ການເຂົ້າລະຫັດແຜ່ນເຕັມຂອງລະບົບທີ່ຕິດຕັ້ງ Windows Linux. ເຂົ້າລະຫັດຫຼາຍບູດ

ອັບເດດຄູ່ມືການເຂົ້າລະຫັດແຜ່ນເຕັມໃນ RuNet V0.2.

ຍຸດ​ທະ​ສາດ Cowboy​:

[A] Windows 7 ລະບົບຕັນການເຂົ້າລະຫັດຂອງລະບົບທີ່ຕິດຕັ້ງ;
[B] ການເຂົ້າລະຫັດລະບົບ GNU/Linux (ເດບຽນ) ລະ​ບົບ​ຕິດ​ຕັ້ງ​ (ລວມທັງ /boot);
[C] ການຕັ້ງຄ່າ GRUB2, ການປົກປ້ອງ bootloader ດ້ວຍລາຍເຊັນດິຈິຕອນ/ການຢືນຢັນ/hashing;
[D] ການລອກເອົາ - ການທໍາລາຍຂໍ້ມູນທີ່ບໍ່ໄດ້ເຂົ້າລະຫັດ;
[E] ການສໍາຮອງຂໍ້ມູນທົ່ວໄປຂອງ OS ທີ່ຖືກເຂົ້າລະຫັດ;
[F] ການໂຈມຕີ ເປົ້າໝາຍ - GRUB6 bootloader;
[G]ເອກະສານທີ່ເປັນປະໂຫຍດ.

╭───ຮູບແບບຂອງ #room 40# :
├──╼ Windows 7 ຕິດຕັ້ງ - ການເຂົ້າລະຫັດລະບົບເຕັມ, ບໍ່ເຊື່ອງໄວ້;
├──╼ GNU/Linux ຕິດຕັ້ງ (ການແຈກຢາຍ Debian ແລະອະນຸພັນ) — ການ​ເຂົ້າ​ລະ​ຫັດ​ລະ​ບົບ​ຢ່າງ​ເຕັມ​ທີ່​, ບໍ່​ໄດ້​ເຊື່ອງ​ໄວ້​(/, ລວມທັງ /boot; swap);
├──╼ bootloaders ເອກະລາດ: VeraCrypt bootloader ຖືກຕິດຕັ້ງຢູ່ໃນ MBR, GRUB2 bootloader ຖືກຕິດຕັ້ງຢູ່ໃນພາທິຊັນຂະຫຍາຍ;
├──╼ບໍ່ຈຳເປັນຕ້ອງຕິດຕັ້ງ/ຕິດຕັ້ງ OS;
└──╼ຊອບແວການເຂົ້າລະຫັດລັບທີ່ໃຊ້: VeraCrypt; Cryptup; GnuPG; ມ້າທະເລ; Hashdeep; GRUB2 ແມ່ນບໍ່ເສຍຄ່າ / ຟຣີ.

ໂຄງ​ການ​ຂ້າງ​ເທິງ​ນີ້​ເປັນ​ບາງ​ສ່ວນ​ແກ້​ໄຂ​ບັນ​ຫາ​ຂອງ "boot ຫ່າງ​ໄກ​ສອກ​ຫຼີກ​ກັບ flash drive​"​, ອະ​ນຸ​ຍາດ​ໃຫ້​ທ່ານ​ມີ​ຄວາມ​ສຸກ​ການ​ເຂົ້າ​ລະ​ຫັດ OS Windows / Linux ແລະ​ແລກ​ປ່ຽນ​ຂໍ້​ມູນ​ຜ່ານ "ຊ່ອງ​ທາງ​ການ​ເຂົ້າ​ລະ​ຫັດ​" ຈາກ OS ຫນຶ່ງ​ໄປ​ອີກ​.

ຄໍາສັ່ງ boot PC (ຫນຶ່ງໃນທາງເລືອກ):

• ເປີດເຄື່ອງ;
• ກຳລັງໂຫຼດ VeraCrypt bootloader (ການ​ໃສ່​ລະ​ຫັດ​ຜ່ານ​ທີ່​ຖືກ​ຕ້ອງ​ຈະ​ສືບ​ຕໍ່ boot Windows 7​);
• ການກົດປຸ່ມ "Esc" ຈະໂຫລດ GRUB2 boot loader;
• GRUB2 boot loader (ເລືອກການແຈກຢາຍ/GNU/Linux/CLI), ຈະຮຽກຮ້ອງໃຫ້ມີການພິສູດຢືນຢັນຂອງ superuser GRUB2 ;
• ຫຼັງ​ຈາກ​ການ​ກວດ​ສອບ​ສົບ​ຜົນ​ສໍາ​ເລັດ​ແລະ​ການ​ຄັດ​ເລືອກ​ການ​ແຜ່​ກະ​ຈາຍ​, ທ່ານ​ຈະ​ຕ້ອງ​ໄດ້​ໃສ່​ລະ​ຫັດ​ຜ່ານ​ເພື່ອ​ປົດ​ລັອກ “/boot/initrd.img​”​;
• ຫຼັງຈາກໃສ່ລະຫັດຜ່ານທີ່ບໍ່ມີຂໍ້ຜິດພາດ, GRUB2 ຈະ "ຕ້ອງການ" ການປ້ອນລະຫັດຜ່ານ (ອັນ​ທີ​ສາມ, ລະ​ຫັດ​ຜ່ານ BIOS ຫຼື GNU/Linux ລະ​ຫັດ​ຜ່ານ​ບັນ​ຊີ​ຜູ້​ໃຊ້ – ບໍ່​ໄດ້​ພິ​ຈາ​ລະ​ນາ​) ເພື່ອປົດລັອກ ແລະບູດ GNU/Linux OS, ຫຼືປ່ຽນລະຫັດລັບອັດຕະໂນມັດ (ສອງລະຫັດຜ່ານ + ລະຫັດ, ຫຼືລະຫັດຜ່ານ + ລະຫັດ);
• ການບຸກລຸກພາຍນອກເຂົ້າໄປໃນການຕັ້ງຄ່າ GRUB2 ຈະຢຸດຂະບວນການບູດ GNU/Linux.

ມີບັນຫາ? ຕົກລົງ, ໄປໃຫ້ຂະບວນການອັດຕະໂນມັດ.

ເມື່ອແບ່ງຮາດໄດ (ຕາຕະລາງ MBR) PC ສາມາດມີບໍ່ເກີນ 4 ພາກສ່ວນຕົ້ນຕໍ, ຫຼື 3 ຕົ້ນຕໍແລະຫນຶ່ງຂະຫຍາຍ, ເຊັ່ນດຽວກັນກັບພື້ນທີ່ທີ່ບໍ່ໄດ້ຈັດສັນ. ພາກສ່ວນທີ່ຂະຫຍາຍອອກ, ບໍ່ຄືກັບຫົວຂໍ້ຫຼັກ, ສາມາດມີສ່ວນຍ່ອຍໄດ້ (logical drives=ການຂະຫຍາຍພາທິຊັນ). ໃນຄໍາສັບຕ່າງໆອື່ນໆ, "ການແບ່ງສ່ວນຂະຫຍາຍ" ໃນ HDD ແທນ LVM ສໍາລັບວຽກງານທີ່ມີຢູ່ໃນມື: ການເຂົ້າລະຫັດລະບົບເຕັມ. ຖ້າແຜ່ນຂອງທ່ານຖືກແບ່ງອອກເປັນ 4 ພາກສ່ວນຕົ້ນຕໍ, ທ່ານຈໍາເປັນຕ້ອງໃຊ້ lvm, ຫຼືປ່ຽນ (ມີ​ຮູບ​ແບບ​) ພາກ​ສ່ວນ​ຈາກ​ຕົ້ນ​ຕໍ​ເຖິງ​ຂັ້ນ​ສູງ​, ຫຼື​ສະ​ຫລາດ​ນໍາ​ໃຊ້​ທັງ​ສີ່​ພາກ​ສ່ວນ​ແລະ​ປະ​ໄວ້​ທຸກ​ສິ່ງ​ທຸກ​ຢ່າງ​ເປັນ​, ໄດ້​ຮັບ​ຜົນ​ທີ່​ຕ້ອງ​ການ​. ເຖິງ​ແມ່ນ​ວ່າ​ທ່ານ​ມີ​ການ​ແບ່ງ​ປັນ​ຫນຶ່ງ​ໃນ​ແຜ່ນ​ຂອງ​ທ່ານ​, Gparted ຈະ​ຊ່ວຍ​ໃຫ້​ທ່ານ​ແບ່ງ​ປັນ HDD ຂອງ​ທ່ານ​ (ສໍາ​ລັບ​ພາກ​ສ່ວນ​ເພີ່ມ​ເຕີມ​) ໂດຍບໍ່ມີການສູນເສຍຂໍ້ມູນ, ແຕ່ຍັງມີການລົງໂທດຂະຫນາດນ້ອຍສໍາລັບການດໍາເນີນການດັ່ງກ່າວ.

ໂຄງ​ຮ່າງ​ການ​ຂັບ​ແຂງ​, ໃນ​ທີ່​ກ່ຽວ​ຂ້ອງ​ກັບ​ບົດ​ຄວາມ​ທັງ​ຫມົດ​ຈະ​ໄດ້​ຮັບ​ການ​ເວົ້າ​, ໄດ້​ນໍາ​ສະ​ເຫນີ​ໃນ​ຕາ​ຕະ​ລາງ​ຂ້າງ​ລຸ່ມ​ນີ້​.

ຕາຕະລາງ (ສະບັບເລກທີ 1) ຂອງພາທິຊັນ 1TB.

ທ່ານຄວນມີບາງສິ່ງບາງຢ່າງທີ່ຄ້າຍຄືກັນ.
sda1 - ພາທິຊັນຫຼັກ 1 NTFS (ເຂົ້າລະຫັດ);
sda2 - ເຄື່ອງຫມາຍສ່ວນຂະຫຍາຍ;
sda6 - logical disk (ມັນມີ GRUB2 bootloader ຕິດຕັ້ງ);
sda8 - swap (ໄຟລ໌ swap ເຂົ້າລະຫັດ / ບໍ່ສະເຫມີ);
sda9 - ທົດສອບ logical disk;
sda5 - ແຜ່ນຢ່າງມີເຫດຜົນສໍາລັບການຢາກຮູ້ຢາກເຫັນ;
sda7 - GNU/Linux OS (ໂອນ OS ໄປຫາແຜ່ນໂລຈິກທີ່ຖືກເຂົ້າລະຫັດ);
sda3 - ພາທິຊັນຫຼັກ 2 ກັບ Windows 7 OS (ເຂົ້າລະຫັດ);
sda4 - ພາກຫຼັກ 3 (ມັນມີ GNU/Linux ທີ່ບໍ່ໄດ້ເຂົ້າລະຫັດ, ໃຊ້ສໍາລັບການສໍາຮອງຂໍ້ມູນ / ບໍ່ສະເຫມີ).

[A] Windows 7 System Block Encryption

A1. VeraCrypt

ກຳ ລັງໂຫລດຈາກ ເວັບໄຊຢ່າງເປັນທາງການ, ຫຼືຈາກບ່ອນແລກປ່ຽນຄວາມ sourceforge ເວີຊັນຕິດຕັ້ງຂອງຊອບແວເຂົ້າລະຫັດ VeraCrypt (ໃນເວລາທີ່ພິມເຜີຍແຜ່ບົດຄວາມ v1.24-Update3, VeraCrypt ສະບັບມືຖືບໍ່ເຫມາະສົມສໍາລັບການເຂົ້າລະຫັດລະບົບ). ກວດເບິ່ງ checksum ຂອງຊອບແວດາວໂຫຼດ

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

ແລະປຽບທຽບຜົນໄດ້ຮັບກັບ CS ປະກາດຢູ່ໃນເວັບໄຊທ໌ນັກພັດທະນາ VeraCrypt.

ຖ້າຊອບແວ HashTab ຖືກຕິດຕັ້ງ, ມັນງ່າຍກວ່າ: RMB (ການຕິດຕັ້ງ VeraCrypt 1.24.exe)-properties - ຜົນ​ລວມ hash ຂອງ​ໄຟລ​໌​.

ເພື່ອກວດສອບລາຍເຊັນຂອງໂປຣແກຣມ, ຊອບແວ ແລະກະແຈ pgp ສາທາລະນະຂອງຜູ້ພັດທະນາຈະຕ້ອງຖືກຕິດຕັ້ງຢູ່ໃນລະບົບ gnuPG; gpg4win.

A2. ການຕິດຕັ້ງ/ແລ່ນຊອບແວ VeraCrypt ດ້ວຍສິດຂອງຜູ້ເບິ່ງແຍງລະບົບ

A3. ເລືອກຕົວກໍານົດການເຂົ້າລະຫັດລະບົບສໍາລັບພາທິຊັນທີ່ໃຊ້ວຽກVeraCrypt – ລະ​ບົບ – ເຂົ້າ​ລະ​ຫັດ​ລະ​ບົບ partition/disk – ປົກ​ກະ​ຕິ – ເຂົ້າ​ລະ​ຫັດ​ການ​ແບ່ງ​ປັນ​ລະ​ບົບ Windows – Multiboot – (ຄໍາເຕືອນ: "ຜູ້ໃຊ້ທີ່ບໍ່ມີປະສົບການບໍ່ໄດ້ແນະນໍາໃຫ້ໃຊ້ວິທີນີ້" ແລະນີ້ແມ່ນຄວາມຈິງ, ພວກເຮົາຕົກລົງເຫັນດີ "ແມ່ນ") - ແຜ່ນ Boot (“ແມ່ນ”, ເຖິງແມ່ນວ່າບໍ່ແມ່ນແນວນັ້ນ, ຍັງຄົງ “ແມ່ນ”) - ຈໍາ​ນວນ​ຂອງ​ແຜ່ນ​ລະ​ບົບ "2 ຫຼື​ຫຼາຍ​ກວ່າ​" - ຫຼາຍ​ລະ​ບົບ​ໃນ​ແຜ່ນ​ຫນຶ່ງ "ແມ່ນ​" - ບໍ່​ແມ່ນ Windows boot loader "ບໍ່​" (ໃນ​ຄວາມ​ເປັນ​ຈິງ, "ແມ່ນ," ແຕ່ VeraCrypt / GRUB2 boot loaders ຈະບໍ່ແບ່ງປັນ MBR ໃນບັນດາພວກເຂົາ; ຊັດເຈນກວ່ານັ້ນ, ພຽງແຕ່ສ່ວນນ້ອຍທີ່ສຸດຂອງລະຫັດ boot loader ຖືກເກັບໄວ້ໃນ MBR / boot track, ສ່ວນຕົ້ນຕໍຂອງມັນແມ່ນ. ຕັ້ງ​ຢູ່​ໃນ​ລະ​ບົບ​ໄຟລ​໌​) – Multiboot – ການ​ຕັ້ງ​ຄ່າ​ການ​ເຂົ້າ​ລະ​ຫັດ…

ຖ້າ​ຫາກ​ວ່າ​ທ່ານ deviate ຈາກ​ຂັ້ນ​ຕອນ​ຂ້າງ​ເທິງ (ບລັອກລະບົບການເຂົ້າລະຫັດ), ຫຼັງຈາກນັ້ນ VeraCrypt ຈະອອກຄໍາເຕືອນແລະຈະບໍ່ອະນຸຍາດໃຫ້ທ່ານເຂົ້າລະຫັດພາທິຊັນ.

ໃນຂັ້ນຕອນຕໍ່ໄປຕໍ່ກັບການປົກປ້ອງຂໍ້ມູນເປົ້າຫມາຍ, ດໍາເນີນການ "ທົດສອບ" ແລະເລືອກລະບົບການເຂົ້າລະຫັດ. ຖ້າທ່ານມີ CPU ທີ່ລ້າສະໄຫມ, ສ່ວນຫຼາຍອາດຈະເປັນສູດການເຂົ້າລະຫັດທີ່ໄວທີ່ສຸດຈະເປັນ Twofish. ຖ້າ CPU ມີອໍານາດ, ທ່ານຈະສັງເກດເຫັນຄວາມແຕກຕ່າງ: ການເຂົ້າລະຫັດ AES, ອີງຕາມຜົນການທົດສອບ, ຈະໄວກວ່າຄູ່ແຂ່ງ crypto ຂອງມັນຫຼາຍເທົ່າ. AES ແມ່ນລະບົບການເຂົ້າລະຫັດທີ່ນິຍົມ; ຮາດແວຂອງ CPU ທີ່ທັນສະໄຫມໄດ້ຖືກປັບປຸງໃຫ້ເຫມາະສົມເປັນພິເສດສໍາລັບທັງ "ຄວາມລັບ" ແລະ "ການແຮັກ."

VeraCrypt ຮອງຮັບຄວາມສາມາດໃນການເຂົ້າລະຫັດແຜ່ນໃນ AES cascade(ປາສອງ)/ ແລະການປະສົມປະສານອື່ນໆ. ໃນ CPU Intel ຫຼັກເກົ່າຈາກສິບປີກ່ອນ (ໂດຍບໍ່ມີການສະຫນັບສະຫນູນຮາດແວສໍາລັບການ AES, A/T cascade encryption) ການຫຼຸດລົງໃນການປະຕິບັດເປັນສິ່ງຈໍາເປັນ imperceptible. (ສໍາລັບ AMD CPUs ໃນຍຸກດຽວກັນ / ~ ຕົວກໍານົດການ, ປະສິດທິພາບຫຼຸດລົງເລັກນ້ອຍ). OS ເຮັດວຽກແບບເຄື່ອນໄຫວແລະການບໍລິໂພກຊັບພະຍາກອນສໍາລັບການເຂົ້າລະຫັດໂປ່ງໃສແມ່ນເບິ່ງບໍ່ເຫັນ. ໃນທາງກົງກັນຂ້າມ, ສໍາລັບການຍົກຕົວຢ່າງ, ມີການຫຼຸດລົງຢ່າງຫຼວງຫຼາຍໃນການປະຕິບັດເນື່ອງຈາກການຕິດຕັ້ງສະພາບແວດລ້ອມ desktop ການທົດສອບທີ່ບໍ່ຫມັ້ນຄົງ Mate v1.20.1. (ຫຼື v1.20.2 ຂ້ອຍບໍ່ຈື່ແນ່ນອນ) ໃນ GNU/Linux, ຫຼືເນື່ອງຈາກການເຮັດວຽກຂອງ telemetry routine ໃນ Windows7↑. ໂດຍປົກກະຕິ, ຜູ້ໃຊ້ທີ່ມີປະສົບການເຮັດການທົດສອບປະສິດທິພາບຂອງຮາດແວກ່ອນທີ່ຈະເຂົ້າລະຫັດ. ສໍາລັບຕົວຢ່າງ, ໃນ Aida64 / Sysbench / systemd-analyze ຕໍານິໄດ້ຖືກປຽບທຽບກັບຜົນໄດ້ຮັບຂອງການທົດສອບດຽວກັນຫຼັງຈາກການເຂົ້າລະຫັດລະບົບ, ດັ່ງນັ້ນການປະຕິເສດ myth ສໍາລັບຕົນເອງວ່າ "ການເຂົ້າລະຫັດລະບົບເປັນອັນຕະລາຍ." ການຊ້າລົງຂອງເຄື່ອງແລະຄວາມບໍ່ສະດວກແມ່ນເຫັນໄດ້ຊັດເຈນໃນເວລາທີ່ສໍາຮອງຂໍ້ມູນ / ການຟື້ນຟູຂໍ້ມູນທີ່ຖືກເຂົ້າລະຫັດ, ເພາະວ່າການດໍາເນີນງານ "ການສໍາຮອງຂໍ້ມູນລະບົບ" ຕົວຂອງມັນເອງບໍ່ໄດ້ຖືກວັດແທກເປັນ ms, ແລະສິ່ງດຽວກັນ ໄດ້ຖືກເພີ່ມ. ໃນທີ່ສຸດ, ຜູ້ໃຊ້ແຕ່ລະຄົນທີ່ໄດ້ຮັບອະນຸຍາດໃຫ້ tinker ກັບ cryptography ດຸ່ນດ່ຽງ algorithm ການເຂົ້າລະຫັດຕໍ່ກັບຄວາມພໍໃຈຂອງວຽກງານຢູ່ໃນມື, ລະດັບຂອງ paranoia ຂອງເຂົາເຈົ້າ, ແລະຄວາມງ່າຍຂອງການນໍາໃຊ້.

