ProHoster > Blog > Rêveberî > Şîfrekirina tevahî dîskê ya pergalên sazkirî yên Windows Linux. Pir-bootê şîfrekirî

Şîfrekirina tevahî dîskê ya pergalên sazkirî yên Windows Linux. Pir-bootê şîfrekirî

Şîfrekirina tevahî dîskê ya pergalên sazkirî yên Windows Linux. Pir-bootê şîfrekirî
Rêbernameya xwe ya ji bo şîfrekirina tev-dîskê di RuNet V0.2 de nûve kir.

Stratejiya Cowboy:

[A] Sîstema Windows 7 şîfrekirina bloka pergala sazkirî;
[B] Şîfrekirina astengkirina pergala GNU/Linux (Debian) pergala sazkirî (tevî /boot);
[C] Veavakirina GRUB2, parastina bootloader bi îmzeya dîjîtal / rastrastkirin / haşkirin;
[D] jêbirin-hilweşandina daneyên neşîfrekirî;
[E] paşgira gerdûnî ya OS-ya şîfrekirî;
[F] êrîş <li ser babete [C6]> hedef - GRUB2 bootloader;
[G]belgekirina alîkar.

╭───Şema #odeya 40# :
├──╼ Windows 7 hate saz kirin - şîfrekirina pergalê ya tevahî, ne veşartî;
├──╼ GNU/Linux saz kirin (Belavokên Debian û Derivative) - şîfrekirina pergalê ya tevahî, ne veşartî(/, di nav de /boot; guheztin);
├──╼ bootloaderên serbixwe: Bootloader VeraCrypt di MBR de, bootloader GRUB2 di dabeşkirina dirêjkirî de tê saz kirin;
├──╼ sazkirin/ji nû vesazkirina OS-ê hewce nake;
└──╼nermalava krîptografî tê bikaranîn: VeraCrypt; Cryptsetup; GnuPG; Seahorse; Hashdeep; GRUB2 belaş / belaş e.

Pîlana jorîn bi qismî pirsgirêka "bootkirina dûr a ajokerek flash" çareser dike, dihêle hûn OS-ya şîfrekirî Windows/Linux-ê xweş bikin û daneyan bi navgîniya "kanalek şîfrekirî" ji yek OS-ê berbi yekî din biguhezînin.

Fermana bootê ya PC (yek ji vebijarkan):

  • vekirina makîneyê;
  • barkirina bootloader VeraCrypt (Têkevin şîfreya rast dê bootkirina Windows 7 berdewam bike);
  • tikandina bişkoja "Esc" dê bootloader GRUB2 bar bike;
  • GRUB2 boot loader (belavkirina hilbijêre / GNU / Linux / CLI), dê piştrastkirina serkarhênerê GRUB2 <têketin/şîfre> hewce bike;
  • piştî pejirandina serketî û hilbijartina belavkirinê, hûn ê hewce bikin ku şîfreyek têkevin da ku "/boot/initrd.img" vekin;
  • piştî ku şîfreyên bê-çewtî têkevin, GRUB2 dê navnîşek şîfreyek "pêdivî" bike (sêyemîn, şîfreya BIOS an şîfreya hesabê bikarhênerê GNU/Linux - nehesibîne) ji bo vekirina kilît û bootkirina GNU/Linux OS, an jî veguhertina otomatîkî ya mifteyek veşartî (du şîfre + key, an şîfre + mift);
  • ketina derve di veavakirina GRUB2 de dê pêvajoya bootkirina GNU/Linux cemidîne.

Pirsgirêk? Ok, em herin pêvajoyên otomatîk bikin.

Dema dabeşkirina dîskek hişk (Tabloya MBR) Komputerek nikare ji 4 dabeşên sereke, an 3 sereke û yek dirêjkirî, û her weha deverek ne veqetandî hebe. Beşek dirêjkirî, berevajî ya sereke, dikare jêrbeşan pêk bîne (ajokên mentiqî = dabeşkirina dirêjkirî). Bi gotinek din, "parçeya dirêjkirî" ya li ser HDD-ê li şûna LVM-ê ji bo peywira di dest de digire: şîfrekirina pergalê ya tevahî. Ger dîska we di nav 4 dabeşên sereke de hatî dabeş kirin, hûn hewce ne ku lvm bikar bînin, an veguherînin (bi formatkirin) beşa ji sereke berbi pêşkeftî, an jî bi aqilane her çar beşan bikar bînin û her tiştî wekî xwe bihêlin, encama xwestinê bistînin. Tewra ku we yek dabeşek li ser dîska we hebe, Gparted dê ji we re bibe alîkar ku hûn HDD-ya xwe dabeş bikin (ji bo beşên din) bêyî windakirina daneyan, lê dîsa jî bi cezayê piçûk ji bo kiryarên weha.

Pîlana sêwirana ajokera hişk, bi pêwendiya ku dê tevaya gotarê bi devkî be, di tabloya jêrîn de tê pêşkêş kirin.

Şîfrekirina tevahî dîskê ya pergalên sazkirî yên Windows Linux. Pir-bootê şîfrekirî
Tabloya (No. 1) ya dabeşên 1TB.

Divê hûn jî tiştek wekhev hebe.
sda1 - dabeşkirina sereke No. 1 NTFS (şîfrekirî);
sda2 - nîşana beşa dirêjkirî;
sda6 - dîska mentiqî (ew bootloader GRUB2 sazkirî ye);
sda8 - swap (pelê guheztina şîfrekirî / ne her gav);
sda9 - dîskê mentiqî test bike;
sda5 - dîska mentiqî ya ji bo meraqan;
sda7 - GNU/Linux OS (OS-ya ku li dîskek mentiqî ya şîfrekirî hatî veguheztin);
sda3 - dabeşkirina sereke No. 2 bi Windows 7 OS (şîfrekirî);
sda4 - beşa sereke No. 3 (GNU/Linux-a neşîfrekirî dihewand, ji bo hilanînê/ne her gav tê bikar anîn).

[A] Şîfrekirina bloka pergalê ya Windows 7

A1. VeraCryptŞîfrekirina tevahî dîskê ya pergalên sazkirî yên Windows Linux. Pir-bootê şîfrekirî

Daxistin ji malpera fermî, an ji neynikê sourceforge guhertoya sazkirinê ya nermalava krîptografî ya VeraCrypt (di dema weşandina gotara v1.24-Update3 de, guhertoya portable ya VeraCrypt ji bo şîfrekirina pergalê ne maqûl e). Kontrola nermalava dakêşandî kontrol bikin

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

û encamê bi CS-ya ku li ser malpera pêşdebiran VeraCrypt hatî şandin berhev bikin.

Ger nermalava HashTab hatî saz kirin, ew hê hêsantir e: RMB (Setup VeraCrypt 1.24.exe)-taybetmendî - berhevoka pelan.

Ji bo verastkirina îmzeya bernameyê, pêdivî ye ku nermalavê û mifteya pgp ya giştî ya pêşdebirker li ser pergalê were saz kirin. gnuPG; gpg4win.

A2. Sazkirin / xebitandina nermalava VeraCrypt bi mafên rêvebirŞîfrekirina tevahî dîskê ya pergalên sazkirî yên Windows Linux. Pir-bootê şîfrekirî

A3. Hilbijartina pîvanên şîfrekirina pergalê ji bo dabeşkirina çalakVeraCrypt - Pergal - Parvekirina pergalê / dîskê şîfre bike - Normal - Parvekirina pergalê Windows-ê şîfre bike - Multiboot - (hişyarî: "Bikarhênerên bêtecrube nayê pêşniyar kirin ku vê rêbazê bikar bînin" û ev rast e, em "Erê" qebûl dikin) - Dîska boot ("erê", heke ne wusa be jî, dîsa "erê") - Hejmara dîskên pergalê "2 an bêtir" - Çend pergalên li ser dîskê "Erê" - Bootloader ne-Windows "Na" (Bi rastî, "Erê", lê barkerên bootê VeraCrypt/GRUB2 dê MBR-ê di nav xwe de parve nekin; bi rastî, tenê beşa herî piçûk a koda barkera bootê di rêça MBR/bootê de tê hilanîn, beşa sereke ya wê ye. di nav pergala pelê de cih digire) - Multiboot - Mîhengên şîfrekirinê…

Ger hûn ji gavên jorîn dûr bikevin (pîlanên şîfrekirina pergalê asteng bike), wê hingê VeraCrypt dê hişyariyek bide û destûrê nade ku hûn dabeşê şîfre bikin.

Di gava paşîn de ber bi parastina daneya armanckirî de, "Testek" bikin û algorîtmayek şîfrekirinê hilbijêrin. Ger we CPU-ya kevnare hebe, wê hingê bi îhtîmalek mezin algorîtmaya şîfrekirinê ya bilez dê Twofish be. Ger CPU bi hêz be, hûn ê cûdahiyê bibînin: Şîfrekirina AES, li gorî encamên testê, dê çend caran ji hevrikên xwe yên krîpto zûtir be. AES algorîtmaya şîfrekirinê ya populer e;

VeraCrypt şiyana şîfrekirina dîskên di kaskek AES de piştgirî dike(Du masî)/ û kombînasyonên din. Li ser CPU-ya bingehîn a kevn a Intel ji deh sal berê (bêyî piştgiriya hardware ji bo AES, şîfrekirina kaskada A/T) Kêmbûna performansê bi bingehîn nayê dîtin. (ji bo CPUyên AMD yên heman serdemê / ~ parametre, performans hinekî kêm dibe). OS bi dînamîk dixebite û vexwarina çavkaniyê ji bo şîfrekirina zelal nayê dîtin. Berevajî vê yekê, wek nimûne, ji ber hawîrdora sermaseya testa nestêbar a sazkirî Mate v1.20.1 di performansê de kêmbûnek berbiçav heye. (an jî v1.20.2 bi rastî nayê bîra min) di GNU/Linux de, an jî ji ber xebitandina rûtîniya telemetrî ya Windows7↑. Bi gelemperî, bikarhênerên xwedî ezmûn berî şîfrekirinê ceribandinên performansa hardware dikin. Mînakî, di Aida64/Sysbench/systemd-analyze de sûcdar piştî şîfrekirina pergalê bi encamên heman ceribandinan re tê berhev kirin, bi vî rengî efsaneya ku "şîfrekirina pergalê zirardar e" red dikin. Hêdîbûna makîneyê û nerehetî di dema paşvekêşandin/vegerandina daneyên şîfrekirî de têne xuyang kirin, ji ber ku operasyona "vegerandina daneya pergalê" bixwe bi ms nayê pîvandin, û yên heman <deşîfre/şîfrekirin li ser firînê> têne zêdekirin. Di dawiyê de, her bikarhênerek ku destûr jê re tê dayîn ku bi şîfrekirinê ve girêdayî ye, algorîtmaya şîfrekirinê li hember têrbûna peywirên li ber dest, asta wan a paranoya, û hêsaniya karanîna hevseng dike.

