Encryptio totius disci Windows Linux Systemata installata. Multi-initium encryptatum

Renovata propria duce ad plenam orbis encryptionem in RuNet V0.2.

Eques belli:

[A] cifra systematis fragmentorum Windows Systema septem institutum;
[B] Cifra Systematis Bloccorum GNU/Linux (Debian) installed systema (Including / tabernus);
[C] GRUB2 configuration, bootloader praesidium cum subscriptione digitale/authentica/hashing;
[D] expoliatio-exitio datae unencryptae;
[E] universale tergum encrypted OS;
[F] impetum scopum - GRUB6 bootloader;
[G] Documenta utilia.

╭─── Schema # cubiculi 40# :
├──╼ Windows 7 installati - plena systematis encryptio, non occulta;
├──╼ GNU/Linux installatus (Debian et distributiones derivatae) - plena ratio encryption, non absconditum(/, inter / tabernus, PERMUTO);
├──╼ praedones independentes: VeraCrypt bootloader in MBR inauguratus est, GRUB2 praelongus in protenta partitione installatur;
no OS installation/reinstallation requiritur;
cryptographic programmatio usus est: VeraCrypt; Cryptsetup; GnuPG; Seahorse; Hashdeep; GRUB2 est liber / gratis.

Ratio supra descripta problema "remoti incipiendi in memoria USB" partim solvit et tibi permittit ut systemate operativo encryptato fruaris. Windows/Linux et notitias per "canalem encryptatum" ab uno systemate operativo ad alterum commutare.

PC tabernus ordo (unus optionum);

• machina volvens;
• oneratisque VeraCrypt bootloader (inscriptione tesserae rectae, receptio continuabitur) Windows 7);
• premens "Esc" key oneratus GRUB2 tabernus oneratus;
• GRUB2 tabernus oneratus (distributionem/GNU/ eligendo)Linux/CLI), authenticas GRUB2 superuser requiret;
• postquam felix authenticas et selectio distributionis, necesse est ut passphrastionem ad "/boot/initrd.img" recludat;
• post intrantes error-liberum passwords, GRUB2 erit "require" tesseram ingressum (tertia in ordine, tessera BIOS vel tessera rationis usoris GNU/)Linux – non considera) ad GNU/OS reserandum et incipiendumLinux, vel substitutio automatica clavis secretae (Two passwords + key, or password + key);
• Intrusio externa in configurationem GRUB2 GNU/ congelabit.Linux.

Molestias? Bene, processus automate abeamus.

Cum partitionibus ferreus coegi (MBR table) A PC non plus quam 4 principales partitiones habere potest, vel 3 principales et extensas, nec non in area collocabilis. Sectio extensa, dissimilis principalis, sectiones continere potest (Ratio agit = extensa). Aliis verbis, "partitio extensa" in HDD reponit LVM pro munere praesenti: plena ratio encryption. Si orbis tuus in 4 principales partitiones dividitur, debes uti lvm vel transform (Cum formatting) sectionem a principali ad progressum, seu quatuor omnes sectiones sapienter utere, et omnia relinquere, ut est, optatum exitum. Etiamsi unam partitionem in orbe tuo habes, Gparted adiuvabit partiri tuum HDD (Pro additional sectiones) sine data dispendio, sed tamen cum parva poena pro talibus factis.

Consilium ferreum coegi layout, in relatione ad quam totus articulus verbaliter exprimetur, in tabula infra exhibetur.

Tabula (No. 1) de 1TB partitionibus.

Simile quid habere debeas.
sda1 - principalis partitio 1 NTFS No (encrypted);
sda2 - sectio extensa titulum;
sda6 - logica orbis (habet GRUB2 bootloader inauguratus);
sda8 - PERMUTO (encrypted VERTO fasciculi/non semper);
sda9 - test disco logico;
sda5 - logical disk for the curious;
sda7 — Systema Operandi GNU/Linux (systema operandi ad discum logicum encryptatum translatum);
sda3 — partitio principalis #2 cum systemate operativo Windows 7 (encrypted);
sda4 - section principalis No. 3 (continebat GNU/ non encryptatum)Linux(adhibitum ad subsidia/non semper).

[A] Obstrue encryptionem systematis Windows 7

A1. VeraCrypt

ex loading situs officialisAut speculi sourceforge versionem institutionem VeraCrypt software cryptographic (in tempore publicationis articuli v1.24-Update3, versio portatilis VeraCrypti non est apta encryptioni systemi). Reprehendo checksum de downloaded software

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

et compara eventum cum CS missae in website VeraCrypt elit.

Si programmatio HashTab inauguratur, facilius etiam est: RMB (VeraCrypt Setup 1.24.exe)-properties - Nullam summa files.

Ut subscriptione programmatis comprobaretur, programmatio et clavis publici pgp elit in systemate institui debent gnuPG; gpg4win.

A2. Installing/currens VeraCrypt software cum administrator iura

A3. Discriptis systema encryption parametri ad activam partemVeraCrypt – Systema – Partitio/discus systematis cifratur – Normalis – Partitio systematis cifratur Windows – Multi-oneratio – (Admonitio: "Utentes imperiti hac methodo utendi non commendantur" et hoc verum est, "Ita" assentimus. - Tabernus orbis ("ita", etsi non ita, tamen "est") – Numerus discorum systematum “2 vel plures” – Systemata plura in uno disco “Ita” – Non Windows programmator initialis "Non" (enim, "Immo," sed VeraCrypt/GRUB2 oneratorum tabernus MBR inter se non communicabunt, pressius, minima tantum pars oneris codici in MBR/tabernaculo MBR/octoris conditur, cuius praecipua pars est. sita in tabella ratio) - Multiboot - Encryption occasus…

Si deflectas a gradibus supra (ratio encryption angustos consilia)tunc VeraCrypt commonitionem dabit, nec te permittet ut partitionem encrypt.

Proximo gradu ad praesidium data iaculis, "Test" ducere et encryption algorithmus eligere. Si iamnon CPU habes, maxime verisimile algorithmus encryption celerrimus erit Twofish. Si CPU potens est, differentiam videbis: encryption AES, secundum experimentum eventus, pluries velocius erit quam competitores eius crypto. AES popularis encryption est algorithmus, ferramentum CPUs moderni proprie optimized pro utroque "secreto" et "casim".

VeraCrypt sustinet facultatem ad encrypt disks in AES Caesar(Twofish)/ and other combinations. Core Intel CPU abhinc decem annos (Sine hardware subsidium AES, A/T encryption Caesar) diminutio in effectu est imperceptibilis essentialiter. (Pro Pentium Pentium eiusdem aetatis/~ parametri, fit aliquantulum reducta). OS alacriter operatur et subsidium consummatio pro encryption perspicuo invisibilis est. E contra, exempli gratia, decrementum notabile in effectu ob inauguratum escriticum environment inauguratum testium Mate v1.20.1 (vel v1.20.2 prorsus non memini) in GNU/Linux, vel propter operationem subrutinae telemetriae in Windows7↑. Usuarii periti plerumque probationes functionis apparatuum ante encryptionem faciunt. Exempli gratia, in Aida64/Sysbench/systemd-analyze, eventus cum eisdem probationibus post encryptionem systematis comparant, ita fabulam illam "encryptionem systematis noxiam esse" refutantes. Tarditas machinae et incommoditas conspicuae sunt cum notitiae encryptae servantur/restituuntur, quia ipsa operatio "salvationis notitiarum systematis" non millisecundis metitur, et eaedem operationes "decryptionis/encryptionis in tempore" adduntur. Denique, quisque usor cui licet cryptographiam ludere algorithmum encryptionis inter necessitates suas, gradum paranoiae suae, et facilitatem usus librat.

