ការអ៊ិនគ្រីបថាសពេញលេញនៃប្រព័ន្ធដែលបានដំឡើង Windows Linux ។ បានអ៊ិនគ្រីបពហុចាប់ផ្ដើម

បានធ្វើបច្ចុប្បន្នភាពការណែនាំផ្ទាល់ខ្លួនចំពោះការអ៊ិនគ្រីបថាសពេញនៅក្នុង RuNet V0.2 ។

យុទ្ធសាស្ត្រខូវប៊យ៖

[A] Windows 7 system block encryption នៃប្រព័ន្ធដែលបានដំឡើង;
[B] ការអ៊ិនគ្រីបរារាំងប្រព័ន្ធ GNU/Linux (ដេបៀន) ប្រព័ន្ធដែលបានដំឡើង (រួមទាំង / boot);
[C] ការកំណត់រចនាសម្ព័ន្ធ GRUB2 ការការពារកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធជាមួយហត្ថលេខាឌីជីថល/ការផ្ទៀងផ្ទាត់/ហាស;
[D] ការដកទិន្នន័យ - ការបំផ្លាញទិន្នន័យដែលមិនបានអ៊ិនគ្រីប;
[E] ការបម្រុងទុកជាសកលនៃ OS ដែលបានអ៊ិនគ្រីប;
[F] វាយប្រហារ <នៅលើធាតុ [C6]> គោលដៅ - កម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ GRUB2;
[G]ឯកសារមានប្រយោជន៍។

╭───គ្រោងការណ៍ #បន្ទប់40# :
├──╼ Windows 7 បានដំឡើង - ការអ៊ិនគ្រីបប្រព័ន្ធពេញលេញ មិនត្រូវបានលាក់;
├──╼ GNU/Linux ត្រូវបានដំឡើង (ការចែកចាយដេបៀន និងដេរីវេ) - ការអ៊ិនគ្រីបប្រព័ន្ធពេញលេញ, មិនលាក់(/ រួមទាំង / boot; swap);
├──╼ កម្មវិធីចាប់ផ្ដើមប្រព័ន្ធឯករាជ្យ៖ កម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ VeraCrypt ត្រូវបានដំឡើងនៅក្នុង MBR កម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ GRUB2 ត្រូវបានដំឡើងនៅក្នុងភាគថាសបន្ថែម។
├──╼មិនត្រូវការការដំឡើង/ដំឡើងប្រព័ន្ធឡើងវិញទេ។
└──╼កម្មវិធីគ្រីបគ្រីបដែលបានប្រើ៖ VeraCrypt; ការដំឡើងគ្រីប; GnuPG; សេះសមុទ្រ; ហាស់ឌីប; GRUB2 គឺឥតគិតថ្លៃ / ឥតគិតថ្លៃ។

គ្រោងការណ៍ខាងលើដោះស្រាយបញ្ហាដោយផ្នែកនៃ "ការចាប់ផ្ដើមពីចម្ងាយទៅកាន់ដ្រាយវ៍ពន្លឺ" អនុញ្ញាតឱ្យអ្នករីករាយនឹងការអ៊ិនគ្រីបប្រព័ន្ធប្រតិបត្តិការ Windows / លីនុច និងផ្លាស់ប្តូរទិន្នន័យតាមរយៈ "ឆានែលដែលបានអ៊ិនគ្រីប" ពីប្រព័ន្ធមួយទៅប្រព័ន្ធមួយផ្សេងទៀត។

លំដាប់ចាប់ផ្ដើមកុំព្យូទ័រ (ជម្រើសមួយក្នុងចំណោមជម្រើស)៖

• បើកម៉ាស៊ីន;
• កំពុងដំណើរការកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ VeraCrypt (ការបញ្ចូលពាក្យសម្ងាត់ត្រឹមត្រូវនឹងបន្តចាប់ផ្ដើម Windows 7);
• ចុចគ្រាប់ចុច "Esc" នឹងផ្ទុកកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ GRUB2;
• កម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ GRUB2 (ជ្រើសរើសការចែកចាយ/GNU/Linux/CLI)នឹងតម្រូវឱ្យមានការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃ GRUB2 superuser <login/password>;
• បន្ទាប់ពីការផ្ទៀងផ្ទាត់ជោគជ័យ និងការជ្រើសរើសការចែកចាយ អ្នកនឹងត្រូវបញ្ចូលឃ្លាសម្ងាត់ដើម្បីដោះសោ “/boot/initrd.img”;
• បន្ទាប់ពីបញ្ចូលពាក្យសម្ងាត់ដែលគ្មានកំហុស GRUB2 នឹង "ទាមទារ" ការបញ្ចូលពាក្យសម្ងាត់ (ទីបី ពាក្យសម្ងាត់ BIOS ឬពាក្យសម្ងាត់គណនីអ្នកប្រើប្រាស់ GNU/Linux - មិនពិចារណា) ដើម្បីដោះសោ និងចាប់ផ្ដើម GNU/Linux OS ឬការជំនួសសោសម្ងាត់ដោយស្វ័យប្រវត្តិ (ពាក្យសម្ងាត់ពីរ + កូនសោ ឬពាក្យសម្ងាត់ + កូនសោ);
• ការឈ្លានពានខាងក្រៅទៅក្នុងការកំណត់រចនាសម្ព័ន្ធ GRUB2 នឹងបង្កកដំណើរការចាប់ផ្ដើម GNU/Linux ។

មានបញ្ហា? ជាការប្រសើរណាស់, តោះទៅស្វ័យប្រវត្តិកម្មដំណើរការ។

នៅពេលបែងចែកថាសរឹង (តារាង MBR) កុំព្យូទ័រមួយអាចមានភាគថាសធំមិនលើសពី 4 ឬ 3 មេ និងមួយពង្រីក ក៏ដូចជាតំបន់ដែលមិនបានបែងចែក។ ផ្នែកបន្ថែម មិនដូចផ្នែកសំខាន់ទេ អាចមានផ្នែករង (ដ្រាយឡូជីខល = ភាគថាសបន្ថែម). នៅក្នុងពាក្យផ្សេងទៀត "ភាគថាសបន្ថែម" នៅលើ HDD ជំនួស LVM សម្រាប់ភារកិច្ចនៅនឹងដៃ: ការអ៊ិនគ្រីបប្រព័ន្ធពេញលេញ។ ប្រសិនបើថាសរបស់អ្នកត្រូវបានបែងចែកទៅជា 4 ភាគសំខាន់ អ្នកត្រូវប្រើ lvm ឬប្លែង (ជាមួយការធ្វើទ្រង់ទ្រាយ) ផ្នែក ពី មេ ទៅ កម្រិត ខ្ពស់ ឬ ប្រើ ផ្នែក ទាំង បួន ដោយ ប្រាជ្ញា ហើយ ទុក អ្វី គ្រប់ យ៉ាង ដូច ជា ទទួល បាន លទ្ធផល ដែល ចង់បាន។ ទោះបីជាអ្នកមានភាគថាសមួយនៅលើថាសរបស់អ្នកក៏ដោយ Gparted នឹងជួយអ្នកបែងចែក HDD របស់អ្នក។ (សម្រាប់ផ្នែកបន្ថែម) ដោយគ្មានការបាត់បង់ទិន្នន័យ ប៉ុន្តែនៅតែមានការពិន័យតិចតួចសម្រាប់សកម្មភាពបែបនេះ។

គ្រោងការណ៍ប្លង់ដ្រាយវ៍រឹងដែលទាក់ទងនឹងអត្ថបទទាំងមូលនឹងត្រូវបាននិយាយត្រូវបានបង្ហាញនៅក្នុងតារាងខាងក្រោម។

តារាង (លេខ 1) នៃភាគថាស 1TB ។

អ្នក​ក៏​គួរ​មាន​អ្វី​ដែល​ស្រដៀង​គ្នា​ដែរ។
sda1 - ភាគថាសសំខាន់លេខ 1 NTFS (បានអ៊ិនគ្រីប);
sda2 - សញ្ញាសម្គាល់ផ្នែកបន្ថែម;
sda6 - ថាសឡូជីខល (វាត្រូវបានដំឡើងកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ GRUB2);
sda8 - ស្វប (ឯកសារស្វបដែលបានអ៊ិនគ្រីប / មិនតែងតែ);
sda9 - សាកល្បងថាសឡូជីខល;
sda5 - ថាសឡូជីខលសម្រាប់អ្នកចង់ដឹងចង់ឃើញ;
sda7 - GNU/Linux OS (បានផ្ទេរ OS ទៅថាសឡូជីខលដែលបានអ៊ិនគ្រីប);
sda3 - ភាគថាសសំខាន់លេខ 2 ជាមួយប្រព័ន្ធប្រតិបត្តិការ Windows 7 (បានអ៊ិនគ្រីប);
sda4 - ផ្នែកសំខាន់លេខ 3 (វាមាន GNU/Linux ដែលមិនបានអ៊ិនគ្រីប ប្រើសម្រាប់ការបម្រុងទុក/មិនតែងតែ).

[A] Windows 7 System Block Encryption

ក១. VeraCrypt

ទាញយកពី គេហទំព័រផ្លូវការឬពីកញ្ចក់ sourceforge កំណែដំឡើងនៃកម្មវិធីគ្រីប VeraCrypt (នៅពេលបោះពុម្ពអត្ថបទ v1.24-Update3 កំណែចល័តរបស់ VeraCrypt មិនសមរម្យសម្រាប់ការអ៊ិនគ្រីបប្រព័ន្ធ). ពិនិត្យមើលការឆែកឆេរនៃកម្មវិធីដែលបានទាញយក

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

ហើយប្រៀបធៀបលទ្ធផលជាមួយ CS ដែលបានបង្ហោះនៅលើគេហទំព័រអ្នកអភិវឌ្ឍន៍ VeraCrypt ។

ប្រសិនបើកម្មវិធី HashTab ត្រូវបានដំឡើង វាកាន់តែងាយស្រួលជាងមុន៖ RMB (ការដំឡើង VeraCrypt 1.24.exe)-properties - ផលបូកនៃឯកសារ។

ដើម្បីផ្ទៀងផ្ទាត់ហត្ថលេខាកម្មវិធី កម្មវិធី និងកូនសោ pgp សាធារណៈរបស់អ្នកអភិវឌ្ឍន៍ត្រូវតែដំឡើងនៅលើប្រព័ន្ធ gnuPG; gpg4win.

ក២. ការដំឡើង/ដំណើរការកម្មវិធី VeraCrypt ជាមួយនឹងសិទ្ធិអ្នកគ្រប់គ្រង

ក៣. ការជ្រើសរើសប៉ារ៉ាម៉ែត្រការអ៊ិនគ្រីបប្រព័ន្ធសម្រាប់ភាគថាសសកម្មVeraCrypt - ប្រព័ន្ធ - អ៊ិនគ្រីបប្រព័ន្ធភាគថាស / ឌីស - ធម្មតា - អ៊ិនគ្រីបភាគថាសប្រព័ន្ធវីនដូ - Multiboot - (ការព្រមាន៖ "អ្នកប្រើប្រាស់ដែលគ្មានបទពិសោធន៍មិនត្រូវបានណែនាំអោយប្រើវិធីនេះទេ" ហើយនេះជាការពិត យើងយល់ព្រម "បាទ") - ថាសចាប់ផ្ដើម (“បាទ/ចាស” ទោះបីមិនដូច្នោះ ក៏នៅតែ “បាទ”) - ចំនួនថាសប្រព័ន្ធ "2 ឬច្រើន" - ប្រព័ន្ធជាច្រើននៅលើថាសមួយ "បាទ" - កម្មវិធីចាប់ផ្ដើមប្រព័ន្ធមិនមែនវីនដូ "ទេ" (ជាការពិត "បាទ / ចាស" ប៉ុន្តែកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ VeraCrypt/GRUB2 នឹងមិនចែករំលែក MBR ក្នុងចំណោមពួកគេទេ ច្បាស់ជាងនេះទៅទៀត មានតែផ្នែកតូចបំផុតនៃកូដកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធប៉ុណ្ណោះដែលត្រូវបានរក្សាទុកក្នុង MBR/boot track ដែលជាផ្នែកសំខាន់របស់វាគឺ ដែលមានទីតាំងនៅក្នុងប្រព័ន្ធឯកសារ) - Multiboot - ការកំណត់ការអ៊ិនគ្រីប...

ប្រសិនបើអ្នកងាកចេញពីជំហានខាងលើ (គ្រោងការណ៍ការអ៊ិនគ្រីបប្រព័ន្ធទប់ស្កាត់)បន្ទាប់មក VeraCrypt នឹងចេញការព្រមាន ហើយនឹងមិនអនុញ្ញាតឱ្យអ្នកអ៊ិនគ្រីបភាគថាសនោះទេ។

នៅជំហានបន្ទាប់ឆ្ពោះទៅរកការការពារទិន្នន័យគោលដៅ ធ្វើការ "សាកល្បង" ហើយជ្រើសរើសក្បួនដោះស្រាយការអ៊ិនគ្រីប។ ប្រសិនបើអ្នកមាន CPU ហួសសម័យ នោះទំនងជាក្បួនដោះស្រាយការអ៊ិនគ្រីបលឿនបំផុតគឺ Twofish ។ ប្រសិនបើស៊ីភីយូមានថាមពលខ្លាំង អ្នកនឹងសម្គាល់ឃើញពីភាពខុសប្លែកគ្នា៖ ការអ៊ិនគ្រីប AES យោងតាមលទ្ធផលតេស្តនឹងលឿនជាងគូប្រជែងគ្រីបតូរបស់វាច្រើនដង។ AES គឺជាក្បួនដោះស្រាយការអ៊ិនគ្រីបដ៏ពេញនិយម ផ្នែករឹងនៃស៊ីភីយូទំនើបត្រូវបានធ្វើឱ្យប្រសើរជាពិសេសសម្រាប់ទាំង "សម្ងាត់" និង "ការលួចចូល" ។

VeraCrypt គាំទ្រសមត្ថភាពក្នុងការអ៊ិនគ្រីបថាសនៅក្នុង AES cascade(ត្រីពីរ)/ និងបន្សំផ្សេងទៀត។ នៅលើ CPU Intel ស្នូលចាស់ពីដប់ឆ្នាំមុន (ដោយមិនមានការគាំទ្រផ្នែករឹងសម្រាប់ AES, A/T cascade encryption) ការថយចុះនៃការអនុវត្តគឺមិនអាចយល់បាន។ (សម្រាប់ស៊ីភីយូ AMD នៃសម័យដូចគ្នា / ~ ប៉ារ៉ាម៉ែត្រដំណើរការត្រូវបានកាត់បន្ថយបន្តិច). ប្រព័ន្ធប្រតិបត្តិការដំណើរការដោយថាមវន្ត ហើយការប្រើប្រាស់ធនធានសម្រាប់ការអ៊ិនគ្រីបតម្លាភាពគឺមើលមិនឃើញ។ ផ្ទុយទៅវិញ ជាឧទាហរណ៍ មានការថយចុះគួរឱ្យកត់សម្គាល់ក្នុងការអនុវត្ត ដោយសារបរិយាកាសសាកល្បងមិនស្ថិតស្ថេរដែលបានដំឡើង Mate v1.20.1 (ឬ v1.20.2 ខ្ញុំមិនចាំច្បាស់ទេ) នៅក្នុង GNU/Linux ឬដោយសារតែប្រតិបត្តិការនៃ telemetry routine នៅក្នុង Windows7↑។ ជាធម្មតា អ្នកប្រើប្រាស់ដែលមានបទពិសោធន៍ធ្វើតេស្ដដំណើរការផ្នែករឹង មុនពេលការអ៊ិនគ្រីប។ ឧទាហរណ៍នៅក្នុង Aida64/Sysbench/systemd-analyze ស្តីបន្ទោសត្រូវបានប្រៀបធៀបជាមួយនឹងលទ្ធផលនៃការធ្វើតេស្តដូចគ្នាបន្ទាប់ពីការអ៊ិនគ្រីបប្រព័ន្ធដោយហេតុនេះបដិសេធមិនពិតសម្រាប់ខ្លួនគេថា "ការអ៊ិនគ្រីបប្រព័ន្ធគឺមានគ្រោះថ្នាក់" ។ ភាពយឺតយ៉ាវរបស់ម៉ាស៊ីន និងភាពរអាក់រអួលគឺអាចកត់សម្គាល់បាននៅពេលបម្រុងទុក/ស្តារទិន្នន័យដែលបានអ៊ិនគ្រីប ពីព្រោះប្រតិបត្តិការ "ការបម្រុងទុកទិន្នន័យប្រព័ន្ធ" ខ្លួនវាមិនត្រូវបានវាស់ជា ms ហើយ <ឌិគ្រីប/អ៊ិនគ្រីប ដូចគ្នានេះ> ត្រូវបានបន្ថែម។ ទីបំផុត អ្នកប្រើប្រាស់ម្នាក់ៗដែលត្រូវបានអនុញ្ញាតឱ្យប្រើការគ្រីបគ្រីបធ្វើឱ្យមានតុល្យភាពនៃក្បួនដោះស្រាយការអ៊ិនគ្រីបប្រឆាំងនឹងការពេញចិត្តនៃកិច្ចការដែលមាននៅនឹងដៃ កម្រិតនៃភាពវង្វេងស្មារតីរបស់ពួកគេ និងភាពងាយស្រួលនៃការប្រើប្រាស់។

