Plena orbis encryption of Windows Linux systemata inauguratus. Encrypted multi-tabernus

Renovata propria duce ad plenam orbis encryptionem in RuNet V0.2.

Eques belli:

[A] Windows 7 systema truncum encryption systematis inauguratum;
[B] GNU/Linux systema encryption (Debian) installed systema (Including / tabernus);
[C] GRUB2 configuration, bootloader praesidium cum subscriptione digitale/authentica/hashing;
[D] expoliatio-exitio datae unencryptae;
[E] universale tergum encrypted OS;
[F] impetum scopum - GRUB6 bootloader;
[G] Documenta utilia.

╭─── Schema # cubiculi 40# :
├──╼ Fenestra 7 inauguratus - plena ratio encryption, non occulta;
GNU/Linux installed (debian et derivativae distributiones) - plena ratio encryption, non absconditum(/, inter / tabernus, PERMUTO);
├──╼ praedones independentes: VeraCrypt bootloader in MBR inauguratus est, GRUB2 praelongus in protenta partitione installatur;
no OS installation/reinstallation requiritur;
cryptographic programmatio usus est: VeraCrypt; Cryptsetup; GnuPG; Seahorse; Hashdeep; GRUB2 est liber / gratis.

Praecedens schema problema ex parte solvit de "tabernaculo remoto ad a mico coegi", te permittit ut encrypted OS Windows/Linux frui et data permutatione per "canalem encrypted" ab uno OS ad alterum.

PC tabernus ordo (unus optionum);

• machina volvens;
• oneratisque VeraCrypt bootloader (Intrantes rectam password erit permanere ut tabernus Fenestra VII);
• premens "Esc" key oneratus GRUB2 tabernus oneratus;
• GRUB2 tabernus oneratus (selectis distribution/GNU/Linux/CLI), authenticas GRUB2 superuser requiret;
• postquam felix authenticas et selectio distributionis, necesse est ut passphrastionem ad "/boot/initrd.img" recludat;
• post intrantes error-liberum passwords, GRUB2 erit "require" tesseram ingressum (Tertia, BIOS password vel GNU/Linux usoris password - non considerans) ad recludam ac tabernus GNU/Linux OS, seu latae substitutionis arcani clavem (Two passwords + key, or password + key);
• externa intrusio in figuram GRUB2 GNU/Linux processus tabernus congelatur.

Molestias? Bene, processus automate abeamus.

Cum partitionibus ferreus coegi (MBR table) A PC non plus quam 4 principales partitiones habere potest, vel 3 principales et extensas, nec non in area collocabilis. Sectio extensa, dissimilis principalis, sectiones continere potest (Ratio agit = extensa). Aliis verbis, "partitio extensa" in HDD reponit LVM pro munere praesenti: plena ratio encryption. Si orbis tuus in 4 principales partitiones dividitur, debes uti lvm vel transform (Cum formatting) sectionem a principali ad progressum, seu quatuor omnes sectiones sapienter utere, et omnia relinquere, ut est, optatum exitum. Etiamsi unam partitionem in orbe tuo habes, Gparted adiuvabit partiri tuum HDD (Pro additional sectiones) sine data dispendio, sed tamen cum parva poena pro talibus factis.

Consilium ferreum coegi layout, in relatione ad quam totus articulus verbaliter exprimetur, in tabula infra exhibetur.

Tabula (No. 1) de 1TB partitionibus.

Simile quid habere debeas.
sda1 - principalis partitio 1 NTFS No (encrypted);
sda2 - sectio extensa titulum;
sda6 - logica orbis (habet GRUB2 bootloader inauguratus);
sda8 - PERMUTO (encrypted VERTO fasciculi/non semper);
sda9 - test disco logico;
sda5 - logical disk for the curious;
sda7 - GNU/Linux OS (translata OS ad disci logicum encryptatum);
sda3 - principalis partitio No. 2 cum Fenestra 7 OS (encrypted);
sda4 - section principalis No. 3 (continebat unencrypted GNU/Linux, pro tergum/non semper).

[A] Windows 7 Systema Block Encryption

A1. VeraCrypt

ex loading situs officialisAut speculi sourceforge versionem institutionem VeraCrypt software cryptographic (in tempore publicationis articuli v1.24-Update3, versio portatilis VeraCrypti non est apta encryptioni systemi). Reprehendo checksum de downloaded software

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

et compara eventum cum CS missae in website VeraCrypt elit.

Si programmatio HashTab inauguratur, facilius etiam est: RMB (VeraCrypt Setup 1.24.exe)-properties - Nullam summa files.

Ut subscriptione programmatis comprobaretur, programmatio et clavis publici pgp elit in systemate institui debent gnuPG; gpg4win.

A2. Installing/currens VeraCrypt software cum administrator iura

A3. Discriptis systema encryption parametri ad activam partemVeraCrypt - System - Encrypt ratio partitionis / orbis - Normal - Encrypt Fenestra ratio partitionis - Multiboot - (Admonitio: "Utentes imperiti hac methodo utendi non commendantur" et hoc verum est, "Ita" assentimus. - Tabernus orbis ("ita", etsi non ita, tamen "est") - Number of systematis orbis "II vel plures" - Plures systemata in uno orbe "Ita" - Non Fenestra tabernus oneratus "Non" (enim, "Immo," sed VeraCrypt/GRUB2 oneratorum tabernus MBR inter se non communicabunt, pressius, minima tantum pars oneris codici in MBR/tabernaculo MBR/octoris conditur, cuius praecipua pars est. sita in tabella ratio) - Multiboot - Encryption occasus…

Si deflectas a gradibus supra (ratio encryption angustos consilia)tunc VeraCrypt commonitionem dabit, nec te permittet ut partitionem encrypt.

Proximo gradu ad praesidium data iaculis, "Test" ducere et encryption algorithmus eligere. Si iamnon CPU habes, maxime verisimile algorithmus encryption celerrimus erit Twofish. Si CPU potens est, differentiam videbis: encryption AES, secundum experimentum eventus, pluries velocius erit quam competitores eius crypto. AES popularis encryption est algorithmus, ferramentum CPUs moderni proprie optimized pro utroque "secreto" et "casim".

VeraCrypt sustinet facultatem ad encrypt disks in AES Caesar(Twofish)/ and other combinations. Core Intel CPU abhinc decem annos (Sine hardware subsidium AES, A/T encryption Caesar) diminutio in effectu est imperceptibilis essentialiter. (Pro Pentium Pentium eiusdem aetatis/~ parametri, fit aliquantulum reducta). OS alacriter operatur et subsidium consummatio pro encryption perspicuo invisibilis est. E contra, exempli gratia, decrementum notabile in effectu ob inauguratum escriticum environment inauguratum testium Mate v1.20.1 (vel v1.20.2 prorsus non memini) in GNU/Linux vel ob operationem exercitationis telemetriae in Windows7↑. Typice, peritis utentes hardware perficiendi ante encryption probat. Exempli gratia, in Aida64/Sysbench/systemd-analyse culpa comparatur cum eventibus earumdem probationum postquam systema encrypting, ita sibi refutat fabulam "ratio encryption esse noxiam." Tarditatis machinae et incommoditatis notabiles sunt cum notitiae encryptae in tergum restituendae, quia ipsa operatio "ratio data tergum" in ms non mensuratur, et eaedem accedunt. Ultimo, quilibet usor, cui licet tinker cum cryptographia aequat encryptionem algorithmus contra satisfactionem operum vicinorum, ambitum paranoiae, et facilitatis usus.

