Windows Linux орнатылған жүйелерінің толық дискілік шифрлауы. Шифрланған көп жүктеу

RuNet V0.2 жүйесінде толық дискіні шифрлауға арналған жеке нұсқаулық жаңартылды.

Ковбой стратегиясы:

[A] Орнатылған жүйенің Windows 7 жүйелік блогын шифрлау;
[B] GNU/Linux жүйелі блокты шифрлау (Дебиан) орнатылған жүйе (соның ішінде /жүктеу);
[C] GRUB2 конфигурациясы, сандық қолтаңба/аутентификация/хэширлеу арқылы жүктеушіні қорғау;
[D] stripping — шифрланбаған мәліметтерді жою;
[E] шифрланған ОЖ әмбебап сақтық көшірмесі;
[F] шабуыл <[C6] элементіне> нысана - GRUB2 жүктеушісі;
[G]пайдалы құжаттама.

╭─── #40 # бөлменің схемасы :
├──╼ Windows 7 орнатылған - толық жүйелі шифрлау, жасырын емес;
├──╼ GNU/Linux орнатылған (Debian және туынды үлестірім) — толық жүйелі шифрлау, жасырын емес(/, соның ішінде /жүктеу; ауыстыру);
├──╼ тәуелсіз жүктегіштер: VeraCrypt жүктеуші MBR-де орнатылған, GRUB2 жүктеуші кеңейтілген бөлімде орнатылған;
├──╼ОЖ орнату/қайта орнату қажет емес;
└──╼қолданылатын криптографиялық бағдарламалық құрал: VeraCrypt; Cryptsetup; GnuPG; теңіз жылқысы; Hashdeep; GRUB2 тегін/тегін.

Жоғарыда көрсетілген схема «флэш-дискке қашықтан жүктеу» мәселесін ішінара шешеді, шифрланған ОЖ Windows/Linux-ты пайдалануға және бір ОЖ-дан екіншісіне «шифрланған арна» арқылы деректер алмасуға мүмкіндік береді.

Компьютерді жүктеу реті (опциялардың бірі):

• машинаны қосу;
• VeraCrypt жүктеушісі жүктелуде (дұрыс құпия сөзді енгізу Windows 7 жүйесін жүктеуді жалғастырады);
• «Esc» пернесін басу GRUB2 жүктеушісін жүктейді;
• GRUB2 жүктеуші (тарату/GNU/Linux/CLI таңдаңыз), GRUB2 суперпайдаланушысының аутентификациясын талап етеді <login/password>;
• Сәтті аутентификациядан және таратуды таңдағаннан кейін «/boot/initrd.img» құлпын ашу үшін құпия сөзді енгізу қажет;
• қатесіз құпия сөздерді енгізгеннен кейін GRUB2 құпия сөзді енгізуді «талап етеді». (үшінші, BIOS құпия сөзі немесе GNU/Linux пайдаланушы тіркелгісінің құпия сөзі – ескерілмейді) GNU/Linux ОЖ құлпын ашу және жүктеу немесе құпия кілтті автоматты түрде ауыстыру (екі құпия сөз + кілт немесе құпия сөз + кілт);
• GRUB2 конфигурациясына сыртқы кіру GNU/Linux жүктеу процесін тоқтатады.

Мазасыз ба? Жарайды, процестерді автоматтандыруға барайық.

Қатты дискіні бөлу кезінде (MBR кестесі) ДК-де 4 негізгі бөлімнен көп емес немесе 3 негізгі және бір кеңейтілген, сондай-ақ бөлінбеген аймақ болуы мүмкін. Негізгі бөлімнен айырмашылығы кеңейтілген бөлімде ішкі бөлімдер болуы мүмкін (логикалық дискілер = кеңейтілген бөлім). Басқаша айтқанда, HDD-дегі «кеңейтілген бөлім» тапсырма үшін LVM ауыстырады: толық жүйе шифрлау. Дискіңіз 4 негізгі бөлімге бөлінген болса, lvm немесе түрлендіруді пайдалануыңыз керек (пішімдеумен) негізгіден кеңейтілгенге дейін немесе барлық төрт бөлімді ақылмен пайдаланып, қалаған нәтижеге қол жеткізіп, бәрін сол күйінде қалдырыңыз. Дискіде бір бөлім болса да, Gparted қатты дискіні бөлуге көмектеседі (қосымша бөлімдер үшін) деректердің жоғалуынсыз, бірақ мұндай әрекеттер үшін аз ғана айыппұл.

Қатты дискінің орналасу схемасы, оған қатысты бүкіл мақала ауызша айтылады, төмендегі кестеде берілген.

1ТБ бөлімдерінің кестесі (No1).

Сізде де ұқсас нәрсе болуы керек.
sda1 - №1 NTFS негізгі бөлімі (шифрланған);
sda2 - ұзартылған қима маркері;
sda6 - логикалық диск (онда GRUB2 жүктеушісі орнатылған);
sda8 - своп (шифрланған своп файлы/әрдайым емес);
sda9 - логикалық дискіні тексеру;
sda5 - қызығушылық танытқандар үшін логикалық диск;
sda7 - GNU/Linux ОЖ (шифрланған логикалық дискіге тасымалданатын ОЖ);
sda3 - Windows 2 ОЖ бар №7 негізгі бөлім (шифрланған);
sda4 - негізгі бөлім No 3 (онда шифрланбаған GNU/Linux бар, сақтық көшірме жасау үшін пайдаланылады/әрдайым емес).

[A] Windows 7 жүйелік блокты шифрлау

A1. VeraCrypt

Жүктеп алу ресми сайты, немесе айнадан sourceforge VeraCrypt криптографиялық бағдарламалық құралының орнату нұсқасы (v1.24-Update3 мақаласы жарияланған кезде VeraCrypt портативті нұсқасы жүйені шифрлау үшін жарамсыз). Жүктелген бағдарламалық құралдың бақылау сомасын тексеріңіз

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

және нәтижені VeraCrypt әзірлеушісінің веб-сайтында жарияланған CS-мен салыстырыңыз.

Егер HashTab бағдарламалық құралы орнатылған болса, бұл оңайырақ: RMB (VeraCrypt орнату 1.24.exe)-қасиеттер - файлдардың хэш сомасы.

Бағдарлама қолтаңбасын тексеру үшін жүйеде бағдарламалық құрал мен әзірлеушінің ашық pgp кілті орнатылуы керек gnuPG; gpg4win.

A2. Әкімші құқығы бар VeraCrypt бағдарламалық құралын орнату/іске қосу

A3. Белсенді бөлім үшін жүйелік шифрлау параметрлерін таңдауVeraCrypt – Жүйе – Жүйе бөлімін/дискіні шифрлау – Қалыпты – Windows жүйелік бөлімін шифрлау – Multiboot – (ескерту: «Тәжірибесіз пайдаланушыларға бұл әдісті пайдалану ұсынылмайды» және бұл дұрыс, біз «Иә» деп келісеміз) – Жүктеу дискісі («иә», олай болмаса да, «иә») – Жүйелік дискілердің саны «2 немесе одан көп» – Бір дискідегі бірнеше жүйе «Иә» – Windows емес жүктеуші «Жоқ» (шын мәнінде, «Иә», бірақ VeraCrypt/GRUB2 жүктеушілері MBR-ді өзара бөліспейді; дәлірек айтқанда, жүктеуші кодының ең кішкентай бөлігі ғана MBR/жүктеу жолында сақталады, оның негізгі бөлігі файлдық жүйеде орналасқан) – Multiboot – Шифрлау параметрлері…

Жоғарыдағы қадамдардан ауытқысаңыз (жүйенің шифрлау схемаларын блоктау), содан кейін VeraCrypt ескерту береді және бөлімді шифрлауға рұқсат бермейді.

Мақсатты деректерді қорғауға бағытталған келесі қадамда «Тест» өткізіп, шифрлау алгоритмін таңдаңыз. Егер сізде ескірген процессор болса, ең жылдам шифрлау алгоритмі Twofish болуы мүмкін. Егер процессор қуатты болса, сіз айырмашылықты байқайсыз: сынақ нәтижелеріне сәйкес AES шифрлауы оның криптографиялық бәсекелестерінен бірнеше есе жылдамырақ болады. AES – шифрлаудың танымал алгоритмі; заманауи процессорлардың аппараттық құралдары «құпия» және «бұзу» үшін арнайы оңтайландырылған.

VeraCrypt дискілерді AES каскадында шифрлау мүмкіндігін қолдайды(Екі балық)/және басқа комбинациялар. Он жыл бұрынғы ескі негізгі Intel процессорында (AES, A/T каскадты шифрлау үшін аппараттық қолдаусыз) Өнімділіктің төмендеуі іс жүзінде байқалмайды. (сол дәуірдегі/~параметрлердегі AMD процессорлары үшін өнімділік сәл төмендейді). ОЖ динамикалық жұмыс істейді және мөлдір шифрлау үшін ресурстарды тұтыну көрінбейді. Керісінше, мысалы, Mate v1.20.1 орнатылған тұрақсыз сынақ жұмыс үстелі ортасына байланысты өнімділіктің айтарлықтай төмендеуі байқалады. (немесе v1.20.2 нақты есімде жоқ) GNU/Linux жүйесінде немесе Windows7↑ жүйесіндегі телеметрия процедурасының жұмысына байланысты. Әдетте, тәжірибелі пайдаланушылар шифрлау алдында аппараттық құралдың өнімділігі сынақтарын өткізеді. Мысалы, Aida64/Sysbench/systemd-analyze жүйесінде кінә жүйені шифрлаудан кейінгі сол сынақтардың нәтижелерімен салыстырылады, осылайша «жүйені шифрлау зиянды» деген мифті жоққа шығарады. Шифрланған деректердің сақтық көшірмесін жасау/қалпына келтіру кезінде құрылғының баяулауы және қолайсыздықтар байқалады, себебі «жүйе деректерінің сақтық көшірмесін жасау» әрекетінің өзі мс-мен өлшенбейді және сол <шифрлау/шифрлау жылдам> қосылады. Сайып келгенде, криптографиямен айналысуға рұқсат етілген әрбір пайдаланушы шифрлау алгоритмін тапсырмалардың қанағаттандырылуына, олардың паранойялық деңгейіне және пайдаланудың қарапайымдылығына қарсы теңестіреді.