វាជាការប្រសើរក្នុងការទុកប៉ារ៉ាម៉ែត្រ PIM ជាលំនាំដើម ដូច្នេះនៅពេលផ្ទុក OS អ្នកមិនចាំបាច់បញ្ចូលតម្លៃដដែលៗរាល់ពេលនោះទេ។ VeraCrypt ប្រើចំនួនដ៏ច្រើននៃការធ្វើម្តងទៀតដើម្បីបង្កើត "សញ្ញាយឺត" ពិតប្រាកដ។ ការវាយប្រហារលើ "ខ្យងគ្រីបតូ" បែបនេះដោយប្រើវិធីសាស្ត្រ Brute force/inbow tables មានន័យត្រឹមតែជាមួយឃ្លាសម្ងាត់ "សាមញ្ញ" ខ្លីៗ និងបញ្ជីតួអក្សរផ្ទាល់ខ្លួនរបស់ជនរងគ្រោះប៉ុណ្ណោះ។ តម្លៃដែលត្រូវបង់សម្រាប់ភាពខ្លាំងនៃពាក្យសម្ងាត់គឺជាការពន្យារពេលក្នុងការបញ្ចូលពាក្យសម្ងាត់ត្រឹមត្រូវនៅពេលផ្ទុកប្រព័ន្ធប្រតិបត្តិការ។ (ការភ្ជាប់បរិមាណ VeraCrypt នៅក្នុង GNU/Linux គឺលឿនជាងយ៉ាងខ្លាំង)។
កម្មវិធីឥតគិតថ្លៃសម្រាប់អនុវត្តការវាយប្រហារដោយកម្លាំង brute (ដកឃ្លាសម្ងាត់ចេញពីក្បាលថាស VeraCrypt/LUKS) Hashcat ។ John the Ripper មិនដឹងពីរបៀប "បំបែក Veracrypt" ហើយនៅពេលធ្វើការជាមួយ LUKS មិនយល់ពី Twofish cryptography ទេ។

ដោយសារតែភាពខ្លាំងនៃកូដសម្ងាត់នៃក្បួនដោះស្រាយការអ៊ិនគ្រីប cypherpunks ដែលមិនអាចបញ្ឈប់បានកំពុងបង្កើតកម្មវិធីដែលមានវ៉ិចទ័រវាយប្រហារផ្សេងគ្នា។ ឧទាហរណ៍ ការទាញយកទិន្នន័យមេតា/គ្រាប់ចុចចេញពី RAM (ការចាប់ផ្ដើមត្រជាក់/ការវាយប្រហារការចូលប្រើអង្គចងចាំផ្ទាល់), មានកម្មវិធីពិសេស និងមិនគិតថ្លៃសម្រាប់គោលបំណងទាំងនេះ។

នៅពេលបញ្ចប់ការដំឡើង/បង្កើត "ទិន្នន័យមេតាតែមួយគត់" នៃភាគថាសសកម្មដែលបានអ៊ិនគ្រីប VeraCrypt នឹងផ្តល់ជូនដើម្បីចាប់ផ្តើមកុំព្យូទ័រឡើងវិញ និងសាកល្បងមុខងារនៃកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធរបស់វា។ បន្ទាប់ពី rebooting/starting Windows, VeraCrypt នឹងផ្ទុកក្នុងរបៀបរង់ចាំ អ្វីទាំងអស់ដែលនៅសល់គឺដើម្បីបញ្ជាក់ដំណើរការអ៊ិនគ្រីប - Y.

នៅជំហានចុងក្រោយនៃការអ៊ិនគ្រីបប្រព័ន្ធ VeraCrypt នឹងផ្តល់ជូនដើម្បីបង្កើតច្បាប់ចម្លងបម្រុងទុកនៃបឋមកថានៃភាគថាសដែលបានអ៊ិនគ្រីបសកម្មក្នុងទម្រង់ "veracrypt rescue disk.iso" - វាត្រូវតែធ្វើ - នៅក្នុងកម្មវិធីនេះ ប្រតិបត្តិការបែបនេះគឺជាតម្រូវការមួយ។ (នៅក្នុង LUKS ជាតម្រូវការមួយ - នេះត្រូវបានលុបចោលជាអកុសល ប៉ុន្តែត្រូវបានសង្កត់ធ្ងន់នៅក្នុងឯកសារ). ថាសសង្គ្រោះនឹងមានប្រយោជន៍សម្រាប់អ្នករាល់គ្នា ហើយសម្រាប់ពេលខ្លះច្រើនជាងម្តង។ ការបាត់បង់ (បឋមកថា/MBR សរសេរឡើងវិញ) ច្បាប់ចម្លងបម្រុងទុកនៃបឋមកថានឹងបដិសេធជាអចិន្ត្រៃយ៍ការចូលប្រើភាគថាសដែលបានឌិគ្រីបជាមួយ OS Windows ។

ក៤. បង្កើត VeraCrypt សង្គ្រោះ USB/diskតាមលំនាំដើម VeraCrypt ផ្តល់ជូនដើម្បីដុត “~2-3MB នៃទិន្នន័យមេតា” ទៅក្នុងស៊ីឌី ប៉ុន្តែមិនមែនមនុស្សទាំងអស់មានថាស ឬ DWD-ROM drives នោះទេ ហើយការបង្កើត flash drive ដែលអាចចាប់ផ្តើមបាន “VeraCrypt Rescue disk” នឹងក្លាយជាការភ្ញាក់ផ្អើលផ្នែកបច្ចេកទេសសម្រាប់អ្នកខ្លះ៖ Rufus /GUIdd-ROSA ImageWriter និងកម្មវិធីស្រដៀងគ្នាផ្សេងទៀតនឹងមិនអាចទប់ទល់នឹងភារកិច្ចបានទេព្រោះបន្ថែមពីលើការចម្លងទិន្នន័យមេតាអុហ្វសិតទៅ flash drive ដែលអាចចាប់ផ្តើមបាន អ្នកត្រូវចម្លង/បិទភ្ជាប់រូបភាពនៅខាងក្រៅប្រព័ន្ធឯកសារនៃ USB drive។ និយាយឱ្យខ្លី ចម្លង MBR/ផ្លូវទៅ keychain ឱ្យបានត្រឹមត្រូវ។ អ្នកអាចបង្កើត flash drive ដែលអាចចាប់ផ្ដើមបានពី GNU/Linux OS ដោយប្រើឧបករណ៍ប្រើប្រាស់ "dd" ដោយក្រឡេកមើលសញ្ញានេះ។

ការបង្កើតថាសសង្គ្រោះនៅក្នុងបរិស្ថានវីនដូគឺខុសគ្នា។ អ្នកអភិវឌ្ឍន៍ VeraCrypt មិនបានបញ្ចូលដំណោះស្រាយចំពោះបញ្ហានេះនៅក្នុងផ្លូវការទេ។ ឯកសារ ដោយ "ថាសសង្គ្រោះ" ប៉ុន្តែបានស្នើដំណោះស្រាយតាមរបៀបផ្សេង៖ គាត់បានបង្ហោះកម្មវិធីបន្ថែមសម្រាប់បង្កើត "ថាសសង្គ្រោះ usb" សម្រាប់ការចូលប្រើដោយឥតគិតថ្លៃនៅលើវេទិកា VeraCrypt របស់គាត់។ បណ្ណសារនៃកម្មវិធីនេះសម្រាប់វីនដូគឺ "បង្កើតថាសសង្គ្រោះ usb veracrypt" ។ បន្ទាប់ពីរក្សាទុកការសង្គ្រោះ disk.iso ដំណើរការនៃការអ៊ិនគ្រីបប្រព័ន្ធប្លុកនៃភាគថាសសកម្មនឹងចាប់ផ្តើម។ កំឡុងពេលអ៊ិនគ្រីប ប្រតិបត្តិការរបស់ OS មិនបញ្ឈប់ការចាប់ផ្ដើមកុំព្យូទ័រឡើងវិញទេ។ នៅពេលបញ្ចប់ប្រតិបត្តិការអ៊ិនគ្រីប ភាគថាសសកម្មនឹងត្រូវបានអ៊ិនគ្រីបយ៉ាងពេញលេញ និងអាចប្រើប្រាស់បាន។ ប្រសិនបើកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ VeraCrypt មិនលេចឡើងនៅពេលអ្នកចាប់ផ្តើមកុំព្យូទ័រ ហើយប្រតិបត្តិការសង្គ្រោះបឋមកថាមិនជួយទេ បន្ទាប់មកពិនិត្យមើលទង់ "ចាប់ផ្ដើម" វាត្រូវតែកំណត់ទៅភាគថាសដែលវីនដូមានវត្តមាន។ (ដោយមិនគិតពីការអ៊ិនគ្រីប និងប្រព័ន្ធប្រតិបត្តិការផ្សេងទៀត សូមមើលតារាងលេខ 1)។
វាបញ្ចប់ការពិពណ៌នាអំពីការអ៊ិនគ្រីបប្រព័ន្ធប្លុកជាមួយប្រព័ន្ធប្រតិបត្តិការ Windows ។

[B]LUKS ការអ៊ិនគ្រីប GNU/Linux (~ដេបៀន) OS ដែលបានដំឡើង។ ក្បួនដោះស្រាយនិងជំហាន

ដើម្បីអ៊ិនគ្រីបការចែកចាយដេបៀន/ដេរីវេដែលបានដំឡើង អ្នកត្រូវផ្គូផ្គងភាគថាសដែលបានរៀបចំទៅឧបករណ៍ប្លុកនិម្មិត ផ្ទេរវាទៅថាស GNU/Linux ដែលបានគូសផែនទី ហើយដំឡើង/កំណត់រចនាសម្ព័ន្ធ GRUB2។ ប្រសិនបើអ្នកមិនមានម៉ាស៊ីនមេដែកទទេ ហើយអ្នកឱ្យតម្លៃពេលវេលារបស់អ្នក នោះអ្នកត្រូវប្រើ GUI ហើយភាគច្រើននៃពាក្យបញ្ជាស្ថានីយដែលបានពិពណ៌នាខាងក្រោមគឺមានន័យថាត្រូវបានដំណើរការនៅក្នុង "របៀប Chuck-Norris" ។

ខ១. ចាប់ផ្ដើមកុំព្យូទ័រពី Live usb GNU/Linux

"អនុវត្តការធ្វើតេស្ត crypto សម្រាប់ការអនុវត្តផ្នែករឹង"

lscpu && сryptsetup benchmark

ប្រសិនបើអ្នកជាម្ចាស់ដ៏រីករាយនៃរថយន្តដ៏មានឥទ្ធិពលជាមួយនឹងការគាំទ្រផ្នែករឹង AES នោះលេខនឹងមើលទៅដូចជាផ្នែកខាងស្តាំនៃស្ថានីយ ប្រសិនបើអ្នកជាម្ចាស់រីករាយ ប៉ុន្តែជាមួយនឹងផ្នែករឹងបុរាណ លេខនឹងមើលទៅដូចជាផ្នែកខាងឆ្វេង។

ខ២. ការបែងចែកថាស។ ការដំឡើង/ធ្វើទ្រង់ទ្រាយ fs logical disk HDD ទៅ Ext2 (Gparted)

B2.1. ការបង្កើតបឋមកថាភាគថាស sda7 ដែលបានអ៊ិនគ្រីបខ្ញុំនឹងរៀបរាប់អំពីឈ្មោះនៃភាគថាសនៅទីនេះ និងបន្ថែមទៀត ស្របតាមតារាងភាគថាសរបស់ខ្ញុំដែលបានបង្ហោះខាងលើ។ យោងតាមប្លង់ឌីសរបស់អ្នក អ្នកត្រូវតែជំនួសឈ្មោះភាគថាសរបស់អ្នក។

ការធ្វើផែនទីការអ៊ិនគ្រីបថាសឡូជីខល (/dev/sda7> /dev/mapper/sda7_crypt) ។
# ងាយស្រួលបង្កើត "ភាគថាស LUKS-AES-XTS"

cryptsetup -v -y luksFormat /dev/sda7

ជំរើស៖

* luksFormat - ការចាប់ផ្តើមនៃបឋមកថា LUKS;
* -y -passphrase (មិនមែនគ្រាប់ចុច/ឯកសារ);
* -v -verbalization (បង្ហាញព័ត៌មាននៅក្នុងស្ថានីយ);
* /dev/sda7 - ថាសឡូជីខលរបស់អ្នកពីភាគថាសដែលបានពង្រីក (កន្លែងដែលវាត្រូវបានគ្រោងទុកដើម្បីផ្ទេរ/អ៊ិនគ្រីប GNU/Linux).

ក្បួនដោះស្រាយការអ៊ិនគ្រីបលំនាំដើម <LUKS1: aes-xts-plain64, គន្លឹះ៖ 256 ប៊ីត, LUKS header hashing: sha256, RNG: /dev/urandom> (អាស្រ័យលើកំណែ cryptsetup) ។

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

ប្រសិនបើមិនមានការគាំទ្រផ្នែករឹងសម្រាប់ AES នៅលើ CPU នោះជម្រើសដ៏ល្អបំផុតគឺត្រូវបង្កើត "LUKS-Twofish-XTS-partition" ដែលបានពង្រីក។

B2.2. ការបង្កើតកម្រិតខ្ពស់នៃ "LUKS-Twofish-XTS-partition"

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

ជំរើស៖
* luksFormat - ការចាប់ផ្តើមនៃបឋមកថា LUKS;
* /dev/sda7 គឺជាថាសឡូជីខលដែលបានអ៊ិនគ្រីបនាពេលអនាគតរបស់អ្នក។
* -v ពាក្យសំដី;
* -y ឃ្លាសម្ងាត់;
* -c ជ្រើសរើសក្បួនដោះស្រាយការអ៊ិនគ្រីបទិន្នន័យ;
* -s ទំហំសោអ៊ិនគ្រីប;
* -h hashing algorithm/crypto function, RNG បានប្រើ (--ប្រើប្រាស់-យូរ៉ាន់) ដើម្បីបង្កើតសោការអ៊ិនគ្រីប/ឌិគ្រីបតែមួយគត់សម្រាប់បឋមកថាថាសឡូជីខល ដែលជាសោបឋមកថាទីពីរ (XTS); សោមេតែមួយគត់ដែលរក្សាទុកក្នុងបឋមកថាឌីសដែលបានអ៊ិនគ្រីប សោ XTS ទីពីរ ទិន្នន័យមេតាទាំងអស់នេះ និងទម្លាប់នៃការអ៊ិនគ្រីបដែលដោយប្រើសោមេ និងសោ XTS ទីពីរ អ៊ិនគ្រីប/ឌិគ្រីបទិន្នន័យណាមួយនៅលើភាគថាស (លើកលែងតែចំណងជើងផ្នែក) រក្សាទុកក្នុង ~ 3MB នៅលើភាគថាសរឹងដែលបានជ្រើសរើស។
* -i ការ​ធ្វើ​ឡើង​វិញ​ជា​មិល្លីវិនាទី ជំនួស​ឱ្យ "ចំនួន" (ការពន្យាពេលពេលដំណើរការឃ្លាសម្ងាត់ប៉ះពាល់ដល់ការផ្ទុក OS និងកម្លាំងគ្រីបគ្រីបរបស់សោ)។ ដើម្បីរក្សាតុល្យភាពនៃកម្លាំងគ្រីប ដោយប្រើពាក្យសម្ងាត់សាមញ្ញដូចជា "រុស្ស៊ី" អ្នកត្រូវបង្កើនតម្លៃ -(i) ជាមួយនឹងពាក្យសម្ងាត់ស្មុគស្មាញដូចជា "?8dƱob/øfh" តម្លៃអាចត្រូវបានថយចុះ។
* -use-urandom random number generator បង្កើតកូនសោ និងអំបិល។