Melius est parametrum PIM ut defaltam relinquere, ita ut, cum OS oneratum non habeas, quotienscumque valorem iterationis inire debeas. VeraCrypta ingens numerus iterationibus utitur ad creandum vere “tardus Nullam”. Impetus in tali "crypto cochleae" utens modum tabularum brutorum vis/iris arcus sensum efficit solum cum brevi passphrasi "simplex" et in indice personalis victima. Pretium solvendae roboris tesserae est mora in tesseram rectam intrandi cum OS oneret. (volumina VeraCrypta in GNU/Linux significanter velocius ascendunt).
Free software ad exsequendam violente impetus (Extract passphrase ex VeraCrypt/LUKS orbis header) Hashcat. Ioannes Ripper nescit quomodo "Veracryptam frangere", et cum LUKS laborat, cryptographiam Twofish non intelligit.

Ob vi cryptographicae algorithms encryptionis, quae nequit cypherpunks, programmata enucleantur cum vectore diverso oppugnationis. Exempli gratia: metadata extrahenda claves ab RAM (Frigus tabernus / recta memoria accessum impetum); Proprius est luctus libero ac non libero ad hos usus.

Peracta institutionis/generatio "metadata unica" partitio activae encryptae, VeraCrypt offeret ut sileo PC et experiatur functionem praeliorum eius. Post Fenestram rebooting/incipiens, VeraCrypt in standby modum onerabit, omnia quae supersunt processus encryptionis confirmet - Y.

Ad ultimum gradum systematis encryptionis, VeraCrypt praebebit exemplar tergum creare capitis partitionis encryptae activae in forma "veracrypt liberae orbis.iso" - hoc faciendum est - in hoc programmate talis operatio postulatio est (in Luks, sicut necessitas - hoc proh dolor omittitur, sed in documentis illustratur). Eripe orbem, in promptu veniam pro omnibus, et aliquot semel. Damnum (Caput / MBR RESCRIBO) exemplum tergum capitis in perpetuum aditum ad partitionem decryptam cum OS Windows negabit.

A4. Creando VeraCrypt liberandum USB / orbisDefalta, VeraCrypta offert ut CD ustionem "~2-3MB metadatae", sed non omnes homines discos vel DWD-ROM agitet, et creans coegi mico coagulum "VeraCrypt Liberate disci", mirum technicum erit aliquot: Rufus /GUIdd-ROSA ImageWriter aliusque similis programmatio negotium obire non poterit, quia praeter schedularum metadatae mico incoegi, imitari debes imaginem/crustulum extra systema tabellariorum USB coegi, denique MBR/via ad keychain recte effingo. Coegi mico bootable ex GNU/Linux OS utilitatis "dd" utens, hoc signum spectans potes.

Discus liberandi creando in Fenestra environment differt. Elit VeraCrypt solutionem huius problematis in officiali non comprehendit Litterarum per "orbem liberandum", sed solutionem diverso modo proposuit: programmatum additionalem misit ad "usb liberandum orbem" creando gratis accessum in forum VeraCrypt. Scriniarius huius programmatis pro Fenestra est "usb veracrypt liberandum orbem creans". Post liberationem orbis salutaris, processus systematis interclusionis encryption partitionis activae incipiet. In encryptione, operatio OS non cessat, sileo PC non requiritur. Peracta encryptionis operatione, partitio activa plene encryptari potest et adhiberi potest. Si oneratus tabernus VeraCrypt cum PC incipias et operatio recuperatio capitis non adiuvat, tunc vexillum "tabernorum" reprehendo, ad partitionem ubi Fenestra adest (e encryption and other OS, see table No. 1).
Hoc descriptionem systematis obstructionum encryption cum Windows OS perficit.

[B]LUKS. GNU/Linux encryption (~Debian) inauguratus OS. Algorithmus et Gradus

Ut encryptam distributio Debian/derivativa constituatur, debes partitionem praeparatam ad virtualem stipitem delineare, eam transferre ad disci GNU/Linux deformatum, et institue/configurare GRUB2. Si nudum metallum non habes, et tempus tuum aestimas, GUI uti debes, et plerique mandatorum terminalium infra descriptorum debent currere in "modus Chuck-Norris".

B1. Tabernus PC e live USB GNU/Linux

"Crypto test ad hardware perficientur deducere"

lscpu && сryptsetup benchmark

Si felix dominus es validi currus cum ferramentis AES sustentandis, tunc numeri videbunt sicut dextrum terminalis latus: si dominus laetus es, sed cum ferramento antiquo, numeri ad latus sinistrum spectabunt.

B2. Disci partitionis. adscendens / formatting dictum ratione orbis HDD ad Ext4 (Gparted)

B2.1. Partum an encrypted sda7 partitio headerPartitionum nomina hic et ulterius describo, iuxta meam partitionem tabulae supra missae. Secundum extensionem orbis tui, partitio nomina tua substituere debes.

Logica Coegi Encryption Mapping (/dev/sda7 > /dev/mapper/sda7_crypt).
# Securus creatio "LUKS-AES-XTS partitio"

cryptsetup -v -y luksFormat /dev/sda7

Optiones:

* luksFormat - initialization of LUKS header;
* -y -passphrase (non clavis/file);
* -v -verbalization (informatio terminatio ostendens);
* /dev/sda7 - tuum logicum disci ex extenso partitione (ubi cogitavit transferre/encrypt GNU/Linux).

Default encryption algorithmus <LUKS1: aes-xts-plain64, Key: 256 bits, LUKS header hashing: sha256, RNG: /dev/urandom> (pendet a versione cryptsetup).

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

Si nulla subsidia ferramenta pro AES in CPU dentur, optima optio fieret extensam "LUKS-Twofish-XTS-partitionem".

B2.2. Provecta creatio "LUKS-Twofish-XTS-partitionis"

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

Optiones:
* luksFormat - initialization of LUKS header;
* /dev/sda7 is your future encrypted logical disk;
* -v verbalization;
* -y passphrase;
* -c data encryption algorithmus selectus;
* -s encryption key size;
* -h hashing algorithmus / crypto munus, RNG used (-uti-urandom) ad generandum singularem encryptionem/decryptionem clavem ad caput orbis logici, clavis caput secundarium (XTS); unicum dominum clavem repositum in capite orbis encrypted, clavis XTS secundarium, omnia metadata et encryption usitatum quae, clavis magistri ac clavis XTS secundae utens, encryptas/decryptas quaslibet notitias in partitione (Praeter titulum sectionis) condita ~ 3MB in delectis rigidum partitione.
* -i iterationes in milliseconds, pro "quantum" (tempus dilatio est cum passphrases dispensando oneratione OS et cryptographicae roboris clavium afficit). Statera virium cryptographicarum conservare, cum tessera simplici sicut "Russian" valorem -(i) augere debes, cum tessera intricata sicut "?8dƱob/øfh" valor minui potest.
* -Utor-urandom temere numerus generans, claves et salem generat.

Post sectionem destinata sda7> sda7_crypt (operatio celeris est, quia caput encrypted cum metadata ~3 MB creatum est et omnia), debes formare et sda7_cryptam fasciculi conscendere.

B2.3. Comparatio

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

optiones:
* aperta — aequare sectionem "nomine";
* /dev/sda7 -logical disk;
* sda7_crypt - nomen mapping utendum est ad maceriam encryptam conscendendam vel initialize eam cum OS ocreis.