ມັນດີກວ່າທີ່ຈະອອກຈາກພາລາມິເຕີ PIM ເປັນຄ່າເລີ່ມຕົ້ນ, ດັ່ງນັ້ນເມື່ອໂຫລດ OS ທ່ານບໍ່ຈໍາເປັນຕ້ອງໃສ່ຄ່າ iteration ທີ່ແນ່ນອນໃນແຕ່ລະຄັ້ງ. VeraCrypt ໃຊ້ການຊໍ້າຄືນຈໍານວນຫຼວງຫຼາຍເພື່ອສ້າງ "hash ຊ້າ" ຢ່າງແທ້ຈິງ. ການໂຈມຕີ "ຫອຍ crypto" ດັ່ງກ່າວໂດຍນໍາໃຊ້ວິທີການ Brute force / rainbow tables ມີຄວາມຫມາຍພຽງແຕ່ລະຫັດຜ່ານ "ງ່າຍດາຍ" ສັ້ນແລະບັນຊີລາຍຊື່ charset ສ່ວນບຸກຄົນຂອງຜູ້ຖືກເຄາະຮ້າຍ. ລາຄາທີ່ຈະຈ່າຍສໍາລັບຄວາມເຂັ້ມຂອງລະຫັດຜ່ານແມ່ນການຊັກຊ້າໃນການປ້ອນລະຫັດຜ່ານທີ່ຖືກຕ້ອງໃນເວລາທີ່ໂຫລດ OS. (ການຕິດຕັ້ງປະລິມານ VeraCrypt ໃນ GNU/Linux ແມ່ນໄວຂຶ້ນຢ່າງຫຼວງຫຼາຍ).
ຊອບແວຟຣີສໍາລັບການປະຕິບັດການໂຈມຕີດ້ວຍແຮງ brute (ສະກັດລະຫັດຜ່ານຈາກ VeraCrypt/LUKS disk header) Hashcat. John the Ripper ບໍ່ຮູ້ວິທີ "ທໍາລາຍ Veracrypt", ແລະໃນເວລາທີ່ເຮັດວຽກກັບ LUKS ບໍ່ເຂົ້າໃຈການເຂົ້າລະຫັດ Twofish.

ເນື່ອງຈາກຄວາມເຂັ້ມແຂງຂອງລະຫັດລັບຂອງລະບົບການເຂົ້າລະຫັດ, cypherpunks ທີ່ບໍ່ສາມາດຢຸດໄດ້ກໍາລັງພັດທະນາຊອບແວທີ່ມີ vector ການໂຈມຕີທີ່ແຕກຕ່າງກັນ. ຕົວຢ່າງ, ສະກັດ metadata/keys ຈາກ RAM (ການ​ໂຈມ​ຕີ​ການ​ເຂົ້າ​ເຖິງ​ຄວາມ​ຊົງ​ຈໍາ​ໂດຍ​ກົງ / boot​ເຢັນ​)​, ມີຊອຟແວທີ່ພິເສດແລະບໍ່ເສຍເງິນສໍາລັບຈຸດປະສົງເຫຼົ່ານີ້.

ພາຍຫຼັງສຳເລັດການຕັ້ງຄ່າ/ສ້າງ “ເມຕາເດຕາທີ່ເປັນເອກະລັກ” ຂອງພາທິຊັນເຄື່ອນໄຫວທີ່ຖືກເຂົ້າລະຫັດ, VeraCrypt ຈະສະເໜີໃຫ້ຣີສະຕາດ PC ແລະທົດສອບການເຮັດວຽກຂອງ bootloader ຂອງມັນ. ຫຼັງ​ຈາກ rebooting/starting Windows, VeraCrypt ຈະ​ໂຫຼດ​ຢູ່​ໃນ​ຮູບ​ແບບ standby, ທັງ​ຫມົດ​ທີ່​ຍັງ​ເຫຼືອ​ແມ່ນ​ເພື່ອ​ຢືນ​ຢັນ​ຂະ​ບວນ​ການ​ເຂົ້າ​ລະ​ຫັດ - Y.

ໃນຂັ້ນຕອນສຸດທ້າຍຂອງການເຂົ້າລະຫັດລະບົບ, VeraCrypt ຈະສະເຫນີໃຫ້ສ້າງສໍາເນົາສໍາຮອງຂອງສ່ວນຫົວຂອງການແບ່ງປັນເຂົ້າລະຫັດທີ່ໃຊ້ວຽກໃນຮູບແບບຂອງ "veracrypt rescue disk.iso" - ອັນນີ້ຕ້ອງເຮັດ - ໃນຊອບແວນີ້ການດໍາເນີນງານດັ່ງກ່າວເປັນຄວາມຕ້ອງການ (ໃນ LUKS, ຕາມຄວາມຕ້ອງການ - ແຕ່ຫນ້າເສຍດາຍ, ນີ້ແມ່ນຖືກຍົກເວັ້ນ, ແຕ່ເນັ້ນໃສ່ໃນເອກະສານ). ແຜ່ນ Rescue ຈະເປັນປະໂຫຍດສໍາລັບທຸກຄົນ, ແລະສໍາລັບບາງຄົນຫຼາຍກວ່າຫນຶ່ງຄັ້ງ. ການສູນເສຍ (ຫົວ / MBR ຂຽນຄືນ) ສໍາ​ເນົາ​ສໍາ​ຮອງ​ຂໍ້​ມູນ​ຂອງ​ຫົວ​ຂໍ້​ຈະ​ປະ​ຕິ​ເສດ​ຢ່າງ​ຖາ​ວອນ​ການ​ເຂົ້າ​ເຖິງ​ພາ​ທິ​ຊັນ​ຖອດ​ລະ​ຫັດ​ກັບ OS Windows​.

A4. ສ້າງ VeraCrypt ກູ້ USB/diskໂດຍຄ່າເລີ່ມຕົ້ນ, VeraCrypt ສະເຫນີໃຫ້ "~2-3MB ຂອງ metadata" ເຂົ້າໄປໃນ CD, ແຕ່ບໍ່ແມ່ນທຸກຄົນມີແຜ່ນຫຼື DWD-ROM ໄດ, ແລະການສ້າງ flash drive bootable "VeraCrypt Rescue disk" ຈະເປັນຄວາມແປກໃຈດ້ານວິຊາການສໍາລັບບາງຄົນ: Rufus /GUIdd-ROSA ImageWriter ແລະຊອບແວທີ່ຄ້າຍຄືກັນອື່ນໆຈະບໍ່ສາມາດຮັບມືກັບຫນ້າວຽກໄດ້, ເພາະວ່ານອກເຫນືອຈາກການຄັດລອກ metadata ຊົດເຊີຍໄປຍັງ flash drive ທີ່ສາມາດເລີ່ມຕົ້ນໄດ້, ທ່ານຈໍາເປັນຕ້ອງຄັດລອກ / ວາງຮູບພາບນອກລະບົບໄຟລ໌ຂອງ USB drive, ໃນສັ້ນ, ຄັດລອກ MBR/road ໄປໃສ່ພວງກະແຈຢ່າງຖືກຕ້ອງ. ທ່ານສາມາດສ້າງ flash drive ທີ່ສາມາດເລີ່ມຕົ້ນໄດ້ຈາກ GNU/Linux OS ໂດຍໃຊ້ "dd" utility, ເບິ່ງເຄື່ອງຫມາຍນີ້.

ການສ້າງແຜ່ນກູ້ໄພໃນສະພາບແວດລ້ອມ Windows ແມ່ນແຕກຕ່າງກັນ. ນັກພັດທະນາ VeraCrypt ບໍ່ໄດ້ລວມເອົາການແກ້ໄຂບັນຫານີ້ຢູ່ໃນທາງການ ເອກະສານ ໂດຍ "rescue disk", ແຕ່ໄດ້ສະເຫນີການແກ້ໄຂໃນທາງທີ່ແຕກຕ່າງກັນ: ລາວໄດ້ເຜີຍແຜ່ຊອບແວເພີ່ມເຕີມສໍາລັບການສ້າງ "usb rescue disk" ສໍາລັບການເຂົ້າເຖິງຟຣີໃນກະດານ VeraCrypt ຂອງລາວ. ຜູ້ເກັບມ້ຽນຂອງຊອບແວນີ້ສໍາລັບ Windows ແມ່ນ "ສ້າງແຜ່ນກູ້ໄພ usb veracrypt". ຫຼັງ​ຈາກ​ການ​ປະ​ຢັດ disk.iso ກູ້​ໄພ​, ຂະ​ບວນ​ການ​ຂອງ​ການ​ເຂົ້າ​ລະ​ຫັດ​ລະ​ບົບ block ຂອງ​ການ​ແບ່ງ​ປັນ​ການ​ເຄື່ອນ​ໄຫວ​ຈະ​ເລີ່ມ​ຕົ້ນ​. ໃນ​ລະ​ຫວ່າງ​ການ​ເຂົ້າ​ລະ​ຫັດ​, ການ​ດໍາ​ເນີນ​ງານ​ຂອງ OS ບໍ່​ໄດ້​ຢຸດ​ເຊົາ​, PC restart ບໍ່​ຈໍາ​ເປັນ​ຕ້ອງ​. ພາຍຫຼັງສຳເລັດການເຂົ້າລະຫັດ, ການແບ່ງປັນທີ່ເຄື່ອນໄຫວຈະກາຍເປັນການເຂົ້າລະຫັດຢ່າງຄົບຖ້ວນ ແລະສາມາດນຳໃຊ້ໄດ້. ຖ້າ VeraCrypt boot loader ບໍ່ປາກົດເມື່ອທ່ານເລີ່ມຕົ້ນ PC, ແລະການດໍາເນີນງານການຟື້ນຕົວ header ບໍ່ໄດ້ຊ່ວຍ, ຫຼັງຈາກນັ້ນໃຫ້ກວດເບິ່ງທຸງ "boot", ມັນຕ້ອງຖືກຕັ້ງເປັນພາທິຊັນທີ່ Windows ຢູ່. (ໂດຍບໍ່ຄໍານຶງເຖິງການເຂົ້າລະຫັດແລະ OS ອື່ນໆ, ເບິ່ງຕາຕະລາງ 1).
ນີ້ເຮັດສໍາເລັດລາຍລະອຽດຂອງການເຂົ້າລະຫັດລະບົບບລັອກກັບ Windows OS.

[B]ລູກສ໌. ການເຂົ້າລະຫັດ GNU/Linux (~ເດບຽນ) ຕິດຕັ້ງ OS. ຂັ້ນຕອນ ແລະຂັ້ນຕອນ

ເພື່ອເຂົ້າລະຫັດການແຈກຢາຍ Debian / derivative ທີ່ຕິດຕັ້ງ, ທ່ານຈໍາເປັນຕ້ອງສ້າງແຜນທີ່ການແບ່ງປັນທີ່ກຽມໄວ້ກັບອຸປະກອນບລັອກ virtual, ໂອນມັນໄປຫາແຜ່ນ GNU / Linux ທີ່ວາງແຜນໄວ້, ແລະຕິດຕັ້ງ / ຕັ້ງຄ່າ GRUB2. ຖ້າທ່ານບໍ່ມີເຄື່ອງແມ່ຂ່າຍຂອງໂລຫະເປົ່າ, ແລະທ່ານໃຫ້ຄຸນຄ່າທີ່ໃຊ້ເວລາຂອງທ່ານ, ຫຼັງຈາກນັ້ນທ່ານຈໍາເປັນຕ້ອງໃຊ້ GUI, ແລະຄໍາສັ່ງສ່ວນໃຫຍ່ທີ່ອະທິບາຍຂ້າງລຸ່ມນີ້ແມ່ນຫມາຍຄວາມວ່າຈະດໍາເນີນການໃນ "ໂຫມດ Chuck-Norris".

B1. ກຳລັງເປີດເຄື່ອງຄອມພິວເຕີຈາກ GNU/Linux USB ສົດ

"ດໍາເນີນການທົດສອບ crypto ສໍາລັບປະສິດທິພາບຂອງຮາດແວ"

lscpu && сryptsetup benchmark

ຖ້າທ່ານເປັນເຈົ້າຂອງທີ່ມີຄວາມສຸກຂອງລົດທີ່ມີພະລັງທີ່ມີການສະຫນັບສະຫນູນຮາດແວ AES, ຕົວເລກຈະຄ້າຍຄືກັບດ້ານຂວາຂອງ terminal; ຖ້າທ່ານເປັນເຈົ້າຂອງທີ່ມີຄວາມສຸກ, ແຕ່ດ້ວຍຮາດແວວັດຖຸບູຮານ, ຕົວເລກຈະຄ້າຍຄືເບື້ອງຊ້າຍ.

B2. ການແບ່ງແຍກແຜ່ນ. ການຕິດຕັ້ງ/ການຈັດຮູບແບບ fs logical disk HDD ກັບ Ext4 (Gparted)

B2.1. ການສ້າງສ່ວນຫົວພາທິຊັນ sda7 ທີ່ເຂົ້າລະຫັດໄວ້ຂ້າ​ພະ​ເຈົ້າ​ຈະ​ອະ​ທິ​ບາຍ​ຊື່​ຂອງ​ພາ​ທິ​ຊັນ​, ໃນ​ທີ່​ນີ້​ແລະ​ຕໍ່​ໄປ​, ອີງ​ຕາມ​ຕາ​ຕະ​ລາງ​ການ​ແບ່ງ​ປັນ​ຂອງ​ຂ້າ​ພະ​ເຈົ້າ​ໄດ້​ຂຽນ​ໄວ້​ຂ້າງ​ເທິງ​. ອີງ​ຕາມ​ການ​ຈັດ​ວາງ​ແຜ່ນ​ຂອງ​ທ່ານ​, ທ່ານ​ຈະ​ຕ້ອງ​ທົດ​ແທນ​ຊື່​ພາ​ທິ​ຊັນ​ຂອງ​ທ່ານ​.

Logical Drive Encryption Mapping (/dev/sda7 > /dev/mapper/sda7_crypt).
# ການສ້າງ "ພາທິຊັນ LUKS-AES-XTS" ງ່າຍໆ

cryptsetup -v -y luksFormat /dev/sda7

ທາງເລືອກ:

* luksFormat - ການເລີ່ມຕົ້ນຂອງຫົວ LUKS;
* -y -passphrase (ບໍ່ແມ່ນກະແຈ/ໄຟລ໌);
* -v -verbalization (ສະແດງຂໍ້ມູນໃນ terminal);
* /dev/sda7 - ແຜ່ນຢ່າງມີເຫດຜົນຂອງທ່ານຈາກພາທິຊັນຂະຫຍາຍ (ບ່ອນທີ່ມັນຖືກວາງແຜນທີ່ຈະໂອນ / ເຂົ້າລະຫັດ GNU / Linux).

ສູດການເຂົ້າລະຫັດເລີ່ມຕົ້ນ <LUKS1: aes-xts-plain64, Key: 256 bits, LUKS header hashing: sha256, RNG: /dev/urandom> (ຂຶ້ນກັບລຸ້ນ cryptsetup).

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

ຖ້າບໍ່ມີການຮອງຮັບຮາດແວສໍາລັບ AES ໃນ CPU, ທາງເລືອກທີ່ດີທີ່ສຸດຈະເປັນການສ້າງ "LUKS-Twofish-XTS-partition".

B2.2. ການສ້າງແບບພິເສດຂອງ "LUKS-Twofish-XTS-partition"

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

ທາງເລືອກ:
* luksFormat - ການເລີ່ມຕົ້ນຂອງຫົວ LUKS;
* /dev/sda7 ເປັນດິສທີ່ມີເຫດຜົນທີ່ຖືກເຂົ້າລະຫັດໃນອະນາຄົດຂອງທ່ານ;
* -v ການເວົ້າ;
* -y passphrase;
* -c ເລືອກ algorithm ການເຂົ້າລະຫັດຂໍ້ມູນ;
* -s ຂະຫນາດລະຫັດການເຂົ້າລະຫັດ;
* -h hashing algorithm/crypto function, RNG ໃຊ້ (--ໃຊ້-Urandom) ເພື່ອສ້າງລະຫັດການເຂົ້າລະຫັດ/ຖອດລະຫັດທີ່ເປັນເອກະລັກສໍາລັບສ່ວນຫົວຂອງດິສກ໌ຢ່າງມີເຫດຜົນ, ລະຫັດສ່ວນຫົວສຳຮອງ (XTS); ລະຫັດຫຼັກທີ່ເປັນເອກະລັກທີ່ເກັບໄວ້ໃນສ່ວນຫົວຂອງດິສກ໌ທີ່ຖືກເຂົ້າລະຫັດ, ລະຫັດ XTS ສຳຮອງ, ຂໍ້ມູນເມຕາເດຕາທັງໝົດນີ້ ແລະການເຂົ້າລະຫັດແບບປົກກະຕິທີ່, ການໃຊ້ລະຫັດຫຼັກ ແລະລະຫັດ XTS ສຳຮອງ, ຈະເຂົ້າລະຫັດ/ຖອດລະຫັດຂໍ້ມູນໃດໆໃນພາທິຊັນ. (ຍົກເວັ້ນຫົວຂໍ້ພາກ) ເກັບ​ໄວ້​ໃນ ~3MB ໃນ​ການ​ແບ່ງ​ປັນ​ຮາດ​ດິດ​ທີ່​ເລືອກ​.
* -i ການຊໍ້າຄືນໃນ milliseconds, ແທນທີ່ຈະເປັນ "ຈໍານວນ" (ຄວາມລ່າຊ້າເວລາໃນການປະມວນຜົນລະຫັດຜ່ານສົ່ງຜົນກະທົບຕໍ່ການໂຫຼດ OS ແລະຄວາມເຂັ້ມແຂງຂອງລະຫັດລັບ). ເພື່ອຮັກສາຄວາມສົມດູນຂອງຄວາມເຂັ້ມແຂງຂອງລະຫັດລັບ, ດ້ວຍລະຫັດຜ່ານງ່າຍໆເຊັ່ນ "ພາສາລັດເຊຍ" ທ່ານຈໍາເປັນຕ້ອງເພີ່ມມູນຄ່າ -(i); ດ້ວຍລະຫັດຜ່ານທີ່ຊັບຊ້ອນເຊັ່ນ "?8dƱob/øfh" ມູນຄ່າສາມາດຫຼຸດລົງໄດ້.
* -use-urandom ເຄື່ອງ​ສ້າງ​ຈໍາ​ນວນ​ສຸ່ມ​, ສ້າງ​ກະ​ແຈ​ແລະ​ເກືອ​.

