Windows Linux 설치 시스템의 전체 디스크 암호화. 암호화된 멀티부팅

RuNet V0.2의 전체 디스크 암호화에 대한 자체 가이드를 업데이트했습니다.

카우보이 전략:

[A] 설치된 시스템의 Windows 7 시스템 블록 암호화;
[B] GNU/Linux 시스템 블록 암호화 (데비안) 설치된 시스템 (/boot 포함);
[C] GRUB2 구성, 디지털 서명/인증/해싱을 통한 부트로더 보호;
[D] 스트리핑(stripping) - 암호화되지 않은 데이터의 파기;
[E] 암호화된 OS의 범용 백업;
[F] <항목 [C6]> 대상에 대한 공격 - GRUB2 부트로더;
[G]유용한 문서.

╭───#40호실# 계획 :
├──╼ Windows 7 설치 - 숨김이 아닌 전체 시스템 암호화;
├──╼ GNU/Linux 설치됨 (데비안 및 파생 배포판) — 숨김이 아닌 전체 시스템 암호화(/, /boot 포함, 스왑);
├──╼ 독립 부트로더: VeraCrypt 부트로더는 MBR에 설치되고, GRUB2 부트로더는 확장 파티션에 설치됩니다.
├──╼OS 설치/재설치가 필요하지 않습니다.
└──╼사용된 암호화 소프트웨어: VeraCrypt; 암호화 설정; GnuPG; 해마; 해시딥; GRUB2는 무료입니다/무료입니다.

위의 방식은 "플래시 드라이브로의 원격 부팅" 문제를 부분적으로 해결하여 암호화된 OS Windows/Linux를 즐기고 "암호화된 채널"을 통해 한 OS에서 다른 OS로 데이터를 교환할 수 있게 해줍니다.

PC 부팅 순서(옵션 중 하나):

• 기계를 켜는 것;
• VeraCrypt 부트로더 로딩 (올바른 비밀번호를 입력하면 Windows 7이 계속 부팅됩니다.);
• "Esc" 키를 누르면 GRUB2 부트로더가 로드됩니다.
• GRUB2 부트로더 (배포판/GNU/Linux/CLI 선택), GRUB2 수퍼유저 <login/password>의 인증이 필요합니다.
• 성공적인 인증 및 배포 선택 후 "/boot/initrd.img"를 잠금 해제하려면 암호를 입력해야 합니다.
• 오류 없는 비밀번호를 입력한 후 GRUB2는 비밀번호 입력을 "요구"합니다. (세 번째, BIOS 비밀번호 또는 GNU/Linux 사용자 계정 비밀번호 - 고려하지 않음) GNU/Linux OS 잠금 해제 및 부팅 또는 비밀 키 자동 대체 (XNUMX개의 비밀번호 + 키 또는 비밀번호 + 키);
• GRUB2 구성에 외부 침입이 발생하면 GNU/Linux 부팅 프로세스가 중단됩니다.

귀찮은? 이제 프로세스를 자동화해 보겠습니다.

하드 드라이브를 파티션할 때 (MBR 테이블) PC에는 최대 4개의 기본 파티션, 3개의 기본 파티션, XNUMX개의 확장 파티션 및 할당되지 않은 영역이 있을 수 있습니다. 확장 섹션은 기본 섹션과 달리 하위 섹션을 포함할 수 있습니다. (논리 드라이브=확장 파티션). 즉, HDD의 "확장 파티션"은 전체 시스템 암호화라는 작업을 위해 LVM을 대체합니다. 디스크가 4개의 기본 파티션으로 나누어져 있는 경우 lvm을 사용하거나 (서식 포함) 섹션을 메인부터 고급까지 선택하거나, XNUMX개 섹션을 모두 현명하게 사용하고 모든 것을 그대로 두어 원하는 결과를 얻으세요. 디스크에 하나의 파티션이 있더라도 Gparted는 HDD 파티션을 나누는 데 도움을 줍니다. (추가 섹션의 경우) 데이터 손실은 없지만 그러한 행동에 대해서는 여전히 약간의 불이익이 있습니다.

전체 기사를 말로 표현하는 하드 드라이브 레이아웃 구성표는 아래 표에 나와 있습니다.

1TB 파티션의 테이블(1번).

당신도 비슷한 것을 가지고 있어야합니다.
sda1 - 메인 파티션 1번 NTFS (암호화됨);
sda2 - 확장 섹션 마커;
sda6 - 논리 디스크 (GRUB2 부트로더가 설치되어 있습니다)
sda8 - 스왑(암호화된 스왑 파일/항상 그런 것은 아님);
sda9 - 논리 디스크 테스트;
sda5 - 호기심을 위한 논리 디스크;
sda7 - GNU/Linux OS(OS를 암호화된 논리 디스크로 전송);
sda3 - Windows 2 OS가 설치된 메인 파티션 7번 (암호화됨);
sda4 - 메인 섹션 3번 (암호화되지 않은 GNU/Linux가 포함되어 있으며 백업에 사용됨/항상 그런 것은 아님).

[A] Windows 7 시스템 블록 암호화

A1. 베라크립트

에서로드 공식 사이트, 또는 거울에서 소스 포지 VeraCrypt 암호화 소프트웨어 설치 버전 (v1.24-Update3 기사 게시 당시 VeraCrypt의 휴대용 버전은 시스템 암호화에 적합하지 않습니다.). 다운로드한 소프트웨어의 체크섬을 확인하세요.

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

VeraCrypt 개발자 웹사이트에 게시된 CS와 결과를 비교해 보세요.

HashTab 소프트웨어가 설치되어 있으면 훨씬 더 쉽습니다. RMB (VeraCrypt 설정 1.24.exe)-properties - 파일의 해시 합계입니다.

프로그램 서명을 확인하려면 소프트웨어와 개발자의 공개 PGP 키가 시스템에 설치되어 있어야 합니다. gnuPG; gpg4win.

A2. 관리자 권한으로 VeraCrypt 소프트웨어 설치/실행

A3. 활성 파티션에 대한 시스템 암호화 매개변수 선택VeraCrypt – 시스템 – 시스템 파티션/디스크 암호화 – 일반 – Windows 시스템 파티션 암호화 – 멀티부팅 – (경고: "경험이 없는 사용자는 이 방법을 사용하지 않는 것이 좋습니다." 이는 사실입니다. "예"에 동의합니다.) – 부팅 디스크 (“예”, 그렇지 않더라도 여전히 “예”) – 시스템 디스크 수 “2 이상” – 하나의 디스크에 여러 시스템 “예” – Windows 이외의 부트로더 “아니요” (사실 "예"입니다. 하지만 VeraCrypt/GRUB2 부트 로더는 MBR을 서로 공유하지 않습니다. 보다 정확하게는 부트 로더 코드의 가장 작은 부분만 MBR/부트 트랙에 저장되며, 그 주요 부분은 다음과 같습니다. 파일 시스템 내에 위치) – 멀티부트 – 암호화 설정…

위의 단계를 벗어나면(블록 시스템 암호화 방식), VeraCrypt는 경고를 표시하고 파티션 암호화를 허용하지 않습니다.

대상 데이터 보호를 위한 다음 단계에서는 "테스트"를 수행하고 암호화 알고리즘을 선택합니다. 오래된 CPU를 사용하는 경우 가장 빠른 암호화 알고리즘은 Twofish일 가능성이 높습니다. CPU가 강력하다면 차이점을 알 수 있습니다. 테스트 결과에 따르면 AES 암호화는 암호화 경쟁사보다 몇 배 더 빠릅니다. AES는 널리 사용되는 암호화 알고리즘으로, 최신 CPU의 하드웨어는 "비밀"과 "해킹" 모두에 특별히 최적화되어 있습니다.

VeraCrypt는 AES 캐스케이드에서 디스크를 암호화하는 기능을 지원합니다.(두마리)/및 기타 조합. XNUMX년 전의 오래된 코어 Intel CPU에서 (AES, A/T 캐스케이드 암호화에 대한 하드웨어 지원 없음) 성능 저하는 본질적으로 눈에 띄지 않습니다. (동일한 시대/~매개변수의 AMD CPU의 경우 성능이 약간 저하됩니다.). OS는 동적으로 작동하며 투명한 암호화를 위한 리소스 소비는 보이지 않습니다. 이에 비해 불안정한 테스트 데스크탑 환경인 Mate v1.20.1을 설치하여 성능이 눈에 띄게 저하되는 경우를 예로 들 수 있습니다. (또는 v1.20.2 정확히 기억이 나지 않습니다) GNU/Linux에서 또는 Windows7↑에서 원격 측정 루틴의 작동으로 인해 발생합니다. 일반적으로 숙련된 사용자는 암호화 전에 하드웨어 성능 테스트를 수행합니다. 예를 들어, Aida64/Sysbench/systemd-analyze에서는 시스템을 암호화한 후 동일한 테스트 결과와 비난을 비교하여 "시스템 암호화는 해롭다"는 통념을 반박합니다. 암호화된 데이터를 백업/복원할 때 기기의 속도 저하와 불편함이 눈에 띕니다. 왜냐하면 “시스템 데이터 백업” 작업 자체는 ms 단위로 측정되지 않고, 동일한 <암호화/즉시 암호화>가 추가되기 때문입니다. 궁극적으로 암호화를 조작할 수 있는 각 사용자는 암호화 알고리즘과 현재 작업 만족도, 편집증 수준 및 사용 용이성의 균형을 맞춥니다.

