაღები (ან შექმენით ასეთი გასაღები). სისტემას უნდა ჰქონდეს დაინსტალირებული კრიპტოგრაფიული პროგრამული უზრუნველყოფა: gnuPG; კლეოპატრა/GPA; ზღვის ცხენი. კრიპტო პროგრამული უზრუნველყოფა გაგიადვილებთ ცხოვრებას ყველა ასეთ საკითხში. Seahorse - პაკეტის სტაბილური ვერსია 3.14.0 (უფრო მაღალი ვერსიები, მაგალითად, V3.20, არის დეფექტური და აქვს მნიშვნელოვანი შეცდომები).

PGP გასაღები უნდა იყოს გენერირებული/გაშვებული/დამატებული მხოლოდ სუ გარემოში!

შექმენით პირადი დაშიფვრის გასაღები

gpg - -gen-key

თქვენი გასაღების ექსპორტი

gpg --export -o ~/perskey

დააინსტალირეთ ლოგიკური დისკი OS-ში, თუ ის უკვე არ არის დამონტაჟებული

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

გაასუფთავეთ GRUB2 დანაყოფი

rm -rf /mnt/

დააინსტალირეთ GRUB2 sda6-ში, ჩადეთ თქვენი პირადი გასაღები GRUB-ის მთავარ სურათში "core.img"

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

პარამეტრები
* --force - დააინსტალირეთ ჩამტვირთავი, გვერდის ავლით ყველა გაფრთხილებას, რომელიც ყოველთვის არსებობს (აუცილებელი დროშა).
* —modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - ავალებს GRUB2-ს წინასწარ ჩატვირთოს საჭირო მოდულები კომპიუტერის დაწყებისას.
* -k ~/perskey -გზა "PGP გასაღებისკენ" (გასაღების სურათზე შეფუთვის შემდეგ, ის შეიძლება წაიშალოს).
* --root-directory - ჩატვირთვის დირექტორია დააყენეთ sda6-ის ფესვზე
/dev/sda6 - თქვენი sdaX დანაყოფი.

grub.cfg გენერირება/განახლება

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

დაამატეთ ხაზი "trust /boot/grub/perskey" "grub.cfg" ფაილის ბოლოს (pgp გასაღების იძულებით გამოყენება.) ვინაიდან ჩვენ დავაინსტალირეთ GRUB2 მოდულების ნაკრებით, მათ შორის ხელმოწერის მოდული „signature_test.mod“, ეს გამორიცხავს კონფიგურაციაში ისეთი ბრძანებების დამატების აუცილებლობას, როგორიცაა „set check_signatures=enforce“.

ეს უნდა გამოიყურებოდეს რაღაც მსგავსი (ხაზების ბოლო grub.cfg ფაილში)

### დასაწყისი /etc/grub.d/41_custom ###
თუ [ -f ${config_directory}/custom.cfg ]; მაშინ
წყარო ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg]; მაშინ
წყარო $prefix/custom.cfg;
fi
ნდობა /boot/grub/perskey
set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### დასასრული /etc/grub.d/41_custom ###
#

ბილიკი „/boot/grub/perskey“ არ საჭიროებს მითითებას დისკის კონკრეტულ დანაყოფზე, მაგალითად hd0,6; თავად ჩამტვირთავისთვის „root“ არის დანაყოფის ნაგულისხმევი გზა, რომელზეც დაინსტალირებულია GRUB2. (იხ. კომპლექტი rot=..).

ხელმოწერა GRUB2 (ყველა ფაილი ყველა /GRUB დირექტორიაში) თქვენი გასაღებით "perskey".
მარტივი გამოსავალი, თუ როგორ უნდა მოაწეროთ ხელი (nautilus/caja explorer-ისთვის): დააინსტალირეთ "seahorse" გაფართოება Explorer-ისთვის საცავიდან. თქვენი გასაღები უნდა დაემატოს სუ გარემოს.
გახსენით Explorer sudo “/mnt/boot” – RMB – ნიშნით. ეკრანზე ასე გამოიყურება

თავად გასაღები არის "/mnt/boot/grub/perskey" (დააკოპირეთ grub დირექტორიაში) ასევე უნდა იყოს ხელმოწერილი საკუთარი ხელმოწერით. შეამოწმეთ, რომ [*.sig] ფაილის ხელმოწერები გამოჩნდება დირექტორიაში/ქვედამწერებში.
ზემოთ აღწერილი მეთოდის გამოყენებით, მოაწერეთ ხელი „/boot“ (ჩვენი ბირთვი, initrd). თუ თქვენი დრო რაიმეს ღირდა, მაშინ ეს მეთოდი გამორიცხავს bash სკრიპტის დაწერის აუცილებლობას, რათა ხელი მოაწეროთ „ბევრ ფაილს“.

ჩამტვირთველის ყველა ხელმოწერის ამოსაღებად (თუ რამე არასწორედ მოხდა)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

იმისათვის, რომ არ მოვაწეროთ ხელი ჩამტვირთველს სისტემის განახლების შემდეგ, ჩვენ ვყინავთ GRUB2-თან დაკავშირებულ ყველა განახლების პაკეტს.

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

ეს ნაბიჯი <დაიცავით ჩამტვირთველი ციფრული ხელმოწერით> GRUB2-ის გაფართოებული კონფიგურაცია დასრულებულია.

C6.3. GRUB2 ჩამტვირთველის დამადასტურებელი ტესტი, დაცული ციფრული ხელმოწერითა და ავთენტიფიკაციითGRUB2. ნებისმიერი GNU/Linux დისტრიბუციის არჩევისას ან CLI-ში შესვლისას (ბრძანების ხაზი) საჭირო იქნება სუპერმომხმარებლის ავტორიზაცია. სწორი მომხმარებლის სახელის/პაროლის შეყვანის შემდეგ დაგჭირდებათ საწყისი პაროლი

GRUB2 სუპერმომხმარებლის წარმატებული ავტორიზაციის სკრინშოტი.