ຫຼັງຈາກການສ້າງແຜນທີ່ພາກສ່ວນ sda7 > sda7_crypt (ການ​ດໍາ​ເນີນ​ງານ​ແມ່ນ​ໄວ​, ນັບ​ຕັ້ງ​ແຕ່​ຫົວ​ຫນ້າ​ເຂົ້າ​ລະ​ຫັດ​ໄດ້​ຖືກ​ສ້າງ​ຕັ້ງ​ຂື້ນ​ກັບ ~3 MB ຂອງ metadata ແລະ​ນັ້ນ​ແມ່ນ​ທັງ​ຫມົດ​), ທ່ານຈໍາເປັນຕ້ອງຈັດຮູບແບບແລະຕິດຕັ້ງລະບົບໄຟລ໌ sda7_crypt.

B2.3. ການປຽບທຽບ

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

ທາງເລືອກ:
* ເປີດ - ກົງກັບພາກສ່ວນ “ດ້ວຍຊື່”;
* /dev/sda7 -logical disk;
* sda7_crypt - ການ​ສ້າງ​ແຜນ​ທີ່​ຊື່​ທີ່​ຖືກ​ນໍາ​ໃຊ້​ເພື່ອ​ຕິດ​ຕັ້ງ​ພາ​ທິ​ຊັນ​ເຂົ້າ​ລະ​ຫັດ​ຫຼື​ເລີ່ມ​ຕົ້ນ​ມັນ​ໃນ​ເວ​ລາ​ທີ່ OS boots​.

B2.4. ການຈັດຮູບແບບລະບົບໄຟລ໌ sda7_crypt ເປັນ ext4. ການຕິດຕັ້ງແຜ່ນໃນ OS(ຫມາຍ​ເຫດ​: ທ່ານ​ຈະ​ບໍ່​ສາ​ມາດ​ເຮັດ​ວຽກ​ຮ່ວມ​ກັບ partition ເຂົ້າ​ລະ​ຫັດ​ໃນ Gparted​)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt 

ທາງເລືອກ:
* -v -verbalization;
* -L - drive label (ເຊິ່ງສະແດງຢູ່ໃນ Explorer ໃນບັນດາໄດອື່ນໆ).

ຕໍ່ໄປ, ທ່ານຄວນຕິດຕັ້ງອຸປະກອນບລັອກ virtual-encrypted /dev/sda7_crypt ກັບລະບົບ

mount /dev/mapper/sda7_crypt /mnt

ການເຮັດວຽກກັບໄຟລ໌ໃນໂຟນເດີ /mnt ຈະເຂົ້າລະຫັດ / ຖອດລະຫັດຂໍ້ມູນໃນ sda7 ໂດຍອັດຕະໂນມັດ.

ມັນສະດວກກວ່າທີ່ຈະສ້າງແຜນທີ່ ແລະຕິດຕັ້ງພາທິຊັນໃນ Explorer (nautilus/caja GUI), ການແບ່ງພາທິຊັນຈະຢູ່ໃນບັນຊີລາຍຊື່ການເລືອກແຜ່ນແລ້ວ, ທັງຫມົດທີ່ຍັງເຫຼືອແມ່ນການໃສ່ລະຫັດຜ່ານເພື່ອເປີດ / ຖອດລະຫັດແຜ່ນ. ຊື່ທີ່ກົງກັນຈະຖືກເລືອກໂດຍອັດຕະໂນມັດ ແລະບໍ່ແມ່ນ “sda7_crypt”, ແຕ່ບາງອັນເຊັ່ນ /dev/mapper/Luks-xx-xx...

B2.5. ສຳຮອງສ່ວນຫົວຂອງແຜ່ນ (~3MB metadata)ຫນຶ່ງໃນຫຼາຍທີ່ສຸດ ສຳຄັນ ການດໍາເນີນງານທີ່ຕ້ອງເຮັດໂດຍບໍ່ມີການຊັກຊ້າ - ສໍາເນົາສໍາຮອງຂອງ "sda7_crypt" header. ຖ້າທ່ານຂຽນທັບ / ທໍາລາຍສ່ວນຫົວ (ຕົວຢ່າງ, ການຕິດຕັ້ງ GRUB2 ຢູ່ໃນພາທິຊັນ sda7, ແລະອື່ນໆ.), ຂໍ້ມູນທີ່ຖືກເຂົ້າລະຫັດຈະສູນເສຍໄປຫມົດໂດຍບໍ່ມີຄວາມເປັນໄປໄດ້ທີ່ຈະຟື້ນຕົວມັນ, ເພາະວ່າມັນເປັນໄປບໍ່ໄດ້ທີ່ຈະສ້າງລະຫັດດຽວກັນຄືນໃຫມ່; ກະແຈຖືກສ້າງຂື້ນຢ່າງເປັນເອກະລັກ.

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7 

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

ທາງເລືອກ:
* luksHeaderBackup —header-backup-file -backup ຄໍາສັ່ງ;
* luksHeaderRestore —header-backup-file -restore ຄໍາສັ່ງ;
* ~/Backup_DebSHIFR - ໄຟລ​໌​າ​ຮອງ​;
* /dev/sda7 - ການແບ່ງພາທິຊັນທີ່ເຂົ້າລະຫັດລັບຂອງ disk header ຈະຖືກບັນທຶກໄວ້.
ໃນ​ຂັ້ນ​ຕອນ​ນີ້ ແມ່ນ​ສໍາ​ເລັດ​.

B3. ກຳລັງພອດ GNU/Linux OS (sda4) ໄປຫາພາທິຊັນທີ່ຖືກເຂົ້າລະຫັດ (sda7)

ສ້າງໂຟນເດີ /mnt2 (ຫມາຍເຫດ - ພວກເຮົາຍັງເຮັດວຽກກັບ usb ສົດ, sda7_crypt ຖືກຕິດຕັ້ງຢູ່ /mnt), ແລະຕິດຕັ້ງ GNU/Linux ຂອງພວກເຮົາໃນ /mnt2, ເຊິ່ງຈໍາເປັນຕ້ອງໄດ້ເຂົ້າລະຫັດ.

mkdir /mnt2
mount /dev/sda4 /mnt2

ພວກເຮົາປະຕິບັດການໂອນ OS ທີ່ຖືກຕ້ອງໂດຍໃຊ້ຊອບແວ Rsync

rsync -avlxhHX --progress /mnt2/ /mnt

ຕົວເລືອກ Rsync ໄດ້ຖືກອະທິບາຍໄວ້ໃນວັກ E1.

ຕໍ່ໄປ, ແມ່ນມີຄວາມຈໍາເປັນ defragment ການແບ່ງສ່ວນຂອງແຜ່ນຢ່າງມີເຫດຜົນ

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

ເຮັດໃຫ້ມັນເປັນກົດລະບຽບ: ເຮັດ e4defrag ໃນ GNU / LInux ທີ່ເຂົ້າລະຫັດເປັນບາງຄັ້ງຄາວຖ້າທ່ານມີ HDD.
ການໂອນຍ້າຍ ແລະ synchronization [GNU/Linux > GNU/Linux-encrypted] ແມ່ນສໍາເລັດໃນຂັ້ນຕອນນີ້.

AT 4. ຕັ້ງຄ່າ GNU/Linux ໃນພາທິຊັນ sda7 ທີ່ເຂົ້າລະຫັດໄວ້

ຫຼັງ​ຈາກ​ທີ່​ສົບ​ຜົນ​ສໍາ​ເລັດ​ການ​ໂອນ OS /dev/sda4​> /dev/sda7​, ທ່ານ​ຈໍາ​ເປັນ​ຕ້ອງ​ເຂົ້າ​ສູ່​ລະ​ບົບ GNU / Linux ໃນ​ພາ​ທິ​ຊັນ​ເຂົ້າ​ລະ​ຫັດ​ແລະ​ປະ​ຕິ​ບັດ​ການ​ຕັ້ງ​ຄ່າ​ເພີ່ມ​ເຕີມ​. (ໂດຍ​ບໍ່​ມີ​ການ reboot PC​) ກ່ຽວຂ້ອງກັບລະບົບທີ່ຖືກເຂົ້າລະຫັດ. ນັ້ນແມ່ນ, ຢູ່ໃນ usb ສົດ, ແຕ່ປະຕິບັດຄໍາສັ່ງ "ກ່ຽວຂ້ອງກັບຮາກຂອງ OS ທີ່ຖືກເຂົ້າລະຫັດ." "chroot" ຈະຈໍາລອງສະຖານະການທີ່ຄ້າຍຄືກັນ. ເພື່ອຮັບຂໍ້ມູນຢ່າງໄວວາກ່ຽວກັບ OS ທີ່ທ່ານກຳລັງເຮັດວຽກຢູ່ (ເຂົ້າລະຫັດຫຼືບໍ່, ເພາະວ່າຂໍ້ມູນໃນ sda4 ແລະ sda7 ຖືກ synchronized), desynchronize OS. ສ້າງຢູ່ໃນໄດເລກະທໍລີຮາກ (sda4/sda7_crypt) ໄຟລ໌ເຄື່ອງຫມາຍຫວ່າງເປົ່າ, ຕົວຢ່າງ, /mnt/encryptedOS ແລະ /mnt2/decryptedOS. ກວດເບິ່ງຢ່າງໄວວ່າເຈົ້າຢູ່ໃນ OS ໃດ (ລວມເຖິງອະນາຄົດ):

ls /<Tab-Tab>

B4.1. "ການຈໍາລອງການເຂົ້າສູ່ລະບົບ OS ທີ່ເຂົ້າລະຫັດໄວ້"

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. ການກວດສອບວ່າການເຮັດວຽກແມ່ນດໍາເນີນຕໍ່ກັບລະບົບທີ່ຖືກເຂົ້າລະຫັດ

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. ການສ້າງ/ກຳນົດຄ່າ swap ທີ່ເຂົ້າລະຫັດໄວ້, ແກ້ໄຂ crypttab/fstabເນື່ອງຈາກໄຟລ໌ swap ຖືກຈັດຮູບແບບທຸກຄັ້ງທີ່ OS ເລີ່ມຕົ້ນ, ມັນບໍ່ມີຄວາມຫມາຍທີ່ຈະສ້າງ ແລະສ້າງແຜນທີ່ swap ກັບ logical disk ໃນປັດຈຸບັນ, ແລະພິມຄໍາສັ່ງໃນວັກ B2.2. ສໍາລັບ Swap, ກະແຈການເຂົ້າລະຫັດຊົ່ວຄາວຂອງຕົນເອງຈະຖືກສ້າງຂຶ້ນໂດຍອັດຕະໂນມັດໃນແຕ່ລະຄັ້ງເລີ່ມຕົ້ນ. ວົງຈອນຊີວິດຂອງກະແຈ swap: unmounting/unmounting swap partition (+ ການ​ທໍາ​ຄວາມ​ສະ​ອາດ RAM​); ຫຼື restart OS. ການຕັ້ງຄ່າ swap, ເປີດໄຟລ໌ທີ່ຮັບຜິດຊອບສໍາລັບການຕັ້ງຄ່າຂອງອຸປະກອນທີ່ຖືກເຂົ້າລະຫັດບລັອກ (ປຽບທຽບກັບໄຟລ໌ fstab, ແຕ່ຮັບຜິດຊອບສໍາລັບ crypto).

nano /etc/crypttab 

ພວກເຮົາແກ້ໄຂ

#"ຊື່ເປົ້າໝາຍ" "ອຸປະກອນແຫຼ່ງ" "ໄຟລ໌ສຳຄັນ" "ຕົວເລືອກ"
swap /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512

ທາງເລືອກ
* swap - ຊື່ແຜນທີ່ເມື່ອເຂົ້າລະຫັດ /dev/mapper/swap.
* /dev/sda8 - ໃຊ້ການແບ່ງປັນຢ່າງມີເຫດຜົນຂອງທ່ານເພື່ອແລກປ່ຽນ.
* /dev/urandom - ຜູ້ຜະລິດລະຫັດການເຂົ້າລະຫັດແບບສຸ່ມສໍາລັບການແລກປ່ຽນ (ດ້ວຍແຕ່ລະ OS boot ໃໝ່, ລະຫັດໃໝ່ຖືກສ້າງຂື້ນ). ເຄື່ອງກໍາເນີດ /dev/urandom ແມ່ນແບບສຸ່ມຫນ້ອຍກວ່າ /dev/random, ຫຼັງຈາກທີ່ທັງຫມົດ /dev/random ຖືກໃຊ້ໃນເວລາທີ່ເຮັດວຽກຢູ່ໃນສະຖານະການອັນຕະລາຍ. ເມື່ອໂຫຼດ OS, /dev/random ຊ້າລົງການໂຫຼດເປັນເວລາຫຼາຍ ± ນາທີ (ເບິ່ງ systemd-analyze).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -the partition ຮູ້ວ່າມັນເປັນ swap ແລະຖືກຈັດຮູບແບບ “ຕາມ”; ຂັ້ນຕອນການເຂົ້າລະຫັດ.

#Открываем и правим fstab
nano /etc/fstab

ພວກເຮົາແກ້ໄຂ

# ການແລກປ່ຽນຢູ່ / dev / sda8 ໃນລະຫວ່າງການຕິດຕັ້ງ
/dev/mapper/swap none swap sw 0 0

/dev/mapper/swap ແມ່ນຊື່ທີ່ຕັ້ງໄວ້ໃນ crypttab.

ສະຫຼັບການເຂົ້າລະຫັດທາງເລືອກ
ຖ້າສໍາລັບເຫດຜົນບາງຢ່າງທີ່ທ່ານບໍ່ຕ້ອງການທີ່ຈະປະຖິ້ມພາທິຊັນທັງຫມົດສໍາລັບໄຟລ໌ swap, ຫຼັງຈາກນັ້ນທ່ານສາມາດເປັນທາງເລືອກແລະວິທີທີ່ດີກວ່າ: ການສ້າງໄຟລ໌ swap ໃນໄຟລ໌ໃນພາທິຊັນທີ່ຖືກເຂົ້າລະຫັດກັບ OS.

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

ການ​ຕັ້ງ​ຄ່າ swap partition ແມ່ນ​ສໍາ​ເລັດ​.

B4.4. ຕັ້ງຄ່າ GNU/Linux ທີ່ເຂົ້າລະຫັດໄວ້ (ແກ້ໄຂໄຟລ໌ crypttab/fstab)ໄຟລ໌ /etc/crypttab, ດັ່ງທີ່ຂຽນໄວ້ຂ້າງເທິງ, ອະທິບາຍອຸປະກອນບລັອກທີ່ຖືກເຂົ້າລະຫັດທີ່ຖືກຕັ້ງຄ່າໃນລະຫວ່າງການບູດລະບົບ.

#правим /etc/crypttab 
nano /etc/crypttab 

ຖ້າເຈົ້າຈັບຄູ່ພາກສ່ວນ sda7>sda7_crypt ຄືກັບວັກ B2.1

# "ຊື່ເປົ້າຫມາຍ" "ອຸປະກອນແຫຼ່ງ" "ໄຟລ໌ທີ່ສໍາຄັນ" "ທາງເລືອກ"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

ຖ້າເຈົ້າຈັບຄູ່ພາກສ່ວນ sda7>sda7_crypt ຄືກັບວັກ B2.2

# "ຊື່ເປົ້າຫມາຍ" "ອຸປະກອນແຫຼ່ງ" "ໄຟລ໌ທີ່ສໍາຄັນ" "ທາງເລືອກ"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

ຖ້າທ່ານຈັບຄູ່ພາກສ່ວນ sda7>sda7_crypt ຄືກັບວັກ B2.1 ຫຼື B2.2, ແຕ່ບໍ່ຕ້ອງການໃສ່ລະຫັດຜ່ານໃຫມ່ເພື່ອປົດລັອກແລະບູດ OS, ຫຼັງຈາກນັ້ນແທນລະຫັດຜ່ານທ່ານສາມາດປ່ຽນລະຫັດລັບ / ໄຟລ໌ສຸ່ມໄດ້.

# "ຊື່ເປົ້າຫມາຍ" "ອຸປະກອນແຫຼ່ງ" "ໄຟລ໌ທີ່ສໍາຄັນ" "ທາງເລືອກ"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

ລາຍ​ລະ​ອຽດ
* none - ລາຍງານວ່າເມື່ອໂຫລດ OS, ການໃສ່ລະຫັດຜ່ານລັບແມ່ນຈໍາເປັນເພື່ອປົດລັອກຮາກ.
* UUID - ຕົວລະບຸການແບ່ງສ່ວນ. ເພື່ອຊອກຫາບັດປະຈຳຕົວຂອງເຈົ້າ, ພິມໃສ່ເຄື່ອງຈ່າຍເງິນ (ເຕືອນວ່າຈາກເວລານີ້ຕໍ່ໄປ, ທ່ານກໍາລັງເຮັດວຽກຢູ່ໃນ terminal ໃນສະພາບແວດລ້ອມ chroot, ແລະບໍ່ແມ່ນຢູ່ໃນ terminal usb ສົດອື່ນ).

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное 

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

ເສັ້ນນີ້ແມ່ນເຫັນໄດ້ໃນເວລາທີ່ຮ້ອງຂໍ blkid ຈາກ terminal usb ສົດທີ່ມີ sda7_crypt mounted).
ທ່ານເອົາ UUID ຈາກ sdaX ຂອງທ່ານ (ບໍ່ແມ່ນ sdaX_crypt!, UUID sdaX_crypt - ຈະຖືກປະໄວ້ໂດຍອັດຕະໂນມັດເມື່ອສ້າງການຕັ້ງຄ່າ grub.cfg).
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks ການເຂົ້າລະຫັດໃນໂໝດຂັ້ນສູງ.
* /etc/skey - ໄຟລ໌ລະຫັດລັບ, ເຊິ່ງຖືກໃສ່ໂດຍອັດຕະໂນມັດເພື່ອປົດລັອກ OS boot (ແທນທີ່ຈະໃສ່ລະຫັດຜ່ານທີ 3). ທ່ານສາມາດລະບຸໄຟລ໌ໃດໆເຖິງ 8MB, ແຕ່ຂໍ້ມູນຈະຖືກອ່ານ <1MB.

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7 

ມັນຈະມີລັກສະນະຄ້າຍຄືນີ້:

(ເຮັດມັນເອງແລະເບິ່ງຕົວເອງ).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab ມີຂໍ້ມູນອະທິບາຍກ່ຽວກັບລະບົບໄຟລ໌ຕ່າງໆ.

