Windows Linux орнотулган системаларынын толук диск шифрлөөсү. Шифрленген көп жүктөө

RuNet V0.2де толук дискти шифрлөө боюнча жаңыртылган жеке колдонмо.

Ковбой стратегиясы:

[A] орнотулган системанын Windows 7 системалык блоктун шифрлөөсү;
[B] GNU/Linux тутумдук блоктун шифрлөөсү (Дебиан) орнотулган система (анын ичинде / жүктөө);
[C] GRUB2 конфигурациясы, санарип колтамга/аныктыгын текшерүү/хэшинг менен жүктөгүчтү коргоо;
[D] чечмелөө — шифрленбеген маалыматтарды жок кылуу;
[E] шифрленген ОСтин универсалдуу резервдик көчүрмөсү;
[F] чабуулу <[C6] элементине> максаттуу - GRUB2 жүктөгүч;
[G] пайдалуу документтер.

╭─── #40 # бөлмөнүн схемасы :
├──╼ Windows 7 орнотулган - толук система шифрлөө, жашырылган эмес;
├──╼ GNU/Linux орнотулду (Debian жана туунду бөлүштүрүү) — толук система шифрлөө, жашыруун эмес(/, анын ичинде / жүктөө; алмаштыруу);
├──╼ көз карандысыз жүктөгүчтөр: VeraCrypt жүктөгүч MBRде орнотулган, GRUB2 жүктөгүч кеңейтилген бөлүмдө орнотулган;
├──╼OS орнотуу/кайра орнотуу талап кылынбайт;
└──╼колдонулган криптографиялык программа: VeraCrypt; Cryptsetup; GnuPG; Seahorse; Hashdeep; GRUB2 акысыз/акысыз.

Жогорудагы схема жарым-жартылай "флэш-дискке алыстан жүктөө" маселесин чечет, сизге шифрленген OS Windows/Linux менен ырахат алууга жана бир ОСтен экинчисине "шифрленген канал" аркылуу маалымат алмашууга мүмкүндүк берет.

Компьютерди жүктөө тартиби (опциялардын бири):

• машинаны күйгүзүү;
• VeraCrypt жүктөгүчтү жүктөө (Туура сырсөздү киргизүү Windows 7ди жүктөөнү улантат);
• "Esc" баскычын басуу GRUB2 жүктөгүчтү жүктөйт;
• GRUB2 жүктөөчү (таратуу/GNU/Linux/CLI тандоо), GRUB2 супер колдонуучусунун аутентификациясын талап кылат <login/password>;
• ийгиликтүү аутентификациядан жана бөлүштүрүүнү тандап алгандан кийин, “/boot/initrd.img” кулпусун ачуу үчүн купуя сөз айкашын киргизишиңиз керек болот;
• катасыз сырсөздөрдү киргизгенден кийин, GRUB2 сырсөз киргизүүнү "талап кылат" (үчүнчүдөн, BIOS сырсөзүн же GNU/Linux колдонуучу каттоо эсебинин сырсөзүн - эске албайбыз) GNU/Linux OS кулпусун ачуу жана жүктөө үчүн, же жашыруун ачкычты автоматтык түрдө алмаштыруу (эки сырсөз + ачкыч, же сырсөз + ачкыч);
• GRUB2 конфигурациясына тышкы кийлигишүү GNU/Linux жүктөө процессин токтотот.

Тынчсызбы? Макул, процесстерди автоматташтыралы.

Катуу дискти бөлүүдө (MBR таблицасы) Компьютерде 4төн ашык негизги бөлүм болушу мүмкүн, же 3 негизги жана бир кеңейтилген, ошондой эле бөлүштүрүлбөгөн аймак болушу мүмкүн. Кеңейтилген бөлүм негизги бөлүмдөн айырмаланып, бөлүмчөлөрдү камтышы мүмкүн (логикалык дисктер = кеңейтилген бөлүм). Башка сөз менен айтканда, HDDдеги "кеңейтилген бөлүм" LVMди алмаштырат: толук система шифрлөө. Эгерде сиздин дискиңиз 4 негизги бөлүккө бөлүнгөн болсо, lvm же трансформацияны колдонушуңуз керек (форматтоо менен) негизгиден өркүндөтүлгөн бөлүмгө өтүңүз же төрт бөлүмдүн бардыгын акылдуулук менен колдонуп, каалаган натыйжаны алуу менен бардыгын ошол бойдон калтырыңыз. Дискиңизде бир бөлүм бар болсо да, Gparted сизге HDDди бөлүүгө жардам берет (кошумча бөлүмдөр үчүн) маалыматтарды жоготуу жок, бирок дагы эле мындай иш-аракеттер үчүн бир аз жаза менен.

Катуу дисктин жайгашуу схемасы, ага байланыштуу макала толугу менен вербалдалат, төмөнкү таблицада берилген.

1ТБ бөлүктөрүнүн таблицасы (№1).

Сизде да окшош нерсе болушу керек.
sda1 - №1 NTFS негизги бөлүгү (шифрленген);
sda2 - кеңейтилген бөлүмдүн маркери;
sda6 - логикалык диск (анда GRUB2 жүктөгүч орнотулган);
sda8 - своп (шифрленген своп файлы/ар дайым эмес);
sda9 - логикалык дискти текшерүү;
sda5 - кызыкдар үчүн логикалык диск;
sda7 - GNU/Linux OS (OS шифрленген логикалык дискке которулат);
sda3 - Windows 2 OS менен №7 негизги бөлүм (шифрленген);
sda4 - №3 негизги бөлүм (анда шифрленбеген GNU/Linux камтылган, камдык көчүрмө үчүн колдонулган/ар дайым эмес).

[A] Windows 7 системалык блоктун шифрлөөсү

A1. VeraCrypt

Жүктөө расмий сайты, же күзгүдөн Мындан тышкары, VeraCrypt криптографиялык программанын орнотуу версиясы (v1.24-Update3 макаласы жарыяланган учурда, VeraCryptтин портативдик версиясы системаны шифрлөө үчүн ылайыктуу эмес). Жүктөлгөн программалык камсыздоонун текшерүү суммасын текшериңиз

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

жана натыйжаны VeraCrypt иштеп чыгуучу веб-сайтында жарыяланган CS менен салыштырыңыз.

HashTab программасы орнотулган болсо, ал дагы жеңил болот: RMB (VeraCrypt орнотуу 1.24.exe)-касиеттер - файлдардын хэш суммасы.

Программанын кол тамгасын текшерүү үчүн программалык камсыздоо жана иштеп чыгуучунун ачык pgp ачкычы системага орнотулушу керек gnuPG; gpg4win.

A2. Administrator укуктары менен VeraCrypt программасын орнотуу/иштөө

A3. Активдүү бөлүм үчүн системанын шифрлөө параметрлерин тандооVeraCrypt – Система – Система бөлүгүн/дискти шифрлөө – Кадимки – Windows тутум бөлүгүн шифрлөө – Көп жүктөө – (эскертүү: "Тажрыйбасыз колдонуучуларга бул ыкманы колдонуу сунушталбайт" жана бул чындык, биз макулбуз "Ооба") – Жүктөө диски («ооба», андай болбосо дагы, «ооба») – Системалык дисктердин саны “2 же андан көп” – Бир дисктеги бир нече системалар “Ооба” – Windows эмес жүктөгүч “Жок” (чынында, "Ооба", бирок VeraCrypt/GRUB2 жүктөөчүлөрү MBRди өз ара бөлүшпөйт; тагыраак айтканда, жүктөөчү коддун эң кичинекей бөлүгү гана MBR/жүктөө трегинде сакталат, анын негизги бөлүгү файл системасында жайгашкан) – Multiboot – Шифрлөө жөндөөлөрү…

Эгерде сиз жогорудагы кадамдардан четтесеңиз (системанын шифрлөө схемаларын блоктоо), анда VeraCrypt эскертүү берет жана бөлүмдү шифрлоого жол бербейт.

Максаттуу маалыматты коргоого карай кийинки кадамда, "Тест" өткөрүп, шифрлөө алгоритмин тандаңыз. Эгер сизде эскирген CPU болсо, анда эң ылдам шифрлөө алгоритми Twofish болот. Эгерде CPU күчтүү болсо, анда сиз айырманы байкайсыз: AES шифрлөө, тесттин жыйынтыгы боюнча, анын крипто атаандаштарына караганда бир нече эсе тезирээк болот. AES - бул популярдуу шифрлөө алгоритми;

VeraCrypt дисктерди AES каскадында шифрлөө мүмкүнчүлүгүн колдойт(Эки балык)/жана башка комбинациялар. Он жыл мурунку эски негизги Intel процессорунда (AES үчүн аппараттык колдоо жок, A/T каскаддык шифрлөө) Иштин төмөндөшү байкалбайт. (ошол эле доордогу/~параметрлердеги AMD процессорлору үчүн, аткаруу бир аз төмөндөйт). OS динамикалык иштейт жана тунук шифрлөө үчүн ресурс керектөө көрүнбөйт. Ал эми, мисалы, орнотулган туруксуз сыноо иш столунун Mate v1.20.1 чөйрөсүнөн улам аткаруунун байкаларлык төмөндөшү бар. (же v1.20.2 так эсимде жок) GNU/Linux ичинде же Windows7↑де телеметрия процедурасынын иштешинен улам. Адатта, тажрыйбалуу колдонуучулар шифрлөөдөн мурун аппараттык камсыздоонун иштешин текшеришет. Мисалы, Aida64/Sysbench/systemd-анализде күнөө системаны шифрлегенден кийин ошол эле сыноолордун натыйжалары менен салыштырылат, ошону менен өздөрү үчүн "системанын шифрлөө зыяндуу" деген мифти жокко чыгарат. Шифрленген маалыматтардын резервдик көчүрмөсүн сактоо/калыбына келтирүү учурунда машинанын жайлоосу жана ыңгайсыздык байкалат, анткени “системанын маалыматтарынын резервдик көчүрмөсү” операциясынын өзү мс менен өлчөнбөйт жана ошол эле <шифрлөө/шифрлөө учуу> кошулат. Акыр-аягы, криптография менен иштөөгө уруксат берилген ар бир колдонуучу шифрлөө алгоритмин алдыдагы милдеттердин канааттандырылышына, алардын паранойялык деңгээлине жана колдонуунун жөнөкөйлүгүнө каршы тең салмактайт.