თუ თქვენ შეაფერხებთ GRUB2 ფაილს/ცვლილებებს შეიტანთ grub.cfg-ში, ან წაშლით ფაილს/ხელმოწერას, ან ჩატვირთავთ მავნე module.mod-ს, გამოჩნდება შესაბამისი გაფრთხილება. GRUB2 შეაჩერებს დატვირთვას.

სკრინშოტი, GRUB2-ში ჩარევის მცდელობა „გარედან“.

"ნორმალური" ჩატვირთვისას "შეჭრის გარეშე", სისტემიდან გამოსვლის კოდის სტატუსი არის "0". შესაბამისად, უცნობია მუშაობს თუ არა დაცვა (ანუ, "ჩამტვირთველის ხელმოწერის დაცვით ან მის გარეშე" ნორმალური ჩატვირთვისას სტატუსი იგივეა "0" - ეს ცუდია).

როგორ შევამოწმოთ ციფრული ხელმოწერის დაცვა?

შემოწმების არასასიამოვნო გზა: გააყალბეთ/ამოშალეთ GRUB2-ის მიერ გამოყენებული მოდული, მაგალითად, წაშალეთ ხელმოწერა luks.mod.sig და მიიღეთ შეცდომა.

სწორი გზა: გადადით bootloader CLI-ზე და ჩაწერეთ ბრძანება

trust_list

საპასუხოდ, თქვენ უნდა მიიღოთ თითის ანაბეჭდი "perskey"; თუ სტატუსი არის "0", მაშინ ხელმოწერის დაცვა არ მუშაობს, გადაამოწმეთ C6.2 პუნქტი.
ამ ეტაპზე დასრულებულია გაფართოებული კონფიგურაცია "GRUB2-ის დაცვა ციფრული ხელმოწერითა და ავთენტიფიკაციით".

C7 GRUB2 ჩამტვირთველის დაცვის ალტერნატიული მეთოდი ჰეშირების გამოყენებითზემოთ აღწერილი "CPU Boot Loader Protection/Authentication" მეთოდი კლასიკურია. GRUB2-ის არასრულყოფილების გამო, პარანოიდულ პირობებში ის ექვემდებარება რეალურ შეტევას, რასაც ქვემოთ [F]-ში მივცემ. გარდა ამისა, OS/კერნელის განახლების შემდეგ, ჩამტვირთველი ხელახლა უნდა იყოს ხელმოწერილი.

GRUB2 ჩამტვირთველის დაცვა ჰეშირების გამოყენებით

უპირატესობები კლასიკასთან შედარებით:

• საიმედოობის უფრო მაღალი დონე (ჰეშირება/დამოწმება ხდება მხოლოდ დაშიფრული ლოკალური რესურსიდან. GRUB2-ის მთელი გამოყოფილი დანაყოფი კონტროლდება ნებისმიერი ცვლილებისთვის, დანარჩენი კი დაშიფრულია; კლასიკურ სქემაში CPU loader-ის დაცვით/ავთენტიფიკაციით მხოლოდ ფაილები კონტროლდება, მაგრამ არა თავისუფალი. სივრცე, რომელშიც შეიძლება დაემატოს „რაღაც“ რაღაც ბოროტი“).
• დაშიფრული ხე (სქემას ემატება ადამიანის მიერ წასაკითხი პერსონალური დაშიფრული ჟურნალი).
• სიჩქარის (GRUB2-სთვის გამოყოფილი მთელი დანაყოფის დაცვა/დამოწმება ხდება თითქმის მყისიერად).
• ყველა კრიპტოგრაფიული პროცესის ავტომატიზაცია.

ნაკლოვანებები კლასიკასთან შედარებით.

• ხელმოწერის გაყალბება (თეორიულად შესაძლებელია მოცემული ჰეშის ფუნქციის შეჯახების პოვნა).
• გაზრდილი სირთულის დონე (კლასიკურთან შედარებით, საჭიროა ცოტა მეტი ცოდნა GNU/Linux OS-ში).

როგორ მუშაობს GRUB2/პარტიციის ჰეშირების იდეა

GRUB2 დანაყოფი „ხელმოწერილია“; როდესაც OS ჩატვირთავს, ჩატვირთვის დანაყოფი მოწმდება უცვლელად, რასაც მოჰყვება უსაფრთხო (დაშიფრული) გარემოში შესვლა. თუ ჩამტვირთავი ან მისი დანაყოფი დაზიანებულია, შეჭრის ჟურნალის გარდა, ამოქმედდება შემდეგი:

რამ.

მსგავსი შემოწმება ხდება დღეში ოთხჯერ, რაც არ იტვირთება სისტემის რესურსებს.
"-$ check_GRUB" ბრძანების გამოყენებით, მყისიერი შემოწმება ხდება ნებისმიერ დროს, ჟურნალის გარეშე, მაგრამ ინფორმაციის გამოტანით CLI-ში.
ბრძანების „-$ sudo signature_GRUB“ გამოყენებით, GRUB2 boot loader/partition მყისიერად ხელახლა ხელმოწერილია და მისი განახლებული ჟურნალი (აუცილებელია OS/ჩატვირთვის განახლების შემდეგ) და ცხოვრება გრძელდება.

ჩატვირთვისა და მისი განყოფილების ჰეშირების მეთოდის დანერგვა

0) მოდით ხელი მოვაწეროთ GRUB-ის ჩამტვირთველს/პარტიციას, ჯერ დააინსტალიროთ იგი /media/username-ში

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) ჩვენ ვქმნით სკრიპტს გაფართოების გარეშე დაშიფრული OS ~/podpis-ის ძირში, ვიყენებთ მასზე აუცილებელ 744 უსაფრთხოების უფლებებს და უგუნურ დაცვას.