B2.4. Forma sda7_cryptarum fasciculi ad ext4. Orbe adscendens in OS(Nota: cum encrypted partitione Gparted laborare non poteris)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt 

optiones:
* -v -verbalization;
*-L — titulus eicit (qui in Rimor inter alia egit).

Deinde, prope encrypted fabrica /dev/sda7_crypt ad systema-encrypted conscendas

mount /dev/mapper/sda7_crypt /mnt

Operans cum lima in /mnt folder sponte encrypt/decrypt data in sda7.

Commodius est ad describendam et partitionem in Explorer (nautilus/caja GUI)partitio iam erit in indice delectu discorum, quidquid reliquum est, passphrasim ad aperiendum/decryptam disco ingrediendam est. Par nomen ipso facto eligetur et non "sda7_crypt", sed aliquid simile /dev/mapper/Luks-xx-xx...

B2.5. Discus header tergum (3MB metadata)Unum ex maxime maximus operationes quae sine mora faciendae sunt - exemplum tergum "sda7_crypt" capitis. Si rescribere / laedas caput (exempli gratia insertis GRUB2 in partitione sda7, etc.)notitia encryptata penitus amittetur sine ulla recuperandi possibilitate, quia impossibile erit easdem claves regenerare, claves unice creantur.

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7 

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

optiones:
* luksHeaderBackup —header-tergum-file -backup imperium;
* LuksHeaderRestore -header-tergum, lima -restore imperium;
* ~ / Backup_DebSHIFR - tergum fasciculi;
* /dev/sda7 - partitionis cuius exemplar orbis caput encrypted tergum servandum est.
In hoc gradu perficitur.

B3. GNU/Linux OS (sda4) ad encrypted partitione (sda7)

Creare folder / mnt2 (Nota - adhuc laboramus cum usb vivo, sda7_crypt ad /mnt annectitur)et GNU/Linux in /mnt2 conscendunt, quod encrypto debet.

mkdir /mnt2
mount /dev/sda4 /mnt2

Nos recte OS transferre per Rsync software

rsync -avlxhHX --progress /mnt2/ /mnt

Rsync optiones descriptae sunt in paragrapho E1.

praeterea, oportet, fragmentum ratione orbis partitione

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

Fac regulam: fac e4defragm in encrypted GNU/Linux subinde si HDD habes.
Translatio et synchronisatio [GNU/Linux> GNU/Linux-encrypted] hoc gradu perficitur.

AT IV. GNU erigens / Linux encrypted in partitione sda4

Postquam feliciter OS /dev/sda4 > /dev/sda7 transferens, debes in GNU/Linux in partitione encrypted inire et figuram ulteriorem explere. (Sine rebooting PC) ad encrypted ratio. Id est, esse in usb vivo, sed imperata facere "secundum radicem encrypted OS." "chroot" consimilem casum simulabit. Cito informationes accipias in quibus OS es currently opus est (Encrypted vel non, cum data in sda4 et sda7 synchronised), describuntur OS. Create in radix directoriis (sda4/sda7_crypt) tabellae vacuae, exempli gratia, /mnt/encryptedOS et /mnt2/decryptedOS. Cito inspicias quid OS es? (including for the future):

ls /<Tab-Tab>

B4.1. "Simulatio colligationem in encrypted OS"

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. Probans quod opus fit contra an encrypted ratio

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. Creando/configurans encrypted VERTO, edere crypttab/fstabCum fasciculus permundo formatus sit omni tempore quo incipit OS, nihil facit sensum creare et permutare ad disci logicum nunc, et inire mandata ut in paragrapho B2.2. Nam Swap, claves temporalis suae encryptionis in unoquoque principio sponte generabuntur. Vita cycle of VERTO claves: unmounting / unmounting VERTO partitione (+ Purgato RAM); vel sileo OS. PERMUTO erigens, aperiens tabella responsabilis pro configuratione machinis truncis encrypted (analoga to an file fstab, at author for crypto).

nano /etc/crypttab 

nos edit

# "scopum nomen" "fons device" "file file" "optiones"
swap/dev/sda8/dev/urandom swap, cipher=twofish-xts-plain64, size=512,hash=sha512

options
* VERTO - mapped name cum encrypting /dev/mapper/permundo.
* /dev/sda8 - partitione logica utere pro VERTO.
* /dev/urandom - generans claves temere encryption pro PERMUTO (cum singulis novis OS tabernus, novae claves creatae sunt). Generator dev/urandom minus temere quam dev/rando, omnibus dev/randis in periculis paranoidis circumstantiis laborante adhibetur. Cum onerant OS, /dev/rande retardant loading aliquot minutae ± (vide systemd-analyse).
* PERMUTO, cipher = duos pisces plani, magnitudine = 64, sha512: partitio scit eam esse permuto et formatam esse secundum; encryption algorithmus.

#Открываем и правим fstab
nano /etc/fstab

nos edit

# PERMUTO fui in / dev / per institutionem sda8
/dev/mapper/swap none swap sw 0 0

Nomen /dev/mapper/ swap positum est in crypttab.

Alternative encrypted VERTO
Si aliqua de causa integram partitionem pro permutatione fasciculi dare non vis, joco et meliore modo exire potes: RAPTUM fasciculum in tabella creans in partitione encryptata cum OS.

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

PERMUTO partitio habeat completum.

B4.4. Occasus sursum encrypted GNU/Linux (crypttab edendis / files fstab)Fasciculus /etc/crypttab, ut supra scriptum est, machinis clausulis encryptatis describit quae in caliga systematis configurantur.

#правим /etc/crypttab 
nano /etc/crypttab 

si matched sda7> sda7_crypt sectioni ut in articulo B2.1

# "scutum nomen" "fontis fabrica" ​​"file file" "optiones"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

si matched sda7> sda7_crypt sectioni ut in articulo B2.2

# "scutum nomen" "fontis fabrica" ​​"file file" "optiones"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

si sectioni sda7>sda7_cryptae congruere ut in paragrapho B2.1 vel B2.2, sed noli re-ingredi tesseram reserare et OS emarcere, tunc loco tesserae clavem/passim occultam substituere potes.

# "scutum nomen" "fontis fabrica" ​​"file file" "optiones"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

Description
* nemo - tradit OS cum oneratione, secretum passphrasin ingrediens, oportet radicem reserare.
* UUID — partitio identifier. Ut invenias tua ID, typus in termino (monere ab hoc tempore in termino in chroot environment, non in alio usb terminatio vivere).

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное 

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

Haec linea visibilis est cum petens blkid a vivo usb terminali sda7_crypt ascendentis).
Tu accipies UUID ex sdaX (non sdaX_crypt!, UUID sdaX_crypt - automatice relinquetur cum grub.cfg config generans).
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks encryption in provectus modus.
*/etc/skey - clavis secreta fasciculi, quae sponte ad recludendum OS tabernus . inserta est (Pro intrantes 3 password). Quaelibet tabella ad 8MB definire potes, sed notitia legetur <1MB.

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7 

Videbit aliquid simile hoc;

fac tibi et vide tibi.

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab descriptiones notitias de variis systematibus fasciculi continet.

#Правим /etc/fstab
nano /etc/fstab

# "systema fasciculi" "punctum montis", "type" "optiones" "dump" "transire"
# / Et in / dev / sda7 durante installation
/dev/mapper/sda7_crypt/ext4 errors=remount-ro 0 1

optionem
* /dev/mapper/sda7_crypt - nomen sda7>sda7_crypt tabularum, quae in tabella /etc/crypttab denotatur.
The crypttab/fstab setup is complete.