Çêtir e ku hûn pîvana PIM-ê wekî xwerû bihêlin da ku dema barkirina OS-ê hûn neçarin ku her carê nirxên dubarekirinê yên rast têkevin. VeraCrypt gelek dubareyan bikar tîne da ku bi rastî "haşek hêdî" biafirîne. Êrîşek li ser "şikilek krîpto" ya bi vî rengî ku bi karanîna rêbaza Brute force / maseyên zencîre tê bikar anîn tenê bi paşnavek kurt a "hêsan" û navnîşa tîpên kesane yên qurbaniyê re watedar e. Bihaya ku meriv ji bo hêza şîfreyê bide derengmayînek di ketina şîfreya rast de dema barkirina OS-ê ye. (sazkirina cildên VeraCrypt di GNU/Linux de pir zûtir e).
Nermalava belaş ji bo pêkanîna êrîşên hêza hovane (Ji sernavê dîskê VeraCrypt/LUKS şîfreyê derxe) Hashcat. Yûhenna Ripper nizane meriv çawa "Veracrypt bişkîne", û dema ku bi LUKS-ê re dixebite şîfrekirina Twofish fam nake.

Ji ber hêza krîptografîk a algorîtmayên şîfrekirinê, cypherpunksên bêrawestan nermalava bi vektorek êrîşê cûda pêşve dibin. Mînakî, derxistina metadata / mifteyên ji RAM (êrîşa boota sar/êrîşa gihîştina bîranîna rasterast), Ji bo van armancan nermalava belaş û ne-azad taybetmendî heye.

Piştî qedandina sazkirinê/hilberandina "metadata yekta" ya dabeşkirina çalak a şîfrekirî, VeraCrypt dê pêşkêşî ji nû ve destpêkirina PC-yê û ceribandina fonksiyona barkera wê ya boot bike. Piştî ku Windows-ê ji nû ve dest pê kir / dest pê kir, VeraCrypt dê di moda standby de bar bike, ya ku dimîne ev e ku meriv pêvajoya şîfrekirinê piştrast bike - Y.

Di qonaxa paşîn a şîfrekirina pergalê de, VeraCrypt dê pêşniyar bike ku kopiyek paşvekişandinê ya sernavê dabeşkirina şîfrekirî ya çalak di forma "veracrypt rescue disk.iso" de biafirîne - divê ev were kirin - di vê nermalavê de operasyonek weha pêdivî ye (di LUKS de, wekî pêdivî ye - mixabin ev yek ji holê hatiye rakirin, lê di belgeyê de tê destnîşan kirin). Dîska rizgarkirinê dê ji bo her kesî, û ji bo hinan jî ji carekê zêdetir bi kêr were. Winda (sernav / MBR ji nû ve nivîsandin) kopiyek hilanînê ya sernavê dê bi domdarî gihîştina dabeşkirina deşîfrekirî ya bi OS Windows-ê re red bike.

A4. Afirandina USB/dîskek rizgarker a VeraCryptJi hêla xwerû ve, VeraCrypt pêşniyar dike ku "~ 2-3 MB metadata" li CD-yê bişewitîne, lê ne hemî kes xwedî dîskên an ajokarên DWD-ROM ne, û çêkirina ajokerek flash bootable "VeraCrypt Rescue disk" dê ji bo hin kesan surprîzek teknîkî be: Rufus / GUIdd-ROSA ImageWriter û nermalava din ên mîna wê nikaribin bi peywirê re mijûl bibin, ji ber ku ji bilî kopîkirina metadata offset li ajokerek flash bootable, hûn hewce ne ku wêneyê li derveyî pergala pelê ajokera USB-yê kopî bikin/paş bikin. , bi kurtasî, MBR/rêya rast bi keychainê kopî bikin. Hûn dikarin ji GNU/Linux OS-ê bi karanîna "dd" ajokerek flash bootable biafirînin, li vê nîşanê binêrin.

Şîfrekirina tevahî dîskê ya pergalên sazkirî yên Windows Linux. Pir-bootê şîfrekirî

Afirandina dîskek rizgarkirinê di hawîrdorek Windows-ê de cûda ye. Pêşdebirê VeraCrypt çareseriya vê pirsgirêkê di nav fermî de nekiriye belgekirin ji hêla "dîska rizgarkirinê" ve, lê çareseriyek bi rengek cûda pêşniyar kir: wî nermalava zêde ji bo afirandina "dîska rizgarkirinê ya usb" ji bo gihîştina belaş li ser foruma xwe ya VeraCrypt şand. Arşîva vê nermalavê ji bo Windows-ê "dîska rizgariya usb veracrypt diafirîne". Piştî tomarkirina rizgarkirina disk.iso, dê pêvajoya şîfrekirina pergala blokê ya dabeşkirina çalak dest pê bike. Di dema şîfrekirinê de, xebata OS-ê raweste, ji nû ve destpêkirina PC-yê ne hewce ye. Piştî bidawîbûna operasyona şîfrekirinê, dabeşkirina çalak bi tevahî şîfre dibe û dikare were bikar anîn. Ger dema ku hûn PC-yê dest pê dikin barkerê bootê VeraCrypt xuya neke, û operasyona vegerandina sernavê jî ne alîkar be, wê hingê ala "boot" kontrol bikin, divê ew li beşa ku Windows lê heye were danîn. (Bêyî şîfrekirin û OS-ya din, li tabloya No. 1 binêre).
Ev ravekirina şîfrekirina pergala blokê bi Windows OS-ê re temam dike.

[B]LUKS. Şîfrekirina GNU/Linux (~Debian) sazkirî OS. Algorithm û Gavên

Ji bo ku hûn belavokek Debian/derîvative ya sazkirî şîfre bikin, hûn hewce ne ku dabeşa amadekirî nexşeya amûrek bloka virtual, veguhezînin dîska nexşeya GNU/Linux-ê û GRUB2 saz bikin/mîheng bikin. Ger serverek weya metal a tazî tune be, û hûn qîmetê didin dema xwe, wê hingê hûn hewce ne ku GUI-yê bikar bînin, û piraniya fermanên termînalê yên ku li jêr têne vegotin têne mebest kirin ku di "moda Chuck-Norris" de werin xebitandin.

B1. Bootkirina PC-ê ji USB-ya zindî GNU/Linux

"Ji bo performansa hardware ceribandinek krîptoyê bikin"

lscpu && сryptsetup benchmark

Şîfrekirina tevahî dîskê ya pergalên sazkirî yên Windows Linux. Pir-bootê şîfrekirî

Ger hûn xwedan bextewariya gerîdeyek hêzdar a bi piştgiriya hardware AES in, wê hingê hejmar dê mîna milê rastê yê termînalê be, heke hûn xwedanek bextewar bin, lê digel hardware antîk, hejmar dê mîna milê çepê bin .

B2. Parvekirina dîskê. lêkirin/formatkirina fs dîska mentiqî HDD li Ext4 (Gparted)

B2.1. Afirandina sernavek dabeşkirina sda7 ya şîfrekirîEz ê navên dabeşan, li vir û pê ve, li gorî tabloya dabeşkirina xwe ya li jor hatî şandin diyar bikim. Li gorî sêwirana dîska xwe, divê hûn navên dabeşkirina xwe biguhezînin.

Nexşeya şîfrekirina ajotinê ya mantiqî (/ dev/sda7 > / dev/mapper/sda7_crypt).
#Afirandina hêsan a "Partition LUKS-AES-XTS"

cryptsetup -v -y luksFormat /dev/sda7

Vebijarkên:

* luksFormat - destpêkirina sernavê LUKS;
* -y -passfrase (ne key/pel);
* -v -devkîkirin (agahiyê di termînalê de nîşan dide);
* / dev/sda7 - dîska weya mentiqî ya ji dabeşkirina dirêjkirî ye (ku tê plankirin ku GNU/Linux veguhezîne/şîfre bike).

Algorîtmaya şîfrekirinê ya xwerû <LUKS1: aes-xts-plain64, Kilît: 256 bit, LUKS haşkirina sernavê: sha256, RNG: / dev/urandom> (li ser guhertoya cryptsetup ve girêdayî ye).

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

Ger li ser CPU-ê ji bo AES-ê piştgirîya hardware tune be, bijartina çêtirîn dê avakirina "LUKS-Twofish-XTS-partition"-a dirêjkirî be.

B2.2. Afirandina pêşkeftî ya "LUKS-Twofish-XTS-partition"

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

Vebijarkên:
* luksFormat - destpêkirina sernavê LUKS;
* /dev/sda7 dîska weya mentiqî ya şîfrekirî ya pêşerojê ye;
* -v verbalization;
* -y passphrase;
* -c algorîtmaya şîfrekirina daneyê hilbijêrin;
Mezinahiya mifteya şîfrekirinê * -s;
* -h algorîtmaya hashing / fonksiyona krîpto, RNG tê bikar anîn (--bikaranîna-urandom) ji bo sernavê dîska mentiqî, mifteyek sernavê ya duyemîn (XTS) mifteyek şîfrekirin/deşîfrekirina yekta biafirîne; mifteya sereke ya yekta ku di sernavê dîska şîfrekirî de hatî hilanîn, mifteyek XTS ya duyemîn, hemî ev metadata û rûtînek şîfrekirinê ku, bi karanîna mifteya sereke û mifteya XTS ya duyemîn, hemî daneyên li ser dabeşkirinê şîfre/deşîfre dike. (ji bilî sernavê beşê) di ~ 3 MB de li ser dabeşkirina dîska hişk a hilbijartî hatî hilanîn.
* -i dubarekirinên di milîçirkeyan de, li şûna "meqdar" (dema derengiya dema hilberandina şîfreya derbasbûnê bandorê li barkirina OS û hêza krîptografî ya kilîtan dike). Ji bo domandina hevsengiya hêza krîptografî, bi şîfreyek hêsan a mîna "Rûsî" divê hûn bi şîfreyek tevlihev a wekî "?8dƱob/øfh" nirxa -(i) zêde bikin.
* - afirînerê hejmarên bêserûber bi kar bîne, kilîtan û xwê çêdike.