მისი შინაარსის შევსება

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

სკრიპტის გაშვება su, შემოწმდება GRUB დანაყოფის და მისი ჩამტვირთველის ჰეშირება, შეინახეთ ჟურნალი.

მოდით შევქმნათ ან დავაკოპიროთ, მაგალითად, „მავნე ფაილი“ [virus.mod] GRUB2 დანაყოფში და ჩავატაროთ დროებითი სკანირება/ტესტი:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

CLI-მ უნდა ნახოს შემოჭრა ჩვენს ციტადელში#მოჭრილი შესვლა CLI-ში

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

#როგორც ხედავთ, ჩნდება „ფაილები გადატანილია: 1 და აუდიტი ვერ მოხერხდა“, რაც ნიშნავს, რომ შემოწმება ვერ მოხერხდა.
შესამოწმებელი დანაყოფის ბუნებიდან გამომდინარე, ნაცვლად „იპოვეს ახალი ფაილები“ ​​> „ფაილები გადატანილია“

2) დადეთ gif აქ > ~/warning.gif, დააყენეთ ნებართვები 744-ზე.

3) Fstab-ის კონფიგურაცია ჩატვირთვისას GRUB დანაყოფის ავტომატური დასამონტაჟებლად

-$ sudo nano /etc/fstab

LABEL=GRUB /media/username/GRUB ext4 ნაგულისხმევი 0 0

4) ჟურნალის როტაცია

-$ sudo nano /etc/logrotate.d/podpis 

/var/log/podpis.txt {
ყოველდღიური
როტაცია 50
ზომა 5 მ
თარიღი ტექსტი
შეკუმშოს
დაგვიანებით კომპრესირება
olddir /var/log/old
}

/var/log/vtorjenie.txt {
ყოველთვიური
როტაცია 5
ზომა 5 მ
თარიღი ტექსტი
olddir /var/log/old
}

5) დაამატეთ სამუშაო cron-ს

-$ sudo crontab -e

გადატვირთეთ '/გამოწერა'
0 */6 * * * '/podpis

6) მუდმივი მეტსახელების შექმნა

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

OS განახლების შემდეგ -$ apt-get upgrade ხელახლა მოაწერეთ ჩვენი GRUB დანაყოფი
-$ подпись_GRUB
ამ ეტაპზე, GRUB დანაყოფის ჰეშინგის დაცვა დასრულებულია.

[D] Wiping - დაშიფრული მონაცემების განადგურება

წაშალეთ თქვენი პირადი ფაილები ისე მთლიანად, რომ „ღმერთმაც კი ვერ წაიკითხოს ისინი“, ამბობს სამხრეთ კაროლინას სპიკერი თრეი გოუდი.

ჩვეულებისამებრ, არსებობს სხვადასხვა „მითები და ლეგენდები", მონაცემების აღდგენის შესახებ მყარი დისკიდან წაშლის შემდეგ. თუ გჯერათ კიბერ ჯადოქრობის, ან ხართ Dr-ის ვებ საზოგადოების წევრი და არასოდეს გიცდიათ მონაცემების აღდგენა მისი წაშლის/გადაწერის შემდეგ (მაგალითად, აღდგენა R-სტუდიის გამოყენებით), მაშინ შემოთავაზებული მეთოდი ნაკლებად სავარაუდოა, რომ მოერგოს თქვენ, გამოიყენეთ ის, რაც ყველაზე ახლოს არის თქვენთან.

GNU/Linux-ის დაშიფრულ დანაყოფზე წარმატებით გადატანის შემდეგ, ძველი ასლი უნდა წაიშალოს მონაცემთა აღდგენის შესაძლებლობის გარეშე. უნივერსალური დასუფთავების მეთოდი: პროგრამული უზრუნველყოფა Windows/Linux უფასო GUI პროგრამული უზრუნველყოფისთვის BleachBit.
სწრაფად განყოფილების ფორმატირება, მონაცემები, რომლებზედაც უნდა განადგურდეს (Gparted-ის მეშვეობით) გაუშვით BleachBit, აირჩიეთ „თავისუფალი სივრცის გასუფთავება“ - აირჩიეთ დანაყოფი (თქვენი sdaX GNU/Linux-ის წინა ასლით), გაშიშვლების პროცესი დაიწყება. BleachBit - ასუფთავებს დისკს ერთი პასით - ეს არის ის, რაც "გვჭირდება", მაგრამ! ეს მხოლოდ თეორიულად მუშაობს, თუ თქვენ დააფორმატეთ დისკი და გაასუფთავეთ იგი BB v2.0 პროგრამულ უზრუნველყოფაში.

ყურადღება! BB ასუფთავებს დისკს და ტოვებს მეტამონაცემებს; ფაილის სახელები შენარჩუნებულია მონაცემების აღმოფხვრისას (Ccleaner - არ ტოვებს მეტამონაცემებს).