B4.5. Configurationis lima recensere. Key momentumB4.5.1. Emendo config /etc/initramfs-tools/conf.d/resume

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

ac comment e (Si existat) "#" linea "proin". Tabella vacua omnino esse debet.

B4.5.2. Emendo config /etc/initramfs-tools/conf.d/cryptsetup

nano /etc/initramfs-tools/conf.d/cryptsetup

ut aequare

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=sic
export CRYPTSETUP

B4.5.3. Emendo /etc/default/grub config (Hoc aboutconfig est author facultatem generandi grub.cfg cum operantes cum encrypted /boot)

nano /etc/default/grub

adde lineam "GRUB_ENABLE_CRYPTODISK=y"
valorem 'y', grub-mkconfig et grub-install reprimendam encrypted agitet generabitque addito mandato opus est ut accedere ad eos in tempore tabernus (insmods ).
erit similitudo

GRUB_DEFAULT 0 =
GRUB_TIMEOUT 1 =
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/nullus || resonare Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=vendor"
GRUB_CMDLINE_LINUX="quiete fundent noautomount"
GRUB_ENABLE_CRYPTODISK=y

B4.5.4. Emendo config /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

reprehendo quod linea commentatur .
In futuro, (et nunc etiam hic modulus nullam significationem habebit, sed interdum imaginis initrd.img adaequationis impedit).

B4.5.5. Emendo config /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

addendo

KEYFILE_PATTERN = "/etc/skey"
UMASK=0077

Hoc arcanum clavem "skey" in initrd.img colliget, clavis opus est ad radicem recludendam cum ocreis OS (si tesseram denuo inire non vis, clavis "clavis" pro curru substituitur).

B4.6. Renovatio /boot/initrd.img [versio]Ad stipant secretum clavem in initrd.img et applica cryptsetup defigit, update imaginem

update-initramfs -u -k all

cum adaequationis initrd.img (ut aiunt "potest, sed certum non est") monita ad cryptsetup pertinentia apparebit, vel, exempli gratia, notificatio de modulorum Nvidia iactura - hoc normale est. Post tabella adaequationis, reprehendo quod actu renovatum est, vide tempus (secundum chroot environment./boot/initrd.img). Cautus esto ante [update-initramfs -u -k all] cave reprehendo quod cryptsetup aperta /dev/sda7 sda7_crypt - hoc nomen quod in /etc/crypttab apparet, aliter postquam reboot erroris erit occupatus)
In hoc gradu, constituens schematismum configurationem completum est.

[C] Installing ac Vestibulum GRUB2/Protection

C1. Si opus est, format dedicatae partitionem ad bootloader (partitio saltem 20MB)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. Mount /dev/sda6 to /mntSic laboramus in chroot, tunc nullum /mnt2 directorium in radice erit, et folder /mnt vacuum erit.
escendere GRUB2 partitione

mount /dev/sda6 /mnt

Si antiquiorem versionem GRUB2 habes, in directorio /mnt/boot/grub/i-386-pc (alia suggestum fieri potest, exempli gratia, non "i386-pc"). nulla crypto modules (in summa, folder modulos contineat, inter hos . mod: cryptodisk; luks; gery_twofish; gery_sha512; signature_test.mod); hoc in casu, GRUB2 agitandus est.

apt-get update
apt-get install grub2 

Maximus! Cum GRUB2 sarcinam adaequationis e repositorio, cum "de eligendo" quaesitum est, ubi praedones instituere debet, institutionem recusare debetis. (Ratio - conatus ad install GRUB2 - in "MBR" vel in Vivamus USB). Alioquin VeraCrypt header/loader laedas. Cum GRUB2 fasciculis adaequatis et institutionem rescindendo, oneratus tabernus manually in disco logico institui debet, et non in MBR. Si repositio habet evasissent versionem GRUB2, try renovatio id est a officiali - illud non repressit (cum recentissimis GRUB 2.02 ~BetaX onerariis laboratum est).

C3. GRUB2 insertis in partitione extensa [sda6]Partitionem equestris habere debes [item C.2]

grub-install --force --root-directory=/mnt /dev/sda6

options
* - Force - institutionem de bootloader, praetermittens omnia monita quae fere semper sunt et obstruunt institutionem (Vexillum requiritur).
* --root-directory - ponit directorium ad radicem sda6.
* /dev/sda6 - tuum sdaХ partition (ne deesset inter /mnt /dev/sda6).

C4. Configurationis file creando [grub.cfg]Oblivisci de imperio "update-grub2" et utere plenam configurationem fasciculi generationis mandatum

grub-mkconfig -o /mnt/boot/grub/grub.cfg

peracta generation/updating de grub.cfg fasciculi, output terminatio debet continere lineam(s) cum OS in disco inventa ("grub-mkconfig" verisimiliter invenient et colligent OS ex vivo usb, si multiboot mico coegi cum Fenestra 10 et fasciculum distributionum vivorum - hoc est normale). Si terminalis est "vacuus" et fasciculus "grub.cfg" non generatur, idem est casus cum VERMIS cimices in systemate sunt. (et maxime probabile oneratus ex test ramo repositorium); restituo GRUB2 ex confidentibus fontibus.
"Configuratio simplicis" institutionem ac GRUB2 institutio perfecta est.

C5. Probatio encrypted GNU/Linux OSCryptam missionem recte perficimus. Diligenter encrypted GNU relinquens / Linux (chroot environment exit).

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

Post rebotionem PC, VeraCrypt bootloader debet onerare.


*Intrans Tesseram pro partitione activa incipiet Fenestra loading.
* Pressura "Esc" clavem ad GRUB2 imperium transferet, si GNU/Linux - tesseram (sda7_crypt) in recludendo requiretur /boot/initrd.img (si grub2 scribit uuid "non inveni" - hoc est problema cum grub2 bootloader, restitui debet, exempli causa e test ramo/stabili etc.).


*Prout quomodo systema configurasti (vide paragraph B4.4/4.5), cum rectam password intrantes imaginem /boot/initrd.img reserare, tesseram debes onerare OS kernel/radicis vel arcani clavis "skey" automatice substituetur, removens necessitatem passphrasis reintrandi.

(screen "automatic substitutio clavis secreti").

*Tunc nota processus loading GNU/Linux cum ratione usoris authenticas sequetur.


*Post user auctoritate et login ad OS, debes renovare /boot/initrd.img iterum (see B4.6).

update-initramfs -u -k all

Et in casu extra lineas in menu GRUB2 (Ex OS-m RAPINA cum live USB) tollendum

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

A velox summarium GNU/Linux systematis encryption:

• GNU/Linuxinux plene encrypta est, inter nucleos et initrd;
• clavis secreti fasciculi initrd.img;
• current ratio auctoritatis (Tesseras reserare initrd intrantes, password / key ut tabernus in OS, Linux propter password ut concessum est).

"Simplex GRUB2 configurationis" systema encryption partitionis clausulae perfecta est.

C6. Provectus configuratione GRUB2. Bootloader praesidio cum digital signature + authenticas tutelamGNU/Linux omnino encrypta est, sed praedones effingi non potest - haec conditio a BIOS dictatur. Quam ob rem caliga GRUB2 catenata encrypta non potest, sed caliga simplex concatenata possibile/praesto est, sed ex parte securitatis necessarium non est. P. F].
Pro "vulnerabile" GRUB2, tincturae "signaturae/authenticationem" impleverunt praesidium algorithmus bootloader.