OS жүктөөдө ар бир жолу так итерация маанилерин киргизбеш үчүн, PIM параметрин демейки катары калтыруу жакшы. VeraCrypt чындап эле "жай хэшти" түзүү үчүн көптөгөн итерацияларды колдонот. Brute force/Rainbow tables ыкмасын колдонуу менен мындай "крипто үлүлгө" кол салуу кыска "жөнөкөй" купуя сөз айкашы жана жабырлануучунун жеке символдор тизмеси менен гана мааниге ээ. Сырсөздүн күчү үчүн төлөй турган баа - бул ОСти жүктөөдө туура сырсөздү киргизүүнүн кечигүүсү. (GNU/Linux ичинде VeraCrypt көлөмүн орнотуу кыйла тезирээк).
Оор күч чабуулдарын ишке ашыруу үчүн акысыз программа (VeraCrypt/LUKS дисктин аталышынан купуя сөз айкашын чыгарып алыңыз) Hashcat. Джон Риппер Веракрипти кантип бузууну билбейт жана LUKS менен иштегенде Twofish криптографиясын түшүнбөйт.

Шифрлөө алгоритмдеринин криптографиялык күчтүүлүгүнөн улам, токтобогон киферпанктар башка чабуул вектору менен программалык камсыздоону иштеп чыгууда. Мисалы, RAMдан метадайындарды/ачкычтарды алуу (муздак жүктөө/түз эстутумга кирүү чабуулу), Бул максаттар үчүн атайын акысыз жана эркин эмес программалык камсыздоо бар.

Шифрленген активдүү бөлүмдүн "уникалдуу метаберилиштерин" орнотуу/түзүү аяктагандан кийин, VeraCrypt компьютерди өчүрүп күйгүзүүнү жана анын жүктөгүчүнүн функционалдуулугун текшерүүнү сунуштайт. Windowsту кайра жүктөөдөн/баштоодон кийин VeraCrypt күтүү режиминде жүктөлөт, шифрлөө процессин ырастоо гана калды - Y.

Системаны шифрлөөнүн акыркы этабында VeraCrypt жигердүү шифрленген бөлүмдүн аталышынын камдык көчүрмөсүн түзүүнү сунуштайт "veracrypt rescue disk.iso" - бул жасалышы керек - бул программалык камсыздоодо мындай операция талап кылынат (ЛУКСта, талап катары - бул, тилекке каршы, жок кылынган, бирок документтерде баса белгиленген). Куткаруу диски бардыгына, ал эми кээ бирлерине бир нече жолу жардам берет. жоготуу (баш аты/MBR кайра жазуу) баштын камдык көчүрмөсү Windows OS менен шифрленген бөлүмгө кирүүдөн биротоло баш тартат.

A4. VeraCrypt куткаруучу USB/дискти түзүүДемейки боюнча, VeraCrypt компакт-дискке “~2-3МБ метаберилиштерди” жазууну сунуштайт, бирок бардык эле адамдарда дисктер же DWD-ROM дисктери жок жана “VeraCrypt Rescue disk” жүктөлүүчү флэш-дискти түзүү айрымдар үчүн техникалык сюрприз болот: Rufus /GUIdd-ROSA ImageWriter жана башка ушул сыяктуу программалык камсыздоо тапшырманы аткара албайт, анткени жүктөөчү флэш-дискке офсеттик метаберилиштерди көчүрүүдөн тышкары, сиз USB дискинин файлдык тутумунан тышкары сүрөттү көчүрүп/коюшуңуз керек, кыскача айтканда, туура брелок үчүн MBR / жолду көчүрүү. Сиз GNU/Linux OSтен жүктөлүүчү флэш-дискти "dd" утилитасын колдонуп, ушул белгиге карап түзө аласыз.

Windows чөйрөсүндө куткаруу дискин түзүү башкача. VeraCrypt иштеп чыгуучу расмий бул маселени чечүү камтылган эмес документтештирүү "куткаруу диски" менен, бирок башка жол менен чечимди сунуштады: ал VeraCrypt форумунда акысыз кирүү үчүн "usb куткаруу дискин" түзүү үчүн кошумча программаны жайгаштырды. Windows үчүн бул программанын архивчиси "usb veracrypt куткаруу дискин түзүүдө". Rescue disk.iso сакталгандан кийин, активдүү бөлүмдү блок тутумунун шифрлөө процесси башталат. Шифрлөө учурунда ОСтун иштеши токтобойт, компьютерди кайра иштетүү талап кылынбайт. Шифрлөө операциясы аяктагандан кийин, активдүү бөлүм толугу менен шифрленген жана колдонулушу мүмкүн. Эгерде сиз компьютерди ишке киргизгениңизде VeraCrypt жүктөөчүсү көрүнбөсө жана башты калыбына келтирүү операциясы жардам бербесе, анда "жүктөө" желегин текшериңиз, ал Windows бар бөлүмгө коюлушу керек. (шифрлөөгө жана башка ОСке карабастан, №1 таблицаны караңыз).
Бул Windows OS менен блок системасын шифрлөөнүн сүрөттөлүшүн аяктайт.

[B]LUKS. GNU/Linux шифрлөө (~Debian) орнотулган OS. Алгоритм жана кадамдар

Орнотулган Debian/тууунду бөлүштүрүүнү шифрлөө үчүн, сиз даярдалган бөлүмдү виртуалдык блок түзмөгүнө карталашыңыз керек, аны картага түшүрүлгөн GNU/Linux дискине өткөрүп, GRUB2ди орнотуу/конфигурациялоо керек. Эгерде сизде жылаңач металл сервери жок болсо жана сиз өз убактыңызды бааласаңыз, анда сиз GUI колдонушуңуз керек жана төмөндө сүрөттөлгөн терминалдык буйруктардын көбү "Чак-Норрис режиминде" иштөөгө арналган.

B1. Live USB GNU/Linux'тан компьютер жүктөлүүдө

"Аппараттык камсыздоонун иштеши үчүн крипто тестин өткөрүңүз"

lscpu && сryptsetup benchmark

Эгер сиз AES аппараттык колдоосу менен күчтүү унаанын бактылуу ээси болсоңуз, анда сиз бактылуу ээси болсоңуз, сандар терминалдын оң жагына окшош болот, бирок антиквардык жабдыктар менен сандар сол жагына окшош болот .

B2. Дискти бөлүү. fs логикалык диск HDDди Ext4ге орнотуу/форматтоо (Gparted)

B2.1. Шифрленген sda7 бөлүм башын түзүүМен бул жерде жана андан ары бөлүмдөрдүн аталыштарын жогоруда жайгаштырылган бөлүү таблицама ылайык сүрөттөп берем. Дискиңиздин жайгашуусуна ылайык, сиз бөлүмдөрдүн аталыштарын алмаштыруу керек.

Логикалык дисктин шифрлөө картасы (/dev/sda7 > /dev/mapper/sda7_crypt).
# "LUKS-AES-XTS бөлүмүн" оңой түзүү

cryptsetup -v -y luksFormat /dev/sda7

Жолдор:

* luksFormat - LUKS башын инициализациялоо;
* -y -пасфраза (ачкыч/файл эмес);
* -v -вербалдаштыруу (терминалда маалыматты көрсөтүү);
* /dev/sda7 - кеңейтилген бөлүмдөн сиздин логикалык дискиңиз (бул жерде GNU/Linux өткөрүп берүү/шифрлөө пландаштырылууда).

Демейки шифрлөө алгоритми <LUKS1: aes-xts-plain64, ачкыч: 256 бит, LUKS аталышын хэштөө: sha256, RNG: /dev/urandom> (cryptsetup версиясына жараша болот).

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

Эгерде CPUда AES үчүн аппараттык колдоо жок болсо, анда эң жакшы тандоо кеңейтилген "LUKS-Twofish-XTS-бөлүмүн" түзүү болмок.

B2.2. "LUKS-Twofish-XTS-бөлүмүнүн" өркүндөтүлгөн түзүлүшү

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

Жолдор:
* luksFormat - LUKS башын инициализациялоо;
* /dev/sda7 сиздин келечектеги шифрленген логикалык дискиңиз;
* -v вербализация;
* -y купуя сөз айкашы;
* -c маалыматтарды шифрлөө алгоритмин тандоо;
* -s шифрлөө ачкычынын өлчөмү;
* -h хэштөө алгоритми/крипто функциясы, RNG колдонулат (--us-urandom) логикалык дисктин аталышы үчүн уникалдуу шифрлөө/дешифрлөө ачкычын, экинчи баш ачкычты (XTS) түзүү; шифрленген дисктин аталышында сакталган уникалдуу башкы ачкыч, экинчилик XTS ачкычы, ушул бардык метаберилиштер жана башкы ачкычты жана экинчи XTS ачкычын колдонуп, бөлүмдөгү бардык маалыматтарды шифрлейт/дешифрлеген шифрлөө тартиби (бөлүмдүн аталышынан тышкары) тандалган катуу диск бөлүмүндө ~3MB сакталган.
* -i "суммасынын" ордуна миллисекунддардагы итерациялар (купуя фразаны иштетүүдө убакыттын кечигүү ОСтун жүктөлүшүнө жана ачкычтардын криптографиялык күчүнө таасир этет). Криптографиялык күчтүн тең салмактуулугун сактоо үчүн "Орусча" сыяктуу жөнөкөй сырсөз менен -(i) маанисин "?8dƱob/øfh" сыяктуу татаал сырсөз менен көбөйтүү керек;
* — кокустук сандардын генераторун колдонуу, ачкычтарды жана тузду жаратат.

sda7 > sda7_crypt бөлүмүн картага түшүргөндөн кийин (иш ылдам, анткени шифрленген аталыш ~3 МБ метадайындар менен түзүлгөн жана ушуну менен бүттү), сиз sda7_crypt файл тутумун форматташыңыз жана орнотушуңуз керек.