და მითი მონაცემთა აღდგენის შესაძლებლობის შესახებ მთლად მითი არ არის.Bleachbit V2.0-2 ყოფილი არასტაბილური OS Debian პაკეტი (და ნებისმიერი სხვა მსგავსი პროგრამული უზრუნველყოფა: sfill; wipe-Nautilus - ასევე შენიშნეს ამ ბინძურ ბიზნესში) რეალურად ჰქონდა კრიტიკული შეცდომა: "თავისუფალი სივრცის გასუფთავების" ფუნქცია არასწორად მუშაობს HDD/Flash დისკებზე (ntfs/ext4). ამ ტიპის პროგრამული უზრუნველყოფა, თავისუფალი სივრცის გასუფთავებისას, არ გადაწერს მთელ დისკს, როგორც ბევრი მომხმარებელი ფიქრობს. და ზოგიერთი (ბევრი) წაშლილი მონაცემები OS/პროგრამული უზრუნველყოფა განიხილავს ამ მონაცემებს, როგორც წაშლილ/მომხმარებლის მონაცემებს და „OSP“-ის გაწმენდისას ის გამოტოვებს ამ ფაილებს. პრობლემა ის არის, რომ ამდენი ხნის შემდეგ, დისკის გაწმენდა "წაშლილი ფაილების" აღდგენა შესაძლებელია დისკის გაწმენდის 3+ გავლის შემდეგაც კი.
GNU/Linux-ზე Bleachbit-ზე 2.0-2 ფაილების და დირექტორიების სამუდამოდ წაშლის ფუნქციები საიმედოდ მუშაობს, მაგრამ არ ასუფთავებს თავისუფალ ადგილს. შედარებისთვის: Windows-ზე CCleaner-ში ფუნქცია „OSP for ntfs“ გამართულად მუშაობს და ღმერთი ნამდვილად ვერ შეძლებს წაშლილი მონაცემების წაკითხვას.

ასე რომ, საფუძვლიანად ამოიღონ "კომპრომისტი" ძველი დაშიფრული მონაცემები, Bleachbit-ს სჭირდება პირდაპირი წვდომა ამ მონაცემებზე, შემდეგ გამოიყენეთ "ფაილების/დიაქაორების სამუდამოდ წაშლა" ფუნქცია.
Windows-ში „წაშლილი ფაილების სტანდარტული OS ინსტრუმენტების გამოყენებით“ წასაშლელად, გამოიყენეთ CCleaner/BB „OSP“ ფუნქციით. GNU/Linux-ში ამ პრობლემის გამო (წაშლილი ფაილები) თქვენ დამოუკიდებლად უნდა ივარჯიშოთ (მონაცემების წაშლა + მისი აღდგენის დამოუკიდებელი მცდელობა და არ უნდა დაეყრდნოთ პროგრამული უზრუნველყოფის ვერსიას (თუ არა სანიშნე, მაშინ შეცდომა)), მხოლოდ ამ შემთხვევაში შეძლებთ ამ პრობლემის მექანიზმის გარკვევას და წაშლილი მონაცემების სრულად მოშორებას.

Bleachbit v3.0 არ გამიტესტა, შეიძლება პრობლემა უკვე მოგვარებულია.
Bleachbit v2.0 მუშაობს პატიოსნად.

ამ ეტაპზე დისკის გასუფთავება დასრულებულია.

[E] დაშიფრული OS-ის უნივერსალური სარეზერვო ასლი

თითოეულ მომხმარებელს აქვს მონაცემთა სარეზერვო ასლის საკუთარი მეთოდი, მაგრამ დაშიფრული სისტემის OS მონაცემები მოითხოვს ოდნავ განსხვავებულ მიდგომას ამოცანის მიმართ. ერთიანი პროგრამული უზრუნველყოფა, როგორიცაა Clonezilla და მსგავსი პროგრამული უზრუნველყოფა, ვერ მუშაობს უშუალოდ დაშიფრულ მონაცემებთან.

განცხადება დაშიფრული ბლოკის მოწყობილობების სარეზერვო ასლის შექმნის პრობლემის შესახებ:

1. უნივერსალურობა - იგივე სარეზერვო ალგორითმი/პროგრამული უზრუნველყოფა Windows/Linux-ისთვის;
2. კონსოლში მუშაობის შესაძლებლობა ნებისმიერი ცოცხალი USB GNU/Linux-ით დამატებითი პროგრამული უზრუნველყოფის ჩამოტვირთვების გარეშე (მაგრამ მაინც გირჩევთ GUI-ს);
3. სარეზერვო ასლების უსაფრთხოება - შენახული „სურათები“ უნდა იყოს დაშიფრული/პაროლით დაცული;
4. დაშიფრული მონაცემების ზომა უნდა შეესაბამებოდეს რეალურად კოპირებული მონაცემების ზომას;
5. საჭირო ფაილების მოსახერხებელი ამოღება სარეზერვო ასლიდან (არ არის საჭირო ჯერ მთელი განყოფილების გაშიფვრა).

მაგალითად, სარეზერვო/აღდგენა „dd“ უტილიტის საშუალებით

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

იგი შეესაბამება ამოცანის თითქმის ყველა პუნქტს, მაგრამ მე-4 პუნქტის თანახმად, იგი არ უძლებს კრიტიკას, რადგან ის აკოპირებს დისკის მთელ დანაყოფს, მათ შორის თავისუფალ ადგილს - არ არის საინტერესო.

მაგალითად, GNU/Linux-ის სარეზერვო ასლი არქივერის მეშვეობით [tar" | gpg] მოსახერხებელია, მაგრამ Windows-ის სარეზერვო ასლისთვის თქვენ უნდა მოძებნოთ სხვა გამოსავალი - ეს არ არის საინტერესო.

E1. უნივერსალური Windows/Linux სარეზერვო ასლი. ბმული rsync (Grsync)+VeraCrypt მოცულობასარეზერვო ასლის შექმნის ალგორითმი:

1. დაშიფრული კონტეინერის შექმნა (ტომი/ფაილი) VeraCrypt OS-სთვის;
2. OS-ის გადატანა/სინქრონიზაცია Rsync პროგრამული უზრუნველყოფის გამოყენებით VeraCrypt კრიპტო კონტეინერში;
3. საჭიროების შემთხვევაში, VeraCrypt ტომის ატვირთვა www.

დაშიფრული VeraCrypt კონტეინერის შექმნას აქვს საკუთარი მახასიათებლები:
დინამიური მოცულობის შექმნა (DT-ის შექმნა ხელმისაწვდომია მხოლოდ Windows-ში, ასევე შეიძლება გამოყენებულ იქნას GNU/Linux-ში);
რეგულარული მოცულობის შექმნა, მაგრამ არსებობს "პარანოიდული ხასიათის" მოთხოვნა (დეველოპერის მიხედვით) - კონტეინერის ფორმატირება.

