Atnaujintas viso disko šifravimo vadovas RuNet V0.2.
Kaubojų strategija:
[A] įdiegtos sistemos Windows 7 sistemos bloko šifravimas;
[B] GNU/Linux sistemos bloko šifravimas („Debian“) įdiegta sistema (įskaitant /boot);
[C] GRUB2 konfigūracija, įkrovos įkrovos apsauga su skaitmeniniu parašu/autentifikavimu/maiša;
[D] stripping – nešifruotų duomenų sunaikinimas;
[E] universali šifruotos OS atsarginė kopija;
[F] ataka <prie elemento [C6]> tikslas - GRUB2 įkrovos programa;
[G]naudingi dokumentai.
╭───#40 kambario schema# :
├──╼ Įdiegta Windows 7 – pilnas sistemos šifravimas, nepaslėptas;
├──╼ Įdiegta GNU/Linux (Debian ir išvestiniai platinimai) - pilnas sistemos šifravimas, nepaslėptas(/, įskaitant /boot; swap);
├──╼ nepriklausomi įkrovos įkrovikliai: VeraCrypt įkrovos įkroviklis įdiegtas MBR, GRUB2 įkrovos įkroviklis įdiegtas išplėstiniame skaidinyje;
├──╼Nereikalingas OS diegimas/iš naujo įdiegimas;
└──╼Naudojama kriptografinė programinė įranga: VeraCrypt; kriptovaliutų nustatymas; GnuPG; Jūrų arkliukas; Hashdeep; GRUB2 yra nemokamas / nemokamas.
Aukščiau pateikta schema iš dalies išsprendžia „nuotolinio paleidimo į „flash drive“ problemą, leidžia mėgautis šifruota „Windows“ / „Linux“ OS ir keistis duomenimis „šifruotu kanalu“ iš vienos OS į kitą.
Kompiuterio įkrovos tvarka (viena iš parinkčių):
- mašinos įjungimas;
- įkeliant „VeraCrypt“ įkrovos tvarkyklę (įvedus teisingą slaptažodį ir toliau bus paleista „Windows 7“);
- paspaudus klavišą "Esc", bus įkelta GRUB2 įkrovos programa;
- GRUB2 įkrovos įkroviklis (pasirinkite platinimą/GNU/Linux/CLI), reikės autentifikuoti GRUB2 supervartotoją <prisijungimas/slaptažodis>;
- po sėkmingo autentifikavimo ir platinimo pasirinkimo turėsite įvesti slaptafrazę, kad atrakintumėte „/boot/initrd.img“;
- įvedus slaptažodžius be klaidų, GRUB2 „reikalaus“ slaptažodžio įvedimo (trečia, BIOS slaptažodis arba GNU/Linux vartotojo abonemento slaptažodis – neatsižvelgiama) atrakinti ir paleisti GNU/Linux OS arba automatinį slaptojo rakto pakeitimą (du slaptažodžiai + raktas arba slaptažodis + raktas);
- išorinis įsibrovimas į GRUB2 konfigūraciją užšaldys GNU/Linux įkrovos procesą.
Varginantis? Gerai, eikime automatizuoti procesus.
Kai skaidomas standusis diskas (MBR lentelė) Kompiuteryje gali būti ne daugiau kaip 4 pagrindiniai skaidiniai arba 3 pagrindiniai ir vienas išplėstinis, taip pat nepaskirstyta sritis. Išplėstinėje dalyje, skirtingai nei pagrindinėje, gali būti poskyrių (loginiai diskai = išplėstinis skaidinys). Kitaip tariant, HDD „išplėstinis skaidinys“ pakeičia LVM atliekamai užduočiai: visiškam sistemos šifravimui. Jei jūsų diskas yra padalintas į 4 pagrindinius skaidinius, turite naudoti lvm arba transformuoti (su formatavimu) skyrių nuo pagrindinės iki išplėstinės arba protingai naudokite visas keturias dalis ir palikite viską taip, kaip yra, gaudami norimą rezultatą. Net jei diske yra vienas skaidinys, Gparted padės skaidyti HDD (papildomiems skyriams) neprarandant duomenų, bet vis tiek su nedidele bauda už tokius veiksmus.
Kietojo disko išdėstymo schema, pagal kurią bus žodinis visas straipsnis, pateikta lentelėje žemiau.
1TB skaidinių lentelė (Nr. 1).
Jūs taip pat turėtumėte turėti kažką panašaus.
sda1 – pagrindinis skaidinys Nr. 1 NTFS (šifruotas);
sda2 - išplėstinis sekcijos žymeklis;
sda6 - loginis diskas (jame įdiegta GRUB2 įkrovos programa);
sda8 - apsikeitimas (šifruotas apsikeitimo failas/ne visada);
sda9 - patikrinkite loginį diską;
sda5 - loginis diskas smalsiems;
sda7 - GNU/Linux OS (perkelta OS į užšifruotą loginį diską);
sda3 - pagrindinis skaidinys Nr. 2 su Windows 7 OS (šifruotas);
sda4 – pagrindinė sekcija Nr.3 (jame buvo nešifruotas GNU / Linux, naudojamas atsarginei kopijai / ne visada).
[A] „Windows 7“ sistemos bloko šifravimas
A1. VeraCrypt
Įkeliama iš , arba iš veidrodžio VeraCrypt kriptografinės programinės įrangos diegimo versija (straipsnio v1.24-Update3 paskelbimo metu nešiojama VeraCrypt versija netinka sistemos šifravimui). Patikrinkite atsisiųstos programinės įrangos kontrolinę sumą
$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256
ir palyginkite rezultatą su VeraCrypt kūrėjų svetainėje paskelbtu CS.
Jei įdiegta „HashTab“ programinė įranga, tai dar paprasčiau: RMB („VeraCrypt Setup 1.24.exe“)-ypatybės - failų maišos suma.
Norint patikrinti programos parašą, programinė įranga ir kūrėjo viešasis pgp raktas turi būti įdiegtas sistemoje ; .
A2. VeraCrypt programinės įrangos diegimas / paleidimas administratoriaus teisėmis
A3. Aktyvaus skaidinio sistemos šifravimo parametrų pasirinkimas„VeraCrypt“ – Sistema – Šifruoti sistemos skaidinį / diską – Normalus – Šifruoti „Windows“ sistemos skaidinį – Multiboot – (įspėjimas: „Nepatyrusiems vartotojams nerekomenduojama naudoti šio metodo“ ir tai tiesa, mes sutinkame „Taip“) - Įkrovos diskas („taip“, net jei ne, vis tiek „taip“) – Sistemos diskų skaičius „2 ar daugiau“ – Kelios sistemos viename diske „Taip“ – Ne Windows įkrovos įkroviklis „Ne“ (iš tikrųjų „Taip“, bet VeraCrypt/GRUB2 įkrovos įkrovikliai tarpusavyje nesidalins MBR; tiksliau, tik mažiausia įkrovos kodo dalis yra saugoma MBR/įkrovos takelyje, pagrindinė jo dalis yra esantis failų sistemoje) – Multiboot – Šifravimo nustatymai…
Jei nukrypsite nuo pirmiau nurodytų veiksmų (blokuoti sistemos šifravimo schemas), tada VeraCrypt pateiks įspėjimą ir neleis užšifruoti skaidinio.
Kitame tikslinės duomenų apsaugos žingsnyje atlikite „Testą“ ir pasirinkite šifravimo algoritmą. Jei turite pasenusį procesorių, greičiausiai greičiausias šifravimo algoritmas bus „Twofish“. Jei procesorius galingas, pastebėsite skirtumą: AES šifravimas, remiantis testo rezultatais, bus kelis kartus greitesnis nei jo kriptovaliutų konkurentai. AES yra populiarus šifravimo algoritmas, šiuolaikinių procesorių aparatinė įranga yra specialiai optimizuota tiek „slaptam“, tiek „įsilaužimui“.
„VeraCrypt“ palaiko galimybę šifruoti diskus AES kaskadoje(Dvi žuvys)/ir kiti deriniai. Sename branduoliniame „Intel“ procesoriuje prieš dešimt metų (be aparatinės įrangos palaikymo AES, A/T kaskadiniam šifravimui) Veikimo sumažėjimas iš esmės nepastebimas. (to paties eros / ~ parametrų AMD procesorių našumas šiek tiek sumažėja). OS veikia dinamiškai, o resursų suvartojimas skaidriam šifravimui yra nematomas. Priešingai, pavyzdžiui, pastebimai sumažėjo našumas dėl įdiegtos nestabilios bandomosios darbalaukio aplinkos Mate v1.20.1 (arba v1.20.2 tiksliai neprisimenu) GNU/Linux, arba dėl telemetrijos rutinos veikimo Windows7↑. Paprastai patyrę vartotojai prieš šifravimą atlieka aparatinės įrangos veikimo testus. Pavyzdžiui, Aida64/Sysbench/systemd-analyze kaltinimas lyginamas su tų pačių testų rezultatais po sistemos šifravimo, taip paneigiant mitą, kad „sistemos šifravimas yra žalingas“. Mašinos sulėtėjimas ir nepatogumai pastebimi darant atsargines kopijas/atkuriant šifruotus duomenis, nes pati “sistemos duomenų atsarginė kopija” operacija nėra matuojama ms, o pridedami tie patys <decrypt/encrypt on the fly>. Galiausiai kiekvienas vartotojas, kuriam leidžiama dirbti su kriptografija, subalansuoja šifravimo algoritmą su atliekamų užduočių pasitenkinimu, savo paranojos lygiu ir naudojimo paprastumu.