B2.3. Салыштыруу

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

параметрлер:
* ачуу - "аты менен" бөлүмүн дал келтириңиз;
* /dev/sda7 -логикалык диск;
* sda7_crypt - OS жүктөөдө шифрленген бөлүмдү орнотуу же аны инициализациялоо үчүн колдонулган аталыштын картасы.

B2.4. sda7_crypt файл тутумун ext4 форматтоо. Дискти ОСке орнотуу(Эскертүү: Gpartedде шифрленген бөлүм менен иштей албайсыз)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt 

параметрлер:
* -v -вербализация;
* -L - диск энбелгиси (башка дисктердин арасында Explorerде көрсөтүлөт).

Андан кийин, сиз системага виртуалдык шифрленген блок түзмөгүн /dev/sda7_crypt орнотушуңуз керек

mount /dev/mapper/sda7_crypt /mnt

/mnt папкасындагы файлдар менен иштөө sda7деги маалыматтарды автоматтык түрдө шифрлейт/дешифрлейт.

Explorerде бөлүмдү картага салуу жана орнотуу ыңгайлуураак (nautilus/caja GUI), бөлүм мурунтан эле диск тандоо тизмесинде болот, дискти ачуу/шифрлөө үчүн купуя сөздү киргизүү гана калды. Дал келген ат "sda7_crypt" эмес, автоматтык түрдө тандалат, бирок /dev/mapper/Luks-xx-xx...

B2.5. Диск башынын камдык көчүрмөсү (~3MB метадайындар)Эң көбүнүн бири маанилүү кечиктирбестен аткарылышы керек болгон операциялар - "sda7_crypt" аталышынын резервдик көчүрмөсү. Эгер сиз башты кайра жазсаңыз/бузсаңыз (мисалы, GRUB2ди sda7 бөлүгүнө орнотуу ж.б.), шифрленген маалыматтар аны калыбына келтирбестен толугу менен жоголот, анткени ошол эле ачкычтарды уникалдуу түрдө кайра түзүү мүмкүн эмес;

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7 

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

параметрлер:
* luksHeaderBackup —header-backup-file -backup командасы;
* luksHeaderRestore —header-backup-file -калыбына келтирүү буйругу;
* ~/Backup_DebSHIFR - резервдик файл;
* /dev/sda7 - шифрленген диск башынын камдык көчүрмөсү сактала турган бөлүм.
Бул кадамда <шифрленген бөлүмдү түзүү жана түзөтүү> аяктады.

B3. GNU/Linux OS порттору (sda4) шифрленген бөлүмгө (sda7)

/mnt2 папкасын түзүңүз (Эскертүү - биз дагы эле жандуу USB менен иштеп жатабыз, sda7_crypt /mnt орнотулган), жана GNU/Linuxыбызды /mnt2ге орнотуңуз, ал шифрлениши керек.

mkdir /mnt2
mount /dev/sda4 /mnt2

Биз Rsync программалык камсыздоону колдонуу менен туура OS которууну ишке ашырабыз

rsync -avlxhHX --progress /mnt2/ /mnt

Rsync параметрлери E1 пунктунда сүрөттөлгөн.

андан ары, керек логикалык диск бөлүгүн дефрагментациялоо

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

Муну эрежеге айландырыңыз: эгер сизде HDD болсо, маал-маалы менен шифрленген GNU/LInuxта e4defrag жасаңыз.
Бул кадамда өткөрүп берүү жана синхрондоштуруу [GNU/Linux > GNU/Linux-шифрленген] аяктады.

AT 4. Шифрленген sda7 бөлүгүнө GNU/Linux орнотуу

OS /dev/sda4 > /dev/sda7 ийгиликтүү которулгандан кийин, сиз шифрленген бөлүмдө GNU/Linuxка кирип, андан аркы конфигурацияны аткарышыңыз керек. (Компьютерди кайра жүктөөсүз) шифрленген системага салыштырмалуу. Башкача айтканда, жандуу USB тутумунда болуңуз, бирок "шифрленген OS тамырына карата" буйруктарды аткарыңыз. "chroot" окшош жагдайды окшоштурат. Учурда кайсы ОС менен иштеп жатканыңыз тууралуу маалыматты тез алуу үчүн (шифрленген же шифрленген эмес, анткени sda4 жана sda7деги маалыматтар синхрондоштурулган), ОСти синхрондоштуруу. Түп каталогдорунда түзүңүз (sda4/sda7_crypt) бош маркер файлдары, мисалы, /mnt/encryptedOS жана /mnt2/decryptedOS. Кайсы ОС иштеп жатканыңызды тез текшериңиз (анын ичинде келечек үчүн):

ls /<Tab-Tab>

B4.1. "Шифрленген ОСке кирүү симуляциясы"

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. Иш шифрленген системага каршы жүргүзүлүп жаткандыгын текшерүү

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. Шифрленген своп түзүү/конфигурациялоо, crypttab/fstab түзөтүүСвоп файлы ОС башталган сайын форматталгандыктан, азыр логикалык дискке своп түзүү жана картаны түзүү мааниси жок жана B2.2 пунктундагыдай буйруктарды терүү. Swap үчүн анын өзүнүн убактылуу шифрлөө ачкычтары ар бир башталганда автоматтык түрдө түзүлөт. Своп ачкычтарынын жашоо цикли: своп бөлүмүн монтаждоо/ажыратуу (+ RAM тазалоо); же ОСту өчүрүп күйгүзүңүз. Свопту орнотуу, блоктогу шифрленген түзмөктөрдүн конфигурациясына жооптуу файлды ачуу (fstab файлына окшош, бирок крипто үчүн жооптуу).

nano /etc/crypttab 

түзөтөбүз

#"максат аты" "булак түзмөк" "ачкыч файл" "параметрлер"
swap /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512

Жолдор
* swap - /dev/mapper/swap шифрлөөдө көрсөтүлгөн аталыш.
* /dev/sda8 - алмашуу үчүн логикалык бөлүмүңүздү колдонуңуз.
* /dev/urandom - алмашуу үчүн кокустук шифрлөө ачкычтарынын генератору (ар бир жаңы OS жүктөө менен, жаңы ачкычтар түзүлөт). /dev/urandom генератору /dev/random караганда кокусунан азыраак, анткени /dev/random кооптуу параноиддик шарттарда иштегенде колдонулат. ОСти жүктөөдө, /dev/random бир нече ± мүнөткө жүктөөнү жайлатат (системалык анализди караңыз).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -бөлүм алмашуу экенин билет жана “тиешелүү” форматталат; шифрлөө алгоритми.

#Открываем и правим fstab
nano /etc/fstab

түзөтөбүз

Орнотуу учурунда # swap /dev/sda8 күйгүзүлгөн
/dev/mapper/swap none swap sw 0 0

/dev/mapper/swap бул крипттабда коюлган ат.

Альтернатива шифрленген своп
Эгер кандайдыр бир себептерден улам сиз своп файлы үчүн бүтүндөй бөлүмдөн баш тарткыңыз келбесе, анда сиз альтернативалуу жана жакшыраак жолду тандасаңыз болот: ОС менен шифрленген бөлүмдө файлда своп файлын түзүү.

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

Своп бөлүмүн орнотуу аяктады.

B4.4. Шифрленген GNU/Linux орнотуу (crypttab/fstab файлдарын түзөтүү)/etc/crypttab файлы, жогоруда жазылгандай, системаны жүктөө учурунда конфигурацияланган шифрленген блоктук түзүлүштөрдү сүрөттөйт.

#правим /etc/crypttab 
nano /etc/crypttab 

эгерде сиз sda7>sda7_crypt бөлүмүн B2.1-пункттагыдай дал келтирсеңиз

# "максат аты" "булак түзмөк" "ачкыч файл" "параметрлер"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

эгерде сиз sda7>sda7_crypt бөлүмүн B2.2-пункттагыдай дал келтирсеңиз

# "максат аты" "булак түзмөк" "ачкыч файл" "параметрлер"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

эгерде сиз sda7>sda7_crypt бөлүмүнө B2.1 же B2.2-пункттарындагыдай дал келген болсоңуз, бирок OSтин кулпусун ачуу жана жүктөө үчүн сырсөздү кайра киргизгиңиз келбесе, анда сырсөздүн ордуна жашыруун ачкычты/кокус файлды алмаштырсаңыз болот.

# "максат аты" "булак түзмөк" "ачкыч файл" "параметрлер"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

баяндоо
* эч ким - ОСти жүктөөдө тамырдын кулпусун ачуу үчүн жашыруун сырсөздү киргизүү талап кылынарын билдирет.
* UUID - бөлүмдүн идентификатору. Идентификаторуңузду билүү үчүн терминалга териңиз (Ушул убактан баштап сиз башка жандуу USB терминалында эмес, chroot чөйрөсүндөгү терминалда иштеп жатканыңызды эскертиңиз).

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное 

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

бул сызык sda7_crypt орнотулган жандуу USB терминалынан blkid сураганда көрүнүп турат).
Сиз UUIDди sdaXтен аласыз (sdaX_crypt эмес!, UUID sdaX_crypt - grub.cfg конфигурациясын түзүүдө автоматтык түрдө калтырылат).
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks шифрлөө өркүндөтүлгөн режимде.
* /etc/skey - OS жүктөө кулпусун ачуу үчүн автоматтык түрдө киргизилген жашыруун ачкыч файлы (3-паролду киргизүүнүн ордуна). Сиз 8МБга чейинки каалаган файлды көрсөтсөңүз болот, бирок маалыматтар <1МБ окулат.

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7 

Ал төмөнкүдөй көрүнөт:

(өзүңүз жасап көрүңүз жана өзүңүз көрүңүз).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab ар кандай файл системалары жөнүндө сыпаттоочу маалыматты камтыйт.

#Правим /etc/fstab
nano /etc/fstab

# "файл системасы" "монтаждоо чекити" "тип" "параметрлер" "тамп" "өтүү"
# / орнотуу учурунда /dev/sda7 күйгүзүлгөн
/dev/mapper/sda7_crypt / ext4 errors=remount-ro 0 1

параметр
* /dev/mapper/sda7_crypt - /etc/crypttab файлында көрсөтүлгөн sda7>sda7_crypt картасынын аталышы.
crypttab/fstab орнотуу аяктады.