Piştî nexşeya beşa sda7 > sda7_crypt (operasyon bi lez e, ji ber ku sernavek şîfrekirî bi ~ 3 MB metadata tê afirandin û ew hemî ye), pêdivî ye ku hûn pergala pelê sda7_crypt format bikin û siwar bikin.

B2.3. Mûqayese

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

vebijark:
* vebûn - beşa "bi navî" bihev bikin;
* /dev/sda7 -dîska mentiqî;
* sda7_crypt - nexşeya navî ya ku ji bo danîna dabeşa şîfrekirî an destpêkirina wê dema ku OS-yê boot dike tê bikar anîn.

B2.4. Formatkirina pergala pelê sda7_crypt li ext4. Sazkirina dîskê di OS-ê de(Têbînî: hûn ê nikaribin bi dabeşek şîfrekirî ya di Gparted de bixebitin)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt

vebijark:
* -v -biwêjkirin;
* -L - nîşana ajokerê (ya ku di Explorer-ê de di nav ajokarên din de tê xuyang kirin).

Dûv re, divê hûn amûra blokê ya virtual-şîfrekirî / dev/sda7_crypt li pergalê siwar bikin

mount /dev/mapper/sda7_crypt /mnt

Karkirina bi pelên di peldanka /mnt de dê bixweber daneyên di sda7 de şîfre/deşîfre bike.

Nexşekirin û sazkirina dabeşkirinê li Explorer-ê hêsantir e (nautilus/caja GUI), dabeş dê jixwe di navnîşa hilbijartina dîskê de be, ya ku dimîne ev e ku meriv şîfreya xwe bikeve da ku dîskê veke/deşîfre bike. Navê lihevhatî dê bixweber were hilbijartin û ne "sda7_crypt", lê tiştek wekî /dev/mapper/Luks-xx-xx...

B2.5. Piştgiriya sernavê dîskê (~3 MB metadata)Yek ji yên herî giring operasyonên ku hewce ne ku bê dereng bêne kirin - kopiyek hilanînê ya sernavê "sda7_crypt". Ger tu sernivîsê binivîsî/xisar bikî (mînak, sazkirina GRUB2 li ser dabeşkirina sda7, hwd.), Daneyên şîfrekirî bêyî îmkana vegerandina wê bi tevahî winda bibin, ji ber ku ne gengaz e ku heman kilîtan ji nû ve werin afirandin;

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7 


#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

vebijark:
* luksHeaderBackup -ser-serî-paşvegirtin-pel -fermana paşvekişandinê;
* luksHeaderRestore -sernavê-vegerandina pelê -fermana restore;
* ~/Backup_DebSHIFR - pelê hilanînê;
* /dev/sda7 - Dabeşkirina ku kopiya paşvekêşana sernavê dîska şîfrekirî tê hilanîn.
Di vê gavê de <çêkirin û guherandina dabeşa şîfrekirî> qediya.

B3. Veguheztina GNU/Linux OS (sda4) ji bo dabeşkirina şîfrekirî (sda7)

Peldankek /mnt2 çêbikin (Têbînî - em hîn jî bi USB-ya zindî re dixebitin, sda7_crypt li /mnt-ê hatî danîn), û GNU/Linux-a me li /mnt2-ê, ku divê were şîfrekirin, siwar bikin.

mkdir /mnt2
mount /dev/sda4 /mnt2

Em bi karanîna nermalava Rsync veguheztina OS-ya rast pêk tînin

rsync -avlxhHX --progress /mnt2/ /mnt

Vebijarkên Rsync di paragrafa E1 de têne diyar kirin.

Wekî din, pêwîst e parçeyek dîskê ya mentiqî defragment bike

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

Wê bikin qaîdeyek: Ger HDD-ya we hebe car caran li ser GNU/Linux-a şîfrekirî e4defrag bikin.
Veguhastin û hevdemkirin [GNU/Linux > GNU/Linux-şîfrekirî] di vê gavê de qediya.

AT 4. Sazkirina GNU/Linux li ser dabeşek sda7 ya şîfrekirî

Piştî ku bi serfirazî veguheztina OS /dev/sda4 > /dev/sda7, divê hûn li ser dabeşkirina şîfrekirî têkeve GNU/Linux-ê û veavakirina bêtir pêk bînin. (bêyî destpêkirina PC-ê) li gorî pergalek şîfrekirî. Ango, di USB-ya zindî de bin, lê fermanan "girêdayî koka OS-ya şîfrekirî" bi cih bînin. "chroot" dê rewşek wusa simule bike. Ji bo ku hûn zû agahdariya li ser kîjan OS-ya ku hûn niha pê re dixebitin bistînin (şîfrekirî ye an na, ji ber ku daneyên di sda4 û sda7 de hevdemkirî ne), OS-ê desenkronîze bikin. Di navnîşên root de çêbikin (sda4/sda7_crypt) pelên nîşankerê vala, mînakî, /mnt/encryptedOS û /mnt2/decryptedOS. Zû zû kontrol bikin ku hûn li ser kîjan OS-ê ne (ji bo pêşerojê jî tê de):

ls /<Tab-Tab>

B4.1. "Simulasyona têketina nav OS-ya şîfrekirî"

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. Verastkirin ku xebat li dijî pergalek şîfrekirî tê meşandin

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"


history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. Afirandin/sazkirina swap-a şîfrekirî, guherandina crypttab/fstabJi ber ku pelê guheztinê her gava ku OS-ê dest pê dike tê format kirin, ne wate ye ku meriv nuha guheztina li ser dîskek mentiqî çêbike û nexşe bike, û fermanan wekî paragrafa B2.2 binivîsîne. Ji bo Swap, bişkojkên şîfrekirina demkî ya xwe dê di her destpêkê de bixweber bêne çêkirin. Dewreya jiyanê ya bişkojkên guheztinê: veqetandin/rakirina dabeşkirina guheztinê (+ Paqijkirina RAM); an OS-ê ji nû ve bidin destpêkirin. Sazkirina swap, vekirina pelê ku berpirsiyarê veavakirina amûrên şîfrekirî yên blokê ye (analog bi pelê fstab re, lê berpirsiyarê krîptoyê ye).

nano /etc/crypttab

em sererast dikin

#"navê hedef" "alava çavkaniyê" "pelê mifteyê" "vebijark"
swap /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512

Vebijarkên
* guheztin - navê nexşeyê dema ku /dev/mapper/swap şîfre dike.
* / dev/sda8 - ji bo guheztinê dabeşkirina xweya mentiqî bikar bînin.
* /dev/urandom - çêkerê mifteyên şîfrekirinê yên bêserûber ji bo guheztinê (bi her bootek nû ya OS-ê re, mifteyên nû têne afirandin). Generatorê /dev/urandom ji /dev/random kêmtir random e, jixwe /dev/random dema ku di şert û mercên paranoîd ên xeternak de dixebitin tê bikar anîn. Dema barkirina OS-ê, /dev/random çend ± hûrdeman barkirinê hêdî dike (binihêre sîstema-analîz).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -parçekirin dizane ku ew diguhere û "li gorî" tê formatkirin; algorîtmaya şîfrekirinê.

#Открываем и правим fstab
nano /etc/fstab

em sererast dikin

Di dema sazkirinê de # swap li / dev / sda8 bû
/dev/mapper/swap kes naguherîne sw 0 0

/dev/mapper/swap navê ku di crypttabê de hatî danîn e.

Veguheztina şîfrekirî ya alternatîf
Ger ji ber hin sedeman hûn naxwazin ji bo pelek guheztinê tevahiyek dabeşkirinê berdin, wê hingê hûn dikarin rêyek alternatîf û çêtir biçin: di pelê de li ser dabeşek şîfrekirî bi OS-ê re pelek guheztinê biafirînin.

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

Sazkirina dabeşkirina guheztinê qediya.

B4.4. Sazkirina GNU/Linux-a şîfrekirî (guherandina pelên crypttab/fstab)Pelê /etc/crypttab, wekî ku li jor hatî nivîsandin, amûrên blokên şîfrekirî yên ku di dema bootkirina pergalê de têne mîheng kirin vedibêje.

#правим /etc/crypttab 
nano /etc/crypttab

heke we beşa sda7>sda7_crypt wekî di paragrafa B2.1 de li hev kir

# "navê armanc" "alava çavkaniyê" "pelê mifteyê" "vebijark"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

heke we beşa sda7>sda7_crypt wekî di paragrafa B2.2 de li hev kir

# "navê armanc" "alava çavkaniyê" "pelê mifteyê" "vebijark"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

heke we beşa sda7>sda7_crypt wekî paragrafa B2.1 an B2.2 li hev kir, lê hûn naxwazin şîfreyê ji nû ve têkevin da ku OS-ê vekin û boot bikin, wê hingê li şûna şîfreyê hûn dikarin mifteyek veşartî/pelek rasthatî biguhezînin.

# "navê armanc" "alava çavkaniyê" "pelê mifteyê" "vebijark"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

description
* tune - radigihîne ku dema barkirina OS-ê, ji bo vekirina rootê pêdivî ye ku têketina şîfreyek veşartî têkevin.
* UUID - Nasnameya dabeşkirinê. Ji bo naskirina nasnameya xwe, termînalê binivîsin (Bînin bîra xwe ku ji vê gavê û pê ve, hûn li termînalekek di hawîrdorek chroot de dixebitin, û ne di termînalek zindî ya usb de).

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

ev xet dema ku ji termînala USB ya zindî ya bi sda7_crypt ve hatî xêzkirin blkid daxwaz dike, xuya ye).
Hûn UUID-ê ji sdaX-a xwe digirin (ne sdaX_crypt!, UUID sdaX_crypt - dema ku konfigurasyona grub.cfg were çêkirin dê bixweber bimîne).
* şîfre=twofish-xts-plain64,size=512,hash=sha512 -şîfrekirina luks di moda pêşkeftî de.
* /etc/skey - pelê mifteya veşartî, ku bixweber tê danîn da ku boota OS-ê veke (li şûna ku şîfreya 3. têkevin). Hûn dikarin her pelê heya 8 MB diyar bikin, lê dane dê <1MB were xwendin.