#Правим /etc/fstab
nano /etc/fstab

# "ລະບົບໄຟລ໌" "ຈຸດເຊື່ອມຕໍ່" "ປະເພດ" "ທາງເລືອກ" "ຖິ້ມ" "ຜ່ານ"
# / ຢູ່ໃນ / dev / sda7 ໃນລະຫວ່າງການຕິດຕັ້ງ
/dev/mapper/sda7_crypt / ext4 errors=remount-ro 0 1

ທາງເລືອກ
* /dev/mapper/sda7_crypt - ຊື່ຂອງແຜນທີ່ sda7>sda7_crypt, ເຊິ່ງຖືກລະບຸໄວ້ໃນໄຟລ໌ /etc/crypttab.
ການຕິດຕັ້ງ crypttab/fstab ສຳເລັດແລ້ວ.

B4.5. ການແກ້ໄຂໄຟລ໌ການຕັ້ງຄ່າ. ຊ່ວງເວລາສຳຄັນB4.5.1. ການແກ້ໄຂການຕັ້ງຄ່າ /etc/initramfs-tools/conf.d/resume

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

ແລະອອກຄໍາເຫັນ (ຖ້າມີ) "#" ແຖວ "ຊີວະປະຫວັດ". ໄຟລ໌ຕ້ອງຫວ່າງໝົດ.

B4.5.2. ການແກ້ໄຂການຕັ້ງຄ່າ /etc/initramfs-tools/conf.d/cryptsetup

nano /etc/initramfs-tools/conf.d/cryptsetup

ຄວນກົງກັນ

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=ແມ່ນ
ສົ່ງອອກ CRYPTSETUP

B4.5.3. ການແກ້ໄຂການຕັ້ງຄ່າ /etc/default/grub (ການຕັ້ງຄ່ານີ້ແມ່ນຮັບຜິດຊອບຕໍ່ຄວາມສາມາດໃນການສ້າງ grub.cfg ເມື່ອເຮັດວຽກກັບ /boot ທີ່ຖືກເຂົ້າລະຫັດ)

nano /etc/default/grub

ເພີ່ມແຖວ “GRUB_ENABLE_CRYPTODISK=y”
ຄ່າ 'y', grub-mkconfig ແລະ grub-install ຈະກວດສອບໄດຣຟ໌ທີ່ເຂົ້າລະຫັດໄວ້ ແລະສ້າງຄໍາສັ່ງເພີ່ມເຕີມທີ່ຈໍາເປັນເພື່ອເຂົ້າເຖິງພວກມັນໃນເວລາເປີດເຄື່ອງ. (insmods ).
ຕ້ອງມີຄວາມຄ້າຍຄືກັນ

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || ສຽງສະທ້ອນ Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=ຜູ້ຂາຍ"
GRUB_CMDLINE_LINUX="ງຽບ splash noautomount"
GRUB_ENABLE_CRYPTODISK=y

B4.5.4. ການແກ້ໄຂການຕັ້ງຄ່າ /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

ກວດເບິ່ງວ່າແຖວ ຖືກຂຽນຄຳເຫັນອອກ .
ໃນອະນາຄົດ (ແລະເຖິງແມ່ນວ່າໃນປັດຈຸບັນ, ພາລາມິເຕີນີ້ຈະບໍ່ມີຄວາມຫມາຍໃດໆ, ແຕ່ບາງຄັ້ງມັນແຊກແຊງກັບການປັບປຸງຮູບພາບ initrd.img).

B4.5.5. ການແກ້ໄຂການຕັ້ງຄ່າ /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

ເພີ່ມ

KEYFILE_PATTERN=”/etc/skey”
UMASK=0077

ນີ້ຈະບັນຈຸກະແຈລັບ "skey" ເຂົ້າໄປໃນ initrd.img, ລະຫັດແມ່ນຈໍາເປັນເພື່ອປົດລັອກຮາກໃນເວລາທີ່ OS boots. (ຖ້າ​ຫາກ​ວ່າ​ທ່ານ​ບໍ່​ຕ້ອງ​ການ​ທີ່​ຈະ​ໃສ່​ລະ​ຫັດ​ຜ່ານ​ອີກ​ເທື່ອ​ຫນຶ່ງ​, ກະ​ແຈ "skey​" ຖືກ​ປ່ຽນ​ແທນ​ສໍາ​ລັບ​ລົດ​)​.

B4.6. ອັບເດດ /boot/initrd.img [ລຸ້ນ]ເພື່ອບັນຈຸກະແຈລັບເຂົ້າໄປໃນ initrd.img ແລະນໍາໃຊ້ການແກ້ໄຂ cryptsetup, ອັບເດດຮູບພາບ

update-initramfs -u -k all

ເມື່ອອັບເດດ initrd.img (ຍ້ອນວ່າພວກເຂົາເວົ້າວ່າ "ມັນເປັນໄປໄດ້, ແຕ່ມັນບໍ່ແນ່ນອນ") ຄໍາເຕືອນທີ່ກ່ຽວຂ້ອງກັບ cryptsetup ຈະປາກົດ, ຫຼື, ສໍາລັບຕົວຢ່າງ, ການແຈ້ງເຕືອນກ່ຽວກັບການສູນເສຍໂມດູນ Nvidia - ນີ້ແມ່ນເລື່ອງປົກກະຕິ. ຫຼັງຈາກການປັບປຸງໄຟລ໌, ກວດເບິ່ງວ່າມັນໄດ້ຮັບການປັບປຸງຕົວຈິງແລ້ວ, ເບິ່ງເວລາ (ກ່ຽວຂ້ອງກັບສະພາບແວດລ້ອມ chroot./boot/initrd.img). ລະ​ມັດ​ລະ​ວັງ ກ່ອນ [update-initramfs -u -k all] ໃຫ້ແນ່ໃຈວ່າກວດເບິ່ງວ່າ cryptsetup ເປີດ /dev/sda7 sda7_crypt - ນີ້ແມ່ນຊື່ທີ່ປາກົດຢູ່ໃນ /etc/crypttab, ຖ້າບໍ່ດັ່ງນັ້ນຫຼັງຈາກ reboot ຈະມີຂໍ້ຜິດພາດກັບ busybox)
ໃນຂັ້ນຕອນນີ້, ການຕັ້ງຄ່າໄຟລ໌ການຕັ້ງຄ່າແມ່ນສໍາເລັດ.

[C] ການຕິດຕັ້ງ ແລະຕັ້ງຄ່າ GRUB2/Protection

C1. ຖ້າຈໍາເປັນ, ຈັດຮູບແບບພາທິຊັນສະເພາະສໍາລັບ bootloader (ພາທິຊັນຕ້ອງການຢ່າງຫນ້ອຍ 20MB)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. ເຊື່ອມຕໍ່ /dev/sda6 ກັບ /mntດັ່ງນັ້ນພວກເຮົາເຮັດວຽກຢູ່ໃນ chroot, ຫຼັງຈາກນັ້ນຈະບໍ່ມີໄດເລກະທໍລີ / mnt2 ໃນຮາກ, ແລະໂຟນເດີ / mnt ຈະຫວ່າງເປົ່າ.
ຕິດຕັ້ງພາທິຊັນ GRUB2

mount /dev/sda6 /mnt

ຖ້າທ່ານມີ GRUB2 ລຸ້ນເກົ່າທີ່ຕິດຕັ້ງ, ໃນໄດເລກະທໍລີ /mnt/boot/grub/i-386-pc (ເວທີອື່ນແມ່ນເປັນໄປໄດ້, ຕົວຢ່າງ, ບໍ່ແມ່ນ "i386-pc") ບໍ່ມີໂມດູນ crypto (ໃນສັ້ນ, ໂຟນເດີຄວນມີໂມດູນ, ລວມທັງ .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), ໃນກໍລະນີນີ້, GRUB2 ຕ້ອງໄດ້ຮັບການສັ່ນສະເທືອນ.

apt-get update
apt-get install grub2 

ສຳຄັນ! ເມື່ອອັບເດດຊຸດ GRUB2 ຈາກບ່ອນເກັບມ້ຽນ, ເມື່ອຖືກຖາມວ່າ "ກ່ຽວກັບການເລືອກ" ບ່ອນທີ່ຈະຕິດຕັ້ງ bootloader, ທ່ານຕ້ອງປະຕິເສດການຕິດຕັ້ງ. (ເຫດຜົນ - ພະຍາຍາມຕິດຕັ້ງ GRUB2 - ໃນ "MBR" ຫຼືຢູ່ໃນ usb ສົດ). ຖ້າບໍ່ດັ່ງນັ້ນທ່ານຈະທໍາລາຍຫົວ / ຕົວໂຫຼດ VeraCrypt. ຫຼັງຈາກການປັບປຸງແພັກເກັດ GRUB2 ແລະຍົກເລີກການຕິດຕັ້ງ, boot loader ຕ້ອງໄດ້ຮັບການຕິດຕັ້ງດ້ວຍຕົນເອງໃນ logical disk, ແລະບໍ່ແມ່ນຢູ່ໃນ MBR. ຖ້າບ່ອນເກັບມ້ຽນຂອງເຈົ້າມີ GRUB2 ລຸ້ນເກົ່າ, ລອງໃຊ້ ອັບເດດ ມັນມາຈາກເວັບໄຊທ໌ທາງການ - ບໍ່ໄດ້ກວດເບິ່ງມັນ (ໃຊ້ໄດ້ກັບ GRUB 2.02 ~BetaX bootloaders ຫຼ້າສຸດ).

C3. ການຕິດຕັ້ງ GRUB2 ເຂົ້າໄປໃນພາທິຊັນຂະຫຍາຍ [sda6]ທ່ານຕ້ອງມີພາທິຊັນທີ່ຕິດຢູ່ [ລາຍການ C.2]

grub-install --force --root-directory=/mnt /dev/sda6

ທາງເລືອກ
* —force - ການ​ຕິດ​ຕັ້ງ​ຂອງ bootloader​, bypassing ການ​ເຕືອນ​ໄພ​ທັງ​ຫມົດ​ທີ່​ເກືອບ​ສະ​ເຫມີ​ໄປ​ແລະ​ການ​ຕິດ​ຕັ້ງ​ຕັນ​ (ຕ້ອງການທຸງ).
* --root-directory - ຕັ້ງໄດເລກະທໍລີ ເປັນ root ຂອງ sda6.
* /dev/sda6 - ການແບ່ງສ່ວນ sdaХ ຂອງທ່ານ (ຢ່າພາດ ລະຫວ່າງ /mnt /dev/sda6).

C4. ການສ້າງໄຟລ໌ການຕັ້ງຄ່າ [grub.cfg]ລືມກ່ຽວກັບຄໍາສັ່ງ "update-grub2", ແລະໃຊ້ຄໍາສັ່ງສ້າງໄຟລ໌ການຕັ້ງຄ່າເຕັມ

grub-mkconfig -o /mnt/boot/grub/grub.cfg

ຫຼັງ​ຈາກ​ການ​ສໍາ​ເລັດ​ການ​ຜະ​ລິດ / ການ​ປັບ​ປຸງ​ຂອງ​ໄຟລ​໌ grub.cfg​, terminal ຜົນ​ຜະ​ລິດ​ຄວນ​ຈະ​ມີ​ແຖວ (s​) ທີ່​ມີ OS ທີ່​ພົບ​ເຫັນ​ຢູ່​ໃນ​ແຜ່ນ​ໄດ້​. (“grub-mkconfig” ອາດຈະຊອກຫາແລະເອົາ OS ຈາກ usb ທີ່ມີຊີວິດ, ຖ້າທ່ານມີ multiboot flash drive ກັບ Windows 10 ແລະການແຈກຢາຍສົດ - ນີ້ແມ່ນເລື່ອງປົກກະຕິ). ຖ້າ terminal ແມ່ນ "ຫວ່າງເປົ່າ" ແລະໄຟລ໌ "grub.cfg" ບໍ່ໄດ້ຖືກສ້າງຂຶ້ນ, ນີ້ແມ່ນກໍລະນີດຽວກັນເມື່ອມີແມງໄມ້ GRUB ໃນລະບົບ. (ແລະສ່ວນຫຼາຍອາດຈະເປັນ loader ຈາກສາຂາການທົດສອບຂອງ repository), ຕິດຕັ້ງ GRUB2 ຄືນໃໝ່ຈາກແຫຼ່ງທີ່ເຊື່ອຖືໄດ້.
ການຕິດຕັ້ງ "ການຕັ້ງຄ່າງ່າຍດາຍ" ແລະການຕິດຕັ້ງ GRUB2 ແມ່ນສໍາເລັດ.

C5. ການທົດສອບຫຼັກຖານສະແດງຂອງ GNU/Linux OS ທີ່ເຂົ້າລະຫັດໄວ້ພວກເຮົາເຮັດສໍາເລັດພາລະກິດ crypto ຢ່າງຖືກຕ້ອງ. ອອກ GNU/Linux ທີ່ເຂົ້າລະຫັດໄວ້ຢ່າງລະມັດລະວັງ (ອອກຈາກສະພາບແວດລ້ອມ chroot).

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

ຫຼັງຈາກປິດເປີດ PC, VeraCrypt bootloader ຄວນໂຫລດ.


*ການ​ໃສ່​ລະ​ຫັດ​ຜ່ານ​ສໍາ​ລັບ​ການ​ແບ່ງ​ປັນ​ການ​ເຄື່ອນ​ໄຫວ​ຈະ​ເລີ່ມ​ຕົ້ນ​ການ​ໂຫຼດ Windows​.
*ການກົດປຸ່ມ "Esc" ຈະໂອນການຄວບຄຸມໄປຫາ GRUB2, ຖ້າທ່ານເລືອກ GNU/Linux ທີ່ຖືກເຂົ້າລະຫັດ - ລະຫັດຜ່ານ (sda7_crypt) ຈະຖືກຮຽກຮ້ອງໃຫ້ປົດລັອກ /boot/initrd.img (ຖ້າ grub2 ຂຽນ uuid "ບໍ່ພົບ" - ນີ້ແມ່ນ ບັນຫາກັບ grub2 bootloader, ມັນຄວນຈະຖືກຕິດຕັ້ງໃຫມ່, ເຊັ່ນ: ຈາກສາຂາທົດສອບ / ສະຖຽນລະພາບແລະອື່ນໆ).


*ຂຶ້ນກັບວິທີທີ່ທ່ານຕັ້ງຄ່າລະບົບ (ເບິ່ງວັກ B4.4/4.5), ຫຼັງຈາກໃສ່ລະຫັດຜ່ານທີ່ຖືກຕ້ອງເພື່ອປົດລັອກຮູບພາບ /boot/initrd.img, ທ່ານຈະຕ້ອງມີລະຫັດຜ່ານເພື່ອໂຫລດ OS kernel/root, ຫຼືຄວາມລັບ. key ຈະຖືກປ່ຽນແທນອັດຕະໂນມັດ "skey", ລົບລ້າງຄວາມຕ້ອງການທີ່ຈະໃສ່ລະຫັດຜ່ານໃຫມ່.

(ຫນ້າຈໍ "ການທົດແທນອັດຕະໂນມັດຂອງກະແຈລັບ").

*ຕໍ່ໄປຈະເປັນຂະບວນການທີ່ຄຸ້ນເຄີຍໃນການໂຫຼດ GNU/Linux ດ້ວຍການພິສູດຢືນຢັນບັນຊີຜູ້ໃຊ້.


* ຫຼັງ​ຈາກ​ການ​ອະ​ນຸ​ຍາດ​ຜູ້​ໃຊ້​ແລະ​ເຂົ້າ​ສູ່​ລະ​ບົບ OS​, ທ່ານ​ຈໍາ​ເປັນ​ຕ້ອງ​ໄດ້​ປັບ​ປຸງ /boot/initrd.img ອີກ​ເທື່ອ​ຫນຶ່ງ (ເບິ່ງ B4.6).

update-initramfs -u -k all

ແລະໃນກໍລະນີຂອງເສັ້ນພິເສດໃນເມນູ GRUB2 (ຈາກ OS-m pickup ກັບ usb ສົດ) ກໍາຈັດພວກມັນ

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

ສະຫຼຸບຫຍໍ້ຂອງການເຂົ້າລະຫັດລະບົບ GNU/Linux:

• GNU/Linuxinux ຖືກເຂົ້າລະຫັດຢ່າງເຕັມສ່ວນ, ລວມທັງ /boot/kernel ແລະ initrd;
• ກະແຈລັບຖືກບັນຈຸຢູ່ໃນ initrd.img;
• ໂຄງ​ການ​ອະ​ນຸ​ຍາດ​ໃນ​ປັດ​ຈຸ​ບັນ​ (ໃສ່ລະຫັດຜ່ານເພື່ອປົດລັອກ initrd; ລະຫັດຜ່ານ / ລະຫັດເພື່ອບູດ OS; ລະຫັດຜ່ານສໍາລັບການອະນຸຍາດບັນຊີ Linux).

ການເຂົ້າລະຫັດລະບົບ "ການຕັ້ງຄ່າ GRUB2 ງ່າຍດາຍ" ຂອງການແບ່ງປັນບລັອກແມ່ນສໍາເລັດ.

C6. ການຕັ້ງຄ່າຂັ້ນສູງ GRUB2. ການປົກປ້ອງ Bootloader ດ້ວຍລາຍເຊັນດິຈິຕອນ + ການປົກປ້ອງການພິສູດຢືນຢັນGNU/Linux ຖືກເຂົ້າລະຫັດຢ່າງສົມບູນ, ແຕ່ bootloader ບໍ່ສາມາດເຂົ້າລະຫັດໄດ້ - ເງື່ອນໄຂນີ້ແມ່ນກໍານົດໂດຍ BIOS. ດ້ວຍເຫດຜົນນີ້, ການໃສ່ເກີບເຂົ້າລະຫັດແບບຕ່ອງໂສ້ຂອງ GRUB2 ແມ່ນເປັນໄປບໍ່ໄດ້, ແຕ່ການໃສ່ເກີບແບບຕ່ອງໂສ້ແບບງ່າຍໆແມ່ນເປັນໄປໄດ້ / ມີຢູ່, ແຕ່ໃນແງ່ຂອງຄວາມປອດໄພມັນບໍ່ຈໍາເປັນ [ເບິ່ງ. P. F].
ສໍາລັບ GRUB2 ທີ່ "ມີຄວາມສ່ຽງ", ຜູ້ພັດທະນາໄດ້ປະຕິບັດ "ລາຍເຊັນ / ການກວດສອບຄວາມຖືກຕ້ອງ" algorithm ການປົກປ້ອງ bootloader.

• ເມື່ອ bootloader ຖືກປົກປ້ອງໂດຍ "ລາຍເຊັນດິຈິຕອນຂອງຕົນເອງ," ການແກ້ໄຂໄຟລ໌ພາຍນອກ, ຫຼືຄວາມພະຍາຍາມທີ່ຈະໂຫລດໂມດູນເພີ່ມເຕີມໃນ bootloader ນີ້, ຈະນໍາໄປສູ່ຂະບວນການ boot ທີ່ຖືກບລັອກ.
• ເມື່ອປົກປ້ອງ bootloader ດ້ວຍການກວດສອບຄວາມຖືກຕ້ອງ, ເພື່ອເລືອກການໂຫຼດການແຈກຢາຍ, ຫຼືໃສ່ຄໍາສັ່ງເພີ່ມເຕີມໃນ CLI, ທ່ານຈະຕ້ອງໃສ່ການເຂົ້າສູ່ລະບົບແລະລະຫັດຜ່ານຂອງ superuser-GRUB2.