B4.5. Конфигурация файлдарын түзөтүү. Негизги учурB4.5.1. /etc/initramfs-tools/conf.d/resume конфигурациясын түзөтүү

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

жана комментарий бериңиз (бар болсо) "#" сабы "резюме". Файл толугу менен бош болушу керек.

B4.5.2. /etc/initramfs-tools/conf.d/cryptsetup конфигурациясын түзөтүү

nano /etc/initramfs-tools/conf.d/cryptsetup

дал келиши керек

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=ооба
CRYPTSETUP экспорттоо

B4.5.3. /etc/default/grub конфигурациясын түзөтүү (бул конфигурация шифрленген / жүктөө менен иштөөдө grub.cfg түзүү мүмкүнчүлүгүнө жооп берет)

nano /etc/default/grub

"GRUB_ENABLE_CRYPTODISK=y" сабын кошуңуз
"y" мааниси, grub-mkconfig жана grub-install шифрленген дисктерди текшерет жана жүктөө учурунда аларга жетүү үчүн зарыл болгон кошумча буйруктарды жаратат (insmods ).
окшоштук болушу керек

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=vendor"
GRUB_CMDLINE_LINUX="тынч сплеш noautomount"
GRUB_ENABLE_CRYPTODISK=y

B4.5.4. /etc/cryptsetup-initramfs/conf-hook конфигурациясын түзөтүү

nano /etc/cryptsetup-initramfs/conf-hook

линияны текшериңиз <#> комментарий берди.
Келечекте (жана азыр да бул параметр эч кандай мааниге ээ болбойт, бирок кээде initrd.img сүрөтүн жаңыртууга тоскоол болот).

B4.5.5. /etc/cryptsetup-initramfs/conf-hook конфигурациясын түзөтүү

nano /etc/cryptsetup-initramfs/conf-hook

кошуу

KEYFILE_PATTERN=”/etc/skey”
UMASK=0077

Бул "skey" жашыруун ачкычын initrd.img сайтына топтойт, ачкыч OS жүктөөдө тамырдын кулпусун ачуу үчүн керек болот. (эгер сиз сырсөздү кайра киргизгиңиз келбесе, машинанын ордуна "асман" баскычы коюлган).

B4.6. /boot/initrd.img жаңыртуу [версия]Жашыруун ачкычты initrd.img сайтына топтоо жана крипто орнотууларды оңдоо үчүн сүрөттү жаңыртыңыз

update-initramfs -u -k all

initrd.img жаңыртууда (Алар айткандай, "Мүмкүн, бирок бул так эмес") cryptsetup менен байланышкан эскертүүлөр пайда болот, же, мисалы, Nvidia модулдарын жоготуу жөнүндө билдирүү - бул нормалдуу көрүнүш. Файлды жаңырткандан кийин, анын чындыгында жаңыланганын текшериңиз, убакытты көрүңүз (chroot чөйрөсүнө салыштырмалуу./boot/initrd.img). Эскертүү! [update-initramfs -u -k all] алдында cryptsetup ачык экенин текшериңиз /dev/sda7 sda7_crypt - бул /etc/crypttab ичинде пайда болгон ат, антпесе кайра жүктөгөндөн кийин busybox катасы пайда болот)
Бул кадамда, конфигурация файлдарын орнотуу аяктады.

[C] GRUB2/Protection орнотуу жана конфигурациялоо

C1. Зарыл болсо, жүктөгүч үчүн атайын бөлүмдү форматтаңыз (бөлүмгө кеминде 20 МБ керек)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. /dev/sda6 тоосуна /mntОшентип, биз chroot менен иштейбиз, анда тамырда /mnt2 каталогу болбойт жана /mnt папкасы бош болот.
GRUB2 бөлүмүн орнотуңуз

mount /dev/sda6 /mnt

Эгер сизде GRUB2дин эски версиясы орнотулган болсо, /mnt/boot/grub/i-386-pc каталогунда (башка платформа мүмкүн, мисалы, "i386-pc" эмес) крипто модулдары жок (кыскача айтканда, папка модулдарды камтышы керек, анын ичинде .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), бул учурда, GRUB2 чайкалышы керек.

apt-get update
apt-get install grub2 

Маанилүү! Репозиторийден GRUB2 пакетин жаңыртып жатканда, жүктөгүчтү кайда орнотуу керектиги "тандоо жөнүндө" суроо берилгенде, орнотуудан баш тартышыңыз керек. (себеп - GRUB2 орнотуу аракети - "MBR" же жандуу USB менен). Болбосо, VeraCrypt башын/жүктөгүчтү бузуп аласыз. GRUB2 пакеттерин жаңыртып, орнотууну жокко чыгаргандан кийин, жүктөгүч MBRге эмес, логикалык дискке кол менен орнотулушу керек. Эгер репозиторийиңизде GRUB2дин эскирген версиясы болсо, аракет кылып көрүңүз жаңыртуу бул расмий веб-сайттан алынган - аны текшерген жокмун (Акыркы GRUB 2.02 ~BetaX жүктөгүчтөрү менен иштеген).

C3. GRUB2 кеңейтилген бөлүмгө орнотуу [sda6]Сизде орнотулган бөлүм болушу керек [C.2 пункту]

grub-install --force --root-directory=/mnt /dev/sda6

параметрлери
* —күч - жүктөгүчтү орнотуу, дээрлик дайыма бар болгон бардык эскертүүлөрдү айланып өтүү жана орнотууну блоктоо (зарыл желек).
* --root-directory - каталогду орнотуу sda6 тамырына.
* /dev/sda6 - сиздин sdaХ бөлүмүңүз (/mnt /dev/sda6 ортосундагы <боштук> калтырбаңыз).

C4. Конфигурация файлын түзүү [grub.cfg]"update-grub2" буйругун унутуп, толук конфигурация файлын түзүү буйругун колдонуңуз

grub-mkconfig -o /mnt/boot/grub/grub.cfg

grub.cfg файлын генерациялоо/жаңыртуу аяктагандан кийин, чыгаруу терминалы дискте табылган ОС менен сызыктарды камтышы керек («grub-mkconfig», балким, OSти жандуу USB тутумунан таап алат, эгер сизде Windows 10 менен көп жүктөөчү флеш диск жана бир топ жандуу бөлүштүрүү бар болсо - бул нормалдуу көрүнүш). Терминал "бош" болсо жана "grub.cfg" файлы түзүлбөсө, системада GRUB мүчүлүштүктөрү бар болгондо да ушундай болот. (жана, балким, репозиторийдин сыноо бутагынан жүктөгүч), GRUB2ди ишенимдүү булактардан кайра орнотуңуз.
"Жөнөкөй конфигурация" орнотуу жана GRUB2 орнотуу аяктады.

C5. Шифрленген GNU/Linux OS далилдөөчү тестиБиз крипто миссиясын туура аткарабыз. Шифрленген GNU/Linuxтан кылдаттык менен чыгып кетиңиз (Chroot чөйрөсүнөн чыгуу).

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

Компьютерди кайра жүктөгөндөн кийин, VeraCrypt жүктөгүч жүктөлүшү керек.


*Активдүү бөлүмдүн сырсөзүн киргизүү Windows жүктөй баштайт.
*"Esc" баскычын басуу башкарууну GRUB2ге өткөрүп берет, эгер сиз шифрленген GNU/Linux тандасаңыз - /boot/initrd.img кулпусун ачуу үчүн сырсөз (sda7_crypt) талап кылынат (эгерде grub2 uuid "табылган жок" деп жазса - бул grub2 жүктөгүч менен көйгөй, аны кайра орнотуу керек, мис. , сыноо бутагынан/туруктуу ж.б.).


*Сиз системаны кантип конфигурациялаганыңызга жараша (B4.4/4.5 параграфын караңыз), /boot/initrd.img сүрөтүнүн кулпусун ачуу үчүн туура сырсөздү киргизгенден кийин, OS ядросун/тамырын жүктөө үчүн сырсөз же сыр керек болот. ачкыч автоматтык түрдө "skey" менен алмаштырылып, купуя сөз айкашын кайра киргизүү зарылдыгын жокко чыгарат.

(«жашыруун ачкычты автоматтык түрдө алмаштыруу» экраны).

*Андан кийин GNU/Linuxти колдонуучу каттоо эсебинин аныктыгын текшерүүсү менен жүктөө процесси башталат.


*Колдонуучунун авторизациясынан жана ОСке киргенден кийин, сиз /boot/initrd.img жаңыртышыңыз керек. (B4.6 караңыз).

update-initramfs -u -k all

Ал эми GRUB2 менюсунда кошумча саптар болгон учурда (түз USB менен OS-m пикаптан) алардан кутулуу

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

GNU/Linux тутумунун шифрлөөнүн кыскача корутундусу:

• GNU/Linuxinux толугу менен шифрленген, анын ичинде /boot/kernel жана initrd;
• жашыруун ачкыч initrd.img ичинде пакеттелген;
• учурдагы уруксат схемасы (initrd кулпусун ачуу үчүн сырсөздү киргизүү; ОСти жүктөө үчүн сырсөз/ачкыч; Linux каттоо эсебин авторизациялоо үчүн сырсөз).

"Жөнөкөй GRUB2 конфигурациясы" тутумунун блок бөлүгүн шифрлөө аяктады.

C6. Өркүндөтүлгөн GRUB2 конфигурациясы. Санарип кол тамгасы менен жүктөгүчтү коргоо + аныктыгын текшерүүGNU/Linux толугу менен шифрленген, бирок жүктөгүчтү шифрлөө мүмкүн эмес - бул шарт BIOS тарабынан белгиленет. Ушул себептен улам, GRUB2 чынжырланган шифрленген жүктөө мүмкүн эмес, бирок жөнөкөй чынжырланган жүктөө мүмкүн/бар, бирок коопсуздук көз карашынан алганда бул зарыл эмес [караңыз P. F].
"Аялуу" GRUB2 үчүн иштеп чыгуучулар "кол / аутентификация" жүктөгүчтү коргоо алгоритмин ишке ашырышты.