បន្ទាប់ពីគូសផែនទីផ្នែក sda7 > sda7_crypt (ប្រតិបត្តិការគឺលឿន ដោយសារបឋមកថាដែលបានអ៊ិនគ្រីបត្រូវបានបង្កើតជាមួយទិន្នន័យមេតា ~ 3 MB ហើយនោះជាអ្វីទាំងអស់)អ្នកត្រូវធ្វើទ្រង់ទ្រាយ និងម៉ោនប្រព័ន្ធឯកសារ sda7_crypt ។

B2.3. ការប្រៀបធៀប

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

ជម្រើស៖
* បើក - ផ្គូផ្គងផ្នែក "ជាមួយឈ្មោះ";
* /dev/sda7 - ថាសឡូជីខល;
* sda7_crypt - ការគូសផែនទីឈ្មោះដែលត្រូវបានប្រើដើម្បីម៉ោនភាគថាសដែលបានអ៊ិនគ្រីប ឬចាប់ផ្តើមវានៅពេល OS ចាប់ផ្ដើម។

B2.4. ការធ្វើទ្រង់ទ្រាយប្រព័ន្ធឯកសារ sda7_crypt ទៅ ext4 ។ ការដំឡើងថាសនៅក្នុង OS(ចំណាំ៖ អ្នកនឹងមិនអាចធ្វើការជាមួយភាគថាសដែលបានអ៊ិនគ្រីបនៅក្នុង Gparted ទេ)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt 

ជម្រើស៖
* -v - ពាក្យសំដី;
* -L - ស្លាកដ្រាយ (ដែលត្រូវបានបង្ហាញនៅក្នុង Explorer ក្នុងចំណោមដ្រាយផ្សេងទៀត) ។

បន្ទាប់មក អ្នកគួរដំឡើងឧបករណ៍ប្លុកដែលបានអ៊ិនគ្រីបនិម្មិត /dev/sda7_crypt ទៅប្រព័ន្ធ

mount /dev/mapper/sda7_crypt /mnt

ការធ្វើការជាមួយឯកសារនៅក្នុងថត /mnt នឹងអ៊ិនគ្រីប/ឌិគ្រីបទិន្នន័យដោយស្វ័យប្រវត្តិនៅក្នុង sda7 ។

វាកាន់តែងាយស្រួលក្នុងការគូសផែនទី និងម៉ោនភាគថាសនៅក្នុង Explorer (nautilus/caja GUI)ភាគថាសនឹងស្ថិតនៅក្នុងបញ្ជីជ្រើសរើសថាសរួចហើយ អ្វីដែលនៅសេសសល់គឺត្រូវបញ្ចូលឃ្លាសម្ងាត់ដើម្បីបើក/ឌិគ្រីបថាស។ ឈ្មោះដែលផ្គូផ្គងនឹងត្រូវបានជ្រើសរើសដោយស្វ័យប្រវត្តិ មិនមែន “sda7_crypt” ទេ ប៉ុន្តែអ្វីមួយដូចជា /dev/mapper/Luks-xx-xx...

B2.5. ការបម្រុងទុកបឋមកថាឌីស (~ ទិន្នន័យមេតា 3MB)មួយ​នៃ​ភាគច្រើន សំខាន់ ប្រតិបត្តិការដែលត្រូវធ្វើដោយគ្មានការពន្យាពេល - ច្បាប់ចម្លងបម្រុងទុកនៃបឋមកថា "sda7_crypt" ។ ប្រសិនបើអ្នកសរសេរជាន់លើ / ធ្វើឱ្យខូចបឋមកថា (ឧទាហរណ៍ ការដំឡើង GRUB2 នៅលើភាគថាស sda7 ។ល។)ទិន្នន័យដែលបានអ៊ិនគ្រីបនឹងបាត់បង់ទាំងស្រុងដោយគ្មានលទ្ធភាពនៃការយកវាមកវិញទេ ព្រោះវានឹងមិនអាចបង្កើតកូនសោដូចគ្នាឡើងវិញបានទេ សោត្រូវបានបង្កើតដោយឡែក។

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7 

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

ជម្រើស៖
* luksHeaderBackup —header-backup-file -backup command;
* luksHeaderRestore -header-backup-file -restore ពាក្យបញ្ជា;
* ~/Backup_DebSHIFR - ឯកសារបម្រុងទុក;
* /dev/sda7 - ភាគថាសដែលថតចម្លងបឋមកថាថាសដែលបានអ៊ិនគ្រីបនឹងត្រូវបានរក្សាទុក។
នៅជំហាននេះ <ការបង្កើត និងកែសម្រួលភាគថាសដែលបានអ៊ិនគ្រីប> ត្រូវបានបញ្ចប់។

ខ៣. កំពុងច្រក GNU/Linux OS (sda4) ទៅភាគថាសដែលបានអ៊ិនគ្រីប (sda7)

បង្កើតថតឯកសារ / mnt2 (ចំណាំ - យើងនៅតែធ្វើការជាមួយ usb ផ្ទាល់ sda7_crypt ត្រូវបានម៉ោននៅ /mnt)ហើយភ្ជាប់ GNU/Linux របស់យើងក្នុង /mnt2 ដែលចាំបាច់ត្រូវអ៊ិនគ្រីប។

mkdir /mnt2
mount /dev/sda4 /mnt2

យើងអនុវត្តការផ្ទេរប្រព័ន្ធប្រតិបត្តិការត្រឹមត្រូវដោយប្រើកម្មវិធី Rsync

rsync -avlxhHX --progress /mnt2/ /mnt

ជម្រើស Rsync ត្រូវបានពិពណ៌នានៅក្នុងកថាខណ្ឌ E1 ។

បន្ទាប់មក, គឺចាំបាច់ defragment ភាគថាសឡូជីខល

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

បង្កើតវាជាច្បាប់៖ ធ្វើ e4defrag នៅលើ GNU/LInux ដែលបានអ៊ិនគ្រីបពីពេលមួយទៅពេលមួយ ប្រសិនបើអ្នកមាន HDD ។
ការផ្ទេរ និងការធ្វើសមកាលកម្ម [GNU/Linux> GNU/Linux-encrypted] ត្រូវបានបញ្ចប់នៅជំហាននេះ។

នៅ ៤. ការដំឡើង GNU/Linux នៅលើភាគថាស sda4 ដែលបានអ៊ិនគ្រីប

បន្ទាប់ពីការផ្ទេរ OS /dev/sda4> /dev/sda7 ដោយជោគជ័យ អ្នកត្រូវចូលទៅក្នុង GNU/Linux នៅលើភាគថាសដែលបានអ៊ិនគ្រីប ហើយអនុវត្តការកំណត់បន្ថែម។ (ដោយមិនចាំបាច់បើកកុំព្យូទ័រឡើងវិញ) ទាក់ទងទៅនឹងប្រព័ន្ធដែលបានអ៊ិនគ្រីប។ នោះគឺនៅក្នុង live usb ប៉ុន្តែប្រតិបត្តិពាក្យបញ្ជា "ទាក់ទងទៅនឹង root នៃ OS ដែលបានអ៊ិនគ្រីប។" "chroot" នឹងក្លែងធ្វើស្ថានភាពស្រដៀងគ្នា។ ដើម្បីទទួលបានព័ត៌មានយ៉ាងឆាប់រហ័សអំពីប្រព័ន្ធប្រតិបត្តិការណាមួយដែលអ្នកកំពុងធ្វើការជាមួយ (បានអ៊ិនគ្រីបឬអត់ ចាប់តាំងពីទិន្នន័យនៅក្នុង sda4 និង sda7 ត្រូវបានធ្វើសមកាលកម្ម), desynchronize ប្រព័ន្ធប្រតិបត្តិការ។ បង្កើត​ក្នុង​ថត​ឫស (sda4/sda7_crypt) ឯកសារសម្គាល់ទទេ ជាឧទាហរណ៍ /mnt/encryptedOS និង /mnt2/decryptedOS។ ពិនិត្យ​យ៉ាង​ឆាប់​រហ័ស​ថា​អ្នក​កំពុង​ប្រើ​ប្រព័ន្ធ​ប្រតិបត្តិការ​អ្វី (រួមទាំងសម្រាប់អនាគត)៖

ls /<Tab-Tab>

B4.1. "ការក្លែងធ្វើនៃការចូលទៅក្នុងប្រព័ន្ធប្រតិបត្តិការដែលបានអ៊ិនគ្រីប"

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. ការផ្ទៀងផ្ទាត់ថាការងារត្រូវបានអនុវត្តប្រឆាំងនឹងប្រព័ន្ធដែលបានអ៊ិនគ្រីប

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. ការបង្កើត/កំណត់រចនាសម្ព័ន្ធ swap ដែលបានអ៊ិនគ្រីប កែសម្រួល crypttab/fstabដោយសារឯកសារ swap ត្រូវបានធ្វើទ្រង់ទ្រាយរាល់ពេលដែល OS ចាប់ផ្តើម វាគ្មានន័យទេក្នុងការបង្កើត និងគូសផែនទី swap ទៅ logical disk ឥឡូវនេះ ហើយវាយពាក្យបញ្ជាដូចនៅក្នុងកថាខណ្ឌ B2.2 ដែរ។ សម្រាប់ Swap សោអ៊ិនគ្រីបបណ្តោះអាសន្នផ្ទាល់ខ្លួនរបស់វានឹងត្រូវបានបង្កើតដោយស្វ័យប្រវត្តិនៅពេលចាប់ផ្តើមនីមួយៗ។ វដ្ដជីវិតនៃសោស្វប៖ ការមិនម៉ោន/អាន់ម៉ោនភាគថាសស្វប (+ សម្អាត RAM); ឬចាប់ផ្តើម OS ឡើងវិញ។ ការដំឡើង swap បើកឯកសារដែលទទួលខុសត្រូវចំពោះការកំណត់រចនាសម្ព័ន្ធឧបករណ៍ដែលបានអ៊ិនគ្រីបប្លុក (ស្រដៀងគ្នាទៅនឹងឯកសារ fstab ប៉ុន្តែទទួលខុសត្រូវចំពោះគ្រីបតូ) ។

nano /etc/crypttab 

យើងកែសម្រួល

#"ឈ្មោះគោលដៅ" "ឧបករណ៍ប្រភព" "ឯកសារគន្លឹះ" "ជម្រើស"
swap /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512

ជម្រើស
* swap - ឈ្មោះដែលបានគូសផែនទីនៅពេលអ៊ិនគ្រីប /dev/mapper/swap ។
* /dev/sda8 - ប្រើភាគថាសឡូជីខលរបស់អ្នកសម្រាប់ swap ។
* /dev/urandom - អ្នកបង្កើតសោអ៊ិនគ្រីបចៃដន្យសម្រាប់ប្តូរ (ជាមួយនឹងការចាប់ផ្ដើមប្រព័ន្ធប្រតិបត្តិការថ្មីនីមួយៗ គ្រាប់ចុចថ្មីត្រូវបានបង្កើត)។ /dev/urandom generator គឺចៃដន្យតិចជាង /dev/random បន្ទាប់ពី /dev/random ទាំងអស់ត្រូវបានប្រើនៅពេលធ្វើការក្នុងកាលៈទេសៈដ៏គ្រោះថ្នាក់។ នៅពេលផ្ទុកប្រព័ន្ធប្រតិបត្តិការ /dev/random បន្ថយការផ្ទុករយៈពេល ± នាទីជាច្រើន។ (សូមមើល systemd-analyze).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -the partition ដឹងថាវាត្រូវបាន swap ហើយត្រូវបាន format "តាម"; ក្បួនដោះស្រាយការអ៊ិនគ្រីប។

#Открываем и правим fstab
nano /etc/fstab

យើងកែសម្រួល

# ស្វបត្រូវបានបើក / dev / sda8 កំឡុងពេលតំឡើង
/dev/mapper/swap none swap sw 0 0

/dev/mapper/swap គឺជាឈ្មោះដែលត្រូវបានកំណត់ក្នុង crypttab ។

ការផ្លាស់ប្តូរដែលបានអ៊ិនគ្រីបជំនួស
ប្រសិនបើហេតុផលមួយចំនួនដែលអ្នកមិនចង់បោះបង់ចោលភាគថាសទាំងមូលសម្រាប់ឯកសារ swap នោះអ្នកអាចទៅវិធីជំនួស និងប្រសើរជាងនេះ៖ ការបង្កើតឯកសារ swap នៅក្នុងឯកសារនៅលើភាគថាសដែលបានអ៊ិនគ្រីបជាមួយប្រព័ន្ធប្រតិបត្តិការ។

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

ការដំឡើងភាគថាសស្វបបានបញ្ចប់។

B4.4. ការដំឡើង GNU/Linux ដែលបានអ៊ិនគ្រីប (កែសម្រួលឯកសារ crypttab/fstab)ឯកសារ /etc/crypttab ដូចដែលបានសរសេរខាងលើ ពិពណ៌នាអំពីឧបករណ៍ប្លុកដែលបានអ៊ិនគ្រីប ដែលត្រូវបានកំណត់រចនាសម្ព័ន្ធកំឡុងពេលចាប់ផ្ដើមប្រព័ន្ធ។

#правим /etc/crypttab 
nano /etc/crypttab 

ប្រសិនបើអ្នកផ្គូផ្គងផ្នែក sda7>sda7_crypt ដូចក្នុងកថាខណ្ឌ B2.1

# "ឈ្មោះគោលដៅ" "ឧបករណ៍ប្រភព" "ឯកសារគន្លឹះ" "ជម្រើស"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

ប្រសិនបើអ្នកផ្គូផ្គងផ្នែក sda7>sda7_crypt ដូចក្នុងកថាខណ្ឌ B2.2

# "ឈ្មោះគោលដៅ" "ឧបករណ៍ប្រភព" "ឯកសារគន្លឹះ" "ជម្រើស"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

ប្រសិនបើអ្នកបានផ្គូផ្គងផ្នែក sda7>sda7_crypt ដូចនៅក្នុងកថាខណ្ឌ B2.1 ឬ B2.2 ប៉ុន្តែមិនចង់បញ្ចូលពាក្យសម្ងាត់ម្តងទៀតដើម្បីដោះសោ និងចាប់ផ្ដើមប្រព័ន្ធប្រតិបត្តិការនោះ ជំនួសឱ្យពាក្យសម្ងាត់ អ្នកអាចជំនួសឯកសារសម្ងាត់/ឯកសារចៃដន្យ។

# "ឈ្មោះគោលដៅ" "ឧបករណ៍ប្រភព" "ឯកសារគន្លឹះ" "ជម្រើស"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

បរិយាយ
* គ្មាន - រាយការណ៍ថានៅពេលផ្ទុក OS ការបញ្ចូលឃ្លាសម្ងាត់គឺត្រូវបានទាមទារដើម្បីដោះសោឫស។
* UUID - ការកំណត់អត្តសញ្ញាណភាគថាស។ ដើម្បីស្វែងរកអត្តសញ្ញាណប័ណ្ណរបស់អ្នក សូមវាយបញ្ចូលក្នុងស្ថានីយ (សូមរំលឹកថាចាប់ពីពេលនេះតទៅ អ្នកកំពុងធ្វើការនៅក្នុងស្ថានីយក្នុងបរិយាកាស chroot ហើយមិនមែននៅក្នុងស្ថានីយ usb ផ្ទាល់ផ្សេងទៀតទេ)។

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное 

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

បន្ទាត់នេះអាចមើលឃើញនៅពេលស្នើសុំ blkid ពីស្ថានីយ usb ផ្ទាល់ជាមួយ sda7_crypt ដែលបានម៉ោន)។
អ្នកយក UUID ពី sdaX របស់អ្នក។ (មិនមែន sdaX_crypt!, UUID sdaX_crypt - នឹងត្រូវបានទុកដោយស្វ័យប្រវត្តិនៅពេលបង្កើតការកំណត់រចនាសម្ព័ន្ធ grub.cfg) ។
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks encryption ក្នុងរបៀបកម្រិតខ្ពស់។
* /etc/skey - ឯកសារគន្លឹះសម្ងាត់ ដែលត្រូវបានបញ្ចូលដោយស្វ័យប្រវត្តិដើម្បីដោះសោ OS boot (ជំនួសឱ្យការបញ្ចូលពាក្យសម្ងាត់ទី 3) ។ អ្នកអាចបញ្ជាក់ឯកសារណាមួយរហូតដល់ 8MB ប៉ុន្តែទិន្នន័យនឹងត្រូវបានអាន <1MB។

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7 

វានឹងមើលទៅដូចនេះ៖

(ធ្វើវាដោយខ្លួនឯងហើយមើលដោយខ្លួនឯង) ។

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab មានព័ត៌មានពិពណ៌នាអំពីប្រព័ន្ធឯកសារផ្សេងៗ។