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey


#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7

Ew ê tiştek wusa xuya bike:

(bi xwe bikin û ji bo xwe bibînin).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab di derheqê pergalên pelan ên cihêreng de agahdariya danasînê vedihewîne.

#Правим /etc/fstab
nano /etc/fstab

# "pergala pelan" "nîqteya çiyê" "type" "vebijark" "dump" "derbas"
# / di dema sazkirinê de li / dev / sda7 bû
/dev/mapper/sda7_crypt / ext4 errors=remount-ro 0 1

dibe
* /dev/mapper/sda7_crypt - navê nexşeya sda7>sda7_crypt, ku di pelê /etc/crypttab de hatî destnîşan kirin.
Sazkirina crypttab/fstab qediya.

B4.5. Guhertina pelên veavakirinê. Dema serekeB4.5.1. Guhertina mîhengê /etc/initramfs-tools/conf.d/resume

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

û şîrove bike (eger hebe) "#" rêzika "dewe". Divê pel bi tevahî vala be.

B4.5.2. Guhertina mîhengê /etc/initramfs-tools/conf.d/cryptsetup

nano /etc/initramfs-tools/conf.d/cryptsetup

divê li hev bikin

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=erê
îxracata CRYPTSETUP

B4.5.3. Guhertina konfigurasyona /etc/default/grub (ev vesazkirin ji şiyana afirandina grub.cfg dema ku bi /boot-ê şîfrekirî re dixebite berpirsiyar e)

nano /etc/default/grub

rêzika "GRUB_ENABLE_CRYPTODISK=y" zêde bike
nirxa 'y', grub-mkconfig û grub-install dê ajokarên şîfrekirî kontrol bikin û fermanên din ên ku ji bo gihîştina wan di dema bootê de hewce ne biafirînin. (bêhêvî ).
divê wekheviyek hebe

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=firotanê"
GRUB_CMDLINE_LINUX="seplash noautomount"
GRUB_ENABLE_CRYPTODISK=y

B4.5.4. Guhertina mîhengê /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

kontrol bikin ku xeta şîrove kir <#>.
Di pêşerojê de (û heta niha jî, ev parametre dê ne xwedî wateyek be, lê carinan ew di nûvekirina wêneya initrd.img de asteng dike).

B4.5.5. Guhertina mîhengê /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

lêzêdekirin

KEYFILE_PATTERN=”/etc/skey”
UMASK=0077

Ev ê mifteya nepenî "skey" li initrd.img pak bike, mifta ji bo vekirina root hewce ye dema ku OS boot (heke hûn nexwazin dîsa şîfreyê binivîsin, mifteya "key" li şûna otomobîlê ye).

B4.6. Nûvekirin /boot/initrd.img [guhertoya]Ji bo ku mifteya veşartî di initrd.img de pak bikin û rastkirinên cryptsetup bicîh bikin, wêneyê nûve bikin

update-initramfs -u -k all

dema nûvekirina initrd.img (wek ku ew dibêjin "Ev gengaz e, lê ew ne diyar e") Hişyarîyên têkildarî cryptsetup dê xuya bibin, an, mînakî, agahdariyek di derbarê windabûna modulên Nvidia de - ev normal e. Piştî nûvekirina pelê, kontrol bikin ku ew bi rastî hatî nûve kirin, wextê bibînin (girêdayî jîngeha chroot./boot/initrd.img). Hişyariya kerema xwe! berî [nûvekirin-initramfs -u -k gişt] pê ewle bin ku cryptsetup vekirî ye /dev/sda7 sda7_crypt - ev navê ku di /etc/crypttab de xuya dibe, wekî din piştî ji nû ve destpêkirinê dê xeletiyek busybox derkeve)
Di vê gavê de, sazkirina pelên vesazkirinê qediya.

[C] Sazkirin û mîhengkirina GRUB2/Parastin

C1. Ger hewce be, dabeşkirina veqetandî ji bo bootloader format bikin (parçeyek herî kêm 20 MB hewce dike)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. Çiyayê /dev/sda6 li /mntJi ber vê yekê em di chroot de dixebitin, wê hingê dê pelrêça /mnt2 di root de tune be, û peldanka /mnt dê vala be.
dabeşkirina GRUB2 siwar bikin

mount /dev/sda6 /mnt

Ger we guhertoyek kevntir a GRUB2 sazkirî ye, di pelrêça /mnt/boot/grub/i-386-pc de (platformek din gengaz e, wek nimûne, ne "i386-pc") modulên krîpto tune (bi kurtî, peldank divê modulan hebin, di nav de van .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), Di vê rewşê de, GRUB2 pêdivî ye ku were hejandin. 

apt-get update
apt-get install grub2

Giring! Dema ku pakêta GRUB2 ji depoyê nûve dike, gava ku ji "li ser bijartinê" tê pirsîn ku hûn li ku derê bootloader saz bikin, divê hûn sazkirinê red bikin. (sedem - hewldana sazkirina GRUB2 - di "MBR" an li ser USB-ya zindî de). Wekî din hûn ê zirarê bidin sernavê/barkera VeraCrypt. Piştî nûvekirina pakêtên GRUB2 û betalkirina sazkirinê, pêdivî ye ku barkerê bootê bi destan li ser dîska mentiqî were saz kirin, ne di MBR de. Ger depoya we guhertoyek kevn a GRUB2 heye, biceribîne update ew ji malpera fermî ye - ew kontrol nekiriye (bi nûtirîn GRUB 2.02 ~BetaX bootloaders re xebitî).

C3. Sazkirina GRUB2 li dabeşek dirêjkirî [sda6]Pêdivî ye ku hûn dabeşek lêkirî hebe [tişt C.2] 

grub-install --force --root-directory=/mnt /dev/sda6

bijarte
* - zor - sazkirina bootloader, ji hemî hişyariyên ku hema hema her dem hene derbas dike û sazkirinê asteng dike (ala pêwîst).
* --root-directory - sazkirina pelrêça heta koka sda6.
* /dev/sda6 - dabeşkirina weya sdaХ (navbera /mnt /dev/sda6 <pace> ji bîr nekin).

C4. Afirandina pelê veavakirinê [grub.cfg]Fermana "update-grub2" ji bîr bike, û fermana hilberîna pelê ya tevahî mîhengê bikar bîne

grub-mkconfig -o /mnt/boot/grub/grub.cfg

piştî qedandina nifşê/nûvekirina pelê grub.cfg, divê termînala derketinê xêz(yên) bi OS-ya ku li ser dîskê tê dîtin hebin. ("grub-mkconfig" belkî dê OS-ê ji USB-ya zindî bibîne û hilde, heke we bi Windows 10-ê ajokerek multiboot-ê û komek belavkirinên zindî hebe - ev normal e). Ger termînalê "vala" be û pelê "grub.cfg" neyê çêkirin, wê hingê dema ku di pergalê de xeletiyên GRUB-ê hebin ev heman rewş e. (û bi îhtîmalek mezin barkerê ji şaxê ceribandinê yê depoyê), GRUB2 ji çavkaniyên pêbawer ji nû ve saz bikin.
Sazkirina "veavakirina hêsan" û sazkirina GRUB2 qediya.

C5. Testa îsbatkirina GNU/Linux OS-a şîfrekirîEm mîsyona krîptoyê rast temam dikin. Bi baldarî GNU/Linux-a şîfrekirî bihêlin (derketina hawîrdora chroot).

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

Piştî nûvekirina PC-ê, divê bootloader VeraCrypt were barkirin.
Şîfrekirina tevahî dîskê ya pergalên sazkirî yên Windows Linux. Pir-bootê şîfrekirî

* Bi ketina şîfreya dabeşkirina çalak dê barkirina Windows dest pê bike.
*Pelkirina bişkojka "Esc" dê kontrolê veguhezîne GRUB2, heke hûn GNU/Linux-ê şîfrekirî hilbijêrin - şîfreyek (sda7_crypt) dê ji bo vekirina /boot/initrd.img hewce bike (heke grub2 uuid "nehat dîtin" binivîse - ev yek e pirsgirêk bi bootloader grub2 re, divê ew ji nû ve were saz kirin, mînakî, ji şaxê ceribandinê / îstîqrar û hwd.).
Şîfrekirina tevahî dîskê ya pergalên sazkirî yên Windows Linux. Pir-bootê şîfrekirî

* Li gorî ka we pergalê çawa saz kiriye (li paragrafa B4.4/4.5 binêre), piştî ku hûn şîfreya rast têkevin da ku hûn wêneyê /boot/initrd.img vekin, hûn ê şîfreyek hewce bikin ku hûn kernel/root OS-ê, an razê bar bikin. kilît dê bixweber li şûna " skey " were guheztin, hewcedariya ji nû ve têketina şîfreya derbasbûnê ji holê radike.
Şîfrekirina tevahî dîskê ya pergalên sazkirî yên Windows Linux. Pir-bootê şîfrekirî
(screen "guhertina otomatîkî ya mifteyek veşartî").

*Piştre dê pêvajoya naskirî ya barkirina GNU/Linux bi erêkirina hesabê bikarhêner bişopîne.
Şîfrekirina tevahî dîskê ya pergalên sazkirî yên Windows Linux. Pir-bootê şîfrekirî

*Piştî destûra bikarhêner û têketina OS-ê, divê hûn /boot/initrd.img dîsa nûve bikin. (B4.6 binêre).

update-initramfs -u -k all

Û di doza xetên zêde di menuya GRUB2 de (ji hilgirtina OS-m bi USB-ya zindî) ji wan xilas bibin

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

Kurteyek bilez a şîfrekirina pergala GNU/Linux:

  • GNU/Linuxinux bi tevahî şîfrekirî ye, di nav de /boot/kernel û initrd;
  • mifteya veşartî di initrd.img de tê pak kirin;
  • nexşeya destûrnameyê ya heyî (têketina şîfreyê ji bo vekirina kilîtkirina initrd; şîfre / mifteya bootkirina OS; şîfreya ji bo destûrdayîna hesabê Linux).

Şîfrekirina pergala "Pêvesazkirina GRUB2 ya hêsan" ya dabeşkirina blokê qediya.