• Жүктөгүч "өзүнүн санариптик колтамгасы" менен корголгондо, файлдардын тышкы модификациясы же бул жүктөгүчкө кошумча модулдарды жүктөө аракети жүктөө процессинин бөгөттөлүшүнө алып келет.
• Жүктөгүчтү аутентификация менен коргоодо, бөлүштүрүүнү жүктөөнү тандоо үчүн же CLIге кошумча буйруктарды киргизүү үчүн сиз супер колдонуучу-GRUB2 логин менен паролду киргизишиңиз керек болот.

C6.1. Жүктөгүчтүн аутентификациясын коргооШифрленген OSдеги терминалда иштеп жатканыңызды текшериңиз

ls /<Tab-Tab> #обнаружить файл-маркер

GRUB2де авторизациялоо үчүн супер колдонуучу сырсөзүн түзүңүз

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. 

Сырсөз хэшти алыңыз. Ушул сыяктуу бир нерсе

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

GRUB бөлүмүн орнотуңуз

mount /dev/sda6 /mnt 

конфигурацияны түзөтүү

nano -$ /mnt/boot/grub/grub.cfg 

"grub.cfg" ("-чектөөсүз" "-user") ичинде эч кандай желек жок экенин файлды издөөнү текшериңиз.
аягында кошуу (### END /etc/grub.d/41_custom ### сабынын алдында)
"супер колдонуучуларды коюу = "тамыр"
password_pbkdf2 тамыр хэш."

Мындай нерсе болушу керек

# Бул файл ыңгайлаштырылган меню жазууларын кошуунун оңой жолун камсыз кылат. Жөн гана териңиз
Бул жорумдан кийин кошкуңуз келген # меню жазуусу. Өзгөрүүдөн сак болуңуз
# жогорудагы "exec tail" сабы.
### END /etc/grub.d/40_custom ###

### БАШТАЛУУ /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; анда
булак ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; анда
source $prefix/custom.cfg;
fi
superusers = "тамыр" орнотуу
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

Эгер сиз “grub-mkconfig -o /mnt/boot/grub/grub.cfg” буйругун көп колдонсоңуз жана ар бир жолу grub.cfgге өзгөртүүлөрдү киргизгиңиз келбесе, жогорудагы саптарды киргизиңиз. (Кирүү: Сырсөз) GRUB колдонуучу скриптинин түбүндө

nano /etc/grub.d/41_custom 

мышык <<EOF
superusers = "тамыр" орнотуу
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

“grub-mkconfig -o /mnt/boot/grub/grub.cfg” конфигурациясын түзүүдө аутентификация үчүн жооптуу саптар grub.cfg дарегине автоматтык түрдө кошулат.
Бул кадам GRUB2 аутентификация орнотуусун аяктайт.

C6.2. Санарип колтамгасы менен жүктөгүчтү коргооСиздин жеке pgp шифрлөө ачкычыңыз мурунтан эле бар деп болжолдонууда (же ушундай ачкычты түзүү). Системада криптографиялык программа орнотулган болушу керек: gnuPG; kleopatra/GPA; Seahorse. Crypto программалык камсыздоо бардык ушул сыяктуу маселелерде жашооңузду бир топ жеңилдетет. Seahorse - 3.14.0 пакетинин туруктуу версиясы (жогорку версиялары, мисалы, V3.20, кемчиликтер жана олуттуу мүчүлүштүктөр бар).

PGP ачкычы су чөйрөсүндө гана түзүлүшү/ишке киргизилиши/кошулушу керек!

Жеке шифрлөө ачкычын түзүү

gpg - -gen-key

Ачкычыңызды экспорттоо

gpg --export -o ~/perskey

Логикалык дискти ОСке орнотуңуз, эгерде ал орнотулбаган болсо

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

GRUB2 бөлүмүн тазалаңыз

rm -rf /mnt/

Жеке ачкычыңызды "core.img" негизги GRUB сүрөтүнө салып, sda2га GRUB6 орнотуңуз

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

параметрлери
* --force - ар дайым бар болгон бардык эскертүүлөрдү айланып өтүп, жүктөгүчтү орнотуңуз (зарыл желек).
* —modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - GRUB2ге ПК башталганда керектүү модулдарды алдын ала жүктөөнү буйруйт.
* -k ~/perskey - "PGP ачкычына" жол (сүрөткө ачкычты таңгактагандан кийин, аны жок кылууга болот).
* --root-directory - жүктөө каталогун sda6 түбүнө орнотуңуз
/dev/sda6 - сиздин sdaX бөлүмүңүз.

grub.cfg түзүү/жаңыртуу

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

"grub.cfg" файлынын аягына "trust /boot/grub/perskey" сабын кошуңуз (pgp ачкычын колдонууга мажбурлоо.) Биз GRUB2ди модулдардын топтому, анын ичинде “signature_test.mod” кол коюу модулу менен орноткондуктан, бул конфигурацияга “set check_signatures=enforce” сыяктуу буйруктарды кошуунун зарылдыгын жокко чыгарат.

Бул ушундай көрүнүшү керек (grub.cfg файлындагы акыркы саптар)

### БАШТАЛУУ /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; анда
булак ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; анда
source $prefix/custom.cfg;
fi
ишеним /boot/grub/perskey
superusers = "тамыр" орнотуу
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

"/boot/grub/perskey" жолун белгилүү бир диск бөлүгүнө көрсөтүүнүн кереги жок, мисалы, жүктөгүчтүн өзү үчүн hd0,6, "root" GRUB2 орнотулган бөлүмдүн демейки жолу (караңыз. чирүүгө коюлган =...).

GRUB2ге кол коюу (бардык /GRUB каталогдорундагы бардык файлдар) ачкыч "перскэй" менен.
Кантип кол коюу боюнча жөнөкөй чечим (nautilus/caja Explorer үчүн): репозиторийден Explorer үчүн "seahorse" кеңейтүүсүн орнотуңуз. Сиздин ачкычыңыз su чөйрөсүнө кошулушу керек.
“/mnt/boot” – RMB – белгиси менен Explorerди ачыңыз. Экранда мындай көрүнөт

Ачкычтын өзү "/mnt/boot/grub/perskey" (grub каталогуна көчүрүү) ошондой эле өз колуңуз менен кол коюлушу керек. [*.sig] файл кол тамгалары каталогдо/подкаталогдордо пайда болгонун текшериңиз.
Жогоруда сүрөттөлгөн ыкманы колдонуп, "/ жүктөө" белгисин коюңуз (биздин ядробуз, initrd). Эгерде сиздин убактыңыз эч нерсеге арзыбаса, анда бул ыкма "көптөгөн файлдарга" кол коюу үчүн bash скриптин жазуу зарылдыгын жок кылат.

Бардык жүктөөчү кол тамгаларды алып салуу үчүн (эгер бир нерсе туура эмес болсо)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

Системаны жаңырткандан кийин жүктөгүчкө кол койбош үчүн, GRUB2 менен байланышкан бардык жаңыртуу пакеттерин тоңдурабыз.

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

Бул кадамда <санарип колтамгасы менен жүктөгүчтү коргоо> GRUB2 өркүндөтүлгөн конфигурациясы аяктады.

C6.3. Санарип кол коюу жана аутентификация менен корголгон GRUB2 жүктөөчүнүн далилдөөчү тестиGRUB2. Кандайдыр бир GNU/Linux дистрибуциясын тандоодо же CLIге кирүүдө (буйрук сабы) Супер колдонуучунун уруксаты талап кылынат. Туура колдонуучу атын/паролду киргизгенден кийин, сизге initrd сырсөзү керек болот

GRUB2 супер колдонуучусунун ийгиликтүү аутентификациясынын скриншоту.

Эгер сиз GRUB2 файлдарынын кайсынысын бузуп алсаңыз/grub.cfgге өзгөртүүлөрдү киргизсеңиз, же файлды/кол тамганы жок кылсаңыз, же зыяндуу module.mod жүктөсөңүз, тиешелүү эскертүү пайда болот. GRUB2 жүктөөнү тындырат.

Скриншот, GRUB2ге "сырттан" кийлигишүү аракети.

"Кадимки" жүктөө учурунда "интрузиясыз" системадан чыгуу кодунун статусу "0" болот. Ошондуктан, коргоо иштейби же жокпу белгисиз (башкача айтканда, "жүктөгүчтүн кол тамгасын коргоосу бар же жок" кадимки жүктөөдө статус бирдей "0" - бул жаман).

Санариптик кол тамганы коргоону кантип текшерсе болот?

Текшерүүнүн ыңгайсыз жолу: GRUB2 колдонгон модулду жасалма / алып салуу, мисалы, luks.mod.sig кол тамгасын алып салуу жана ката алуу.

Туура жол: CLI жүктөөчүсүнө барып, буйрукту териңиз

trust_list

Жооп катары, сиз "перски" манжа изин алышыңыз керек, эгерде статус "0" болсо, анда кол коюуну коргоо иштебейт, C6.2 пунктун эки жолу текшериңиз.
Бул кадамда "GRUB2ди санариптик кол коюу жана аутентификация менен коргоо" өркүндөтүлгөн конфигурация аяктады.

C7 Хешинг аркылуу GRUB2 жүктөгүчтү коргоонун альтернативалуу ыкмасыЖогоруда сүрөттөлгөн "CPU Boot Loader Protection/Authentication" ыкмасы классикалык болуп саналат. GRUB2 кемчиликтеринен улам, параноиддик шарттарда ал чыныгы чабуулга дуушар болот, мен төмөндө [F] пунктунда берем. Мындан тышкары, OS/ядро жаңыртылгандан кийин, жүктөгүчкө кайра кол коюу керек.

GRUB2 жүктөгүчтү хэширлөө аркылуу коргоо

Классикага караганда артыкчылыктары:

• Ишенимдүүлүктүн жогорку деңгээли (хэшинг/текшерүү шифрленген локалдык ресурстан гана ишке ашат. GRUB2 боюнча бүт бөлүнгөн бөлүм бардык өзгөртүүлөр үчүн көзөмөлдөнүп, калганынын баары шифрленген; CPU жүктөгүч коргоосу/Аутентификациясы бар классикалык схемада файлдар гана көзөмөлдөнөт, бирок бош эмес. мейкиндик, ага "бир нерсеге" жаман нерсе" кошулушу мүмкүн).
• Шифрленген журнал жазуу (адам окуй турган жеке шифрленген журнал схемага кошулат).
• ылдамдык (GRUB2 үчүн бөлүнгөн бүт бөлүмдү коргоо/текшерүү дээрлик заматта ишке ашат).
• Бардык криптографиялык процесстерди автоматташтыруу.