PIM parametrą geriau palikti kaip numatytąjį, kad įkeliant OS nereikėtų kiekvieną kartą įvesti tikslių iteracijos reikšmių. „VeraCrypt“ naudoja daugybę pakartojimų, kad sukurtų tikrai „lėtą maišą“. Tokios „kriptografinės sraigės“ puolimas naudojant Brute force/rainbow tables metodą yra prasmingas tik naudojant trumpą „paprastą“ slaptafrazę ir aukos asmeninį simbolių sąrašą. Kaina, kurią reikia mokėti už slaptažodžio stiprumą, yra delsimas įvesti teisingą slaptažodį įkeliant OS. (VeraCrypt tomų montavimas GNU/Linux yra žymiai greitesnis).
Nemokama programinė įranga, skirta brutalios jėgos atakoms įgyvendinti (ištraukite slaptafrazę iš VeraCrypt / LUKS disko antraštės) Hashcat. Jonas Skerdikas nemoka „sulaužyti Veracrypt“, o dirbdamas su LUKS nesupranta Twofish kriptografijos.
Dėl šifravimo algoritmų kriptografinio stiprumo nesustabdomi šifravimo pankai kuria programinę įrangą su skirtingu atakos vektoriumi. Pavyzdžiui, metaduomenų / raktų ištraukimas iš RAM (šaltojo įkrovos / tiesioginės prieigos prie atminties ataka), Šiems tikslams yra specializuota nemokama ir nemokama programinė įranga.
Užbaigus šifruoto aktyvaus skaidinio „unikalių metaduomenų“ nustatymą / generavimą, „VeraCrypt“ pasiūlys iš naujo paleisti kompiuterį ir išbandyti įkrovos įkroviklio funkcionalumą. Perkrovus/paleidus Windows, VeraCrypt įkeliamas budėjimo režimu, belieka patvirtinti šifravimo procesą – Y.
Paskutiniame sistemos šifravimo etape „VeraCrypt“ pasiūlys sukurti atsarginę aktyvaus šifruoto skaidinio antraštės kopiją „veracrypt“ gelbėjimo disk.iso pavidalu - tai turi būti padaryta - šioje programinėje įrangoje tokia operacija yra būtina (LUKS kaip reikalavimas - tai, deja, praleista, bet akcentuojama dokumentacijoje). Gelbėjimo diskas pravers kiekvienam, o kai kam ir ne vieną kartą. Pralaimėjimas (antraštė / MBR perrašymas) atsarginė antraštės kopija visam laikui uždraus prieigą prie iššifruoto skaidinio naudojant OS Windows.
A4. VeraCrypt gelbėjimo USB / disko sukūrimasPagal numatytuosius nustatymus „VeraCrypt“ siūlo įrašyti „~ 2–3 MB metaduomenų“ į kompaktinį diską, tačiau ne visi žmonės turi diskus ar DWD-ROM įrenginius, o įkrovos „flash drive“ „VeraCrypt Rescue disk“ sukūrimas kai kuriems bus techninė staigmena: „Rufus /GUIdd-ROSA ImageWriter“ ir kita panaši programinė įranga negalės susidoroti su užduotimi, nes ne tik nukopijuokite poslinkio metaduomenis į įkrovos „flash“ diską, bet ir nukopijuokite / įklijuokite vaizdą už USB disko failų sistemos ribų, Trumpai tariant, teisingai nukopijuokite MBR / kelią į raktų pakabuką. Galite sukurti įkrovos „flash drive“ iš GNU/Linux OS naudodami „dd“ įrankį, žiūrėdami į šį ženklą.
Gelbėjimo disko kūrimas „Windows“ aplinkoje skiriasi. „VeraCrypt“ kūrėjas šios problemos sprendimo neįtraukė į oficialią informaciją „Rescue Disk“, bet pasiūlė kitokį sprendimą: savo „VeraCrypt“ forume jis paskelbė papildomą programinę įrangą „usb gelbėjimo diskui“, kad būtų galima nemokamai pasiekti. Šios programinės įrangos, skirtos „Windows“, archyvaras „kuria usb veracrypt gelbėjimo diską“. Išsaugojus gelbėjimo disk.iso, prasidės aktyvaus skaidinio blokinės sistemos šifravimo procesas. Šifravimo metu OS veikimas nesustoja, kompiuterio paleisti iš naujo nereikia. Užbaigus šifravimo operaciją, aktyvus skaidinys tampa visiškai užšifruotas ir gali būti naudojamas. Jei paleidus kompiuterį nerodomas „VeraCrypt“ įkrovos įkroviklis, o antraštės atkūrimo operacija nepadeda, patikrinkite „boot“ vėliavėlę, ji turi būti nustatyta į skaidinį, kuriame yra „Windows“. (nepriklausomai nuo šifravimo ir kitos OS, žr. lentelę Nr. 1).
Tai užbaigia blokinės sistemos šifravimo su Windows OS aprašymu.
[B]LUKS. GNU/Linux šifravimas (~ Debian) įdiegta OS. Algoritmas ir žingsniai
Norint užšifruoti įdiegtą Debian/išvestinį platinimą, paruoštą skaidinį reikia susieti su virtualaus bloko įrenginiu, perkelti jį į susietą GNU/Linux diską ir įdiegti/konfigūruoti GRUB2. Jei neturite metalinio serverio ir vertinate savo laiką, tuomet turite naudoti GUI, o dauguma toliau aprašytų terminalo komandų yra skirtos paleisti „Chuck-Norris režimu“.
B1. Paleidžiamas kompiuteris iš tiesioginio usb GNU/Linux
„Atlikite aparatūros našumo kriptovaliutų testą“
lscpu && сryptsetup benchmark
Jei esate laimingas galingo automobilio, turinčio AES techninės įrangos palaikymą, savininkas, tada skaičiai atrodys kaip dešinė terminalo pusė, jei esate laimingas savininkas, tačiau su antikvarine įranga skaičiai atrodys kaip kairėje pusėje.
B2. Disko skaidymas. fs loginio disko tvirtinimas / formatavimas į Ext4 (Gparted)
B2.1. Šifruotos sda7 skaidinio antraštės kūrimasČia ir toliau aprašysiu skaidinių pavadinimus pagal aukščiau paskelbtą skaidinių lentelę. Atsižvelgiant į disko išdėstymą, turite pakeisti savo skaidinių pavadinimus.
Loginio disko šifravimo atvaizdavimas (/dev/sda7 > /dev/mapper/sda7_crypt).
#Lengvas „LUKS-AES-XTS skaidinio“ kūrimas
cryptsetup -v -y luksFormat /dev/sda7Pasirinkimai:
* luksFormat - LUKS antraštės inicijavimas;
* -y -slaptažodžio frazė (ne raktas/failas);
* -v -verbalizacija (informacijos atvaizdavimas terminale);
* /dev/sda7 – jūsų loginis diskas iš išplėstinio skaidinio (kur planuojama perkelti/šifruoti GNU/Linux).
Numatytasis šifravimo algoritmas <LUKS1: aes-xts-plain64, raktas: 256 bitai, LUKS antraštės maiša: sha256, RNG: /dev/urandom> (priklauso nuo kriptovaliutos versijos).
#Проверка default-алгоритма шифрования
cryptsetup --help #самая последняя строка в выводе терминала.Jei CPU nėra AES aparatinės įrangos palaikymo, geriausias pasirinkimas būtų sukurti išplėstinį „LUKS-Twofish-XTS skaidinį“.
B2.2. Pažangus „LUKS-Twofish-XTS skaidinio“ kūrimas
cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom
Pasirinkimai:
* luksFormat - LUKS antraštės inicijavimas;
* /dev/sda7 yra jūsų būsimas šifruotas loginis diskas;
* -v verbalizacija;
* -y slaptafrazė;
* -c pasirinkti duomenų šifravimo algoritmą;
* -s šifravimo rakto dydis;
* -h maišos algoritmas / šifravimo funkcija, naudojamas RNG (--naudoti-urandom) sukurti unikalų šifravimo / iššifravimo raktą loginei disko antraštei, antrinį antraštės raktą (XTS); unikalus pagrindinis raktas, saugomas užšifruotoje disko antraštėje, antrinis XTS raktas, visi šie metaduomenys ir šifravimo tvarka, kuri, naudojant pagrindinį raktą ir antrinį XTS raktą, užšifruoja / iššifruoja visus skaidinio duomenis. (išskyrus skyriaus pavadinimą) saugomi ~3MB pasirinktame standžiojo disko skaidinyje.
* -i iteracijos milisekundėmis, o ne "suma" (laiko delsa apdorojant slaptafrazę turi įtakos OS įkėlimui ir raktų kriptografiniam stiprumui). Norint išlaikyti kriptografinio stiprumo pusiausvyrą, naudojant paprastą slaptažodį, pvz., „rusiškas“, reikia padidinti -(i) reikšmę naudojant sudėtingą slaptažodį, pvz., „?8dƱob/øfh“, reikšmę galima sumažinti.
* - naudokite atsitiktinių skaičių generatorių, generuoja raktus ir druską.
Suvedus sekciją sda7 > sda7_crypt (operacija greita, nes sukuriama šifruota antraštė su ~3 MB metaduomenų ir viskas), turite suformatuoti ir prijungti failų sistemą sda7_crypt.