დინამიური მოცულობა იქმნება თითქმის მყისიერად Windows-ში, მაგრამ GNU/Linux-დან > VeraCrypt DT-დან მონაცემების კოპირებისას, სარეზერვო ოპერაციის საერთო შესრულება მნიშვნელოვნად მცირდება.

იქმნება ჩვეულებრივი 70 GB Twofish მოცულობა (მოდით ვთქვათ, კომპიუტერის საშუალო სიმძლავრე) HDD-ზე ~ ნახევარ საათში (ყოფილი კონტეინერის მონაცემების ერთი პასით გადაწერა ხდება უსაფრთხოების მოთხოვნების გამო). მოცულობის შექმნისას სწრაფად ფორმატირების ფუნქცია ამოღებულია VeraCrypt Windows/Linux-დან, ამიტომ კონტეინერის შექმნა შესაძლებელია მხოლოდ „ერთი პასით გადაწერის“ ან დაბალი ხარისხის დინამიური მოცულობის შექმნის გზით.

შექმენით ჩვეულებრივი VeraCrypt მოცულობა (არა დინამიური/ntfs), არანაირი პრობლემა არ უნდა იყოს.

კონფიგურაციის/შექმნა/გახსნა კონტეინერის VeraCrypt GUI> GNU/Linux live usb-ში (ხმა ავტომატურად დამონტაჟდება /media/veracrypt2-ზე, Windows OS-ის მოცულობა დამონტაჟდება /media/veracrypt1-ზე). Windows OS-ის დაშიფრული სარეზერვო ასლის შექმნა GUI rsync-ის გამოყენებით (grsync)უჯრების შემოწმებით.

დაელოდეთ პროცესის დასრულებას. სარეზერვო ასლის დასრულების შემდეგ ჩვენ გვექნება ერთი დაშიფრული ფაილი.

ანალოგიურად, შექმენით GNU/Linux OS-ის სარეზერვო ასლი rsync GUI-ში „Windows თავსებადობის“ მონიშვნის მოხსნით.

ყურადღება! შექმენით Veracrypt კონტეინერი "GNU/Linux-ის სარეზერვო ასლისთვის" ფაილურ სისტემაში ext4. თუ თქვენ გააკეთებთ სარეზერვო ასლს ntfs კონტეინერში, მაშინ, როდესაც აღადგენთ ასეთ ასლს, თქვენ დაკარგავთ ყველა უფლებას/ჯგუფს თქვენს ყველა მონაცემზე.

ყველა ოპერაცია შეიძლება განხორციელდეს ტერმინალში. rsync-ის ძირითადი ვარიანტები:
* -g - ჯგუფების შენახვა;
* -P — პროგრესი — ფაილზე მუშაობის დროის სტატუსი;
* -H - დააკოპირეთ მყარი ბმულები, როგორც არის;
* -a -არქივის რეჟიმი (რამდენიმე rlptgoD დროშები);
* -v -ვერბალიზაცია.

თუ გსურთ დააინსტალიროთ "Windows VeraCrypt მოცულობა" კონსოლის მეშვეობით cryptsetup პროგრამულ უზრუნველყოფაში, შეგიძლიათ შექმნათ მეტსახელი (su)

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

ახლა "veramount სურათები" ბრძანება მოგთხოვთ შეიყვანოთ პაროლი და დაშიფრული Windows სისტემის მოცულობა დამონტაჟდება OS-ში.

რუკა/დაამაგრეთ VeraCrypt სისტემის მოცულობა cryptsetup ბრძანებაში

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

რუკა/დაამაგრეთ VeraCrypt დანაყოფი/კონტეინერი cryptsetup ბრძანებაში

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

მეტსახელის ნაცვლად, ჩვენ დავამატებთ (სკრიპტს გაშვებისთვის) სისტემის მოცულობას Windows OS-ით და ლოგიკურად დაშიფრულ ntfs დისკს GNU/Linux-ის გაშვებაში.

შექმენით სკრიპტი და შეინახეთ ~/VeraOpen.sh-ში

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

ჩვენ ვანაწილებთ "სწორ" უფლებებს:

sudo chmod 100 /VeraOpen.sh

შექმენით ორი იდენტური ფაილი (იგივე სახელი!) /etc/rc.local და ~/etc/init.d/rc.local
ფაილების შევსება

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

ჩვენ ვანაწილებთ "სწორ" უფლებებს:

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local 

ეს ასეა, ახლა GNU/Linux-ის ჩატვირთვისას არ გვჭირდება პაროლების შეყვანა დაშიფრული ntfs დისკების დასამონტაჟებლად, დისკები ავტომატურად მონტაჟდება.

მოკლედ შენიშვნა იმის შესახებ, რაც ზემოთ აღწერილია E1 პუნქტში ეტაპობრივად (მაგრამ ახლა OS GNU/Linux-ისთვის)
1) შექმენით მოცულობა fs ext4 > 4 გბ (ფაილისთვის) Linux-ში Veracrypt [Cryptbox]-ში.
2) გადატვირთეთ ცოცხალი USB.
3) ~$ cryptsetup ღია /dev/sda7 Lunux #mapping დაშიფრული დანაყოფი.
4) ~$ mount /dev/mapper/Linux /mnt #დაამაგრეთ დაშიფრული დანაყოფი /mnt.
5) ~$ mkdir mnt2 #საქაღალდის შექმნა მომავალი სარეზერვო ასლისთვის.
6) ~$ cryptsetup open —veracrypt — აკრიფეთ tcrypt ~/CryptoBox CryptoBox && დააინსტალირეთ /dev/mapper/CryptoBox /mnt2 #გააკეთეთ Veracrypt ტომი სახელად „CryptoBox“ და დაამონტაჟეთ CryptoBox /mnt2-ზე.
7) ~$ rsync -avlxhHX — პროგრესი /mnt /mnt2/ #დაშიფრული დანაყოფის სარეზერვო ოპერაცია დაშიფრულ Veracrypt ტომზე.