C6. Veavakirina GRUB2 ya pêşkeftî. Parastina Bootloader bi îmzeya dîjîtal + parastina rastkirinêGNU/Linux bi tevahî hatiye şîfrekirin, lê bootloader nikare were şîfrekirin - ev rewş ji hêla BIOS-ê ve tê destnîşankirin. Ji ber vê sedemê, bootek şîfrekirî ya zincîrekirî ya GRUB2 ne mimkun e, lê bootek zincîrkirî ya hêsan gengaz/berdest e, lê ji hêla ewlehiyê ve ew ne hewce ye [binêre P. F].
Ji bo GRUB2-a "xirab", pêşdebiran algorîtmayek parastina bootloader-a "îmza / rastrastkirin" bicîh kirin.

  • Dema ku bootloader ji hêla "îmzaya xweya dîjîtal" ve tê parastin, guheztina derveyî ya pelan, an hewildanek ji bo barkirina modulên din di vê bootloader de, dê bibe sedema astengkirina pêvajoya bootê.
  • Dema ku bootloader bi erêkirinê diparêze, ji bo ku hûn barkirina belavkirinek hilbijêrin, an jî emrên din di CLI-yê de têkevin, hûn ê hewce bikin ku têketin û şîfreya superbikarhêner-GRUB2 têkevin.

C6.1. Parastina rastkirina bootloaderKontrol bikin ku hûn di termînalekê de li ser OS-ya şîfrekirî dixebitin

ls /<Tab-Tab> #обнаружить файл-маркер

Ji bo destûrnameyê di GRUB2 de şîfreyek superbikarhêner biafirînin 

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя.

Şîfreya şîfreyê bistînin. Tiştekî wiha

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

mount dabeşkirina GRUB

mount /dev/sda6 /mnt

veavakirinê biguherîne

nano -$ /mnt/boot/grub/grub.cfg

lêgerîna pelê kontrol bikin ku li tu dera "grub.cfg" ("-bêsînorkirî" "-user",
di dawiyê de zêde bike (berî rêza ### DAWÎ /etc/grub.d/41_custom ###)
"set superusers = "root"
password_pbkdf2 hash root."

Divê tiştek bi vî rengî be

# Ev pel ji bo lê zêdekirina navnîşên menuya xwerû rêyek hêsan peyda dike. Tenê binivîsin
# navnîşên menuya ku hûn dixwazin piştî vê şîroveyê lê zêde bikin. Hişyar bin ku neguherin
# rêzika jorîn a 'dûvikê dar'.
### DAWÎ /etc/grub.d/40_custom ###

### DESTPÊK /etc/grub.d/41_custom ###
heke [ -f ${config_directory}/custom.cfg]; paşan
çavkanî ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg]; paşan
çavkanî $prefix/custom.cfg;
fi
set superusers = "root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### DAWÎ /etc/grub.d/41_custom ###
#

Heke hûn pir caran fermana "grub-mkconfig -o /mnt/boot/grub/grub.cfg" bikar tînin û naxwazin her car di grub.cfg de guhertinan bikin, rêzikên jorîn têkevin. (Têketin: Şîfre) di skrîpta bikarhênerê GRUB de di binê jêrîn de 

nano /etc/grub.d/41_custom

pisîk <<EOF
set superusers = "root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

Dema ku veavakirina "grub-mkconfig -o /mnt/boot/grub/grub.cfg" çêdibe, xêzên ku berpirsiyariya erêkirinê ne dê bixweber li grub.cfg werin zêdekirin.
Vê gav sazkirina piştrastkirina GRUB2 temam dike.

C6.2. Parastina Bootloader bi îmzeya dîjîtalTê texmîn kirin ku we berê mifteya şîfrekirina pgp-ya we ya kesane heye (an jî mifteyek weha çêbikin). Pêdivî ye ku pergalê nermalava krîptografîk sazkirî be: gnuPG; kleopatra/GPA; Seahorse. Nermalava Crypto dê di hemî mijarên weha de jiyana we pir hêsantir bike. Seahorse - guhertoya stabîl a pakêtê 3.14.0 (guhertoyên bilindtir, wek nimûne, V3.20, xelet in û xeletiyên girîng hene).

Pêdivî ye ku mifteya PGP tenê di hawîrdora su de were çêkirin / dest pê kirin / zêdekirin!

Mifteya şîfrekirinê ya kesane biafirînin

gpg - -gen-key

Mifteya xwe derxînin

gpg --export -o ~/perskey

Ger dîskê maqûl di OS-ê de çênebe heke ew jixwe nehatibe danîn

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

dabeşkirina GRUB2 paqij bike

rm -rf /mnt/

GRUB2 li sda6 saz bikin, mifteya xweya taybet têxin nav wêneya GRUB ya sereke "core.img"

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

bijarte
* --force - bootloader saz bikin, hemî hişyariyên ku her gav hene derbas bikin (ala pêwîst).
* —modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - talîmat dide GRUB2 ku gava ku PC dest pê dike modulên pêwîst ji berê de bar bike.
* -k ~/perskey -rêya berbi "mifteya PGP" (piştî ku mifteyê li wêneyê pak bike, ew dikare were jêbirin).
* --root-directory - pelrêça bootê li ser koka sda6 saz bike
/ dev/sda6 - dabeşkirina weya sdaX.

Grub.cfg çêdibe/nûve dike

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

Rêza "trust /boot/grub/perskey" li dawiya pelê "grub.cfg" zêde bikin (Bi zorê bişkojka pgp bikar bînin.) Ji ber ku me GRUB2 bi komek modulan saz kir, di nav de modula îmzeyê "signature_test.mod", ev hewcedariya zêdekirina fermanên mîna "set check_signatures=signature" li mîhengê ji holê radike.

Divê tiştek mîna vê xuya bike (xetên dawî di pelê grub.cfg de)

### DESTPÊK /etc/grub.d/41_custom ###
heke [ -f ${config_directory}/custom.cfg]; paşan
çavkanî ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg]; paşan
çavkanî $prefix/custom.cfg;
fi
bawerî /boot/grub/perskey
set superusers = "root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### DAWÎ /etc/grub.d/41_custom ###
#

Riya berbi "/boot/grub/perskey" ne hewce ye ku li ser dabeşek dîskê ya taybetî were destnîşan kirin, mînakî hd0,6 ji bo bootloader bixwe, "root" riya xwerû ya dabeşkirina ku GRUB2 li ser hatî saz kirin e; (binêre set rot=..).

Îmzekirina GRUB2 (hemû pelên di hemî pelrêkên /GRUB de) bi key te "perskey".
Çareseriyek hêsan li ser meriv çawa îmze dike (ji bo nautilus / caja explorer): dirêjkirina "hespên deryayê" ji bo Explorer ji depoyê saz bikin. Divê mifteya we li hawîrdora su were zêdekirin.
Explorer-ê bi sudo "/mnt/boot" - RMB - nîşana vekin. Li ser ekranê bi vî rengî xuya dike

Şîfrekirina tevahî dîskê ya pergalên sazkirî yên Windows Linux. Pir-bootê şîfrekirî

Mifta bixwe "/mnt/boot/grub/perskey" ye. (kopî bikin pelrêça grub) divê bi îmzeya xwe jî bê îmzekirin. Kontrol bikin ku îmzayên pelê [*.sig] di pelrêça/bindekrektoran de xuya bibin.
Bi karanîna rêbaza ku li jor hatî destnîşan kirin, "/boot" îmze bikin (kernela me, initrd). Ger wextê we hêja tiştek e, wê hingê ev rêbaz hewcedariya nivîsandina skrîptek bash ji holê radike da ku "gelek pelan" îmze bike.

Ji bo rakirina hemî îmzeyên bootloader (eger tiştek xelet çû)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

Ji bo ku piştî nûvekirina pergalê bootloader îmze neke, em hemî pakêtên nûvekirinê yên girêdayî GRUB2 dicemidînin.

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

Di vê gavê de <bootloader bi îmzeya dîjîtal biparêze> veavakirina pêşkeftî ya GRUB2 qediya.

C6.3. Testa îsbatkirina bootloader GRUB2, ku ji hêla îmzeya dîjîtal û verastkirinê ve hatî parastinGRUB2. Dema ku tu dabeşkirina GNU/Linux-ê hildibijêre an têketina CLI-yê (xeta fermanê) Destûrdana Superuser dê hewce bike. Piştî ku navê bikarhêner / şîfreya rast têkevin, hûn ê şîfreya initrd hewce bikin

Şîfrekirina tevahî dîskê ya pergalên sazkirî yên Windows Linux. Pir-bootê şîfrekirî
Dîmena rastkirina serketî ya superbikarhênerê GRUB2.

Heke hûn pelên GRUB2-ê bişkînin/guhertinan li grub.cfg bikin, an pelê/îmzeyê jêbikin, an module.modeke xerab bar bikin, dê hişyariyek têkildar xuya bibe. GRUB2 dê barkirinê rawestîne.

Şîfrekirina tevahî dîskê ya pergalên sazkirî yên Windows Linux. Pir-bootê şîfrekirî
Screenshot, hewldanek ji bo mudaxelekirina GRUB2 "ji derve".

Di dema bootkirina "normal" de "bê navber", rewşa koda derketina pergalê "0" ye. Ji ber vê yekê nayê zanîn ku parastin kar dike yan na (ango, "bi an bêyî parastina îmzeya bootloader" di dema barkirina normal de rewş heman "0" e - ev xirab e).

Meriv çawa parastina nîşana dîjîtal kontrol dike?

Rêbazek nerehet ji bo kontrolê: modulek ku ji hêla GRUB2 ve hatî bikar anîn sexte/rabike, mînakî, îmzeya luks.mod.sig rakin û xeletiyek bistînin.

Awayê rast: biçin bootloader CLI û fermanê binivîsin

trust_list

Di bersivê de, heke statûya "0" be, divê hûn şopa tiliya "perskey" bistînin, wê hingê parastina îmzeyê naxebite, paragrafa C6.2-ê ducar kontrol bikin.
Di vê gavê de, veavakirina pêşkeftî ya "Parastina GRUB2 bi îmzeya dîjîtal û verastkirinê" qediya.