PIM параметрін әдепкі ретінде қалдырған дұрыс, осылайша ОЖ-ны жүктеген кезде әр жолы нақты итерация мәндерін енгізудің қажеті жоқ. VeraCrypt шынымен «баяу хэшті» жасау үшін көптеген итерацияларды пайдаланады. Қауіпті күш/кемпірқосақ кестелері әдісін қолдана отырып, мұндай «криптографиялық ұлуға» шабуыл қысқа «қарапайым» құпия сөз тіркесі мен жәбірленушінің жеке таңбалар тізімі арқылы ғана мағынасы бар. Құпия сөздің күші үшін төленетін баға - бұл ОЖ жүктеу кезінде дұрыс құпия сөзді енгізудің кешігуі. (GNU/Linux жүйесінде VeraCrypt томдарын орнату айтарлықтай жылдамырақ).
Дөрекі күш шабуылдарын жүзеге асыруға арналған тегін бағдарламалық қамтамасыз ету (VeraCrypt/LUKS дискінің тақырыбынан құпия фразаны шығарып алыңыз) Хэшкат. Джон Риппер Веракриптті қалай бұзу керектігін білмейді, ал LUKS-пен жұмыс істегенде Twofish криптографиясын түсінбейді.

Шифрлау алгоритмдерінің криптографиялық күшіне байланысты тоқтаусыз киферпанктер басқа шабуыл векторы бар бағдарламалық жасақтаманы әзірлеуде. Мысалы, жедел жадтан метадеректерді/кілттерді шығару (суық жүктеу/жадқа тікелей қол жеткізу шабуылы), Бұл мақсаттар үшін арнайы тегін және тегін емес бағдарламалық қамтамасыз ету бар.

Шифрланған белсенді бөлімнің «бірегей метадеректерін» орнату/генерациялауды аяқтағаннан кейін VeraCrypt компьютерді қайта іске қосуды және оның жүктеу құралының функционалдығын тексеруді ұсынады. Windows жүйесін қайта жүктегеннен/бастағаннан кейін VeraCrypt күту режимінде жүктеледі, шифрлау процесін растау ғана қалады - Y.

Жүйені шифрлаудың соңғы сатысында VeraCrypt белсенді шифрланған бөлімнің тақырыбының сақтық көшірмесін «veracrypt rescue disk.iso» түрінде жасауды ұсынады - мұны істеу керек - бұл бағдарламалық құралда мұндай операция міндетті болып табылады (LUKS-те, талап ретінде - бұл өкінішке орай қабылданбайды, бірақ құжаттамада атап өтілген). Құтқару дискісі барлығына, ал кейбіреулеріне бірнеше рет пайдалы болады. Жоғалту (тақырып/MBR қайта жазу) тақырыптың сақтық көшірмесі Windows операциялық жүйесінде шифрланған бөлімге кіруге біржола тыйым салады.

A4. VeraCrypt құтқару USB/дискін жасауӘдепкі бойынша VeraCrypt ықшам дискіге «~2-3 МБ метадеректерді» жазуды ұсынады, бірақ барлық адамдарда дискілер немесе DWD-ROM дискілері бола бермейді, ал «VeraCrypt Rescue disk» жүктелетін флэш-дискіні жасау кейбіреулер үшін техникалық тосынсый болады: Rufus /GUIdd-ROSA ImageWriter және басқа ұқсас бағдарламалық қамтамасыз ету тапсырманы орындай алмайды, өйткені офсеттік метадеректерді жүктелетін флэш-дискке көшірумен қатар, суретті USB дискінің файлдық жүйесінен тыс көшіру/қою қажет, қысқаша айтқанда, MBR/жолды салпыншаққа дұрыс көшіріңіз. GNU/Linux ОЖ жүйесінен жүктелетін флэш-дискіні «dd» утилитасын пайдаланып, осы белгіге қарап жасай аласыз.

Windows ортасында құтқару дискісін жасау басқаша. VeraCrypt әзірлеушісі бұл мәселенің шешімін ресми түрде енгізбеді құжаттама «құтқару дискісі» арқылы, бірақ шешімді басқа жолмен ұсынды: ол VeraCrypt форумында тегін кіру үшін «usb құтқару дискісін» жасауға арналған қосымша бағдарламалық құралды орналастырды. Windows жүйесіне арналған осы бағдарламалық құралдың мұрағатшысы «usb veracrypt құтқару дискісін жасауда». Rescue disk.iso файлын сақтағаннан кейін белсенді бөлімді блоктық жүйе шифрлау процесі басталады. Шифрлау кезінде ОЖ жұмысы тоқтамайды, компьютерді қайта іске қосу қажет емес. Шифрлау әрекеті аяқталғаннан кейін белсенді бөлім толығымен шифрланады және оны пайдалануға болады. Егер компьютерді іске қосқан кезде VeraCrypt жүктеу құралы пайда болмаса және тақырыпты қалпына келтіру әрекеті көмектеспесе, «жүктеу» жалаушасын тексеріңіз, ол Windows бар бөлімге орнатылуы керек. (шифрлауға және басқа ОЖ-ге қарамастан, №1 кестені қараңыз).
Бұл Windows ОЖ-мен блоктық жүйе шифрлауының сипаттамасын аяқтайды.

[B]LUKS. GNU/Linux шифрлауы (~Debian) орнатылған ОЖ. Алгоритм және қадамдар

Debian/туынды дистрибутивті шифрлау үшін дайындалған бөлімді виртуалды блок құрылғысына салыстыру, оны салыстырылған GNU/Linux дискісіне тасымалдау және GRUB2 орнату/конфигурациялау қажет. Егер сізде ашық сервер болмаса және уақытыңызды бағалайтын болсаңыз, онда сізге GUI пайдалану керек және төменде сипатталған терминалдық пәрмендердің көпшілігі «Чак-Норрис режимінде» іске қосылуға арналған.

B1. Тікелей USB GNU/Linux құрылғысынан компьютерді жүктеу

«Аппараттық құрал өнімділігі үшін криптографиялық сынақ жүргізу»

lscpu && сryptsetup benchmark

Егер сіз AES аппараттық қолдауы бар қуатты көліктің бақытты иесі болсаңыз, онда сандар терминалдың оң жағына ұқсайды; егер сіз бақытты иесі болсаңыз, бірақ антикварлық жабдық болса, сандар сол жағы сияқты болады.

B2. Дискіні бөлу. fs логикалық дискінің HDD дискісін Ext4 (Gparted) түріне орнату/пішімдеу

B2.1. Шифрланған sda7 бөлімінің тақырыбын жасауМен бөлімдердің атауларын осы жерде және одан әрі жоғарыда жарияланған бөлімдер кестесіне сәйкес сипаттаймын. Дискінің орналасуына сәйкес бөлім атауларын ауыстыру керек.

Логикалық дискіні шифрлауды салыстыру (/dev/sda7 > /dev/mapper/sda7_crypt).
# «LUKS-AES-XTS бөлімін» оңай жасау

cryptsetup -v -y luksFormat /dev/sda7

Параметрлер:

* luksFormat – LUKS тақырыбын инициализациялау;
* -y -пароль фразасы (кілт/файл емес);
* -v -вербализация (терминалда ақпаратты көрсету);
* /dev/sda7 - кеңейтілген бөлімнен логикалық диск (GNU/Linux тасымалдау/шифрлау жоспарланған жерде).

Әдепкі шифрлау алгоритмі <LUKS1: aes-xts-plain64, кілт: 256 бит, LUKS тақырыбын хэштеу: sha256, RNG: /dev/urandom> (cryptsetup нұсқасына байланысты).

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

Егер процессорда AES үшін аппараттық қолдау болмаса, ең жақсы таңдау кеңейтілген «LUKS-Twofish-XTS-бөлімін» жасау болады.

B2.2. «LUKS-Twofish-XTS-бөлімін» кеңейтілген құру

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

Параметрлер:
* luksFormat – LUKS тақырыбын инициализациялау;
* /dev/sda7 сіздің болашақ шифрланған логикалық дискіңіз;
* -v вербализация;
* -y құпия фразасы;
* -c деректерді шифрлау алгоритмін таңдау;
* -s шифрлау кілтінің өлшемі;
* -h хэштеу алгоритмі/криптографиялық функция, RNG пайдаланылады (--us-random) логикалық диск тақырыбы үшін бірегей шифрлау/шифрды шешу кілтін, екінші тақырып кілтін (XTS) жасау үшін; шифрланған диск тақырыбында сақталған бірегей басты кілт, қосымша XTS кілті, осы метадеректердің барлығы және негізгі кілт пен қосымша XTS кілтін пайдаланып бөлімдегі кез келген деректерді шифрлайтын/шифрын ашатын шифрлау тәртібі (бөлім атауынан басқа) таңдалған қатты диск бөлімінде ~3 МБ сақталады.
* -i "сома" орнына миллисекундтағы итерациялар (құпия сөзді өңдеу кезіндегі уақыт кідірісі ОЖ жүктелуіне және кілттердің криптографиялық беріктігіне әсер етеді). Криптографиялық күштің тепе-теңдігін сақтау үшін «Орыс» сияқты қарапайым құпия сөзбен -(i) мәнін арттыру керек, «?8dƱob/øfh» сияқты күрделі құпия сөзбен мәнді азайтуға болады.
* —пайдаланатын кездейсоқ сандар генераторы, кілттер мен тұзды жасайды.

sda7 > sda7_crypt бөлімін салыстырғаннан кейін (операция жылдам, өйткені шифрланған тақырып ~ 3 МБ метадеректермен жасалған және барлығы осы), сізге sda7_crypt файлдық жүйесін пішімдеу және орнату қажет.