(p/s/ ყურადღება! თუ თქვენ გადარიცხავთ დაშიფრულ GNU/Linux-ს ერთი არქიტექტურიდან/მანქანიდან მეორეზე, მაგალითად, Intel > AMD (ანუ სარეზერვო ასლის განთავსება ერთი დაშიფრული დანაყოფიდან მეორეში დაშიფრული Intel > AMD დანაყოფზე), Არ დაგავიწყდეს დაშიფრული OS-ის გადაცემის შემდეგ, პაროლის ნაცვლად შეცვალეთ საიდუმლო შემცვლელი გასაღები, შესაძლოა. წინა გასაღები ~/etc/skey - აღარ მოერგება სხვა დაშიფრულ დანაყოფს და არ არის მიზანშეწონილი ახალი გასაღების შექმნა "cryptsetup luksAddKey" chroot-ის ქვეშ - შესაძლებელია შეფერხება, უბრალოდ ~/etc/crypttab-ში მიუთითეთ ამის ნაცვლად. "/etc/skey" დროებით "არცერთი" ", გადატვირთვის და OS-ში შესვლის შემდეგ, ხელახლა შექმენით თქვენი საიდუმლო სიმბოლოს გასაღები).

როგორც IT ვეტერანებმა, გახსოვდეთ, რომ ცალკე გააკეთეთ დაშიფრული Windows/Linux OS დანაყოფების სათაურების სარეზერვო ასლები, წინააღმდეგ შემთხვევაში დაშიფვრა თქვენს წინააღმდეგ აღმოჩნდება.
ამ ეტაპზე, დაშიფრული OS-ის სარეზერვო ასლი დასრულებულია.

[F] შეტევა GRUB2 ჩამტვირთველზე

დეტალებითუ თქვენ დაიცავით თქვენი ჩამტვირთავი ციფრული ხელმოწერით და/ან ავტორიზაციის საშუალებით (იხ. პუნქტი C6.), მაშინ ეს არ დაიცავს ფიზიკური წვდომისგან. დაშიფრული მონაცემები კვლავ მიუწვდომელი იქნება, მაგრამ დაცვა გვერდის ავლით იქნება (ციფრული ხელმოწერის დაცვის გადატვირთვა) GRUB2 საშუალებას აძლევს კიბერ ბოროტმოქმედს, შეიყვანოს თავისი კოდი ჩამტვირთველში, ეჭვის გარეშე (თუ მომხმარებელი ხელით არ აკონტროლებს ჩამტვირთველის მდგომარეობას, ან არ გამოიმუშავებს საკუთარ ძლიერ თვითნებურ სკრიპტ კოდს grub.cfg-ისთვის).

შეტევის ალგორითმი. შემოჭრილი

* ჩატვირთავს კომპიუტერს ცოცხალი USB-დან. Რაიმე ცვლილება (დამრღვევი) ფაილები აცნობებენ კომპიუტერის რეალურ მფლობელს ჩამტვირთველში შეჭრის შესახებ. მაგრამ GRUB2-ის მარტივი ხელახალი ინსტალაცია grub.cfg-ის შესანახად (და მისი რედაქტირების შემდგომი შესაძლებლობა) საშუალებას მისცემს თავდამსხმელს შეცვალოს ნებისმიერი ფაილი (ამ სიტუაციაში, GRUB2-ის ჩატვირთვისას, რეალურ მომხმარებელს არ ეცნობება. სტატუსი იგივეა <0>)
* ამონტაჟებს დაშიფრულ დანაყოფს, ინახავს „/mnt/boot/grub/grub.cfg“.
* ხელახლა დააინსტალირებს ჩამტვირთველს ("perskey"-ის ამოღება core.img სურათიდან)

grub-install --force --root-directory=/mnt /dev/sda6

* აბრუნებს „grub.cfg“ > „/mnt/boot/grub/grub.cfg“, საჭიროების შემთხვევაში ასწორებს მას, მაგალითად, დაამატებს თქვენს მოდულს „keylogger.mod“ საქაღალდეში ჩამტვირთველი მოდულებით, „grub.cfg“-ში. > ხაზი "insmod keylogger". ან, მაგალითად, თუ მტერი მზაკვარია, მაშინ GRUB2-ის ხელახალი ინსტალაციის შემდეგ (ყველა ხელმოწერა ადგილზე რჩება) ის აშენებს მთავარ GRUB2 სურათს "grub-mkimage ოფციით (-c)" გამოყენებით. "-c" ოფცია საშუალებას მოგცემთ ჩატვირთოთ თქვენი კონფიგურაცია ძირითადი "grub.cfg"-ის ჩატვირთვამდე. კონფიგურაცია შეიძლება შედგებოდეს მხოლოდ ერთი ხაზისგან: გადამისამართება ნებისმიერ „modern.cfg“-ზე, შერეული, მაგალითად, ~400 ფაილით. (მოდულები+ხელმოწერები) საქაღალდეში "/boot/grub/i386-pc". ამ შემთხვევაში, თავდამსხმელს შეუძლია თვითნებური კოდის ჩასმა და მოდულების ჩატვირთვა „/boot/grub/grub.cfg“-ზე გავლენის გარეშე, მაშინაც კი, თუ მომხმარებელმა გამოიყენა „hashsum“ ფაილზე და დროებით აჩვენოს იგი ეკრანზე.
თავდამსხმელს არ დასჭირდება GRUB2 სუპერმომხმარებლის შესვლა/პაროლის გატეხვა; მას უბრალოდ უნდა დააკოპიროს ხაზები. (პასუხისმგებელია ავთენტიფიკაციაზე) "/boot/grub/grub.cfg" თქვენს "modern.cfg"-ზე

set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

და კომპიუტერის მფლობელი კვლავ იქნება დამოწმებული, როგორც GRUB2 სუპერმომხმარებელი.