#Правим /etc/fstab
nano /etc/fstab

# "ប្រព័ន្ធឯកសារ" "ចំណុចម៉ោន" "ប្រភេទ" "ជម្រើស" "បោះចោល" "ឆ្លងកាត់"
# / នៅលើ / dev / sda7 កំឡុងពេលដំឡើង
/dev/mapper/sda7_crypt / ext4 errors=remount-ro 0 1

ជម្រើស
* /dev/mapper/sda7_crypt - ឈ្មោះរបស់ sda7> sda7_crypt mapping ដែលត្រូវបានបញ្ជាក់នៅក្នុងឯកសារ /etc/crypttab ។
ការដំឡើង crypttab/fstab ត្រូវបានបញ្ចប់។

B4.5. ការកែសម្រួលឯកសារកំណត់រចនាសម្ព័ន្ធ។ ពេលសំខាន់B4.5.1. ការកែសម្រួល config /etc/initramfs-tools/conf.d/resume

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

និងបញ្ចេញមតិ (ប្រសិនបើមាន) "#" បន្ទាត់ "បន្ត" ។ ឯកសារត្រូវតែទទេទាំងស្រុង។

B4.5.2. ការកែសម្រួលការកំណត់ /etc/initramfs-tools/conf.d/cryptsetup

nano /etc/initramfs-tools/conf.d/cryptsetup

គួរតែត្រូវគ្នា។

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=បាទ
នាំចេញ CRYPTSETUP

B4.5.3. ការកែសម្រួល /etc/default/grub config (ការកំណត់រចនាសម្ព័ន្ធនេះទទួលខុសត្រូវចំពោះសមត្ថភាពក្នុងការបង្កើត grub.cfg នៅពេលធ្វើការជាមួយ / boot ដែលបានអ៊ិនគ្រីប)

nano /etc/default/grub

បន្ថែមបន្ទាត់ “GRUB_ENABLE_CRYPTODISK=y”
តម្លៃ 'y', grub-mkconfig និង grub-install នឹងពិនិត្យរកមើលដ្រាយដែលបានអ៊ិនគ្រីប និងបង្កើតពាក្យបញ្ជាបន្ថែមដែលត្រូវការដើម្បីចូលប្រើពួកវានៅពេលចាប់ផ្ដើម (insmods ).
ត្រូវតែមានភាពស្រដៀងគ្នា

GRUB_DEFAULT = ០
GRUB_TIMEOUT = ៥
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || បន្ទរ Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=អ្នកលក់"
GRUB_CMDLINE_LINUX="ស្ងាត់ splash noautomount"
GRUB_ENABLE_CRYPTODISK=y

B4.5.4. ការកែសម្រួល config /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

ពិនិត្យមើលថាបន្ទាត់ បញ្ចេញមតិ <#> ។
នៅ​ពេល​អនាគត (ហើយសូម្បីតែឥឡូវនេះ ប៉ារ៉ាម៉ែត្រនេះនឹងមិនមានអត្ថន័យអ្វីឡើយ ប៉ុន្តែពេលខ្លះវារំខានដល់ការធ្វើបច្ចុប្បន្នភាពរូបភាព initrd.img)។

B4.5.5. ការកែសម្រួល config /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

បន្ថែម

KEYFILE_PATTERN=”/etc/skey”
UMASK=0077

វានឹងខ្ចប់សោសម្ងាត់ "skey" ទៅក្នុង initrd.img ត្រូវការសោរដើម្បីដោះសោរឬស នៅពេល OS ចាប់ផ្ដើម (ប្រសិន​បើ​អ្នក​មិន​ចង់​បញ្ចូល​ពាក្យ​សម្ងាត់​ម្តង​ទៀត​ទេ គ្រាប់ចុច "skey" ត្រូវ​បាន​ជំនួស​ឱ្យ​រថយន្ត)។

B4.6. ធ្វើបច្ចុប្បន្នភាព /boot/initrd.img [កំណែ]ដើម្បីខ្ចប់សោសម្ងាត់ទៅក្នុង initrd.img ហើយអនុវត្តការកែ cryptsetup សូមអាប់ដេតរូបភាព

update-initramfs -u -k all

នៅពេលធ្វើបច្ចុប្បន្នភាព initrd.img (ដូចដែលពួកគេនិយាយថា "វាអាចទៅរួច ប៉ុន្តែវាមិនប្រាកដទេ") ការព្រមានទាក់ទងនឹងការដំឡើងគ្រីបនឹងលេចឡើង ឬឧទាហរណ៍ ការជូនដំណឹងអំពីការបាត់បង់ម៉ូឌុល Nvidia - នេះគឺជារឿងធម្មតា។ បន្ទាប់​ពី​ធ្វើ​បច្ចុប្បន្នភាព​ឯកសារ សូម​ពិនិត្យ​មើល​ថា​វា​ពិត​ជា​ត្រូវ​បាន​ធ្វើ​បច្ចុប្បន្នភាព​មើល​ពេល​វេលា (ទាក់ទងទៅនឹងបរិស្ថាន chroot./boot/initrd.img) ។ សូមប្រយ័ត្ន! មុនពេល [update-initramfs -u -k all] ត្រូវប្រាកដថាពិនិត្យមើលថា cryptsetup បើក /dev/sda7 sda7_crypt - នេះគឺជាឈ្មោះដែលបង្ហាញក្នុង /etc/crypttab បើមិនដូច្នេះទេ បន្ទាប់ពី reboot វានឹងមាន busybox error)
នៅជំហាននេះ ការដំឡើងឯកសារកំណត់រចនាសម្ព័ន្ធត្រូវបានបញ្ចប់។

[C] ការដំឡើង និងកំណត់រចនាសម្ព័ន្ធ GRUB2/Protection

គ១. បើចាំបាច់ ធ្វើទ្រង់ទ្រាយភាគថាសដែលខិតខំប្រឹងប្រែងសម្រាប់កម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ (ភាគថាសត្រូវការយ៉ាងហោចណាស់ 1MB)

mkfs.ext4 -v -L GRUB2 /dev/sda6

គ២. ម៉ោន /dev/sda2 ទៅ /mntដូច្នេះយើងធ្វើការនៅក្នុង chroot បន្ទាប់មកវានឹងមិនមានថត /mnt2 នៅក្នុង root ហើយថត /mnt នឹងទទេ។
ដំឡើងភាគថាស GRUB2

mount /dev/sda6 /mnt

ប្រសិនបើអ្នកបានដំឡើងកំណែចាស់របស់ GRUB2 នៅក្នុងថតឯកសារ /mnt/boot/grub/i-386-pc (ឧទាហរណ៍វេទិកាផ្សេងទៀតគឺអាចធ្វើទៅបានមិនមែន "i386-pc") មិនមានម៉ូឌុលគ្រីបតូទេ។ (និយាយឱ្យខ្លី ថតគួរតែមានម៉ូឌុល រួមទាំង .mod ទាំងនេះ៖ cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod) ក្នុងករណីនេះ GRUB2 ត្រូវតែរង្គោះរង្គើ។

apt-get update
apt-get install grub2 

សំខាន់! នៅពេលធ្វើបច្ចុប្បន្នភាពកញ្ចប់ GRUB2 ពីឃ្លាំង នៅពេលសួរថា "អំពីការជ្រើសរើស" កន្លែងដែលត្រូវដំឡើងកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ អ្នកត្រូវតែបដិសេធការដំឡើង។ (ហេតុផល - ព្យាយាមដំឡើង GRUB2 - នៅក្នុង "MBR" ឬនៅលើ usb ផ្ទាល់). បើមិនដូច្នេះទេ អ្នកនឹងធ្វើឱ្យខូចចំណងជើង/កម្មវិធីផ្ទុកទិន្នន័យ VeraCrypt ។ បន្ទាប់ពីធ្វើបច្ចុប្បន្នភាពកញ្ចប់ GRUB2 និងលុបចោលការដំឡើង កម្មវិធីចាប់ផ្ដើមប្រព័ន្ធត្រូវតែត្រូវបានដំឡើងដោយដៃនៅលើថាសឡូជីខល មិនមែននៅក្នុង MBR ទេ។ ប្រសិនបើឃ្លាំងរបស់អ្នកមានកំណែហួសសម័យនៃ GRUB2 សូមសាកល្បង ធ្វើបច្ចុប្បន្នភាព វាមកពីគេហទំព័រផ្លូវការ - មិនទាន់បានពិនិត្យវាទេ។ (បានធ្វើការជាមួយ GRUB 2.02 ~ BetaX boot loaders ចុងក្រោយបង្អស់) ។

គ៣. ការដំឡើង GRUB3 ទៅក្នុងភាគថាសបន្ថែម [sda2]អ្នកត្រូវតែមានភាគថាសដែលបានម៉ោន [ធាតុ C.2]

grub-install --force --root-directory=/mnt /dev/sda6

ជម្រើស
* —force - ការដំឡើងកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ ដោយរំលងការព្រមានទាំងអស់ដែលស្ទើរតែតែងតែមាន និងរារាំងការដំឡើង (ទង់ជាតិដែលត្រូវការ) ។
* --root-directory - ការដំឡើងថត ទៅ root នៃ sda6 ។
* /dev/sda6 - ភាគថាស sdaХ របស់អ្នក។ (កុំនឹក <space> រវាង /mnt /dev/sda6)។

គ៤. បង្កើតឯកសារកំណត់រចនាសម្ព័ន្ធ [grub.cfg]បំភ្លេចពាក្យបញ្ជា "update-grub2" ហើយប្រើពាក្យបញ្ជាបង្កើតឯកសារកំណត់រចនាសម្ព័ន្ធពេញលេញ

grub-mkconfig -o /mnt/boot/grub/grub.cfg

បន្ទាប់ពីបញ្ចប់ការបង្កើត/ធ្វើបច្ចុប្បន្នភាពនៃឯកសារ grub.cfg ស្ថានីយលទ្ធផលគួរតែមានបន្ទាត់ជាមួយ OS ដែលបានរកឃើញនៅលើថាស (“grub-mkconfig” ប្រហែលជាអាចស្វែងរក និងយក OS ពី live usb ប្រសិនបើអ្នកមាន multiboot flash drive ជាមួយ Windows 10 និងការចែកចាយបន្តផ្ទាល់ - នេះគឺជារឿងធម្មតា)។ ប្រសិនបើស្ថានីយគឺ "ទទេ" ហើយឯកសារ "grub.cfg" មិនត្រូវបានបង្កើតទេនោះនេះគឺជាករណីដូចគ្នានៅពេលដែលមានកំហុស GRUB នៅក្នុងប្រព័ន្ធ។ (ហើយភាគច្រើនទំនងជាអ្នកផ្ទុកពីសាខាសាកល្បងនៃឃ្លាំង) ដំឡើង GRUB2 ឡើងវិញពីប្រភពដែលអាចទុកចិត្តបាន។
ការដំឡើង "ការកំណត់រចនាសម្ព័ន្ធសាមញ្ញ" និងការដំឡើង GRUB2 ត្រូវបានបញ្ចប់។

គ៥. ការធ្វើតេស្តភស្តុតាងនៃ GNU/Linux OS ដែលបានអ៊ិនគ្រីបយើងបំពេញបេសកកម្មគ្រីបតូឱ្យបានត្រឹមត្រូវ។ ដោយប្រុងប្រយ័ត្នចាកចេញពី GNU/Linux ដែលបានអ៊ិនគ្រីប (ចាកចេញពីបរិយាកាស chroot) ។

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

បន្ទាប់ពីចាប់ផ្ដើមកុំព្យូទ័រឡើងវិញ កម្មវិធីចាប់ផ្ដើម VeraCrypt គួរតែផ្ទុក។


*ការបញ្ចូលពាក្យសម្ងាត់សម្រាប់ភាគថាសសកម្មនឹងចាប់ផ្តើមផ្ទុកវីនដូ។
*ការចុចគ្រាប់ចុច "Esc" នឹងផ្ទេរការគ្រប់គ្រងទៅ GRUB2 ប្រសិនបើអ្នកជ្រើសរើស GNU/Linux ដែលបានអ៊ិនគ្រីប - ពាក្យសម្ងាត់ (sda7_crypt) នឹងត្រូវបានទាមទារដើម្បីដោះសោ /boot/initrd.img (ប្រសិនបើ grub2 សរសេរ uuid "រកមិនឃើញ" - នេះគឺជា បញ្ហាជាមួយកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ grub2 វាគួរតែត្រូវបានដំឡើងឡើងវិញ ឧ. ពី test branch/stable ។ល។


*អាស្រ័យលើរបៀបដែលអ្នកកំណត់រចនាសម្ព័ន្ធប្រព័ន្ធ (សូមមើលកថាខណ្ឌ B4.4/4.5) បន្ទាប់ពីបញ្ចូលពាក្យសម្ងាត់ត្រឹមត្រូវដើម្បីដោះសោរូបភាព /boot/initrd.img អ្នកនឹងត្រូវការពាក្យសម្ងាត់ដើម្បីផ្ទុកខឺណែល OS ឬជាសម្ងាត់។ គ្រាប់ចុចនឹងត្រូវបានជំនួសដោយស្វ័យប្រវត្ត " skey" ដោយលុបបំបាត់តម្រូវការក្នុងការបញ្ចូលឃ្លាសម្ងាត់ឡើងវិញ។

(អេក្រង់ "ការជំនួសដោយស្វ័យប្រវត្តិនៃសោសម្ងាត់") ។

*បន្ទាប់នឹងជាដំណើរការដែលធ្លាប់ស្គាល់នៃការផ្ទុក GNU/Linux ជាមួយការផ្ទៀងផ្ទាត់គណនីអ្នកប្រើប្រាស់។


*បន្ទាប់ពីមានការអនុញ្ញាតពីអ្នកប្រើប្រាស់ និងចូលទៅកាន់ OS អ្នកត្រូវធ្វើបច្ចុប្បន្នភាព /boot/initrd.img ម្តងទៀត (សូមមើល B4.6) ។

update-initramfs -u -k all

ហើយក្នុងករណីមានបន្ទាត់បន្ថែមនៅក្នុងម៉ឺនុយ GRUB2 (ពីការយក OS-m ជាមួយ usb ផ្ទាល់) កម្ចាត់ពួកគេ។

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

សេចក្តីសង្ខេបរហ័សនៃការអ៊ិនគ្រីបប្រព័ន្ធ GNU/Linux៖

• GNU/Linuxinux ត្រូវបានអ៊ិនគ្រីបយ៉ាងពេញលេញ រួមទាំង /boot/kernel និង initrd;
• សោសម្ងាត់ត្រូវបានខ្ចប់ក្នុង initrd.img;
• គ្រោងការណ៍ការអនុញ្ញាតបច្ចុប្បន្ន (បញ្ចូលពាក្យសម្ងាត់ដើម្បីដោះសោ initrd; ពាក្យសម្ងាត់/កូនសោដើម្បីចាប់ផ្ដើមប្រព័ន្ធប្រតិបត្តិការ; ពាក្យសម្ងាត់សម្រាប់ការអនុញ្ញាតគណនីលីនុច).