PIM 매개변수를 기본값으로 두는 것이 더 좋습니다. 그러면 OS를 로드할 때 매번 정확한 반복 값을 입력할 필요가 없습니다. VeraCrypt는 엄청난 수의 반복을 사용하여 진정한 "느린 해시"를 생성합니다. 무차별 대입/레인보우 테이블 방법을 사용하는 이러한 "암호화 달팽이"에 대한 공격은 짧은 "간단한" 암호 문구와 피해자의 개인 문자 집합 목록을 통해서만 의미가 있습니다. 비밀번호 강도에 대한 대가는 OS를 로드할 때 올바른 비밀번호를 입력하는 데 지연이 있다는 것입니다. (GNU/Linux에서 VeraCrypt 볼륨을 마운트하는 것이 훨씬 빠릅니다).
무차별 공격을 구현하기 위한 무료 소프트웨어 (VeraCrypt/LUKS 디스크 헤더에서 암호 추출) 해시캣. John the Ripper는 "Veracrypt를 해독"하는 방법을 모르고 LUKS로 작업할 때 Twofish 암호화를 이해하지 못합니다.

암호화 알고리즘의 암호화 강도로 인해 막을 수 없는 사이퍼펑크는 다른 공격 벡터를 사용하는 소프트웨어를 개발하고 있습니다. 예를 들어 RAM에서 메타데이터/키 추출 (콜드 부팅/직접 메모리 액세스 공격), 이러한 목적을 위해 특화된 무료 소프트웨어와 비자유 소프트웨어가 있습니다.

암호화된 활성 파티션의 "고유 메타데이터" 설정/생성이 완료되면 VeraCrypt는 PC를 다시 시작하고 부트 로더의 기능을 테스트하도록 제안합니다. Windows를 재부팅/시작한 후 VeraCrypt는 대기 모드로 로드되며 남은 것은 암호화 프로세스를 확인하는 것입니다. Y.

시스템 암호화의 마지막 단계에서 VeraCrypt는 "veracrypt 복구 디스크.iso" 형식으로 활성 암호화 파티션 헤더의 백업 복사본을 생성하도록 제안합니다. 이 작업은 반드시 수행되어야 합니다. 이 소프트웨어에서는 그러한 작업이 요구 사항입니다 (LUKS에서는 요구 사항으로 이는 안타깝게도 생략되었지만 문서에서는 강조되어 있습니다). 복구 디스크는 모든 사람에게 유용하며 일부에게는 한 번 이상 유용합니다. 손실 (헤더/MBR 재작성) 헤더의 백업 복사본은 OS Windows에서 해독된 파티션에 대한 액세스를 영구적으로 거부합니다.

A4. VeraCrypt 복구 USB/디스크 만들기기본적으로 VeraCrypt는 "~2-3MB의 메타데이터"를 CD에 굽는 기능을 제공하지만 모든 사람이 디스크나 DWD-ROM 드라이브를 갖고 있는 것은 아니며 부팅 가능한 플래시 드라이브인 "VeraCrypt 복구 디스크"를 생성하는 것은 일부 사람들에게 기술적인 놀라움이 될 것입니다. Rufus /GUIdd-ROSA ImageWriter 및 기타 유사한 소프트웨어는 오프셋 메타데이터를 부팅 가능한 플래시 드라이브에 복사하는 것 외에도 USB 드라이브의 파일 시스템 외부에 이미지를 복사/붙여넣기해야 하기 때문에 작업에 대처할 수 없습니다. 즉, MBR/road를 키체인에 올바르게 복사합니다. 이 기호를 보고 "dd" 유틸리티를 사용하여 GNU/Linux OS에서 부팅 가능한 플래시 드라이브를 만들 수 있습니다.

Windows 환경에서 복구 디스크를 만드는 방법은 다릅니다. VeraCrypt 개발자는 공식 문서에 이 문제에 대한 해결책을 포함하지 않았습니다. 문서 그는 "복구 디스크"를 사용했지만 다른 방식으로 솔루션을 제안했습니다. 그는 자신의 VeraCrypt 포럼에 무료 액세스를 위한 "USB 복구 디스크"를 생성하기 위한 추가 소프트웨어를 게시했습니다. Windows용 이 소프트웨어의 기록 보관자는 "usb veracrypt 복구 디스크 생성" 중입니다. 복구 disk.iso를 저장하면 활성 파티션의 블록 시스템 암호화 프로세스가 시작됩니다. 암호화 중에는 OS 작동이 중단되지 않으며 PC를 다시 시작할 필요도 없습니다. 암호화 작업이 완료되면 활성 파티션이 완전히 암호화되어 사용할 수 있습니다. PC를 시작할 때 VeraCrypt 부트 로더가 나타나지 않고 헤더 복구 작업이 도움이 되지 않는 경우 "부팅" 플래그를 확인하고 Windows가 있는 파티션으로 설정해야 합니다. (암호화 및 기타 OS에 관계없이 표 1 참조).
이상으로 Windows OS를 이용한 블록 시스템 암호화에 대한 설명을 마치겠습니다.

[B]루크스. GNU/Linux 암호화 (~데비안) 설치된 OS. 알고리즘 및 단계

설치된 Debian/파생 배포판을 암호화하려면 준비된 파티션을 가상 블록 장치에 매핑하고 이를 매핑된 GNU/Linux 디스크로 전송한 다음 GRUB2를 설치/구성해야 합니다. 베어메탈 서버가 없고 시간을 소중히 여기는 경우 GUI를 사용해야 하며 아래 설명된 대부분의 터미널 명령은 "Chuck-Norris 모드"에서 실행되어야 합니다.

B1. 라이브 USB GNU/Linux에서 PC 부팅하기

“하드웨어 성능에 대한 암호화 테스트를 수행하세요”

lscpu && сryptsetup benchmark

당신이 AES 하드웨어를 지원하는 강력한 자동차의 행복한 소유자라면 숫자는 터미널의 오른쪽처럼 보일 것입니다. 당신이 행복한 소유자이지만 골동품 하드웨어를 사용한다면 숫자는 왼쪽처럼 보일 것입니다.

B2. 디스크 파티셔닝. fs 논리 디스크 HDD를 Ext4(Gparted)에 마운트/포맷

B2.1. 암호화된 sda7 파티션 헤더 생성위에 게시된 파티션 테이블에 따라 여기에서 파티션 이름을 설명하겠습니다. 디스크 레이아웃에 따라 파티션 이름을 대체해야 합니다.

논리 드라이브 암호화 매핑 (/dev/sda7 > /dev/mapper/sda7_crypt).
#"LUKS-AES-XTS 파티션"을 쉽게 생성

cryptsetup -v -y luksFormat /dev/sda7

옵션:

* luksFormat - LUKS 헤더 초기화;
* -y -passphrase(키/파일 아님);
* -v -verbalization(터미널에 정보 표시);
* /dev/sda7 - 확장 파티션의 논리 디스크 (GNU/Linux를 전송/암호화할 예정인 경우).

기본 암호화 알고리즘 <LUKS1: aes-xts-plain64, 키: 256비트, LUKS 헤더 해싱: sha256, RNG: /dev/urandom> (cryptsetup 버전에 따라 다름)

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

CPU에서 AES에 대한 하드웨어 지원이 없는 경우 최선의 선택은 확장된 “LUKS-Twofish-XTS-파티션”을 생성하는 것입니다.

B2.2. “LUKS-Twofish-XTS-파티션” 고급 생성

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

옵션:
* luksFormat - LUKS 헤더 초기화;
* /dev/sda7은 향후 암호화된 논리 디스크입니다.
* -v 언어화;
* -y 암호문;
* -c 데이터 암호화 알고리즘을 선택합니다.
* -s 암호화 키 크기;
* -h 해싱 알고리즘/암호화 기능, RNG 사용 (--사용-무작위) 논리 디스크 헤더에 대한 고유한 암호화/복호화 키인 보조 헤더 키(XTS)를 생성하고; 암호화된 디스크 헤더에 저장된 고유 마스터 키, 보조 XTS 키, 이 모든 메타데이터 및 마스터 키와 보조 XTS 키를 사용하여 파티션의 모든 데이터를 암호화/해독하는 암호화 루틴 (섹션 제목 제외) 선택한 하드 디스크 파티션에 ~3MB에 저장됩니다.
* -i "금액" 대신 밀리초 단위로 반복합니다. (암호를 처리할 때의 시간 지연은 OS 로딩과 키의 암호화 강도에 영향을 미칩니다). 암호화 강도의 균형을 유지하려면 "Russian"과 같은 간단한 비밀번호를 사용하면 -(i) 값을 늘려야 하며, "?8dτob/øfh"와 같은 복잡한 비밀번호를 사용하면 값을 줄일 수 있습니다.
* —use-urandom 난수 생성기는 키와 솔트를 생성합니다.

sda7 > sda7_crypt 섹션을 매핑한 후 (암호화된 헤더가 ~3MB의 메타데이터로 생성되므로 작업이 빠릅니다.), sda7_crypt 파일 시스템을 포맷하고 마운트해야 합니다.