B2.3. Palyginimas
cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.
aprašymas:
* atidaryti - suderinkite skyrių „su pavadinimu“;
* /dev/sda7 -loginis diskas;
* sda7_crypt – vardų susiejimas, naudojamas šifruotam skaidiniui prijungti arba inicijuoti, kai paleidžiama OS.
B2.4. sda7_crypt failų sistemos formatavimas į ext4. Disko montavimas OS(Pastaba: „Gparted“ negalėsite dirbti su užšifruotu skaidiniu)
#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt
aprašymas:
* -v -verbalizacija;
* -L - disko etiketė (kuri rodoma Explorer tarp kitų diskų).
Tada prie sistemos turėtumėte prijungti virtualiai šifruotą blokinį įrenginį /dev/sda7_crypt
mount /dev/mapper/sda7_crypt /mntDirbant su failais aplanke /mnt, sda7 duomenys bus automatiškai užšifruoti / iššifruoti.
Patogiau susieti ir prijungti skaidinį naršyklėje (nautilus / caja GUI), skaidinys jau bus disko pasirinkimo sąraše, belieka įvesti slaptafrazę, kad diskas būtų atidarytas/iššifruotas. Atitiktas pavadinimas bus pasirinktas automatiškai, o ne „sda7_crypt“, o kažkas panašaus į /dev/mapper/Luks-xx-xx...
B2.5. Disko antraštės atsarginė kopija (~3 MB metaduomenys)Vienas iš labiausiai svarbu operacijos, kurias reikia atlikti nedelsiant - „sda7_crypt“ antraštės atsarginė kopija. Jei perrašysite / sugadinsite antraštę (pvz., GRUB2 diegimas sda7 skaidinyje ir kt.), užšifruoti duomenys bus visiškai prarasti be galimybės juos atkurti, nes nebus įmanoma iš naujo sugeneruoti tų pačių raktų, sukurti unikaliai.
#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7
#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>
aprašymas:
* luksHeaderBackup —header-backup-file -backup komanda;
* luksHeaderRestore —header-backup-file -restore komanda;
* ~/Backup_DebSHIFR – atsarginės kopijos failas;
* /dev/sda7 – skaidinys, kurio šifruotos disko antraštės atsarginė kopija turi būti išsaugota.
Šiuo žingsniu <šifruoto skaidinio kūrimas ir redagavimas> baigtas.
B3. GNU/Linux OS perkėlimas (sda4) į užšifruotą skaidinį (sda7)
Sukurkite aplanką /mnt2 (Pastaba – mes vis dar dirbame su tiesioginiu USB, sda7_crypt yra prijungtas /mnt), ir įdėkite mūsų GNU/Linux į /mnt2, kurį reikia užšifruoti.
mkdir /mnt2
mount /dev/sda4 /mnt2
Teisingą OS perkėlimą atliekame naudodami Rsync programinę įrangą
rsync -avlxhHX --progress /mnt2/ /mntRsync parinktys aprašytos E1 pastraipoje.
Be to, turi defragmentuoti loginį disko skaidinį
e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux
Padarykite tai taisykle: retkarčiais atlikite e4defrag užšifruotame GNU/LINux, jei turite HDD.
Perkėlimas ir sinchronizavimas [GNU/Linux > GNU/Linux-šifruotas] baigiamas šiuo žingsniu.
4 d. GNU/Linux nustatymas šifruotame sda7 skaidinyje
Sėkmingai perkėlus OS /dev/sda4 > /dev/sda7, užšifruotame skaidinyje turite prisijungti prie GNU/Linux ir atlikti tolesnę konfigūraciją (neperkraunant kompiuterio) palyginti su šifruota sistema. Tai yra, būkite tiesioginiame USB, bet vykdykite komandas „užšifruotos OS šaknies atžvilgiu“. „chroot“ imituos panašią situaciją. Norėdami greitai gauti informaciją, su kuria OS šiuo metu dirbate (šifruoti ar ne, nes sda4 ir sda7 duomenys yra sinchronizuojami), desinchronizuoti OS. Sukurti šakniniuose kataloguose (sda4 / sda7_crypt) tuščius žymeklio failus, pvz., /mnt/encryptedOS ir /mnt2/decryptedOS. Greitai patikrinkite, kokią OS naudojate (įskaitant ateičiai):
ls /<Tab-Tab>B4.1. „Prisijungimo prie šifruotos OS modeliavimas“
mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt
B4.2. Patikrinimas, ar darbas atliekamas naudojant šifruotą sistemą
ls /mnt<Tab-Tab>
#и видим файл "/шифрованнаяОС"
history
#в выводе терминала должна появиться история команд su рабочей ОС.B4.3. Šifruoto apsikeitimo kūrimas/konfigūravimas, crypttab/fstab redagavimasKadangi apsikeitimo failas formatuojamas kiekvieną kartą, kai paleidžiama OS, nėra prasmės dabar kurti ir susieti apsikeitimo failą į loginį diską ir įvesti komandas, kaip nurodyta B2.2 pastraipoje. „Swap“ laikinieji šifravimo raktai bus automatiškai sugeneruoti kiekvieną kartą paleidžiant. Apsikeitimo raktų gyvavimo ciklas: mainų skaidinio atjungimas / išmontavimas (+ RAM valymas); arba iš naujo paleiskite OS. Apsikeitimo nustatymas, failo, atsakingo už blokuojamų šifruotų įrenginių konfigūravimą, atidarymas (analogiškas fstab failui, bet atsakingas už šifravimą).
nano /etc/crypttab mes redaguojame
#"tikslinio pavadinimas" "šaltinio įrenginys" "rakto failas" "parinktys"
swap /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512
Galimybės
* swap – susietas pavadinimas šifruojant /dev/mapper/swap.
* /dev/sda8 – naudokite savo loginį skaidinį apsikeitimui.
* /dev/urandom - atsitiktinių šifravimo raktų generatorius apsikeitimui (su kiekvienu nauju OS paleidimu sukuriami nauji raktai). /dev/urandom generatorius yra mažiau atsitiktinis nei /dev/random, juk /dev/random naudojamas dirbant pavojingomis paranoidinėmis aplinkybėmis. Įkeliant OS, /dev/random sulėtėja įkėlimas kelioms ± minutėms (žr. systemd-analyze).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -skirstinys žino, kad yra apsikeitimas ir yra suformatuotas „atitinkamai“; šifravimo algoritmas.
#Открываем и правим fstab
nano /etc/fstab
mes redaguojame
Diegimo metu # swap buvo /dev/sda8
/dev/mapper/swap none swap sw 0 0
/dev/mapper/swap yra pavadinimas, kuris buvo nustatytas crypttab.
Alternatyvus šifruotas apsikeitimas
Jei dėl kokių nors priežasčių nenorite atsisakyti viso keitimo failo skaidinio, galite pasirinkti alternatyvų ir geresnį būdą: sukurti apsikeitimo failą faile, esančiame užšifruotame skaidinyje su OS.
fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянныйApsikeitimo skaidinio sąranka baigta.
B4.4. Šifruoto GNU/Linux nustatymas (crypttab/fstab failų redagavimas)Failas /etc/crypttab, kaip parašyta aukščiau, aprašo užšifruotus blokinius įrenginius, kurie sukonfigūruojami paleidžiant sistemą.
#правим /etc/crypttab
nano /etc/crypttab
jei atitikote sda7>sda7_crypt sekciją, kaip nurodyta B2.1 pastraipoje
# "tikslinio pavadinimas" "šaltinio įrenginys" "rakto failas" "parinktys"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks
jei atitikote sda7>sda7_crypt sekciją, kaip nurodyta B2.2 pastraipoje
# "tikslinio pavadinimas" "šaltinio įrenginys" "rakto failas" "parinktys"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512
jei atitikote skyrių sda7>sda7_crypt, kaip nurodyta B2.1 arba B2.2 pastraipoje, bet nenorite iš naujo įvesti slaptažodžio, kad atrakintumėte ir paleistumėte OS, tada vietoj slaptažodžio galite pakeisti slaptąjį raktą / atsitiktinį failą
# "tikslinio pavadinimas" "šaltinio įrenginys" "rakto failas" "parinktys"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks
aprašymas
* None - praneša, kad įkeliant OS, norint atrakinti šaknį, reikia įvesti slaptą slaptafrazę.
* UUID – skaidinio identifikatorius. Norėdami sužinoti savo ID, įveskite terminalą (priminimas, kad nuo šio laiko jūs dirbate terminale chroot aplinkoje, o ne kitame tiesioginiame USB terminale).
fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное
/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»
ši eilutė matoma, kai prašoma „blkid“ iš tiesioginio USB terminalo su prijungta sda7_crypt).
Jūs paimate UUID iš savo sdaX (ne sdaX_crypt!, UUID sdaX_crypt – bus automatiškai paliktas generuojant grub.cfg konfigūraciją).
* Cipher=twofish-xts-plain64,size=512,hash=sha512 -Luks šifravimas išplėstiniu režimu.
* /etc/skey – slaptojo rakto failas, kuris automatiškai įterpiamas norint atrakinti OS įkrovą (užuot įvedę 3 slaptažodį). Galite nurodyti bet kokį failą iki 8 MB, bet duomenys bus nuskaityti <1 MB.
#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey
#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7
Tai atrodys maždaug taip:
(padarykite tai patys ir įsitikinkite).
cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота/etc/fstab yra aprašomoji informacija apie įvairias failų sistemas.