B2.3. Салыстыру

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

опциялар:
* ашық - «аты бар» бөлімін сәйкестендіріңіз;
* /dev/sda7 -логикалық диск;
* sda7_crypt - шифрланған бөлімді орнату немесе ОЖ жүктелген кезде оны инициализациялау үшін пайдаланылатын атауды салыстыру.

B2.4. sda7_crypt файлдық жүйесін ext4 форматына пішімдеу. ОЖ-да дискіні орнату(Ескерту: Gparted бағдарламасында шифрланған бөліммен жұмыс істей алмайсыз)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt 

опциялар:
* -v -вербализация;
* -L - диск белгісі (ол басқа дискілер арасында Explorer бағдарламасында көрсетіледі).

Одан кейін /dev/sda7_crypt виртуалды шифрланған блок құрылғысын жүйеге орнату керек

mount /dev/mapper/sda7_crypt /mnt

/mnt қалтасындағы файлдармен жұмыс істеу sda7 жүйесіндегі деректерді автоматты түрде шифрлайды/шифрын шешеді.

Explorer бағдарламасында бөлімді картаға түсіру және орнату ыңғайлырақ (nautilus/caja GUI), бөлім дискіні таңдау тізімінде әлдеқашан болады, дискіні ашу/шифрын шешу үшін құпия фразаны енгізу ғана қалады. Сәйкес атау "sda7_crypt" емес, автоматты түрде таңдалады, бірақ /dev/mapper/Luks-xx-xx...

B2.5. Диск тақырыбының сақтық көшірмесі (~3МБ метадеректер)Ең біреуі маңызды кідіріссіз орындалуы керек операциялар - «sda7_crypt» тақырыбының сақтық көшірмесі. Тақырыпты қайта жазсаңыз/зақымдасаңыз (мысалы, sda2 бөліміне GRUB7 орнату және т.б.), шифрланған деректер оны қалпына келтіру мүмкіндігінсіз толығымен жоғалады, өйткені бірдей кілттерді қайта жасау мүмкін болмайды, кілттер бірегей түрде жасалады.

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7 

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

опциялар:
* luksHeaderBackup —header-backup-file -backup командасы;
* luksHeaderRestore —тақырып-сақтық көшірме-файл -қалпына келтіру командасы;
* ~/Backup_DebSHIFR - сақтық көшірме файлы;
* /dev/sda7 - шифрланған диск тақырыбының сақтық көшірмесі сақталатын бөлім.
Бұл қадамда <шифрланған бөлімді жасау және өңдеу> аяқталды.

B3. GNU/Linux ОЖ порты (sda4) шифрланған бөлімге (sda7)

/mnt2 қалтасын жасаңыз (Ескерту - біз әлі де тірі USB арқылы жұмыс істейміз, sda7_crypt /mnt мекенжайында орнатылған), және GNU/Linux-ті /mnt2 ішіне орнатыңыз, ол шифрлануы керек.

mkdir /mnt2
mount /dev/sda4 /mnt2

Біз Rsync бағдарламалық құралын пайдаланып дұрыс ОЖ тасымалдаймыз

rsync -avlxhHX --progress /mnt2/ /mnt

Rsync опциялары E1 параграфында сипатталған.

Сонымен қатар, қажет логикалық диск бөлімін дефрагментациялау

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

Оны ережеге айналдырыңыз: егер сізде HDD болса, анда-санда шифрланған GNU/LInux жүйесінде e4defrag жасаңыз.
Тасымалдау және синхрондау [GNU/Linux > GNU/Linux-шифрланған] осы қадамда аяқталады.

4. Шифрланған sda7 бөлімінде GNU/Linux орнату

ОЖ /dev/sda4 > /dev/sda7 сәтті тасымалданғаннан кейін шифрланған бөлімде GNU/Linux жүйесіне кіріп, одан әрі конфигурациялауды орындау керек. (компьютерді қайта жүктеусіз) шифрланған жүйеге қатысты. Яғни, тірі USB-де болыңыз, бірақ «шифрланған ОЖ-ның түбіріне қатысты» пәрмендерді орындаңыз. «chroot» ұқсас жағдайды имитациялайды. Қазіргі уақытта қандай ОЖ-мен жұмыс істеп жатқаныңыз туралы ақпаратты жылдам алу үшін (шифрланған немесе шифрланған емес, өйткені sda4 және sda7 деректері синхрондалған), ОЖ синхрондаңыз. Түбірлік каталогтарда жасаңыз (sda4/sda7_crypt) бос маркер файлдары, мысалы, /mnt/encryptedOS және /mnt2/decryptedOS. Қандай операциялық жүйеде екеніңізді жылдам тексеріңіз (соның ішінде болашаққа арналған):

ls /<Tab-Tab>

B4.1. «Шифрланған ОЖ-ға кіруді модельдеу»

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. Жұмыстың шифрланған жүйеге қарсы орындалғанын тексеру

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. Шифрланған своп жасау/конфигурациялау, crypttab/fstab өңдеуСвоп файлы ОЖ іске қосылған сайын пішімделетіндіктен, қазір логикалық дискіге своп жасау және салыстыру және B2.2 параграфындағыдай пәрмендерді енгізу мағынасы жоқ. Swap үшін оның жеке уақытша шифрлау кілттері әрбір басталған кезде автоматты түрде жасалады. Своп кілттерінің өмірлік циклі: своп бөлімін ажырату/ажырату (+ЖЖҚ тазалау); немесе ОЖ-ны қайта іске қосыңыз. Свопты орнату, блоктық шифрланған құрылғылардың конфигурациясына жауапты файлды ашу (fstab файлына ұқсас, бірақ криптоға жауапты).

nano /etc/crypttab 

өңдейміз

#"мақсат атауы" "бастапқы құрылғы" "кілт файлы" "опциялар"
своп /dev/sda8 /dev/urandom swap,шифр=twofish-xts-plain64,өлшем=512,хэш=sha512

Опциялар
* своп - /dev/mapper/swap шифрлау кезінде салыстырылған атау.
* /dev/sda8 - своп үшін логикалық бөлімді пайдаланыңыз.
* /dev/urandom - своп үшін кездейсоқ шифрлау кілттерінің генераторы (Әрбір жаңа ОЖ жүктелген сайын жаңа кілттер жасалады). /dev/urandom генераторы /dev/random қарағанда кездейсоқ емес, өйткені /dev/random қауіпті параноидтық жағдайларда жұмыс істегенде пайдаланылады. ОЖ жүктеу кезінде /dev/random бірнеше ± минутқа жүктеуді баяулатады (жүйені талдауды қараңыз).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -бөлім своп екенін біледі және «сәйкесінше» пішімделген; шифрлау алгоритмі.

#Открываем и правим fstab
nano /etc/fstab

өңдейміз

Орнату кезінде # своп / dev / sda8-те болды
/dev/mapper/swap none swap swap 0 0

/dev/mapper/swap - крипттабада орнатылған атау.

Балама шифрланған своп
Егер қандай да бір себептермен сіз своп файлы үшін бүкіл бөлімнен бас тартқыңыз келмесе, онда сіз балама және жақсы әдісті қолдана аласыз: ОС көмегімен шифрланған бөлімде файлда своп файлын жасау.

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

Своп бөлімін орнату аяқталды.

B4.4. Шифрланған GNU/Linux орнату (crypttab/fstab файлдарын өңдеу)/etc/crypttab файлы, жоғарыда жазылғандай, жүйені жүктеу кезінде конфигурацияланған шифрланған блок құрылғыларын сипаттайды.

#правим /etc/crypttab 
nano /etc/crypttab 

егер сіз B7 параграфындағы sda7>sda2.1_crypt бөліміне сәйкес келсеңіз

# "мақсат атауы" "бастапқы құрылғы" "кілт файлы" "опциялар"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

егер сіз B7 параграфындағы sda7>sda2.2_crypt бөліміне сәйкес келсеңіз

# "мақсат атауы" "бастапқы құрылғы" "кілт файлы" "опциялар"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

егер сіз B7 немесе B7 тармақтарындағыдай sda2.1>sda2.2_crypt бөліміне сәйкес келсеңіз, бірақ ОЖ құлпын ашу және жүктеу үшін құпия сөзді қайта енгізгіңіз келмесе, онда құпия сөздің орнына құпия кілтті/кездейсоқ файлды ауыстыруға болады.

# "мақсат атауы" "бастапқы құрылғы" "кілт файлы" "опциялар"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

сипаттамасы
* none - операциялық жүйені жүктеген кезде түбірдің құлпын ашу үшін құпия құпия сөзді енгізу қажет екенін хабарлайды.
* UUID – бөлім идентификаторы. Идентификаторыңызды білу үшін терминалға теріңіз (осы уақыттан бастап сіз басқа тірі USB терминалында емес, chroot ортасында терминалда жұмыс істеп жатқаныңызды еске түсіріңіз).

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное 

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

бұл жол sda7_crypt орнатылған тірі USB терминалынан blkid сұраған кезде көрінеді).
Сіз UUID кодын sdaX-тен аласыз (sdaX_crypt емес!, UUID sdaX_crypt - grub.cfg конфигурациясын жасау кезінде автоматты түрде қалдырылады).
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks кеңейтілген режимде шифрлау.
* /etc/skey - құпия кілт файлы, ол ОЖ жүктелуінің құлпын ашу үшін автоматты түрде енгізіледі (3-ші парольді енгізудің орнына). 8 МБ дейінгі кез келген файлды көрсетуге болады, бірақ деректер <1 МБ оқылады.

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7 

Ол келесідей болады:

(оны өзіңіз жасаңыз және өзіңіз көріңіз).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab әртүрлі файлдық жүйелер туралы сипаттама ақпаратты қамтиды.

#Правим /etc/fstab
nano /etc/fstab

# "файлдық жүйе" "орнату нүктесі" "түр" "опциялар" "дамп" "өту"
# / орнату кезінде / dev / sda7 болған
/dev/mapper/sda7_crypt / ext4 қателері=remount-ro 0 1

опция
* /dev/mapper/sda7_crypt - /etc/crypttab файлында көрсетілген sda7>sda7_crypt салыстыру атауы.
crypttab/fstab орнату аяқталды.