B2.3. 비교

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

옵션:
* 열기 - "이름 포함" 섹션과 일치합니다.
* /dev/sda7 -논리 디스크;
* sda7_crypt - 암호화된 파티션을 마운트하거나 OS 부팅 시 초기화하는 데 사용되는 이름 매핑입니다.

B2.4. sda7_crypt 파일 시스템을 ext4로 포맷합니다. OS에 디스크 마운트(참고: Gparted에서는 암호화된 파티션으로 작업할 수 없습니다)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt 

옵션:
* -v -언어화;
* -L - 드라이브 레이블(다른 드라이브 중에서 탐색기에 표시됨)

다음으로 가상 암호화 블록 장치 /dev/sda7_crypt를 시스템에 마운트해야 합니다.

mount /dev/mapper/sda7_crypt /mnt

/mnt 폴더의 파일로 작업하면 sda7의 데이터가 자동으로 암호화/해독됩니다.

탐색기에서 파티션을 매핑하고 마운트하는 것이 더 편리합니다. (노틸러스/caja GUI), 파티션은 이미 디스크 선택 목록에 있으므로 남은 것은 암호를 입력하여 디스크를 열고 암호를 해독하는 것뿐입니다. 일치하는 이름은 "sda7_crypt"가 아닌 /dev/mapper/Luks-xx-xx...와 같은 이름이 자동으로 선택됩니다.

B2.5. 디스크 헤더 백업(~3MB 메타데이터)가장 중요한 지연 없이 수행해야 하는 작업 - "sda7_crypt" 헤더의 백업 복사본. 헤더를 덮어쓰거나 손상시킨 경우 (예를 들어 sda2 파티션에 GRUB7 설치 등), 동일한 키를 다시 생성하는 것이 불가능하고 키가 고유하게 생성되므로 암호화된 데이터는 복구 가능성 없이 완전히 손실됩니다.

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7 

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

옵션:
* luksHeaderBackup —header-backup-file -backup 명령;
* luksHeaderRestore —header-backup-file -restore 명령;
* ~/Backup_DebSHIFR - 백업 파일;
* /dev/sda7 - 암호화된 디스크 헤더 백업 복사본이 저장될 파티션입니다.
이로써 <암호화된 파티션 생성 및 편집>이 완료되었습니다.

B3. GNU/Linux OS 포팅 (sda4) 암호화된 파티션으로 (sda7)

/mnt2 폴더 생성 (참고 - 우리는 여전히 라이브 USB로 작업 중입니다. sda7_crypt는 /mnt에 마운트되어 있습니다), 암호화가 필요한 /mnt2에 GNU/Linux를 마운트합니다.

mkdir /mnt2
mount /dev/sda4 /mnt2

Rsync 소프트웨어를 사용하여 올바른 OS 전송을 수행합니다.

rsync -avlxhHX --progress /mnt2/ /mnt

Rsync 옵션은 E1 단락에 설명되어 있습니다.

또한, 해야 논리 디스크 파티션 조각 모음

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

이를 규칙으로 삼으십시오. HDD가 있는 경우 때때로 암호화된 GNU/Linux에서 e4defrag를 수행하십시오.
이 단계에서 전송 및 동기화 [GNU/Linux > GNU/Linux-encrypted]가 완료됩니다.

4시에. 암호화된 sda7 파티션에 GNU/Linux 설정

OS /dev/sda4 > /dev/sda7을 성공적으로 전송한 후 암호화된 파티션에서 GNU/Linux에 로그인하고 추가 구성을 수행해야 합니다. (PC를 재부팅하지 않고) 암호화된 시스템과 관련됩니다. 즉, 라이브 USB에 있지만 "암호화된 OS의 루트와 관련된" 명령을 실행합니다. "chroot"는 비슷한 상황을 시뮬레이션합니다. 현재 사용 중인 OS에 대한 정보를 빠르게 받기 위해 (sda4와 sda7의 데이터가 동기화되므로 암호화 여부), OS를 비동기화합니다. 루트 디렉터리에 생성 (sda4/sda7_crypt) 빈 마커 파일(예: /mnt/encryptedOS 및 /mnt2/decryptedOS) 현재 사용 중인 OS를 빠르게 확인하세요. (향후 포함):

ls /<Tab-Tab>

B4.1. “암호화된 OS에 로그인하는 시뮬레이션”

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. 암호화된 시스템에 대해 작업이 수행되는지 확인

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. 암호화된 스왑 생성/구성, crypttab/fstab 편집스왑 파일은 OS가 시작될 때마다 포맷되므로 지금 스왑을 생성하여 논리 디스크에 매핑하고 B2.2 단락과 같이 명령을 입력하는 것은 의미가 없습니다. 스왑의 경우 시작할 때마다 자체 임시 암호화 키가 자동으로 생성됩니다. 스왑 키의 수명 주기: 스왑 파티션 마운트 해제/마운트 해제 (+RAM 청소); 또는 OS를 다시 시작하세요. 스왑 설정, 블록 암호화 장치 구성을 담당하는 파일 열기 (fstab 파일과 유사하지만 암호화를 담당합니다).

nano /etc/crypttab 

우리는 편집한다

#"대상 이름" "소스 장치" "키 파일" "옵션"
스왑 /dev/sda8 /dev/urandom 스왑,cipher=twofish-xts-plain64,size=512,hash=sha512

옵션
* swap - /dev/mapper/swap을 암호화할 때 매핑된 이름입니다.
* /dev/sda8 - 스왑을 위해 논리 파티션을 사용합니다.
* /dev/urandom - 스왑을 위한 무작위 암호화 키 생성기(새로운 OS가 부팅될 때마다 새 키가 생성됩니다. /dev/urandom 생성기는 위험한 편집증 상황에서 작업할 때 /dev/random이 사용되기 때문에 /dev/random보다 덜 무작위적입니다. OS를 로드할 때 /dev/random은 몇 ± 분 동안 로드 속도를 늦춥니다. (systemd-analyze 참조).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -파티션은 자신이 스왑임을 알고 "따라서" 포맷됩니다. 암호화 알고리즘.

#Открываем и правим fstab
nano /etc/fstab

우리는 편집한다

# 설치 중 / dev / sda8에 스왑이있었습니다.
/dev/mapper/swap 없음 스왑 sw 0 0

/dev/mapper/swap은 crypttab에 설정된 이름입니다.

대체 암호화 스왑
어떤 이유로 스왑 파일을 위해 전체 파티션을 포기하고 싶지 않다면 대체적이고 더 나은 방법을 사용할 수 있습니다. 즉, OS를 사용하여 암호화된 파티션의 파일에 스왑 파일을 생성하는 것입니다.

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

스왑 파티션 설정이 완료되었습니다.

B4.4. 암호화된 GNU/Linux 설정(crypttab/fstab 파일 편집)위에 작성된 /etc/crypttab 파일은 시스템 부팅 중에 구성되는 암호화된 블록 장치를 설명합니다.

#правим /etc/crypttab 
nano /etc/crypttab 

B7 단락에서와 같이 sda7>sda2.1_crypt 섹션을 일치시킨 경우

# "대상 이름" "소스 장치" "키 파일" "옵션"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

B7 단락에서와 같이 sda7>sda2.2_crypt 섹션을 일치시킨 경우

# "대상 이름" "소스 장치" "키 파일" "옵션"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

B7 또는 B7 단락과 같이 sda2.1>sda2.2_crypt 섹션을 일치했지만 OS 잠금 해제 및 부팅을 위해 비밀번호를 다시 입력하고 싶지 않은 경우 비밀번호 대신 비밀 키/임의 파일을 대체할 수 있습니다.

# "대상 이름" "소스 장치" "키 파일" "옵션"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

기술
* 없음 - OS를 로드할 때 루트 잠금을 해제하려면 비밀 암호를 입력해야 한다고 보고합니다.
* UUID - 파티션 식별자. ID를 찾으려면 터미널에 입력하세요. (지금부터 다른 라이브 USB 터미널이 아닌 chroot 환경의 터미널에서 작업한다는 점을 기억하세요).

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное 

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

이 줄은 sda7_crypt가 마운트된 라이브 USB 터미널에서 blkid를 요청할 때 표시됩니다.
sdaX에서 UUID를 가져옵니다. (sdaX_crypt가 아닙니다!, UUID sdaX_crypt - grub.cfg 구성을 생성할 때 자동으로 남습니다).
* cipher=twofish-xts-plain64,size=512,hash=sha512 -고급 모드에서 암호화를 루크합니다.
* /etc/skey - OS 부팅 잠금을 해제하기 위해 자동으로 삽입되는 비밀 키 파일 (3번째 비밀번호를 입력하는 대신) 최대 8MB의 파일을 지정할 수 있지만 데이터는 1MB 미만으로 읽혀집니다.

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7 

다음과 같이 보일 것입니다:

(직접 해보고 직접 확인하세요).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab에는 다양한 파일 시스템에 대한 설명 정보가 포함되어 있습니다.