#Правим /etc/fstab
nano /etc/fstab
# "failų sistema" "prijungimo taškas" "tipas" "parinktys" "išrašyti" "praleisti"
Diegimo metu # / buvo /dev/sda7
/dev/mapper/sda7_crypt / ext4 errors=remount-ro 0 1
pasirinkimas
* /dev/mapper/sda7_crypt – sda7>sda7_crypt atvaizdavimo pavadinimas, kuris nurodytas /etc/crypttab faile.
crypttab/fstab sąranka baigta.
B4.5. Konfigūracijos failų redagavimas. Pagrindinis momentasB4.5.1. Redaguoti konfigūraciją /etc/initramfs-tools/conf.d/resume
#Если у вас ранее был активирован swap раздел, отключите его.
nano /etc/initramfs-tools/conf.d/resume
ir komentuoti (jei yra) „#“ eilutė „atnaujinti“. Failas turi būti visiškai tuščias.
B4.5.2. Konfigūracijos /etc/initramfs-tools/conf.d/cryptsetup redagavimas
nano /etc/initramfs-tools/conf.d/cryptsetupturėtų sutapti
# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=taip
eksportuoti CRYPTSETUP
B4.5.3. /etc/default/grub konfigūracijos redagavimas (ši konfigūracija yra atsakinga už galimybę generuoti grub.cfg dirbant su užšifruotu /boot)
nano /etc/default/grub
pridėkite eilutę „GRUB_ENABLE_CRYPTODISK=y“
reikšmė "y", grub-mkconfig ir grub-install patikrins, ar nėra užšifruotų diskų ir generuos papildomas komandas, reikalingas norint juos pasiekti įkrovos metu (insmods ).
turi būti panašumas
GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian'as
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=tiekėjas"
GRUB_CMDLINE_LINUX="tylus splash beautomount"
GRUB_ENABLE_CRYPTODISK=y
B4.5.4. Redaguoti konfigūraciją /etc/cryptsetup-initramfs/conf-hook
nano /etc/cryptsetup-initramfs/conf-hook
patikrinkite, ar linija pakomentavo <#>.
Ateityje (ir ir dabar šis parametras neturės jokios reikšmės, bet kartais trukdo atnaujinti initrd.img vaizdą).
B4.5.5. Redaguoti konfigūraciją /etc/cryptsetup-initramfs/conf-hook
nano /etc/cryptsetup-initramfs/conf-hookpridėti
KEYFILE_PATTERN=”/etc/skey”
UMASK=0077
Tai supakuosis slaptąjį raktą „skey“ į initrd.img, raktas reikalingas šakninei atrakinti, kai paleidžiama OS (jei nenorite dar kartą įvesti slaptažodžio, automobilio raktas pakeičiamas raktu).
B4.6. Atnaujinti /boot/initrd.img [versija]Norėdami supakuoti slaptąjį raktą į initrd.img ir pritaikyti kripto nustatymo pataisas, atnaujinkite vaizdą
update-initramfs -u -k all
atnaujinant initrd.img (kaip sakoma: „Tai įmanoma, bet neaišku“) bus rodomi įspėjimai, susiję su kriptovaliuta, arba, pavyzdžiui, pranešimas apie „Nvidia“ modulių praradimą – tai normalu. Atnaujinę failą, patikrinkite, ar jis tikrai buvo atnaujintas, pažiūrėkite laiką (lyginant su chroot aplinka./boot/initrd.img). Dėmesio! prieš [update-initramfs -u -k all] būtinai patikrinkite, ar atidaryta kriptovaliuta /dev/sda7 sda7_crypt - tai yra pavadinimas, kuris rodomas /etc/crypttab, kitaip po paleidimo iš naujo bus „busybox“ klaida)
Šiame žingsnyje konfigūracijos failų nustatymas baigtas.
[C] GRUB2/Protection diegimas ir konfigūravimas
C1. Jei reikia, suformatuokite įkrovos įkrovikliui skirtą skaidinį (skaičiui reikia mažiausiai 20 MB)
mkfs.ext4 -v -L GRUB2 /dev/sda6C2. Prijunkite /dev/sda6 prie /mntTaigi dirbame chroot, tada šaknyje nebus /mnt2 katalogo, o aplankas /mnt bus tuščias.
prijunkite GRUB2 skaidinį
mount /dev/sda6 /mntJei turite įdiegtą senesnę GRUB2 versiją, aplanke /mnt/boot/grub/i-386-pc (galima ir kita platforma, pvz., ne „i386-pc“) nėra kriptovaliutų modulių (trumpai tariant, aplanke turėtų būti modulių, įskaitant šiuos .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), tokiu atveju GRUB2 reikia pakratyti.
apt-get update
apt-get install grub2
Svarbu! Atnaujinant GRUB2 paketą iš saugyklos, paklausus „apie pasirinkimą“, kur įdiegti įkrovos įkroviklį, turite atsisakyti diegimo (priežastis - bandymas įdiegti GRUB2 - „MBR“ arba tiesioginiame USB). Priešingu atveju sugadinsite „VeraCrypt“ antraštę / įkroviklį. Atnaujinus GRUB2 paketus ir atšaukus diegimą, įkrovos įkroviklis turi būti rankiniu būdu įdiegtas loginiame diske, o ne MBR. Jei jūsų saugykloje yra pasenusi GRUB2 versija, pabandykite tai iš oficialios svetainės – jos netikrinau (dirbo su naujausiais GRUB 2.02 ~ BetaX įkrovos įkrovikliais).
C3. GRUB2 diegimas išplėstiniame skaidinyje [sda6]Turite turėti prijungtą skaidinį [elementas C.2]
grub-install --force --root-directory=/mnt /dev/sda6
parinktys
* – priverstinis – įkrovos įkrovos diegimas, apeinant visus beveik visada egzistuojančius įspėjimus ir blokuojant diegimą (būtina vėliavėlė).
* --root-directory - katalogo diegimas iki sda6 šaknies.
* /dev/sda6 – jūsų sdaХ skaidinys (nepraleiskite <tarpo> tarp /mnt /dev/sda6).
C4. Konfigūracijos failo [grub.cfg] kūrimasPamirškite komandą „update-grub2“ ir naudokite visos konfigūracijos failo generavimo komandą
grub-mkconfig -o /mnt/boot/grub/grub.cfg
užbaigus grub.cfg failo generavimą / atnaujinimą, išvesties terminale turi būti eilutė (-ės) su diske esančia OS („Grub-mkconfig“ tikriausiai suras ir pasiims OS iš tiesioginio USB, jei turite kelių įkrovų „flash drive“ su „Windows 10“ ir daugybę tiesioginių platinimų - tai normalu). Jei terminalas yra „tuščias“ ir failas „grub.cfg“ nesugeneruotas, tai tas pats atvejis, kai sistemoje yra GRUB klaidų (ir greičiausiai įkroviklis iš saugyklos bandomosios šakos), iš naujo įdiekite GRUB2 iš patikimų šaltinių.
„Paprastos konfigūracijos“ diegimas ir GRUB2 sąranka baigta.
C5. Šifruotos GNU/Linux OS patikrinimo testasMes teisingai atliekame šifravimo misiją. Atsargiai palikite užšifruotą GNU/Linux (išeiti iš chroot aplinkos).
umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot
Iš naujo paleidus kompiuterį, „VeraCrypt“ įkrovos įkroviklis turėtų būti įkeltas.
*Įvedus aktyvaus skaidinio slaptažodį bus pradėta įkelti Windows.
*Paspaudus „Esc“ klavišą, valdymas bus perkeltas į GRUB2, jei pasirinksite šifruotą GNU/Linux – norint atrakinti /boot/initrd.img reikės slaptažodžio (sda7_crypt) (jei grub2 rašo uuid „nerasta“ – tai yra problema su grub2 įkrovos įkrovikliu, ją reikia įdiegti iš naujo, pvz., iš bandomosios šakos / stabilios ir pan.).
*Priklausomai nuo to, kaip sukonfigūravote sistemą (žr. B4.4/4.5 pastraipą), įvedę teisingą slaptažodį, kad atrakintumėte /boot/initrd.img vaizdą, jums reikės slaptažodžio, kad įkeltumėte OS branduolį / šaknį arba paslaptį. raktas bus automatiškai pakeistas "skey", todėl nebereikės iš naujo įvesti slaptafrazės.
(ekranas „automatinis slaptojo rakto pakeitimas“).
*Toliau bus pažįstamas GNU/Linux įkėlimo procesas su vartotojo abonemento autentifikavimu.
*Po naudotojo prieigos teisės ir prisijungimo prie OS turite dar kartą atnaujinti /boot/initrd.img (žr. B4.6).
update-initramfs -u -k allIr esant papildomoms eilutėms GRUB2 meniu (iš OS-m paėmimo su tiesioginiu usb) atsikratyti jų
mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg
Greita GNU/Linux sistemos šifravimo santrauka:
- GNU/Linuxinux yra visiškai užšifruotas, įskaitant /boot/kernel ir initrd;
- slaptasis raktas yra supakuotas initrd.img;
- dabartinė leidimų schema (slaptažodžio įvedimas norint atrakinti initrd; slaptažodis / raktas OS paleidimui; slaptažodis Linux paskyrai autorizuoti).
„Simple GRUB2 Configuration“ sistemos bloko skaidinio šifravimas baigtas.