Melius est parametrum PIM ut defaltam relinquere, ita ut, cum OS oneratum non habeas, quotienscumque valorem iterationis inire debeas. VeraCrypta ingens numerus iterationibus utitur ad creandum vere “tardus Nullam”. Impetus in tali "crypto cochleae" utens modum tabularum brutorum vis/iris arcus sensum efficit solum cum brevi passphrasi "simplex" et in indice personalis victima. Pretium solvendae roboris tesserae est mora in tesseram rectam intrandi cum OS oneret. (volumina VeraCrypt in GNU/ coniungendo)Linux — multo celerius).
Free software ad exsequendam violente impetus (Extract passphrase ex VeraCrypt/LUKS orbis header) Hashcat. Ioannes Ripper nescit quomodo "Veracryptam frangere", et cum LUKS laborat, cryptographiam Twofish non intelligit.

Ob vi cryptographicae algorithms encryptionis, quae nequit cypherpunks, programmata enucleantur cum vectore diverso oppugnationis. Exempli gratia: metadata extrahenda claves ab RAM (Frigus tabernus / recta memoria accessum impetum); Proprius est luctus libero ac non libero ad hos usus.

Postquam VeraCrypt "metadata singularia" pro partitione activa encryptata configurationem/generationem perfecerit, te rogabit ut computatrum tuum denuo incipias et functionem eius programmatis initialis probes. Post denuo incipiendum/initium... WindowsVeraCrypt in modo exspectationis onerabitur, solum restat processum encryptionis confirmare - Y.

Ad ultimum gradum systematis encryptionis, VeraCrypt praebebit exemplar tergum creare capitis partitionis encryptae activae in forma "veracrypt liberae orbis.iso" - hoc faciendum est - in hoc programmate talis operatio postulatio est (in Luks, sicut necessitas - hoc proh dolor omittitur, sed in documentis illustratur). Eripe orbem, in promptu veniam pro omnibus, et aliquot semel. Damnum (Caput / MBR RESCRIBO) Exemplar subsidiarium capitis perpetuo denegabit accessum ad partitionem decryptam cum systemate operativo. Windows.

A4. Creando VeraCrypt liberandum USB / orbisVeraCrypt, per default, offert ut "~2-3MB metadatarum" in CD incendatur, sed non omnes CDs vel DVD-ROM habent, et memoriam USB "VeraCrypt Rescue Disk" initiabilem creare quibusdam erit res technica miranda: Rufus/GUIdd-ROSA ImageWriter et alia programmata similia hoc negotium perficere non poterunt, quia praeter metadata translata in memoriam USB initiabilem transcribenda, imaginem extra systema fasciculorum memoriae USB transcribere/inserere debes — breviter, MBR/semitam ad memoriam USB recte transcribere debes. Sub systemate operativo GNU/Linux.Linux Memoriam USB initiabilem creare potes utilitate "dd" utens, hanc tabulam inspiciens.

Creando discum auxilii in ambitu Windows — aliter. Elaborator VeraCrypt solutionem huius problematis in officiali non inclusit Litterarum in "disco auxiliatorio," sed solutionem alio modo obtulit: programmata addita ad "discum auxiliatorium USB" creandum gratis in foro suo VeraCrypt praesto fecit. Archivarius huius programmatis Windows – “Crea Discum Rescue Veracrypt USB.” Postquam discum rescue.iso servatum est, processus encryptionis systematis obstructionis partitionis activae incipiet. Systema operativum non desinit operari durante encryptione, et computatrum denuo initiare non requiritur. Postquam processus encryptionis perfectus est, partitio activa plene encryptata et parata est ad usum. Si programmatio initialis VeraCrypt non apparet cum computatrum incipis, et operatio recuperationis capitis non iuvat, vexillum “initium” inspice; in partitione continente fasciculum positum esse debet. Windows (e encryption and other OS, see table No. 1).
Haec est descriptio encryptionis systematis obstructi cum systemate operativo. Windows confectum.

[B] LUKS. Encryptio GNU/Linux (~Debian) inauguratus OS. Algorithmus et Gradus

Ad encryptandum installatum DebianDistributio /derivativa, requirit ut partitio praeparata ad instrumentum virtuale obstructum (vel "bloc") et ad discum GNU designatum transferatur/Linux...et GRUB2 institue/configura. Si servitorem fundamentalem non habes et tempus tuum magni aestimas, GUI uti debes, et pleraque mandata terminalia infra descripta ad "modo Chuck Norris" inscribenda destinantur.

B1. Computatrum ex USB vivo GNU/ incipiensLinux

"Crypto test ad hardware perficientur deducere"

lscpu && сryptsetup benchmark

Si felix dominus es validi currus cum ferramentis AES sustentandis, tunc numeri videbunt sicut dextrum terminalis latus: si dominus laetus es, sed cum ferramento antiquo, numeri ad latus sinistrum spectabunt.

B2. Disci partitionis. adscendens / formatting dictum ratione orbis HDD ad Ext4 (Gparted)

B2.1. Partum an encrypted sda7 partitio headerPartitionum nomina hic et ulterius describo, iuxta meam partitionem tabulae supra missae. Secundum extensionem orbis tui, partitio nomina tua substituere debes.

Logica Coegi Encryption Mapping (/dev/sda7 > /dev/mapper/sda7_crypt).
# Securus creatio "LUKS-AES-XTS partitio"

cryptsetup -v -y luksFormat /dev/sda7

Optiones:

* luksFormat - initialization of LUKS header;
* -y -passphrase (non clavis/file);
* -v -verbalization (informatio terminatio ostendens);
* /dev/sda7 - tuum logicum disci ex extenso partitione (ubi GNU transferri/encryptari destinatur/Linux).

Default encryption algorithmus <LUKS1: aes-xts-plain64, Key: 256 bits, LUKS header hashing: sha256, RNG: /dev/urandom> (pendet a versione cryptsetup).

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

Si nulla subsidia ferramenta pro AES in CPU dentur, optima optio fieret extensam "LUKS-Twofish-XTS-partitionem".

B2.2. Provecta creatio "LUKS-Twofish-XTS-partitionis"

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

Optiones:
* luksFormat - initialization of LUKS header;
* /dev/sda7 is your future encrypted logical disk;
* -v verbalization;
* -y passphrase;
* -c data encryption algorithmus selectus;
* -s encryption key size;
* -h hashing algorithmus / crypto munus, RNG used (-uti-urandom) ad generandum singularem encryptionem/decryptionem clavem ad caput orbis logici, clavis caput secundarium (XTS); unicum dominum clavem repositum in capite orbis encrypted, clavis XTS secundarium, omnia metadata et encryption usitatum quae, clavis magistri ac clavis XTS secundae utens, encryptas/decryptas quaslibet notitias in partitione (Praeter titulum sectionis) condita ~ 3MB in delectis rigidum partitione.
* -i iterationes in milliseconds, pro "quantum" (tempus dilatio est cum passphrases dispensando oneratione OS et cryptographicae roboris clavium afficit). Statera virium cryptographicarum conservare, cum tessera simplici sicut "Russian" valorem -(i) augere debes, cum tessera intricata sicut "?8dƱob/øfh" valor minui potest.
* -Utor-urandom temere numerus generans, claves et salem generat.

Post sectionem destinata sda7> sda7_crypt (operatio celeris est, quia caput encrypted cum metadata ~3 MB creatum est et omnia), debes formare et sda7_cryptam fasciculi conscendere.

B2.3. Comparatio

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

optiones:
* aperta — aequare sectionem "nomine";
* /dev/sda7 -logical disk;
* sda7_crypt - nomen mapping utendum est ad maceriam encryptam conscendendam vel initialize eam cum OS ocreis.