B4.5. Конфигурация файлдарын өңдеу. Негізгі сәтB4.5.1. /etc/initramfs-tools/conf.d/resume конфигурациясын өңдеу

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

және түсініктеме беріңіз (бар болса) «#» жолы «резюме». Файл толығымен бос болуы керек.

B4.5.2. /etc/initramfs-tools/conf.d/cryptsetup конфигурациясын өңдеу

nano /etc/initramfs-tools/conf.d/cryptsetup

сәйкес болуы керек

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=иә
CRYPTSETUP экспорттау

B4.5.3. /etc/default/grub конфигурациясын өңдеу (бұл конфигурация шифрланған/жүктеумен жұмыс істегенде grub.cfg жасау мүмкіндігіне жауап береді)

nano /etc/default/grub

«GRUB_ENABLE_CRYPTODISK=y» жолын қосыңыз
'y' мәні, grub-mkconfig және grub-install шифрланған дискілерді тексереді және жүктеу кезінде оларға қол жеткізу үшін қажет қосымша пәрмендерді жасайды. (insmods ).
ұқсастық болуы керек

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=vendor"
GRUB_CMDLINE_LINUX="тыныш шашу және автомонтаж"
GRUB_ENABLE_CRYPTODISK=y

B4.5.4. /etc/cryptsetup-initramfs/conf-hook конфигурациясын өңдеу

nano /etc/cryptsetup-initramfs/conf-hook

сызық екенін тексеріңіз <#> пікір білдірді.
Болашақта (және қазірдің өзінде бұл параметр ешқандай мағынаға ие болмайды, бірақ кейде ол initrd.img кескінін жаңартуға кедергі келтіреді).

B4.5.5. /etc/cryptsetup-initramfs/conf-hook конфигурациясын өңдеу

nano /etc/cryptsetup-initramfs/conf-hook

қосу

KEYFILE_PATTERN=”/etc/skey”
UMASK=0077

Бұл «skey» құпия кілтін initrd.img ішіне жинайды, бұл кілт ОЖ жүктелген кезде түбірдің құлпын ашу үшін қажет. (егер құпия сөзді қайта енгізгіңіз келмесе, көліктің орнына «skey» пернесі қойылады).

B4.6. /boot/initrd.img жаңартуы [нұсқа]Құпия кілтті initrd.img ішіне жинап, крипт орнату түзетулерін қолдану үшін кескінді жаңартыңыз

update-initramfs -u -k all

initrd.img жаңарту кезінде («Бұл мүмкін, бірақ бұл анық емес» дейді) криптетті орнатуға қатысты ескертулер пайда болады немесе, мысалы, Nvidia модульдерінің жоғалуы туралы хабарлама - бұл қалыпты жағдай. Файлды жаңартқаннан кейін оның шынымен жаңартылғанын тексеріңіз, уақытты қараңыз (chroot ортасына қатысты./boot/initrd.img). Ескерту! [update-initramfs -u -k all] алдында cryptsetup ашық екенін тексеріңіз /dev/sda7 sda7_crypt - бұл /etc/crypttab ішінде пайда болатын атау, әйтпесе қайта жүктегеннен кейін бос емес қате пайда болады)
Бұл қадамда конфигурация файлдарын орнату аяқталды.

[C] GRUB2/Protection орнату және теңшеу

C1. Қажет болса, жүктеуші үшін арнайы бөлімді пішімдеңіз (бөлімге кемінде 20 МБ қажет)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. /dev/sda6 қондырмасын /mntСонымен, біз chroot жүйесінде жұмыс істейміз, сонда түбірде /mnt2 каталогы болмайды, ал /mnt қалтасы бос болады.
GRUB2 бөлімін орнатыңыз

mount /dev/sda6 /mnt

Егер сізде GRUB2 ескі нұсқасы орнатылған болса, /mnt/boot/grub/i-386-pc каталогында (басқа платформа мүмкін, мысалы, «i386-pc» емес) криптографиялық модульдер жоқ (қысқаша айтқанда, қалтада модульдер болуы керек, соның ішінде .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), бұл жағдайда GRUB2 шайқау керек.

apt-get update
apt-get install grub2 

Маңызды! Репозиторийден GRUB2 бумасын жаңартқанда, жүктеушіні қай жерде орнату керектігін «таңдау туралы» сұрағанда, орнатудан бас тарту керек. (себеп - GRUB2 орнату әрекеті - «MBR» ішінде немесе тікелей USB арқылы). Әйтпесе, VeraCrypt тақырыбын/жүктеушісін зақымдайсыз. GRUB2 бумаларын жаңартқаннан және орнатудан бас тартқаннан кейін жүктеу құралын MBR-ге емес, логикалық дискіге қолмен орнату керек. Репозиторийіңізде GRUB2 ескірген нұсқасы болса, көріңіз жаңарту бұл ресми веб-сайттан - оны тексерген жоқпын (соңғы GRUB 2.02 ~BetaX жүктеушілерімен жұмыс істеді).

C3. GRUB2 кеңейтілген бөлімге орнату [sda6]Сізде орнатылған бөлім болуы керек [C.2 тармағы]

grub-install --force --root-directory=/mnt /dev/sda6

нұсқалары
* —күш - әрқашан дерлік болатын барлық ескертулерді айналып өтіп, орнатуды блоктай отырып, жүктегішті орнату (қажетті жалауша).
* --root-directory - каталогты орнату sda6 түбірі.
* /dev/sda6 - сіздің sdaХ бөлімі (/mnt /dev/sda6 арасындағы <бос орын> жіберіп алмаңыз).

C4. Конфигурация файлын жасау [grub.cfg]«Udate-grub2» пәрменін ұмытып, толық конфигурация файлын құру пәрменін пайдаланыңыз

grub-mkconfig -o /mnt/boot/grub/grub.cfg

grub.cfg файлын генерациялау/жаңартуды аяқтағаннан кейін шығыс терминалында дискіде табылған ОЖ бар жол(лар) болуы керек. («grub-mkconfig» операциялық жүйені тірі USB құрылғысынан тауып алуы мүмкін, егер сізде Windows 10 жүйесі бар көп жүктелетін флэш-диск және көптеген тікелей таратулар болса - бұл қалыпты жағдай). Терминал «бос» болса және «grub.cfg» файлы жасалмаса, жүйеде GRUB қателері болған кезде де солай болады. (және, ең алдымен, репозиторийдің сынақ бөліміндегі жүктеуші), сенімді көздерден GRUB2 қайта орнатыңыз.
«Қарапайым конфигурация» орнату және GRUB2 орнату аяқталды.

C5. Шифрланған GNU/Linux ОЖ дәлелдеу-сынағыБіз криптографиялық миссияны дұрыс орындаймыз. Шифрланған GNU/Linux жүйесін мұқият қалдырыңыз (chroot ортасынан шығу).

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

Компьютерді қайта жүктегеннен кейін VeraCrypt жүктеушісі жүктелуі керек.


*Белсенді бөлімнің құпия сөзін енгізу Windows жүйесін жүктей бастайды.
*"Esc" пернесін басу басқаруды GRUB2-ге тасымалдайды, егер шифрланған GNU/Linux таңдасаңыз - /boot/initrd.img құлпын ашу үшін құпия сөз (sda7_crypt) қажет болады (егер grub2 uuid "табылмады" деп жазса - бұл grub2 жүктегішіне қатысты мәселе, оны қайта орнату керек, мысалы, сынақ тармағынан/тұрақты және т.б.).


*Жүйені қалай конфигурациялағаныңызға байланысты (B4.4/4.5 тармағын қараңыз), /boot/initrd.img кескінінің құлпын ашу үшін дұрыс құпия сөзді енгізгеннен кейін ОЖ ядросын/түбірін жүктеу үшін құпия сөз немесе құпия сөз қажет болады. кілт автоматты түрде «skey» ауыстырылады, бұл құпия сөзді қайта енгізу қажеттілігін болдырмайды.

(«құпия кілтті автоматты түрде ауыстыру» экраны).

*Содан кейін пайдаланушы тіркелгісінің аутентификациясы бар GNU/Linux жүктеудің таныс процесі жалғасады.


*Пайдаланушы авторизациясынан кейін және ОЖ жүйесіне кіргеннен кейін /boot/initrd.img файлын қайта жаңартуыңыз қажет. (В4.6 қараңыз).

update-initramfs -u -k all

Ал GRUB2 мәзірінде қосымша жолдар болған жағдайда (тірі USB бар OS-m пикапынан) олардан құтылу

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

GNU/Linux жүйесін шифрлаудың қысқаша мазмұны:

• GNU/Linuxinux толық шифрланған, соның ішінде /boot/kernel және initrd;
• құпия кілт initrd.img ішінде пакеттелген;
• ағымдағы рұқсат беру схемасы (initrd құлпын ашу үшін құпия сөзді енгізу; ОЖ жүктеу үшін құпия сөз/кілт; Linux тіркелгісін авторизациялау үшін құпия сөз).

«Қарапайым GRUB2 конфигурациясы» блоктық бөлімнің жүйелік шифрлауы аяқталды.

C6. Кеңейтілген GRUB2 конфигурациясы. Сандық қолтаңба + аутентификация қорғанысы бар жүктегішті қорғауGNU/Linux толығымен шифрланған, бірақ жүктегішті шифрлау мүмкін емес - бұл жағдайды BIOS белгілейді. Осы себепті GRUB2 шынжырлы шифрланған жүктеу мүмкін емес, бірақ қарапайым тізбектелген жүктеу мүмкін/қол жетімді, бірақ қауіпсіздік тұрғысынан бұл қажет емес [қараңыз P. F].
«Осалды» GRUB2 үшін әзірлеушілер «қолтаңба/аутентификация» жүктеушісін қорғау алгоритмін енгізді.