C6. Išplėstinė GRUB2 konfigūracija. Bootloader apsauga su skaitmeniniu parašu + autentifikavimo apsaugaGNU/Linux yra visiškai užšifruotas, tačiau įkrovos įkroviklis negali būti užšifruotas – šią sąlygą diktuoja BIOS. Dėl šios priežasties grandininis šifruotas GRUB2 paleidimas negalimas, tačiau paprastas grandininis įkrovimas yra įmanomas/galimas, tačiau saugumo požiūriu tai nėra būtina [žr. P. F].
„Pažeidžiamam“ GRUB2 kūrėjai įdiegė „parašo / autentifikavimo“ įkrovos įkrovos apsaugos algoritmą.
- Kai įkrovos įkroviklis yra apsaugotas „savo skaitmeniniu parašu“, išorinis failų modifikavimas arba bandymas įkelti papildomus modulius į šią įkrovos įkroviklį gali blokuoti įkėlimo procesą.
- Apsaugodami įkrovos įkroviklį autentifikavimu, norėdami pasirinkti paskirstymo įkėlimą arba įvesti papildomas komandas CLI, turėsite įvesti supervartotojo-GRUB2 prisijungimo vardą ir slaptažodį.
C6.1. Bootloader autentifikavimo apsaugaPatikrinkite, ar dirbate terminale su šifruota OS
ls /<Tab-Tab> #обнаружить файл-маркерsukurti supervartotojo slaptažodį autorizacijai GRUB2
grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. Gaukite slaptažodžio maišą. Kažkas panašaus į tai
grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
prijunkite GRUB skaidinį
mount /dev/sda6 /mnt redaguoti konfigūraciją
nano -$ /mnt/boot/grub/grub.cfg
patikrinkite failų paiešką, kad niekur „grub.cfg“ („-unrestricted“ „-user“,
pridėti pačioje pabaigoje (prieš eilutę ### END /etc/grub.d/41_custom ###)
"set superusers="root"
password_pbkdf2 šakninė maiša.
Tai turėtų būti kažkas tokio
# Šis failas suteikia paprastą būdą įtraukti pasirinktinius meniu įrašus. Tiesiog įveskite
# meniu įrašų, kuriuos norite pridėti po šio komentaro. Būkite atsargūs, kad nepasikeistumėte
# viršuje esanti eilutė „exec tail“.
### END /etc/grub.d/40_custom ###### BEGIN /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; tada
šaltinis ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; tada
šaltinis $prefix/custom.cfg;
fi
nustatyti superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#
Jei dažnai naudojate komandą „grub-mkconfig -o /mnt/boot/grub/grub.cfg“ ir nenorite kaskart keisti grub.cfg, įveskite aukščiau pateiktas eilutes. (Prisijungimo slaptažodis) pačiame apačioje esančiame GRUB vartotojo scenarijuje
nano /etc/grub.d/41_custom katė <<EOF
nustatyti superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF
Generuojant konfigūraciją „grub-mkconfig -o /mnt/boot/grub/grub.cfg“, už autentifikavimą atsakingos eilutės bus automatiškai įtrauktos į grub.cfg.
Šis veiksmas užbaigia GRUB2 autentifikavimo sąranką.
C6.2. Bootloader apsauga su skaitmeniniu parašuDaroma prielaida, kad jau turite asmeninį pgp šifravimo raktą (arba sukurkite tokį raktą). Sistemoje turi būti įdiegta kriptografinė programinė įranga: gnuPG; kleopatra/GPA; Jūrų arkliukas. Kripto programinė įranga labai palengvins jūsų gyvenimą visais tokiais klausimais. Seahorse – stabili 3.14.0 paketo versija (naujesnės versijos, pavyzdžiui, V3.20, yra sugedusios ir turi didelių klaidų).
PGP raktą reikia sugeneruoti/paleisti/pridėti tik su aplinkoje!
Sukurkite asmeninį šifravimo raktą
gpg - -gen-keyEksportuokite savo raktą
gpg --export -o ~/perskeyĮdėkite loginį diską į OS, jei jis dar neįdėtas
mount /dev/sda6 /mnt #sda6 – раздел GRUB2išvalykite GRUB2 skaidinį
rm -rf /mnt/Įdiekite GRUB2 į sda6, įdėdami savo privatų raktą į pagrindinį GRUB vaizdą „core.img“
grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6
parinktys
* --force – įdiekite įkrovos įkroviklį, apeidami visus visada egzistuojančius įspėjimus (būtina vėliavėlė).
* —modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" – nurodo GRUB2 iš anksto įkelti reikiamus modulius, kai kompiuteris paleidžiamas.
* -k ~/perskey -kelias į „PGP raktą“ (supakavus raktą į paveikslėlį, jį galima ištrinti).
* --root-directory -nustatykite įkrovos katalogą į sda6 šaknį
/dev/sda6 – jūsų sdaX skaidinys.
Generuojama/atnaujinama grub.cfg
grub-mkconfig -o /mnt/boot/grub/grub.cfgPridėkite eilutę „trust /boot/grub/perskey“ prie „grub.cfg“ failo pabaigos (priverstinai naudoti pgp raktą.) Kadangi įdiegėme GRUB2 su modulių rinkiniu, įskaitant parašo modulį „signature_test.mod“, tai pašalina poreikį į konfigūraciją įtraukti komandas, pvz., „set check_signatures=enforce“.
Tai turėtų atrodyti maždaug taip (pabaigos eilutės faile grub.cfg)
### BEGIN /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; tada
šaltinis ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; tada
šaltinis $prefix/custom.cfg;
fi
pasitikėti /boot/grub/perskey
nustatyti superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#
Kelias į „/boot/grub/perskey“ neturi būti nukreiptas į konkretų disko skaidinį, pavyzdžiui, hd0,6 pačiam įkrovos įkrovikliui, „root“ yra numatytasis skaidinio, kuriame įdiegtas GRUB2, kelias (žr. rinkinys puvimas=..).
Pasirašymas GRUB2 (visi failai visuose /GRUB kataloguose) su savo raktu "perskey".
Paprastas sprendimas, kaip pasirašyti (skirta nautilus / caja explorer): įdiekite „Seahorse“ plėtinį „Explorer“ iš saugyklos. Jūsų raktas turi būti pridėtas prie su aplinkos.
Atidarykite „Explorer“ naudodami sudo „/mnt/boot“ – RMB – ženklą. Ekrane tai atrodo taip
Pats raktas yra „/mnt/boot/grub/perskey“ (kopijuoti į grub katalogą) taip pat turi būti pasirašytas savo parašu. Patikrinkite, ar [*.sig] failo parašai rodomi kataloge / pakatalogiuose.
Naudodami aukščiau aprašytą metodą, pažymėkite „/boot“ (mūsų branduolys, initrd). Jei jūsų laikas ko nors vertas, šis metodas pašalina poreikį rašyti bash scenarijų, kad būtų galima pasirašyti „daug failų“.
Norėdami pašalinti visus įkrovos įkrovos parašus (jei kažkas nutiko)
rm -f $(find /mnt/boot/grub -type f -name '*.sig')Kad atnaujinus sistemą nepasirašytume įkrovos tvarkyklės, užšaldome visus su GRUB2 susijusius atnaujinimo paketus.
apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-commonŠiame veiksme <apsaugoti įkrovos įkroviklį su skaitmeniniu parašu> baigta išplėstinė GRUB2 konfigūracija.
C6.3. GRUB2 įkrovos įkrovos patikrinimas, apsaugotas skaitmeniniu parašu ir autentifikavimuGRUB2. Pasirinkus bet kurį GNU/Linux platinimą arba įvedant CLI (komandinė eilutė) Bus reikalingas supervartotojo leidimas. Įvedę teisingą vartotojo vardą/slaptažodį, jums reikės initrd slaptažodžio
Sėkmingo GRUB2 supervartotojo autentifikavimo ekrano kopija.
Jei sugadinsite bet kurį iš GRUB2 failų / pakeisite grub.cfg, ištrinsite failą / parašą arba įkelsite kenkėjišką modulį.mod, pasirodys atitinkamas įspėjimas. GRUB2 pristabdys įkėlimą.
Ekrano kopija, bandymas trukdyti GRUB2 „iš išorės“.
„Įprasto“ paleidimo „be įsibrovimo“ metu sistemos išėjimo kodo būsena yra „0“. Todėl nežinia, ar apsauga veikia, ar ne (ty „su įkrovos įkrovos parašo apsauga arba be jos“ įprasto įkėlimo metu būsena yra ta pati „0“ - tai yra blogai).
Kaip patikrinti skaitmeninio parašo apsaugą?
Nepatogus patikrinimo būdas: suklastokite/pašalinkite GRUB2 naudojamą modulį, pavyzdžiui, pašalinkite parašą luks.mod.sig ir gausite klaidą.
Teisingas būdas: eikite į įkrovos įkrovos CLI ir įveskite komandą
trust_list
Atsakydami turėtumėte gauti „perskey“ piršto atspaudą, jei būsena yra „0“, tada parašo apsauga neveikia, dar kartą patikrinkite C6.2 pastraipą.
Šiame žingsnyje baigiama išplėstinė konfigūracija „GRUB2 apsauga naudojant skaitmeninį parašą ir autentifikavimą“.