B2.4. Forma sda7_cryptarum fasciculi ad ext4. Orbe adscendens in OS(Nota: cum encrypted partitione Gparted laborare non poteris)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt 

optiones:
* -v -verbalization;
*-L — titulus eicit (qui in Rimor inter alia egit).

Deinde, prope encrypted fabrica /dev/sda7_crypt ad systema-encrypted conscendas

mount /dev/mapper/sda7_crypt /mnt

Operans cum lima in /mnt folder sponte encrypt/decrypt data in sda7.

Commodius est ad describendam et partitionem in Explorer (nautilus/caja GUI)partitio iam erit in indice delectu discorum, quidquid reliquum est, passphrasim ad aperiendum/decryptam disco ingrediendam est. Par nomen ipso facto eligetur et non "sda7_crypt", sed aliquid simile /dev/mapper/Luks-xx-xx...

B2.5. Discus header tergum (3MB metadata)Unum ex maxime maximus operationes quae sine mora faciendae sunt - exemplum tergum "sda7_crypt" capitis. Si rescribere / laedas caput (exempli gratia insertis GRUB2 in partitione sda7, etc.)notitia encryptata penitus amittetur sine ulla recuperandi possibilitate, quia impossibile erit easdem claves regenerare, claves unice creantur.

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7 

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

optiones:
* luksHeaderBackup —header-tergum-file -backup imperium;
* LuksHeaderRestore -header-tergum, lima -restore imperium;
* ~ / Backup_DebSHIFR - tergum fasciculi;
* /dev/sda7 - partitionis cuius exemplar orbis caput encrypted tergum servandum est.
In hoc gradu perficitur.

B3. Portatio systematis operativi GNU/Linux (sda4) ad encrypted partitione (sda7)

Creare folder / mnt2 (Nota - adhuc laboramus cum usb vivo, sda7_crypt ad /mnt annectitur), et GNU/ nostrum configimusLinux ad /mnt2, quod encryptandum est.

mkdir /mnt2
mount /dev/sda4 /mnt2

Nos recte OS transferre per Rsync software

rsync -avlxhHX --progress /mnt2/ /mnt

Rsync optiones descriptae sunt in paragrapho E1.

praeterea, oportet, fragmentum ratione orbis partitione

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

Fac regulam: fac e4defragm in encrypted GNU/Linux subinde si HDD habes.
Translatio et Synchronizatio [GNU/]Linux > GNU/Linux-encrypted] hoc gradu peracta sunt.

B4. Configuratio GNU/Linux in partitione encryptata sda7

Post feliciter translationem systematis operandi /dev/sda4 > /dev/sda7, necesse est tibi GNU/ scribere.Linux in partitione encryptata, et ulteriorem configurationem perage. (Sine rebooting PC) ad encrypted ratio. Id est, esse in usb vivo, sed imperata facere "secundum radicem encrypted OS." "chroot" consimilem casum simulabit. Cito informationes accipias in quibus OS es currently opus est (Encrypted vel non, cum data in sda4 et sda7 synchronised), describuntur OS. Create in radix directoriis (sda4/sda7_crypt) tabellae vacuae, exempli gratia, /mnt/encryptedOS et /mnt2/decryptedOS. Cito inspicias quid OS es? (including for the future):

ls /<Tab-Tab>

B4.1. "Simulatio colligationem in encrypted OS"

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. Probans quod opus fit contra an encrypted ratio

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. Creando/configurans encrypted VERTO, edere crypttab/fstabCum fasciculus permundo formatus sit omni tempore quo incipit OS, nihil facit sensum creare et permutare ad disci logicum nunc, et inire mandata ut in paragrapho B2.2. Nam Swap, claves temporalis suae encryptionis in unoquoque principio sponte generabuntur. Vita cycle of VERTO claves: unmounting / unmounting VERTO partitione (+ Purgato RAM); vel sileo OS. PERMUTO erigens, aperiens tabella responsabilis pro configuratione machinis truncis encrypted (analoga to an file fstab, at author for crypto).

nano /etc/crypttab 

nos edit

# "scopum nomen" "fons device" "file file" "optiones"
swap/dev/sda8/dev/urandom swap, cipher=twofish-xts-plain64, size=512,hash=sha512

options
* VERTO - mapped name cum encrypting /dev/mapper/permundo.
* /dev/sda8 - partitione logica utere pro VERTO.
* /dev/urandom - generans claves temere encryption pro PERMUTO (cum singulis novis OS tabernus, novae claves creatae sunt). Generator dev/urandom minus temere quam dev/rando, omnibus dev/randis in periculis paranoidis circumstantiis laborante adhibetur. Cum onerant OS, /dev/rande retardant loading aliquot minutae ± (vide systemd-analyse).
* PERMUTO, cipher = duos pisces plani, magnitudine = 64, sha512: partitio scit eam esse permuto et formatam esse secundum; encryption algorithmus.

#Открываем и правим fstab
nano /etc/fstab

nos edit

# PERMUTO fui in / dev / per institutionem sda8
/dev/mapper/swap none swap sw 0 0

Nomen /dev/mapper/ swap positum est in crypttab.

Alternative encrypted VERTO
Si aliqua de causa integram partitionem pro permutatione fasciculi dare non vis, joco et meliore modo exire potes: RAPTUM fasciculum in tabella creans in partitione encryptata cum OS.

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

PERMUTO partitio habeat completum.

B4.4. GNU/ encryptatum constituereLinux (fasciculos crypttab/fstab recensens)Fasciculus /etc/crypttab, ut supra scriptum est, machinis clausulis encryptatis describit quae in caliga systematis configurantur.

#правим /etc/crypttab 
nano /etc/crypttab 

si matched sda7> sda7_crypt sectioni ut in articulo B2.1

# "scutum nomen" "fontis fabrica" ​​"file file" "optiones"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

si matched sda7> sda7_crypt sectioni ut in articulo B2.2

# "scutum nomen" "fontis fabrica" ​​"file file" "optiones"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

si sectioni sda7>sda7_cryptae congruere ut in paragrapho B2.1 vel B2.2, sed noli re-ingredi tesseram reserare et OS emarcere, tunc loco tesserae clavem/passim occultam substituere potes.

# "scutum nomen" "fontis fabrica" ​​"file file" "optiones"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

Description
* nemo - tradit OS cum oneratione, secretum passphrasin ingrediens, oportet radicem reserare.
* UUID — partitio identifier. Ut invenias tua ID, typus in termino (monere ab hoc tempore in termino in chroot environment, non in alio usb terminatio vivere).

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное 

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

Haec linea visibilis est cum petens blkid a vivo usb terminali sda7_crypt ascendentis).
Tu accipies UUID ex sdaX (non sdaX_crypt!, UUID sdaX_crypt - automatice relinquetur cum grub.cfg config generans).
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks encryption in provectus modus.
*/etc/skey - clavis secreta fasciculi, quae sponte ad recludendum OS tabernus . inserta est (Pro intrantes 3 password). Quaelibet tabella ad 8MB definire potes, sed notitia legetur <1MB.

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7 

Videbit aliquid simile hoc;

fac tibi et vide tibi.

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab descriptiones notitias de variis systematibus fasciculi continet.

#Правим /etc/fstab
nano /etc/fstab

# "systema fasciculi" "punctum montis", "type" "optiones" "dump" "transire"
# / Et in / dev / sda7 durante installation
/dev/mapper/sda7_crypt/ext4 errors=remount-ro 0 1

optionem
* /dev/mapper/sda7_crypt - nomen sda7>sda7_crypt tabularum, quae in tabella /etc/crypttab denotatur.
The crypttab/fstab setup is complete.