#Правим /etc/fstab
nano /etc/fstab

# "파일 시스템" "마운트 지점" "유형" "옵션" "덤프" "통과"
# / 설치 중 / dev / sda7에있었습니다.
/dev/mapper/sda7_crypt / ext4 오류=remount-ro 0 1

옵션
* /dev/mapper/sda7_crypt - /etc/crypttab 파일에 지정된 sda7>sda7_crypt 매핑의 이름입니다.
crypttab/fstab 설정이 완료되었습니다.

B4.5. 구성 파일 편집. 중요한 순간B4.5.1. 구성 편집 /etc/initramfs-tools/conf.d/resume

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

그리고 댓글을 달자 (존재하는 경우) "#" 줄 "이력서". 파일은 완전히 비어 있어야 합니다.

B4.5.2. /etc/initramfs-tools/conf.d/cryptsetup 구성 편집

nano /etc/initramfs-tools/conf.d/cryptsetup

일치해야

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=예
CRYPTSETUP 내보내기

B4.5.3. /etc/default/grub 구성 편집 (이 구성은 암호화된 /boot로 작업할 때 grub.cfg를 생성하는 기능을 담당합니다)

nano /etc/default/grub

"GRUB_ENABLE_CRYPTODISK=y" 줄을 추가하세요.
값 'y', grub-mkconfig 및 grub-install은 암호화된 드라이브를 확인하고 부팅 시 드라이브에 액세스하는 데 필요한 추가 명령을 생성합니다. (insmods ).
유사점이 있어야 합니다

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || 에코 데비안`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=공급업체"
GRUB_CMDLINE_LINUX="조용한 스플래시 noautomount"
GRUB_ENABLE_CRYPTODISK=y

B4.5.4. /etc/cryptsetup-initramfs/conf-hook 구성 편집

nano /etc/cryptsetup-initramfs/conf-hook

라인을 확인 <#>을(를) 주석 처리했습니다.
앞으로는 (그리고 지금도 이 매개변수는 아무런 의미가 없지만 때로는 initrd.img 이미지 업데이트를 방해합니다.)

B4.5.5. /etc/cryptsetup-initramfs/conf-hook 구성 편집

nano /etc/cryptsetup-initramfs/conf-hook

추가하다

KEYFILE_PATTERN=”/etc/skey”
UMASK=0077

그러면 비밀 키 "skey"가 initrd.img에 압축됩니다. 이 키는 OS 부팅 시 루트 잠금을 해제하는 데 필요합니다. (비밀번호를 다시 입력하고 싶지 않다면 "skey" 키가 자동차 키로 대체됩니다.)

B4.6. /boot/initrd.img [버전] 업데이트비밀 키를 initrd.img에 압축하고 cryptsetup 수정 사항을 적용하려면 이미지를 업데이트하세요.

update-initramfs -u -k all

initrd.img를 업데이트할 때 (그들은 "가능하지만 확실하지 않다"고 말함) cryptsetup과 관련된 경고가 표시되거나 예를 들어 Nvidia 모듈 손실에 대한 알림이 표시됩니다. 이는 정상입니다. 파일을 업데이트한 후, 실제로 업데이트되었는지 확인하고, 시간을 확인하세요. (chroot 환경과 관련됨./boot/initrd.img) 경고! [update-initramfs -u -k all] 전에 cryptsetup이 열려 있는지 확인하십시오. /dev/sda7 sda7_crypt - 이것은 /etc/crypttab에 나타나는 이름입니다. 그렇지 않으면 재부팅 후 busybox 오류가 발생합니다)
이 단계에서 구성 파일 설정이 완료됩니다.

[C] GRUB2/Protection 설치 및 구성

C1. 필요한 경우 부트로더 전용 파티션을 포맷하세요(파티션에는 최소 20MB가 필요함).

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. /dev/sda6을 /mnt에 마운트따라서 chroot에서 작업하면 루트에 /mnt2 디렉터리가 없고 /mnt 폴더는 비어 있게 됩니다.
GRUB2 파티션 마운트

mount /dev/sda6 /mnt

이전 버전의 GRUB2가 설치되어 있는 경우 /mnt/boot/grub/i-386-pc 디렉토리에 (예를 들어 "i386-pc"가 아닌 다른 플랫폼도 가능합니다) 암호화 모듈 없음 (즉, 폴더에는 .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; 서명_test.mod를 포함한 모듈이 포함되어야 합니다.) 이 경우 GRUB2를 흔들어야 합니다.

apt-get update
apt-get install grub2 

중요한! 저장소에서 GRUB2 패키지를 업데이트할 때 부트로더를 설치할 위치를 "선택"하라는 질문이 나타나면 설치를 거부해야 합니다. (이유 - GRUB2 설치 시도 - "MBR" 또는 라이브 USB에). 그렇지 않으면 VeraCrypt 헤더/로더가 손상됩니다. GRUB2 패키지를 업데이트하고 설치를 취소한 후에는 MBR이 아닌 논리 디스크에 부트 로더를 수동으로 설치해야 합니다. 저장소에 오래된 GRUB2 버전이 있는 경우 다음을 시도해 보세요. 업데이트 공식 홈페이지에서 나온 내용인데 확인은 안해봤습니다 (최신 GRUB 2.02 ~BetaX 부트 로더와 함께 작동)

C3. 확장 파티션에 GRUB2 설치 [sda6]마운트된 파티션이 있어야 합니다. [항목 C.2]

grub-install --force --root-directory=/mnt /dev/sda6

옵션
* —force - 거의 항상 존재하는 모든 경고를 우회하고 설치를 차단하는 부트로더 설치 (필수 플래그).
* --root-directory - 디렉토리 설치 sda6의 루트로.
* /dev/sda6 - sdaХ 파티션 (/mnt/dev/sda6 사이의 <space>를 놓치지 마세요).

C4. 구성 파일 생성 [grub.cfg]"update-grub2" 명령을 잊어버리고 전체 구성 파일 생성 명령을 사용하십시오.

grub-mkconfig -o /mnt/boot/grub/grub.cfg

grub.cfg 파일의 생성/업데이트를 완료한 후 출력 터미널에는 디스크에서 발견된 OS가 포함된 라인이 포함되어야 합니다. (Windows 10이 설치된 멀티부팅 플래시 드라이브와 여러 라이브 배포판이 있는 경우 "grub-mkconfig"는 아마도 라이브 USB에서 OS를 찾아 선택할 것입니다. 이는 정상입니다.) 터미널이 "비어" 있고 "grub.cfg" 파일이 생성되지 않은 경우 시스템에 GRUB 버그가 있는 경우와 동일합니다. (대부분 저장소 테스트 브랜치의 로더일 가능성이 높습니다) 신뢰할 수 있는 소스에서 GRUB2를 다시 설치하세요.
"간단한 구성" 설치 및 GRUB2 설정이 완료되었습니다.

C5. 암호화된 GNU/Linux OS 증명 테스트우리는 암호화 임무를 올바르게 완료합니다. 암호화된 GNU/Linux를 조심스럽게 떠나십시오. (chroot 환경 종료).

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

PC를 재부팅한 후 VeraCrypt 부트로더가 로드되어야 합니다.


*활성 파티션의 비밀번호를 입력하면 Windows 로딩이 시작됩니다.
*암호화된 GNU/Linux를 선택한 경우 "Esc" 키를 누르면 제어권이 GRUB2로 이전됩니다. /boot/initrd.img를 잠금 해제하려면 비밀번호(sda7_crypt)가 필요합니다(grub2가 uuid를 "찾을 수 없음"으로 기록하는 경우 - 이는 grub2 부트로더에 문제가 있는 경우 다시 설치해야 합니다(예: 테스트 브랜치/안정 버전 등에서).


*시스템 구성 방법에 따라(B4.4/4.5 단락 참조) /boot/initrd.img 이미지 잠금을 해제하기 위해 올바른 비밀번호를 입력한 후 OS 커널/루트를 로드하려면 비밀번호가 필요합니다. 키는 자동으로 "skey"로 대체되므로 암호를 다시 입력할 필요가 없습니다.

(화면 "비밀 키 자동 대체").

*그러면 사용자 계정 인증을 통해 GNU/Linux를 로드하는 익숙한 프로세스가 이어집니다.


*사용자 인증 및 OS 로그인 후 /boot/initrd.img를 다시 업데이트해야 합니다. (B4.6 참조)

update-initramfs -u -k all

GRUB2 메뉴에 추가 줄이 있는 경우 (라이브 USB를 사용한 OS-m 픽업에서) 그들을 제거

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

GNU/Linux 시스템 암호화에 대한 간략한 요약:

• GNU/Linuxinux는 /boot/kernel 및 initrd를 포함하여 완전히 암호화됩니다.
• 비밀 키는 initrd.img에 패키지되어 있습니다.
• 현재 인증 방식 (initrd 잠금 해제를 위한 비밀번호 입력, OS 부팅을 위한 비밀번호/키, Linux 계정 인증을 위한 비밀번호 입력).

블록 파티션의 "간단한 GRUB2 구성" 시스템 암호화가 완료되었습니다.