• Cum bootloader a "subscriptione digitale sua munitum" modificationem externam imaginum, vel conatum modulorum additorum in hoc bootloade onerandi, ad processum tabernus interclusum ducet.
• Cum praedones authenticas tuetur, ut distributionem oneratam eligere vel in CLI mandata inire, necesse erit login et tesseram superuser-GRUB2 inire.

C6.1. Bootloader praesidium authenticasCheck that you are working in terminal on an encrypted OS

ls /<Tab-Tab> #обнаружить файл-маркер

creare superuser password pro auctoritate GRUB2 "

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. 

Nullam ut password. Aliquid simile hoc

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

conscendunt VERMIS maceriæ

mount /dev/sda6 /mnt 

recensere aboutconfig

nano -$ /mnt/boot/grub/grub.cfg 

perscribe tabella inquisitionis quae nulla sunt vexilla usquam in "grub.cfg" ("-user stricto" "-user";
adde in ipso fine ( ante lineam ### end /etc/grub.d/41_custom ###)
"set superusers="root"
password_pbkdf2 radix Nullam ".

Sit aliquid simile hoc

# Hic fasciculus facilem viam praebet ut menu entries consuetudo adderetur. Tantum typus sunt
# Menu entries velis post hunc commentarium addere. Cave ne mutare
# Autem, exec cauda 'supra lineam.
### FINIS /etc/grub.d/40_custom ###

### INCIPIT /etc/grub.d/41_custom ###
si [ -f${config_directory}/custom.cfg ]; tunc "
source ${config_directory}/custom.cfg
elif [-z "${config_directory}" -a -f $prefix/custom.cfg ]; tunc "
source $prefix/custom.cfg;
fi
pone superusers "root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### FINIS /etc/grub.d/41_custom ###
#

Si praeceptum saepe uteris "grub-mkconfig -o /mnt/boot/grub/grub.cfg" et non vis mutationes in grub.cfg omni tempore reddere, lineas superiores inire. (Login: Password) in ipso fundo VERMIS user scriptor

nano /etc/grub.d/41_custom 

cat <<EOF
pone superusers "root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF,

Cum config generans "grub-mkconfig -o /mnt/boot/grub/grub.cfg", lineae authenticae responsales automatice ad grub.cfg addentur.
Hic gradus authenticas setup GRUB2 complet.

C6.2. Bootloader praesidio cum digital signaturePonitur te iam habere personalem PGp encryption clavem (vel talem clavem creare). Ratio programmatis cryptographici habere debet inauguratus: gnuPG; kleopatra/GPA; Equus nauticus. Crypto programmata vitam tuam multo faciliorem in omnibus huiusmodi rebus efficiet. Equus nauticus - versio stabilis sarcina 3.14.0 (versiones superiores, exempli gratia V3.20. XNUMX, defectiva sunt et cimices significantes habent).

Clavis PGP debet generari/launched/addi tantum in ambitu su!

Encryption personalis clavis generate

gpg - -gen-key

Clavem tuam export

gpg --export -o ~/perskey

Conscende logicam disci in OS si nondum ascendit

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

emundare GRUB2 maceriæ solvens

rm -rf /mnt/

GRUB2 in sda6 instrue, clavem privatam tuam in imagine GRUB principali "core.img"

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

options
* Vi - install in bootloader, praeteriens omnia monita quae semper sunt (Vexillum requiritur).
* —modules = gery_sha256 gery_sha512 signature_test gery_dsa gery_rsa - GRUB2 instruit ut necessarios modulos prelocet cum PC incipit.
* -k ~/ perskey -path ad "PGP key" (Post clavem in imaginem deleri potest).
* --root-indirectory -Set tabernus ad radix of sda6
/dev/sda6 - partitio tua sdaX.

Generating/updating grub.cfg

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

Adde lineam "fide /boot/grub/perskey" ad finem "grub.cfg" lima (Pgp key vis usu). Cum GRUB2 constituimus modulorum statuto, incluso moduli subscriptione "signature_test.mod", hoc eliminat necessitatem mandatorum addendi velut "reprehendo check_signaturas = cogendi" ad config.

Videre debet aliquid simile hoc (Finis lineae in grub.cfg file)

### INCIPIT /etc/grub.d/41_custom ###
si [ -f${config_directory}/custom.cfg ]; tunc "
source ${config_directory}/custom.cfg
elif [-z "${config_directory}" -a -f $prefix/custom.cfg ]; tunc "
source $prefix/custom.cfg;
fi
confido / tabernus / vermis / perskey
pone superusers "root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### FINIS /etc/grub.d/41_custom ###
#

Semita ad "/boot/grub/perskey" demonstrari non debet ad partitionem orbis specificam, exempli gratia hd0,6, nam ipsum bootloader "radix" est via defectus partitionis in qua GRUB2 inauguratus est. (see rot=.).

Signing GRUB2 (Omnes lima in omnibus / VERMIS directoriis) cum clavis "perskey".
Simplex solutio quomodo subscribere (for nautilus/caja rimor); niteremur extensionem exploratoris e repositorio "horse". Clavis tua ad su ambitus addenda est.
Aperi Rimor cum sudo “/mnt/boot” – RMB – signum. In screen is vultus sic

Ipsa clavis est "/mnt/boot/grub/perskey" (Exemplum ut vermis Directory) signari etiam debet propria subscriptione. Reprehendo quod [*.sig] fasciculi subscriptiones in indicem/subdirectorias apparent.
Utens methodo supra scripta, signum "/ tabernus" (nostrum nucleum, initrd). Si tempus tuum nihil valet, haec methodus excludit necessitatem scribendae scriptionis in scribendo "sortes lima."

Ad removendum omnes subscriptionibus bootloader (Si aliquid abiit iniuriam)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

Ut bootloader not subscribere cum adaequationis rationem, omnes renovationes sarcinas ad GRUB2.

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

In hoc gradu figurae provectae GRUB2 completur.

C6.3. Probatio explorationis GRUB2 bootloader, digitalis subscriptione et authenticitate munitumGRUB2. Cum eligens quis GNU/Linux distributio vel intrantes CLI (imperium versus) Superuser auctoritas requiretur. Post rectam username / password, initrd password opus erit

Screenshot of prospere authentication of GRUB2 superuser.

Si vos sollicitare aliquem ex GRUB2 files/mutationes facere grub.cfg, vel tabellam/signaturam delere, vel modulo malitioso onerare, par monitio apparebit. GRUB2 cessabit loading.

Screenshot, conatum impedire GRUB2 "ab extra".

Per "normalem" booting "sine intrusione", ratio exit in codice status est "0". Unde nescitur utrum opera tutelae an non hoc est, "cum vel sine bootloader subscriptio tutelae" durante normali oneratione status idem "0" - hoc malum est.

Quomodo praesidium digital subscriptio reprehendo?

Incommodus modus ad reprimendam: fake/move moduli usus a GRUB2, exempli gratia, subscriptio luks.mod.sig tolle et errorem obtine.

Recta via: vade ad bootloader CLI et typus mandatum

trust_list

Respondens debes fingerprints recipere "perskey", si status est "0", tum tutela subscriptio non operatur, duplex-reprehendo paragraphum C6.2.
In hoc gradu figura provectus "GRUB2 cum subscriptione digitalis et authenticitate" perficitur.

C7 Alternativum modum tuendi GRUB2 bootloader utendi hashingMethodus supra scripta "CPU Boot Loader Protection/Authentication descriptus est ordo classicus. Ob imperfectiones GRUB2, in conditionibus paranoidis obnoxius est impetum realem, quem infra in paragrapho dabo. Insuper, OS/nucleo adaequatis, caesor re-signari debet.