B4.5. Configurationis lima recensere. Key momentumB4.5.1. Emendo config /etc/initramfs-tools/conf.d/resume

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

ac comment e (Si existat) "#" linea "proin". Tabella vacua omnino esse debet.

B4.5.2. Emendo config /etc/initramfs-tools/conf.d/cryptsetup

nano /etc/initramfs-tools/conf.d/cryptsetup

ut aequare

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=sic
export CRYPTSETUP

B4.5.3. Emendo /etc/default/grub config (Hoc aboutconfig est author facultatem generandi grub.cfg cum operantes cum encrypted /boot)

nano /etc/default/grub

adde lineam "GRUB_ENABLE_CRYPTODISK=y"
valorem 'y', grub-mkconfig et grub-install reprimendam encrypted agitet generabitque addito mandato opus est ut accedere ad eos in tempore tabernus (insmods ).
erit similitudo

GRUB_DEFAULT 0 =
GRUB_TIMEOUT 1 =
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=vendor"
GRUB_CMDLINE_LINUX="quiete fundent noautomount"
GRUB_ENABLE_CRYPTODISK=y

B4.5.4. Emendo config /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

reprehendo quod linea commentatur .
In futuro, (et nunc etiam hic modulus nullam significationem habebit, sed interdum imaginis initrd.img adaequationis impedit).

B4.5.5. Emendo config /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

addendo

KEYFILE_PATTERN = "/etc/skey"
UMASK=0077

Hoc arcanum clavem "skey" in initrd.img colliget, clavis opus est ad radicem recludendam cum ocreis OS (si tesseram denuo inire non vis, clavis "clavis" pro curru substituitur).

B4.6. Renovatio /boot/initrd.img [versio]Ad stipant secretum clavem in initrd.img et applica cryptsetup defigit, update imaginem

update-initramfs -u -k all

cum adaequationis initrd.img (ut aiunt "potest, sed certum non est") monita ad cryptsetup pertinentia apparebit, vel, exempli gratia, notificatio de modulorum Nvidia iactura - hoc normale est. Post tabella adaequationis, reprehendo quod actu renovatum est, vide tempus (secundum chroot environment./boot/initrd.img). Cautus esto ante [update-initramfs -u -k all] cave reprehendo quod cryptsetup aperta /dev/sda7 sda7_crypt - hoc nomen quod in /etc/crypttab apparet, aliter postquam reboot erroris erit occupatus)
In hoc gradu, constituens schematismum configurationem completum est.

[C] Installing ac Vestibulum GRUB2/Protection

C1. Si opus est, format dedicatae partitionem ad bootloader (partitio saltem 20MB)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. Mount /dev/sda6 to /mntSic laboramus in chroot, tunc nullum /mnt2 directorium in radice erit, et folder /mnt vacuum erit.
escendere GRUB2 partitione

mount /dev/sda6 /mnt

Si antiquiorem versionem GRUB2 habes, in directorio /mnt/boot/grub/i-386-pc (alia suggestum fieri potest, exempli gratia, non "i386-pc"). nulla crypto modules (in summa, folder modulos contineat, inter hos . mod: cryptodisk; luks; gery_twofish; gery_sha512; signature_test.mod); hoc in casu, GRUB2 agitandus est.

apt-get update
apt-get install grub2 

Maximus! Cum GRUB2 sarcinam adaequationis e repositorio, cum "de eligendo" quaesitum est, ubi praedones instituere debet, institutionem recusare debetis. (Ratio - conatus ad install GRUB2 - in "MBR" vel in Vivamus USB). Alioquin VeraCrypt header/loader laedas. Cum GRUB2 fasciculis adaequatis et institutionem rescindendo, oneratus tabernus manually in disco logico institui debet, et non in MBR. Si repositio habet evasissent versionem GRUB2, try renovatio id est a officiali - illud non repressit (cum recentissimis GRUB 2.02 ~BetaX onerariis laboratum est).

C3. GRUB2 insertis in partitione extensa [sda6]Partitionem equestris habere debes [item C.2]

grub-install --force --root-directory=/mnt /dev/sda6

options
* - Force - institutionem de bootloader, praetermittens omnia monita quae fere semper sunt et obstruunt institutionem (Vexillum requiritur).
* --root-directory - ponit directorium ad radicem sda6.
* /dev/sda6 - tuum sdaХ partition (ne deesset inter /mnt /dev/sda6).

C4. Configurationis file creando [grub.cfg]Oblivisci de imperio "update-grub2" et utere plenam configurationem fasciculi generationis mandatum

grub-mkconfig -o /mnt/boot/grub/grub.cfg

peracta generation/updating de grub.cfg fasciculi, output terminatio debet continere lineam(s) cum OS in disco inventa (grub-mkconfig fortasse systema operandi ex USB vivo inveniet et onerabit si memoriam USB multibootabilem habes cum...) Windows 10 et multae distributiones vivae — quod est normale). Si terminalis est "vacuus" et fasciculus "grub.cfg" non generatur, idem est casus cum VERMIS cimices in systemate sunt. (et maxime probabile oneratus ex test ramo repositorium); restituo GRUB2 ex confidentibus fontibus.
"Configuratio simplicis" institutionem ac GRUB2 institutio perfecta est.

C5. Probatio systematis operandi GNU encryptati.LinuxRecte munus crypto perficitur. Caute ex GNU/ encryptatum exi.Linux (chroot environment exit).

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

Post rebotionem PC, VeraCrypt bootloader debet onerare.


*Tessera partitionis activae inscribe - systema operandi onerare incipiet Windows.
*Clavem "Esc" premendo imperium ad GRUB2 transferetur cum GNU/ encryptatum eligitur.Linux – tessera (sda7_crypt) tibi necessaria erit ad /boot/initrd.img reserandum (si grub2 uuid "not found" scribit - hoc problema cum grub2 bootloader est, is denuo instituendus est, exempli gratia, ex ramo testing/stable et pd).


*Prout quomodo systema configurasti (vide paragraph B4.4/4.5), cum rectam password intrantes imaginem /boot/initrd.img reserare, tesseram debes onerare OS kernel/radicis vel arcani clavis "skey" automatice substituetur, removens necessitatem passphrasis reintrandi.

(screen "automatic substitutio clavis secreti").

*Tum familiaris processus GNU incipiendi incipiet.Linux cum authenticatione rationis usoris.


*Post user auctoritate et login ad OS, debes renovare /boot/initrd.img iterum (see B4.6).

update-initramfs -u -k all

Et in casu extra lineas in menu GRUB2 (Ex OS-m RAPINA cum live USB) tollendum

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

Brevis Summarium Encryptionis Systematis GNULinux:

• GNU/Linuxinux omnino encryptum est, `/boot/kernel` et `initrd` inclusis;
• clavis secreti fasciculi initrd.img;
• current ratio auctoritatis (tesseram ad initrd reserandum inscribe; tesseram/clavem ad systema operandi incipiendum; tesseram auctoritatis rationis) Linux).

"Simplex GRUB2 configurationis" systema encryption partitionis clausulae perfecta est.

C6. Provectus configuratione GRUB2. Bootloader praesidio cum digital signature + authenticas tutelamGNU/Linux Instrumentum initiandi omnino encryptatum est, sed encryptari non potest—hoc est requisitum BIOS. Quapropter, initiatio encryptata concatenata GRUB2 impossibilis est, sed initiatio concatenata simplex possibilis/praesto est. Ex prospectu securitatis, hoc non est necessarium [vide Sectionem F].
Pro "vulnerabile" GRUB2, tincturae "signaturae/authenticationem" impleverunt praesidium algorithmus bootloader.