C7 Rêbaza alternatîf a parastina bootloader GRUB2 bi karanîna hashingRêbaza "Parastina CPU Boot Loader / Nasname" ku li jor hatî destnîşan kirin klasîkek e. Ji ber kêmasiyên GRUB2, di şert û mercên paranoîd de ew bi êrîşek rastîn ve dibe, ku ez ê li jêr di paragrafa [F] de bidim. Wekî din, piştî nûvekirina OS/kernelê, pêdivî ye ku bootloader ji nû ve were îmze kirin.

Parastina bootloader GRUB2 bi karanîna hashing

Avantajên li ser klasîkan:

  • Asta bilind a pêbaweriyê (Haşkirin/verastkirin tenê ji çavkaniyek herêmî ya şîfrekirî pêk tê. Tevahiya dabeşa veqetandî ya di bin GRUB2 de ji bo her guhertinan tê kontrol kirin, û her tiştê din tê şîfrekirin; di pilana klasîk a bi parastina barkerê CPU/Rastkirinê de, tenê pel têne kontrol kirin, lê ne belaş cîh, ku tê de "tiştek" tiştek xirab" dikare were zêdekirin).
  • Têketina şîfrekirî (têketinek şîfrekirî ya kesane ya ku ji hêla mirovan ve tê xwendin li nexşeyê tê zêdekirin).
  • Lez (parastin / verastkirina tevahiya dabeşek ku ji bo GRUB2 hatî veqetandin hema hema di cih de pêk tê).
  • Xweseriya hemî pêvajoyên krîptografîk.

Dezawantajên li ser klasîkan.

  • Sextekirina îmzeyê (bi teorîkî, gengaz e ku meriv lihevhatinek fonksiyonek hash a diyarkirî bibîne).
  • Asta dijwariya zêde (Li gorî klasîk, hinekî bêtir zanîna GNU/Linux OS hewce ye).

Fikra hashkirina GRUB2/partition çawa dixebite

Dabeşkirina GRUB2 tê "îmzakirin" dema ku OS-ê boot dike, dabeşkirina boot loader ji bo neguhêrbariyê tê kontrol kirin, li pey têketinek li hawîrdorek ewledar (şîfrekirî). Ger bootloader an jî dabeşkirina wê têkeve, ji bilî têketina navberê, ya jêrîn tê destpêkirin:

Tişt.Şîfrekirina tevahî dîskê ya pergalên sazkirî yên Windows Linux. Pir-bootê şîfrekirî

Kontrolek wusa rojê çar caran pêk tê, ku çavkaniyên pergalê bar nake.
Bi karanîna fermana "-$ check_GRUB", kontrolek tavilê di her kêliyê de bêyî têketinê, lê digel agahdariya ku ji CLI re derdixe pêk tê.
Bi karanîna fermana "-$ sudo signature_GRUB", bootloader/partition GRUB2 tavilê ji nû ve tê îmze kirin û têketina wê ya nûvekirî ye. (pêdivî piştî nûvekirina OS / boot), û jiyan berdewam dike.

Ji bo bootloader û beşa wê pêkanîna rêbazek hashing

0) Werin em bootloader/partitiona GRUB-ê îmze bikin û pêşî li /media/navê bikarhêner bixin

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) Em di koka OS-ya şîfrekirî ~/podpis de skrîptek bêyî dirêjkirinê diafirînin, mafên ewlehiyê yên 744 yên pêwîst û parastina bêaqil jê re bicîh dikin.

Dagirtina naveroka wê

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

Skrîptê ji rêve bike su, haşkirina dabeşkirina GRUB û bootloader wê were kontrol kirin, têketinê hilînin.

Werin em, wek nimûne, "pelek xirab" [virus.mod] li dabeşa GRUB2 biafirînin an kopî bikin û şanek/ceribandinek demkî bimeşînin:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

Divê CLI dagirkeriyek li ser keleha me bibîne.#Trimmed têketin CLI

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

#Wekî ku hûn dibînin, "Pel hatin barkirin: 1 û Kontrol têk çû" xuya dike, ku tê vê wateyê ku kontrol têk çû.
Ji ber xwezaya dabeşa ku tê ceribandin, li şûna "Pelên nû hatin dîtin"> "Pel hatin barkirin"

2) Gif-ê li vir bixin > ~/warning.gif, destûrên 744-ê bicîh bikin.

3) Veavakirina fstab ji bo otomotîkkirina dabeşkirina GRUB di dema bootê de

-$ sudo nano /etc/fstab

LABEL=GRUB /medya/navê bikarhêner/GRUB ext4 0 0 pêşnîyaz dike

4) Zivirandina têketinê

-$ sudo nano /etc/logrotate.d/podpis

/var/log/podpis.txt {
rojane
bizivirin 50
mezinahiya 5M
dateext
tîrkirin
delaycompress
olddir /var/log/old
}

/var/log/vtorjenie.txt {
mehane
bizivirin 5
mezinahiya 5M
dateext
olddir /var/log/old
}

5) Karekî li cron zêde bike

-$ sudo crontab -e

destpêbikin '/abonetî'
0 */6 * * * '/podpis

6) Afirandina navên daîmî 

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

Piştî nûvekirina OS -$ apt-get upgrade dabeşkirina meya GRUB-ê ji nû ve îmze bikin
-$ подпись_GRUB
Di vê nuqteyê de, parastina hashing ya dabeşkirina GRUB qediya.

[D] Paqijkirin - hilweşandina daneyên neşîfrekirî

Li gorî berdevkê Karolînaya Başûr Trey Gowdy, pelên xweyên kesane ew qas bi tevahî jêbirin ku "xwedê jî nikaribe wan bixwîne".

Wekî her car, cûrbecûr "efsaneyên û efsaneyan", di derbarê vegerandina daneyan piştî ku ew ji dîska hişk hate jêbirin. Ger hûn ji cyberwitchcraft bawer dikin, an endamê civata webê ya Dr in û piştî ku hate jêbirin/sernivîsandin qet vegerandina daneyan neceribandiye (mînakî, başbûn bi karanîna R-studio), wê hingê rêbaza pêşniyarkirî ne mimkûn e ku li gorî we be, tiştê ku herî nêzê we ye bikar bînin.

Piştî ku GNU/Linux bi serfirazî veguhezîne dabeşek şîfrekirî, divê kopiya kevn bêyî ku îmkana vegerandina daneyê were jêbirin. Rêbaza paqijkirina gerdûnî: nermalava ji bo nermalava GUI-ya belaş a Windows/Linux BleachBit.
Zû zûtirîn beşê format bikin, daneyên ku li ser pêdivî ye ku bêne hilweşandin (bi rêya Gparted) BleachBit bidin destpêkirin, "Cihê belaş paqij bike" hilbijêrin - dabeşkirinê hilbijêrin (sdaX-a we bi kopiyek berê ya GNU/Linux re), dê pêvajoya derxistinê dest pê bike. BleachBit - dîskê bi yek derbasbûnê paqij dike - ya ku "em hewce ne" ev e, Lê! Ev tenê di teoriyê de dixebite heke we dîskê format kir û di nermalava BB v2.0 de paqij kir.

Haydar! BB dîskê paqij dike, dema ku dane têne hilanîn navên pelan têne parastin (Ccleaner - metadata nahêle).

Û efsaneya li ser îmkana vegerandina daneyan bi tevahî ne efsane ye.Bleachbit V2.0-2 pakêta Debian OS-ya berê ya ne aram (û her nermalava din a mîna: sfill; wipe-Nautilus - di vê karsaziya qirêj de jî hatin dîtin) bi rastî xeletiyek krîtîk hebû: fonksiyona "paqijkirina cîhê belaş". ew bi xeletî dixebite li ser ajokarên HDD/Flash (ntfs/ext4). Nermalava bi vî rengî, dema ku cîhê belaş paqij dike, wekî ku gelek bikarhêner difikirin, tevahiya dîskê nanivîse. Û hinek (zêde) Daneyên jêbirin OS/nermalava van daneyan wekî daneya ne jêbirin/bikarhêner dihesibîne û dema "OSP"-ê paqij dike, van pelan diavêje. Pirsgirêk ev e ku piştî demek wusa dirêj, paqijkirina dîskê "Pelên jêbirin" dikarin werin vegerandin tewra piştî 3+ derbasbûna paqijkirina dîskê.
Li ser GNU/Linux li Bleachbit 2.0-2 Fonksiyonên jêbirina domdar a pel û peldankan bi pêbawer dixebitin, lê cîhê belaş paqij nakin. Ji bo berhevdanê: li ser Windows-ê di CCleaner de fonksiyona "OSP ji bo ntfs" bi rêkûpêk dixebite, û Xwedê bi rastî dê nikaribe daneyên jêbirin bixwîne.

Û ji ber vê yekê, bi tevahî jêbirin "lihevkirin" daneyên kevn ên neşîfrekirî, Bleachbit hewceyê gihîştina rasterast a vê daneyê ye, paşê, fonksiyona "bi domdarî pelan / pelan jêbirin" bikar bînin.
Ji bo rakirina "pelên jêbirin bi karanîna amûrên OS-ya standard" di Windows-ê de, CCleaner/BB bi fonksiyona "OSP" bikar bînin. Di GNU/Linux de li ser vê pirsgirêkê (pelên jêbirin jêbirin) divê hûn bi tena serê xwe pratîkê bikin (hilweşîna daneyan + hewildanek serbixwe ji bo vegerandina wê û pêdivî ye ku hûn pişta xwe nedin guhertoya nermalavê (heke ne nîşanek, wê hingê xeletiyek)), tenê di vê rewşê de hûn ê bikaribin mekanîzmaya vê pirsgirêkê fam bikin û daneyên jêbirin bi tevahî ji holê rakin.

Min Bleachbit v3.0 ceriband nekiriye, dibe ku pirsgirêk jixwe hatî rast kirin.
Bleachbit v2.0 bi durustî dixebite.

Di vê gavê de, paqijkirina dîskê qediya.

[E] Piştgiriya gerdûnî ya OS-ya şîfrekirî

Her bikarhêner xwedan rêbazek xweya piştgirîkirina daneyan e, lê daneyên pergala OS-ya şîfrekirî ji peywirê re nêzîkatiyek hinekî cûda hewce dike. Nermalava yekbûyî, wekî Clonezilla û nermalava mîna wan, nikare rasterast bi daneyên şîfrekirî re bixebite.