Классикага караганда кемчиликтери.

• Колду жасалмалоо (теориялык жактан берилген хэш-функциянын кагылышуусун табууга болот).
• Кыйынчылык деңгээли жогорулады (классикалыкка салыштырмалуу, GNU/Linux OS боюнча бир аз көбүрөөк көндүмдөр талап кылынат).

GRUB2/бөлүктүн хэшинг идеясы кантип иштейт

OS жүктөөдө GRUB2 бөлүгү "кол коюлат", жүктөөчү бөлүгү өзгөрүлбөстүгү текшерилет, андан кийин коопсуз (шифрленген) чөйрөгө кирүү. Эгерде жүктөгүч же анын бөлүмү бузулса, интрузия журналынан тышкары, төмөнкүлөр ишке киргизилет:

нерсе.

Окшош текшерүү тутум ресурстарын жүктөбөйт, күнүнө төрт жолу болот.
“-$ check_GRUB” буйругун колдонуу менен, ыкчам текшерүү каалаган убакта журналга жазылбастан, бирок CLIге маалымат чыгаруу менен ишке ашат.
“-$ sudo signature_GRUB” буйругун колдонуу менен GRUB2 жүктөгүч/бөлүм заматта кайра кол коюлат жана анын жаңыртылган журналы (OS/жүктөө жаңыртуудан кийин зарыл) жана жашоо уланат.

Жүктөгүч жана анын бөлүмү үчүн хэшинг ыкмасын ишке ашыруу

0) GRUB жүктөгүчүнө/бөлүмүнө кол коелу, алгач аны /media/username ичинде орнотуп алалы

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) Биз шифрленген OS ~/podpis тамырында кеңейтүүсүз скрипт түзөбүз, ага керектүү 744 коопсуздук укуктарын жана кынтыксыз коргоону колдонобуз.

Анын мазмунун толтуруу

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

Скриптти иштетиңиз su, GRUB бөлүгүнүн хэштери жана анын жүктөөчүсү текшерилет, журналды сактаңыз.

Мисалы, GRUB2 бөлүгүнө “зыяндуу файлды” [virus.mod] түзөлү же көчүрөлү жана убактылуу сканерлөө/сыноо жүргүзөлү:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

CLI биздин цитадельге басып киришин көрүшү керекCLIдагы #Trimmed лог

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

# Көрүнүп тургандай, "Файлдар жылдырылды: 1 жана Аудит ишке ашкан жок" пайда болот, бул текшерүү ишке ашкан жок дегенди билдирет.
Сыналып жаткан бөлүмдүн мүнөзүнө байланыштуу, "Жаңы файлдар табылды"> "Файлдар жылдырылды" дегендин ордуна

2) GIFти бул жерге коюңуз > ~/warning.gif, уруксаттарды 744 деп коюңуз.

3) Жүктөөдө GRUB бөлүмүн автоматташтыруу үчүн fstab конфигурацияланууда

-$ sudo nano /etc/fstab

LABEL=GRUB /media/username/GRUB ext4 демейки 0 0

4) Журналды айлантуу

-$ sudo nano /etc/logrotate.d/podpis 

/var/log/podpis.txt {
күндө
50 айлануу
көлөмү 5M
дата
кысуу
кечиктирүү
olddir /var/log/old
}

/var/log/vtorjenie.txt {
айлык
5 айлануу
көлөмү 5M
дата
olddir /var/log/old
}

5) cronго жумуш кошуңуз

-$ sudo crontab -e

өчүрүп-күйгүзүү '/жазылуу'
0 */6 * * * '/podpis

6) Туруктуу лакап аттарды түзүү

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

OS жаңыртылгандан кийин -$ apt-get upgrade биздин GRUB бөлүмгө кайра кол коюңуз
-$ подпись_GRUB
Бул учурда, GRUB бөлүгүн хэшингден коргоо аяктады.

[D] Wiping - шифрленбеген маалыматтарды жок кылуу

Түштүк Каролина өкүлү Трей Гоуди айткандай, жеке файлдарыңызды толугу менен жок кылыңыз.

Адаттагыдай эле ар кандай «мифтер жана легендалар", катуу дисктен жок кылынгандан кийин маалыматтарды калыбына келтирүү жөнүндө. Эгер сиз кибер сыйкырчылыкка ишенсеңиз же Dr веб-коомчулугунун мүчөсү болсоңуз жана ал өчүрүлгөн/кайта жазылгандан кийин эч качан маалыматтарды калыбына келтирүүгө аракет кылбасаңыз (мисалы, R-studio аркылуу калыбына келтирүү), анда сунушталган ыкма сизге ылайыктуу эмес, сизге эң жакынын колдонуңуз.

GNU/Linux шифрленген бөлүмгө ийгиликтүү которулгандан кийин, эски көчүрмөнү маалыматтарды калыбына келтирүү мүмкүнчүлүгү жок жок кылуу керек. Универсалдуу тазалоо ыкмасы: Windows/Linux акысыз GUI программасы үчүн программа BleachBit.
тез бөлүмдү форматтоо, жок кылынышы керек болгон маалыматтар (Gparted аркылуу) BleachBitти ишке киргизиңиз, "Бош орунду тазалоо" - бөлүмдү тандаңыз (GNU/Linux мурунку көчүрмөсү менен sdaX), кыртыш процесси башталат. BleachBit - дискти бир жолу аарчыйт - бул "бизге керек", Бирок! Бул дискти форматтап, аны BB v2.0 программасында тазаласаңыз, теориялык жактан гана иштейт.

сактык! BB дискти аарчыйт, файлдын аталыштары маалыматтар жок кылынганда сакталат (Ccleaner - метадайындарды калтырбайт).

Ал эми маалыматтарды калыбына келтирүү мүмкүнчүлүгү жөнүндө миф толугу менен миф эмес.Bleachbit V2.0-2 мурдагы туруксуз OS Debian пакети (жана башка ушул сыяктуу программалык камсыздоо: sfill; wipe-Nautilus - бул ыплас бизнесте да байкалган) чындыгында олуттуу ката болгон: "бош мейкиндикти тазалоо" функциясы ал туура эмес иштейт HDD/Flash дисктерде (ntfs/ext4). Мындай программалык камсыздоо, бош мейкиндикти тазалоодо, көптөгөн колдонуучулар ойлогондой, бүт дисктин үстүнөн жазылбайт. Жана бир аз (көп) жок кылынган маалыматтар OS/программалык камсыздоо бул маалыматты жок кылынбаган/колдонуучунун маалыматы катары карайт жана “OSP”ти тазалоодо бул файлдарды өткөрүп жиберет. Маселе, мынчалык көп убакыт өткөндөн кийин, дискти тазалоо "жок кылынган файлдарды" калыбына келтирүүгө болот дискти аарчыгандан 3+ өткөндөн кийин да.
GNU/Linux боюнча Bleachbit 2.0-2 Файлдарды жана каталогдорду биротоло жок кылуу функциялары ишенимдүү иштейт, бирок бош орун бошотпойт. Салыштыруу үчүн: CCleanerдеги Windows'до "OSP for ntfs" функциясы туура иштейт жана Кудай чындыгында жок кылынган маалыматтарды окуй албайт.

Ошентип, кылдат алып салуу "компромисс" эски шифрленбеген маалыматтар, Bleachbit бул маалыматтарга түз кирүү керек, андан кийин "файлдарды/каталогдорду биротоло жок кылуу" функциясын колдонуңуз.
Windows'тун "стандарттык OS куралдарын колдонуу менен жок кылынган файлдарды" алып салуу үчүн, "OSP" функциясы менен CCleaner/BB колдонуңуз. Бул маселе боюнча GNU/Linux (жок кылынган файлдарды жок кылуу) өз алдынча машыгуу керек (маалыматтарды жок кылуу + аны калыбына келтирүү үчүн көз карандысыз аракет жана сиз программалык камсыздоонун версиясына ишенбешиңиз керек (эгерде кыстарма болбосо, анда ката)), ушул учурда гана сиз бул маселенин механизмин түшүнүп, жок кылынган маалыматтардан толугу менен арыла аласыз.

Мен Bleachbit v3.0 сынаган жокмун, көйгөй буга чейин эле чечилген болушу мүмкүн.
Bleachbit v2.0 чынчыл иштейт.

Бул кадамда, дискти тазалоо аяктады.

[E] Шифрленген ОСтин универсалдуу камдык көчүрмөсү

Ар бир колдонуучунун маалыматтардын камдык көчүрмөсүн сактоонун өзүнүн ыкмасы бар, бирок Системанын OS маалыматтарынын шифрленгени тапшырмага бир аз башкача мамилени талап кылат. Clonezilla жана ушул сыяктуу программалык камсыздоо сыяктуу бирдиктүү программалык камсыздоо шифрленген маалыматтар менен түздөн-түз иштей албайт.

Шифрленген блоктук түзүлүштөрдүн резервдик көчүрмөсүн сактоо маселеси боюнча билдирүү:

1. универсалдуу - Windows/Linux үчүн бирдей камдык алгоритм/программа;
2. кошумча программалык жүктөөлөрдү талап кылбастан, каалаган жандуу USB GNU/Linux менен консолдо иштөө мүмкүнчүлүгү (бирок дагы деле GUI сунуштайбыз);
3. резервдик көчүрмөлөрдүн коопсуздугу - сакталган "сүрөттөр" шифрленген/пароль менен корголгон болушу керек;
4. шифрленген маалыматтардын өлчөмү көчүрүлүп жаткан чыныгы маалыматтардын өлчөмүнө ылайык келүүгө тийиш;
5. резервдик көчүрмөдөн керектүү файлдарды ыңгайлуу чыгаруу (адегенде бүт бөлүмдүн шифрин чечмелөө талап кылынбайт).