• Cum bootloader a "subscriptione digitale sua munitum" modificationem externam imaginum, vel conatum modulorum additorum in hoc bootloade onerandi, ad processum tabernus interclusum ducet.
• Cum praedones authenticas tuetur, ut distributionem oneratam eligere vel in CLI mandata inire, necesse erit login et tesseram superuser-GRUB2 inire.

C6.1. Bootloader praesidium authenticasCheck that you are working in terminal on an encrypted OS

ls /<Tab-Tab> #обнаружить файл-маркер

creare superuser password pro auctoritate GRUB2 "

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. 

Nullam ut password. Aliquid simile hoc

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

conscendunt VERMIS maceriæ

mount /dev/sda6 /mnt 

recensere aboutconfig

nano -$ /mnt/boot/grub/grub.cfg 

perscribe tabella inquisitionis quae nulla sunt vexilla usquam in "grub.cfg" ("-user stricto" "-user";
adde in ipso fine ( ante lineam ### end /etc/grub.d/41_custom ###)
"set superusers="root"
password_pbkdf2 radix Nullam ".

Sit aliquid simile hoc

# Hic fasciculus facilem viam praebet ut menu entries consuetudo adderetur. Tantum typus sunt
# Menu entries velis post hunc commentarium addere. Cave ne mutare
# Autem, exec cauda 'supra lineam.
### FINIS /etc/grub.d/40_custom ###

### INCIPIT /etc/grub.d/41_custom ###
si [ -f${config_directory}/custom.cfg ]; tunc "
source ${config_directory}/custom.cfg
elif [-z "${config_directory}" -a -f $prefix/custom.cfg ]; tunc "
source $prefix/custom.cfg;
fi
pone superusers "root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### FINIS /etc/grub.d/41_custom ###
#

Si praeceptum saepe uteris "grub-mkconfig -o /mnt/boot/grub/grub.cfg" et non vis mutationes in grub.cfg omni tempore reddere, lineas superiores inire. (Login: Password) in ipso fundo VERMIS user scriptor

nano /etc/grub.d/41_custom 

cat <<EOF
pone superusers "root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF,

Cum config generans "grub-mkconfig -o /mnt/boot/grub/grub.cfg", lineae authenticae responsales automatice ad grub.cfg addentur.
Hic gradus authenticas setup GRUB2 complet.

C6.2. Bootloader praesidio cum digital signaturePonitur te iam habere personalem PGp encryption clavem (vel talem clavem creare). Ratio programmatis cryptographici habere debet inauguratus: gnuPG; kleopatra/GPA; Equus nauticus. Crypto programmata vitam tuam multo faciliorem in omnibus huiusmodi rebus efficiet. Equus nauticus - versio stabilis sarcina 3.14.0 (versiones superiores, exempli gratia V3.20. XNUMX, defectiva sunt et cimices significantes habent).

Clavis PGP debet generari/launched/addi tantum in ambitu su!

Encryption personalis clavis generate

gpg - -gen-key

Clavem tuam export

gpg --export -o ~/perskey

Conscende logicam disci in OS si nondum ascendit

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

emundare GRUB2 maceriæ solvens

rm -rf /mnt/

GRUB2 in sda6 instrue, clavem privatam tuam in imagine GRUB principali "core.img"

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

options
* Vi - install in bootloader, praeteriens omnia monita quae semper sunt (Vexillum requiritur).
* —modules = gery_sha256 gery_sha512 signature_test gery_dsa gery_rsa - GRUB2 instruit ut necessarios modulos prelocet cum PC incipit.
* -k ~/ perskey -path ad "PGP key" (Post clavem in imaginem deleri potest).
* --root-indirectory -Set tabernus ad radix of sda6
/dev/sda6 - partitio tua sdaX.

Generating/updating grub.cfg

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

Adde lineam "fide /boot/grub/perskey" ad finem "grub.cfg" lima (Pgp key vis usu). Cum GRUB2 constituimus modulorum statuto, incluso moduli subscriptione "signature_test.mod", hoc eliminat necessitatem mandatorum addendi velut "reprehendo check_signaturas = cogendi" ad config.

Videre debet aliquid simile hoc (Finis lineae in grub.cfg file)

### INCIPIT /etc/grub.d/41_custom ###
si [ -f${config_directory}/custom.cfg ]; tunc "
source ${config_directory}/custom.cfg
elif [-z "${config_directory}" -a -f $prefix/custom.cfg ]; tunc "
source $prefix/custom.cfg;
fi
confido / tabernus / vermis / perskey
pone superusers "root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### FINIS /etc/grub.d/41_custom ###
#

Semita ad "/boot/grub/perskey" demonstrari non debet ad partitionem orbis specificam, exempli gratia hd0,6, nam ipsum bootloader "radix" est via defectus partitionis in qua GRUB2 inauguratus est. (see rot=.).

Signing GRUB2 (Omnes lima in omnibus / VERMIS directoriis) cum clavis "perskey".
Simplex solutio quomodo subscribere (for nautilus/caja rimor); niteremur extensionem exploratoris e repositorio "horse". Clavis tua ad su ambitus addenda est.
Aperi Rimor cum sudo “/mnt/boot” – RMB – signum. In screen is vultus sic

Ipsa clavis est "/mnt/boot/grub/perskey" (Exemplum ut vermis Directory) signari etiam debet propria subscriptione. Reprehendo quod [*.sig] fasciculi subscriptiones in indicem/subdirectorias apparent.
Utens methodo supra scripta, signum "/ tabernus" (nostrum nucleum, initrd). Si tempus tuum nihil valet, haec methodus excludit necessitatem scribendae scriptionis in scribendo "sortes lima."

Ad removendum omnes subscriptionibus bootloader (Si aliquid abiit iniuriam)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

Ut bootloader not subscribere cum adaequationis rationem, omnes renovationes sarcinas ad GRUB2.

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

In hoc gradu figurae provectae GRUB2 completur.

C6.3. Probatio explorationis GRUB2 bootloader, digitalis subscriptione et authenticitate munitumGRUB2. Cum quodlibet GNU/ eligisLinux vel CLI ingredi (imperium versus) Superuser auctoritas requiretur. Post rectam username / password, initrd password opus erit

Screenshot of prospere authentication of GRUB2 superuser.

Si vos sollicitare aliquem ex GRUB2 files/mutationes facere grub.cfg, vel tabellam/signaturam delere, vel modulo malitioso onerare, par monitio apparebit. GRUB2 cessabit loading.

Screenshot, conatum impedire GRUB2 "ab extra".

Per "normalem" booting "sine intrusione", ratio exit in codice status est "0". Unde nescitur utrum opera tutelae an non hoc est, "cum vel sine bootloader subscriptio tutelae" durante normali oneratione status idem "0" - hoc malum est.

Quomodo praesidium digital subscriptio reprehendo?

Incommodus modus ad reprimendam: fake/move moduli usus a GRUB2, exempli gratia, subscriptio luks.mod.sig tolle et errorem obtine.

Recta via: vade ad bootloader CLI et typus mandatum

trust_list

Respondens debes fingerprints recipere "perskey", si status est "0", tum tutela subscriptio non operatur, duplex-reprehendo paragraphum C6.2.
In hoc gradu figura provectus "GRUB2 cum subscriptione digitalis et authenticitate" perficitur.

C7 Alternativum modum tuendi GRUB2 bootloader utendi hashingMethodus supra scripta "CPU Boot Loader Protection/Authentication descriptus est ordo classicus. Ob imperfectiones GRUB2, in conditionibus paranoidis obnoxius est impetum realem, quem infra in paragrapho dabo. Insuper, OS/nucleo adaequatis, caesor re-signari debet.