ការអ៊ិនគ្រីបប្រព័ន្ធ "ការកំណត់រចនាសម្ព័ន្ធ GRUB2 សាមញ្ញ" នៃភាគថាសប្លុកបានបញ្ចប់។

គ៦. ការកំណត់រចនាសម្ព័ន្ធ GRUB6 កម្រិតខ្ពស់។ ការការពារកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធជាមួយនឹងហត្ថលេខាឌីជីថល + ការការពារការផ្ទៀងផ្ទាត់GNU/Linux ត្រូវបានអ៊ិនគ្រីបទាំងស្រុង ប៉ុន្តែកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធមិនអាចអ៊ិនគ្រីបបានទេ - លក្ខខណ្ឌនេះត្រូវបានកំណត់ដោយ BIOS ។ សម្រាប់ហេតុផលនេះ ការចាប់ផ្ដើមដែលបានអ៊ិនគ្រីបជាច្រវាក់នៃ GRUB2 គឺមិនអាចទៅរួចនោះទេ ប៉ុន្តែការចាប់ផ្ដើមដែលមានខ្សែសង្វាក់ធម្មតាគឺអាចធ្វើទៅបាន/មាន ប៉ុន្តែតាមទស្សនៈសុវត្ថិភាពវាមិនចាំបាច់ទេ [សូមមើល P. F] ។
សម្រាប់ GRUB2 "ងាយរងគ្រោះ" អ្នកអភិវឌ្ឍន៍បានអនុវត្តក្បួនដោះស្រាយការការពារកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ "ហត្ថលេខា/ការផ្ទៀងផ្ទាត់" ។

• នៅពេលដែលកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធត្រូវបានការពារដោយ "ហត្ថលេខាឌីជីថលផ្ទាល់របស់វា" ការកែប្រែឯកសារខាងក្រៅ ឬការប៉ុនប៉ងដើម្បីផ្ទុកម៉ូឌុលបន្ថែមនៅក្នុងកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធនេះនឹងនាំឱ្យដំណើរការចាប់ផ្ដើមត្រូវបានរារាំង។
• នៅពេលការពារកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធជាមួយនឹងការផ្ទៀងផ្ទាត់ ដើម្បីជ្រើសរើសការផ្ទុកការចែកចាយ ឬបញ្ចូលពាក្យបញ្ជាបន្ថែមនៅក្នុង CLI អ្នកនឹងត្រូវបញ្ចូលការចូល និងពាក្យសម្ងាត់របស់ superuser-GRUB2។

C6.1. ការការពារការផ្ទៀងផ្ទាត់កម្មវិធីចាប់ផ្ដើមប្រព័ន្ធពិនិត្យមើលថាអ្នកកំពុងធ្វើការនៅក្នុងស្ថានីយនៅលើប្រព័ន្ធប្រតិបត្តិការដែលបានអ៊ិនគ្រីប

ls /<Tab-Tab> #обнаружить файл-маркер

បង្កើតពាក្យសម្ងាត់អ្នកប្រើជាន់ខ្ពស់សម្រាប់ការអនុញ្ញាតក្នុង GRUB2

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. 

ទទួលបានលេខកូដសម្ងាត់។ អ្វីមួយ​ដូចនេះ

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

ដំឡើងភាគថាស GRUB

mount /dev/sda6 /mnt 

កែសម្រួល​ការ​កំណត់

nano -$ /mnt/boot/grub/grub.cfg 

ពិនិត្យមើលការស្វែងរកឯកសារថាមិនមានទង់នៅកន្លែងណាមួយនៅក្នុង “grub.cfg” (“-unrestricted” “-user”,
បន្ថែមនៅចុងបញ្ចប់ (មុនបន្ទាត់ ### END /etc/grub.d/41_custom ###)
"កំណត់ superusers="root"
password_pbkdf2 root hash ។"

វាគួរតែជាអ្វីមួយដូចនេះ

# ឯកសារនេះផ្តល់នូវវិធីងាយស្រួលក្នុងការបន្ថែមធាតុម៉ឺនុយផ្ទាល់ខ្លួន។ គ្រាន់តែវាយអក្សរ
# ធាតុម៉ឺនុយដែលអ្នកចង់បន្ថែមបន្ទាប់ពីមតិយោបល់នេះ។ ប្រយ័ត្នកុំផ្លាស់ប្តូរ
# ខ្សែ 'ប្រតិបត្តិកន្ទុយ' ខាងលើ។
### END /etc/grub.d/40_custom ###

### BEGIN /etc/grub.d/41_custom ###
ប្រសិនបើ [ -f ${config_directory}/custom.cfg ]; បន្ទាប់មក
ប្រភព ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; បន្ទាប់មក
ប្រភព $prefix/custom.cfg;
fi
កំណត់ superusers = "root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

ប្រសិនបើអ្នកជារឿយៗប្រើពាក្យបញ្ជា "grub-mkconfig -o /mnt/boot/grub/grub.cfg" ហើយមិនចង់ធ្វើការផ្លាស់ប្តូរទៅ grub.cfg រាល់ពេល សូមបញ្ចូលបន្ទាត់ខាងលើ។ (ចូល៖ ពាក្យសម្ងាត់) នៅក្នុងស្គ្រីបអ្នកប្រើប្រាស់ GRUB នៅខាងក្រោមបំផុត។

nano /etc/grub.d/41_custom 

ឆ្មា << EOF
កំណត់ superusers = "root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

នៅពេលបង្កើត config “grub-mkconfig -o /mnt/boot/grub/grub.cfg” បន្ទាត់ដែលទទួលខុសត្រូវសម្រាប់ការផ្ទៀងផ្ទាត់នឹងត្រូវបានបន្ថែមដោយស្វ័យប្រវត្តិទៅ grub.cfg ។
ជំហាននេះបញ្ចប់ការដំឡើងការផ្ទៀងផ្ទាត់ GRUB2 ។

គ៦.២. ការការពារកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធជាមួយនឹងហត្ថលេខាឌីជីថលវាត្រូវបានសន្មត់ថាអ្នកមានសោអ៊ិនគ្រីប pgp ផ្ទាល់ខ្លួនរបស់អ្នករួចហើយ (ឬបង្កើតសោបែបនេះ) ។ ប្រព័ន្ធត្រូវតែមានកម្មវិធីគ្រីបគ្រីបដែលបានដំឡើង៖ gnuPG; kleopatra/GPA; សេះសមុទ្រ។ កម្មវិធី Crypto នឹងធ្វើឱ្យជីវិតរបស់អ្នកកាន់តែងាយស្រួលក្នុងគ្រប់បញ្ហាទាំងអស់។ Seahorse - កំណែស្ថេរភាពនៃកញ្ចប់ 3.14.0 (កំណែខ្ពស់ជាងឧទាហរណ៍ V3.20 មានកំហុស និងមានកំហុសសំខាន់ៗ)។

គ្រាប់ចុច PGP ត្រូវតែបង្កើត/បើកដំណើរការ/បន្ថែមតែនៅក្នុងបរិស្ថាន su!

បង្កើតសោការអ៊ិនគ្រីបផ្ទាល់ខ្លួន

gpg - -gen-key

នាំចេញកូនសោរបស់អ្នក។

gpg --export -o ~/perskey

ម៉ោនថាសឡូជីខលនៅក្នុង OS ប្រសិនបើវាមិនត្រូវបានម៉ោនរួចហើយ

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

សម្អាតភាគថាស GRUB2

rm -rf /mnt/

ដំឡើង GRUB2 ក្នុង sda6 ដោយដាក់សោឯកជនរបស់អ្នកក្នុងរូបភាព GRUB មេ "core.img"

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

ជម្រើស
* --force - ដំឡើងកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ ដោយរំលងការព្រមានទាំងអស់ដែលតែងតែមាន (ទង់ជាតិដែលត្រូវការ) ។
* —modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - ណែនាំ GRUB2 ឱ្យផ្ទុកម៉ូឌុលចាំបាច់ជាមុន នៅពេលកុំព្យូទ័រចាប់ផ្តើម។
* -k ~/perskey -path ទៅ "PGP key" (បន្ទាប់​ពី​ខ្ចប់​គ្រាប់​ចុច​ចូល​ក្នុង​រូបភាព វា​អាច​លុប​បាន)។
* --root-directory -កំណត់ boot directory ទៅ root sda6
/dev/sda6 - ភាគថាស sdaX របស់អ្នក។

ការបង្កើត/អាប់ដេត grub.cfg

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

បន្ថែមបន្ទាត់ “trust /boot/grub/perskey” ទៅចុងបញ្ចប់នៃឯកសារ “grub.cfg” (បង្ខំឱ្យប្រើគ្រាប់ចុច pgp ។ ) ដោយសារយើងបានដំឡើង GRUB2 ជាមួយនឹងសំណុំនៃម៉ូឌុល រួមទាំងម៉ូឌុលហត្ថលេខា “signature_test.mod” នេះលុបបំបាត់តម្រូវការក្នុងការបន្ថែមពាក្យបញ្ជាដូចជា “set check_signatures=enforce” ទៅក្នុងការកំណត់។

វាគួរតែមើលទៅដូចនេះ (បន្ទាត់បញ្ចប់នៅក្នុងឯកសារ grub.cfg)

### BEGIN /etc/grub.d/41_custom ###
ប្រសិនបើ [ -f ${config_directory}/custom.cfg ]; បន្ទាប់មក
ប្រភព ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; បន្ទាប់មក
ប្រភព $prefix/custom.cfg;
fi
ទុកចិត្ត /boot/grub/perskey
កំណត់ superusers = "root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

ផ្លូវទៅកាន់ "/boot/grub/perskey" មិនចាំបាច់ត្រូវចង្អុលទៅភាគថាសជាក់លាក់ទេ ឧទាហរណ៍ hd0,6 សម្រាប់កម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ "root" គឺជាផ្លូវលំនាំដើមនៃភាគថាសដែល GRUB2 ត្រូវបានដំឡើង។ (សូមមើល set rot=..)។

ការចុះហត្ថលេខាលើ GRUB2 (ឯកសារទាំងអស់នៅក្នុងថត / GRUB ទាំងអស់) ជាមួយ "perskey" គន្លឹះរបស់អ្នក។
ដំណោះស្រាយសាមញ្ញអំពីរបៀបចុះហត្ថលេខា (សម្រាប់ nautilus/caja explorer): ដំឡើងផ្នែកបន្ថែម "seahorse" សម្រាប់ Explorer ពីឃ្លាំង។ កូនសោរបស់អ្នកត្រូវតែបញ្ចូលទៅក្នុងបរិស្ថានស៊ូ។
បើកកម្មវិធីរុករកដោយប្រើ sudo "/ mnt / boot" - RMB - ចុះហត្ថលេខា។ នៅលើអេក្រង់វាមើលទៅដូចនេះ

គន្លឹះខ្លួនឯងគឺ “/mnt/boot/grub/perskey” (ចម្លងទៅថតឯកសារ) ត្រូវតែចុះហត្ថលេខាដោយហត្ថលេខាផ្ទាល់ខ្លួនរបស់អ្នក។ ពិនិត្យមើលថាហត្ថលេខាឯកសារ [*.sig] បង្ហាញនៅក្នុងថត/ថតរង។
ដោយប្រើវិធីសាស្ត្រដែលបានពិពណ៌នាខាងលើ សូមចុះហត្ថលេខា “/boot” (ខឺណែលរបស់យើង, initrd) ។ ប្រសិនបើពេលវេលារបស់អ្នកមានតម្លៃអ្វីមួយ នោះវិធីសាស្ត្រនេះលុបបំបាត់តម្រូវការក្នុងការសរសេរអក្សរ bash ដើម្បីចុះហត្ថលេខាលើ "ឯកសារជាច្រើន" ។

ដើម្បីលុបហត្ថលេខាកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធទាំងអស់។ (ប្រសិនបើមានអ្វីខុស)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

ដើម្បីកុំឱ្យចុះហត្ថលេខាលើកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធបន្ទាប់ពីធ្វើបច្ចុប្បន្នភាពប្រព័ន្ធ យើងបង្កកកញ្ចប់អាប់ដេតទាំងអស់ដែលទាក់ទងនឹង GRUB2 ។

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

នៅជំហាននេះ <ការពារកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធដោយប្រើហត្ថលេខាឌីជីថល> ការកំណត់រចនាសម្ព័ន្ធកម្រិតខ្ពស់នៃ GRUB2 ត្រូវបានបញ្ចប់។

គ៦.៣. ការធ្វើតេស្តភស្តុតាងនៃកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ GRUB6.3 ដែលត្រូវបានការពារដោយហត្ថលេខាឌីជីថល និងការផ្ទៀងផ្ទាត់GRUB2. នៅពេលជ្រើសរើសការចែកចាយ GNU/Linux ឬបញ្ចូល CLI (បន្ទាត់ពាក្យបញ្ជា) ការអនុញ្ញាតពីអ្នកប្រើប្រាស់ជាន់ខ្ពស់នឹងត្រូវបានទាមទារ។ បន្ទាប់ពីបញ្ចូលឈ្មោះអ្នកប្រើ/ពាក្យសម្ងាត់ត្រឹមត្រូវ អ្នកនឹងត្រូវការពាក្យសម្ងាត់ initrd

រូបថតអេក្រង់នៃការផ្ទៀងផ្ទាត់ដោយជោគជ័យនៃអ្នកប្រើប្រាស់ GRUB2 ។

ប្រសិនបើអ្នកជ្រៀតជ្រែកជាមួយឯកសារ GRUB2 ណាមួយ/ធ្វើការផ្លាស់ប្តូរទៅ grub.cfg ឬលុបឯកសារ/ហត្ថលេខា ឬផ្ទុកកម្មវិធីព្យាបាទ module.mod ការព្រមានដែលត្រូវគ្នានឹងលេចឡើង។ GRUB2 នឹងផ្អាកការផ្ទុក។

រូបថតអេក្រង់ ការប៉ុនប៉ងជ្រៀតជ្រែកជាមួយ GRUB2 "ពីខាងក្រៅ" ។

កំឡុងពេលចាប់ផ្ដើម "ធម្មតា" "ដោយគ្មានការឈ្លានពាន" ស្ថានភាពកូដចេញពីប្រព័ន្ធគឺ "0" ។ ដូច្នេះ​គេ​មិន​ដឹង​ថា​ការ​ការពារ​ដំណើរការ​ឬ​អត់​នោះ​ទេ។ (នោះគឺ "ដោយមានឬគ្មានការការពារហត្ថលេខារបស់កម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ" ក្នុងអំឡុងពេលផ្ទុកធម្មតាស្ថានភាពគឺដូចគ្នា "0" - នេះគឺអាក្រក់) ។

តើធ្វើដូចម្តេចដើម្បីពិនិត្យមើលការការពារហត្ថលេខាឌីជីថល?

វិធីដែលមិនងាយស្រួលក្នុងការត្រួតពិនិត្យ៖ ក្លែងក្លាយ/លុបម៉ូឌុលដែលប្រើដោយ GRUB2 ជាឧទាហរណ៍ ដកហត្ថលេខា luks.mod.sig ចេញ ហើយទទួលបានកំហុស។

វិធីត្រឹមត្រូវ៖ ចូលទៅកាន់ bootloader CLI ហើយវាយពាក្យបញ្ជា

trust_list

ជាការឆ្លើយតប អ្នកគួរតែទទួលបានស្នាមម្រាមដៃ “perskey” ប្រសិនបើស្ថានភាពគឺ “0” នោះការការពារហត្ថលេខាមិនដំណើរការទេ សូមពិនិត្យមើលកថាខណ្ឌ C6.2 ពីរដង។
នៅជំហាននេះ ការកំណត់រចនាសម្ព័ន្ធកម្រិតខ្ពស់ "ការការពារ GRUB2 ជាមួយនឹងហត្ថលេខាឌីជីថល និងការផ្ទៀងផ្ទាត់" ត្រូវបានបញ្ចប់។

C7 វិធីសាស្រ្តជំនួសនៃការការពារ GRUB2 bootloader ដោយប្រើ hashingវិធីសាស្ត្រ "CPU Boot Loader Protection/Authentication" ដែលបានពិពណ៌នាខាងលើគឺជាវិធីសាស្ត្របុរាណ។ ដោយសារភាពមិនល្អឥតខ្ចោះនៃ GRUB2 ក្នុងស្ថានភាពភ័យស្លន់ស្លោ វាងាយទទួលរងការវាយប្រហារពិតប្រាកដ ដែលខ្ញុំនឹងផ្តល់ឱ្យខាងក្រោមក្នុងកថាខណ្ឌ [F] ។ លើសពីនេះទៀតបន្ទាប់ពីធ្វើបច្ចុប្បន្នភាព OS/kernel កម្មវិធីចាប់ផ្ដើមប្រព័ន្ធត្រូវតែចុះហត្ថលេខាឡើងវិញ។

ការការពារ GRUB2 bootloader ដោយប្រើ hashing

គុណសម្បត្តិជាងបុរាណ៖

• កម្រិតខ្ពស់នៃភាពជឿជាក់ (ការហាស/ការផ្ទៀងផ្ទាត់ធ្វើឡើងតែពីធនធានមូលដ្ឋានដែលបានអ៊ិនគ្រីបប៉ុណ្ណោះ។ ភាគថាសដែលបានបែងចែកទាំងមូលនៅក្រោម GRUB2 ត្រូវបានគ្រប់គ្រងសម្រាប់ការផ្លាស់ប្តូរណាមួយ ហើយអ្វីៗផ្សេងទៀតត្រូវបានអ៊ិនគ្រីប។ នៅក្នុងគ្រោងការណ៍បុរាណជាមួយនឹងការការពារកម្មវិធីផ្ទុកស៊ីភីយូ/ការផ្ទៀងផ្ទាត់ មានតែឯកសារប៉ុណ្ណោះដែលត្រូវបានគ្រប់គ្រង ប៉ុន្តែមិនឥតគិតថ្លៃទេ។ លំហ ដែល "អ្វីមួយ" អ្វីមួយដែលអាក្រក់" អាចត្រូវបានបន្ថែម) ។
• ការកត់ត្រាដែលបានអ៊ិនគ្រីប (កំណត់ហេតុដែលបានអ៊ិនគ្រីបផ្ទាល់ខ្លួនដែលអាចអានបានដោយមនុស្សត្រូវបានបន្ថែមទៅក្នុងគ្រោងការណ៍) ។
• ល្បឿន (ការការពារ/ការផ្ទៀងផ្ទាត់ភាគថាសទាំងមូលដែលបានបែងចែកសម្រាប់ GRUB2 កើតឡើងស្ទើរតែភ្លាមៗ)។
• ស្វ័យប្រវត្តិកម្មនៃដំណើរការគ្រីបគ្រីបទាំងអស់។