C6.1. ການປົກປ້ອງການພິສູດຢືນຢັນ Bootloaderກວດເບິ່ງວ່າທ່ານກໍາລັງເຮັດວຽກຢູ່ໃນ terminal ຢູ່ໃນ OS ທີ່ຖືກເຂົ້າລະຫັດ

ls /<Tab-Tab> #обнаружить файл-маркер

ສ້າງລະຫັດຜ່ານ superuser ສໍາລັບການອະນຸຍາດໃນ GRUB2

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. 

ເອົາ​ລະ​ຫັດ​ຜ່ານ hash​. ບາງສິ່ງບາງຢ່າງເຊັ່ນນີ້

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

ຕິດຕັ້ງສ່ວນແບ່ງ GRUB

mount /dev/sda6 /mnt 

ແກ້ໄຂການຕັ້ງຄ່າ

nano -$ /mnt/boot/grub/grub.cfg 

ກວດເບິ່ງການຊອກຫາໄຟລ໌ວ່າບໍ່ມີທຸງຢູ່ບ່ອນໃດໃນ “grub.cfg” (“-unrestricted” “-user”,
ຕື່ມ​ໃນ​ທີ່​ສຸດ​ (ກ່ອນແຖວ ### END /etc/grub.d/41_custom ###)
"ຕັ້ງ superusers = "ຮາກ"
password_pbkdf2 root hash."

ມັນຄວນຈະເປັນບາງສິ່ງບາງຢ່າງເຊັ່ນນີ້

# ໄຟລ໌ນີ້ໃຫ້ວິທີທີ່ງ່າຍໃນການເພີ່ມລາຍການເມນູແບບກຳນົດເອງ. ພຽງແຕ່ພິມ
# ລາຍການເມນູທີ່ທ່ານຕ້ອງການເພີ່ມຫຼັງຈາກຄຳເຫັນນີ້. ຈົ່ງລະວັງບໍ່ໃຫ້ປ່ຽນແປງ
# ສາຍ 'ຫາງ exec' ຂ້າງເທິງ.
### END /etc/grub.d/40_custom ###

### BEGIN /etc/grub.d/41_custom ###
ຖ້າ [ -f ${config_directory}/custom.cfg ]; ແລ້ວ
ທີ່ມາ ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; ແລ້ວ
ແຫຼ່ງ $prefix/custom.cfg;
fi
ຕັ້ງ superusers = "ຮາກ"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

ຖ້າທ່ານມັກໃຊ້ຄໍາສັ່ງ "grub-mkconfig -o /mnt/boot/grub/grub.cfg" ແລະບໍ່ຕ້ອງການປ່ຽນແປງ grub.cfg ທຸກໆຄັ້ງ, ໃສ່ເສັ້ນຂ້າງເທິງ. (ເຂົ້າສູ່ລະບົບ: ລະຫັດຜ່ານ) ໃນສະຄຣິບຜູ້ໃຊ້ GRUB ຢູ່ລຸ່ມສຸດ

nano /etc/grub.d/41_custom 

cat <<EOF
ຕັ້ງ superusers = "ຮາກ"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

ເມື່ອສ້າງການຕັ້ງຄ່າ "grub-mkconfig -o /mnt/boot/grub/grub.cfg", ສາຍທີ່ຮັບຜິດຊອບສໍາລັບການພິສູດຢືນຢັນຈະຖືກເພີ່ມໃສ່ grub.cfg ໂດຍອັດຕະໂນມັດ.
ຂັ້ນ​ຕອນ​ນີ້​ເຮັດ​ສໍາ​ເລັດ​ການ​ຕິດ​ຕັ້ງ​ການ​ກວດ​ສອບ GRUB2.

C6.2. ການປົກປ້ອງ Bootloader ດ້ວຍລາຍເຊັນດິຈິຕອນສົມມຸດວ່າທ່ານມີລະຫັດການເຂົ້າລະຫັດ pgp ສ່ວນຕົວຂອງທ່ານແລ້ວ (ຫຼືສ້າງລະຫັດດັ່ງກ່າວ). ລະບົບຕ້ອງມີຊອບແວ cryptographic ຕິດຕັ້ງ: gnuPG; kleopatra/GPA; ມ້າທະເລ. ຊອບແວ Crypto ຈະເຮັດໃຫ້ຊີວິດຂອງທ່ານງ່າຍຂຶ້ນຫຼາຍໃນທຸກເລື່ອງດັ່ງກ່າວ. Seahorse - ສະບັບທີ່ຫມັ້ນຄົງຂອງຊຸດ 3.14.0 (ຮຸ່ນທີ່ສູງກວ່າ, ສໍາລັບການຍົກຕົວຢ່າງ, V3.20, ມີຂໍ້ບົກພ່ອງແລະມີຂໍ້ບົກພ່ອງທີ່ສໍາຄັນ).

ປຸ່ມ PGP ຈໍາເປັນຕ້ອງຖືກສ້າງ / ເປີດຕົວ / ເພີ່ມພຽງແຕ່ໃນສະພາບແວດລ້ອມ su!

ສ້າງລະຫັດການເຂົ້າລະຫັດສ່ວນຕົວ

gpg - -gen-key

ສົ່ງອອກກະແຈຂອງເຈົ້າ

gpg --export -o ~/perskey

ເຊື່ອມຕໍ່ logical disk ໃນ OS ຖ້າມັນບໍ່ໄດ້ຕິດຕັ້ງແລ້ວ

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

ເຮັດຄວາມສະອາດພາທິຊັນ GRUB2

rm -rf /mnt/

ຕິດຕັ້ງ GRUB2 ໃນ sda6, ໃສ່ກະແຈສ່ວນຕົວຂອງທ່ານໃນຮູບ GRUB ຫຼັກ "core.img"

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

ທາງເລືອກ
* --force - ຕິດຕັ້ງ bootloader, ຂ້າມຄໍາເຕືອນທັງຫມົດທີ່ຢູ່ສະເຫມີ (ຕ້ອງການທຸງ).
* —modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - ສັ່ງໃຫ້ GRUB2 ໂຫຼດໂມດູນທີ່ຈໍາເປັນໄວ້ລ່ວງໜ້າເມື່ອ PC ເລີ່ມຕົ້ນ.
* -k ~/perskey -ເສັ້ນທາງໄປຫາ “ກະແຈ PGP” (ຫຼັງຈາກການຫຸ້ມຫໍ່ທີ່ສໍາຄັນເຂົ້າໄປໃນຮູບພາບ, ມັນສາມາດຖືກລຶບ).
* --root-directory -ຕັ້ງໄດເລກະທໍລີ boot ເປັນ root ຂອງ sda6
/dev/sda6 - ການແບ່ງສ່ວນ sdaX ຂອງທ່ານ.

ກຳລັງສ້າງ/ອັບເດດ grub.cfg

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

ເພີ່ມເສັ້ນ “trust /boot/grub/perskey” ໃສ່ທ້າຍຂອງໄຟລ໌ “grub.cfg” (ບັງຄັບໃຊ້ປຸ່ມ pgp.) ນັບຕັ້ງແຕ່ພວກເຮົາໄດ້ຕິດຕັ້ງ GRUB2 ດ້ວຍຊຸດຂອງໂມດູນ, ລວມທັງໂມດູນລາຍເຊັນ "signature_test.mod", ນີ້ຈະລົບລ້າງຄວາມຕ້ອງການທີ່ຈະເພີ່ມຄໍາສັ່ງເຊັ່ນ "set check_signatures=enforce" ກັບ config.

ມັນຄວນຈະມີລັກສະນະຄ້າຍຄືນີ້ (ເສັ້ນສິ້ນສຸດໃນໄຟລ໌ grub.cfg)

### BEGIN /etc/grub.d/41_custom ###
ຖ້າ [ -f ${config_directory}/custom.cfg ]; ແລ້ວ
ທີ່ມາ ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; ແລ້ວ
ແຫຼ່ງ $prefix/custom.cfg;
fi
ໄວ້ໃຈ /boot/grub/perskey
ຕັ້ງ superusers = "ຮາກ"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

ເສັ້ນທາງໄປຫາ "/boot/grub/perskey" ບໍ່ຈໍາເປັນຕ້ອງຖືກຊີ້ໄປຫາການແບ່ງປັນແຜ່ນສະເພາະ, ຕົວຢ່າງ hd0,6; ສໍາລັບ bootloader ຕົວມັນເອງ, "ຮາກ" ແມ່ນເສັ້ນທາງເລີ່ມຕົ້ນຂອງພາທິຊັນທີ່ GRUB2 ຖືກຕິດຕັ້ງ. (ເບິ່ງ set rot=..).

ເຊັນຊື່ GRUB2 (ໄຟລ໌ທັງໝົດຢູ່ໃນທຸກລະບົບ /GRUB) ດ້ວຍລະຫັດ "perskey" ຂອງທ່ານ.
ການແກ້ໄຂງ່າຍໆກ່ຽວກັບວິທີການເຊັນຊື່ (ສໍາ​ລັບ nautilus/caja explorer): ຕິດຕັ້ງສ່ວນຂະຫຍາຍ "seahorse" ສໍາລັບ Explorer ຈາກ repository. ກະແຈຂອງເຈົ້າຕ້ອງຖືກເພີ່ມໃສ່ສະພາບແວດລ້ອມ su.
ເປີດ Explorer ດ້ວຍ sudo “/mnt/boot” – RMB – sign. ໃນຫນ້າຈໍມັນເບິ່ງຄືວ່ານີ້

ກຸນແຈຕົວມັນເອງແມ່ນ “/mnt/boot/grub/perskey” (ສໍາ​ເນົາ​ກັບ grub directory​) ຍັງຕ້ອງໄດ້ເຊັນດ້ວຍລາຍເຊັນຂອງທ່ານເອງ. ກວດເບິ່ງວ່າລາຍເຊັນໄຟລ໌ [*.sig] ປາກົດຢູ່ໃນໄດເລກະທໍລີ/ໄດເລກະທໍລີຍ່ອຍ.
ການນໍາໃຊ້ວິທີການອະທິບາຍຂ້າງເທິງ, ເຊັນ “/boot” (ແກ່ນຂອງພວກເຮົາ, initrd). ຖ້າເວລາຂອງເຈົ້າມີຄ່າຫຍັງ, ວິທີການນີ້ຈະລົບລ້າງຄວາມຕ້ອງການທີ່ຈະຂຽນ bash script ເພື່ອເຊັນ "ໄຟລ໌ຈໍານວນຫລາຍ."

ເພື່ອເອົາລາຍເຊັນ bootloader ທັງໝົດອອກ (ຖ້າມີບາງຢ່າງຜິດພາດ)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

ເພື່ອບໍ່ໃຫ້ເຂົ້າສູ່ລະບົບ bootloader ຫຼັງຈາກອັບເດດລະບົບ, ພວກເຮົາຈຶ້ງແພັກເກັດອັບເດດທັງໝົດທີ່ກ່ຽວຂ້ອງກັບ GRUB2.

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

ໃນຂັ້ນຕອນນີ້ ການຕັ້ງຄ່າຂັ້ນສູງຂອງ GRUB2 ແມ່ນສໍາເລັດ.

C6.3. ການທົດສອບຫຼັກຖານສະແດງຂອງ GRUB2 bootloader, ປ້ອງກັນໂດຍລາຍເຊັນດິຈິຕອນແລະການກວດສອບຄວາມຖືກຕ້ອງGRUB2. ເມື່ອເລືອກການແຈກຢາຍ GNU/Linux ຫຼືເຂົ້າ CLI (ເສັ້ນ​ຄໍາ​ສັ່ງ​) ຈະຕ້ອງມີການອະນຸຍາດ Superuser. ຫຼັງຈາກໃສ່ຊື່ຜູ້ໃຊ້ / ລະຫັດຜ່ານທີ່ຖືກຕ້ອງ, ທ່ານຈະຕ້ອງການລະຫັດຜ່ານ initrd

ພາບຫນ້າຈໍຂອງການພິສູດຢືນຢັນສົບຜົນສໍາເລັດຂອງ superuser GRUB2.

ຖ້າ​ຫາກ​ວ່າ​ທ່ານ​ແກ້​ໄຂ​ໃດໆ​ຂອງ​ໄຟລ​໌ GRUB2 / ເຮັດ​ການ​ປ່ຽນ​ແປງ grub.cfg​, ຫຼື​ລົບ​ໄຟລ​໌ / ລາຍ​ເຊັນ​, ຫຼື​ໂຫຼດ module.mod ເປັນ​ອັນ​ຕະ​ລາຍ​, ຄໍາ​ເຕືອນ​ທີ່​ສອດ​ຄ້ອງ​ກັນ​ຈະ​ປາ​ກົດ​ຂຶ້ນ​. GRUB2 ຈະຢຸດການໂຫຼດຊົ່ວຄາວ.

ພາບຫນ້າຈໍ, ຄວາມພະຍາຍາມທີ່ຈະແຊກແຊງ GRUB2 "ຈາກພາຍນອກ".

ໃນລະຫວ່າງການເປີດ "ປົກກະຕິ" "ໂດຍບໍ່ມີການບຸກລຸກ", ສະຖານະລະຫັດອອກຈາກລະບົບແມ່ນ "0". ດັ່ງນັ້ນ, ມັນບໍ່ຮູ້ວ່າການປ້ອງກັນເຮັດວຽກຫຼືບໍ່ (ນັ້ນ​ແມ່ນ, "ມີ​ຫຼື​ບໍ່​ມີ​ການ​ປົກ​ປ້ອງ​ລາຍ​ເຊັນ bootloader​" ໃນ​ລະ​ຫວ່າງ​ການ​ໂຫຼດ​ປົກ​ກະ​ຕິ​ສະ​ຖາ​ນະ​ພາບ​ແມ່ນ "0​" ດຽວ​ກັນ - ນີ້​ແມ່ນ​ບໍ່​ດີ).

ວິທີການກວດສອບການປົກປ້ອງລາຍເຊັນດິຈິຕອນ?

ວິທີທີ່ບໍ່ສະດວກໃນການກວດສອບ: ປອມ/ເອົາໂມດູນທີ່ໃຊ້ໂດຍ GRUB2, ຕົວຢ່າງ, ເອົາລາຍເຊັນ luks.mod.sig ອອກແລ້ວເກີດຄວາມຜິດພາດ.

ວິທີທີ່ຖືກຕ້ອງ: ໄປທີ່ bootloader CLI ແລະພິມຄໍາສັ່ງ

trust_list

ໃນການຕອບໂຕ້, ທ່ານຄວນໄດ້ຮັບລາຍນິ້ວມື “perskey”; ຖ້າສະຖານະແມ່ນ “0,” ການປ້ອງກັນລາຍເຊັນບໍ່ໄດ້ເຮັດວຽກ, ໃຫ້ກວດເບິ່ງວັກ C6.2 ສອງຄັ້ງ.
ໃນຂັ້ນຕອນນີ້, ການຕັ້ງຄ່າຂັ້ນສູງ “ການປົກປ້ອງ GRUB2 ດ້ວຍລາຍເຊັນດິຈິຕອນ ແລະການກວດສອບຄວາມຖືກຕ້ອງ” ແມ່ນສໍາເລັດ.

C7 ວິທີທາງເລືອກໃນການປົກປ້ອງ GRUB2 bootloader ໂດຍໃຊ້ hashingວິທີການ "CPU Boot Loader Protection/Authentication" ທີ່ອະທິບາຍຂ້າງເທິງແມ່ນແບບຄລາສສິກ. ເນື່ອງຈາກຄວາມບໍ່ສົມບູນແບບຂອງ GRUB2, ໃນເງື່ອນໄຂ paranoid ມັນມີຄວາມອ່ອນໄຫວຕໍ່ກັບການໂຈມຕີທີ່ແທ້ຈິງ, ເຊິ່ງຂ້າພະເຈົ້າຈະໃຫ້ຂ້າງລຸ່ມນີ້ໃນວັກ [F]. ນອກຈາກນັ້ນ, ຫຼັງຈາກການປັບປຸງ OS/kernel, bootloader ຕ້ອງໄດ້ຮັບການເຊັນໃຫມ່.

ການປົກປ້ອງ GRUB2 bootloader ໂດຍໃຊ້ hashing

ຂໍ້ໄດ້ປຽບຂອງຄລາສສິກ:

• ລະດັບຄວາມຫນ້າເຊື່ອຖືທີ່ສູງຂຶ້ນ (hashing/verification ເກີດຂຶ້ນຈາກຊັບພະຍາກອນທ້ອງຖິ່ນທີ່ຖືກເຂົ້າລະຫັດເທົ່ານັ້ນ. ການແບ່ງສ່ວນແບ່ງທັງໝົດພາຍໃຕ້ GRUB2 ແມ່ນຖືກຄວບຄຸມສໍາລັບການປ່ຽນແປງໃດໆ, ແລະທຸກສິ່ງທຸກຢ່າງອື່ນຈະຖືກເຂົ້າລະຫັດ; ໃນໂຄງການຄລາສສິກທີ່ມີ CPU loader protection/Authentication, ມີພຽງແຕ່ໄຟລ໌ທີ່ຖືກຄວບຄຸມ, ແຕ່ບໍ່ແມ່ນບໍ່ເສຍຄ່າ. ຊ່ອງ, ໃນທີ່ "ບາງສິ່ງບາງຢ່າງ" ບາງສິ່ງບາງຢ່າງທີ່ຂີ້ຮ້າຍ" ສາມາດເພີ່ມ).
• ການບັນທຶກເຂົ້າລະຫັດ (ບັນທຶກການເຂົ້າລະຫັດສ່ວນຕົວທີ່ມະນຸດສາມາດອ່ານໄດ້ແມ່ນໄດ້ຖືກເພີ່ມເຂົ້າໃນໂຄງການ).
• ຄວາມໄວ (ການ​ປົກ​ປ້ອງ / ການ​ຢັ້ງ​ຢືນ​ຂອງ​ການ​ແບ່ງ​ປັນ​ທັງ​ຫມົດ​ທີ່​ຈັດ​ສັນ​ສໍາ​ລັບ GRUB2 ເກີດ​ຂຶ້ນ​ເກືອບ​ທັນ​ທີ​)​.
• ອັດຕະໂນມັດຂອງຂະບວນການເຂົ້າລະຫັດທັງຫມົດ.

ຂໍ້ເສຍຫຼາຍກວ່າຄລາສສິກ.

• ການ​ປອມ​ແປງ​ລາຍ​ເຊັນ​ (ທາງທິດສະດີ, ມັນເປັນໄປໄດ້ທີ່ຈະຊອກຫາການ collision ຫນ້າທີ່ hash ທີ່ໃຫ້).
• ລະດັບຄວາມຫຍຸ້ງຍາກເພີ່ມຂຶ້ນ (ເມື່ອປຽບທຽບກັບຄລາສສິກ, ຕ້ອງມີທັກສະເພີ່ມເຕີມເລັກນ້ອຍໃນ GNU/Linux OS).