C7 Alternatyvus GRUB2 įkrovos įkroviklio apsaugos būdas naudojant maišąAukščiau aprašytas „procesoriaus įkrovos apsaugos/autentifikavimo“ metodas yra klasikinis. Dėl GRUB2 netobulumų paranojinėmis sąlygomis jis yra jautrus tikram atakai, kurį pateiksiu toliau [F] pastraipoje. Be to, atnaujinus OS / branduolį, įkrovos įkroviklis turi būti pasirašytas iš naujo.
GRUB2 įkrovos apsauga naudojant maišą
Privalumai prieš klasiką:
- Aukštesnis patikimumo lygis (maiša/patikrinimas vyksta tik iš šifruoto vietinio resurso. Visas paskirstytas skaidinys pagal GRUB2 yra kontroliuojamas dėl bet kokių pakeitimų, o visa kita yra užšifruota; klasikinėje schemoje su CPU kroviklio apsauga/autentifikavimu valdomi tik failai, bet ne nemokamai erdvė, kurioje gali būti pridėta „kažkas“ kažkas grėsmingo).
- Šifruotas registravimas (į schemą pridedamas žmogaus skaitomas asmeninis šifruotas žurnalas).
- Pagreitinti (viso GRUB2 skirto skaidinio apsauga / patikrinimas įvyksta beveik akimirksniu).
- Visų kriptografinių procesų automatizavimas.
Trūkumai prieš klasiką.
- Parašo klastojimas (teoriškai galima rasti duotosios maišos funkcijos susidūrimą).
- Padidėjęs sunkumo lygis (palyginti su klasikine, reikia šiek tiek daugiau įgūdžių dirbant su GNU/Linux OS).
Kaip veikia GRUB2 / skaidinio maišos idėja
GRUB2 skaidinys yra „pasirašytas“, kai paleidžiama OS, patikrinamas įkrovos skaidinio nekintamumas, o po to registruojama saugioje (šifruotoje) aplinkoje. Jei pažeidžiamas įkrovos įkroviklis arba jos skaidinys, be įsibrovimų žurnalo, paleidžiama:
Daiktas.
Panašus patikrinimas vyksta keturis kartus per dieną, o tai neapkrauna sistemos išteklių.
Naudojant komandą „-$ check_GRUB“, momentinis patikrinimas įvyksta bet kuriuo metu be registravimo, bet išvedant informaciją į CLI.
Naudojant komandą „-$ sudo signature_GRUB“, GRUB2 įkrovos įkroviklis / skaidinys iš karto pasirašomas iš naujo ir atnaujinamas registravimas (būtina po OS/įkrovos atnaujinimo), ir gyvenimas tęsiasi.
Maišos metodo įdiegimas įkrovos įkrovikliui ir jos skyriui
0) Pasirašykime GRUB įkrovos įkroviklį/skirstymą, pirmiausia sumontuodami jį į /media/username
-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt1) Mes sukuriame scenarijų be plėtinio šifruotos OS ~/podpis šaknyje, pritaikome jam reikalingas 744 saugumo teises ir patikimą apsaugą.
Jo turinio užpildymas
#!/bin/bash
#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux.
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'
a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!!
b="hashdeep: Audit failed"
#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]]
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif'
fiPaleiskite scenarijų iš su, bus patikrinta GRUB skaidinio maiša ir jo įkrovos programa, išsaugokite žurnalą.
Sukurkime arba nukopijuokime, pavyzdžiui, „kenkėjišką failą“ [virus.mod] į GRUB2 skaidinį ir paleiskite laikiną nuskaitymą/testą:
-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUBCLI turi matyti invaziją į mūsų -citadelę-#Apkarpytas prisijungimas CLI
Ср янв 2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
Input files examined: 0
Known files expecting: 0
Files matched: 325
Files partially matched: 0
Files moved: 1
New files found: 0
Known files not found: 0
#Kaip matote, pasirodo „Failai perkelti: 1 ir auditas nepavyko“, o tai reiškia, kad patikrinimas nepavyko.
Dėl bandomojo skaidinio pobūdžio vietoj „Rasti nauji failai“ > „Failai perkelti“
2) Įdėkite gif čia > ~/warning.gif, nustatykite leidimus į 744.
3) Fstab konfigūravimas automatiškai prijungti GRUB skaidinį įkrovos metu
-$ sudo nano /etc/fstabLABEL=GRUB /media/naudotojo vardas/GRUB ext4 numatytieji 0 0
4) Rąsto sukimas
-$ sudo nano /etc/logrotate.d/podpis /var/log/podpis.txt {
kasdien
pasukti 50
dydis 5M
datos tekstas
suspausti
vėlavimo kompresas
olddir /var/log/old
}/var/log/vtorjenie.txt {
kas mėnesį
pasukti 5
dydis 5M
datos tekstas
olddir /var/log/old
}
5) Pridėkite darbą prie cron
-$ sudo crontab -e'/prenumerata'
0 */6 * * * '/podpis
6) Nuolatinių slapyvardžių kūrimas
-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash
Po OS atnaujinimo -$ apt-get upgrade iš naujo pasirašykite mūsų GRUB skaidinį
-$ подпись_GRUB
Šiuo metu GRUB skaidinio apsauga nuo maišos baigta.
[D] Valymas – nešifruotų duomenų sunaikinimas
Pasak Pietų Karolinos atstovo Trey Gowdy, ištrinkite savo asmeninius failus taip, kad „net Dievas negalėtų jų perskaityti“.
Kaip įprasta, yra įvairių „mitų ir “, apie duomenų atkūrimą, kai jie buvo ištrinti iš standžiojo disko. Jei tikite kibernetiniais kerais arba esate Dr žiniatinklio bendruomenės narys ir niekada nebandėte atkurti duomenų po to, kai jie buvo ištrinti / perrašyti (pvz., atkūrimas naudojant R-studio), tada pasiūlytas metodas vargu ar jums tiks, naudokite tai, kas jums artimiausia.
Sėkmingai perkėlus GNU/Linux į šifruotą skaidinį, senoji kopija turi būti ištrinta be galimybės atkurti duomenis. Universalus valymo būdas: programinė įranga skirta Windows/Linux nemokama GUI programinė įranga .
Greitas formatuoti skyrių, kurių duomenis reikia sunaikinti (per Gparted) paleiskite „BleachBit“, pasirinkite „Išvalyti laisvą vietą“ - pasirinkite skaidinį (jūsų sdaX su ankstesne GNU/Linux kopija), prasidės nuėmimo procesas. BleachBit - nuvalo diską vienu žingsniu - štai ko „mums reikia“, bet! Tai veikia tik teoriškai, jei suformatavote diską ir išvalėte jį BB v2.0 programine įranga.
Dėmesio! BB nuvalo diską, paliekant metaduomenis, kai duomenys pašalinami (Ccleaner – nepalieka metaduomenų).
O mitas apie duomenų atkūrimo galimybę nėra visiškai mitas.Bleachbit V2.0-2 buvęs nestabilus OS Debian paketas (ir bet kuri kita panaši programinė įranga: sfill; wipe-Nautilus - taip pat buvo pastebėta šiame purviname versle) iš tikrųjų turėjo kritinę klaidą: funkciją „laisvos vietos išvalymas“. jis veikia neteisingai HDD/Flash diskuose (ntfs/ext4). Tokio tipo programinė įranga, išvalanti laisvą vietą, neperrašo viso disko, kaip mano daugelis vartotojų. Ir kai kurie (daug) ištrinti duomenys OS/programinė įranga šiuos duomenis laiko neištrintais/vartotojo duomenimis ir valydama „OSP“ šiuos failus praleidžia. Problema ta, kad po tokio ilgo laiko valomas diskas „Ištrintus failus“ galima atkurti net po 3 ir daugiau kartų nuvalius diską.
GNU / Linux sistemoje Bleachbit 2.0-2 Failų ir katalogų ištrynimo funkcijos veikia patikimai, tačiau neatlaisvina laisvos vietos. Palyginimui: „Windows“ sistemoje „CCleaner“ funkcija „OSP for ntfs“ veikia tinkamai, ir Dievas tikrai negalės nuskaityti ištrintų duomenų.
Ir taip, norint kruopščiai pašalinti "kompromituojantis" seni nešifruoti duomenys, „Bleachbit“ reikia tiesioginės prieigos prie šių duomenų, tada naudokite funkciją „visam laikui ištrinti failus / katalogus“.
Norėdami pašalinti „ištrintus failus naudodami standartinius OS įrankius“ sistemoje „Windows“, naudokite „CCleaner/BB“ su „OSP“ funkcija. GNU/Linux sistemoje dėl šios problemos (ištrinti ištrintus failus) reikia pasitreniruoti savarankiškai (duomenų ištrynimas + nepriklausomas bandymas juos atkurti ir neturėtumėte pasikliauti programinės įrangos versija (jei ne žyma, tada klaida)), tik tokiu atveju galėsite suprasti šios problemos mechanizmą ir visiškai atsikratyti ištrintų duomenų.
Bleachbit v3.0 neišbandžiau, galbūt problema jau išspręsta.
Bleachbit v2.0 veikia sąžiningai.
Šiame etape disko valymas baigtas.
[E] Universali šifruotos OS atsarginė kopija
Kiekvienas vartotojas turi savo duomenų atsarginių kopijų kūrimo metodą, tačiau užšifruoti sistemos OS duomenys reikalauja šiek tiek kitokio požiūrio į užduotį. Suvienodinta programinė įranga, pvz., Clonezilla ir panaši programinė įranga, negali dirbti tiesiogiai su užšifruotais duomenimis.