គុណវិបត្តិជាងបុរាណ។

• ការក្លែងបន្លំហត្ថលេខា (តាមទ្រឹស្តី វាអាចរកឃើញការប៉ះទង្គិចមុខងារ hash ដែលបានផ្តល់ឱ្យ)។
• កម្រិតលំបាកកើនឡើង (បើប្រៀបធៀបទៅនឹងបុរាណ ជំនាញបន្ថែមតិចតួចនៅក្នុង GNU/Linux OS ត្រូវបានទាមទារ)។

របៀបដែល GRUB2/partition hashing idea ដំណើរការ

ភាគថាស GRUB2 ត្រូវបាន "ចុះហត្ថលេខា" នៅពេល OS ចាប់ផ្ដើម ភាគថាសកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធត្រូវបានពិនិត្យសម្រាប់ភាពប្រែប្រួល បន្ទាប់មកដោយការចូលទៅក្នុងបរិស្ថានសុវត្ថិភាព (អ៊ិនគ្រីប) ។ ប្រសិនបើ bootloader ឬ partition របស់វាត្រូវបានសម្របសម្រួល បន្ថែមពីលើកំណត់ហេតុការឈ្លានពាន ខាងក្រោមនេះត្រូវបានបើកដំណើរការ៖

រឿង។

ការត្រួតពិនិត្យស្រដៀងគ្នានេះកើតឡើងបួនដងក្នុងមួយថ្ងៃ ដែលមិនផ្ទុកធនធានប្រព័ន្ធ។
ដោយប្រើពាក្យបញ្ជា “-$ check_GRUB” ការត្រួតពិនិត្យភ្លាមៗកើតឡើងនៅពេលណាមួយដោយមិនមានការកត់ត្រា ប៉ុន្តែជាមួយនឹងលទ្ធផលព័ត៌មានទៅកាន់ CLI ។
ដោយប្រើពាក្យបញ្ជា “-$ sudo signature_GRUB” កម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ/ភាគថាស GRUB2 ត្រូវបានចុះហត្ថលេខាឡើងវិញភ្លាមៗ ហើយការកត់ត្រាដែលបានធ្វើបច្ចុប្បន្នភាពរបស់វា (ចាំបាច់បន្ទាប់ពីការអាប់ដេត OS/boot) ហើយជីវិតនៅតែបន្ត។

ការអនុវត្តវិធីសាស្រ្ត hashing សម្រាប់កម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ និងផ្នែករបស់វា។

0) តោះចុះហត្ថលេខាលើ GRUB bootloader/partition ដោយដំឡើងវានៅក្នុង /media/username

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) យើងបង្កើតស្គ្រីបដោយគ្មានផ្នែកបន្ថែមនៅក្នុង root នៃ OS ដែលបានអ៊ិនគ្រីប ~/podpis អនុវត្តសិទ្ធិសុវត្ថិភាព 744 ចាំបាច់ និងការការពារមិនច្បាស់លាស់ចំពោះវា។

ការបំពេញមាតិការបស់វា។

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

ដំណើរការស្គ្រីបពី suការបំបែកភាគថាស GRUB និងកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធរបស់វានឹងត្រូវបានពិនិត្យ រក្សាទុកកំណត់ហេតុ។

ចូរយើងបង្កើត ឬចម្លងឧទាហរណ៍ “ឯកសារព្យាបាទ” [virus.mod] ទៅភាគថាស GRUB2 ហើយដំណើរការការស្កេន/សាកល្បងបណ្តោះអាសន្ន៖

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

CLI ត្រូវតែមើលឃើញការលុកលុយនៃ -citadel- របស់យើង# កាត់ចូល CLI

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

# ដូចដែលអ្នកអាចឃើញ "ឯកសារបានផ្លាស់ទី៖ 1 និងសវនកម្មបានបរាជ័យ" លេចឡើងដែលមានន័យថាការត្រួតពិនិត្យបានបរាជ័យ។
ដោយសារតែលក្ខណៈនៃភាគថាសដែលកំពុងត្រូវបានសាកល្បង ជំនួសឱ្យ "ឯកសារថ្មីដែលបានរកឃើញ" > "ឯកសារបានផ្លាស់ទី"

2) ដាក់ ​​gif នៅទីនេះ > ~/warning.gif កំណត់ការអនុញ្ញាតទៅ 744 ។

3) កំណត់រចនាសម្ព័ន្ធ fstab ដើម្បីដំឡើងភាគថាស GRUB ដោយស្វ័យប្រវត្តិនៅពេលចាប់ផ្ដើម

-$ sudo nano /etc/fstab

LABEL=GRUB /media/username/GRUB ext4 លំនាំដើម 0 0

4) ការបង្វិលកំណត់ហេតុ

-$ sudo nano /etc/logrotate.d/podpis 

/var/log/podpis.txt {
ជារៀងរាល់ថ្ងៃ
បង្វិល ៧
ទំហំ ១០ ម
ប្រតិទិន
បង្ហាប់
បង្ហាប់យឺត
olddir /var/log/old
}

/var/log/vtorjenie.txt {
ប្រចាំខែ
បង្វិល ៧
ទំហំ ១០ ម
ប្រតិទិន
olddir /var/log/old
}

5) បន្ថែមការងារទៅ cron

-$ sudo crontab -e

ចាប់ផ្ដើមឡើងវិញ '/ការជាវ'
0 */6 * * * '/podpis

6) ការបង្កើតឈ្មោះក្លែងក្លាយអចិន្ត្រៃយ៍

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

បន្ទាប់ពីការអាប់ដេត OS -$ apt-get upgrade ចុះហត្ថលេខាលើភាគថាស GRUB របស់យើងឡើងវិញ
-$ подпись_GRUB
នៅចំណុចនេះ ការការពារផ្នែក GRUB ត្រូវបានបញ្ចប់។

[D] លុប - ការបំផ្លាញទិន្នន័យដែលមិនបានអ៊ិនគ្រីប

លុបឯកសារផ្ទាល់ខ្លួនរបស់អ្នកទាំងស្រុង ដូច្នេះថា "សូម្បីតែព្រះក៏មិនអាចអានវាបានដែរ" នេះបើយោងតាមអ្នកនាំពាក្យរដ្ឋ South Carolina លោក Trey Gowdy ។

ជាធម្មតាមាន "ទេវកថានិង រឿងព្រេង", អំពីការស្ដារទិន្នន័យបន្ទាប់ពីវាត្រូវបានលុបចេញពីថាសរឹង។ ប្រសិនបើអ្នកជឿជាក់លើ cyberwitchcraft ឬជាសមាជិកនៃសហគមន៍បណ្តាញ Dr ហើយមិនដែលបានព្យាយាមការសង្គ្រោះទិន្នន័យបន្ទាប់ពីវាត្រូវបានលុប/សរសេរជាន់លើ (ឧទាហរណ៍ ការងើបឡើងវិញដោយប្រើ R-studio)បន្ទាប់មកវិធីសាស្ត្រដែលបានស្នើឡើងទំនងជាមិនសមនឹងអ្នកទេ សូមប្រើអ្វីដែលនៅជិតអ្នក។

បន្ទាប់ពីផ្ទេរ GNU/Linux ដោយជោគជ័យទៅភាគថាសដែលបានអ៊ិនគ្រីប ច្បាប់ចម្លងចាស់ត្រូវតែត្រូវបានលុបដោយគ្មានលទ្ធភាពនៃការសង្គ្រោះទិន្នន័យ។ វិធីសាស្ត្រសម្អាតជាសកល៖ កម្មវិធីសម្រាប់ Windows/Linux កម្មវិធី GUI ឥតគិតថ្លៃ ប៊្លុកប៊ីត។.
លឿន។ ធ្វើទ្រង់ទ្រាយផ្នែកទិន្នន័យដែលត្រូវការបំផ្លាញ (តាមរយៈ Gparted) បើកដំណើរការ BleachBit ជ្រើសរើស "សម្អាតទំហំទំនេរ" - ជ្រើសរើសភាគថាស (sdaX របស់អ្នកជាមួយនឹងច្បាប់ចម្លងពីមុននៃ GNU/Linux)ដំណើរការដកនឹងចាប់ផ្តើម។ BleachBit - ជូតឌីសក្នុងមួយសន្លឹក - នេះគឺជាអ្វីដែល "យើងត្រូវការ" ប៉ុន្តែ! វាដំណើរការតែតាមទ្រឹស្តី ប្រសិនបើអ្នកធ្វើទ្រង់ទ្រាយថាស ហើយសម្អាតវានៅក្នុងកម្មវិធី BB v2.0។

យកចិត្តទុកដាក់! BB លុបឌីសដោយបន្សល់ទុកឈ្មោះឯកសារដែលត្រូវបានរក្សាទុកនៅពេលទិន្នន័យត្រូវបានលុបចោល (Ccleaner - មិនទុកទិន្នន័យមេតាទេ) ។

ហើយទេវកថាអំពីលទ្ធភាពនៃការងើបឡើងវិញទិន្នន័យគឺមិនមែនជាទេវកថាទាំងស្រុង។Bleachbit V2.0-2 អតីតកញ្ចប់ OS Debian មិនស្ថិតស្ថេរ (និងកម្មវិធីស្រដៀងគ្នាផ្សេងទៀត៖ sfill; wipe-Nautilus - ត្រូវបានកត់សម្គាល់ផងដែរនៅក្នុងអាជីវកម្មកខ្វក់នេះ) ពិតជាមានកំហុសសំខាន់មួយ៖ មុខងារ "ជម្រះកន្លែងទំនេរ" វាដំណើរការមិនត្រឹមត្រូវ នៅលើថាស HDD / Flash (ntfs/ext4). កម្មវិធីប្រភេទនេះ នៅពេលសម្អាតទំហំទំនេរ មិនសរសេរជាន់លើថាសទាំងមូល ដូចដែលអ្នកប្រើប្រាស់ជាច្រើនគិតនោះទេ។ និងមួយចំនួន (ច្រើន) ទិន្នន័យដែលបានលុប OS/software ចាត់ទុកទិន្នន័យនេះជាទិន្នន័យដែលមិនលុប/អ្នកប្រើប្រាស់ ហើយនៅពេលសម្អាត “OSP” វារំលងឯកសារទាំងនេះ។ បញ្ហាគឺថាបន្ទាប់ពីរយៈពេលយូរបែបនេះការសម្អាតថាស "ឯកសារដែលបានលុប" អាចត្រូវបានរកឃើញវិញ។ សូម្បីតែបន្ទាប់ពី 3+ ឆ្លងកាត់ការលុបឌីស។
នៅលើ GNU/Linux នៅ Bleachbit 2.0-2 មុខងារនៃការលុបឯកសារ និងថតជាអចិន្ត្រៃយ៍ដំណើរការដោយភាពជឿជាក់ ប៉ុន្តែមិនសម្អាតទំហំទំនេរនោះទេ។ សម្រាប់ការប្រៀបធៀប៖ នៅលើ Windows ក្នុង CCleaner មុខងារ "OSP for ntfs" ដំណើរការបានត្រឹមត្រូវ ហើយព្រះជាម្ចាស់ពិតជាមិនអាចអានទិន្នន័យដែលបានលុបបានទេ។

ហើយដូច្នេះដើម្បីយកចេញយ៉ាងហ្មត់ចត់ "សម្របសម្រួល" ទិន្នន័យដែលមិនបានអ៊ិនគ្រីបចាស់, Bleachbit ត្រូវការសិទ្ធិចូលប្រើទិន្នន័យនេះដោយផ្ទាល់បន្ទាប់មក ប្រើមុខងារ "លុបឯកសារ/ថតជាអចិន្ត្រៃយ៍"។
ដើម្បីលុប "ឯកសារដែលបានលុបដោយប្រើឧបករណ៍ OS ស្តង់ដារ" នៅក្នុង Windows សូមប្រើ CCleaner/BB ជាមួយនឹងមុខងារ "OSP" ។ នៅក្នុង GNU/Linux ជុំវិញបញ្ហានេះ (លុបឯកសារដែលបានលុប) អ្នកត្រូវហាត់ដោយខ្លួនឯង។ (ការលុបទិន្នន័យ + ការព្យាយាមឯករាជ្យដើម្បីស្តារវាឡើងវិញ ហើយអ្នកមិនគួរពឹងផ្អែកលើកំណែកម្មវិធី (ប្រសិនបើមិនមែនជាចំណាំទេ នោះជាកំហុស))មានតែនៅក្នុងករណីនេះទេដែលអ្នកនឹងអាចយល់ពីយន្តការនៃបញ្ហានេះ និងកម្ចាត់ទិន្នន័យដែលបានលុបទាំងស្រុង។

ខ្ញុំមិនទាន់បានសាកល្បង Bleachbit v3.0 ទេ បញ្ហាប្រហែលជាត្រូវបានជួសជុលរួចហើយ។
Bleachbit v2.0 ដំណើរការដោយស្មោះត្រង់។

នៅជំហាននេះ ការលុបថាសបានបញ្ចប់។

[E] ការបម្រុងទុកជាសកលនៃ OS ដែលបានអ៊ិនគ្រីប

អ្នកប្រើប្រាស់ម្នាក់ៗមានវិធីសាស្រ្តផ្ទាល់ខ្លួនក្នុងការបម្រុងទុកទិន្នន័យ ប៉ុន្តែទិន្នន័យប្រព័ន្ធប្រតិបត្តិការដែលបានអ៊ិនគ្រីបតម្រូវឱ្យមានវិធីសាស្រ្តខុសគ្នាបន្តិចបន្តួចចំពោះកិច្ចការ។ កម្មវិធីបង្រួបបង្រួម ដូចជា Clonezilla និងកម្មវិធីស្រដៀងគ្នា មិនអាចដំណើរការដោយផ្ទាល់ជាមួយទិន្នន័យដែលបានអ៊ិនគ្រីបទេ។

សេចក្តីថ្លែងការណ៍អំពីបញ្ហានៃការបម្រុងទុកឧបករណ៍ប្លុកដែលបានអ៊ិនគ្រីប៖

1. សកល - ក្បួនដោះស្រាយការបម្រុងទុកដូចគ្នា / កម្មវិធីសម្រាប់វីនដូ / លីនុច;
2. សមត្ថភាពក្នុងការធ្វើការនៅក្នុងកុងសូលជាមួយ usb ផ្ទាល់ GNU/Linux ដោយមិនចាំបាច់ទាញយកកម្មវិធីបន្ថែម (ប៉ុន្តែនៅតែណែនាំ GUI);
3. សុវត្ថិភាពនៃច្បាប់ចម្លងបម្រុងទុក - "រូបភាព" ដែលត្រូវបានរក្សាទុកត្រូវតែត្រូវបានអ៊ិនគ្រីប / ការពារដោយពាក្យសម្ងាត់។
4. ទំហំនៃទិន្នន័យដែលបានអ៊ិនគ្រីបត្រូវតែឆ្លើយតបទៅនឹងទំហំនៃទិន្នន័យពិតប្រាកដដែលត្រូវបានចម្លង។
5. ងាយស្រួលទាញយកឯកសារចាំបាច់ពីច្បាប់ចម្លងបម្រុងទុក (មិនតម្រូវឱ្យឌិគ្រីបផ្នែកទាំងមូលជាមុនទេ)។

ឧទាហរណ៍ ការបម្រុងទុក/ស្តារតាមរយៈឧបករណ៍ប្រើប្រាស់ "dd"

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

វាត្រូវគ្នាទៅនឹងចំណុចស្ទើរតែទាំងអស់នៃភារកិច្ច ប៉ុន្តែយោងទៅតាមចំណុចទី 4 វាមិនឈរចំពោះការរិះគន់ទេព្រោះវាចម្លងភាគថាសទាំងមូលរួមទាំងទំហំទំនេរ - មិនគួរឱ្យចាប់អារម្មណ៍។

ឧទាហរណ៍ ការបម្រុងទុក GNU/Linux តាមរយៈប័ណ្ណសារ [tar" | gpg] គឺងាយស្រួល ប៉ុន្តែសម្រាប់ការបម្រុងទុកវីនដូ អ្នកត្រូវរកមើលដំណោះស្រាយមួយផ្សេងទៀត - វាមិនគួរឱ្យចាប់អារម្មណ៍ទេ។

អ៊ី ១. ការបម្រុងទុកវីនដូ / លីនុចជាសកល។ តំណភ្ជាប់ rsync (Grsync) + បរិមាណ VeraCryptក្បួនដោះស្រាយសម្រាប់បង្កើតច្បាប់ចម្លងបម្រុងទុក៖

1. បង្កើតកុងតឺន័រដែលបានអ៊ិនគ្រីប (បរិមាណ/ឯកសារ) VeraCrypt សម្រាប់ OS;
2. ផ្ទេរ/ធ្វើសមកាលកម្មប្រព័ន្ធប្រតិបត្តិការដោយប្រើកម្មវិធី Rsync ទៅក្នុងធុងគ្រីប VeraCrypt ។
3. បើចាំបាច់ ផ្ទុកឡើងបរិមាណ VeraCrypt ទៅ www.