Protegens GRUB2 bootloader per hashing

Commoda super classica:

• Superiore gradu constantiae (hashing/verification is only from the encrypted local resource. Tota partitio sub GRUB2 partita regitur pro quibusvis mutationibus, et omnia alia encrypted; in consilio classico cum CPU oneratus tutelam/Auctionem, tantum fasciculi reguntur, sed non gratis. spatium, in quo addi potest aliquid sinistrum.
• Encrypted logging (Homo readable personale encrypted log is added to the design).
• celeritas (protectionem/verificationem integrae partitionis partita GRUB2 paene statim occurrit).
• Automatio omnium processuum cryptographicarum.

Incommoda super classica.

• Subscriptio fictus (theoretice datur concursus functionis Nullam invenire).
• Augetur difficultas gradu (comparantur classico paulo plures artes in GNU/Linux OS requiruntur).

Quam in GRUB2 / partitionem hashing idea opera

GRUB2 partitio "signata" est, cum OS ocrearum, partitio oneratus violenta ob immutabilitatem retunditur, sequitur colligationem in ambitu securo (encrypted). Si praedo vel eius partitio aedilis, praeter stipes intrusionem, sequens emissa est:

Rem.

Similis perscriptio quater in die occurrit, quae facultates systematis non onerat.
Usura "-$ check_GRUB" mandatum, instanti perscriptio incidit aliquando sine logatione, sed cum informatione ad CLI.
Utens imperio "-$ sudo signature_GRUB", GRUB2 tabernus oneratus/partitio statim re-signata eiusque updated logging (necessarium est post OS/renovatio tabernus), et vita perseverat.

Exsecutio methodi hashing ad bootloader eiusque sectionem

0) Sit scriptor signum VERMIS bootloader / inscensus in primo partitur / media / usoris

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) Scriptum sine extensione in radice encrypted OS ~/podpis creamus, necessaria iura securitatis 744 et stultorum ad eam tutelam adhibemus.

Implens contenta

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

Currere scriptum e suHaustio VERMIS maceriae et eius caesurae coercitae, praeter truncum.

Efficeamus vel effingamus, exempli gratia, "malicium fasciculum" [virus.mod] ad GRUB2 partitionem et ad tempus scan/test percurrendum:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

CLI videndum est incursus nostrorum -citadel-.#Trimmed iniuriarum in CLI

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

#Sicut videre potes, "Flatae mota: 1 et Audit defecerunt" apparet, quod significat reprehendo defecit.
Ob naturam partitionis spectatae, loco "novi fasciculi inventi" > "Fimae motae"

2) gif pone hic > ~/warning.gif pone licentias ad 744 .

3) Vestibulum fstab automount VERMIS maceriæ solvens in tabernus

-$ sudo nano /etc/fstab

LABEL=GRUB/media/usoris/GRUB ext4 defaltis 0 0

4) Revolventis iniuriarum

-$ sudo nano /etc/logrotate.d/podpis 

/var/log/podpis.txt {
cotidie
VII CIRCUMAGO
magnitudine 5M
dateext
compendium
delaycompress
olddir /var/log/old
}

/var/log/vtorjenie.txt {
menstruatae
VII CIRCUMAGO
magnitudine 5M
dateext
olddir /var/log/old
}

5) Addere officium ad cron

-$ sudo crontab -e

reboot '/subscription'
0 */6 * * */ podpis

6) Partum permanens aliases

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

Post OS update -$ apt-get upgrade rursus subscribere nostrum VERMIS maceriæ
-$ подпись_GRUB
Hic tutela VERMIS maceriae hashing completa est.

[D] Wiping - notitia exitium unencrypted

Documenta tua personalia ita prorsus dele ut "ne Deus quidem eas legere possit", secundum loquens Carolina Australis Trey Gowdy.

Ut solet, variae sunt “fabulae” et fabulae", de notitia restituenda postquam ex duro mina deleta est. Si in cyberwitchcraft credis vel membrum communitatis Dr telae es et numquam receptam datam temptaveris postquam deleta est/opressa est (exempli gratia, recuperatio utens R-studio)proposita ratio abhorret ad te, utere proxime tibi.

Postquam GNU/Linux ad partitionem encryptam feliciter transferens, vetus exemplar delendum est sine possibilitate notitiae recuperationis. Universalis purgatio methodi: software pro Fenestra/Linux gratuita GUI software BleachBit.
cito format sectionem, notitia in qua debet destrui (per Gparted) launch BleachBit, ad "Expurgate liberum spatium" - eligere partitionem (Tuum sdaX cum praecedente exemplum GNU/Linux)detractio processus incipiet. BleachBit - orbem in uno saltu abstergit - hoc est quod "opus est", Sed! Hoc solum in theoria laborat si disci formatis et purgata in BB v2.0 programmate.

Cautus esto! BP orbis abstergit, metadata relinquens: file nomina conservantur, cum data eliminatur (Ccleaner — metadata non relinquit).

Et fabula de possibilitate notitiae recuperationis omnino fabula non est.Bleachbit V2.0-2 instabilis pristini sarcina Debian OS (et quaevis alia similis programmatio: sfill; dele-Nautilus - etiam in hoc negotio sordido notatae sunt) actually had a critica cimex: "liberum spatium defensionem" munus male operatur in HDD / Flash agit (ntfs/ext4). Software huiusmodi, cum spatium vacuum derelinquens, totum disci non scribit, sicut multi usores putant. Et quidam (multum) deleta data OS/software hanc datam tamquam non-deletam/usorem datam iudicat et cum purgat "OSP" has tabulas vagatur. Problema est post tam longum tempus purgatum orbis "Delevit files" reparari potest etiam post 3+ fauces abstergendi discus.
Die GNU/Linux apud Bleachbit 2.0-2 Munera tabellariorum permanentium delendi et directoria fideliter laborant, sed spatium liberum non purgandi. Pro comparatione: in Fenestra in CCleaner munus munus "OSP pro ntfs" recte operatur, et Deus vere notitia deleta legere non poterit.

Itaque penitus removendum "commissum" vetus notitia unencrypted, Bleachbit recta accessum ad haec notitiaergo utere functionem " imaginum / directoriorum " in perpetuum delere.
Ad removendum "lima lima utens vexillum OS instrumenta" in Fenestra, utere CCleaner/BB cum functione "OSP". In GNU/Linux super hoc problema (Delere delevit files) vos postulo ut usu tuo (data delendo + independens conatus eam restituendi et versioni programmati non inniti (si not signum, deinde cimex))hoc solum casu poteris machinam huius problematis intelligere et notitias deletas penitus removere.

Bleachbit v3.0 non temptavi, problema iam fixum est.
Bleachbit v2.0 honeste operatur.

Hoc passu, orbis tergendis completus est.

[E] Universale tergum encrypted OS

Uterque usor suam rationem habet tergum sursum datae, sed encrypted System OS notitiae paulo diversum accessum ad negotium requirit. Programma una, ut Clonezilla et similis programmatio, directe cum notitia encryptata laborare non potest.

Enuntiatio problematis de tergum sursum encrypted cogitationes obstructionum:

1. universalitas - idem algorithmus tergum/software pro Fenestra/Linux;
2. facultas operandi in console cum omni vivo USB GNU/Linux sine necessitate additae software downloads (sed tamen suadeo GUI);
3. securitas exemplarium tergum - repositum "imagines" encrypted/password-protegendas esse debet;
4. amplitudo notitiarum encryptarum debet respondere quantitati ipsarum notitiarum quae exscriptae sunt;
5. convenient extractionem necessariorum files ex tergum exemplum (Nec exigentia ad decrypt totam sectionem primam).