Protegens GRUB2 bootloader per hashing

Commoda super classica:

• Superiore gradu constantiae (hashing/verification is only from the encrypted local resource. Tota partitio sub GRUB2 partita regitur pro quibusvis mutationibus, et omnia alia encrypted; in consilio classico cum CPU oneratus tutelam/Auctionem, tantum fasciculi reguntur, sed non gratis. spatium, in quo addi potest aliquid sinistrum.
• Encrypted logging (Homo readable personale encrypted log is added to the design).
• celeritas (protectionem/verificationem integrae partitionis partita GRUB2 paene statim occurrit).
• Automatio omnium processuum cryptographicarum.

Incommoda super classica.

• Subscriptio fictus (theoretice datur concursus functionis Nullam invenire).
• Augetur difficultas gradu (comparatum classico, paulo plus peritiae in systemate operativo GNU requirit)Linux).

Quam in GRUB2 / partitionem hashing idea opera

GRUB2 partitio "signata" est, cum OS ocrearum, partitio oneratus violenta ob immutabilitatem retunditur, sequitur colligationem in ambitu securo (encrypted). Si praedo vel eius partitio aedilis, praeter stipes intrusionem, sequens emissa est:

Rem.

Similis perscriptio quater in die occurrit, quae facultates systematis non onerat.
Usura "-$ check_GRUB" mandatum, instanti perscriptio incidit aliquando sine logatione, sed cum informatione ad CLI.
Utens imperio "-$ sudo signature_GRUB", GRUB2 tabernus oneratus/partitio statim re-signata eiusque updated logging (necessarium est post OS/renovatio tabernus), et vita perseverat.

Exsecutio methodi hashing ad bootloader eiusque sectionem

0) Sit scriptor signum VERMIS bootloader / inscensus in primo partitur / media / usoris

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) Scriptum sine extensione in radice encrypted OS ~/podpis creamus, necessaria iura securitatis 744 et stultorum ad eam tutelam adhibemus.

Implens contenta

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

Currere scriptum e suHaustio VERMIS maceriae et eius caesurae coercitae, praeter truncum.

Efficeamus vel effingamus, exempli gratia, "malicium fasciculum" [virus.mod] ad GRUB2 partitionem et ad tempus scan/test percurrendum:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

CLI videndum est incursus nostrorum -citadel-.#Trimmed iniuriarum in CLI

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

#Sicut videre potes, "Flatae mota: 1 et Audit defecerunt" apparet, quod significat reprehendo defecit.
Ob naturam partitionis spectatae, loco "novi fasciculi inventi" > "Fimae motae"

2) gif pone hic > ~/warning.gif pone licentias ad 744 .

3) Vestibulum fstab automount VERMIS maceriæ solvens in tabernus

-$ sudo nano /etc/fstab

LABEL=GRUB/media/usoris/GRUB ext4 defaltis 0 0

4) Revolventis iniuriarum

-$ sudo nano /etc/logrotate.d/podpis 

/var/log/podpis.txt {
cotidie
VII CIRCUMAGO
magnitudine 5M
dateext
compendium
delaycompress
olddir /var/log/old
}

/var/log/vtorjenie.txt {
menstruatae
VII CIRCUMAGO
magnitudine 5M
dateext
olddir /var/log/old
}

5) Addere officium ad cron

-$ sudo crontab -e

reboot '/subscription'
0 */6 * * */ podpis

6) Partum permanens aliases

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

Post OS update -$ apt-get upgrade rursus subscribere nostrum VERMIS maceriæ
-$ подпись_GRUB
Hic tutela VERMIS maceriae hashing completa est.

[D] Wiping - notitia exitium unencrypted

Documenta tua personalia ita prorsus dele ut "ne Deus quidem eas legere possit", secundum loquens Carolina Australis Trey Gowdy.

Ut solet, variae sunt “fabulae” et fabulae", de notitia restituenda postquam ex duro mina deleta est. Si in cyberwitchcraft credis vel membrum communitatis Dr telae es et numquam receptam datam temptaveris postquam deleta est/opressa est (exempli gratia, recuperatio utens R-studio)proposita ratio abhorret ad te, utere proxime tibi.

Post prosperam translationem GNU/Linux ad partitionem encryptatam, exemplar vetus delendum est sine possibilitate recuperationis datorum. Methodus purgationis universalis: programmatura pro Windows/Linux programmatura GUI gratuita BleachBit.
cito format sectionem, notitia in qua debet destrui (per Gparted) launch BleachBit, ad "Expurgate liberum spatium" - eligere partitionem (tuus sdaX cum exemplari priori GNU/Linux)detractio processus incipiet. BleachBit - orbem in uno saltu abstergit - hoc est quod "opus est", Sed! Hoc solum in theoria laborat si disci formatis et purgata in BB v2.0 programmate.

Cautus esto! BP orbis abstergit, metadata relinquens: file nomina conservantur, cum data eliminatur (Ccleaner — metadata non relinquit).

Et fabula de possibilitate notitiae recuperationis omnino fabula non est.Bleachbit V2.0-2, olim fasciculus systematis operandi instabilis Debian (et quaevis alia similis programmatio: sfill; dele-Nautilus - etiam in hoc negotio sordido notatae sunt) actually had a critica cimex: "liberum spatium defensionem" munus male operatur in HDD / Flash agit (ntfs/ext4). Software huiusmodi, cum spatium vacuum derelinquens, totum disci non scribit, sicut multi usores putant. Et quidam (multum) deleta data OS/software hanc datam tamquam non-deletam/usorem datam iudicat et cum purgat "OSP" has tabulas vagatur. Problema est post tam longum tempus purgatum orbis "Delevit files" reparari potest etiam post 3+ fauces abstergendi discus.
In GNU/Linux in Bleachbit 2.0-2 Functiones ad fasciculos et directoria perpetuo delenda fideliter operantur, sed purgatio spatii liberi non. Ad comparationem: Windows In CCleaner, functio "OSP pro NTFS" recte operatur, et Deus re vera notitias deletas legere non poterit.

Itaque penitus removendum "commissum" vetus notitia unencrypted, Bleachbit recta accessum ad haec notitiaergo utere functionem " imaginum / directoriorum " in perpetuum delere.
Ad delendum "fasciculos deletas instrumentis systematis operandi communibus utens" in Windows Utere CCleaner/BB cum functione "OSP". In GNU/Linux super hoc problema (Delere delevit files) vos postulo ut usu tuo (data delendo + independens conatus eam restituendi et versioni programmati non inniti (si not signum, deinde cimex))hoc solum casu poteris machinam huius problematis intelligere et notitias deletas penitus removere.

Bleachbit v3.0 non temptavi, problema iam fixum est.
Bleachbit v2.0 honeste operatur.

Hoc passu, orbis tergendis completus est.

[E] Universale tergum encrypted OS

Uterque usor suam rationem habet tergum sursum datae, sed encrypted System OS notitiae paulo diversum accessum ad negotium requirit. Programma una, ut Clonezilla et similis programmatio, directe cum notitia encryptata laborare non potest.

Enuntiatio problematis de tergum sursum encrypted cogitationes obstructionum:

1. universalitas - idem algorithmus/programma subsidii pro Windows/Linux;
2. facultas operandi in consola cum quolibet GNU live USB/Linux sine necessitate programmatum additiciorum deponendorum (sed tamen suadeo GUI);
3. securitas exemplarium tergum - repositum "imagines" encrypted/password-protegendas esse debet;
4. amplitudo notitiarum encryptarum debet respondere quantitati ipsarum notitiarum quae exscriptae sunt;
5. convenient extractionem necessariorum files ex tergum exemplum (Nec exigentia ad decrypt totam sectionem primam).