ការបង្កើតធុង VeraCrypt ដែលបានអ៊ិនគ្រីបមានលក្ខណៈផ្ទាល់ខ្លួនរបស់វា៖
បង្កើតកម្រិតសំឡេងថាមវន្ត (ការបង្កើត DT អាចប្រើបានតែក្នុង Windows ក៏អាចប្រើក្នុង GNU/Linux);
បង្កើតកម្រិតសំឡេងធម្មតា ប៉ុន្តែមានតម្រូវការនៃ "តួអក្សរ paranoid" (យោងទៅតាមអ្នកអភិវឌ្ឍន៍) - ការធ្វើទ្រង់ទ្រាយធុង។

កម្រិតសំឡេងថាមវន្តត្រូវបានបង្កើតស្ទើរតែភ្លាមៗនៅក្នុង Windows ប៉ុន្តែនៅពេលចម្លងទិន្នន័យពី GNU/Linux > VeraCrypt DT ប្រតិបត្តិការទាំងមូលនៃប្រតិបត្តិការបម្រុងទុកថយចុះយ៉ាងខ្លាំង។

បរិមាណ 70 GB Twofish ធម្មតាត្រូវបានបង្កើតឡើង (ឧបមាថា ថាមពលកុំព្យូទ័រជាមធ្យម) ទៅ HDD ~ ក្នុងរយៈពេលកន្លះម៉ោង (ការសរសេរជាន់លើទិន្នន័យកុងតឺន័រពីមុននៅក្នុងលិខិតឆ្លងដែនមួយគឺដោយសារតែតម្រូវការសុវត្ថិភាព) ។ មុខងារនៃការធ្វើទ្រង់ទ្រាយបរិមាណយ៉ាងឆាប់រហ័សនៅពេលបង្កើតវាត្រូវបានដកចេញពី VeraCrypt Windows/Linux ដូច្នេះការបង្កើតកុងតឺន័រគឺអាចធ្វើទៅបានតែតាមរយៈ "ការសរសេរឡើងវិញម្តង" ឬបង្កើតកម្រិតសំឡេងថាមវន្តដែលដំណើរការទាប។

បង្កើតបរិមាណ VeraCrypt ធម្មតា។ (មិនថាមវន្ត/ntfs)មិនគួរមានបញ្ហាអ្វីទេ។

កំណត់រចនាសម្ព័ន្ធ/បង្កើត/បើកកុងតឺន័រក្នុង VeraCrypt GUI> GNU/Linux live usb (កម្រិតសំឡេងនឹងត្រូវបានដំឡើងដោយស្វ័យប្រវត្តិទៅ /media/veracrypt2 បរិមាណប្រព័ន្ធប្រតិបត្តិការ Windows នឹងត្រូវបានម៉ោនទៅ /media/veracrypt1) ។ ការបង្កើតការបម្រុងទុកដែលបានអ៊ិនគ្រីបនៃ Windows OS ដោយប្រើ GUI rsync (ហ្គ្រីនស៊ី)ដោយធីកប្រអប់។

រង់ចាំដំណើរការបញ្ចប់។ នៅពេលដែលការបម្រុងទុកត្រូវបានបញ្ចប់ យើងនឹងមានឯកសារដែលបានអ៊ិនគ្រីបមួយ។

ដូចគ្នានេះដែរ បង្កើតច្បាប់ចម្លងបម្រុងទុកនៃ GNU/Linux OS ដោយដោះធីកប្រអប់ធីក "ភាពឆបគ្នារបស់វីនដូ" នៅក្នុង rsync GUI ។

យកចិត្តទុកដាក់! បង្កើតធុង Veracrypt សម្រាប់ "ការបម្រុងទុក GNU/Linux" នៅក្នុងប្រព័ន្ធឯកសារ ext4. ប្រសិនបើអ្នកធ្វើការបម្រុងទុកទៅកុងតឺន័រ ntfs នោះនៅពេលដែលអ្នកស្តារច្បាប់ចម្លងបែបនេះ អ្នកនឹងបាត់បង់សិទ្ធិ/ក្រុមទាំងអស់ចំពោះទិន្នន័យរបស់អ្នកទាំងអស់។

ប្រតិបត្តិការទាំងអស់អាចត្រូវបានអនុវត្តនៅក្នុងស្ថានីយ។ ជម្រើសមូលដ្ឋានសម្រាប់ rsync:
* -g -save ក្រុម;
* -P —progress — ស្ថានភាពនៃពេលវេលាដែលបានចំណាយលើឯកសារ។
* -H - ចម្លង hardlinks ដូចមាន;
* -a -របៀបបណ្ណសារ (ទង់ rlptgoD ច្រើន);
* -v - ពាក្យសំដី។

ប្រសិនបើ​អ្នក​ចង់​ដំឡើង "Windows VeraCrypt volume" តាមរយៈ​កុងសូល​ក្នុង​កម្មវិធី​គ្រីប អ្នក​អាច​បង្កើត​ឈ្មោះ​ក្លែងក្លាយ (su)

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

ឥឡូវនេះពាក្យបញ្ជា "veramount pictures" នឹងរំលឹកអ្នកឱ្យបញ្ចូលឃ្លាសម្ងាត់ ហើយបរិមាណប្រព័ន្ធវីនដូដែលបានអ៊ិនគ្រីបនឹងត្រូវបានម៉ោននៅក្នុងប្រព័ន្ធប្រតិបត្តិការ។

ផែនទី/ម៉ោនបរិមាណប្រព័ន្ធ VeraCrypt នៅក្នុងពាក្យបញ្ជា cryptsetup

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

Map/mount VeraCrypt partition/container ក្នុងពាក្យបញ្ជា cryptsetup

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

ជំនួសឱ្យឈ្មោះក្លែងក្លាយ យើងនឹងបន្ថែម (ស្គ្រីបដើម្បីចាប់ផ្តើម) បរិមាណប្រព័ន្ធជាមួយប្រព័ន្ធប្រតិបត្តិការ Windows និងថាស ntfs ដែលបានអ៊ិនគ្រីបឡូជីខលទៅការចាប់ផ្តើម GNU/Linux

បង្កើតស្គ្រីប ហើយរក្សាទុកវាក្នុង ~/VeraOpen.sh

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

យើងចែកចាយសិទ្ធិ "ត្រឹមត្រូវ"៖

sudo chmod 100 /VeraOpen.sh

បង្កើតឯកសារដូចគ្នាបេះបិទពីរ (ឈ្មោះដូចគ្នា!) នៅក្នុង /etc/rc.local និង ~/etc/init.d/rc.local
ការបំពេញឯកសារ

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

យើងចែកចាយសិទ្ធិ "ត្រឹមត្រូវ"៖

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local 

នោះហើយជាវា ឥឡូវនេះនៅពេលផ្ទុក GNU/Linux យើងមិនចាំបាច់បញ្ចូលពាក្យសម្ងាត់ដើម្បីម៉ោនថាស ntfs ដែលបានអ៊ិនគ្រីបទេ ថាសត្រូវបានម៉ោនដោយស្វ័យប្រវត្តិ។

កំណត់ចំណាំដោយសង្ខេបអំពីអ្វីដែលបានពិពណ៌នាខាងលើនៅក្នុងកថាខណ្ឌ E1 មួយជំហានម្តងមួយជំហាន (ប៉ុន្តែឥឡូវនេះសម្រាប់ OS GNU/Linux)
1) បង្កើតកម្រិតសំឡេងនៅក្នុង fs ext4 > 4gb (សម្រាប់ឯកសារ) Linux ក្នុង Veracrypt [Cryptbox] ។
2) ចាប់ផ្ដើមឡើងវិញដើម្បី Live usb ។
3) ~$ cryptsetup បើក /dev/sda7 Lunux #mapping encrypted partition ។
4) ~$ mount /dev/mapper/Linux /mnt #mount the encrypted partition to /mnt.
5) ~$ mkdir mnt2 #បង្កើតថតសម្រាប់ការបម្រុងទុកនាពេលអនាគត។
6) ~$ cryptsetup open —veracrypt—វាយ tcrypt ~/CryptoBox CryptoBox && mount /dev/mapper/CryptoBox /mnt2 #Map a Veracrypt volume ដែលមានឈ្មោះថា “CryptoBox” ហើយភ្ជាប់ CryptoBox ទៅ /mnt2។
7) ~$ rsync -avlxhHX —progress /mnt /mnt2/ #ប្រតិបត្តិការបម្រុងទុកនៃភាគថាសដែលបានអ៊ិនគ្រីបទៅនឹងបរិមាណ Veracrypt ដែលបានអ៊ិនគ្រីប។

(ទំ/ស/ យកចិត្តទុកដាក់! ប្រសិនបើអ្នកកំពុងផ្ទេរ GNU/Linux ដែលបានអ៊ិនគ្រីបពីស្ថាបត្យកម្ម/ម៉ាស៊ីនមួយទៅម៉ាស៊ីនមួយទៀត ឧទាហរណ៍ Intel > AMD (នោះគឺដាក់ពង្រាយការបម្រុងទុកពីភាគថាសដែលបានអ៊ិនគ្រីបមួយទៅ Intel > ភាគថាស AMD ដែលបានអ៊ិនគ្រីប) កុំ​ភ្លេច បន្ទាប់​ពី​ផ្ទេរ​ប្រព័ន្ធ​ប្រតិបត្តិការ​ដែល​បាន​អ៊ិនគ្រីប សូម​កែសម្រួល​សោជំនួស​សម្ងាត់​ជំនួស​ឱ្យ​ពាក្យ​សម្ងាត់​ប្រហែល។ គ្រាប់ចុចពីមុន ~/etc/skey - នឹងមិនសមនឹងភាគថាសដែលបានអ៊ិនគ្រីបទៀតទេ ហើយវាមិនត្រូវបានណែនាំឱ្យបង្កើតកូនសោថ្មី "cryptsetup luksAddKey" ពីក្រោម chroot ទេ - ភាពមិនប្រក្រតីគឺអាចធ្វើទៅបាន គ្រាន់តែនៅក្នុង ~/etc/crypttab បញ្ជាក់ជំនួសឱ្យ “/etc/skey” បណ្ដោះអាសន្ន “គ្មាន” “បន្ទាប់ពី rebot និងចូលទៅក្នុង OS បង្កើត key wildcard សម្ងាត់របស់អ្នកម្តងទៀត)។

ក្នុងនាមជាអតីតយុទ្ធជន IT សូមចាំថាត្រូវធ្វើការបម្រុងទុកដោយឡែកពីគ្នានៃបឋមកថានៃភាគថាស Windows/Linux OS ដែលបានអ៊ិនគ្រីប បើមិនដូច្នោះទេការអ៊ិនគ្រីបនឹងប្រឆាំងនឹងអ្នក។
នៅជំហាននេះ ការបម្រុងទុកនៃប្រព័ន្ធប្រតិបត្តិការដែលបានអ៊ិនគ្រីបត្រូវបានបញ្ចប់។

[F] វាយប្រហារលើកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ GRUB2

មើលព័ត៌មានលម្អិតប្រសិនបើអ្នកបានការពារកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធរបស់អ្នកជាមួយនឹងហត្ថលេខាឌីជីថល និង/ឬ ការផ្ទៀងផ្ទាត់ (សូមមើលចំណុច C6 ។ )បន្ទាប់មក វានឹងមិនការពារប្រឆាំងនឹងការចូលប្រើប្រាស់រាងកាយទេ។ ទិន្នន័យដែលបានអ៊ិនគ្រីបនឹងនៅតែមិនអាចចូលប្រើបាន ប៉ុន្តែការការពារនឹងត្រូវបានរំលង (កំណត់ការការពារហត្ថលេខាឌីជីថលឡើងវិញ) GRUB2 អនុញ្ញាត​ឱ្យ​ជន​អាក្រក់​តាម​អ៊ីនធឺណិត​បញ្ចូល​កូដ​របស់​គាត់​ទៅ​ក្នុង​កម្មវិធី​ចាប់ផ្ដើម​ប្រព័ន្ធ​ដោយ​មិន​មាន​ការ​សង្ស័យ (លុះត្រាតែអ្នកប្រើប្រាស់ត្រួតពិនិត្យស្ថានភាពកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធដោយដៃ ឬភ្ជាប់មកជាមួយកូដស្គ្រីប arbitrary-script ដ៏រឹងមាំផ្ទាល់ខ្លួនសម្រាប់ grub.cfg)។

ក្បួនដោះស្រាយការវាយប្រហារ។ អ្នកឈ្លានពាន

* ចាប់ផ្ដើមកុំព្យូទ័រពី usb ផ្ទាល់។ ការផ្លាស់ប្តូរណាមួយ។ (អ្នកបំពាន) ឯកសារនឹងជូនដំណឹងដល់ម្ចាស់ពិតប្រាកដនៃកុំព្យូទ័រអំពីការឈ្លានពានចូលទៅក្នុងកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ។ ប៉ុន្តែការដំឡើងឡើងវិញដ៏សាមញ្ញនៃ GRUB2 រក្សា grub.cfg (និងសមត្ថភាពបន្តបន្ទាប់ដើម្បីកែសម្រួលវា) នឹងអនុញ្ញាតឱ្យអ្នកវាយប្រហារកែសម្រួលឯកសារណាមួយ។ (ក្នុងស្ថានភាពនេះ នៅពេលផ្ទុក GRUB2 អ្នកប្រើប្រាស់ពិតប្រាកដនឹងមិនត្រូវបានជូនដំណឹងទេ។ ស្ថានភាពគឺដូចគ្នា <0>)
* ដំឡើងភាគថាសដែលមិនបានអ៊ិនគ្រីប រក្សាទុក “/mnt/boot/grub/grub.cfg”។
* ដំឡើងកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធឡើងវិញ (ការដក "perskey" ចេញពីរូបភាព core.img)

grub-install --force --root-directory=/mnt /dev/sda6

* ត្រឡប់ “grub.cfg” > “/mnt/boot/grub/grub.cfg” កែសម្រួលវាប្រសិនបើចាំបាច់ ឧទាហរណ៍ ការបន្ថែមម៉ូឌុលរបស់អ្នក “keylogger.mod” ទៅថតជាមួយម៉ូឌុលកម្មវិធីផ្ទុកនៅក្នុង “grub.cfg” > បន្ទាត់ "insmod keylogger" ។ ឬឧទាហរណ៍ប្រសិនបើសត្រូវមានល្បិចកលបន្ទាប់មកបន្ទាប់ពីដំឡើង GRUB2 ឡើងវិញ (ហត្ថលេខាទាំងអស់នៅនឹងកន្លែង) វាបង្កើតរូបភាព GRUB2 ចម្បងដោយប្រើ "grub-mkimage with option (-c)" ។ ជម្រើស "-c" នឹងអនុញ្ញាតឱ្យអ្នកផ្ទុកការកំណត់របស់អ្នកមុនពេលផ្ទុក "grub.cfg" មេ។ ការកំណត់រចនាសម្ព័ន្ធអាចមានតែមួយបន្ទាត់៖ ប្តូរទិសទៅ "modern.cfg" ណាមួយ លាយគ្នា ឧទាហរណ៍ជាមួយឯកសារ ~400 (ម៉ូឌុល + ហត្ថលេខា) នៅក្នុងថត "/boot/grub/i386-pc" ។ ក្នុងករណីនេះ អ្នកវាយប្រហារអាចបញ្ចូលកូដបំពាន និងផ្ទុកម៉ូឌុលដោយមិនប៉ះពាល់ដល់ “/boot/grub/grub.cfg” បើទោះបីជាអ្នកប្រើប្រាស់បានអនុវត្ត “hashsum” ទៅឯកសារ និងបង្ហាញវាជាបណ្តោះអាសន្ននៅលើអេក្រង់ក៏ដោយ។
អ្នកវាយប្រហារនឹងមិនចាំបាច់ hack ចូល/ពាក្យសម្ងាត់របស់ GRUB2 superuser ទេ គាត់គ្រាន់តែត្រូវការចម្លងបន្ទាត់ប៉ុណ្ណោះ។ (ទទួលខុសត្រូវលើការផ្ទៀងផ្ទាត់) "/boot/grub/grub.cfg" ទៅ "modern.cfg" របស់អ្នក