• Жүктеуші «өзінің сандық қолтаңбасымен» қорғалған кезде, файлдарды сыртқы түрлендіру немесе осы жүктеушіге қосымша модульдерді жүктеу әрекеті жүктеу процесін бұғаттауға әкеледі.
• Жүктеушіні аутентификациямен қорғаған кезде, таратуды жүктеуді таңдау немесе CLI-ге қосымша пәрмендерді енгізу үшін суперпайдаланушы-GRUB2 логин мен құпия сөзді енгізу қажет болады.

C6.1. Жүктеу құралының аутентификациясын қорғауШифрланған операциялық жүйеде терминалда жұмыс істеп жатқаныңызды тексеріңіз

ls /<Tab-Tab> #обнаружить файл-маркер

GRUB2 жүйесінде авторизациялау үшін суперпайдаланушы құпия сөзін жасаңыз

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. 

Құпия сөз хэшін алыңыз. Сол сияқты бірнәрсе

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

GRUB бөлімін орнатыңыз

mount /dev/sda6 /mnt 

конфигурацияны өңдеңіз

nano -$ /mnt/boot/grub/grub.cfg 

файлды іздеуде «grub.cfg» («-шектелмеген» «-user») еш жерде жалаушалардың жоқтығын тексеріңіз.
соңында қосыңыз (### END /etc/grub.d/41_custom ### жолының алдында)
"супер пайдаланушыларды орнату = "түбір"
password_pbkdf2 түбірлік хэш."

Бұл осындай нәрсе болуы керек

# Бұл файл реттелетін мәзір жазбаларын қосудың оңай жолын қамтамасыз етеді. Жай теріңіз
Осы түсініктемеден кейін қосқыңыз келетін # мәзір жазбасы. Өзгермеу үшін абай болыңыз
# жоғарыдағы «exec tail» сызығы.
### END /etc/grub.d/40_custom ###

### БАСТАУ /etc/grub.d/41_custom ###
егер [ -f ${config_directory}/custom.cfg ]; содан кейін
көзі ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; содан кейін
көзі $prefix/custom.cfg;
fi
superusers = "түбір" орнату
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

Егер сіз «grub-mkconfig -o /mnt/boot/grub/grub.cfg» пәрменін жиі қолдансаңыз және grub.cfg файлына әр уақытта өзгертулер енгізгіңіз келмесе, жоғарыдағы жолдарды енгізіңіз. (Логин: Құпия сөз) төменгі жағындағы GRUB пайдаланушы сценарийінде

nano /etc/grub.d/41_custom 

мысық <<EOF
superusers = "түбір" орнату
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

“grub-mkconfig -o /mnt/boot/grub/grub.cfg” конфигурациясын жасау кезінде аутентификацияға жауапты жолдар grub.cfg файлына автоматты түрде қосылады.
Бұл қадам GRUB2 аутентификация орнатуын аяқтайды.

C6.2. Сандық қолтаңбамен жүктегішті қорғауСізде жеке pgp шифрлау кілті бар деп болжанады (немесе осындай кілт жасаңыз). Жүйеде орнатылған криптографиялық бағдарламалық құрал болуы керек: gnuPG; kleopatra/GPA; Теңіз жылқысы. Криптографиялық бағдарламалық қамтамасыз ету сіздің өміріңізді осындай мәселелерде айтарлықтай жеңілдетеді. Seahorse - 3.14.0 пакетінің тұрақты нұсқасы (жоғарғы нұсқалар, мысалы, V3.20, ақаулы және елеулі қателері бар).

PGP кілтін тек su ортасында жасау/іске қосу/қосу қажет!

Жеке шифрлау кілтін жасаңыз

gpg - -gen-key

Кілтіңізді экспорттаңыз

gpg --export -o ~/perskey

Логикалық дискі әлі орнатылмаған болса, оны операциялық жүйеге орнатыңыз

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

GRUB2 бөлімін тазалаңыз

rm -rf /mnt/

Жеке кілтіңізді "core.img" негізгі GRUB кескініне қойып, sda2 жүйесіне GRUB6 орнатыңыз.

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

нұсқалары
* --force - әрқашан болатын барлық ескертулерді айналып өтіп, жүктегішті орнатыңыз (қажетті жалауша).
* —modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - ДК іске қосылғанда GRUB2-ге қажетті модульдерді алдын ала жүктеуге нұсқау береді.
* -k ~/perskey - «PGP кілтіне» жол (Кілтті суретке салғаннан кейін оны жоюға болады).
* --root-directory -жүктеу каталогын sda6 түбіріне орнатыңыз
/dev/sda6 - сіздің sdaX бөліміңіз.

grub.cfg жасау/жаңарту

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

«grub.cfg» файлының соңына «trust /boot/grub/perskey» жолын қосыңыз (pgp кілтін күштеп пайдалану.) Біз GRUB2 модулін модульдер жиынтығымен, соның ішінде «signature_test.mod» қолтаңба модулімен орнатқандықтан, бұл конфигурацияға «set check_signatures=enforce» сияқты пәрмендерді қосу қажеттілігін болдырмайды.

Мынадай көрінуі керек (grub.cfg файлындағы соңғы жолдар)

### БАСТАУ /etc/grub.d/41_custom ###
егер [ -f ${config_directory}/custom.cfg ]; содан кейін
көзі ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; содан кейін
көзі $prefix/custom.cfg;
fi
/boot/grub/perskey-ге сенім артыңыз
superusers = "түбір" орнату
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

“/boot/grub/perskey” жолын белгілі бір диск бөліміне көрсетудің қажеті жоқ, мысалы hd0,6; жүктеушінің өзі үшін “root” GRUB2 орнатылған бөлімнің әдепкі жолы болып табылады. (шірік = орнатуды қараңыз).

GRUB2 қол қою (барлық /GRUB каталогтарындағы барлық файлдар) «перски» кілтімен.
Қол қою туралы қарапайым шешім (nautilus/caja Explorer үшін): репозиторийден Explorer үшін «теңіз жылқысы» кеңейтімін орнатыңыз. Сіздің кілтіңіз su ортасына қосылуы керек.
Explorer-ді sudo “/mnt/boot” – RMB – белгісімен ашыңыз. Экранда ол осылай көрінеді

Кілттің өзі «/mnt/boot/grub/perskey» (grub каталогына көшіру) сонымен қатар өз қолтаңбаңызбен қол қою керек. [*.sig] файл қолтаңбаларының каталогта/ішкі каталогтарда пайда болуын тексеріңіз.
Жоғарыда сипатталған әдісті пайдаланып, «/boot» белгісін қойыңыз (біздің ядромыз, initrd). Егер сіздің уақытыңыз бос болса, онда бұл әдіс «көп файлдарға» қол қою үшін bash сценарийін жазу қажеттілігін жояды.

Барлық жүктеуші қолтаңбаларын жою үшін (егер бірдеңе дұрыс болмаса)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

Жүйені жаңартқаннан кейін жүктеушіге қол қоймау үшін GRUB2-ге қатысты барлық жаңарту бумаларын тоқтатамыз.

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

Бұл қадамда <цифрлық қолтаңбамен жүктеушіні қорғау> GRUB2 кеңейтілген конфигурациясы аяқталды.

C6.3. Сандық қолтаңбамен және аутентификациямен қорғалған GRUB2 жүктегішінің дәлелдеу-сынағыGRUB2. Кез келген GNU/Linux дистрибутивін таңдағанда немесе CLI жүйесіне кіргенде (пәрмен жолы) Суперпайдаланушы авторизациясы қажет болады. Дұрыс пайдаланушы атын/парольді енгізгеннен кейін сізге initrd құпия сөзі қажет болады

GRUB2 суперпайдаланушысының сәтті аутентификациясының скриншоты.

GRUB2 файлдарының кез келгенін өзгертсеңіз/grub.cfg файлына өзгерістер енгізсеңіз немесе файлды/қолтаңбаны жойсаңыз немесе зиянды module.mod жүктесеңіз, сәйкес ескерту пайда болады. GRUB2 жүктеуді кідіртеді.

Скриншот, GRUB2-ге «сырттан» кедергі жасау әрекеті.

«Қалыпты» жүктеу кезінде «кірусіз» жүйеден шығу кодының күйі «0». Сондықтан қорғаныс жұмыс істей ме, жоқ па белгісіз (яғни, «жүктеуші қолтаңбаны қорғаумен немесе онсыз» қалыпты жүктеу кезінде күй бірдей «0» - бұл нашар).

ЭЦҚ қорғауды қалай тексеруге болады?

Тексерудің ыңғайсыз жолы: GRUB2 пайдаланатын модульді жалған/жою, мысалы, luks.mod.sig қолтаңбасын алып тастаңыз және қатені алыңыз.

Дұрыс жол: CLI жүктеушіге өтіп, пәрменді теріңіз

trust_list

Жауап ретінде сіз «перски» саусақ ізін алуыңыз керек, егер күй «0» болса, қолтаңбаны қорғау жұмыс істемейді, C6.2 тармағын екі рет тексеріңіз.
Бұл қадамда «GRUB2-ні цифрлық қолтаңбамен және аутентификациямен қорғау» кеңейтілген конфигурациясы аяқталады.

C7 GRUB2 жүктеушісін хэштеу арқылы қорғаудың балама әдісіЖоғарыда сипатталған «CPU Boot Loader Protection/Authentication» әдісі классикалық болып табылады. GRUB2 жетілмегендігіне байланысты, параноидтық жағдайларда ол нақты шабуылға ұшырайды, мен оны төменде [F] тармағында беремін. Сонымен қатар, ОЖ/ядроны жаңартқаннан кейін жүктеушіге қайта қол қою керек.

GRUB2 жүктеушісін хэштеу арқылы қорғау

Классикадан артықшылығы:

• Сенімділіктің жоғары деңгейі (хэширлеу/тексеру тек шифрланған жергілікті ресурс арқылы жүзеге асады. GRUB2 астында бүкіл бөлінген бөлім кез келген өзгерістер үшін бақыланады, ал қалғанының бәрі шифрланады; процессорды жүктеуші қорғанысы/аутентификациясы бар классикалық схемада тек файлдар басқарылады, бірақ бос емес. кеңістік, оған «бірдеңе» қорқынышты нәрсе» қосылуы мүмкін).
• Шифрланған журнал жүргізу (схемаға адам оқи алатын жеке шифрланған журнал қосылады).
• Жылдамдық (GRUB2 үшін бөлінген бүкіл бөлімді қорғау/тексеру бірден орын алады).
• Барлық криптографиялық процестерді автоматтандыру.