C6. 고급 GRUB2 구성. 디지털 서명 + 인증 보호를 통한 부트로더 보호GNU/Linux는 완전히 암호화되지만 부트로더는 암호화할 수 없습니다. 이 조건은 BIOS에 의해 결정됩니다. 이러한 이유로 GRUB2의 체인 암호화 부팅은 불가능하며 단순 체인 부팅은 가능/사용 가능하지만 보안 관점에서 볼 때 필요하지 않습니다. PF].
"취약한" GRUB2의 경우 개발자는 "서명/인증" 부트로더 보호 알고리즘을 구현했습니다.

• 부트로더가 "자체 디지털 서명"으로 보호되는 경우 파일을 외부에서 수정하거나 이 부트로더에 추가 모듈을 로드하려고 시도하면 부팅 프로세스가 차단됩니다.
• 인증으로 부트로더를 보호할 때 배포판 로드를 선택하거나 CLI에서 추가 명령을 입력하려면 superuser-GRUB2의 로그인 및 비밀번호를 입력해야 합니다.

C6.1. 부트로더 인증 보호암호화된 OS의 터미널에서 작업 중인지 확인하세요.

ls /<Tab-Tab> #обнаружить файл-маркер

GRUB2에서 인증을 위한 수퍼유저 비밀번호 생성

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. 

비밀번호 해시를 가져옵니다. 이 같은

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

GRUB 파티션 마운트

mount /dev/sda6 /mnt 

구성 편집

nano -$ /mnt/boot/grub/grub.cfg 

“grub.cfg”(“-unrestricted” “-user”,
맨 마지막에 추가 (### END /etc/grub.d/41_custom ### 줄 앞)
"수퍼유저 설정="루트"
비밀번호_pbkdf2 루트 해시."

다음과 같아야합니다

# 이 파일은 사용자 정의 메뉴 항목을 추가하는 쉬운 방법을 제공합니다. 간단히 다음을 입력하세요.
이 댓글 뒤에 추가하고 싶은 메뉴 항목 #개. 변하지 않도록 주의하세요
# 위의 'exec tail'줄.
### END /etc/grub.d/40_custom ###

### 시작 /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; 그 다음에
소스 ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; 그 다음에
소스 $prefix/custom.cfg;
fi
슈퍼유저를 "루트"로 설정
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

"grub-mkconfig -o /mnt/boot/grub/grub.cfg" 명령을 자주 사용하고 매번 grub.cfg를 변경하고 싶지 않은 경우 위의 줄을 입력하세요. (로그인 비밀번호) 맨 아래 GRUB 사용자 스크립트에서

nano /etc/grub.d/41_custom 

고양이 <<EOF
슈퍼유저를 "루트"로 설정
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

"grub-mkconfig -o /mnt/boot/grub/grub.cfg" 구성을 생성하면 인증을 담당하는 줄이 자동으로 grub.cfg에 추가됩니다.
이 단계에서는 GRUB2 인증 설정이 완료됩니다.

C6.2. 디지털 서명을 통한 부트로더 보호개인 pgp 암호화 키가 이미 있다고 가정합니다. (또는 그러한 키를 생성하십시오). 시스템에는 암호화 소프트웨어가 설치되어 있어야 합니다: gnuPG; 클레오파트라/GPA; 해마. 암호화 소프트웨어는 이러한 모든 문제에서 귀하의 삶을 훨씬 쉽게 만들어줄 것입니다. Seahorse - 패키지 3.14.0의 안정 버전 (예를 들어 V3.20과 같은 상위 버전에는 결함이 있으며 심각한 버그가 있습니다).

PGP 키는 su 환경에서만 생성/실행/추가되어야 합니다!

개인 암호화 키 생성

gpg - -gen-key

키 내보내기

gpg --export -o ~/perskey

아직 마운트되지 않은 경우 OS에 논리 디스크를 마운트합니다.

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

GRUB2 파티션 정리

rm -rf /mnt/

sda2에 GRUB6를 설치하고 개인 키를 기본 GRUB 이미지 "core.img"에 넣습니다.

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

옵션
* --force - 항상 존재하는 모든 경고를 우회하여 부트로더를 설치합니다. (필수 플래그).
* —modules="gcry_sha256 gcry_sha512 Signature_test gcry_dsa gcry_rsa" - PC가 시작될 때 필요한 모듈을 미리 로드하도록 GRUB2에 지시합니다.
* -k ~/perskey - "PGP 키" 경로 (키를 이미지에 패킹한 후 삭제할 수 있습니다.)
* --root-directory - 부팅 디렉터리를 sda6의 루트로 설정
/dev/sda6 - sdaX 파티션.

grub.cfg 생성/업데이트

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

"grub.cfg" 파일 끝에 "trust /boot/grub/perskey" 줄을 추가하세요. (pgp 키를 강제로 사용합니다.) 서명 모듈 “signature_test.mod”를 포함한 일련의 모듈과 함께 GRUB2를 설치했기 때문에 “set check_signatures=enforce”와 같은 명령을 구성에 추가할 필요가 없습니다.

다음과 같이 보일 것입니다 (grub.cfg 파일의 끝 줄)

### 시작 /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; 그 다음에
소스 ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; 그 다음에
소스 $prefix/custom.cfg;
fi
신뢰 /boot/grub/perkey
슈퍼유저를 "루트"로 설정
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

"/boot/grub/perskey" 경로는 특정 디스크 파티션(예: hd0,6)을 가리킬 필요가 없습니다. 부트로더 자체의 경우 "root"는 GRUB2가 설치된 파티션의 기본 경로입니다. (set rot=.. 참조).

GRUB2 서명 (모든 /GRUB 디렉토리의 모든 파일) 키 "perkey"를 사용하세요.
서명 방법에 대한 간단한 솔루션 (노틸러스/caja 탐색기의 경우): 저장소에서 Explorer용 "seahorse" 확장을 설치합니다. 키를 su 환경에 추가해야 합니다.
sudo "/mnt/boot" – RMB – 기호를 사용하여 탐색기를 엽니다. 화면에는 이렇게 나오네요

키 자체는 "/mnt/boot/grub/perskey"입니다. (grub 디렉토리에 복사) 또한 본인의 서명으로 서명해야 합니다. [*.sig] 파일 서명이 디렉터리/하위 디렉터리에 나타나는지 확인하십시오.
위에서 설명한 방법을 사용하여 "/boot"에 서명합니다. (우리 커널, initrd). 시간을 투자할 가치가 있다면 이 방법을 사용하면 "많은 파일"에 서명하기 위해 bash 스크립트를 작성할 필요가 없습니다.

모든 부트로더 서명을 제거하려면 (뭔가 잘못됐을 경우)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

시스템 업데이트 후 부트로더에 서명하지 않기 위해 GRUB2와 관련된 모든 업데이트 패키지를 동결합니다.

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

이 단계에서 <디지털 서명으로 부트로더 보호> GRUB2의 고급 구성이 완료됩니다.

C6.3. 디지털 서명 및 인증으로 보호되는 GRUB2 부트로더의 증명 테스트GRUB2. GNU/Linux 배포판을 선택하거나 CLI에 들어갈 때 (명령줄) 수퍼유저 인증이 필요합니다. 올바른 사용자 이름/비밀번호를 입력한 후에는 initrd 비밀번호가 필요합니다.

GRUB2 수퍼유저의 성공적인 인증 스크린샷.

GRUB2 파일을 조작하거나 grub.cfg를 변경하거나 파일/서명을 삭제하거나 악성 module.mod를 로드하는 경우 해당 경고가 표시됩니다. GRUB2는 로딩을 일시중지합니다.

"외부에서" GRUB2를 방해하려는 시도인 스크린샷.

"침입 없이" "정상" 부팅하는 동안 시스템 종료 코드 상태는 "0"입니다. 따라서 보호가 작동하는지 여부는 알 수 없습니다. (즉, 일반 로딩 중 "부트로더 서명 보호 유무에 관계없이" 상태는 동일하게 "0"입니다. 이는 불량입니다.)

디지털 서명 보호를 확인하는 방법은 무엇입니까?

불편한 확인 방법: GRUB2에서 사용하는 모듈을 위조/제거합니다. 예를 들어 luks.mod.sig 서명을 제거하면 오류가 발생합니다.

올바른 방법: 부트로더 CLI로 이동하여 다음 명령을 입력하세요.

trust_list

이에 대한 응답으로 "perkey" 지문을 수신해야 합니다. 상태가 "0"이면 서명 보호가 작동하지 않는 것이므로 C6.2 단락을 다시 확인하세요.
이 단계에서 고급 구성 "디지털 서명 및 인증으로 GRUB2 보호"가 완료됩니다.

C7 해싱을 사용하여 GRUB2 부트로더를 보호하는 대체 방법위에서 설명한 "CPU 부트 로더 보호/인증" 방법은 고전적인 방법입니다. GRUB2의 불완전성으로 인해 편집증적인 상황에서는 실제 공격에 취약합니다. 이에 대해서는 아래 [F] 단락에서 설명하겠습니다. 또한, OS/커널을 업데이트한 후에는 부트로더를 다시 서명해야 합니다.