ჯაჭვის დატვირთვა (ჩამტვირთველი ატვირთავს სხვა ჩამტვირთველს)როგორც ზემოთ დავწერე აზრი არ აქვს (ის განკუთვნილია სხვა მიზნისთვის). დაშიფრული ჩამტვირთველი ვერ იტვირთება BIOS-ის გამო (ჯაჭვის ჩატვირთვა გადაიტვირთება GRUB2 > დაშიფრული GRUB2, შეცდომა!). თუმცა, თუ თქვენ კვლავ იყენებთ ჯაჭვის ჩატვირთვის იდეას, შეგიძლიათ დარწმუნებული იყოთ, რომ ეს არის დაშიფრული, რომელიც იტვირთება. (არ არის მოდერნიზებული) "grub.cfg" დაშიფრული დანაყოფიდან. და ეს ასევე არის უსაფრთხოების ყალბი გრძნობა, რადგან ყველაფერი, რაც მითითებულია დაშიფრულ "grub.cfg"-ში. (მოდულის ჩატვირთვა) ემატება მოდულებს, რომლებიც იტვირთება დაშიფრული GRUB2-დან.

თუ გსურთ ამის შემოწმება, მაშინ გამოყავით/დაშიფრეთ სხვა დანაყოფი sdaY, დააკოპირეთ მასში GRUB2 (გრუბ-ინსტალაციის ოპერაცია დაშიფრულ დანაყოფზე შეუძლებელია) და "grub.cfg"-ში (დაშიფრული კონფიგურაცია) შეცვალეთ მსგავსი ხაზები

მენიუ "GRUBx2" --კლასი თუთიყუში --კლასი gnu-linux --კლასი gnu --კლასი os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
load_video
ინსმოდ გზიო
თუ [ x$grub_platform = xxen ]; შემდეგ insmod xzio; ინსმოდ ლზოპიო; ფი
insmod part_msdos
insmod კრიპტოდისკი
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
ნორმალური /boot/grub/grub.cfg
}

ხაზები
* insmod - დაშიფრულ დისკთან მუშაობისთვის საჭირო მოდულების ჩატვირთვა;
* GRUBx2 - GRUB2 ჩატვირთვის მენიუში ნაჩვენები ხაზის სახელი;
* კრიპტომონტი -u 15c47d1c4bd34e5289df77bcf60ee838 -იხ. fdisk -l (sda9);
* set root - დააინსტალირე root;
* ნორმალური /boot/grub/grub.cfg - შესრულებადი კონფიგურაციის ფაილი დაშიფრულ დანაყოფზე.

დარწმუნება, რომ დაშიფრული „grub.cfg“ არის ჩატვირთული, არის დადებითი პასუხი პაროლის შეყვანაზე/განბლოკვაზე „sdaY“ GRUB მენიუში „GRUBx2“ სტრიქონის არჩევისას.

CLI-ში მუშაობისას, რათა არ დაიბნეთ (და შეამოწმეთ მუშაობს თუ არა გარემოს ცვლადი "set root"), შექმენით ცარიელი ტოკენ ფაილები, მაგალითად, დაშიფრულ განყოფილებაში "/shifr_grub", დაშიფრულ განყოფილებაში "/noshifr_grub". შემოწმება CLI-ში

cat /Tab-Tab

როგორც ზემოთ აღინიშნა, ეს არ დაეხმარება მავნე მოდულების ჩამოტვირთვის წინააღმდეგ, თუ ასეთი მოდულები თქვენს კომპიუტერში მოხვდება. მაგალითად, keylogger, რომელიც შეძლებს ფაილში კლავიშების შენახვას და სხვა ფაილებთან შერევას „~/i386“-ში, სანამ ის ჩამოიტვირთება თავდამსხმელის მიერ, რომელსაც აქვს ფიზიკური წვდომა კომპიუტერზე.

უმარტივესი გზა იმის დასადასტურებლად, რომ ციფრული ხელმოწერის დაცვა აქტიურად მუშაობს (არ გადაყენებულია), და არავინ შემოიჭრა ჩამტვირთველში, შეიყვანეთ ბრძანება CLI-ში

list_trusted

საპასუხოდ ჩვენ ვიღებთ ჩვენი „პერსკის“ ასლს, ან არაფერს ვიღებთ, თუ თავს დაესხმებიან (ასევე უნდა შეამოწმოთ "set check_signatures=enforce").
ამ ნაბიჯის მნიშვნელოვანი მინუსი არის ბრძანებების ხელით შეყვანა. თუ ამ ბრძანებას დაამატებთ „grub.cfg“-ს და დაიცავთ კონფიგურაციას ციფრული ხელმოწერით, მაშინ ეკრანზე კლავიშის სნეპშოტის წინასწარი გამომავალი დრო ძალიან მოკლეა და შეიძლება არ გქონდეთ დრო, რომ ნახოთ გამოსავალი GRUB2-ის ჩატვირთვის შემდეგ. .
კონკრეტულად არავის აქვს პრეტენზია: დეველოპერი თავის დოკუმენტაცია პუნქტი 18.2 ოფიციალურად აცხადებს

„გაითვალისწინეთ, რომ GRUB-ის პაროლით დაცვითაც კი, GRUB-ს არ შეუძლია ხელი შეუშალოს მანქანაზე ფიზიკური წვდომის მქონე პირს, შეცვალოს ამ აპარატის პროგრამული უზრუნველყოფის (მაგ. Coreboot ან BIOS) კონფიგურაცია და გამოიწვიოს მოწყობილობის ჩატვირთვა სხვა (თავდამსხმელის მიერ კონტროლირებადი) მოწყობილობიდან. GRUB არის საუკეთესო შემთხვევაში მხოლოდ ერთი რგოლი უსაფრთხო ჩატვირთვის ჯაჭვში."