Классикаға қарағанда кемшіліктер.

• Қолды қолдан жасау (теориялық тұрғыдан берілген хэш-функцияның соқтығысуын табуға болады).
• Күрделіліктің жоғарылауы (Классикалықпен салыстырғанда, GNU/Linux ОЖ-де біршама көбірек дағдылар қажет).

GRUB2/бөлім хэштеу идеясы қалай жұмыс істейді

GRUB2 бөлімі «қол қойылған»; ОЖ жүктелгенде, жүктеуші бөлімі өзгермейтіндігі тексеріледі, содан кейін қауіпсіз (шифрланған) ортаға кіру. Егер жүктеуші немесе оның бөлімі бұзылса, кіру журналына қосымша келесілер іске қосылады:

Нәрсе.

Ұқсас тексеру күніне төрт рет орын алады, ол жүйелік ресурстарды жүктемейді.
«-$ check_GRUB» пәрменін пайдалану арқылы жылдам тексеру кез келген уақытта журналға жазылмай, бірақ CLI-ге ақпаратты шығару арқылы жүзеге асырылады.
“-$ sudo signature_GRUB” пәрменін пайдалану арқылы GRUB2 жүктеуші/бөліміне бірден қол қойылады және оның жаңартылған журналы (OS/жүктеуді жаңартудан кейін қажет) және өмір жалғасуда.

Жүктеуші және оның бөлімі үшін хэштеу әдісін жүзеге асыру

0) Алдымен оны /media/username ішіне орнату арқылы GRUB жүктеуші/бөліміне қол қояйық.

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) Біз ~/podpis шифрланған ОЖ түбірінде кеңейтімі жоқ сценарий жасаймыз, оған қажетті 744 қауіпсіздік құқықтарын және сенімді қорғауды қолданамыз.

Оның мазмұнын толтыру

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

Біз сценарийді іске қосамыз su, GRUB бөлімінің және оның жүктеушісінің хэшингі тексеріледі, журналды сақтаңыз.

Мысалы, GRUB2 бөліміне «зиянды файлды» [virus.mod] жасайық немесе көшірейік және уақытша сканерлеуді/сынауды іске қосыңыз:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

CLI біздің цитадельге басып кіруді көруі керек#CLI жүйесінде қиылған журнал

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

#Көріп отырғаныңыздай, "Файлдар жылжытылды: 1 және Тексеру сәтсіз аяқталды" пайда болады, яғни тексеру орындалмады.
Тексерілетін бөлімнің сипатына байланысты «Жаңа файлдар табылды» > «Файлдар жылжытылды» орнына

2) GIF файлын осы жерге қойыңыз > ~/warning.gif, рұқсаттарды 744 етіп орнатыңыз.

3) Жүктеу кезінде GRUB бөлімін автоматты түрде орнату үшін fstab конфигурациялануда

-$ sudo nano /etc/fstab

LABEL=GRUB /media/username/GRUB ext4 әдепкі мәндері 0 0

4) Журналды айналдыру

-$ sudo nano /etc/logrotate.d/podpis 

/var/log/podpis.txt {
күн сайын
50. айналдыру
өлшемі 5M
күн мәтіні
қысу
кешіктіру
olddir /var/log/old
}

/var/log/vtorjenie.txt {
ай сайын
5. айналдыру
өлшемі 5M
күн мәтіні
olddir /var/log/old
}

5) Cron қызметіне тапсырма қосыңыз

-$ sudo crontab -e

қайта жүктеу '/жазылу'
0 */6 * * * '/podpis

6) Тұрақты бүркеншік аттарды жасау

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

ОЖ жаңартылғаннан кейін -$ apt-get upgrade GRUB бөліміне қайта қол қойыңыз
-$ подпись_GRUB
Осы кезде GRUB бөлімін хэштеуден қорғау аяқталды.

[D] Wiping – шифрланбаған деректерді жою

Оңтүстік Каролина өкілі Трей Гоудидің айтуынша, жеке файлдарыңызды «тіпті Құдай да оқи алмайтындай» толығымен жойыңыз.

Әдеттегідей, әртүрлі «мифтер мен аңыз", қатты дискіден жойылғаннан кейін деректерді қалпына келтіру туралы. Егер сіз киберсиқырлыққа сенсеңіз немесе доктор веб-қауымдастығының мүшесі болсаңыз және ол жойылғаннан/қайта жазылғаннан кейін деректерді қалпына келтіруге ешқашан әрекет жасамаған болсаңыз (мысалы, R-studio арқылы қалпына келтіру), онда ұсынылған әдіс сізге сәйкес келуі екіталай, сізге жақынын пайдаланыңыз.

GNU/Linux шифрланған бөлімге сәтті тасымалданғаннан кейін ескі көшірмені деректерді қалпына келтіру мүмкіндігінсіз жою керек. Әмбебап тазалау әдісі: Windows/Linux тегін GUI бағдарламалық құралына арналған бағдарламалық құрал BleachBit.
Жылдам бөлімді пішімдеу, жойылуы қажет деректер (Gparted арқылы) BleachBit іске қосыңыз, «Бос орынды тазалау» таңдаңыз - бөлімді таңдаңыз (GNU/Linux алдыңғы көшірмесі бар sdaX), аршу процесі басталады. BleachBit - дискіні бір өтуде сүртеді - бұл «бізге қажет», бірақ! Бұл дискіні пішімдеп, оны BB v2.0 бағдарламалық құралында тазартсаңыз ғана теориялық түрде жұмыс істейді.

Назар аударыңыз! BB метадеректерді қалдырып, дискіні өшіреді; деректер жойылған кезде файл атаулары сақталады (Ccleaner – метадеректер қалдырмайды).

Ал деректерді қалпына келтіру мүмкіндігі туралы миф толығымен миф емес.Bleachbit V2.0-2 бұрынғы тұрақсыз операциялық Debian бумасы (және кез келген басқа ұқсас бағдарламалық қамтамасыз ету: sfill; wipe-Nautilus - бұл лас бизнесте де байқалды) шын мәнінде маңызды қате болды: «бос кеңістікті тазарту» функциясы ол дұрыс емес жұмыс істейді HDD/Flash дискілерінде (ntfs/ext4). Мұндай бағдарламалық қамтамасыз ету, бос орынды тазалау кезінде, көптеген пайдаланушылар ойлағандай, бүкіл дискіні қайта жазбайды. Ал кейбіреулері (көп) жойылған деректер ОЖ/бағдарламалық құрал бұл деректерді жойылмаған/пайдаланушы деректері ретінде қарастырады және «OSP» тазалау кезінде бұл файлдарды өткізіп жібереді. Мәселе мынада, ұзақ уақыт өткеннен кейін дискіні тазалау «жойылған файлдарды» қалпына келтіруге болады тіпті дискіні сүртудің 3+ өтуінен кейін де.
GNU/Linux жүйесінде Bleachbit 2.0-2 Файлдар мен каталогтарды біржола жою функциялары сенімді жұмыс істейді, бірақ бос орынды тазаламайды. Салыстыру үшін: Windows жүйесінде CCleaner жүйесінде «OSP for ntfs» функциясы дұрыс жұмыс істейді және Құдай шынымен жойылған деректерді оқи алмайды.

Сонымен, мұқият жою үшін «ымырашыл» ескі шифрланбаған деректер, Bleachbit бұл деректерге тікелей қол жеткізуді қажет етеді, содан кейін «файлдарды/каталогтарды біржола жою» функциясын пайдаланыңыз.
Windows жүйесінде «стандартты ОЖ құралдары арқылы жойылған файлдарды» жою үшін «OSP» функциясымен CCleaner/BB пайдаланыңыз. GNU/Linux жүйесінде осы мәселе бойынша (жойылған файлдарды жою) өз бетінше тәжірибе алу керек (деректерді жою + оны қалпына келтірудің тәуелсіз әрекеті және сіз бағдарламалық жасақтама нұсқасына сенбеуіңіз керек (егер бетбелгі болмаса, онда қате)), тек осы жағдайда сіз осы мәселенің механизмін түсініп, жойылған деректерден толығымен құтыла аласыз.

Мен Bleachbit v3.0 нұсқасын сынамадым, мәселе әлдеқашан шешілген болуы мүмкін.
Bleachbit v2.0 адал жұмыс істейді.

Бұл қадамда дискіні тазалау аяқталды.

[E] Шифрланған ОЖ әмбебап сақтық көшірмесі

Әрбір пайдаланушының деректердің сақтық көшірмесін жасаудың өзіндік әдісі бар, бірақ жүйе ОЖ деректерінің шифрланғаны тапсырмаға сәл басқаша көзқарасты талап етеді. Clonezilla және ұқсас бағдарламалық құрал сияқты бірыңғай бағдарламалық құрал шифрланған деректермен тікелей жұмыс істей алмайды.

Шифрланған блоктық құрылғылардың сақтық көшірмесін жасау мәселесі туралы мәлімдеме:

1. әмбебаптық – Windows/Linux үшін бірдей сақтық көшірме алгоритмі/бағдарламалық қамтамасыз ету;
2. қосымша бағдарламалық құралды жүктеп алуды қажет етпей, кез келген тірі USB GNU/Linux көмегімен консольде жұмыс істеу мүмкіндігі (бірақ әлі де GUI ұсынады);
3. сақтық көшірмелердің қауіпсіздігі - сақталған «суреттер» шифрланған/парольмен қорғалған болуы керек;
4. шифрланған деректердің өлшемі көшірілетін нақты деректердің өлшеміне сәйкес келуі керек;
5. резервтік көшірмеден қажетті файлдарды ыңғайлы шығару (алдымен бүкіл бөлімнің шифрын ашу талап етілмейді).