해싱을 사용하여 GRUB2 부트로더 보호

클래식에 비해 장점:

• 더 높은 수준의 신뢰성 (해싱/검증은 암호화된 로컬 리소스에서만 발생합니다. GRUB2에 할당된 전체 파티션은 모든 변경 사항에 대해 제어되고 그 밖의 모든 항목은 암호화됩니다. CPU 로더 보호/인증이 포함된 클래식 방식에서는 파일만 제어되지만 무료는 아닙니다. 그 안에 '뭔가' 뭔가 불길한 것'이 추가될 수 있는 공간).
• 암호화된 로깅 (사람이 읽을 수 있는 개인 암호화 로그가 구성표에 추가됩니다).
• 속도 (GRUB2에 할당된 전체 파티션의 보호/검증은 거의 즉시 발생합니다).
• 모든 암호화 프로세스의 자동화.

클래식에 비해 단점이 있습니다.

• 서명 위조 (이론적으로 주어진 해시 함수 충돌을 찾는 것이 가능합니다).
• 난이도 증가 (클래식에 비해 GNU/Linux OS에 대한 기술이 조금 더 필요합니다).

GRUB2/파티션 해싱 아이디어의 작동 방식

GRUB2 파티션은 "서명"되어 있으며, OS가 부팅되면 부트로더 파티션의 불변성을 확인한 후 보안(암호화) 환경에 로그인합니다. 부트로더 또는 해당 파티션이 손상된 경우 침입 로그와 함께 다음이 실행됩니다.

물건.

유사한 검사가 하루에 XNUMX번 발생하며 시스템 리소스를 로드하지 않습니다.
"-$ check_GRUB" 명령을 사용하면 로깅 없이 언제든지 즉시 검사가 수행되지만 CLI에 정보가 출력됩니다.
"-$ sudo Signature_GRUB" 명령을 사용하면 GRUB2 부트 로더/파티션이 즉시 다시 서명되고 로깅이 업데이트됩니다. (OS/부팅 업데이트 후 필요) 수명은 계속됩니다.

부트로더 및 해당 섹션에 대한 해싱 방법 구현

0) 먼저 GRUB 부트로더/파티션을 /media/username에 마운트하여 서명해 보겠습니다.

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) 암호화된 OS ~/podpis의 루트에 확장자 없이 스크립트를 생성하고 필요한 744 보안 권한과 완벽한 보호를 적용합니다.

내용 채우기

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

다음에서 스크립트를 실행하세요. su, GRUB 파티션과 해당 부트로더의 해싱을 확인하고 로그를 저장합니다.

예를 들어 "악성 파일"[virus.mod]을 생성하거나 GRUB2 파티션에 복사하고 임시 검사/테스트를 실행해 보겠습니다.

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

CLI는 -citadel- 침입을 확인해야 합니다.#CLI에서 로그 정리

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

#보시다시피 "파일 이동됨: 1개 및 감사 실패" 메시지가 나타나며 이는 확인에 실패했음을 의미합니다.
테스트 중인 파티션의 특성상 "새 파일 발견" > "이동된 파일" 대신

2) 여기에 gif > ~/warning.gif를 넣고 권한을 744로 설정하세요.

3) 부팅 시 GRUB 파티션을 자동 마운트하도록 fstab 구성

-$ sudo nano /etc/fstab

LABEL=GRUB /media/username/GRUB ext4 기본값 0 0

4) 로그 회전

-$ sudo nano /etc/logrotate.d/podpis 

/var/log/podpis.txt {
매일
회전 50
5M 크기
날짜문자
압축
지연 압축
olddir /var/log/old
}

/var/log/vtorjenie.txt {
월
회전 5
5M 크기
날짜문자
olddir /var/log/old
}

5) 크론에 작업 추가

-$ sudo crontab -e

재부팅 '/신청'
0 */6 * * * '/podpis

6) 영구 별칭 만들기

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

OS 업데이트 후 -$ apt-get upgrade GRUB 파티션에 다시 서명
-$ подпись_GRUB
이 시점에서 GRUB 파티션의 해싱 보호가 완료되었습니다.

[D] 삭제 - 암호화되지 않은 데이터 파기

사우스캐롤라이나 대변인 트레이 가우디(Trey Gowdy)에 따르면 “신도 읽을 수 없을 정도로” 개인 파일을 완전히 삭제하세요.

늘 그렇듯이 다양한 “신화와 전설", 하드 드라이브에서 삭제된 데이터를 복원하는 방법에 대해 알아보세요. Cyberwitchcraft를 믿거나 Dr 웹 커뮤니티의 회원이고 삭제/덮어쓴 후 데이터 복구를 시도한 적이 없는 경우 (예: R-studio를 사용한 복구), 제안된 방법이 귀하에게 적합하지 않을 것 같으면 가장 가까운 방법을 사용하십시오.

GNU/Linux를 암호화된 파티션으로 성공적으로 전송한 후에는 데이터 복구 가능성 없이 이전 복사본을 삭제해야 합니다. 범용 청소 방법: Windows/Linux용 소프트웨어 무료 GUI 소프트웨어 BleachBit.
빨리 섹션 형식 지정, 파기해야 할 데이터 (Gparted를 통해) BleachBit을 실행하고 "여유 공간 정리"를 선택하세요 - 파티션을 선택하세요 (이전 GNU/Linux 사본이 있는 sdaX), 스트리핑 프로세스가 시작됩니다. BleachBit - 한 번에 디스크를 지웁니다. 이것이 "우리에게 필요한 것"입니다. 하지만! 이는 이론적으로 디스크를 포맷하고 BB v2.0 소프트웨어에서 정리한 경우에만 작동합니다.

주의! BB는 디스크를 지우고 메타데이터를 남깁니다. 데이터가 제거되면 파일 이름은 보존됩니다. (Ccleaner - 메타데이터를 남기지 않습니다).

그리고 데이터 복구 가능성에 대한 신화는 전적으로 신화가 아닙니다.Bleachbit V2.0-2 이전의 불안정한 OS 데비안 패키지 (및 기타 유사한 소프트웨어: sfill, Wipe-Nautilus - 이 더러운 비즈니스에서도 발견되었습니다) 실제로 심각한 버그가 있었습니다: "여유 공간 정리" 기능 그것은 잘못 작동합니다 HDD/플래시 드라이브 (NTFS/ext4). 이러한 종류의 소프트웨어는 여유 공간을 지울 때 많은 사용자가 생각하는 것처럼 전체 디스크를 덮어쓰지 않습니다. 그리고 일부 (많은) 삭제된 데이터 OS/소프트웨어는 이 데이터를 삭제되지 않은/사용자 데이터로 간주하고 "OSP"를 정리할 때 이러한 파일을 건너뜁니다. 문제는 그렇게 오랜 시간이 흐른 뒤 디스크를 청소한다는 것이다. "삭제된 파일"은 복구 가능 디스크를 3번 이상 닦은 후에도 마찬가지입니다.
Bleachbit의 GNU/Linux에서 2.0-2 파일 및 디렉터리를 영구적으로 삭제하는 기능은 안정적으로 작동하지만 여유 공간을 지우지는 않습니다. 비교를 위해 Windows에서 CCleaner의 "NTFS용 OSP" 기능이 제대로 작동하며 신은 실제로 삭제된 데이터를 읽을 수 없습니다.

그래서 철저하게 제거하려면 "타협하다" 암호화되지 않은 오래된 데이터, Bleachbit은 이 데이터에 직접 액세스해야 합니다., 그런 다음 "파일/디렉터리 영구 삭제" 기능을 사용하십시오.
Windows에서 "표준 OS 도구를 사용하여 삭제된 파일"을 제거하려면 "OSP" 기능이 있는 CCleaner/BB를 사용하십시오. GNU/Linux에서는 이 문제에 대해 (삭제된 파일 삭제) 너 스스로 연습을 해야 해. (데이터 삭제 + 복원을 위한 독립적인 시도이며 소프트웨어 버전에 의존해서는 안 됩니다(북마크가 아닌 경우 버그임)), 이 경우에만 이 문제의 메커니즘을 이해하고 삭제된 데이터를 완전히 제거할 수 있습니다.

Bleachbit v3.0을 테스트하지 않았으므로 문제가 이미 해결되었을 수 있습니다.
Bleachbit v2.0은 정직하게 작동합니다.

이 단계에서 디스크 삭제가 완료됩니다.

[E] 암호화된 OS의 유니버설 백업

각 사용자마다 고유한 데이터 백업 방법이 있지만 암호화된 시스템 OS 데이터에는 작업에 대한 약간 다른 접근 방식이 필요합니다. Clonezilla 및 유사한 소프트웨어와 같은 통합 소프트웨어는 암호화된 데이터를 직접 사용할 수 없습니다.

암호화된 블록 장치 백업 문제에 대한 설명:

1. 보편성 - Windows/Linux용과 동일한 백업 알고리즘/소프트웨어입니다.
2. 추가 소프트웨어 다운로드 없이 라이브 USB GNU/Linux를 사용하여 콘솔에서 작업할 수 있는 기능 (그러나 여전히 GUI를 권장합니다);
3. 백업 복사본의 보안 - 저장된 "이미지"는 암호화/비밀번호로 보호되어야 합니다.
4. 암호화된 데이터의 크기는 복사되는 실제 데이터의 크기와 일치해야 합니다.
5. 백업 복사본에서 필요한 파일을 편리하게 추출 (전체 섹션을 먼저 해독할 필요는 없습니다).