Exempli gratia, tergum/restituere per "dd" utilitatem

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

Omnibus fere punctis negotii respondet, sed secundum 4 punctum reprehensionis non obstat, cum totam orbis partitionem, inclusam spatium liberum, transcribit.

Exempli gratia, GNU/Linux tergum per archivum [tar" | gpg] commodum est, sed pro Fenestra tergum debes quaerere solutionem aliam - non est interesting.

E1. Universalis Fenestra/Linux tergum. Link rsync (Grsync)+VeraCrypt volumeAlgorithmus pro creando exemplum tergum:

1. creando encrypted continens (volumen/file) VeraCrypt for OS;
2. transfer/synchronize OS programmatum Rsync utens in crypto VeraCrypta continens;
3. si opus est, VeraCrypt volumen imposuisti ad www.

Creans encrypted VeraCrypt continens proprietates suas habet:
creando dynamicam volumen (creatio DT tantum in Fenestra praesto est, etiam in GNU/Linux adhiberi potest);
volumen regulare creando, sed exigentia est characteris paranoidis. (Secundum elit) — continens forma.

Volumen dynamicum paene statim in Fenestra creatur, sed cum notitias GNU/Linux > VeraCrypt DT exscriberet, altiore operationis operatio tergum signanter decrescit.

A ordinarius 70 GB Twofish volumen creatur (Let's just say, on average PC power) ut HDD ~ in media hora (Prima continens notitia in uno saltu overwriting est debitum ad securitatem requisita). Munus voluminis cito formatting cum creando a VeraCrypt Windows/Linux remotum est, ut vas creando non nisi per "unum-transeuntem" rescribendo fieri potest, vel dynamicum volumen humile perficientur creando.

Facere iusto volumine VeraCrypt (not dynamic/ntfs), non debent ulli problemata.

Configurare/creare/aperire vas in VeraCrypt GUI> GNU/Linux live usb (volumen ad /media/veracrypt2 adscendetur, in Fenestra OS volumen ad /media/veracrypt1 ascendetur). Creando encrypted tergum of Windows OS usura GUI rsync (grsync)a adipiscing annotando.

Exspecta processum absolvere. Tergum semel completum est, unum fasciculum encryptatum habebimus.

Similiter, exemplum tergum GNU/Linux OS crea in reprimendo "Fenestra compatibilitas" in rsync GUI reprimendo.

Cautus esto! partum a Veracrypt continens "GNU/Linux tergum" in tabella ratio ext4. Si tergum ad ntfs continens, tum cum tale exemplum restituis, omnia iura/groups data omnibus tuis amittes.

Omnes operationes in termino peragere potes. Rsync pro basic optiones:
* -g -save coetus;
*-P —progressus — status temporis in tabella operandi;
* -H - Effingo hardlinks ut est;
* -A -archive modus (rlptgoD vexilla multa);
* -v -verbalization.

Si vis conscendere "Fenestra VeraCrypt volumen" per consolatorium in programmatibus cryptsetup, potes creare an alias (su)

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

Nunc mandatum "veramount imaginibus" ut passphrasim inire suggeret, et in Fenestra systematis volumen encryptatum in OS conscendetur.

Tabula / Mons VeraCrypt systema volumen in cryptsetup mandatum

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

Tabula / Mons VeraCrypt maceriæ / continens in cryptsetup imperium

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

Loco alias, addere (scriptum incipere) systema volumen cum Fenestra OS et logicum encryptatum ntfs disci ad GNU/Linux startup

Creare scriptionem et salvam in ~/VeraOpen.sh

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

Iura "recta" distribuimus:

sudo chmod 100 /VeraOpen.sh

Creare duos fasciculos identicos (nomen idem!) in /etc/rc.local et ~/etc/init.d/rc.local
Implens files

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

Iura "recta" distribuimus:

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local 

Id est, nunc cum GNU/Linux onerantibus Tesserae encrypted ntfs orbis inire non oportet, orbis automatice ascenduntur.

Nota breviter circa ea quae supra in paragrapho E1 gradatim descripta sunt (nunc pro OS GNU/Linux)
1) Volumen crea in fs ext4>4gb (pro lima) Linux in Veracrypt [Cryptbox].
2) Reboot vivere USB.
3) ~$ cryptsetup aperta /dev/sda7 Lunux #mapping encryptae partitionis.
4) ~$ Mount /dev/mapper/Linux /mnt #mount the encrypted partition to /mnt.
5) ~$mkdir mnt2 #creare directorium futuri tergum.
6) ~$ cryptsetup aperta —veracrypt —type tcrypt ~/CryptoBox CryptoBox && mons /dev/mapper/CryptoBox /mnt2 #Map volumen Veracrypt nomine "CryptoBox" et CryptoBox ad /mnt2.
7) ~$rsync -avlxhHX —progress /mnt /mnt2/ #backup operationis partitionis encrypted Veracryptae voluminis.

(p/s/ Cautus esto! Si encryptatum GNU/Linux ab uno artificio/machina ad aliam transfers, verbi gratia Intel > AMD (hoc est, dorsum ab uno encrypto encryptatum in aliam encrypted Intel > AMD maceriam disponis); Noli oblivisci Postquam encrypted OS transferens, clavem secretum substitutum pro clave pro tessera edit, fortasse. prior clavis ~/etc/skey - aliam partitionem encryptam non amplius aptabit, et non expedit novam clavem "cryptsetup luksAddKey" creare ex sub chroot - glitch potest, modo in ~/etc/crypttab loco specificare "/etc/skey" temporaliter "nullus", postquam rebot et colligationem in OS, tuum secretum key wildcard iterum recrea.

Cum IT veterani, memento separatim facere tergum capitalium fenestrarum encryptarum / Linux OS partitiones, vel encryption contra te convertet.
Hoc gradu, tergum encrypted OS perficitur.

[F] Impetum in GRUB2 bootloader

detailsSi custodieris bootloader cum digital signature et / vel authenticas (vide punctum C6.)ergo haec contra corporis accessum non defendet. Notitia encryptata adhuc inaccessibilis erit, sed tutela praetermittetur (Reset digital signature praesidium) GRUB2 permittit cyber-neus codicem suum injicere in bootloader sine suspicione (nisi manually usor rempublicam praedones monitores admoverit aut cum suo valido codice scripto arbitrario pro grub.cfg subit).

Impetum algorithmus. Intrusor

* ocreas PC de vivo usb. Omnis mutatio (violator) files certiorem faciet verum possessorem PC de intrusione in bootloader. Simplex autem restitutio GRUB2 observatio grub.cfg (and facultatem subsequentem eam recensere) non permittit aliquem invasorem ut emendo files (in hoc situ, GRUB2 loading, user verus notificabitur. Status idem est )
* Ascendat in unencrypted partitionem, thesauros "/mnt/boot/grub/grub.cfg".
* Restituit bootloader "perskey" removere ex core.img image)

grub-install --force --root-directory=/mnt /dev/sda6

* Redit "grub.cfg" > "/mnt/boot/grub/grub.cfg", edit si opus est, exempli gratia, addito modulo tuo "keylogger.mod" ad folder cum oneratus modulorum, in "grub.cfg" > line "insmod keylogger". Vel, exempli gratia, si hostis callidus est, tunc restituto GRUB2 . (Omnes subscriptiones in loco) GRUB2 imaginem principalem aedificat utens "grub-mkimage cum optione -c)". Optionem "-c" permittet te onerare config antequam pelagus oneratisque "grub.cfg". Mando consistere una tantum linea potest: redirectio ad aliquem "modern.cfg" mixtum, exempli gratia, cum ~400 imagini (modules+signatures) in folder "/boot/grub/i386-pc". In hoc casu, oppugnator arbitrarium codicem inserere potest et modulos onere non afficiens "/boot/grub/grub.cfg", etiam si usor "hashsum" ad limam applicavit et ad tempus illud in screen ostendit.
Invasoris non opus est superuser login GRUB2 trucidabunt / password; ille iustus postulo ut effingo lineae (Reus authenticas) "/boot/grub/grub.cfg" to your "modern.cfg"

pone superusers "root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

Et dominus PC adhuc authenticum dat sicut GRUB2 superuser.