Мысалы, «dd» утилитасы арқылы сақтық көшірме/қалпына келтіру

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

Бұл тапсырманың барлық дерлік тармақтарына сәйкес келеді, бірақ 4-тармаққа сәйкес ол сынға шыдамайды, өйткені ол бүкіл диск бөлімін, соның ішінде бос орынды көшіреді - қызықты емес.

Мысалы, архиватор [tar» | арқылы GNU/Linux сақтық көшірмесі gpg] ыңғайлы, бірақ Windows сақтық көшірмесін жасау үшін басқа шешім іздеу керек - бұл қызық емес.

E1. Әмбебап Windows/Linux сақтық көшірмесі. Сілтеме rsync (Grsync)+VeraCrypt көлеміСақтық көшірме жасау алгоритмі:

1. шифрланған контейнер жасау (том/файл) Операциялық жүйеге арналған VeraCrypt;
2. Rsync бағдарламалық құралын пайдаланып ОЖ-ны VeraCrypt криптографиялық контейнеріне тасымалдау/синхрондау;
3. қажет болса, VeraCrypt көлемін www.

Шифрланған VeraCrypt контейнерін жасаудың өзіндік сипаттамалары бар:
динамикалық көлемді құру (DT жасау тек Windows жүйесінде қол жетімді, оны GNU/Linux-та да қолдануға болады);
тұрақты көлемді жасау, бірақ «параноидтық кейіпкер» талабы бар (әзірлеушіге сәйкес) – контейнерді пішімдеу.

Динамикалық көлем Windows жүйесінде бірден дерлік жасалады, бірақ деректерді GNU/Linux > VeraCrypt DT көшіру кезінде сақтық көшірме жасау әрекетінің жалпы өнімділігі айтарлықтай төмендейді.

Тұрақты 70 ГБ Twofish көлемі жасалады (айталық, компьютердің орташа қуаты) HDD-ге ~ жарты сағатта (бұрынғы контейнер деректерін бір өтуде қайта жазу қауіпсіздік талаптарына байланысты). Дыбыс жасау кезінде оны жылдам пішімдеу функциясы VeraCrypt Windows/Linux жүйесінен жойылды, сондықтан контейнерді жасау тек «бір жолғы қайта жазу» немесе өнімділігі төмен динамикалық том жасау арқылы мүмкін болады.

Тұрақты VeraCrypt көлемін жасаңыз (динамикалық/ntfs емес), ешқандай проблемалар болмауы керек.

VeraCrypt GUI> GNU/Linux live usb ішінде контейнерді конфигурациялау/жасау/ашу (дыбыс /media/veracrypt2 ішіне автоматты түрде орнатылады, Windows ОЖ көлемі /media/veracrypt1 ішіне орнатылады). GUI rsync көмегімен Windows ОЖ шифрланған сақтық көшірмесін жасау (grsync)ұяшықтарды белгілеу арқылы.

Процестің аяқталуын күтіңіз. Сақтық көшірме жасау аяқталғаннан кейін бізде бір шифрланған файл болады.

Сол сияқты, rsync графикалық интерфейсіндегі «Windows үйлесімділігі» құсбелгісін алып тастау арқылы GNU/Linux ОЖ сақтық көшірмесін жасаңыз.

Назар аударыңыз! файлдық жүйеде «GNU/Linux сақтық көшірмесі» үшін Veracrypt контейнерін жасаңыз ext4. Егер сіз ntfs контейнеріне сақтық көшірме жасасаңыз, онда мұндай көшірмені қалпына келтірген кезде сіз барлық деректеріңізге барлық құқықтарды/топтарды жоғалтасыз.

Терминалда барлық операцияларды орындауға болады. Rsync үшін негізгі опциялар:
* -g -топтарды сақтау;
* -P —прогресс — файлмен жұмыс істеуге кеткен уақыттың күйі;
* -H - қатты сілтемелерді сол күйінде көшіру;
* -a -мұрағат режимі (бірнеше rlptgoD жалаулары);
* -v -вербализация.

«Windows VeraCrypt көлемін» cryptsetup бағдарламалық құралындағы консоль арқылы орнатқыңыз келсе, бүркеншік ат (su) жасай аласыз.

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

Енді «veramount pictures» пәрмені құпия сөзді енгізуді ұсынады және шифрланған Windows жүйесінің көлемі ОЖ-да орнатылады.

Cryptsetup пәрменіндегі VeraCrypt жүйесінің көлемін салыстыру/монтаждау

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

Cryptsetup пәрменіндегі VeraCrypt бөлімін/контейнерін картаға орнату/монтаждау

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

Бүркеншік аттың орнына біз GNU/Linux іске қосуға Windows ОЖ және логикалық шифрланған ntfs дискісі бар жүйелік көлемді қосамыз (іске қосу үшін сценарий)

Сценарий жасаңыз және оны ~/VeraOpen.sh ішінде сақтаңыз

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

Біз «дұрыс» құқықтарды таратамыз:

sudo chmod 100 /VeraOpen.sh

/etc/rc.local және ~/etc/init.d/rc.local ішінде екі бірдей файлды (бір ат!) жасаңыз
Файлдарды толтыру

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

Біз «дұрыс» құқықтарды таратамыз:

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local 

Міне, енді GNU/Linux жүктеу кезінде шифрланған ntfs дискілерін орнату үшін құпия сөздерді енгізудің қажеті жоқ, дискілер автоматты түрде орнатылады.

Е1 параграфында кезең-кезеңімен жоғарыда сипатталған нәрсе туралы қысқаша ескерту (бірақ қазір GNU/Linux ОЖ үшін)
1) Veracrypt [Cryptbox] жүйесінде fs ext4 > 4 Гб (файл үшін) Linux ішінде көлем жасаңыз.
2) Тікелей USB үшін қайта жүктеңіз.
3) ~$ cryptsetup ашық /dev/sda7 Lunux #mapping шифрланған бөлім.
4) ~$ mount /dev/mapper/Linux /mnt #шифрланған бөлімді /mnt ішіне орнатыңыз.
5) ~$ mkdir mnt2 #болашақ сақтық көшірме үшін каталог жасау.
6) ~$ cryptsetup open —veracrypt —tcrypt теріңіз ~/CryptoBox CryptoBox && монтаждаңыз /dev/mapper/CryptoBox /mnt2 #“CryptoBox” деп аталатын Veracrypt көлемін картаға түсіріңіз және CryptoBox-ты /mnt2-ге орнатыңыз.
7) ~$ rsync -avlxhHX —прогресс /mnt /mnt2/ #шифрланған бөлімнің шифрланған Veracrypt көлеміне сақтық көшірме әрекеті.

(p/s/ Назар аударыңыз! Егер сіз шифрланған GNU/Linux бір архитектурадан/машинадан екіншісіне тасымалдап жатсаңыз, мысалы, Intel > AMD (яғни, бір шифрланған бөлімнен басқа шифрланған Intel > AMD бөліміне сақтық көшірме жасау), ұмытпаңыз Шифрланған ОЖ тасымалдағаннан кейін құпия сөздің орнына құпия алмастырғыш кілтті өңдеңіз, мүмкін. алдыңғы ~/etc/skey кілті - енді басқа шифрланған бөлімге сәйкес келмейді және chroot астынан жаңа «cryptsetup luksAddKey» кілтін жасау ұсынылмайды - ақаулық болуы мүмкін, жай ғана ~/etc/crypttab орнына көрсетіңіз. "/etc/skey" уақытша "жоқ" ", қайта жүктеп, ОЖ жүйесіне кіргеннен кейін құпия қойылмалы таңба кілтін қайта жасаңыз).

АТ ардагерлері ретінде шифрланған Windows/Linux ОЖ бөлімдерінің тақырыптарының сақтық көшірмелерін бөлек жасауды ұмытпаңыз, әйтпесе шифрлау сізге қарсы болады.
Бұл қадамда шифрланған ОЖ сақтық көшірмесі аяқталады.

[F] GRUB2 жүктеушіге шабуыл

Мәліметтерді көруЖүктеу құралын сандық қолтаңбамен және/немесе аутентификациямен қорғаған болсаңыз (С6 тармағын қараңыз.), онда бұл физикалық қол жеткізуден қорғамайды. Шифрланған деректер әлі де қолжетімсіз болады, бірақ қорғаныс айналып өтеді (цифрлық қолтаңбаны қорғауды қалпына келтіру) GRUB2 кибер зұлымға күдік туғызбай жүктегішке өз кодын енгізуге мүмкіндік береді (егер пайдаланушы жүктеуші күйін қолмен бақыламаса немесе grub.cfg үшін өзінің сенімді еркін сценарий кодын ойлап таппаса).

Шабуыл алгоритмі. Зиянкес

* Компьютерді тірі USB арқылы жүктейді. Кез келген өзгеріс (бұзушы) файлдар компьютердің нақты иесіне жүктеушіге кіру туралы хабарлайды. Бірақ grub.cfg сақтай отырып, GRUB2 қарапайым қайта орнату (және оны өңдеудің кейінгі мүмкіндігі) шабуылдаушыға кез келген файлдарды өңдеуге мүмкіндік береді (бұл жағдайда GRUB2 жүктеу кезінде нақты пайдаланушыға хабарланбайды. Күйі бірдей <0>)
* Шифрланбаған бөлімді орнатады, “/mnt/boot/grub/grub.cfg” сақтайды.
* Жүктеу құралын қайта орнатады (core.img кескінінен «perskey» жою)

grub-install --force --root-directory=/mnt /dev/sda6

* “grub.cfg” > “/mnt/boot/grub/grub.cfg” қайтарады, қажет болса өңдейді, мысалы, “grub.cfg” ішіндегі жүктеуші модульдері бар қалтаға “keylogger.mod” модулін қосу. > «insmod keylogger» жолы. Немесе, мысалы, егер жау айлакер болса, GRUB2-ні қайта орнатқаннан кейін (барлық қолдар орнында қалады) ол "(-c) опциясы бар grub-mkimage" көмегімен негізгі GRUB2 кескінін құрастырады. «-c» опциясы негізгі «grub.cfg» жүктеу алдында конфигурацияны жүктеуге мүмкіндік береді. Конфигурация бір жолдан тұруы мүмкін: кез келген «modern.cfg» файлына қайта бағыттау, аралас, мысалы, ~400 файлмен (модульдер+қолтаңбалар) «/boot/grub/i386-pc» қалтасында. Бұл жағдайда, пайдаланушы файлға «хэшсома» қолданып, оны уақытша экранда көрсетсе де, шабуылдаушы «/boot/grub/grub.cfg» әсерінсіз ерікті кодты енгізіп, модульдерді жүктей алады.
Шабуылдаушыға GRUB2 суперпайдаланушысының логинін/құпиясөзін бұзудың қажеті жоқ; ол тек жолдарды көшіріп алуы керек. (аутентификацияға жауапты) "/boot/grub/grub.cfg" "modern.cfg" файлына

superusers = "түбір" орнату
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

Ал ДК иесі әлі де GRUB2 суперпайдаланушы ретінде аутентификацияланады.