ຄວາມຄິດຂອງ GRUB2/partition hashing ເຮັດວຽກແນວໃດ

ການແບ່ງພາຕິຊັນ GRUB2 ແມ່ນ "ເຊັນ"; ເມື່ອ OS boots, boot loader partition ຈະຖືກກວດສອບວ່າບໍ່ສາມາດປ່ຽນແປງໄດ້, ຕິດຕາມດ້ວຍການເຂົ້າສູ່ລະບົບທີ່ປອດໄພ (ເຂົ້າລະຫັດ). ຖ້າ bootloader ຫຼືພາທິຊັນຂອງມັນຖືກທໍາລາຍ, ນອກເຫນືອຈາກບັນທຶກການບຸກລຸກ, ສິ່ງຕໍ່ໄປນີ້ຈະຖືກເປີດຕົວ:

ສິ່ງ.

ການກວດສອບທີ່ຄ້າຍຄືກັນເກີດຂຶ້ນສີ່ຄັ້ງຕໍ່ມື້, ເຊິ່ງບໍ່ໄດ້ໂຫລດຊັບພະຍາກອນຂອງລະບົບ.
ການນໍາໃຊ້ຄໍາສັ່ງ “-$ check_GRUB”, ການກວດສອບທັນທີເກີດຂຶ້ນໄດ້ທຸກເວລາໂດຍບໍ່ມີການບັນທຶກ, ແຕ່ມີຂໍ້ມູນອອກໄປຫາ CLI.
ການນໍາໃຊ້ຄໍາສັ່ງ “-$ sudo signature_GRUB”, GRUB2 boot loader/partition ໄດ້ຖືກເຊັນໃຫມ່ທັນທີແລະບັນທຶກການປັບປຸງຂອງມັນ. (ຈຳເປັນຫຼັງຈາກອັບເດດ OS/boot), ແລະຊີວິດຕໍ່ໄປ.

ການປະຕິບັດວິທີການ hashing ສໍາລັບ bootloader ແລະພາກສ່ວນຂອງມັນ

0) ໃຫ້ເຊັນຊື່ GRUB bootloader/partition ໂດຍການຕິດຕັ້ງມັນຄັ້ງທໍາອິດໃນ /media/username

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) ພວກເຮົາສ້າງສະຄຣິບທີ່ບໍ່ມີສ່ວນຂະຫຍາຍຢູ່ໃນຮາກຂອງ OS ທີ່ຖືກເຂົ້າລະຫັດ ~/podpis, ນຳໃຊ້ສິດທິຄວາມປອດໄພ 744 ທີ່ຈໍາເປັນ ແລະການປົກປ້ອງທີ່ໂງ່ກັບມັນ.

ການຕື່ມເນື້ອໃນຂອງມັນ

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

ແລ່ນສະຄຣິບຈາກ su, hashing ຂອງ GRUB partition ແລະ bootloader ຂອງມັນຈະຖືກກວດສອບ, ບັນທຶກບັນທຶກ.

ໃຫ້ພວກເຮົາສ້າງ ຫຼືສຳເນົາ, ຕົວຢ່າງ, "ໄຟລ໌ທີ່ເປັນອັນຕະລາຍ" [virus.mod] ໄປທີ່ພາທິຊັນ GRUB2 ແລະດໍາເນີນການສະແກນ/ທົດສອບຊົ່ວຄາວ:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

CLI ຕ້ອງເບິ່ງການບຸກລຸກຂອງ -citadel- ຂອງພວກເຮົາ.# ການຕັດເຂົ້າສູ່ລະບົບ CLI

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

# ດັ່ງທີ່ທ່ານສາມາດເຫັນໄດ້, "ໄຟລ໌ຍ້າຍ: 1 ແລະການກວດສອບລົ້ມເຫລວ" ປາກົດ, ຊຶ່ງຫມາຍຄວາມວ່າການກວດສອບລົ້ມເຫລວ.
ເນື່ອງຈາກລັກສະນະຂອງການແບ່ງສ່ວນທີ່ຖືກທົດສອບ, ແທນທີ່ຈະ "ພົບເຫັນໄຟລ໌ໃຫມ່" > "ໄຟລ໌ຍ້າຍ"

2) ໃສ່ gif ທີ່ນີ້ > ~/warning.gif, ຕັ້ງການອະນຸຍາດເປັນ 744.

3) ການຕັ້ງຄ່າ fstab ເພື່ອຕິດຕັ້ງພາທິຊັນ GRUB ໂດຍອັດຕະໂນມັດໃນເວລາບູດ

-$ sudo nano /etc/fstab

LABEL=GRUB /media/username/GRUB ext4 ເລີ່ມຕົ້ນ 0 0

4) ໝຸນ ໄມ້ທ່ອນ

-$ sudo nano /etc/logrotate.d/podpis 

/var/log/podpis.txt {
ປະຈໍາວັນ
ໝຸນ 50
ຂະ ໜາດ 5M
ຂໍ້ມູນ
compress
ບີບອັດ
olddir /var/log/old
}

/var/log/vtorjenie.txt {
ປະຈໍາເດືອນ
ໝຸນ 5
ຂະ ໜາດ 5M
ຂໍ້ມູນ
olddir /var/log/old
}

5) ເພີ່ມວຽກໃສ່ cron

-$ sudo crontab -e

reboot '/ການສະໝັກໃຊ້'
0 */6 * * * '/podpis

6) ການສ້າງນາມແຝງຖາວອນ

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

ຫຼັງ​ຈາກ​ການ​ປັບ​ປຸງ OS​ -$ apt-get upgrade ເຊັນການແບ່ງສ່ວນ GRUB ຂອງພວກເຮົາຄືນໃໝ່
-$ подпись_GRUB
ໃນຈຸດນີ້, ການປ້ອງກັນ hashing ຂອງການແບ່ງປັນ GRUB ແມ່ນສໍາເລັດ.

[D] ເຊັດ - ການທໍາລາຍຂໍ້ມູນທີ່ບໍ່ໄດ້ເຂົ້າລະຫັດ

ລຶບໄຟລ໌ສ່ວນຕົວຂອງເຈົ້າອອກໃຫ້ໝົດຈົນວ່າ “ບໍ່ມີແມ່ນແຕ່ພະເຈົ້າສາມາດອ່ານພວກມັນໄດ້,” ອີງຕາມໂຄສົກຂອງ South Carolina ທ່ານ Trey Gowdy.

ຕາມປົກກະຕິ, ມີ "myths ແລະ ນິທານ", ກ່ຽວກັບການຟື້ນຟູຂໍ້ມູນຫຼັງຈາກທີ່ມັນໄດ້ຖືກລຶບຖິ້ມຈາກຮາດດິດ. ຖ້າ​ຫາກ​ວ່າ​ທ່ານ​ເຊື່ອ​ໃນ cyberwitchcraft​, ຫຼື​ເປັນ​ສະ​ມາ​ຊິກ​ຂອງ​ຊຸມ​ຊົນ​ເວັບ​ໄຊ​ຕ​໌ Dr ແລະ​ບໍ່​ເຄີຍ​ໄດ້​ພະ​ຍາ​ຍາມ​ການ​ຟື້ນ​ຕົວ​ຂອງ​ຂໍ້​ມູນ​ຫຼັງ​ຈາກ​ທີ່​ມັນ​ໄດ້​ຖືກ​ລຶບ / ຂຽນ​ທັບ​. (ຕົວຢ່າງ, ການຟື້ນຕົວໂດຍໃຊ້ R-studio), ຫຼັງຈາກນັ້ນວິທີການທີ່ສະເຫນີແມ່ນບໍ່ເຫມາະສົມກັບທ່ານ, ໃຊ້ສິ່ງທີ່ຢູ່ໃກ້ທ່ານທີ່ສຸດ.

ຫຼັງຈາກການໂອນ GNU/Linux ໄປຫາພາທິຊັນທີ່ຖືກເຂົ້າລະຫັດຢ່າງສໍາເລັດຜົນ, ສໍາເນົາເກົ່າຕ້ອງຖືກລຶບຖິ້ມໂດຍບໍ່ມີຄວາມເປັນໄປໄດ້ຂອງການຟື້ນຕົວຂໍ້ມູນ. ວິ​ທີ​ການ​ທໍາ​ຄວາມ​ສະ​ອາດ​ທົ່ວ​ໄປ​: ຊອບ​ແວ​ສໍາ​ລັບ Windows / Linux ຊອບ​ແວ GUI ຟຣີ​ BleachBit.
ໄວ ຈັດຮູບແບບພາກສ່ວນ, ຂໍ້ມູນທີ່ຕ້ອງການທໍາລາຍ (ຜ່ານ Gparted) ເປີດ BleachBit, ເລືອກ "ລ້າງພື້ນທີ່ຫວ່າງ" - ເລືອກພາທິຊັນ (sdaX ຂອງທ່ານກັບສໍາເນົາທີ່ຜ່ານມາຂອງ GNU/Linux), ຂະບວນການລອກເອົາຈະເລີ່ມຕົ້ນ. BleachBit - ເຊັດແຜ່ນໃນຫນຶ່ງຜ່ານ - ນີ້ແມ່ນສິ່ງທີ່ "ພວກເຮົາຕ້ອງການ", ແຕ່! ນີ້ພຽງແຕ່ເຮັດວຽກໃນທາງທິດສະດີຖ້າທ່ານຈັດຮູບແບບແຜ່ນແລະເຮັດຄວາມສະອາດມັນຢູ່ໃນຊອບແວ BB v2.0.

ລະມັດລະວັງ! BB ເຊັດແຜ່ນ, ອອກຈາກ metadata; ຊື່ໄຟລ໌ຖືກຮັກສາໄວ້ເມື່ອຂໍ້ມູນຖືກລົບລ້າງ (Ccleaner - ບໍ່ອອກຈາກ metadata).

ແລະ myth ກ່ຽວກັບຄວາມເປັນໄປໄດ້ຂອງການຟື້ນຟູຂໍ້ມູນບໍ່ແມ່ນ myth ທັງຫມົດ.Bleachbit V2.0-2 ອະດີດຊຸດ OS Debian ທີ່ບໍ່ສະຖຽນ (ແລະຊອບແວທີ່ຄ້າຍຄືກັນອື່ນໆ: sfill; wipe-Nautilus - ຍັງສັງເກດເຫັນໃນທຸລະກິດທີ່ເປື້ອນນີ້) ຕົວຈິງແລ້ວມີຂໍ້ບົກພ່ອງທີ່ສໍາຄັນ: ຫນ້າທີ່ "ລ້າງພື້ນທີ່ຫວ່າງ". ມັນເຮັດວຽກບໍ່ຖືກຕ້ອງ ໃນ HDD/Flash drives (ntfs/ext4). ຊອບແວປະເພດນີ້, ເມື່ອລ້າງພື້ນທີ່ຫວ່າງ, ບໍ່ຂຽນທັບແຜ່ນທັງຫມົດ, ດັ່ງທີ່ຜູ້ໃຊ້ຫຼາຍຄົນຄິດ. ແລະບາງ (ຫຼາຍ) ຂໍ້​ມູນ​ທີ່​ຖືກ​ລົບ OS/software ພິ​ຈາ​ລະ​ນາ​ຂໍ້​ມູນ​ນີ້​ເປັນ​ຂໍ້​ມູນ​ທີ່​ບໍ່​ໄດ້​ຖືກ​ລຶບ​ຫຼື​ຜູ້​ໃຊ້​ແລະ​ໃນ​ເວ​ລາ​ທີ່​ທໍາ​ຄວາມ​ສະ​ອາດ "OSP​" ມັນ​ຂ້າມ​ໄຟລ​໌​ເຫຼົ່າ​ນີ້​. ບັນຫາແມ່ນວ່າຫຼັງຈາກເວລາດົນນານ, ເຮັດຄວາມສະອາດແຜ່ນ "ໄຟລ໌ທີ່ຖືກລຶບ" ສາມາດຟື້ນຕົວໄດ້ ເຖິງແມ່ນວ່າຫຼັງຈາກ 3+ ຜ່ານການເຊັດແຜ່ນ.
ໃນ GNU/Linux ຢູ່ Bleachbit 2.0​-2 ຫນ້າທີ່ຂອງການລຶບໄຟລ໌ແລະໄດເລກະທໍລີຢ່າງຖາວອນເຮັດວຽກຢ່າງຫນ້າເຊື່ອຖື, ແຕ່ບໍ່ແມ່ນການລຶບລ້າງພື້ນທີ່ຫວ່າງ. ສໍາລັບການປຽບທຽບ: ໃນ Windows ໃນ CCleaner ຟັງຊັນ "OSP ສໍາລັບ ntfs" ເຮັດວຽກຢ່າງຖືກຕ້ອງ, ແລະພຣະເຈົ້າຈະບໍ່ສາມາດອ່ານຂໍ້ມູນທີ່ຖືກລຶບຖິ້ມໄດ້.

ແລະດັ່ງນັ້ນ, ເພື່ອເອົາອອກຢ່າງລະອຽດ "ປະນີປະນອມ" ຂໍ້ມູນທີ່ບໍ່ໄດ້ເຂົ້າລະຫັດເກົ່າ, Bleachbit ຕ້ອງການການເຂົ້າເຖິງຂໍ້ມູນນີ້ໂດຍກົງ, ຫຼັງຈາກນັ້ນ, ໃຊ້ຫນ້າທີ່ "ລຶບໄຟລ໌ / ໄດເລກະທໍລີຢ່າງຖາວອນ".
ເພື່ອເອົາ “ໄຟລ໌ທີ່ຖືກລຶບອອກໂດຍໃຊ້ເຄື່ອງມືມາດຕະຖານ OS” ໃນ Windows, ໃຊ້ CCleaner/BB ດ້ວຍຟັງຊັນ “OSP”. ໃນ GNU/Linux ກ່ຽວກັບບັນຫານີ້ (ລຶບ​ໄຟລ​໌​ທີ່​ຖືກ​ລົບ​) ທ່ານຈໍາເປັນຕ້ອງໄດ້ຮັບການປະຕິບັດດ້ວຍຕົນເອງ (ການ​ລົບ​ຂໍ້​ມູນ + ຄວາມ​ພະ​ຍາ​ຍາມ​ເປັນ​ເອ​ກະ​ລາດ​ເພື່ອ​ຟື້ນ​ຟູ​ມັນ​ແລະ​ທ່ານ​ບໍ່​ຄວນ​ອີງ​ໃສ່​ການ​ສະ​ບັບ​ຊອບ​ແວ (ຖ້າ​ຫາກ​ວ່າ​ບໍ່​ແມ່ນ bookmark​, ຫຼັງ​ຈາກ​ນັ້ນ bug​)​), ພຽງແຕ່ໃນກໍລະນີນີ້ທ່ານຈະສາມາດເຂົ້າໃຈກົນໄກຂອງບັນຫານີ້ແລະກໍາຈັດຂໍ້ມູນທີ່ຖືກລຶບຖິ້ມຢ່າງສົມບູນ.

ຂ້ອຍບໍ່ໄດ້ທົດສອບ Bleachbit v3.0, ບັນຫາອາດຈະໄດ້ຮັບການແກ້ໄຂແລ້ວ.
Bleachbit v2.0 ເຮັດວຽກຢ່າງຊື່ສັດ.

ໃນຂັ້ນຕອນນີ້, ການລ້າງແຜ່ນແມ່ນສໍາເລັດ.

[E] ການສໍາຮອງ Universal ຂອງ OS ທີ່ເຂົ້າລະຫັດໄວ້

ຜູ້​ໃຊ້​ແຕ່​ລະ​ຄົນ​ມີ​ວິ​ທີ​ການ​ສໍາ​ຮອງ​ຂໍ້​ມູນ​ຂອງ​ຕົນ​ເອງ​, ແຕ່​ລະ​ຫັດ​ຂໍ້​ມູນ​ລະ​ບົບ OS ຮຽກ​ຮ້ອງ​ໃຫ້​ມີ​ວິ​ທີ​ການ​ທີ່​ແຕກ​ຕ່າງ​ກັນ​ເລັກ​ນ້ອຍ​ກັບ​ວຽກ​ງານ​. ຊອບແວທີ່ປະສົມປະສານ, ເຊັ່ນ Clonezilla ແລະຊອບແວທີ່ຄ້າຍຄືກັນ, ບໍ່ສາມາດເຮັດວຽກໂດຍກົງກັບຂໍ້ມູນທີ່ເຂົ້າລະຫັດ.

ຖະແຫຼງການຂອງບັນຫາຂອງການສໍາຮອງອຸປະກອນຕັນ encrypted:

1. universality - ສູດການຄິດໄລ່ / ຊອບແວສໍາຮອງຂໍ້ມູນດຽວກັນສໍາລັບ Windows / Linux;
2. ຄວາມ​ສາ​ມາດ​ເຮັດ​ວຽກ​ຢູ່​ໃນ console ກັບ usb GNU/Linux ທີ່​ມີ​ຊີ​ວິດ​ໃດ​ຫນຶ່ງ​ໂດຍ​ບໍ່​ຈໍາ​ເປັນ​ຕ້ອງ​ສໍາ​ລັບ​ການ​ດາວ​ໂຫຼດ​ຊອບ​ແວ​ເພີ່ມ​ເຕີມ​ (ແຕ່ຍັງແນະນຳ GUI);
3. ຄວາມ​ປອດ​ໄພ​ຂອງ​ສໍາ​ເນົາ​ສໍາ​ຮອງ - ການ​ເກັບ​ຮັກ​ສາ "ຮູບ​ພາບ​" ຕ້ອງ​ໄດ້​ຮັບ​ການ​ເຂົ້າ​ລະ​ຫັດ / ລະ​ຫັດ​ຜ່ານ​ປົກ​ປັກ​ຮັກ​ສາ​;
4. ຂະຫນາດຂອງຂໍ້ມູນທີ່ຖືກເຂົ້າລະຫັດຕ້ອງສອດຄ່ອງກັບຂະຫນາດຂອງຂໍ້ມູນຕົວຈິງທີ່ຖືກຄັດລອກ;
5. ການສະກັດເອົາໄຟລ໌ທີ່ຈໍາເປັນຢ່າງສະດວກຈາກສໍາເນົາສໍາຮອງ (ບໍ່​ມີ​ຄວາມ​ຕ້ອງ​ການ​ທີ່​ຈະ​ຖອດ​ລະ​ຫັດ​ທັງ​ຫມົດ​ພາກ​ສ່ວນ​ທໍາ​ອິດ​)​.

ສໍາລັບຕົວຢ່າງ, ສໍາຮອງຂໍ້ມູນ / ຟື້ນຟູໂດຍຜ່ານ "dd" ຜົນປະໂຫຍດ

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

ມັນສອດຄ່ອງກັບເກືອບທຸກຈຸດຂອງຫນ້າວຽກ, ແຕ່ອີງຕາມຈຸດ 4 ມັນບໍ່ໄດ້ຢືນເຖິງການວິພາກວິຈານ, ເນື່ອງຈາກວ່າມັນຄັດລອກການແບ່ງປັນແຜ່ນທັງຫມົດ, ລວມທັງພື້ນທີ່ຫວ່າງ - ບໍ່ຫນ້າສົນໃຈ.