Catena loading (Bootloader onerat aliud bootloader)ut supra scripsi, non convenit (Id est in alium finem). Encrypted bootloader non potest onerari propter BIOS (Catena tabernus restarts GRUB2> encrypted GRUB2, error!). Tamen si adhuc uteris notione onerandi catenae, certo potes encrypted id quod oneratum est. (Not modernized) "grub.cfg" ex encrypted partitio. Et hoc etiam est falsa securitas, quia omne quod in "grub.cfg" significatum est. (module loading) addit usque ad modulos oneratos ab unencrypted GRUB2.

Si hoc reprehendo vis, deinde colloca/encrypt aliam maceriam, effinge GRUB2 ad eam (Viscera install operationem in an encrypted partitio non potest) et in grub.cfg. (Unencrypted aboutconfig) mutare lineas huiusmodi

gnu-linux -- class os $ menuentry_id_option ' gnulinux-simple-2a382111-f2-993c-aa403e-2b292eac5' {
load_video
insmod gzio
if [ x$grub_platform = xxen ] ; tunc insmod xzio; insmod lzopio; fi*
insmod part_msdos
insmod cryptodisk
insmod lux
insmod gery_twofish
insmod gery_twofish
insmod gery_sha512
insmod EXT2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
normal /boot/grub/grub.cfg
}

lineae
* insmod - modulos necessarios onerandi ad operandum cum disco encrypto;
* GRUBx2 - Nomen lineae in GRUB2 tabulae tabernus exhibetur;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -see. fdisk -l (sda9);
radice* pone - tatum root;
* normal /boot/grub/grub.cfg - exsecutabile configuration lima in partitione encrypted.

Fiduciam illam esse "grub.cfg" encrypted quae onusta est responsio affirmativa ad introitum tesseram / reserans "sdaY" cum eligens lineam "GRUBx2" in menu GRUB.

Cum opus in CLI, ut non confundatur (deprime si "radice" environment variabilis laboravi); documenta vacua tesseram creant, exempli gratia, in sectione encrypted "/shifr_grub", in sectione unencrypted "/noshifr_grub". Reprehendo in CLI

cat /Tab-Tab

Ut supra dictum est, hoc non adiuvabit contra modulos malitiosos downloades, si tales moduli in PC tuum desinent. Exempli gratia, keylogger qui lima keystros servare poterit et cum aliis fasciculis in "~/i386" miscere poterit, donec accessus physicus ad PC ab oppugnante auferatur.

Facillima via est ut quin digital signature praesidium active opus est (Non reset)et nemine praedone invasit, imperium in CLI

list_trusted

in responsione "perskey" nostri exemplar accipimus vel nihil accipimus si oppugnamur (etiam opus est ut "statuto check_signatures=enforce").
Incommodum notabile huius gradus est intrans praecepta manually. Si hoc mandatum ad "grub.cfg" addideris et config cum subscriptione digitalis muniat, tunc praevia praevia clavium snapshots in velo brevior in leone est, et tempus non poteris videre output cum oneratum GRUB2 .
Nemo est nominatim id facer ut: elit in his documentum clause 18.2 publice declarat

"Nota etiam cum GRUB tesserae tutelae, ipsum GRUB non potest impedire aliquem cum accessu ad machinam physicam, ne mutetur firmware machinae illius (exempli gratia, Coreboot vel BIOS) configuratione ut machinam ex alia fabrica (oppugnator-continens) impediat. GRUB una tantum est optima nexus in vinculo tabernus secure."

GRUB2 nimis oneratur muneribus quae sensum falsae securitatis dare possunt et eius progressio in terminis functionality MS-DOS iam praevenit, sed tantum est praedo. Ridiculum est quod GRUB2 - "cras" in OS fieri potest, et GNU/Linux machinae virtualis praereptatae sunt.

Brevis video quomodo in GRUB2 digital signature praesidium reset et meam intrusionem ad verum usorem declaravit (Te vix, sed pro eo quod in video ostendetur, scribere potes codicem arbitrarium non innocuum/.mod).

conclusiones:

1) Clausus systematis encryptionis pro Fenestra facilior est ad efficiendum, et ad unam tesseram tuendam commodius est quam cum pluribus Tesserae cum GNU/Linux systematis obstructionum encryption, aequum esse: haec automated est.

2) Articulum scripsi ut pertinet et explicatio simplex dux ad plenam orbis encryptionem VeraCrypt/LUKS in una domo machinae, quae longe optima est in RuNet (IMHO). Praefectus est >50k characteres longus, ideo nonnulla capita iucunda non tegebat: cryptographi qui evanescebant/obumbrabant; quod in variis GNU/Linux libris parum scribunt/non de cryptographia scribunt; circa LI Constitutionis Foederationis Russicae; O* licentiae/ban encryption in Russian, de causa encrypt "radix/boot/" opus est. Dux satis ampla evasit, sed explicata. (Describens vel simplex gradus)vicissim servabit te multum temporis cum ad "encryptionem realem" perveneris.

3) Plenus orbis encryption fiebat in Fenestra 7 64; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.

IV) Implemented prosperam oppugnationem eius GRUB2 bootloader.

5) Tutorialis creatus est ut omnes homines paranoidei in CIS adiuvarent, ubi cum encryptione operari per legislativum permittitur. Ac praesertim iis, qui encryptionem orbis plenariam evolvere volunt, sine intermissione systematis sui figurati.

6) Retractavit ac renovavit manualem meum, quod anno 2020 pertinet.

[G] Utile documentum

1. TrueCrypt User Guide (Februarii 2012 RU)
2. VeraCrypt Documenta
3. /usr/share/doc/cryptsetup(-run) [locorum resource] (Officialis documenta detailed GNU in profecta / Linux encryption per cryptsetup)
4. Official FAQ cryptsetup (Brevis documentis in profecta sunt GNU/Linux encryption per cryptsetup)
5. Luks fabrica encryption (Archlinux Documenta)
6. ENARRATIO cryptsetup syntaxis (arcus homo page)
7. ENARRATIO crypttab (arcus homo page)
8. Documenta officialis GRUB2.

Tags: orbis plenus encryption, partitio encryption, Linux plenum disci encryption, LUKS1 plena ratio encryption.

Tantum usores descripserunt in aliquet participare possunt. InscribeTe gratissimum esse.

Esne encrypting?

• 17,1%Encrypt possum omnia. Im paranoid.14

• 34,2%Tantum encrypt magna data.28

• 14,6%Interdum encrypt, interdum obliviscor

• 34,2%Imo non encrypt, est incommodum et sumptuosum. 28

82 utentes censuerunt. 22 utentes abstinuerunt.

Source: www.habr.com