Daxuyaniya pirsgirêka piştgirîkirina amûrên bloka şîfrekirî:

  1. gerdûnî - heman algorîtma/nermalava hilanînê ya ji bo Windows/Linux;
  2. şiyana karkirina di konsolê de bi her USB-ya zindî ya GNU/Linux-ê re bêyî hewcedariya dakêşana nermalava zêde (lê dîsa jî GUI pêşniyar dikin);
  3. ewlekariya kopiyên paşvekişandinê - Divê "wêneyên" yên hilanîn werin şîfrekirin / şîfre bêne parastin;
  4. mezinahiya daneyên şîfrekirî divê bi mezinahiya daneyên rastîn ên ku têne kopî kirin re têkildar be;
  5. derxistina hêsan a pelên pêwîst ji kopiyek hilanînê (ne hewce ye ku pêşî hemî beşê deşîfre bike).

Mînakî, bi navgîniya amûra "dd" hilanînê/vegerandin

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

Ew hema hema bi hemî xalên peywirê re têkildar e, lê li gorî xala 4-ê ew li hember rexneyê radiweste, ji ber ku ew tevahiya dabeşkirina dîskê, tevî cîhê belaş jî kopî dike - ne balkêş.

Mînakî, paşgirek GNU/Linux bi rêya arşîvan [tar" | gpg] rehet e, lê ji bo hilanînê Windows-ê hûn hewce ne ku li çareseriyek din bigerin - ew ne balkêş e.

E1. Piştgiriya gerdûnî ya Windows/Linux. Girêdana rsync (Grsync) + Voluma VeraCryptAlgorîtmaya çêkirina kopiyek paşvekêşanê:

  1. çêkirina konteynirek şîfrekirî (cild/pel) VeraCrypt ji bo OS;
  2. OS-ê bi karanîna nermalava Rsync veguhezînin / hevdeng bikin nav konteynera krîptoya VeraCrypt;
  3. heke hewce be, volga VeraCrypt li www.

Afirandina konteynerek VeraCrypt-a şîfrekirî taybetmendiyên xwe hene:
afirandina volume dînamîk (afirandina DT tenê di Windows-ê de heye, dikare di GNU/Linux de jî were bikar anîn);
afirandina cildek birêkûpêk, lê hewcedariya "karakterek paranoîd" heye (li gorî pêşdebiran) - formatkirina konteyneran.

Di Windows-ê de hêjmarek dînamîk hema hema di cih de tê afirandin, lê dema ku daneya ji GNU/Linux> VeraCrypt DT kopî dike, performansa giştî ya operasyona paşvekişandinê pir kêm dibe.

Volumek birêkûpêk 70 GB Twofish tê afirandin (Em tenê bibêjin, li ser hêza PC-ya navîn) ji bo HDD ~ di nîv saetê de (sernivîsandina daneyên konteynera berê di yek derbasbûnê de ji ber hewcedariyên ewlehiyê ye). Fonksiyona zû formatkirina cildekê dema çêkirina wê ji VeraCrypt Windows/Linux-ê hatiye rakirin, ji ber vê yekê çêkirina konteynir tenê bi "ji nû venivîsandina yek-derbasbûnê" an bi afirandina cildeyek dînamîkî ya kêm-performansa gengaz e.

Volumek VeraCrypt bi rêkûpêk biafirînin (ne dînamîk/ntfs), divê tu pirsgirêk nebin.

Di VeraCrypt GUI> GNU/Linux usb-ya zindî de konteynerek mîheng bike/çêbike/veke (hejmar dê bixweber li /media/veracrypt2-ê, volga OS-ê ya Windows-ê li /media/veracrypt1-ê were danîn). Bi karanîna GUI rsync-ê vekêşana şîfrekirî ya Windows OS-ê çêbikin (grsync)bi kontrolkirina sindoqan.

Şîfrekirina tevahî dîskê ya pergalên sazkirî yên Windows Linux. Pir-bootê şîfrekirî

Li bendê bin ku pêvajo biqede. Dema ku hilanînê qediya, em ê yek pelek şîfrekirî hebe.

Bi heman awayî, kopiyek paşvekêşanê ya GNU/Linux OS-ê bi rakirina qutiya kontrolê ya "lihevhatina Windows" ya di GUI-ya rsync de biafirînin.

Haydar! Di pergala pelan de ji bo "vegerandina GNU/Linux" konteynirek Veracrypt biafirîne ext4. Ger hûn li konteynirek ntfs paşvekişandinê çêbikin, wê hingê gava ku hûn kopiyek wusa sererast bikin, hûn ê hemî mafên / koman li ser hemî daneyên xwe winda bikin.

Hemî operasyon dikarin di termînalê de bêne kirin. Vebijarkên bingehîn ji bo rsync:
* -g -komên tomarkirinê;
* -P —pêşveçûn — rewşa dema ku li ser pelê xebitî;
* -H - lînkên hişk wekî ku heye kopî bikin;
* -a -moda arşîvê (gelek alên rlptgoD);
* -v -biwêjkirin.

Heke hûn dixwazin bi navgîniya konsolê di nermalava cryptsetup de "volga Windows VeraCrypt" saz bikin, hûn dikarin navekî (su) biafirînin.

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

Naha fermana "wêneyên veramount" dê ji we bipirse ku hûn şîfreyek têkevin, û volga pergala Windows-ê ya şîfrekirî dê di OS-ê de were danîn.

Di fermana cryptsetup de nexşe/çiyayê pergala VeraCrypt

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

Di fermana cryptsetup de nexşe / dabeşkirin / konteynerê VeraCrypt bixin

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

Li şûna navnav, em ê (skrîptek ji bo destpêkirinê) cildek pergalê bi Windows OS û dîskek ntfs-ya şîfrekirî ya mantiqî li destpêka GNU/Linux zêde bikin.

Skrîptekê biafirînin û wê di ~/VeraOpen.sh de hilînin

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

Em mafên "rast" belav dikin: 

sudo chmod 100 /VeraOpen.sh

Di /etc/rc.local û ~/etc/init.d/rc.local de du pelên wek hev (eynî nav!) biafirînin.
Dosyayan dagirtin 

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

Em mafên "rast" belav dikin: 

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local

Ew e, naha dema barkirina GNU/Linux-ê em ne hewce ne ku şîfreyan binivîsin da ku dîskên ntfs yên şîfrekirî siwar bikin, dîsk bixweber têne danîn.

Nîşeyek bi kurtî li ser tiştê ku li jor di paragrafa E1 de gav bi gav hatî destnîşan kirin (lê naha ji bo OS GNU/Linux)
1) Di fs ext4 > 4gb (ji bo pelê) Linux de di Veracrypt [Cryptbox] de cildek biafirînin.
2) Ji nû ve saz bikin ku USB-ya zindî.
3) ~$ cryptsetup veke /dev/sda7 Lunux #mapping dabeşkirina şîfrekirî.
4) ~$ bike /dev/mapper/Linux /mnt.
5) ~$ mkdir mnt2 #çêkirina pelrêçek ji bo paşvekêşana pêşerojê.
6) ~$ cryptsetup vekirî —veracrypt — tcrypt binivîsin ~/CryptoBox CryptoBox && mount /dev/mapper/CryptoBox /mnt2 #Nexşeya cildeke Veracrypt a bi navê "CryptoBox" bikin û CryptoBox li /mnt2 girêdin.
7) ~$ rsync -avlxhHX —pêşveçûn /mnt /mnt2/ #xebata paşvekişandinê ya dabeşek şîfrekirî berbi volume Veracrypt ya şîfrekirî.

(p/s/ Haydar! Ger hûn GNU/Linux-a şîfrekirî ji mîmarî/makîneyek din veguhezînin, mînakî, Intel > AMD (ango, hilanînê ji parçeyek şîfrekirî vediguhezînin dabeşek din a şîfrekirî Intel> AMD), Ji bîr nekin Piştî veguheztina OS-ya şîfrekirî, belkî li şûna şîfreyê mifteya cîhgira veşartî biguherînin. mifteya berê ~/etc/skey - dê êdî li ser dabeşkirinek din a şîfrekirî nemîne, û nayê şîret kirin ku mifteyek nû "cryptsetup luksAddKey" ji binê chroot were afirandin - xeletiyek gengaz e, tenê di ~/etc/crypttab de li şûna "/etc/skey" bi demkî "tune" ", piştî rebot û têketina OS-ê, mifteya xweya nepenî ji nû ve biafirînin).

Wekî kevneperestên IT-ê, ji bîr mekin ku hûn ji hev veqetînin sernavên dabeşên Windows/Linux OS-ê yên şîfrekirî, an jî şîfrekirin dê li dijî we derkeve.
Di vê gavê de, hilanînê ya OS-ya şîfrekirî qediya.

[F] Êrîşî bootloader GRUB2

Agahdarî bibîninGer we bootloader-a xwe bi îmzeyek dîjîtal û/an verastkirinek parastiye (li xala C6 binêre.), wê hingê ev ê li hember gihîştina laşî neparêze. Daneyên şîfrekirî dê hîn jî negihîjin, lê parastin dê were derbas kirin (parastina îmzeya dîjîtal ji nû ve saz bike) GRUB2 destûrê dide xirabkarek sîber ku bêyî ku gumanê bike koda xwe têxe bootloader. (heya ku bikarhêner bi destan çavdêriya rewşa bootloader neke, an ji bo grub.cfg koda xweya keyfî-skrîpta xwe ya bihêz dernekeve).