ຕົວຢ່າງ, ການສໍາຮອງ GNU/Linux ຜ່ານ archiver [tar" | gpg] ແມ່ນສະດວກ, ແຕ່ສໍາລັບການສໍາຮອງຂໍ້ມູນ Windows ທ່ານຈໍາເປັນຕ້ອງຊອກຫາວິທີແກ້ໄຂອື່ນ - ມັນບໍ່ຫນ້າສົນໃຈ.

E1. ການສຳຮອງຂໍ້ມູນ Universal Windows/Linux. Link rsync (Grsync)+VeraCrypt volumeຂັ້ນຕອນການສ້າງສຳເນົາສຳຮອງ:

1. ການສ້າງກ່ອງບັນຈຸເຂົ້າລະຫັດ (ປະລິມານ/ໄຟລ໌) VeraCrypt ສໍາລັບ OS;
2. ໂອນ / synchronize OS ໂດຍໃຊ້ຊອບແວ Rsync ເຂົ້າໄປໃນຖັງ crypto VeraCrypt;
3. ຖ້າຈໍາເປັນ, ອັບໂຫຼດປະລິມານ VeraCrypt ໄປທີ່ www.

ການສ້າງຕົວບັນຈຸ VeraCrypt ທີ່ເຂົ້າລະຫັດໄວ້ມີລັກສະນະຂອງຕົນເອງ:
ການສ້າງປະລິມານແບບເຄື່ອນໄຫວ (ການສ້າງ DT ແມ່ນມີຢູ່ໃນ Windows ເທົ່ານັ້ນ, ຍັງສາມາດໃຊ້ໃນ GNU/Linux);
ການສ້າງປະລິມານປົກກະຕິ, ແຕ່ມີຂໍ້ກໍານົດຂອງ "ລັກສະນະ paranoid" (ອີງ​ຕາມ​ການ​ພັດ​ທະ​ນາ​) - ການ​ຈັດ​ຮູບ​ແບບ container.

ປະລິມານໄດນາມິກຖືກສ້າງຂື້ນເກືອບທັນທີໃນ Windows, ແຕ່ເມື່ອການຄັດລອກຂໍ້ມູນຈາກ GNU/Linux > VeraCrypt DT, ການປະຕິບັດການສໍາຮອງຂໍ້ມູນໂດຍລວມຫຼຸດລົງຢ່າງຫຼວງຫຼາຍ.

ປະລິມານ 70 GB Twofish ປົກກະຕິແມ່ນຖືກສ້າງຂຶ້ນ (ໃຫ້ພຽງແຕ່ເວົ້າວ່າ, ໂດຍສະເລ່ຍພະລັງງານ PC) ກັບ HDD ~ ໃນເຄິ່ງຊົ່ວໂມງ (ການຂຽນທັບຂໍ້ມູນບັນຈຸໃນອະດີດໃນຫນຶ່ງຜ່ານແມ່ນເນື່ອງມາຈາກຄວາມຕ້ອງການຄວາມປອດໄພ). ຫນ້າທີ່ຂອງການຈັດຮູບແບບປະລິມານຢ່າງໄວວາໃນເວລາທີ່ສ້າງມັນໄດ້ຖືກໂຍກຍ້າຍອອກຈາກ VeraCrypt Windows / Linux, ດັ່ງນັ້ນການສ້າງ container ເປັນໄປໄດ້ພຽງແຕ່ຜ່ານ "ການຂຽນໃຫມ່ຜ່ານຫນຶ່ງ" ຫຼືການສ້າງປະລິມານການເຄື່ອນໄຫວຕ່ໍາ.

ສ້າງປະລິມານ VeraCrypt ປົກກະຕິ (ບໍ່ແມ່ນແບບເຄື່ອນໄຫວ/ntfs), ບໍ່ຄວນມີບັນຫາໃດໆ.

ຕັ້ງຄ່າ/ສ້າງ/ເປີດ container ໃນ VeraCrypt GUI> GNU/Linux live usb (ປະລິມານຈະຖືກຕິດຕັ້ງໂດຍອັດຕະໂນມັດໃສ່ /media/veracrypt2, ປະລິມານຂອງ Windows OS ຈະຖືກຕິດຕັ້ງໃສ່ /media/veracrypt1). ການສ້າງການສໍາຮອງຂໍ້ມູນທີ່ຖືກເຂົ້າລະຫັດຂອງ Windows OS ໂດຍໃຊ້ GUI rsync (grsync)ໂດຍການກວດເບິ່ງກ່ອງຕ່າງໆ.

ລໍຖ້າຂະບວນການສໍາເລັດ. ເມື່ອການສໍາຮອງຂໍ້ມູນສໍາເລັດ, ພວກເຮົາຈະມີໄຟລ໌ທີ່ຖືກເຂົ້າລະຫັດຫນຶ່ງ.

ເຊັ່ນດຽວກັນ, ສ້າງສໍາເນົາສໍາຮອງຂອງ GNU/Linux OS ໂດຍການຍົກເລີກການເລືອກກ່ອງກາເຄື່ອງຫມາຍ "ຄວາມເຂົ້າກັນໄດ້ຂອງ Windows" ໃນ rsync GUI.

ລະມັດລະວັງ! ສ້າງຖັງເກັບ Veracrypt ສໍາລັບ "ການສໍາຮອງຂໍ້ມູນ GNU / Linux" ໃນລະບົບໄຟລ໌ ext4. ຖ້າ​ຫາກ​ທ່ານ​ເຮັດ​ການ​ສໍາ​ຮອງ​ຂໍ້​ມູນ​ໃສ່​ບັນ​ຈຸ ntfs​, ຫຼັງ​ຈາກ​ນັ້ນ​, ໃນ​ເວ​ລາ​ທີ່​ທ່ານ​ຟື້ນ​ຟູ​ສໍາ​ເນົາ​ດັ່ງ​ກ່າວ​, ທ່ານ​ຈະ​ສູນ​ເສຍ​ສິດ / ກຸ່ມ​ທັງ​ຫມົດ​ກັບ​ຂໍ້​ມູນ​ທັງ​ຫມົດ​ຂອງ​ທ່ານ​.

ການດໍາເນີນງານທັງຫມົດສາມາດດໍາເນີນຢູ່ໃນສະຖານີ. ທາງ​ເລືອກ​ພື້ນ​ຖານ​ສໍາ​ລັບ rsync​:
* -g -save ກຸ່ມ;
* -P — ຄວາມ​ຄືບ​ຫນ້າ — ສະ​ຖາ​ນະ​ພາບ​ຂອງ​ເວ​ລາ​ທີ່​ໃຊ້​ເວ​ລາ​ເຮັດ​ວຽກ​ກ່ຽວ​ກັບ​ໄຟລ​໌​;
* -H - ຄັດລອກ hardlinks ຕາມທີ່ເປັນ;
* -a -archive mode (ທຸງ rlptgoD ຫຼາຍອັນ);
* -v -verbalization.

ຖ້າ​ຫາກ​ວ່າ​ທ່ານ​ຕ້ອງ​ການ​ທີ່​ຈະ​ຕິດ “Windows VeraCrypt volume” ຜ່ານ console ໃນ​ຊອບ​ແວ​ການ​ເຂົ້າ​ລະ​ຫັດ​, ທ່ານ​ສາ​ມາດ​ສ້າງ alias (su​) ໄດ້​.

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

ໃນປັດຈຸບັນຄໍາສັ່ງ "veramount pictures" ຈະເຕືອນໃຫ້ທ່ານໃສ່ລະຫັດຜ່ານ, ແລະປະລິມານລະບົບ Windows ທີ່ເຂົ້າລະຫັດຈະຖືກຕິດຕັ້ງຢູ່ໃນ OS.

ແຜນທີ່/mount ປະລິມານລະບົບ VeraCrypt ໃນຄໍາສັ່ງ cryptsetup

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

ແຜນທີ່/mount VeraCrypt partition/container ໃນຄໍາສັ່ງ cryptsetup

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

ແທນທີ່ຈະເປັນນາມແຝງ, ພວກເຮົາຈະເພີ່ມ (ສະຄຣິບເພື່ອເລີ່ມຕົ້ນ) ປະລິມານລະບົບທີ່ມີ Windows OS ແລະແຜ່ນ ntfs ທີ່ຖືກເຂົ້າລະຫັດຢ່າງມີເຫດຜົນໃສ່ GNU/Linux startup.

ສ້າງສະຄຣິບ ແລະບັນທຶກມັນໄວ້ໃນ ~/VeraOpen.sh

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

ພວກເຮົາແຈກຢາຍສິດທິ "ທີ່ຖືກຕ້ອງ":

sudo chmod 100 /VeraOpen.sh

ສ້າງສອງໄຟລ໌ທີ່ຄືກັນ (ຊື່ດຽວກັນ!) ໃນ /etc/rc.local ແລະ ~/etc/init.d/rc.local
ການຕື່ມໄຟລ໌

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

ພວກເຮົາແຈກຢາຍສິດທິ "ທີ່ຖືກຕ້ອງ":

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local 

ນັ້ນແມ່ນ, ດຽວນີ້ເມື່ອໂຫລດ GNU/Linux ພວກເຮົາບໍ່ ຈຳ ເປັນຕ້ອງໃສ່ລະຫັດຜ່ານເພື່ອຕິດຕັ້ງແຜ່ນ ntfs ທີ່ເຂົ້າລະຫັດໄວ້, ແຜ່ນຖືກຕິດຕັ້ງໂດຍອັດຕະໂນມັດ.

ບັນທຶກສັ້ນໆກ່ຽວກັບສິ່ງທີ່ໄດ້ອະທິບາຍຂ້າງເທິງໃນວັກ E1 ແຕ່ລະຂັ້ນຕອນ (ແຕ່ຕອນນີ້ສຳລັບ OS GNU/Linux)
1) ສ້າງປະລິມານໃນ fs ext4 > 4gb (ສໍາລັບໄຟລ໌) Linux ໃນ Veracrypt [Cryptbox].
2) reboot ເພື່ອດໍາລົງຊີວິດ usb.
3) ~$ cryptsetup ເປີດ /dev/sda7 Lunux #mapping encrypted partition.
4) ~$ mount /dev/mapper/Linux /mnt #mount the encrypted partition to /mnt.
5) ~$ mkdir mnt2 #creating a directory for a future backup.
6) ~$ cryptsetup open —veracrypt —type tcrypt ~/CryptoBox CryptoBox && mount /dev/mapper/CryptoBox /mnt2 #Map a Veracrypt volume named “CryptoBox” ແລະ mount the CryptoBox to /mnt2.
7) ~$ rsync -avlxhHX —progress /mnt /mnt2/ #backup operation of an encrypted partition to an encrypted Veracrypt volume.

(ໜ້າ/ວິ/ ລະມັດລະວັງ! ຖ້າທ່ານກໍາລັງໂອນເຂົ້າລະຫັດ GNU/Linux ຈາກສະຖາປັດຕະຍະກໍາຫນຶ່ງ / ເຄື່ອງຫນຶ່ງໄປຫາເຄື່ອງອື່ນ, ສໍາລັບການຍົກຕົວຢ່າງ, Intel> AMD (ນັ້ນແມ່ນ, ນໍາໃຊ້ການສໍາຮອງຂໍ້ມູນຈາກພາທິຊັນທີ່ເຂົ້າລະຫັດລັບກັບ Intel ອື່ນທີ່ເຂົ້າລະຫັດລັບ> AMD partition), ຢ່າ​ລືມ ຫຼັງ​ຈາກ​ການ​ໂອນ OS ທີ່​ເຂົ້າ​ລະ​ຫັດ​, ແກ້​ໄຂ​ລະ​ຫັດ​ທົດ​ແທນ​ຄວາມ​ລັບ​ແທນ​ທີ່​ຈະ​ເປັນ​ລະ​ຫັດ​ຜ່ານ​, ບາງ​ທີ​. ລະຫັດທີ່ຜ່ານມາ ~/etc/skey - ຈະບໍ່ເຫມາະກັບພາທິຊັນທີ່ຖືກເຂົ້າລະຫັດອື່ນອີກຕໍ່ໄປ, ແລະມັນບໍ່ໄດ້ຖືກແນະນໍາໃຫ້ສ້າງລະຫັດໃຫມ່ "cryptsetup luksAddKey" ຈາກພາຍໃຕ້ chroot - ຄວາມຜິດພາດແມ່ນເປັນໄປໄດ້, ພຽງແຕ່ຢູ່ໃນ ~/etc/crypttab ລະບຸແທນ. “/etc/skey” ຊົ່ວຄາວ “none””, ຫຼັງຈາກ rebot ແລະເຂົ້າສູ່ລະບົບ OS, recreate key wildcard secret ຂອງທ່ານອີກຄັ້ງ).

ໃນຖານະທີ່ເປັນນັກຮົບໄອທີ, ຈື່ໄວ້ວ່າຈະຕ້ອງເຮັດການສໍາຮອງຂອງສ່ວນຫົວຂອງພາທິຊັນ Windows/Linux OS ທີ່ເຂົ້າລະຫັດໄວ້ແຍກຕ່າງຫາກ, ຖ້າບໍ່ດັ່ງນັ້ນການເຂົ້າລະຫັດຈະຕໍ່ຕ້ານທ່ານ.
ໃນຂັ້ນຕອນນີ້, ການສໍາຮອງຂໍ້ມູນຂອງ OS ທີ່ຖືກເຂົ້າລະຫັດແມ່ນສໍາເລັດ.

[F] ໂຈມຕີ GRUB2 bootloader

ເບິ່ງລາຍລະອຽດຖ້າທ່ານໄດ້ປົກປ້ອງ bootloader ຂອງທ່ານດ້ວຍລາຍເຊັນດິຈິຕອນ ແລະ/ຫຼືການພິສູດຢືນຢັນ (ເບິ່ງຈຸດ C6.), ຫຼັງຈາກນັ້ນນີ້ຈະບໍ່ປ້ອງກັນການເຂົ້າເຖິງທາງດ້ານຮ່າງກາຍ. ຂໍ້​ມູນ​ທີ່​ເຂົ້າ​ລະ​ຫັດ​ຈະ​ຍັງ​ບໍ່​ສາ​ມາດ​ເຂົ້າ​ເຖິງ, ແຕ່​ການ​ປົກ​ປັກ​ຮັກ​ສາ​ຈະ​ຖືກ​ຂ້າມ (ຣີເຊັດການປົກປ້ອງລາຍເຊັນດິຈິຕອນ) GRUB2 ອະນຸຍາດໃຫ້ຄົນຮ້າຍທາງອິນເຕີເນັດສາມາດໃສ່ລະຫັດຂອງລາວເຂົ້າໄປໃນ bootloader ໂດຍບໍ່ຕ້ອງສົງໃສ. (ເວັ້ນເສຍແຕ່ວ່າຜູ້ໃຊ້ຈະກວດສອບສະຖານະຂອງ bootloader ດ້ວຍຕົນເອງ, ຫຼືມາພ້ອມກັບລະຫັດສະຄຣິບ arbitrary-script ທີ່ເຂັ້ມແຂງຂອງຕົນເອງສໍາລັບ grub.cfg).

ຂັ້ນຕອນການໂຈມຕີ. ຜູ້ບຸກລຸກ

* Boot PC ຈາກ USB ສົດ. ການປ່ຽນແປງໃດໆ (ຜູ້ລະເມີດ) ໄຟລ໌ຈະແຈ້ງໃຫ້ເຈົ້າຂອງທີ່ແທ້ຈິງຂອງ PC ກ່ຽວກັບການບຸກລຸກເຂົ້າໄປໃນ bootloader. ແຕ່ການຕິດຕັ້ງໃຫມ່ທີ່ງ່າຍດາຍຂອງ GRUB2 ການຮັກສາ grub.cfg (ແລະ​ຄວາມ​ສາ​ມາດ​ຕໍ່​ມາ​ໃນ​ການ​ແກ້​ໄຂ​ມັນ​) ຈະເຮັດໃຫ້ຜູ້ໂຈມຕີສາມາດແກ້ໄຂໄຟລ໌ຕ່າງໆໄດ້ (ໃນ​ສະ​ຖາ​ນະ​ການ​ນີ້​, ໃນ​ເວ​ລາ​ທີ່​ການ​ໂຫຼດ GRUB2​, ຜູ້​ໃຊ້​ທີ່​ແທ້​ຈິງ​ຈະ​ບໍ່​ໄດ້​ຮັບ​ການ​ແຈ້ງ​ການ​. ສະ​ຖາ​ນະ​ພາບ​ແມ່ນ​ຄື​ກັນ ​)
* ຕິດຕັ້ງພາທິຊັນທີ່ບໍ່ໄດ້ເຂົ້າລະຫັດໄວ້, ເກັບຮັກສາ “/mnt/boot/grub/grub.cfg”.
* ຕິດຕັ້ງ bootloader ຄືນໃໝ່ (ການເອົາ "perskey" ອອກຈາກຮູບພາບ core.img)

grub-install --force --root-directory=/mnt /dev/sda6

* ສົ່ງຄືນ “grub.cfg” > “/mnt/boot/grub/grub.cfg”, ແກ້ໄຂມັນຖ້າຈຳເປັນ, ຕົວຢ່າງ, ການເພີ່ມໂມດູນ “keylogger.mod” ຂອງທ່ານໃສ່ໂຟນເດີທີ່ມີໂມດູນ loader, ໃນ “grub.cfg” > ແຖວ "insmod keylogger". ຫຼື, ສໍາລັບການຍົກຕົວຢ່າງ, ຖ້າຫາກວ່າສັດຕູແມ່ນ cunning, ຫຼັງຈາກນັ້ນຫຼັງຈາກການຕິດຕັ້ງ GRUB2 ໃຫມ່ (ລາຍເຊັນທັງໝົດຍັງຄົງຢູ່) ມັນສ້າງຮູບພາບ GRUB2 ຕົ້ນຕໍໂດຍໃຊ້ "grub-mkimage with option (-c)." ທາງເລືອກ "-c" ຈະຊ່ວຍໃຫ້ທ່ານສາມາດໂຫລດ config ຂອງທ່ານກ່ອນທີ່ຈະໂຫລດ "grub.cfg". ການຕັ້ງຄ່າສາມາດປະກອບດ້ວຍພຽງແຕ່ຫນຶ່ງເສັ້ນ: ການປ່ຽນເສັ້ນທາງໄປຫາ "modern.cfg", ປະສົມ, ຕົວຢ່າງ, ມີ ~ 400 ໄຟລ໌. (ໂມດູນ+ລາຍເຊັນ) ໃນໂຟນເດີ "/boot/grub/i386-pc". ໃນກໍລະນີນີ້, ຜູ້ໂຈມຕີສາມາດໃສ່ລະຫັດທີ່ຕົນເອງມັກແລະໂຫຼດໂມດູນໂດຍບໍ່ມີຜົນກະທົບຕໍ່ "/boot/grub/grub.cfg", ເຖິງແມ່ນວ່າຜູ້ໃຊ້ໃຊ້ "hashsum" ກັບໄຟລ໌ແລະສະແດງມັນຊົ່ວຄາວໃນຫນ້າຈໍ.
ຜູ້ໂຈມຕີຈະບໍ່ຈຳເປັນຕ້ອງແຮັກເຂົ້າລະບົບ/ລະຫັດຜ່ານຂອງ GRUB2 superuser; ລາວພຽງແຕ່ຕ້ອງການຄັດລອກເສັ້ນ. (ຮັບ​ຜິດ​ຊອບ​ສໍາ​ລັບ​ການ​ກວດ​ສອບ​) "/boot/grub/grub.cfg" ກັບ "modern.cfg" ຂອງທ່ານ

ຕັ້ງ superusers = "ຮາກ"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

ແລະເຈົ້າຂອງ PC ຈະຍັງໄດ້ຮັບການພິສູດຢືນຢັນວ່າເປັນ superuser GRUB2.