Мисалы, "dd" утилитасы аркылуу камдык көчүрмөнү сактоо/калыбына келтирүү

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

Бул тапшырманын дээрлик бардык пункттарына туура келет, бирок 4-пунктуна ылайык, ал сынга туруштук бербейт, анткени ал дисктин бүт бөлүгүн, анын ичинде бош орунду көчүрөт - кызыксыз.

Мисалы, архиватор аркылуу GNU/Linux камдык көчүрмөсү [tar" | gpg] ыңгайлуу, бирок Windows камдык көчүрмөсү үчүн башка чечимди издөө керек - бул кызык эмес.

E1. Универсалдуу Windows/Linux камдык көчүрмөсү. Шилтеме rsync (Grsync)+VeraCrypt көлөмүКамдык көчүрмөнү түзүү алгоритми:

1. шифрленген контейнерди түзүү (том/файл) OS үчүн VeraCrypt;
2. Rsync программасын колдонуу менен ОСти VeraCrypt крипто контейнерине өткөрүп берүү/синхрондоштуруу;
3. зарыл болсо, VeraCrypt көлөмүн www.

Шифрленген VeraCrypt контейнерин түзүү өзүнүн өзгөчөлүктөрүнө ээ:
динамикалык көлөмүн түзүү (DT түзүү Windows гана жеткиликтүү, GNU/Linux да колдонсо болот);
үзгүлтүксүз көлөмүн түзүү, бирок "параноиддик мүнөздөгү" талап бар (иштеп чыгуучунун айтымында) – контейнер форматтоо.

Динамикалык көлөм Windows'до дээрлик бир заматта түзүлөт, бирок GNU/Linux > VeraCrypt DTден маалыматтарды көчүрүп жатканда, камдык көчүрмөнү сактоо операциясынын жалпы өндүрүмдүүлүгү кыйла төмөндөйт.

Кадимки 70 ГБ Twofish көлөмү түзүлөт (Жөн эле айталы, орточо компьютердин күчү) HDD ~ жарым саатта (бир өтүүдө мурунку контейнер маалыматтарын кайра жазуу коопсуздук талаптарына байланыштуу). Көлөмдү түзүүдө аны тез форматтоо функциясы VeraCrypt Windows/Linuxтан алынып салынды, андыктан контейнерди түзүү "бир жол менен кайра жазуу" же аз өндүрүмдүүлүктөгү динамикалык көлөмдү түзүү аркылуу гана мүмкүн.

Кадимки VeraCrypt көлөмүн түзүңүз (динамикалык/ntfs эмес), эч кандай көйгөйлөр болбошу керек.

VeraCrypt GUI> GNU/Linux live usb ичинде контейнерди конфигурациялоо/түзүү/ачуу (көлөмү /media/veracrypt2ге автоматтык түрдө орнотулат, Windows OS көлөмү /media/veracrypt1ге орнотулат). GUI rsync аркылуу Windows OSтин шифрленген камдык көчүрмөсүн түзүү (grsync)кутучаларды белгилөө менен.

Процесс бүткүчө күтө туруңуз. Камдык көчүрмө аяктагандан кийин, бизде бир шифрленген файл болот.

Ошо сыяктуу эле, rsync GUIдеги "Windows шайкештиги" кутучасын алып салуу менен GNU/Linux OSтун камдык көчүрмөсүн түзүңүз.

сактык! файл тутумунда "GNU/Linux камдык көчүрмөсү" үчүн Veracrypt контейнерди түзүңүз ext4. Эгерде сиз ntfs контейнерине камдык көчүрмөнү жасасаңыз, анда мындай көчүрмөнү калыбына келтиргенде, бардык маалыматтарыңызга болгон бардык укуктарды/топторду жоготосуз.

Бардык операциялар терминалда жүргүзүлүшү мүмкүн. Rsync үчүн негизги параметрлер:
* -g -топторду сактоо;
* -P —прогресс — файлда иштөөгө кеткен убакыттын абалы;
* -H - катуу шилтемелерди ошол бойдон көчүрүү;
* -a -архив режими (бир нече rlptgoD желектери);
* -v -вербализация.

Эгер сиз "Windows VeraCrypt көлөмүн" cryptsetup программасынын консолу аркылуу орнотууну кааласаңыз, анда лакап ат (su) түзө аласыз.

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

Эми "veramount pictures" буйругу сизден купуя сөз айкашын киргизүүнү сунуштайт жана шифрленген Windows тутумунун көлөмү ОСке орнотулат.

Cryptsetup буйругунда VeraCrypt тутумунун көлөмүн карта/монтаждоо

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

Карта/монтаждоо VeraCrypt бөлүмүн/контейнерди cryptsetup буйругунда

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

Каймана аттын ордуна, биз GNU/Linux ишке киргизүүгө Windows OS менен системанын көлөмүн жана логикалык шифрленген ntfs дискин кошобуз (ишке киргизүү үчүн скрипт)

Скрипт түзүп, аны ~/VeraOpen.sh сайтында сактаңыз

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

Биз "туура" укуктарды бөлүштүрөбүз:

sudo chmod 100 /VeraOpen.sh

/etc/rc.local жана ~/etc/init.d/rc.local ичинде эки окшош файлды (бир эле ат!) түзүңүз
Файлдарды толтуруу

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

Биз "туура" укуктарды бөлүштүрөбүз:

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local 

Эми GNU/Linux жүктөөдө шифрленген ntfs дисктерин орнотуу үчүн сырсөздөрдү киргизүүнүн кереги жок, дисктер автоматтык түрдө орнотулат.

Э1 пунктунда этап-этабы менен жогоруда сүрөттөлгөн нерселер жөнүндө кыскача эскертүү (бирок азыр OS GNU/Linux үчүн)
1) Veracrypt [Cryptbox] ичинде fs ext4 > 4gb (файл үчүн) Linux ичинде көлөм түзүңүз.
2) USB тиркемесин кайра жүктөө.
3) ~$ cryptsetup ачык /dev/sda7 Lunux #mapping шифрленген бөлүм.
4) ~$ mount /dev/mapper/Linux /mnt #шифрленген бөлүмдү /mntге орнотуңуз.
5) ~$ mkdir mnt2 #келечектеги резервдик көчүрмө үчүн каталог түзүү.
6) ~$ cryptsetup open —veracrypt —type tcrypt ~/CryptoBox CryptoBox && монтаждоо /dev/mapper/CryptoBox /mnt2 #“CryptoBox” аттуу Veracrypt көлөмүн картага түшүрүңүз жана CryptoBoxту /mnt2ге орнотуңуз.
7) ~$ rsync -avlxhHX —прогресс /mnt /mnt2/ #шифрленген Veracrypt көлөмүнө шифрленген бөлүмдүн камдык көчүрмөсү.

(p/s/ сактык! Эгер сиз шифрленген GNU/Linuxту бир архитектурадан/машинадан экинчисине өткөрүп жатсаңыз, мисалы, Intel > AMD (б.а. бир шифрленген бөлүмдөн башка шифрленген Intel > AMD бөлүгүнө камдык көчүрмөнү жайгаштыруу), унутпа Шифрленген ОСти өткөрүп бергенден кийин, сырсөздүн ордуна жашыруун алмаштыруучу ачкычты түзөтүңүз. мурунку ~/etc/skey ачкычы - мындан ары башка шифрленген бөлүмгө туура келбейт жана chroot астынан жаңы “cryptsetup luksAddKey” ачкычын түзүү сунушталбайт - катачылык болушу мүмкүн, жөн гана ~/etc/crypttab ичинде көрсөтүңүз. “/etc/skey” убактылуу “жок” ", кайра жүктөөдөн жана ОСке киргенден кийин, жашыруун жабдык ачкычыңызды кайра түзүңүз).

IT ардагерлери катары, шифрленген Windows/Linux OS бөлүмдөрүнүн аталыштарынын өзүнчө камдык көчүрмөсүн түзүүнү унутпаңыз, болбосо шифрлөө сизге каршы болуп калат.
Бул кадамда, шифрленген ОСтун камдык көчүрмөсү аяктады.

[F] GRUB2 жүктөгүчүнө чабуул

маалыматЭгер сиз жүктөгүчүңүздү санарип кол тамга жана/же аутентификация менен коргогон болсоңуз (С6 пунктун караңыз.), анда бул физикалык мүмкүнчүлүктөн коргобойт. Шифрленген дайындар дагы эле жеткиликсиз болот, бирок коргоону айланып өтүшөт (санариптик кол тамганы коргоону баштапкы абалга келтирүү) GRUB2 кибер-жаманга өзүнүн кодун жүктөөчүгө күмөн жаратпастан киргизүүгө мүмкүндүк берет (эгерде колдонуучу жүктөгүчтүн абалын кол менен көзөмөлдөбөсө же grub.cfg үчүн өзүнүн күчтүү ыктыярдуу скрипт кодун ойлоп таппаса).

Чабуул алгоритми. Intruder

* Компьютерди жандуу USB аркылуу жүктөйт. Кандайдыр бир өзгөрүү (бузуучу) файлдар жүктөгүчкө кириши жөнүндө PCтин чыныгы ээсине кабарлайт. Бирок grub.cfg сактаган GRUB2 жөнөкөй кайра орнотуу (жана кийинки аны түзөтүү мүмкүнчүлүгү) чабуулчуга каалаган файлдарды түзөтүүгө мүмкүндүк берет (бул кырдаалда, GRUB2 жүктөөдө, чыныгы колдонуучу кабарланбайт. Статусу бирдей <0>)
* Шифрленбеген бөлүмдү орнотуп, “/mnt/boot/grub/grub.cfg” сактайт.
* Жүктөгүчтү кайра орнотот (core.img сүрөтүнөн "perskey" алып салуу)

grub-install --force --root-directory=/mnt /dev/sda6

* “grub.cfg” > “/mnt/boot/grub/grub.cfg” кайтарып берет, керек болсо түзөтөт, мисалы, “keylogger.mod” модулуңузду “grub.cfg” ичиндеги жүктөгүч модулдары бар папкага кошуу > сап "insmod keylogger". Же, мисалы, душман куу болсо, анда GRUB2 кайра орнотулгандан кийин (бардык колдор ордунда калат) ал "opsion (-c) менен grub-mkimage" аркылуу негизги GRUB2 сүрөтүн түзөт. "-c" опциясы негизги "grub.cfg" жүктөөдөн мурун конфигурацияңызды жүктөөгө мүмкүндүк берет. Конфигурация бир эле саптан турушу мүмкүн: каалаган "modern.cfg" ге багыттоо, мисалы, ~400 файл менен аралаштыруу (модулдар+колдор) "/boot/grub/i386-pc" папкасында. Бул учурда, чабуулчу каалаган кодду киргизип, “/boot/grub/grub.cfg” таасирин тийгизбестен модулдарды жүктөй алат, ал тургай, колдонуучу файлга “хешсумду” колдонуп, аны экранда убактылуу көрсөтсө дагы.
Чабуулчуга GRUB2 супер колдонуучусунун логин/паролун бузушунун кереги жок, ал жөн гана саптарды көчүрүп алышы керек (аныктыгын текшерүү үчүн жооптуу) "/boot/grub/grub.cfg" сиздин "modern.cfg"

superusers = "тамыр" орнотуу
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

Ал эми PC ээси дагы эле GRUB2 супер колдонуучусу катары аутентификацияланат.