예를 들어 "dd" 유틸리티를 통한 백업/복원

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

이는 작업의 거의 모든 항목에 해당하지만 항목 4에 따르면 여유 공간을 포함하여 전체 디스크 파티션을 복사하므로 흥미롭지 않기 때문에 비판에 맞지 않습니다.

예를 들어 아카이버 [tar" | gpg]는 편리하지만 Windows 백업의 경우 다른 솔루션을 찾아야 합니다. 흥미롭지 않습니다.

E1. 범용 Windows/Linux 백업. rsync(Grsync)+VeraCrypt 볼륨 연결백업 복사본 생성 알고리즘:

1. 암호화된 컨테이너 생성 (볼륨/파일) OS용 VeraCrypt;
2. Rsync 소프트웨어를 사용하여 OS를 VeraCrypt 암호화 컨테이너로 전송/동기화합니다.
3. 필요한 경우 VeraCrypt 볼륨을 www.

암호화된 VeraCrypt 컨테이너 생성에는 다음과 같은 고유한 특성이 있습니다.
동적 볼륨 생성 (DT 생성은 Windows에서만 가능하며, GNU/Linux에서도 사용 가능);
정규 볼륨을 만들려면 "편집증적인 캐릭터"가 필요합니다. (개발자에 따르면) – 컨테이너 형식화.

동적 볼륨은 Windows에서 거의 즉시 생성되지만 GNU/Linux > VeraCrypt DT에서 데이터를 복사하는 경우 백업 작업의 전반적인 성능이 크게 저하됩니다.

일반 70GB Twofish 볼륨이 생성됩니다. (평균적인 PC 전력을 가정해 보겠습니다.) HDD로 ~ XNUMX분 안에 (한 번에 이전 컨테이너 데이터를 덮어쓰는 것은 보안 요구 사항 때문입니다.) VeraCrypt Windows/Linux에서는 볼륨 생성 시 빠르게 포맷하는 기능이 제거되었으므로 "원패스 다시 쓰기" 또는 저성능 동적 볼륨 생성을 통해서만 컨테이너 생성이 가능합니다.

일반 VeraCrypt 볼륨 생성 (동적/ntfs 아님), 문제가 없어야합니다.

VeraCrypt GUI> GNU/Linux 라이브 USB에서 컨테이너 구성/생성/열기 (볼륨은 /media/veracrypt2에 자동 마운트되고, Windows OS 볼륨은 /media/veracrypt1에 마운트됩니다.) GUI rsync를 사용하여 Windows OS의 암호화된 백업 생성 (grsync)상자를 선택하여.

프로세스가 완료될 때까지 기다리십시오. 백업이 완료되면 하나의 암호화된 파일이 생성됩니다.

마찬가지로 rsync GUI에서 "Windows 호환성" 확인란을 선택 취소하여 GNU/Linux OS의 백업 복사본을 만듭니다.

주의! 파일 시스템에 "GNU/Linux 백업"을 위한 Veracrypt 컨테이너 생성 ext4. NTFS 컨테이너에 백업을 만드는 경우 해당 복사본을 복원하면 모든 데이터에 대한 모든 권한/그룹이 손실됩니다.

모든 작업은 터미널에서 수행할 수 있습니다. rsync의 기본 옵션:
* -g -그룹 저장;
* -P —progress — 파일 작업에 소요된 시간의 상태입니다.
* -H - 하드링크를 있는 그대로 복사합니다.
* -a -아카이브 모드 (여러 rlptgoD 플래그);
* -v -언어화.

cryptsetup 소프트웨어의 콘솔을 통해 "Windows VeraCrypt 볼륨"을 마운트하려면 별칭(su)을 생성할 수 있습니다.

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

이제 "veramount Pictures" 명령을 실행하면 암호를 입력하라는 메시지가 표시되고 암호화된 Windows 시스템 볼륨이 OS에 마운트됩니다.

cryptsetup 명령으로 VeraCrypt 시스템 볼륨 매핑/마운트

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

cryptsetup 명령으로 VeraCrypt 파티션/컨테이너 매핑/마운트

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

별칭 대신 Windows OS가 포함된 시스템 볼륨과 논리적으로 암호화된 ntfs 디스크를 GNU/Linux 시작에 추가합니다(시작 스크립트).

스크립트를 생성하고 ~/VeraOpen.sh에 저장합니다.

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

우리는 "올바른" 권리를 배포합니다:

sudo chmod 100 /VeraOpen.sh

/etc/rc.local 및 ~/etc/init.d/rc.local에 두 개의 동일한 파일(같은 이름!)을 만듭니다.
파일 채우기

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

우리는 "올바른" 권리를 배포합니다:

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local 

이제 GNU/Linux를 로드할 때 암호화된 ntfs 디스크를 마운트하기 위해 비밀번호를 입력할 필요가 없으며 디스크가 자동으로 마운트됩니다.

위의 E1 단락에서 단계별로 설명된 내용에 대한 간략한 참고 사항(그러나 지금은 OS GNU/Linux의 경우)
1) Veracrypt [Cryptbox]에서 fs ext4 > 4gb(파일용) Linux에 볼륨을 생성합니다.
2) 라이브 USB로 재부팅하십시오.
3) ~$ cryptsetup open /dev/sda7 Lunux #암호화된 파티션 매핑.
4) ~$ mount /dev/mapper/Linux /mnt #암호화된 파티션을 /mnt에 마운트합니다.
5) ~$ mkdir mnt2 #향후 백업을 위한 디렉토리 생성.
6) ~$ cryptsetup open —veracrypt —type tcrypt ~/CryptoBox CryptoBox && mount /dev/mapper/CryptoBox /mnt2 #"CryptoBox"라는 Veracrypt 볼륨을 매핑하고 CryptoBox를 /mnt2에 마운트합니다.
7) ~$ rsync -avlxhHX —progress /mnt /mnt2/ # 암호화된 Veracrypt 볼륨에 대한 암호화된 파티션의 백업 작업.

(추신/ 주의! 암호화된 GNU/Linux를 한 아키텍처/머신에서 다른 아키텍처/머신으로 전송하는 경우(예: Intel > AMD)(즉, 하나의 암호화된 파티션에서 다른 암호화된 Intel > AMD 파티션으로 백업 배포) 잊지 마요 암호화된 OS를 전송한 후 비밀번호 대신 비밀 대체 키를 수정하세요. 이전 키 ~/etc/skey - 더 이상 다른 암호화된 파티션에 맞지 않으며 chroot 아래에서 새 키 "cryptsetup luksAddKey"를 생성하는 것은 권장되지 않습니다. 대신 ~/etc/crypttab에서 지정하면 결함이 발생할 수 있습니다. “/etc/skey” 일시적으로 “none” ", 재부팅하고 OS에 로그인한 후 비밀 와일드카드 키를 다시 생성하십시오.

IT 베테랑으로서 암호화된 Windows/Linux OS 파티션의 헤더를 별도로 백업해야 합니다. 그렇지 않으면 암호화가 반대됩니다.
이 단계에서 암호화된 OS의 백업이 완료됩니다.

[F] GRUB2 부트로더에 대한 공격

세부디지털 서명 및/또는 인증으로 부트로더를 보호한 경우 (C6 참조), 그러면 물리적 접근으로부터 보호되지 않습니다. 암호화된 데이터에는 여전히 접근할 수 없지만 보호 기능은 우회됩니다. (디지털 서명 보호 재설정) GRUB2를 사용하면 사이버 악당이 의심을 일으키지 않고 자신의 코드를 부트로더에 주입할 수 있습니다. (사용자가 부트로더 상태를 수동으로 모니터링하거나 grub.cfg에 대한 강력한 임의 스크립트 코드를 작성하지 않는 한)

공격 알고리즘. 침입자

* 라이브 USB에서 PC를 부팅합니다. 어떤 변화라도 (위반자) 파일은 부트로더 침입에 대해 PC의 실제 소유자에게 알립니다. 그러나 grub.cfg를 유지하는 GRUB2의 간단한 재설치 (및 후속 편집 기능) 공격자가 모든 파일을 편집할 수 있도록 허용합니다. (이런 경우 GRUB2 로딩시 실제 사용자에게 알리지 않습니다. 상태는 <0>과 같습니다.)
* 암호화되지 않은 파티션을 마운트하고 "/mnt/boot/grub/grub.cfg"를 저장합니다.
* 부트로더를 다시 설치합니다. (core.img 이미지에서 "perkey" 제거)

grub-install --force --root-directory=/mnt /dev/sda6

* "grub.cfg" > "/mnt/boot/grub/grub.cfg"를 반환하고, 필요한 경우 편집합니다. 예를 들어 "grub.cfg"의 로더 모듈이 있는 폴더에 "keylogger.mod" 모듈을 추가합니다. > "insmod 키로거" 줄. 또는 예를 들어 적이 교활하다면 GRUB2를 다시 설치한 후 (모든 서명은 그대로 유지됩니다) "옵션(-c)이 포함된 grub-mkimage"를 사용하여 기본 GRUB2 이미지를 빌드합니다. "-c" 옵션을 사용하면 기본 "grub.cfg"를 로드하기 전에 구성을 로드할 수 있습니다. 구성은 단 한 줄로 구성될 수 있습니다. 예를 들어 ~400개 파일과 혼합된 "modern.cfg"로의 리디렉션입니다. (모듈+서명) "/boot/grub/i386-pc" 폴더에 있습니다. 이 경우 사용자가 파일에 'hashsum'을 적용하고 일시적으로 화면에 표시하더라도 공격자는 '/boot/grub/grub.cfg'에 영향을 주지 않고 임의의 코드를 삽입하고 모듈을 로드할 수 있습니다.
공격자는 GRUB2 슈퍼유저 로그인/비밀번호를 해킹할 필요가 없으며 해당 행만 복사하면 됩니다. (인증을 담당합니다) "/boot/grub/grub.cfg"를 "modern.cfg"로

슈퍼유저를 "루트"로 설정
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

그리고 PC 소유자는 여전히 GRUB2 수퍼유저로 인증됩니다.