Užšifruotų blokų įrenginių atsarginės kopijos kūrimo problemos pareiškimas:
- universalumas – tas pats atsarginis algoritmas/programinė įranga skirta Windows/Linux;
- galimybė dirbti konsolėje su bet kokiu tiesioginiu usb GNU/Linux, nereikia atsisiųsti papildomų programinės įrangos (bet vis tiek rekomenduoju GUI);
- atsarginių kopijų saugumas – saugomi „vaizdai“ turi būti užšifruoti / apsaugoti slaptažodžiu;
- užšifruotų duomenų dydis turi atitikti faktiškai kopijuojamų duomenų dydį;
- patogus reikalingų failų ištraukimas iš atsarginės kopijos (nereikia pirmiausia iššifruoti viso skyriaus).
Pavyzdžiui, atsarginė kopija / atkūrimas naudojant „dd“ įrankį
dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerrorTai atitinka beveik visus užduoties punktus, tačiau pagal 4 punktą jis neatlaiko kritikos, nes nukopijuoja visą disko skaidinį, įskaitant laisvą vietą - neįdomu.
Pavyzdžiui, GNU/Linux atsarginė kopija per archyvatorių [tar" | gpg] yra patogu, tačiau norint sukurti „Windows“ atsarginę kopiją, reikia ieškoti kito sprendimo - tai neįdomu.
E1. Universali Windows/Linux atsarginė kopija. Susieti rsync (Grsync)+VeraCrypt tomąAtsarginės kopijos kūrimo algoritmas:
- sukurti šifruotą konteinerį (tomas / failas) VeraCrypt OS;
- perkelti / sinchronizuoti OS naudojant Rsync programinę įrangą į VeraCrypt kriptovaliutų konteinerį;
- jei reikia, įkelkite VeraCrypt tomą į www.
Šifruoto VeraCrypt konteinerio kūrimas turi savo ypatybes:
sukuriant dinamišką garsumą (DT kūrimas galimas tik sistemoje Windows, taip pat gali būti naudojamas GNU/Linux);
sukurti įprastą garsumą, tačiau yra „paranojiško charakterio“ reikalavimas (pagal kūrėją) – konteinerio formatavimas.
Dinaminis tūris Windows sistemoje sukuriamas beveik akimirksniu, tačiau kopijuojant duomenis iš GNU/Linux > VeraCrypt DT, bendras atsarginės kopijos kūrimo operacijos našumas gerokai sumažėja.
Sukuriamas įprastas 70 GB „Twofish“ tomas (tarkime, vidutinė kompiuterio galia) į HDD ~ per pusvalandį (buvusio konteinerio duomenų perrašymas vienu praėjimu yra dėl saugumo reikalavimų). Greito tomo formatavimo funkcija jį kuriant pašalinta iš VeraCrypt Windows/Linux, todėl sukurti konteinerį galima tik perrašant vienu žingsniu arba sukuriant žemo našumo dinaminį tomą.
Sukurkite įprastą „VeraCrypt“ tomą (ne dinaminis/ntfs), problemų neturėtų kilti.
Konfigūruokite / sukurkite / atidarykite konteinerį VeraCrypt GUI> GNU / Linux live usb (tomas bus automatiškai prijungtas prie /media/veracrypt2, Windows OS tomas bus prijungtas prie /media/veracrypt1). Šifruotos Windows OS atsarginės kopijos kūrimas naudojant GUI rsync (grsync)pažymėdami langelius.
Palaukite, kol procesas bus baigtas. Kai atsarginės kopijos kūrimas bus baigtas, turėsime vieną užšifruotą failą.
Panašiai sukurkite atsarginę GNU/Linux OS kopiją panaikindami žymės langelio „Windows compatibility“ žymėjimą rsync GUI.
Dėmesio! sukurkite „Veracrypt“ konteinerį „GNU/Linux atsarginei kopijai“ failų sistemoje ext4. Jei padarysite atsarginę kopiją ntfs konteineryje, tada atkūrę tokią kopiją prarasite visas teises / grupes į visus savo duomenis.
Visas operacijas galima atlikti terminale. Pagrindinės rsync parinktys:
* -g -išsaugoti grupes;
* -P —progress — laiko, praleisto dirbant su byla, būsena;
* -H – nukopijuokite tokias kietąsias nuorodas, kokios yra;
* -a -archyvavimo režimas (kelios rlptgoD vėliavėlės);
* -v -verbalizacija.
Jei norite prijungti „Windows VeraCrypt tomą“ per konsolę kriptovaliutų sąrankos programinėje įrangoje, galite sukurti slapyvardį (su)
echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash
Dabar komanda „veramount pictures“ paragins jus įvesti slaptafrazę, o užšifruotas „Windows“ sistemos tūris bus įdiegtas OS.
Susieti / prijungti VeraCrypt sistemos tūrį cryptsetup komandoje
cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mntSusieti/prijungti VeraCrypt skaidinį/konteinerį cryptsetup komandoje
cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mntVietoj slapyvardžio prie GNU/Linux paleidimo pridėsime (scenarijus paleisties) sistemos tomą su Windows OS ir logiškai užšifruotą ntfs diską
Sukurkite scenarijų ir išsaugokite jį ~/VeraOpen.sh
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.
Mes platiname „teisingas“ teises:
sudo chmod 100 /VeraOpen.shSukurkite du identiškus failus (toks pat pavadinimas!) /etc/rc.local ir ~/etc/init.d/rc.local
Failų pildymas
#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0Mes platiname „teisingas“ teises:
sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local Tai štai, dabar įkeliant GNU/Linux mums nereikia įvesti slaptažodžių, kad būtų galima prijungti šifruotus ntfs diskus, diskai montuojami automatiškai.
Trumpa pastaba apie tai, kas aprašyta aukščiau E1 pastraipoje žingsnis po žingsnio (bet dabar OS GNU/Linux)
1) Sukurkite tomą fs ext4 > 4gb (failui) Linux sistemoje Veracrypt [Cryptbox].
2) Paleiskite iš naujo, kad galėtumėte naudoti tiesioginį USB.
3) ~$ cryptsetup atidaryti /dev/sda7 Lunux #mapping šifruotą skaidinį.
4) ~$ prijunkite /dev/mapper/Linux /mnt #prijunkite šifruotą skaidinį prie /mnt.
5) ~$ mkdir mnt2 #kuriame katalogą būsimai atsarginei kopijai.
6) ~$ cryptsetup open —veracrypt — įveskite tcrypt ~/CryptoBox CryptoBox && prijunkite /dev/mapper/CryptoBox /mnt2 #Prijunkite Veracrypt tomą pavadinimu „CryptoBox“ ir prijunkite CryptoBox prie /mnt2.
7) ~$ rsync -avlxhHX —progress /mnt /mnt2/ #šifruoto skaidinio atsarginės kopijos kūrimas užšifruotame Veracrypt tome.
(p/s/ Dėmesio! Jei perkeliate šifruotą GNU / Linux iš vienos architektūros / įrenginio į kitą, pvz., Intel > AMD (tai yra, diegiate atsarginę kopiją iš vieno šifruoto skaidinio į kitą šifruotą Intel > AMD skaidinį), Nepamiršk Perkėlę užšifruotą OS, galbūt vietoje slaptažodžio redaguokite slaptąjį pakaitinį raktą. ankstesnis raktas ~/etc/skey - nebetilps kitam užšifruotam skaidiniui ir nepatartina kurti naujo rakto "cryptsetup luksAddKey" iš chroot - galimas triktis, tiesiog ~/etc/crypttab nurodykite vietoj „/etc/skey“ laikinai „nėra““, iš naujo paleidę ir prisijungę prie OS, dar kartą sukurkite slaptą pakaitos raktą).
Būdami IT veteranai, nepamirškite atskirai pasidaryti šifruotų Windows/Linux OS skaidinių antraščių atsarginių kopijų, nes kitaip šifravimas atsisuks prieš jus.
Atliekant šį veiksmą, šifruotos OS atsarginės kopijos kūrimas baigtas.
[F] Ataka prieš GRUB2 įkrovos tvarkyklę
InformacijaJei įkrovos įkroviklį apsaugote skaitmeniniu parašu ir (arba) autentifikavimu (žr. C6 punktą.), tai neapsaugos nuo fizinės prieigos. Šifruoti duomenys vis tiek bus nepasiekiami, tačiau apsauga bus apeinama (iš naujo nustatyti skaitmeninio parašo apsaugą) GRUB2 leidžia kibernetiniam piktadariui įvesti savo kodą į įkrovos įkroviklį nesukeliant įtarimo (nebent vartotojas rankiniu būdu stebi įkrovos įkrovos būseną arba pateikia savo patikimą savavališko scenarijaus kodą grub.cfg).
Atakos algoritmas. Įsibrovėlis
* Paleidžia kompiuterį iš tiesioginio USB. Bet koks pakeitimas (pažeidėjas) failai praneš tikrajam kompiuterio savininkui apie įsibrovimą į įkrovos tvarkyklę. Tačiau paprastas GRUB2 įdiegimas iš naujo, išlaikant grub.cfg (ir vėlesnė galimybė jį redaguoti) leis užpuolikui redaguoti bet kokius failus (šioje situacijoje, įkeliant GRUB2, tikrasis vartotojas nebus informuotas. Būsena ta pati <0>)
* Sujungia nešifruotą skaidinį, saugo „/mnt/boot/grub/grub.cfg“.