Тізбекті жүктеу (жүктеуші басқа жүктегішті жүктейді), жоғарыда жазғанымдай, мағынасы жоқ (ол басқа мақсатқа арналған). BIOS-қа байланысты шифрланған жүктегішті жүктеу мүмкін емес (тізбекті жүктеу GRUB2 қайта іске қосылады > шифрланған GRUB2, қате!). Дегенмен, сіз әлі де тізбекті жүктеу идеясын қолдансаңыз, оның жүктеліп жатқан шифрланғанына сенімді бола аласыз. (жаңартылған жоқ) "grub.cfg" шифрланған бөлімнен. Бұл да қауіпсіздіктің жалған сезімі, өйткені шифрланған «grub.cfg» файлында көрсетілгеннің бәрі. (модульді жүктеу) шифрланбаған GRUB2-ден жүктелетін модульдерге дейін қосады.

Егер сіз мұны тексергіңіз келсе, басқа sdaY бөлімін бөліңіз/шифрлаңыз, оған GRUB2 көшіріңіз (шифрланған бөлімде топты орнату операциясы мүмкін емес) және "grub.cfg" ішінде (шифрланбаған конфигурация) сияқты сызықтарды өзгертіңіз

мәзір жазбасы 'GRUBx2' --class parrot --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
жүктеп_бейне
insmod gzio
егер [ x$grub_platform = xxen ]; содан кейін insmod xzio; insmod lzopio; fi
insmod part_msdos
insmod криптодискісі
insmod люкс
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
қалыпты /boot/grub/grub.cfg
}

сызықтар
* insmod – шифрланған дискімен жұмыс істеуге қажетті модульдерді жүктеу;
* GRUBx2 - GRUB2 жүктеу мәзірінде көрсетілетін жолдың атауы;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -қараңыз. fdisk -l (sda9);
* root орнату – түбірді орнату;
* қалыпты /boot/grub/grub.cfg - шифрланған бөлімдегі орындалатын конфигурация файлы.

Жүктелген шифрланған «grub.cfg» екеніне сенімділік GRUB мәзірінде «GRUBx2» жолын таңдау кезінде «sdaY» құпия сөзін енгізу/құлпын ашу үшін оң жауап болып табылады.

Шатаспау үшін CLI-де жұмыс істегенде (және «орнату түбірі» айнымалы ортасының жұмыс істегенін тексеріңіз), бос таңбалауыш файлдарын жасаңыз, мысалы, шифрланған «/shifr_grub» бөлімінде, шифрланбаған «/noshifr_grub» бөлімінде. CLI-де тексеру

cat /Tab-Tab

Жоғарыда айтылғандай, егер мұндай модульдер сіздің компьютеріңізде болса, бұл зиянды модульдерді жүктеп алуға көмектеспейді. Мысалы, компьютерге физикалық рұқсаты бар шабуылдаушы жүктеп алғанша, файлға пернелерді басуларды сақтай алатын және оны «~/i386» ішіндегі басқа файлдармен араластыра алатын пернетақта.

ЭЦҚ қорғаудың белсенді жұмыс істеп тұрғанын тексерудің ең оңай жолы (қалпына келтірілмейді), және жүктеушіге ешкім басып кірмеген болса, CLI пәрменін енгізіңіз

list_trusted

жауап ретінде біз «перски» көшірмесін аламыз немесе бізге шабуыл жасалса, біз ештеңе алмаймыз (сонымен қатар «set check_signatures=enforce» параметрін тексеру керек).
Бұл қадамның маңызды кемшілігі командаларды қолмен енгізу болып табылады. Егер сіз бұл пәрменді «grub.cfg» файлына қоссаңыз және конфигурацияны цифрлық қолтаңбамен қорғасаңыз, экрандағы перне суретінің алдын ала шығысы уақыт бойынша тым қысқа және GRUB2 жүктегеннен кейін нәтижені көруге уақытыңыз болмауы мүмкін. .
Талап қоюға арнайы ешкім жоқ: әзірлеуші ​​оның құжаттама 18.2 тармағы ресми түрде мәлімдейді

«GRUB құпия сөзін қорғағанның өзінде, GRUB өзі құрылғыға физикалық рұқсаты бар біреудің құрылғының басқа (шабуылдаушы басқаратын) құрылғыдан жүктелуіне себепші болу үшін құрылғының микробағдарламалық жасақтамасын (мысалы, Coreboot немесе BIOS) конфигурациясын өзгертуіне кедергі жасай алмайтынын ескеріңіз. GRUB ең жақсы жағдайда қауіпсіз жүктеу тізбегіндегі бір ғана сілтеме болып табылады.

GRUB2 жалған қауіпсіздік сезімін бере алатын функциялармен шамадан тыс жүктелген және оның дамуы функционалдылық жағынан MS-DOS-тан асып түсті, бірақ ол жай жүктеуші. Бір қызығы, GRUB2 - «ертең» операциялық жүйеге айналуы мүмкін және ол үшін жүктелетін GNU/Linux виртуалды машиналары.

GRUB2 цифрлық қолтаңбасының қорғанысын қалай қалпына келтіргенім және нақты пайдаланушыға кіруім туралы жариялағаным туралы қысқаша бейне (Мен сізді қорқыттым, бірақ видеода көрсетілгеннің орнына зиянсыз еркін кодты/.mod жаза аласыз).

Қорытынды:

1) Windows жүйесіне арналған блок жүйесін шифрлауды жүзеге асыру оңайырақ, ал GNU/Linux блоктық жүйелік шифрлауы бар бірнеше құпия сөздермен қорғауға қарағанда бір құпия сөзбен қорғау ыңғайлырақ, әділеттілік үшін: соңғысы автоматтандырылған.

2) Мен мақаланы өзекті және егжей-тегжейлі жаздым қарапайым RuNet (IMHO) жүйесіндегі ең жақсы машинада VeraCrypt/LUKS толық дискілік шифрлау бойынша нұсқаулық. Нұсқаулықтың ұзындығы > 50 мың таңбадан тұрады, сондықтан ол кейбір қызықты тарауларды қамтымады: жоғалып кететін/көлеңкеде сақталатын криптографтар; әртүрлі GNU/Linux кітаптарында криптография туралы аз жазатыны/жазбайтыны туралы; Ресей Федерациясы Конституциясының 51-бабы туралы; О лицензиялау/тыйым салу Ресей Федерациясында шифрлау, неліктен «root/boot» шифрлау керектігі туралы. Нұсқаулық өте кең, бірақ егжей-тегжейлі болып шықты. (тіпті қарапайым қадамдарды сипаттау), өз кезегінде, бұл «нақты шифрлауға» жеткенде көп уақытты үнемдейді.

3) Толық дискіні шифрлау Windows 7 64 жүйесінде орындалды; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.

4) сәтті шабуылды жүзеге асырды оның GRUB2 жүктеушісі.

5) Оқу құралы шифрлаумен жұмыс істеуге заңнамалық деңгейде рұқсат етілген ТМД елдеріндегі барлық параноидтық адамдарға көмектесу үшін жасалған. Ең алдымен, конфигурацияланған жүйелерін бұзбай, толық дискілік шифрлауды шығарғысы келетіндер үшін.

6) 2020 жылы өзекті болып табылатын нұсқаулықты қайта өңдеп, жаңартты.

[G] Пайдалы құжаттама

1. TrueCrypt пайдаланушы нұсқаулығы (2012 жылғы ақпан RU)
2. VeraCrypt құжаттамасы
3. /usr/share/doc/cryptsetup(-run) [жергілікті ресурс] (cryptsetup көмегімен GNU/Linux шифрлауын орнату бойынша ресми толық құжаттама)
4. Ресми жиі қойылатын сұрақтар криптованиесі (cryptsetup көмегімен GNU/Linux шифрлауын орнату туралы қысқаша құжаттама)
5. LUKS құрылғы шифрлауы (archlinux құжаттамасы)
6. Cryptsetup синтаксисінің толық сипаттамасы (arch man беті)
7. Крипттабтың толық сипаттамасы (arch man беті)
8. Ресми GRUB2 құжаттамасы.

Тегтер: толық дискіні шифрлау, бөлімді шифрлау, Linux толық дискілік шифрлау, LUKS1 толық жүйелік шифрлау.

Сауалнамаға тек тіркелген пайдаланушылар қатыса алады. Кіру, өтінемін.

Сіз шифрлайсыз ба?

• 17,1%Мен қолымнан келгеннің бәрін шифрлаймын. Мен параноидпын.14

• 34,2%Мен тек маңызды деректерді шифрлаймын.28

• 14,6%Кейде шифрлаймын, кейде ұмытамын.12

• 34,2%Жоқ, мен шифрламаймын, бұл ыңғайсыз және қымбат.28

82 пайдаланушы дауыс берді. 22 пайдаланушы қалыс қалды.

Ақпарат көзі: www.habr.com