Exempli gratia, tergum/restituere per "dd" utilitatem

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

Omnibus fere punctis negotii respondet, sed secundum 4 punctum reprehensionis non obstat, cum totam orbis partitionem, inclusam spatium liberum, transcribit.

Exempli gratia, GNU/backupLinux per archivatorem [tar» | gpg] commodum est, sed ad res reservandas Windows Aliam solutionem quaerere debemus — non est iucundum.

E1. Copia Reservata Universalis Windows/LinuxCombinatio voluminum rsync (Grsync) et VeraCryptAlgorithmus pro creando exemplum tergum:

1. creando encrypted continens (volumen/file) VeraCrypt for OS;
2. transfer/synchronize OS programmatum Rsync utens in crypto VeraCrypta continens;
3. si opus est, VeraCrypt volumen imposuisti ad www.

Creans encrypted VeraCrypt continens proprietates suas habet:
creando dynamicam volumen (creatio DT tantum in Windows, etiam in GNU/ adhiberi potestLinux);
volumen regulare creando, sed exigentia est characteris paranoidis. (Secundum elit) — continens forma.

Volumen dynamicum fere statim in systemate operativo creatur. Windows, sed cum data ex systemate operativo GNU/ exscribunturLinux > VeraCrypt DT, in genere, effectus operationis subsidiariae significanter imminuitur.

A ordinarius 70 GB Twofish volumen creatur (Let's just say, on average PC power) ut HDD ~ in media hora (Prima continens notitia in uno saltu overwriting est debitum ad securitatem requisita). Ex VeraCrypt Windows/Linux Modus celeris formatationis voluminis in creatione sublatus est, ita creatio receptaculi solum per "overscriptionem semel tantum" vel creationem voluminis dynamici parvae efficaciae fieri potest.

Facere iusto volumine VeraCrypt (not dynamic/ntfs), non debent ulli problemata.

Configura/crea/aperi receptaculum in VeraCrypt GUI > GNU/Linux USB Vivus (volumen automatice ad /media/veracrypt2 immittetur, volumen systematis operandi) Windows impositum in /media/veracrypt1). Crea exemplar encryptatum systematis operandi Windows utens GUI rsync (grsync)a adipiscing annotando.

Exspecta processum absolvere. Tergum semel completum est, unum fasciculum encryptatum habebimus.

Similiter, exemplar subsidiarium systematis GNU/OS crea.Linux, notam removendo "compatibilitatem cum" GUI rsync Windows".

Cautus esto! Continens Veracrypt pro "GNU subsidiis/Linux» in systemate fasciculorum creare ext4. Si tergum ad ntfs continens, tum cum tale exemplum restituis, omnia iura/groups data omnibus tuis amittes.

Omnes operationes in termino peragere potes. Rsync pro basic optiones:
* -g -save coetus;
*-P —progressus — status temporis in tabella operandi;
* -H - Effingo hardlinks ut est;
* -A -archive modus (rlptgoD vexilla multa);
* -v -verbalization.

Si volumen inserere vis Windows VeraCrypt" per consolam in programmate cryptsetup, alias (su) creare potes.

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

Nunc, cum mandatum "veramount pictures" datur, petitio ad tesseram inserendam apparebit, et volumen systematis encryptum in systemate operativo inseretur. Windows.

Tabula / Mons VeraCrypt systema volumen in cryptsetup mandatum

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

Tabula / Mons VeraCrypt maceriæ / continens in cryptsetup imperium

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

Loco pseudonymi, volumen systematis cum systemate operativo addemus (scriptum ad initium). Windows et discus ntfs logicus encryptus in GNU/Linux

Creare scriptionem et salvam in ~/VeraOpen.sh

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

Iura "recta" distribuimus:

sudo chmod 100 /VeraOpen.sh

Creare duos fasciculos identicos (nomen idem!) in /etc/rc.local et ~/etc/init.d/rc.local
Implens files

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

Iura "recta" distribuimus:

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local 

Hoc est, nunc cum GNU/ incipisLinux Non opus est nobis tesseras inserere ad discos NTFS encryptatos inserendos; disci sponte inseruntur.

Brevis notatio de iis quae supra in paragrapho E1 gradatim describuntur (sed nunc pro systemate operativo GNU/Linux)
1) Volumen in ext4 fs > 4gb (pro fasciculo) crea. Linux in Veracrypt [Arca Crypto].
2) Reboot vivere USB.
3) ~$ cryptsetup aperta /dev/sda7 Lunux #mapping encryptae partitionis.
4) ~$ montes /dev/mapper/Linux /mnt #partitio encryptata ad /mnt figitur.
5) ~$mkdir mnt2 #creare directorium futuri tergum.
6) ~$ cryptsetup aperta —veracrypt —type tcrypt ~/CryptoBox CryptoBox && mons /dev/mapper/CryptoBox /mnt2 #Map volumen Veracrypt nomine "CryptoBox" et CryptoBox ad /mnt2.
7) ~$rsync -avlxhHX —progress /mnt /mnt2/ #backup operationis partitionis encrypted Veracryptae voluminis.

(p/s/ Cautus esto! Si GNU/ encryptatum portasLinux ab una architectura/machina ad aliam, exempli gratia, Intel > AMD (hoc est, exemplar secundarium ab una partitione encryptata ad aliam partitionem encryptatam Intel > AMD disponis), Noli oblivisci Postquam encrypted OS transferens, clavem secretum substitutum pro clave pro tessera edit, fortasse. prior clavis ~/etc/skey - aliam partitionem encryptam non amplius aptabit, et non expedit novam clavem "cryptsetup luksAddKey" creare ex sub chroot - glitch potest, modo in ~/etc/crypttab loco specificare "/etc/skey" temporaliter "nullus", postquam rebot et colligationem in OS, tuum secretum key wildcard iterum recrea.

Quomodo periti rerum informaticarum meminerint separatas copias inscriptionum partitionum systematis operandi encryptatarum facere. Windows/Linux, aut encryptio contra te convertetur.
Hoc gradu, tergum encrypted OS perficitur.

[F] Impetum in GRUB2 bootloader

detailsSi custodieris bootloader cum digital signature et / vel authenticas (vide punctum C6.)ergo haec contra corporis accessum non defendet. Notitia encryptata adhuc inaccessibilis erit, sed tutela praetermittetur (Reset digital signature praesidium) GRUB2 permittit cyber-neus codicem suum injicere in bootloader sine suspicione (nisi manually usor rempublicam praedones monitores admoverit aut cum suo valido codice scripto arbitrario pro grub.cfg subit).

Impetum algorithmus. Intrusor

* ocreas PC de vivo usb. Omnis mutatio (violator) files certiorem faciet verum possessorem PC de intrusione in bootloader. Simplex autem restitutio GRUB2 observatio grub.cfg (and facultatem subsequentem eam recensere) non permittit aliquem invasorem ut emendo files (in hoc situ, GRUB2 loading, user verus notificabitur. Status idem est )
* Ascendat in unencrypted partitionem, thesauros "/mnt/boot/grub/grub.cfg".
* Restituit bootloader "perskey" removere ex core.img image)

grub-install --force --root-directory=/mnt /dev/sda6

* Redit "grub.cfg" > "/mnt/boot/grub/grub.cfg", edit si opus est, exempli gratia, addito modulo tuo "keylogger.mod" ad folder cum oneratus modulorum, in "grub.cfg" > line "insmod keylogger". Vel, exempli gratia, si hostis callidus est, tunc restituto GRUB2 . (Omnes subscriptiones in loco) GRUB2 imaginem principalem aedificat utens "grub-mkimage cum optione -c)". Optionem "-c" permittet te onerare config antequam pelagus oneratisque "grub.cfg". Mando consistere una tantum linea potest: redirectio ad aliquem "modern.cfg" mixtum, exempli gratia, cum ~400 imagini (modules+signatures) in folder "/boot/grub/i386-pc". In hoc casu, oppugnator arbitrarium codicem inserere potest et modulos onere non afficiens "/boot/grub/grub.cfg", etiam si usor "hashsum" ad limam applicavit et ad tempus illud in screen ostendit.
Invasoris non opus est superuser login GRUB2 trucidabunt / password; ille iustus postulo ut effingo lineae (Reus authenticas) "/boot/grub/grub.cfg" to your "modern.cfg"

pone superusers "root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

Et dominus PC adhuc authenticum dat sicut GRUB2 superuser.