Algorîtmaya êrîşê. Binavket

* PC-ê ji USB-ya zindî vedike. Her guhertin (bindkar) pel dê xwediyê rastîn ê PC-ê di derbarê ketina nav bootloader de agahdar bikin. Lê ji nû ve sazkirinek hêsan a GRUB2 grub.cfg digire (û şiyana paşîn a biguherîne) dê bihêle êrîşkar her pelan biguherîne (Di vê rewşê de, dema barkirina GRUB2, bikarhênerê rastîn nayê agahdar kirin. Rewş heman e <0>)
* Parvekirinek neşîfrekirî çêdike, "/mnt/boot/grub/grub.cfg" hilîne.
* Bootloader ji nû ve saz dike ("perskey" ji wêneya core.img derxistin)

grub-install --force --root-directory=/mnt /dev/sda6

* "grub.cfg"> "/mnt/boot/grub/grub.cfg" vedigerîne, ger hewce bike wê diguherîne, mînakî, modula xwe ya "keylogger.mod" li peldanka bi modulên barkerê, di "grub.cfg" de zêde dike. > rêzika "insmod keylogger". An jî, mînakî, heke dijmin hîlebaz e, wê hingê piştî ku GRUB2 ji nû ve saz bikin (hemû îmze di cihê xwe de dimînin) ew wêneya sereke ya GRUB2 bi karanîna "grub-mkimage bi vebijarka (-c)" ava dike." Vebijarka "-c" dê bihêle ku hûn berî barkirina "grub.cfg" ya sereke konfigurasyona xwe bar bikin. Vesazkirin dikare tenê ji yek rêzek pêk were: beralîkirina her "modern.cfg", tevlihev, wek nimûne, bi ~ 400 pelan re (modul + îmze) di peldanka "/boot/grub/i386-pc". Di vê rewşê de, êrîşkar dikare koda kêfî têxe û modulan bar bike bêyî ku bandorê li "/boot/grub/grub.cfg bike", hetta ku bikarhêner "hashsum" li pelê bicîh bike û bi demkî li ser ekranê nîşan bide.
Ne hewce ye ku êrîşkar têketin / şîfreya superbikarhêner GRUB2 hack bike; (berpirsiyar ji erêkirinê) "/boot/grub/grub.cfg" ji bo "modern.cfg" te

set superusers = "root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

Û xwediyê PC-ê dê hîn jî wekî superbikarhênerê GRUB2 were pejirandin.

Barkirina zincîre (bootloader bootloaderek din bar dike), wek ku min li jor jî nivîsî, ne wate ye (ji bo armancek cûda tête armanc kirin). Bootloader-a şîfrekirî ji ber BIOS-ê nayê barkirin (boota zincîrê GRUB2 ji nû ve dest pê dike > GRUB2 ya şîfrekirî, xeletî!). Lêbelê, heke hûn hîn jî ramana barkirina zincîrê bikar bînin, hûn dikarin pê ewle bin ku ew ya şîfrekirî ye ku tê barkirin. (ne nûjenkirî) "grub.cfg" ji dabeşkirina şîfrekirî. Û ev jî hestek ewlehiyê ya derewîn e, ji ber ku her tiştê ku di "grub.cfg" ya şîfrekirî de tê destnîşan kirin (barkirina modulê) modulên ku ji GRUB2-ya neşîfrekirî têne barkirin zêde dike.

Heke hûn dixwazin vê yekê kontrol bikin, wê hingê sdaY parçeyek din veqetînin/şîfre bikin, GRUB2 jê re kopî bikin. (xebata sazkirina grub-ê li ser dabeşek şîfrekirî ne gengaz e) û di "grub.cfg" de (mîhenga neşîfrekirî) xetên mîna van biguherînin

menuentry 'GRUBx2' --class parrot --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
load_video
insmod gzio
heke [x$grub_platform = xxen]; paşê insmod xzio; insmod lzopio; fi
insmod part_msdos
insmod cryptodisk
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
normal /boot/grub/grub.cfg
}

rêz
* insmod - barkirina modulên pêwîst ji bo xebata bi dîskek şîfrekirî;
* GRUBx2 - navê rêza ku di menuya bootê ya GRUB2 de tê xuyang kirin;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -binêre. fdisk -l (sda9);
* root saz bike - root saz bike;
* normal /boot/grub/grub.cfg - pelê veavakirinê ya îcrakar li ser dabeşek şîfrekirî.

Baweriya ku ew "grub.cfg" ya şîfrekirî ye ku tê barkirin bersivek erênî ye ji bo têketina şîfreyê/vekirina "sdaY" dema ku rêzika "GRUBx2" di menuya GRUB de hilbijêrin.

Dema ku di CLI-ê de dixebitin, da ku hûn tevlihev nekin (û kontrol bikin ka guhêrbara jîngehê "set root" xebitî), pelên tokenên vala biafirînin, mînakî, di beşa şîfrekirî "/shifr_grub", di beşa neşîfrekirî de "/noshifr_grub". Di CLI de kontrol bikin 

cat /Tab-Tab

Wekî ku li jor hate destnîşan kirin, heke modulên weha li ser PC-ya we biqedin, ev ê li hember dakêşana modulên xerab ne alîkar be. Mînakî, keyloggerek ku dê bikaribe bişkojkên pelê tomar bike û bi pelên din ên di "~/i386" de tevlihev bike heya ku ew ji hêla êrîşkarek bi gihîştina laşî ya PC-yê ve were dakêşandin.

Awayê herî hêsan ji bo verastkirina ku parastina îmzeya dîjîtal bi rengek çalak dixebite (ne vegere), û tu kesî bootloader dagir nekiriye, emrê di CLI de têkevin

list_trusted

Di bersivê de em kopiyek "perskey" ya xwe distînin, an jî heke êrîş li me were kirin em tiştek nagirin (hûn jî hewce ne ku "set check_signatures=sepandin" kontrol bikin).
Dezavantajek girîng a vê gavê ketina fermanan bi destan e. Ger hûn vê fermanê li "grub.cfg" zêde bikin û vesazkirinê bi îmzayek dîjîtal biparêzin, wê hingê derketina pêşîn a wêneya mifteyê ya li ser ekranê di wextê xwe de pir kurt e, û dibe ku wextê we tune ku hûn piştî barkirina GRUB2 encam bibînin. .
Kesek bi taybetî tune ku îdiayan bike: pêşdebir di wî de belgekirin xala 18.2 bi fermî eşkere dike

Bala xwe bidinê ku tevî parastina şîfreya GRUB-ê jî, GRUB bi xwe nikare pêşî li kesê ku gihîştina fizîkî ya makîneyê heye nehêle ku konfigurasyona wê makîneyê (mînak, Coreboot an BIOS) biguhezîne ku bibe sedem ku makîne ji amûrek cûda (ji hêla êrîşker ve tê kontrol kirin) were destpêkirin. GRUB di herî baş de tenê yek zencîreyek di zincîra bootê ya ewledar de ye."

GRUB2 bi fonksiyonên ku dikarin hestek ewlehiyek derewîn bidin pir tije ye, û pêşkeftina wê ji hêla fonksiyonê ve ji MS-DOS-ê derbas bûye, lê ew tenê bootloader e. Kêfxweş e ku GRUB2 - "sibê" dikare ji bo wê bibe OS, û makîneyên virtual yên bootable GNU/Linux.

Vîdyoyek kurt li ser ka ez çawa parastina nîşana dîjîtal a GRUB2 ji nû ve saz kirim û destwerdana xwe ji bikarhênerek rastîn re ragihand (Min hûn tirsandim, lê li şûna tiştê ku di vîdyoyê de tê xuyang kirin, hûn dikarin koda keyfî ya bê zirar binivîsin/.mod).

Encamên

1) Şîfrekirina pergala astengkirina ji bo Windows-ê hêsantir e, û parastina bi yek şîfreyê ji parastina bi çend şîfreyên bi şîfrekirina pergala bloka GNU/Linux re hêsantir e, ji bo ku rast be: ya paşîn otomatîk e.

2) Min gotar wekî têkildar û berfireh nivîsî asan rêbernameyek şîfrekirina tev-dîska VeraCrypt/LUKS li ser yek malê makîneyê, ku di RuNet (IMHO) de heya niha çêtirîn e. Rênîşander ji 50 hezar tîpan dirêj e, ji ber vê yekê hin beşên balkêş venegirtiye: krîptografên ku winda dibin/di bin siyê de dimînin; li ser vê yekê ku di pirtûkên cihêreng ên GNU/Linux de ew li ser şîfrekirinê hindik dinivîsin/nanivîsin; li ser Xala 51 ya Destûra Bingehîn a Federasyona Rûsyayê; O lîsansa/qedexe şîfrekirina li Federasyona Rûsyayê, li ser çima hûn hewce ne ku "root / boot" şîfre bikin. Rêbertî pir berfireh, lê berfireh derket holê. (tevî gavên hêsan jî diyar dike), di encamê de, dema ku hûn bigihîjin "şîfrekirina rastîn" ev ê ji we re gelek wext xilas bike.

3) Şîfrekirina tevahî ya dîskê li ser Windows 7 64 hate kirin; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.

4) Êrîşeke serketî li ser pêk anî Bootloader GRUB2.

5) Tutorial hate afirandin ku ji hemî mirovên paranoîd ên li CIS re bibe alîkar, ku li wir xebata bi şîfrekirinê di asta qanûnî de destûr e. Û di serî de ji bo kesên ku dixwazin bêyî hilweşandina pergalên xwe yên mîhengkirî şîfrekirina tev-dîskê derxînin.

6) Destûra xwe ya ku di sala 2020-an de têkildar e ji nû ve xebitand û nûve kir.

[G] Belgeyên kêrhatî

  1. Rêbernameya Bikarhêner TrueCrypt (Sibat 2012 RU)
  2. Belgekirina VeraCrypt
  3. /usr/share/doc/cryptsetup(-run) [çavkaniya herêmî] (belgeyên fermî yên berfireh li ser sazkirina şîfrekirina GNU/Linux bi karanîna cryptsetup)
  4. Fermî FAQ cryptsetup (kurt belgekirin li ser sazkirina şîfrekirina GNU/Linux bi karanîna cryptsetup)
  5. Şîfrekirina cîhaza LUKS (belgekirina archlinux)
  6. Danasîna berfireh a hevoksaziya cryptsetup (rûpelê zilamê kemerî)
  7. Danasîna berfireh a crypttab (rûpelê zilamê kemerî)
  8. Belgeyên fermî yên GRUB2.

Etîket: şîfrekirina tevahî dîskê, şîfrekirina dabeşkirinê, şîfrekirina tevahî dîskê Linux, şîfrekirina pergala tevahî LUKS1.

Tenê bikarhênerên qeydkirî dikarin beşdarî anketê bibin. Têketinji kerema xwe.

Hûn şîfre dikin?

  • 17,1%Ez her tiştî şîfre dikim. Ez paranoîd im.14

  • 34,2%Ez tenê daneyên girîng şîfre dikim.28

  • 14,6%Carinan şîfre dikim, carinan ji bîr dikim.12

  • 34,2%Na, ez şîfre nakim, nerehet û biha ye.28

82 bikarhêneran deng dan. 22 bikarhêner betal bûn.

Source: www.habr.com

Add a comment