* Iš naujo įdiegia įkrovos tvarkyklę (pašalinama „perskey“ iš core.img vaizdo)
grub-install --force --root-directory=/mnt /dev/sda6
* Grąžina „grub.cfg“ > „/mnt/boot/grub/grub.cfg“, jei reikia, jį redaguoja, pavyzdžiui, prideda savo modulį „keylogger.mod“ į aplanką su įkėlimo moduliais, esantį „grub.cfg“. > eilutė "insmod keylogger". Arba, pavyzdžiui, jei priešas yra gudrus, tada iš naujo įdiegę GRUB2 (visi parašai lieka vietoje) jis sukuria pagrindinį GRUB2 vaizdą naudodamas „grub-mkimage su parinktimi (-c).“ Parinktis „-c“ leis įkelti konfigūraciją prieš įkeliant pagrindinį „grub.cfg“. Konfigūraciją gali sudaryti tik viena eilutė: peradresavimas į bet kurį „modern.cfg“, sumaišytas, pavyzdžiui, su ~400 failų (moduliai+parašai) aplanke „/boot/grub/i386-pc“. Tokiu atveju užpuolikas gali įterpti savavališką kodą ir įkelti modulius nepaveikdamas „/boot/grub/grub.cfg“, net jei vartotojas failui pritaikė „hashsum“ ir laikinai jį parodė ekrane.
Užpuolikui nereikės nulaužti GRUB2 supervartotojo prisijungimo / slaptažodžio, jam tereikia nukopijuoti eilutes (atsakingas už autentifikavimą) „/boot/grub/grub.cfg“ į „modern.cfg“
nustatyti superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
Ir kompiuterio savininkas vis tiek bus autentifikuotas kaip GRUB2 supervartotojas.
Grandinės pakrovimas (įkrovos įkroviklis įkelia kitą įkrovos įkroviklį), kaip rašiau aukščiau, nėra prasmės (jis skirtas kitam tikslui). Šifruoto įkrovos įkroviklio negalima įkelti dėl BIOS (grandinės paleidimas iš naujo paleidžiamas GRUB2 > užšifruotas GRUB2, klaida!). Tačiau jei vis dar naudojate grandinės įkėlimo idėją, galite būti tikri, kad įkeliamas šifruotas. (nemodernizuotas) „grub.cfg“ iš užšifruoto skaidinio. Ir tai taip pat yra klaidingas saugumo jausmas, nes viskas, kas nurodyta užšifruotame „grub.cfg“ (modulio įkėlimas) prideda prie modulių, kurie įkeliami iš nešifruoto GRUB2.
Jei norite tai patikrinti, paskirkite / užšifruokite kitą skaidinį sdaY, nukopijuokite į jį GRUB2 („Grub-install“ operacija šifruotame skaidinyje neįmanoma) ir „grub.cfg“ (nešifruota konfigūracija) pakeisti tokias linijas
meniu įrašas 'GRUBx2' --class papūga --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
load_video
insmod gzio
if [ x$grub_platform = xxen ]; tada insmod xzio; insmod lzopio; fi
insmod part_msdos
insmod kriptodisk
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
normalus /boot/grub/grub.cfg
}
stygos
* insmod – reikalingų modulių darbui su šifruotu disku įkėlimas;
* GRUBx2 - GRUB2 įkrovos meniu rodomos eilutės pavadinimas;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -žr. fdisk -l (sda9);
* nustatyti šaknį - įdiegti šaknį;
* normalus /boot/grub/grub.cfg – vykdomasis konfigūracijos failas užšifruotame skaidinyje.
Pasitikėjimas, kad įkeliamas užšifruotas „grub.cfg“, yra teigiamas atsakymas įvedant slaptažodį / atrakinant „sdaY“, GRUB meniu pasirenkant eilutę „GRUBx2“.
Dirbant CLI, kad nesusipainiotumėte (ir patikrinkite, ar aplinkos kintamasis „nustatyti šaknį“ veikė), sukurkite tuščius žetonų failus, pavyzdžiui, šifruotoje skiltyje „/shifr_grub“, nešifruotoje „/noshifr_grub“. Tikrinama CLI
cat /Tab-TabKaip minėta pirmiau, tai nepadės nuo kenkėjiškų modulių atsisiuntimo, jei tokie moduliai atsidurs jūsų kompiuteryje. Pavyzdžiui, klavišų kaupiklis, kuris galės įrašyti klavišų paspaudimus faile ir maišyti jį su kitais failais „~/i386“, kol jį atsisiųs užpuolikas, turintis fizinę prieigą prie kompiuterio.
Lengviausias būdas patikrinti, ar skaitmeninio parašo apsauga aktyviai veikia (neiš naujo nustatyta), ir niekas neįsiveržė į įkrovos tvarkyklę, įveskite komandą CLI
list_trusted
atsakydami gauname savo „perskio“ kopiją arba nieko negauname, jei mus užpuola (taip pat turite pažymėti "set check_signatures=enforce").
Reikšmingas šio žingsnio trūkumas yra komandų įvedimas rankiniu būdu. Jei pridėsite šią komandą prie „grub.cfg“ ir apsaugote konfigūraciją skaitmeniniu parašu, tada preliminarus momentinės rakto nuotraukos išvestis ekrane yra per trumpas ir galite neturėti laiko pamatyti išvesties įkėlę GRUB2 .
Nėra kam konkrečiai pareikšti pretenzijų: kūrėjas savo 18.2 punktas oficialiai skelbia
„Atkreipkite dėmesį, kad net naudojant GRUB slaptažodžio apsaugą, GRUB pats negali užkirsti kelio asmeniui, turinčiam fizinę prieigą prie įrenginio, pakeisti to įrenginio programinės aparatinės įrangos (pvz., Coreboot arba BIOS) konfigūraciją, kad įrenginys būtų paleistas iš kito (užpuoliko valdomo) įrenginio. GRUB geriausiu atveju yra tik viena saugios įkrovos grandinės grandis.
GRUB2 yra per daug apkrautas funkcijomis, kurios gali suteikti klaidingo saugumo pojūtį, o jo plėtra funkcionalumu jau aplenkė MS-DOS, tačiau tai tik įkrovos programa. Smagu, kad OS gali tapti GRUB2 – „rytoj“, o jai – įkraunamos GNU/Linux virtualios mašinos.
Trumpas vaizdo įrašas apie tai, kaip iš naujo nustatiau GRUB2 skaitmeninio parašo apsaugą ir pranešiau apie savo įsibrovimą tikram vartotojui (Aš jus išgąsdinau, bet vietoj to, kas rodoma vaizdo įraše, galite parašyti nekenksmingą savavališką kodą/.mod).
Išvados:
1) Blokinės sistemos šifravimas Windows yra lengviau įgyvendinamas, o apsauga vienu slaptažodžiu yra patogesnė nei apsauga keliais slaptažodžiais su GNU/Linux blokinės sistemos šifravimu, teisybės dėlei: pastarasis yra automatizuotas.
2) Straipsnį parašiau kaip aktualų ir išsamų paprasta viso disko šifravimo VeraCrypt/LUKS vadovas viename įrenginyje, kuris yra pats geriausias RuNet (IMHO). Vadovas yra > 50 51 simbolių ilgio, todėl neapėmė kai kurių įdomių skyrių: kriptografai, kurie dingsta / lieka šešėlyje; apie tai, kad įvairiose GNU/Linux knygose apie kriptografiją rašo mažai/nerašo; apie Rusijos Federacijos Konstitucijos XNUMX straipsnį; O /ban , apie tai, kodėl reikia šifruoti „root/boot“. Vadovas pasirodė gana platus, bet išsamus. (apibūdina net paprastus veiksmus), savo ruožtu, tai sutaupys daug laiko, kai pateksite į „tikrąjį šifravimą“.
3) Windows 7 64 buvo atliktas pilnas disko šifravimas; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.
4) Įgyvendino sėkmingą puolimą prieš jo GRUB2 įkrovos programa.
5) Mokymo programa buvo sukurta siekiant padėti visiems paranojiškiems žmonėms NVS šalyse, kur darbas su šifravimu leidžiamas įstatymų leidybos lygmeniu. Ir visų pirma tiems, kurie nori įdiegti viso disko šifravimą nepanaikindami sukonfigūruotų sistemų.
6) Perdariau ir atnaujinau savo vadovą, kuris yra aktualus 2020 m.
[G] Naudinga dokumentacija
- (2012 m. vasario mėn. RU)
- /usr/share/doc/cryptsetup(-run) [vietinis išteklius] (oficiali išsami dokumentacija apie GNU/Linux šifravimo nustatymą naudojant kriptovaliutą)
- (trumpa dokumentacija apie GNU/Linux šifravimo nustatymą naudojant kriptovaliutą)
- (archlinux dokumentacija)
- (arch man page)
- (arch man page)
- .
Žymos: pilnas disko šifravimas, skaidinio šifravimas, Linux viso disko šifravimas, LUKS1 pilnas sistemos šifravimas.
Apklausoje gali dalyvauti tik registruoti vartotojai. , Prašau.
Ar šifruojate?
-
17,1%Užšifruoju viską, ką galiu. esu paranojiškas.14
-
34,2%Šifruoju tik svarbius duomenis.28
-
14,6%Kartais užšifruoju, kartais pamirštu.12
-
34,2%Ne, aš nešifruoju, tai nepatogu ir brangu.28
Balsavo 82 vartotojai. 22 vartotojai susilaikė.
Šaltinis: www.habr.com