Catena loading (Bootloader onerat aliud bootloader)ut supra scripsi, non convenit (Id est in alium finem). Encrypted bootloader non potest onerari propter BIOS (Catena tabernus restarts GRUB2> encrypted GRUB2, error!). Tamen si adhuc uteris notione onerandi catenae, certo potes encrypted id quod oneratum est. (Not modernized) "grub.cfg" ex encrypted partitio. Et hoc etiam est falsa securitas, quia omne quod in "grub.cfg" significatum est. (module loading) addit usque ad modulos oneratos ab unencrypted GRUB2.

Si hoc reprehendo vis, deinde colloca/encrypt aliam maceriam, effinge GRUB2 ad eam (Viscera install operationem in an encrypted partitio non potest) et in grub.cfg. (Unencrypted aboutconfig) mutare lineas huiusmodi

gnu-linux -- class os $ menuentry_id_option ' gnulinux-simple-2a382111-f2-993c-aa403e-2b292eac5' {
load_video
insmod gzio
if [ x$grub_platform = xxen ] ; tunc insmod xzio; insmod lzopio; fi*
insmod part_msdos
insmod cryptodisk
insmod lux
insmod gery_twofish
insmod gery_twofish
insmod gery_sha512
insmod EXT2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
normal /boot/grub/grub.cfg
}

lineae
* insmod - modulos necessarios onerandi ad operandum cum disco encrypto;
* GRUBx2 - Nomen lineae in GRUB2 tabulae tabernus exhibetur;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -see. fdisk -l (sda9);
radice* pone - tatum root;
* normal /boot/grub/grub.cfg - exsecutabile configuration lima in partitione encrypted.

Fiduciam illam esse "grub.cfg" encrypted quae onusta est responsio affirmativa ad introitum tesseram / reserans "sdaY" cum eligens lineam "GRUBx2" in menu GRUB.

Cum opus in CLI, ut non confundatur (deprime si "radice" environment variabilis laboravi); documenta vacua tesseram creant, exempli gratia, in sectione encrypted "/shifr_grub", in sectione unencrypted "/noshifr_grub". Reprehendo in CLI

cat /Tab-Tab

Ut supra dictum est, hoc non adiuvabit contra modulos malitiosos downloades, si tales moduli in PC tuum desinent. Exempli gratia, keylogger qui lima keystros servare poterit et cum aliis fasciculis in "~/i386" miscere poterit, donec accessus physicus ad PC ab oppugnante auferatur.

Facillima via est ut quin digital signature praesidium active opus est (Non reset)et nemine praedone invasit, imperium in CLI

list_trusted

in responsione "perskey" nostri exemplar accipimus vel nihil accipimus si oppugnamur (etiam opus est ut "statuto check_signatures=enforce").
Incommodum notabile huius gradus est intrans praecepta manually. Si hoc mandatum ad "grub.cfg" addideris et config cum subscriptione digitalis muniat, tunc praevia praevia clavium snapshots in velo brevior in leone est, et tempus non poteris videre output cum oneratum GRUB2 .
Nemo est nominatim id facer ut: elit in his documentum clause 18.2 publice declarat

"Nota etiam cum GRUB tesserae tutelae, ipsum GRUB non potest impedire aliquem cum accessu ad machinam physicam, ne mutetur firmware machinae illius (exempli gratia, Coreboot vel BIOS) configuratione ut machinam ex alia fabrica (oppugnator-continens) impediat. GRUB una tantum est optima nexus in vinculo tabernus secure."

GRUB2 functionibus oneratur quae falsam securitatis sensum praebere possunt, et eius progressus iam functionem MS-DOS superavit, quamvis tantum programma initialis sit. Ironicum est GRUB2 systema operandi "cras" fieri posse, dum GNU/...Linux machinas virtuales pro eo.

Brevis video quomodo in GRUB2 digital signature praesidium reset et meam intrusionem ad verum usorem declaravit (Te vix, sed pro eo quod in video ostendetur, scribere potes codicem arbitrarium non innocuum/.mod).

conclusiones:

1) Encryptionem systematis impedie Windows — facilius est ad implementandum, et protectio cum una tessera commodior est quam protectio cum pluribus tesseris in encryptione systematis GNU block/Linux...ut iuste dicam: hoc posterius automatum est.

2) Articulum scripsi ut pertinet et explicatio simplex Dux ad encryptionem totius disci utens VeraCrypt/LUKS in una machina, quae nunc optima est in RuNet (meo iudicio). Dux plus quam quinquaginta milia characterum longus est, itaque capita quaedam interessante non tractavit: de cryptographis qui evanescunt/qui se occultant; de eo quod in variis libris GNU/GNU continetur.Linux De cryptographia parum/nihil scribunt; de articulo 51 Constitutionis Foederationis Russicae; de... licentiae/ban encryption in Russian, de causa encrypt "radix/boot/" opus est. Dux satis ampla evasit, sed explicata. (Describens vel simplex gradus)vicissim servabit te multum temporis cum ad "encryptionem realem" perveneris.

3) Encryptio disci plena peracta est in Windows 7 64; GNU/Linux Psittacus 4x; GNU/Debian 9.0 / 9.5.

IV) Implemented prosperam oppugnationem eius GRUB2 bootloader.

5) Tutorialis creatus est ut omnes homines paranoidei in CIS adiuvarent, ubi cum encryptione operari per legislativum permittitur. Ac praesertim iis, qui encryptionem orbis plenariam evolvere volunt, sine intermissione systematis sui figurati.

6) Retractavit ac renovavit manualem meum, quod anno 2020 pertinet.

[G] Utile documentum

1. TrueCrypt User Guide (Februarii 2012 RU)
2. VeraCrypt Documenta
3. /usr/share/doc/cryptsetup(-run) [locorum resource] (documentatio officialis et accurata de encryptione GNU constituenda)Linux utens cryptsetup)
4. Official FAQ cryptsetup (brevis documentatio de encryptione GNU constituenda/Linux utens cryptsetup)
5. Luks fabrica encryption (Archlinux Documenta)
6. ENARRATIO cryptsetup syntaxis (arcus homo page)
7. ENARRATIO crypttab (arcus homo page)
8. Documenta officialis GRUB2.

Etiquettae: ​​encryptio disci integri, encryptio partitionis, encryptio disci integri Linux, plena systematis encryptio LUKS1.

Tantum usores descripserunt in aliquet participare possunt. InscribeTe gratissimum esse.

Esne encrypting?

• 17,1%Encrypt possum omnia. Im paranoid.14

• 34,2%Tantum encrypt magna data.28

• 14,6%Interdum encrypt, interdum obliviscor

• 34,2%Imo non encrypt, est incommodum et sumptuosum. 28

82 utentes censuerunt. 22 utentes abstinuerunt.

Source: www.habr.com