កំណត់ superusers = "root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

ហើយម្ចាស់កុំព្យូទ័រនឹងនៅតែត្រូវបានផ្ទៀងផ្ទាត់ថាជាអ្នកប្រើជាន់ខ្ពស់ GRUB2។

ការផ្ទុកខ្សែសង្វាក់ (កម្មវិធីចាប់ផ្ដើមប្រព័ន្ធផ្ទុកកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធផ្សេងទៀត)ដូចដែលខ្ញុំបានសរសេរខាងលើមិនសមហេតុផលទេ។ (វាត្រូវបានបម្រុងទុកសម្រាប់គោលបំណងផ្សេងគ្នា). កម្មវិធីចាប់ផ្ដើមប្រព័ន្ធដែលបានអ៊ិនគ្រីបមិនអាចត្រូវបានផ្ទុកដោយសារតែ BIOS (ការចាប់ផ្ដើមខ្សែសង្វាក់ GRUB2 ឡើងវិញ > GRUB2 ដែលបានអ៊ិនគ្រីប មានបញ្ហា!). ទោះជាយ៉ាងណាក៏ដោយ ប្រសិនបើអ្នកនៅតែប្រើគំនិតនៃការផ្ទុកខ្សែសង្វាក់ អ្នកអាចប្រាកដថាវាគឺជាការអ៊ិនគ្រីបដែលកំពុងត្រូវបានផ្ទុក។ (មិនទំនើប) "grub.cfg" ពីភាគថាសដែលបានអ៊ិនគ្រីប។ ហើយ​នេះ​ក៏​ជា​អារម្មណ៍​សុវត្ថិភាព​មិន​ពិត​ដែរ ព្រោះ​អ្វី​គ្រប់​យ៉ាង​ដែល​ត្រូវ​បាន​បង្ហាញ​នៅ​ក្នុង "grub.cfg" ដែល​បាន​អ៊ិនគ្រីប (ការផ្ទុកម៉ូឌុល) បន្ថែមទៅលើម៉ូឌុលដែលត្រូវបានផ្ទុកពី GRUB2 ដែលមិនបានអ៊ិនគ្រីប។

ប្រសិនបើអ្នកចង់ពិនិត្យមើលវា បន្ទាប់មកបែងចែក/អ៊ិនគ្រីបភាគថាសផ្សេងទៀត sdaY ចម្លង GRUB2 ទៅវា (ប្រតិបត្តិការដំឡើង grub នៅលើភាគថាសដែលបានអ៊ិនគ្រីបគឺមិនអាចទៅរួចទេ) ហើយនៅក្នុង "grub.cfg" (ការ​កំណត់​រចនាសម្ព័ន្ធ​មិន​បាន​អ៊ិនគ្រីប​) ផ្លាស់ប្តូរបន្ទាត់ដូចនេះ

menuentry 'GRUBx2' --class parrot --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
ផ្ទុកវីដេអូ
insmod gzio
ប្រសិនបើ [ x$grub_platform = xxen ]; បន្ទាប់មក insmod xzio; insmod lzopio; ហ្វី
អ៊ិនម៉ូដផ្នែក _msdos
insmod cryptodisk
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
អ៊ិនម៉ូដ ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
ធម្មតា /boot/grub/grub.cfg
}

ខ្សែអក្សរ
* insmod - ផ្ទុកម៉ូឌុលចាំបាច់សម្រាប់ធ្វើការជាមួយថាសដែលបានអ៊ិនគ្រីប។
* GRUBx2 - ឈ្មោះបន្ទាត់ដែលបង្ហាញក្នុងម៉ឺនុយចាប់ផ្ដើម GRUB2;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 - មើល។ fdisk -l (sda9);
* កំណត់ឫស - ដំឡើងឫស;
* ធម្មតា /boot/grub/grub.cfg - ឯកសារកំណត់រចនាសម្ព័ន្ធដែលអាចប្រតិបត្តិបាននៅលើភាគថាសដែលបានអ៊ិនគ្រីប។

ទំនុកចិត្តថាវាគឺជា "grub.cfg" ដែលបានអ៊ិនគ្រីបដែលត្រូវបានផ្ទុកគឺជាការឆ្លើយតបជាវិជ្ជមានចំពោះការបញ្ចូលពាក្យសម្ងាត់/ដោះសោ "sdaY" នៅពេលជ្រើសរើសបន្ទាត់ "GRUBx2" នៅក្នុងម៉ឺនុយ GRUB ។

នៅពេលធ្វើការនៅ CLI ដើម្បីកុំឱ្យមានការភ័ន្តច្រឡំ (ហើយពិនិត្យមើលថាតើអថេរបរិស្ថាន "កំណត់ឫស" ដំណើរការទេ) បង្កើតឯកសារនិមិត្តសញ្ញាទទេ ជាឧទាហរណ៍ នៅក្នុងផ្នែកដែលបានអ៊ិនគ្រីប “/shifr_grub” នៅក្នុងផ្នែកដែលមិនបានអ៊ិនគ្រីប “/noshifr_grub”។ ពិនិត្យនៅក្នុង CLI

cat /Tab-Tab

ដូចដែលបានកត់សម្គាល់ខាងលើ វានឹងមិនជួយប្រឆាំងនឹងការទាញយកម៉ូឌុលព្យាបាទទេ ប្រសិនបើម៉ូឌុលបែបនេះបញ្ចប់នៅលើកុំព្យូទ័ររបស់អ្នក។ ឧទាហរណ៍ កូនសោរដែលនឹងអាចរក្សាទុកការចុចគ្រាប់ចុចទៅក្នុងឯកសារ ហើយលាយវាជាមួយឯកសារផ្សេងទៀតនៅក្នុង “~/i386” រហូតដល់វាត្រូវបានទាញយកដោយអ្នកវាយប្រហារដែលមានសិទ្ធិចូលប្រើកុំព្យូទ័រ។

មធ្យោបាយងាយស្រួលបំផុតដើម្បីផ្ទៀងផ្ទាត់ថាការការពារហត្ថលេខាឌីជីថលកំពុងដំណើរការយ៉ាងសកម្ម (មិនកំណត់ឡើងវិញ)ហើយគ្មាននរណាម្នាក់បានឈ្លានពានកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធទេ បញ្ចូលពាក្យបញ្ជានៅក្នុង CLI

list_trusted

ជាការឆ្លើយតប យើងទទួលបានច្បាប់ចម្លងនៃ "perskey" របស់យើង ឬយើងមិនទទួលបានអ្វីទាំងអស់ ប្រសិនបើយើងត្រូវបានវាយប្រហារ (អ្នកក៏ត្រូវពិនិត្យមើល "set check_signatures=enforce").
គុណវិបត្តិដ៏សំខាន់នៃជំហាននេះគឺការបញ្ចូលពាក្យបញ្ជាដោយដៃ។ ប្រសិនបើអ្នកបន្ថែមពាក្យបញ្ជានេះទៅ “grub.cfg” និងការពារការកំណត់រចនាសម្ព័ន្ធដោយហត្ថលេខាឌីជីថល នោះលទ្ធផលបឋមនៃការថតសោនៅលើអេក្រង់គឺខ្លីពេកក្នុងពេលវេលា ហើយអ្នកប្រហែលជាមិនមានពេលដើម្បីមើលលទ្ធផលបន្ទាប់ពីផ្ទុក GRUB2 ទេ។ .
គ្មាននរណាម្នាក់ជាពិសេសដើម្បីធ្វើការទាមទារទៅ: អ្នកអភិវឌ្ឍន៍នៅក្នុងរបស់គាត់។ ឯកសារ ប្រការ ១៨.២ ប្រកាសជាផ្លូវការ

"ចំណាំថា សូម្បីតែការការពារពាក្យសម្ងាត់ GRUB ក៏ដោយ GRUB ខ្លួនវាមិនអាចរារាំងអ្នកដែលមានសិទ្ធិចូលប្រើម៉ាស៊ីនពីការផ្លាស់ប្តូរកម្មវិធីបង្កប់របស់ម៉ាស៊ីននោះ (ឧទាហរណ៍ Coreboot ឬ BIOS) ដើម្បីឱ្យម៉ាស៊ីនចាប់ផ្ដើមពីឧបករណ៍ផ្សេង (ដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ) នោះទេ។ GRUB គឺល្អបំផុតតែមួយគត់នៅក្នុងខ្សែសង្វាក់ចាប់ផ្ដើមសុវត្ថិភាព។"

GRUB2 ផ្ទុកលើសទម្ងន់ជាមួយនឹងមុខងារដែលអាចផ្តល់នូវអារម្មណ៍សុវត្ថិភាពមិនពិត ហើយការអភិវឌ្ឍន៍របស់វាបានលើសពី MS-DOS រួចហើយទាក់ទងនឹងមុខងារប៉ុន្តែវាគ្រាន់តែជាកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធប៉ុណ្ណោះ។ វាគួរឱ្យអស់សំណើចដែល GRUB2 - "ថ្ងៃស្អែក" អាចក្លាយជា OS ហើយម៉ាស៊ីននិម្មិត GNU/Linux ដែលអាចចាប់ផ្តើមបានសម្រាប់វា។

វីដេអូខ្លីអំពីរបៀបដែលខ្ញុំកំណត់ការការពារហត្ថលេខាឌីជីថល GRUB2 ឡើងវិញ និងប្រកាសពីការឈ្លានពានរបស់ខ្ញុំចំពោះអ្នកប្រើប្រាស់ពិតប្រាកដ (ខ្ញុំខ្លាចអ្នក ប៉ុន្តែជំនួសឱ្យអ្វីដែលបង្ហាញក្នុងវីដេអូ អ្នកអាចសរសេរកូដបំពានដែលមិនបង្កគ្រោះថ្នាក់/.mod).

សេចក្តីសន្និដ្ឋាន:

1) ការទប់ស្កាត់ការអ៊ិនគ្រីបប្រព័ន្ធសម្រាប់វីនដូគឺងាយស្រួលអនុវត្ត ហើយការការពារដោយប្រើពាក្យសម្ងាត់តែមួយគឺងាយស្រួលជាងការការពារដោយប្រើពាក្យសម្ងាត់ជាច្រើនជាមួយនឹងការអ៊ិនគ្រីបប្រព័ន្ធប្លុក GNU/Linux ដើម្បីយុត្តិធម៌៖ ចុងក្រោយគឺស្វ័យប្រវត្តិ។

2) ខ្ញុំបានសរសេរអត្ថបទដែលពាក់ព័ន្ធ និងលម្អិត សាមញ្ញ ការណែនាំអំពីការអ៊ិនគ្រីបថាសពេញ VeraCrypt/LUKS នៅលើម៉ាស៊ីនមួយផ្ទះ ដែលល្អបំផុតនៅ RuNet (IMHO)។ ការណែនាំគឺ> 50k តួអក្សរវែងដូច្នេះវាមិនបានគ្របដណ្តប់ជំពូកគួរឱ្យចាប់អារម្មណ៍មួយចំនួន: អ្នកសរសេរកូដសម្ងាត់ដែលបាត់ / រក្សានៅក្នុងស្រមោល; អំពីការពិតដែលថានៅក្នុងសៀវភៅ GNU / Linux ផ្សេងៗពួកគេសរសេរតិចតួច / មិនសរសេរអំពីការគ្រីប។ អំពីមាត្រា 51 នៃរដ្ឋធម្មនុញ្ញនៃសហព័ន្ធរុស្ស៊ី; អូ អាជ្ញាប័ណ្ណ/ ហាមឃាត់ ការអ៊ិនគ្រីបនៅសហព័ន្ធរុស្ស៊ីអំពីមូលហេតុដែលអ្នកត្រូវអ៊ិនគ្រីប “root/boot”។ មគ្គុទ្ទេសក៍បានប្រែទៅជាទូលំទូលាយណាស់ ប៉ុន្តែលម្អិត។ (ពិពណ៌នាសូម្បីតែជំហានសាមញ្ញ)ម្យ៉ាងវិញទៀត វានឹងជួយសន្សំសំចៃពេលវេលាជាច្រើននៅពេលអ្នកទៅដល់ "ការអ៊ិនគ្រីបពិតប្រាកដ"។

3) ការអ៊ិនគ្រីបថាសពេញលេញត្រូវបានអនុវត្តនៅលើ Windows 7 64; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5 ។

4) អនុវត្តការវាយប្រហារដោយជោគជ័យ របស់គាត់ កម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ GRUB2 ។

5) ការបង្រៀនត្រូវបានបង្កើតឡើងដើម្បីជួយមនុស្សដែលមានភាពភ័យខ្លាចទាំងអស់នៅក្នុង CIS ដែលការធ្វើការជាមួយការអ៊ិនគ្រីបត្រូវបានអនុញ្ញាតនៅកម្រិតនីតិបញ្ញត្តិ។ ហើយជាចម្បងសម្រាប់អ្នកដែលចង់បញ្ចេញការអ៊ិនគ្រីបថាសពេញដោយមិនចាំបាច់បំផ្លាញប្រព័ន្ធដែលបានកំណត់រចនាសម្ព័ន្ធរបស់ពួកគេ។

6) បានធ្វើឡើងវិញ និងធ្វើបច្ចុប្បន្នភាពសៀវភៅដៃរបស់ខ្ញុំ ដែលពាក់ព័ន្ធនៅឆ្នាំ 2020។

[G] ឯកសារមានប្រយោជន៍

1. មគ្គុទ្ទេសក៍អ្នកប្រើប្រាស់ TrueCrypt (ខែកុម្ភៈ 2012 RU)
2. ឯកសារ VeraCrypt
3. /usr/share/doc/cryptsetup(-run) [ធនធានក្នុងស្រុក] (ឯកសារលម្អិតផ្លូវការស្តីពីការដំឡើង GNU/Linux encryption ដោយប្រើ cryptsetup)
4. ការដំឡើងគ្រីប FAQ ផ្លូវការ (ឯកសារសង្ខេបអំពីការដំឡើង GNU/Linux encryption ដោយប្រើ cryptsetup)
5. ការអ៊ិនគ្រីបឧបករណ៍ LUKS (ឯកសារ archlinux)
6. ការពិពណ៌នាលម្អិតនៃវាក្យសម្ព័ន្ធដំឡើងគ្រីប (ទំព័រមនុស្សចាស់)
7. ការពិពណ៌នាលម្អិតនៃគ្រីបថេប (ទំព័រមនុស្សចាស់)
8. ឯកសារផ្លូវការរបស់ GRUB2.

ស្លាក: ការអ៊ិនគ្រីបថាសពេញលេញ, ការអ៊ិនគ្រីបភាគថាស, ការអ៊ិនគ្រីបថាសពេញលីនុច, ការអ៊ិនគ្រីបប្រព័ន្ធពេញលេញ LUKS1 ។

មានតែអ្នកប្រើប្រាស់ដែលបានចុះឈ្មោះប៉ុណ្ណោះដែលអាចចូលរួមក្នុងការស្ទង់មតិនេះ។ ចូលសូម។

តើអ្នកកំពុងអ៊ិនគ្រីបទេ?

• 17,1%ខ្ញុំអ៊ិនគ្រីបអ្វីគ្រប់យ៉ាងដែលខ្ញុំអាចធ្វើបាន។ ខ្ញុំភ័យស្លន់ស្លោ។១៤

• 34,2%ខ្ញុំគ្រាន់តែអ៊ិនគ្រីបទិន្នន័យសំខាន់ៗប៉ុណ្ណោះ។28

• 14,6%ពេលខ្លះខ្ញុំអ៊ិនគ្រីប ពេលខ្លះខ្ញុំភ្លេច។12

• 34,2%ទេ ខ្ញុំមិនអ៊ិនគ្រីបទេ វារអាក់រអួល និងថ្លៃ។28

អ្នកប្រើប្រាស់ 82 នាក់បានបោះឆ្នោត។ អ្នកប្រើប្រាស់ ៦២ នាក់ត្រូវបានហាមឃាត់។

ប្រភព: www.habr.com