ການໂຫຼດຕ່ອງໂສ້ (bootloader ໂຫຼດ bootloader ອື່ນ), ດັ່ງທີ່ຂ້າພະເຈົ້າຂຽນຂ້າງເທິງ, ບໍ່ມີຄວາມຫມາຍ (ມັນມີຈຸດປະສົງທີ່ແຕກຕ່າງກັນ). bootloader ທີ່ຖືກເຂົ້າລະຫັດບໍ່ສາມາດໂຫລດໄດ້ເນື່ອງຈາກ BIOS (ການເປີດລະບົບຕ່ອງໂສ້ GRUB2 ຄືນໃໝ່ > ເຂົ້າລະຫັດ GRUB2, ຜິດພາດ!). ຢ່າງໃດກໍຕາມ, ຖ້າທ່ານຍັງໃຊ້ຄວາມຄິດຂອງການໂຫຼດລະບົບຕ່ອງໂສ້, ທ່ານສາມາດແນ່ໃຈວ່າມັນແມ່ນການເຂົ້າລະຫັດທີ່ຖືກໂຫລດ. (ບໍ່​ທັນ​ສະ​ໄຫມ​) "grub.cfg" ຈາກພາທິຊັນທີ່ຖືກເຂົ້າລະຫັດ. ແລະນີ້ຍັງເປັນຄວາມຮູ້ສຶກທີ່ບໍ່ຖືກຕ້ອງຂອງຄວາມປອດໄພ, ເພາະວ່າທຸກສິ່ງທຸກຢ່າງທີ່ລະບຸໄວ້ໃນ "grub.cfg" ທີ່ຖືກເຂົ້າລະຫັດ. (ການໂຫຼດໂມດູນ) ເພີ່ມເຖິງໂມດູນທີ່ໂຫລດມາຈາກ GRUB2 ທີ່ບໍ່ໄດ້ເຂົ້າລະຫັດ.

ຖ້າ​ຫາກ​ວ່າ​ທ່ານ​ຕ້ອງ​ການ​ກວດ​ສອບ​ການ​ນີ້​, ຫຼັງ​ຈາກ​ນັ້ນ​ຈັດ​ສັນ / ເຂົ້າ​ລະ​ຫັດ​ພາ​ທິ​ຊັນ​ອື່ນ sdaY​, ສໍາ​ເນົາ GRUB2 ກັບ​ມັນ (ການ​ດໍາ​ເນີນ​ງານ​ການ​ຕິດ​ຕັ້ງ grub ໃນ​ພາ​ທິ​ຊັນ​ເຂົ້າ​ລະ​ຫັດ​ເປັນ​ໄປ​ບໍ່​ໄດ້​) ແລະໃນ "grub.cfg" (ການຕັ້ງຄ່າບໍ່ໄດ້ເຂົ້າລະຫັດ) ປ່ຽນເສັ້ນເຊັ່ນນີ້

menuentry 'GRUBx2' --class parrot --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
load_video
insmod gzio
ຖ້າ [ x$grub_platform = xxen ]; ຫຼັງຈາກນັ້ນ insmod xzio; insmod lzopio; ຟີ
insmod part_msdos
insmod cryptodisk
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
ປົກກະຕິ /boot/grub/grub.cfg
}

ເຊືອກ
* insmod - ການໂຫຼດໂມດູນທີ່ຈໍາເປັນສໍາລັບການເຮັດວຽກກັບແຜ່ນທີ່ຖືກເຂົ້າລະຫັດ;
* GRUBx2 - ຊື່ຂອງເສັ້ນສະແດງຢູ່ໃນເມນູ GRUB2 boot;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 - ເບິ່ງ. fdisk -l(sda9);
* ຕັ້ງຮາກ - ຕິດຕັ້ງຮາກ;
* ປົກກະຕິ /boot/grub/grub.cfg - ໄຟລ໌ການຕັ້ງຄ່າທີ່ສາມາດປະຕິບັດໄດ້ໃນພາທິຊັນທີ່ຖືກເຂົ້າລະຫັດ.

ຄວາມເຊື່ອໝັ້ນວ່າມັນເປັນ “grub.cfg” ທີ່ເຂົ້າລະຫັດໄວ້ທີ່ໂຫຼດແລ້ວເປັນການຕອບໂຕ້ທີ່ດີຕໍ່ການໃສ່ລະຫັດຜ່ານ/ປົດລັອກ “sdaY” ເມື່ອເລືອກແຖວ “GRUBx2” ໃນເມນູ GRUB.

ໃນເວລາທີ່ເຮັດວຽກຢູ່ໃນ CLI, ເພື່ອບໍ່ໃຫ້ສັບສົນ (ແລະກວດເບິ່ງວ່າຕົວແປສະພາບແວດລ້ອມ "ຕັ້ງຮາກ" ເຮັດວຽກ), ສ້າງໄຟລ໌ token ຫວ່າງເປົ່າ, ຕົວຢ່າງ, ໃນສ່ວນທີ່ຖືກເຂົ້າລະຫັດ “/shifr_grub”, ໃນສ່ວນທີ່ບໍ່ໄດ້ເຂົ້າລະຫັດ “/noshifr_grub”. ການກວດສອບໃນ CLI

cat /Tab-Tab

ດັ່ງທີ່ໄດ້ກ່າວໄວ້ຂ້າງເທິງ, ນີ້ຈະບໍ່ຊ່ວຍຕ້ານການດາວໂຫຼດໂມດູນທີ່ເປັນອັນຕະລາຍຖ້າໂມດູນດັ່ງກ່າວສິ້ນສຸດລົງໃນ PC ຂອງທ່ານ. ຕົວຢ່າງເຊັ່ນ, keylogger ທີ່ຈະສາມາດບັນທຶກ keystrokes ໃສ່ໄຟລ໌ແລະປະສົມມັນກັບໄຟລ໌ອື່ນໆໃນ "~/i386" ຈົນກ່ວາມັນຖືກດາວໂຫຼດໂດຍຜູ້ໂຈມຕີທີ່ມີການເຂົ້າເຖິງທາງດ້ານຮ່າງກາຍກັບ PC.

ວິທີທີ່ງ່າຍທີ່ສຸດທີ່ຈະກວດສອບວ່າການປົກປ້ອງລາຍເຊັນດິຈິຕອນກໍາລັງເຮັດວຽກຢ່າງຫ້າວຫັນ (ບໍ່​ໄດ້​ປັບ​), ແລະບໍ່ມີໃຜໄດ້ບຸກລຸກ bootloader, ໃສ່ຄໍາສັ່ງໃນ CLI

list_trusted

ໃນການຕອບໂຕ້ພວກເຮົາໄດ້ຮັບສໍາເນົາຂອງ "perskey" ຂອງພວກເຮົາ, ຫຼືພວກເຮົາບໍ່ໄດ້ຮັບຫຍັງຖ້າພວກເຮົາຖືກໂຈມຕີ (ທ່ານຍັງຈໍາເປັນຕ້ອງໄດ້ກວດເບິ່ງ "set check_signatures=enforce").
ຂໍ້ເສຍທີ່ສໍາຄັນຂອງຂັ້ນຕອນນີ້ແມ່ນການປ້ອນຄໍາສັ່ງດ້ວຍຕົນເອງ. ຖ້າທ່ານເພີ່ມຄໍາສັ່ງນີ້ໃສ່ "grub.cfg" ແລະປົກປ້ອງ config ດ້ວຍລາຍເຊັນດິຈິຕອນ, ຫຼັງຈາກນັ້ນຜົນຜະລິດເບື້ອງຕົ້ນຂອງ snapshot ທີ່ສໍາຄັນໃນຫນ້າຈໍແມ່ນສັ້ນເກີນໄປໃນກໍານົດເວລາ, ແລະທ່ານອາດຈະບໍ່ມີເວລາທີ່ຈະເບິ່ງຜົນໄດ້ຮັບຫຼັງຈາກໂຫລດ GRUB2. .
ບໍ່ມີໃຜໂດຍສະເພາະແມ່ນການຮຽກຮ້ອງຕໍ່: ນັກພັດທະນາໃນລາວ ເອກະສານ ຂໍ້ 18.2 ປະກາດຢ່າງເປັນທາງການ

"ສັງເກດວ່າເຖິງແມ່ນວ່າມີການປົກປ້ອງລະຫັດຜ່ານ GRUB, GRUB ຕົວຂອງມັນເອງບໍ່ສາມາດປ້ອງກັນບໍ່ໃຫ້ຄົນທີ່ມີການເຂົ້າເຖິງເຄື່ອງຈັກຈາກການປ່ຽນແປງການຕັ້ງຄ່າເຟີມແວຂອງເຄື່ອງນັ້ນ (ເຊັ່ນ: Coreboot ຫຼື BIOS) ເພື່ອເຮັດໃຫ້ເຄື່ອງ boot ຈາກອຸປະກອນທີ່ແຕກຕ່າງກັນ (ຜູ້ໂຈມຕີທີ່ຄວບຄຸມ) ໄດ້. GRUB ແມ່ນດີທີ່ສຸດພຽງແຕ່ຫນຶ່ງເຊື່ອມຕໍ່ໃນລະບົບຕ່ອງໂສ້ boot ທີ່ປອດໄພ."

GRUB2 ແມ່ນ overloaded ເກີນໄປກັບຟັງຊັນທີ່ສາມາດໃຫ້ຄວາມຮູ້ສຶກຂອງຄວາມປອດໄພທີ່ບໍ່ຖືກຕ້ອງ, ແລະການພັດທະນາຂອງມັນເກີນກວ່າ MS-DOS ໃນແງ່ຂອງການເຮັດວຽກ, ແຕ່ມັນເປັນພຽງແຕ່ bootloader. ມັນເປັນເລື່ອງຕະຫລົກທີ່ GRUB2 - "ມື້ອື່ນ" ສາມາດກາຍເປັນ OS, ແລະເຄື່ອງ virtual GNU/Linux bootable ສໍາລັບມັນ.

ວິດີໂອສັ້ນໆກ່ຽວກັບວິທີທີ່ຂ້ອຍຣີເຊັດການປົກປ້ອງລາຍເຊັນດິຈິຕອນ GRUB2 ແລະປະກາດການບຸກລຸກຂອງຂ້ອຍໃຫ້ກັບຜູ້ໃຊ້ຈິງ (ຂ້າ​ພະ​ເຈົ້າ​ຢ້ານ​ທ່ານ​, ແຕ່​ແທນ​ທີ່​ຈະ​ເປັນ​ສິ່ງ​ທີ່​ສະ​ແດງ​ໃຫ້​ເຫັນ​ໃນ​ວິ​ດີ​ໂອ​, ທ່ານ​ສາ​ມາດ​ຂຽນ​ລະ​ຫັດ​ຕົນ​ເອງ​ທີ່​ບໍ່​ເປັນ​ອັນ​ຕະ​ລາຍ / .mod​).

ຂໍ້ສະຫຼຸບ:

1) ການເຂົ້າລະຫັດລະບົບບລັອກສໍາລັບ Windows ແມ່ນງ່າຍຕໍ່ການປະຕິບັດ, ແລະການປົກປ້ອງດ້ວຍລະຫັດຜ່ານດຽວແມ່ນສະດວກກວ່າການປົກປ້ອງດ້ວຍລະຫັດຜ່ານຫຼາຍຄັ້ງດ້ວຍການເຂົ້າລະຫັດລະບົບບລັອກ GNU/Linux, ເພື່ອໃຫ້ຍຸດຕິທໍາ: ສຸດທ້າຍແມ່ນອັດຕະໂນມັດ.

2) ຂ້າພະເຈົ້າໄດ້ຂຽນບົດຄວາມທີ່ກ່ຽວຂ້ອງແລະລາຍລະອຽດ ງ່າຍດາຍ ຄູ່ມືການເຂົ້າລະຫັດແບບເຕັມແຜ່ນ VeraCrypt/LUKS ຢູ່ໃນເຄື່ອງດຽວໃນເຮືອນ, ເຊິ່ງແມ່ນດີທີ່ສຸດໃນ RuNet (IMHO). ຄູ່ມືແມ່ນ > 50k ຕົວອັກສອນຍາວ, ສະນັ້ນມັນບໍ່ໄດ້ກວມເອົາບາງບົດທີ່ຫນ້າສົນໃຈ: cryptographers ທີ່ຫາຍໄປ / ເກັບຮັກສາໄວ້ໃນເງົາ; ກ່ຽວກັບຄວາມຈິງທີ່ວ່າໃນປື້ມ GNU / Linux ຕ່າງໆພວກເຂົາຂຽນພຽງເລັກນ້ອຍ / ບໍ່ຂຽນກ່ຽວກັບການເຂົ້າລະຫັດລັບ; ກ່ຽວກັບມາດຕາ 51 ຂອງລັດຖະທໍາມະນູນຂອງສະຫະພັນລັດເຊຍ; ອ ໃບອະນຸຍາດ/ ຫ້າມ ການເຂົ້າລະຫັດໃນສະຫະພັນລັດເຊຍ, ກ່ຽວກັບວ່າເປັນຫຍັງທ່ານຈໍາເປັນຕ້ອງເຂົ້າລະຫັດ "root/boot". ຄູ່ມືໄດ້ຫັນອອກຂ້ອນຂ້າງກວ້າງຂວາງ, ແຕ່ລາຍລະອຽດ. (ອະ​ທິ​ບາຍ​ເຖິງ​ແມ່ນ​ວ່າ​ຂັ້ນ​ຕອນ​ທີ່​ງ່າຍ​ດາຍ​)ໃນທາງກັບກັນ, ນີ້ຈະຊ່ວຍໃຫ້ທ່ານປະຫຍັດເວລາຫຼາຍເມື່ອທ່ານໄປຫາ "ການເຂົ້າລະຫັດທີ່ແທ້ຈິງ".

3) ການເຂົ້າລະຫັດແຜ່ນເຕັມໄດ້ຖືກປະຕິບັດໃນ Windows 7 64; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.

4​) ການ​ປະ​ຕິ​ບັດ​ການ​ໂຈມ​ຕີ​ສົບ​ຜົນ​ສໍາ​ເລັດ​ກ່ຽວ​ກັບ​ການ​ ລາວ GRUB2 bootloader.

5) Tutorial ໄດ້ຖືກສ້າງຂື້ນເພື່ອຊ່ວຍໃຫ້ທຸກຄົນ paranoid ຢູ່ໃນ CIS, ບ່ອນທີ່ການເຮັດວຽກກັບການເຂົ້າລະຫັດໄດ້ຖືກອະນຸຍາດໃນລະດັບນິຕິບັນຍັດ. ແລະຕົ້ນຕໍສໍາລັບຜູ້ທີ່ຕ້ອງການເປີດຕົວການເຂົ້າລະຫັດແຜ່ນເຕັມໂດຍບໍ່ມີການທໍາລາຍລະບົບທີ່ກໍາຫນົດເອງ.

6) ເຮັດວຽກຄືນໃຫມ່ແລະປັບປຸງຄູ່ມືຂອງຂ້ອຍ, ເຊິ່ງມີຄວາມກ່ຽວຂ້ອງໃນປີ 2020.

[G] ເອກະສານທີ່ເປັນປະໂຫຍດ

1. ຄູ່ມືຜູ້ໃຊ້ TrueCrypt (ກຸມພາ 2012 RU)
2. ເອກະສານ VeraCrypt
3. /usr/share/doc/cryptsetup(-run) [ຊັບພະຍາກອນທ້ອງຖິ່ນ] (ເອກະສານລະອຽດທີ່ເປັນທາງການກ່ຽວກັບການຕັ້ງຄ່າການເຂົ້າລະຫັດ GNU/Linux ໂດຍໃຊ້ cryptsetup)
4. ການຕັ້ງຄ່າການເຂົ້າລະຫັດລັບ FAQ ຢ່າງເປັນທາງການ (ເອກະສານສັ້ນໆກ່ຽວກັບການຕັ້ງຄ່າການເຂົ້າລະຫັດ GNU/Linux ໂດຍໃຊ້ cryptsetup)
5. ການເຂົ້າລະຫັດອຸປະກອນ LUKS (ເອກະສານ archlinux)
6. ລາຍລະອຽດຂອງ syntax cryptsetup (ໜ້າ arch man)
7. ລາຍລະອຽດຂອງ crypttab (ໜ້າ arch man)
8. ເອກະສານ GRUB2 ຢ່າງເປັນທາງການ.

Tags: ການ​ເຂົ້າ​ລະ​ຫັດ​ແຜ່ນ​ເຕັມ, ການ​ເຂົ້າ​ລະ​ຫັດ​ພາ​ທິ​ຊັນ, ການ​ເຂົ້າ​ລະ​ຫັດ​ແຜ່ນ​ເຕັມ Linux, ການ​ເຂົ້າ​ລະ​ຫັດ​ລະ​ບົບ​ເຕັມ LUKS1.

ພຽງແຕ່ຜູ້ໃຊ້ລົງທະບຽນສາມາດເຂົ້າຮ່ວມໃນການສໍາຫຼວດ. ເຂົ້າ​ສູ່​ລະ​ບົບກະລຸນາ.

ທ່ານກໍາລັງເຂົ້າລະຫັດບໍ?

• 17,1%ຂ້ອຍເຂົ້າລະຫັດທຸກຢ່າງທີ່ຂ້ອຍສາມາດເຮັດໄດ້. I am paranoid.14

• 34,2%ຂ້າພະເຈົ້າພຽງແຕ່ເຂົ້າລະຫັດຂໍ້ມູນທີ່ສໍາຄັນ.28

• 14,6%ບາງຄັ້ງຂ້ອຍເຂົ້າລະຫັດ, ບາງຄັ້ງຂ້ອຍລືມ.12

• 34,2%ບໍ່, ຂ້ອຍບໍ່ໄດ້ເຂົ້າລະຫັດ, ມັນບໍ່ສະດວກ ແລະລາຄາແພງ.28

82 ຜູ້ໃຊ້ລົງຄະແນນສຽງ. 22 ຜູ້ໃຊ້ງົດ.

ແຫຼ່ງຂໍ້ມູນ: www.habr.com