GRUB2 ზედმეტად გადატვირთულია ფუნქციებით, რომლებსაც შეუძლიათ ყალბი უსაფრთხოების განცდა მისცეს და მისი განვითარება უკვე აჯობა MS-DOS-ს ფუნქციონალურობით, მაგრამ ის მხოლოდ ჩამტვირთველია. სასაცილოა, რომ GRUB2 - "ხვალ" შეიძლება გახდეს OS და ჩამტვირთავი GNU/Linux-ის ვირტუალური მანქანები.

მოკლე ვიდეო იმის შესახებ, თუ როგორ აღვადგინე GRUB2 ციფრული ხელმოწერის დაცვა და გამოვაცხადე ჩემი შეჭრა რეალური მომხმარებლისთვის (შეგაშინე, მაგრამ ვიდეოში ნაჩვენების მაგივრად შეგიძლია დაწერო უვნებელი თვითნებური კოდი/.mod).

დასკვნები:

1) დაბლოკვის სისტემის დაშიფვრა Windows-ისთვის უფრო ადვილია და ერთი პაროლით დაცვა უფრო მოსახერხებელია, ვიდრე რამდენიმე პაროლით დაცვა GNU/Linux ბლოკის სისტემის დაშიფვრით, სამართლიანი რომ ვიყოთ: ეს უკანასკნელი ავტომატიზირებულია.

2) მე დავწერე სტატია, როგორც შესაბამისი და დეტალური მარტივი სრული დისკის დაშიფვრის სახელმძღვანელო VeraCrypt/LUKS ერთ სახლში მანქანაზე, რომელიც ბევრად საუკეთესოა RuNet-ში (IMHO). სახელმძღვანელო არის > 50 ათასი სიმბოლო, ამიტომ არ მოიცავდა რამდენიმე საინტერესო თავებს: კრიპტოგრაფები, რომლებიც ქრება/ჩრდილში რჩებიან; იმის შესახებ, რომ სხვადასხვა GNU/Linux წიგნებში ისინი ცოტას წერენ/არ წერენ კრიპტოგრაფიაზე; რუსეთის ფედერაციის კონსტიტუციის 51-ე მუხლის შესახებ; ო ლიცენზირება/აკრძალვა დაშიფვრა რუსეთის ფედერაციაში, იმის შესახებ, თუ რატომ გჭირდებათ "root/boot"-ის დაშიფვრა. სახელმძღვანელო აღმოჩნდა საკმაოდ ვრცელი, მაგრამ დეტალური. (აღწერს თუნდაც მარტივ ნაბიჯებს)თავის მხრივ, ეს დაზოგავს თქვენ დიდ დროს, როდესაც მიხვალთ „ნამდვილ დაშიფვრამდე“.

3) სრული დისკის დაშიფვრა განხორციელდა Windows 7 64-ზე; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.

4) განხორციელდა წარმატებული შეტევა მისი GRUB2 ჩამტვირთველი.

5) ტუტორიალი შეიქმნა დსთ-ში ყველა პარანოიდის დასახმარებლად, სადაც დაშიფვრით მუშაობა ნებადართულია საკანონმდებლო დონეზე. და უპირველეს ყოვლისა მათთვის, ვისაც სურს გააფართოვოს სრული დისკის დაშიფვრა მათი კონფიგურირებული სისტემების დანგრევის გარეშე.

6) გადავამუშავე და განაახლე ჩემი სახელმძღვანელო, რომელიც აქტუალურია 2020 წელს.

[G] სასარგებლო დოკუმენტაცია

1. TrueCrypt მომხმარებლის სახელმძღვანელო (2012 წლის თებერვალი RU)
2. VeraCrypt დოკუმენტაცია
3. /usr/share/doc/cryptsetup(-run) [ადგილობრივი რესურსი] (ოფიციალური დეტალური დოკუმენტაცია GNU/Linux დაშიფვრის დაყენების შესახებ cryptsetup-ის გამოყენებით)
4. ოფიციალური FAQ კრიპტის დაყენება (მოკლე დოკუმენტაცია GNU/Linux დაშიფვრის დაყენების შესახებ cryptsetup-ის გამოყენებით)
5. LUKS მოწყობილობის დაშიფვრა (archlinux დოკუმენტაცია)
6. cryptsetup სინტაქსის დეტალური აღწერა (თაღოვანი კაცის გვერდი)
7. crypttab-ის დეტალური აღწერა (თაღოვანი კაცის გვერდი)
8. ოფიციალური GRUB2 დოკუმენტაცია.

ტეგები: სრული დისკის დაშიფვრა, დანაყოფის დაშიფვრა, Linux სრული დისკის დაშიფვრა, LUKS1 სრული სისტემის დაშიფვრა.

გამოკითხვაში მონაწილეობა შეუძლიათ მხოლოდ დარეგისტრირებულ მომხმარებლებს. Შებრძანდითგთხოვთ

შიფრავ?

• 17,1%ვშიფრავ ყველაფერს, რაც შემიძლია. პარანოიდი ვარ.14

• 34,2%მე მხოლოდ მნიშვნელოვან მონაცემებს ვშიფრავ.28

• 14,6%ხან ვაშიფრავ, ხან მავიწყდება.12

• 34,2%არა, მე არ ვშიფრავ, ეს მოუხერხებელია და ძვირია.28

ხმა მისცა 82 მომხმარებელმა. 22 მომხმარებელმა თავი შეიკავა.

წყარო: www.habr.com