чынжыр жүктөө (жүктөгүч башка жүктөгүчтү жүктөйт), мен жогоруда жазгандай, мааниси жок (ал башка максат үчүн арналган). Шифрленген жүктөгүч BIOS'тан улам жүктөлбөй жатат (чынжыр жүктөө GRUB2 кайра башталат > шифрленген GRUB2, ката!). Бирок, сиз дагы эле чынжыр жүктөө идеясын колдонсоңуз, анда ал жүктөлүп жаткан шифрленген нерсе экенине шектенбесеңиз болот. (модернизацияланган эмес) "grub.cfg" шифрленген бөлүмдөн. Бул дагы жалган коопсуздук сезими, анткени шифрленген "grub.cfg" файлында көрсөтүлгөн нерселердин баары (модуль жүктөө) шифрленбеген GRUB2ден жүктөлгөн модулдарга чейин кошот.

Эгерде сиз муну текшергиңиз келсе, анда sdaY башка бөлүктү бөлүңүз/шифрлаңыз, ага GRUB2 көчүрүңүз (шифрленген бөлүмдө grub орнотуу операциясы мүмкүн эмес) жана "grub.cfg" ичинде (шифрленбеген конфигурация) ушул сыяктуу сызыктарды өзгөртүү

меню 'GRUBx2' --класс тоту --класс gnu-linux --класс gnu --класс os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
жүктөө_видео
insmod gzio
if [ x$grub_platform = xxen ]; анда insmod xzio; insmod lzopio; fi
insmod part_msdos
insmod криптодиск
insmod люкс
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
кадимки /boot/grub/grub.cfg
}

сызыктар
* insmod - шифрленген диск менен иштөө үчүн керектүү модулдарды жүктөө;
* GRUBx2 - GRUB2 жүктөө менюсунда көрсөтүлгөн саптын аталышы;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -кара. fdisk -l (sda9);
* тамырды орнотуу - тамырды орнотуу;
* кадимки /boot/grub/grub.cfg - шифрленген бөлүмдө аткарылуучу конфигурация файлы.

Жүктөлгөн шифрленген “grub.cfg” экенине ишенүү GRUB менюсунда “GRUBx2” сабын тандоодо “sdaY” сырсөзүн киргизүү/кулпусун ачуу үчүн оң жооп болуп саналат.

Чаташып калбоо үчүн CLIде иштегенде (жана "тамыр орнотулган" чөйрө өзгөрмөсү иштегенин текшериңиз), бош токен файлдарын түзүңүз, мисалы, шифрленген “/shifr_grub” бөлүмүндө, шифрленбеген “/noshifr_grub” бөлүмүндө. CLIде текшерүү

cat /Tab-Tab

Жогоруда белгиленгендей, эгерде мындай модулдар сиздин компьютериңизде болсо, бул зыяндуу модулдарды жүктөөдөн жардам бербейт. Мисалы, компьютерге физикалык мүмкүнчүлүгү бар чабуулчу тарабынан жүктөлүп алынганга чейин файлдын баскычтарын сактап, аны "~/i386" ичиндеги башка файлдар менен аралаштыра турган клавиатура.

Санариптик кол тамганы коргоо активдүү иштеп жатканын текшерүүнүн эң оңой жолу (кайра коюу эмес), жана жүктөгүчтү эч ким басып алган жок, CLIге буйрукту киргизиңиз

list_trusted

жооп катары биз "перскинин" көчүрмөсүн алабыз, же бизге кол салуу болсо, эч нерсе албайбыз (ошондой эле "set check_signatures=enforce" текшеришиңиз керек).
Бул кадамдын олуттуу кемчилиги - буйруктарды кол менен киргизүү. Эгер сиз бул буйрукту “grub.cfg” дарегине кошуп, конфигурацияны санарип колтамгасы менен коргосоңуз, анда экрандагы ачкычтын алдын ала чыгарылышынын убактысы өтө кыска жана GRUB2 жүктөлгөндөн кийин чыгууну көрүүгө убакытыңыз болбой калышы мүмкүн. .
Айрыкча эч кимге доомат коё турган эч ким жок: анын ичинде иштеп чыгуучу документтер 18.2-пункт расмий түрдө айтылат

"Белгиле, GRUB сырсөз менен корголсо да, GRUB өзү машинага физикалык мүмкүнчүлүгү бар кимдир-бирөөнүн ошол машинанын микропрограммасын (мисалы, Coreboot же BIOS) конфигурациясын машинанын башка (чабуулчу тарабынан башкарылуучу) түзмөктөн жүктөөсүнө алып келүүсүнө тоскоол боло албайт. GRUB эң жакшысы коопсуз жүктөө чынжырындагы бир гана шилтеме."

GRUB2 жалган коопсуздук сезимин бере турган функциялар менен ашыкча жүктөлгөн жана анын өнүгүшү функционалдуулугу жагынан MS-DOSтан ашып кеткен, бирок бул жөн гана жүктөөчү. GRUB2 - "эртең" OS жана ал үчүн жүктөлүүчү GNU/Linux виртуалдык машиналары болуп калышы күлкүлүү.

GRUB2 санарип колтамгасынын коргоосун кантип баштапкы абалга келтиргеним жана чыныгы колдонуучуга кийлигишкеним жөнүндө кыскача видео (Мен сизди корктум, бирок видеодо көрсөтүлгөндүн ордуна зыяны жок ыктыярдуу код/.mod жазсаңыз болот).

корутундулар:

1) Windows үчүн блокировка тутумунун шифрлөөсүн ишке ашыруу оңой жана GNU/Linux блок тутумунун шифрлөөсү менен бир нече сырсөз менен коргоого караганда бир сырсөз менен коргоо ыңгайлуураак, калыстык үчүн: акыркысы автоматташтырылган.

2) Мен макаланы актуалдуу жана деталдуу деп жаздым жөнөкөй бир үйдө VeraCrypt/LUKS толук дисктик шифрлөө боюнча колдонмо, бул RuNet (IMHO) боюнча эң мыкты. Колдонмо > 50 миң символдон турат, ошондуктан ал кээ бир кызыктуу бөлүмдөрдү камтыган жок: криптографтар жок болуп кетүүчү/көмүскөдө сакталат; ар кандай GNU/Linux китептеринде криптография жөнүндө аз жазышат/жазбайт экендиктери жөнүндө; Россия Федерациясынын Конституциясынын 51-беренеси жөнүндө; О лицензиялоо/бан Россия Федерациясында шифрлөө, эмне үчүн "тамыр / жүктөө" шифрлөө керектиги жөнүндө. Колдонмо абдан кенен, бирок деталдуу болуп чыкты. (жөнөкөй кадамдарды сүрөттөп), өз кезегинде, бул сиз "чыныгы шифрлөөгө" келгенде көп убакытты үнөмдөйт.

3) Толук диск шифрлөө Windows 7 64 системасында аткарылган; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.

4) ийгиликтүү чабуулду ишке ашырды анын GRUB2 жүктөгүч.

5) Окутуу КМШдагы бардык параноидиялык адамдарга жардам берүү үчүн түзүлгөн, мында мыйзамдык деңгээлде шифрлөө менен иштөөгө уруксат берилген. Ал эми биринчи кезекте конфигурацияланган тутумдарын кыйратпастан толук дисктик шифрлөөнү жайылтууну каалагандар үчүн.

6) 2020-жылы актуалдуу болгон менин колдонмомду кайра иштеп чыгып, жаңыртты.

[G] Пайдалуу документтер

1. TrueCrypt Колдонуучунун колдонмосу (Феврал 2012 RU)
2. VeraCrypt документациясы
3. /usr/share/doc/cryptsetup(-run) [жергиликтүү булак] (cryptsetup аркылуу GNU/Linux шифрлөөсүн орнотуу боюнча расмий деталдуу документтер)
4. Расмий FAQ cryptsetup (cryptsetup аркылуу GNU/Linux шифрлөөсүн орнотуу боюнча кыскача документтер)
5. LUKS түзмөк шифрлөө (archlinux документтери)
6. cryptsetup синтаксисинин толук сүрөттөлүшү (arch man барагы)
7. Крипттабдын толук сүрөттөлүшү (arch man барагы)
8. Расмий GRUB2 документтери.

Tags: толук диск шифрлөө, бөлүм шифрлөө, Linux толук диск шифрлөө, LUKS1 толук система шифрлөө.

Сурамжылоого катталган колдонуучулар гана катыша алышат. Кирүү, өтүнөмүн.

Шифрлеп жатасызбы?

• 17,1%Колумдан келгендин баарын шифрлейм. Мен параноидмын.14

• 34,2%Мен маанилүү маалыматтарды гана шифрлейм.28

• 14,6%Кээде шифрлейм, кээде унутуп калам.12

• 34,2%Жок, мен шифрлебейм, бул ыңгайсыз жана кымбат.28

82 колдонуучу добуш берди. 22 колдонуучу добуш берүүдөн баш тартты.

Source: www.habr.com