체인 로딩 (부트로더가 다른 부트로더를 로드합니다), 위에 쓴 것처럼 말이 안 돼요 (다른 목적으로 사용됩니다). BIOS로 인해 암호화된 부트로더를 로드할 수 없습니다. (체인 부팅은 GRUB2 > 암호화된 GRUB2를 다시 시작합니다. 오류!). 그러나 여전히 체인 로딩이라는 아이디어를 사용한다면 암호화된 것이 로딩되고 있음을 확신할 수 있습니다. (현대화되지 않음) 암호화된 파티션의 "grub.cfg". 그리고 이는 암호화된 "grub.cfg"에 표시된 모든 내용이 보안에 대한 잘못된 인식이기도 합니다. (모듈 로딩)은 암호화되지 않은 GRUB2에서 로드된 모듈을 추가합니다.

이를 확인하려면 다른 파티션 sdaY를 할당/암호화하고 GRUB2를 여기에 복사하세요. (암호화된 파티션에서는 grub 설치 작업이 불가능합니다) 그리고 "grub.cfg"에서 (암호화되지 않은 구성) 이렇게 줄을 바꾸세요

메뉴 항목 'GRUBx2' --class parrot --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
로드_비디오
인스모드 지지오
if [ x$grub_platform = xxen ]; 그런 다음 insmod xzio; insmod lzopio; fi
insmod 부품_msdos
insmod 암호화디스크
인스모드 럭스
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
인스모드 ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
일반 /boot/grub/grub.cfg
}

라인들
* insmod - 암호화된 디스크 작업에 필요한 모듈을 로드합니다.
* GRUBx2 - GRUB2 부팅 메뉴에 표시되는 행 이름;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -참조. fdisk -l (sda9);
* 루트 설정 - 루트 설치;
* 일반 /boot/grub/grub.cfg - 암호화된 파티션의 실행 가능한 구성 파일입니다.

로드되는 것이 암호화된 "grub.cfg"라는 확신은 GRUB 메뉴에서 "GRUBx2" 라인을 선택할 때 비밀번호 입력/"sdaY" 잠금 해제에 대한 긍정적인 응답입니다.

CLI에서 작업할 때 혼동하지 않도록 (그리고 “set root” 환경 변수가 작동하는지 확인하세요) 예를 들어 암호화된 섹션 "/shifr_grub", 암호화되지 않은 섹션 "/noshifr_grub"에 빈 토큰 파일을 만듭니다. CLI에서 체크인

cat /Tab-Tab

위에서 언급한 것처럼, 이는 악성 모듈이 PC에 설치되는 경우 악성 모듈 다운로드를 막는 데 도움이 되지 않습니다. 예를 들어, 키 입력을 파일에 저장하고 PC에 물리적으로 접근할 수 있는 공격자가 다운로드할 때까지 "~/i386"의 다른 파일과 혼합할 수 있는 키로거입니다.

디지털 서명 보호가 활발하게 작동하고 있는지 확인하는 가장 쉬운 방법 (재설정되지 않음), 아무도 부트로더를 침범하지 않은 경우 CLI에 명령을 입력하세요.

list_trusted

이에 대한 응답으로 "perkey"의 복사본을 받거나, 공격을 받아도 아무것도 받지 못합니다. ("set check_signatures=enforce"도 확인해야 합니다).
이 단계의 중요한 단점은 명령을 수동으로 입력한다는 것입니다. 이 명령을 "grub.cfg"에 추가하고 디지털 서명으로 구성을 보호하면 화면에 표시되는 키 스냅샷의 예비 출력 시간이 너무 짧아 GRUB2 로드 후 출력을 볼 시간이 없을 수 있습니다. .
특별히 주장할 사람은 없습니다. 선적 서류 비치 조항 18.2는 공식적으로 선언합니다

“GRUB 암호 보호 기능을 사용하더라도 GRUB 자체는 시스템에 물리적으로 접근할 수 있는 사람이 해당 시스템의 펌웨어(예: Coreboot 또는 BIOS) 구성을 변경하여 시스템이 다른(공격자가 제어하는) 장치에서 부팅하는 것을 방지할 수 없습니다. GRUB는 기껏해야 보안 부트 체인의 하나의 링크일 뿐입니다."

GRUB2는 잘못된 보안감을 줄 수 있는 기능들로 인해 너무 과부하가 걸렸고, 그 개발은 이미 기능적으로는 MS-DOS를 능가했지만 단지 부트로더일 뿐입니다. GRUB2 - "내일"이 OS가 되고 이를 위한 부팅 가능한 GNU/Linux 가상 머신이 될 수 있다는 것이 재밌습니다.

GRUB2 디지털 서명 보호를 재설정하고 실제 사용자에게 침입을 선언하는 방법에 대한 짧은 비디오 (무서웠지만 영상에 나오는 것 대신에 무해한 임의의 코드/.mod를 작성하셔도 됩니다).

결론 :

1) Windows용 블록 시스템 암호화는 구현하기가 더 쉽고 하나의 비밀번호로 보호하는 것이 GNU/Linux 블록 시스템 암호화를 사용하여 여러 비밀번호로 보호하는 것보다 더 편리합니다. 공정하게 말하면 후자는 자동화됩니다.

2) 기사를 관련성이 높고 자세하게 작성했습니다. 단순한 RuNet(IMHO)에서 단연 최고인 단일 가정의 전체 디스크 암호화 VeraCrypt/LUKS에 대한 가이드입니다. 가이드의 길이는 50자가 넘으므로 몇 가지 흥미로운 장을 다루지 않았습니다. 사라지거나 그림자 속에 숨어 있는 암호 해독가; 다양한 GNU/Linux 책에서 암호화에 대해 거의 쓰지 않거나 쓰지 않는다는 사실에 대해; 러시아 연방 헌법 제51조에 관하여; 영형 라이센스/반 러시아 연방의 암호화, “root/boot”를 암호화해야 하는 이유에 대해 설명합니다. 가이드는 상당히 광범위하지만 상세했습니다. (간단한 단계까지 설명), 결과적으로 "실제 암호화"에 도달할 때 많은 시간을 절약할 수 있습니다.

3) 전체 디스크 암호화는 Windows 7 64에서 수행되었습니다. GNU/리눅스 앵무새 4x; GNU/데비안 9.0/9.5.

4) 공격에 성공했다 그의 GRUB2 부트로더.

5) 암호화 작업이 입법 수준에서 허용되는 CIS의 모든 편집증적인 사람들을 돕기 위해 튜토리얼이 만들어졌습니다. 주로 구성된 시스템을 철거하지 않고 전체 디스크 암호화를 구현하려는 사람들을 위한 것입니다.

6) 2020년과 관련된 내 매뉴얼을 재작업하고 업데이트했습니다.

[G] 유용한 문서

1. TrueCrypt 사용자 가이드 (2012년 XNUMX월 RU)
2. VeraCrypt 문서
3. /usr/share/doc/cryptsetup(-run) [로컬 리소스] (cryptsetup을 사용한 GNU/Linux 암호화 설정에 대한 자세한 공식 문서)
4. 공식 FAQ cryptsetup (cryptsetup을 사용한 GNU/Linux 암호화 설정에 대한 간략한 문서)
5. LUKS 장치 암호화 (아치리눅스 문서)
6. cryptsetup 구문에 대한 자세한 설명 (아치 맨 페이지)
7. crypttab에 대한 자세한 설명 (아치 맨 페이지)
8. 공식 GRUB2 문서.

태그: 전체 디스크 암호화, 파티션 암호화, Linux 전체 디스크 암호화, LUKS1 전체 시스템 암호화.

등록된 사용자만 설문 조사에 참여할 수 있습니다. 로그인제발

암호화 중인가요?

• 17,1%나는 가능한 모든 것을 암호화합니다. 편집증이 심해요.14

• 34,2%중요한 데이터만 암호화합니다.28

• 14,6%때로는 암호화하고 때로는 잊어버립니다.12

• 34,2%아니요, 암호화하지 않습니다. 불편하고 비용이 많이 듭니다.28

82명의 사용자가 투표했습니다. 22명의 사용자가 기권했습니다.

출처 : habr.com