Atjaunināts ceļvedis pilna diska šifrēšanai programmā RuNet V0.2.
Kovboju stratēģija:
[A] instalētās sistēmas Windows 7 sistēmas bloka šifrēšana;
[B] GNU/Linux sistēmas bloku šifrēšana (Debian) uzstādīta sistēma (ieskaitot /boot);
[C] GRUB2 konfigurācija, bootloader aizsardzība ar ciparparakstu/autentifikāciju/jaukšanu;
[D] stripping — nešifrētu datu iznīcināšana;
[E] šifrētas OS universāla dublēšana;
[F] uzbrukums <vienumam [C6]> mērķim - GRUB2 bootloader;
[G]noderīga dokumentācija.
╭───#40. istabas shēma# :
├──╼ Instalēta Windows 7 - pilna sistēmas šifrēšana, nav slēpta;
├──╼ GNU/Linux instalēta (Debian un atvasinātie izplatījumi) — pilna sistēmas šifrēšana, nav slēpta(/, ieskaitot /boot; mijmaiņa);
├──╼ neatkarīgi sāknēšanas ielādētāji: VeraCrypt sāknēšanas ielādētājs ir instalēts MBR, GRUB2 sāknēšanas ielādētājs ir instalēts paplašinātajā nodalījumā;
├──╼nav nepieciešama OS instalēšana/pārinstalēšana;
└──╼Izmantotā kriptogrāfijas programmatūra: VeraCrypt; Kripta iestatīšana; GnuPG; Jūras zirdziņš; Hashdeep; GRUB2 ir bezmaksas/bezmaksas.
Iepriekš minētā shēma daļēji atrisina “attālās sāknēšanas uz zibatmiņas disku” problēmu, ļauj baudīt šifrētu operētājsistēmu Windows/Linux un apmainīties ar datiem, izmantojot “šifrētu kanālu” no vienas OS uz otru.
Datora sāknēšanas secība (viena no iespējām):
- mašīnas ieslēgšana;
- ielādējot VeraCrypt sāknēšanas programmu (ievadot pareizo paroli, tiks turpināta Windows 7 sāknēšana);
- nospiežot taustiņu "Esc", tiks ielādēts GRUB2 sāknēšanas ielādētājs;
- GRUB2 sāknēšanas ielādētājs (atlasiet izplatīšanu/GNU/Linux/CLI), būs nepieciešama GRUB2 superlietotāja autentifikācija <pieteikšanās/parole>;
- pēc veiksmīgas autentifikācijas un izplatīšanas atlases jums būs jāievada ieejas frāze, lai atbloķētu “/boot/initrd.img”;
- pēc bezkļūdu paroļu ievadīšanas GRUB2 "pieprasīs" paroles ievadi (treškārt, BIOS parole vai GNU/Linux lietotāja konta parole — neņemiet vērā) lai atbloķētu un palaistu GNU/Linux OS vai automātisku slepenās atslēgas aizstāšanu (divas paroles + atslēga vai parole + atslēga);
- ārēja ielaušanās GRUB2 konfigurācijā iesaldēs GNU/Linux sāknēšanas procesu.
Apgrūtinoši? Labi, automatizēsim procesus.
Sadalot cieto disku (MBR tabula) Personālajam datoram var būt ne vairāk kā 4 galvenie nodalījumi vai 3 galvenie un viens paplašinātais, kā arī nepiešķirta zona. Paplašinātajā sadaļā, atšķirībā no galvenās, var būt apakšsadaļas (loģiskie diskdziņi = paplašināts nodalījums). Citiem vārdiem sakot, HDD “paplašinātais nodalījums” aizstāj LVM konkrētajam uzdevumam: pilnīgai sistēmas šifrēšanai. Ja jūsu disks ir sadalīts 4 galvenajos nodalījumos, jums ir jāizmanto lvm vai jāpārveido (ar formatējumu) sadaļu no galvenās uz uzlaboto vai saprātīgi izmantojiet visas četras sadaļas un atstājiet visu kā ir, iegūstot vēlamo rezultātu. Pat ja jūsu diskā ir viens nodalījums, Gparted palīdzēs jums sadalīt cieto disku (papildu sadaļām) bez datu zuduma, bet tomēr ar nelielu sodu par šādām darbībām.
Cietā diska izkārtojuma shēma, saistībā ar kuru tiks verbalizēts viss raksts, ir parādīta tabulā zemāk.
1TB nodalījumu tabula (Nr. 1).
Jums vajadzētu arī kaut ko līdzīgu.
sda1 - galvenais nodalījums Nr.1 NTFS (šifrēts);
sda2 - paplašinātās sadaļas marķieris;
sda6 - loģiskais disks (tam ir instalēts GRUB2 sāknēšanas ielādētājs);
sda8 - swap (šifrēts mijmaiņas fails/ne vienmēr);
sda9 - pārbaudīt loģisko disku;
sda5 - loģisks disks ziņkārīgajiem;
sda7 - GNU/Linux OS (pārsūtīta OS uz šifrētu loģisko disku);
sda3 - galvenais nodalījums Nr.2 ar Windows 7 OS (šifrēts);
sda4 - galvenā sadaļa Nr.3 (tajā bija nešifrēts GNU/Linux, izmantots dublēšanai/ne vienmēr).
[A] Windows 7 sistēmas bloku šifrēšana
A1. VeraCrypt
Lejupielādēt no , vai no spoguļa kriptogrāfijas programmatūras VeraCrypt instalācijas versija (raksta v1.24-Update3 publicēšanas laikā VeraCrypt portatīvā versija nav piemērota sistēmas šifrēšanai). Pārbaudiet lejupielādētās programmatūras kontrolsummu
$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256
un salīdziniet rezultātu ar VeraCrypt izstrādātāju vietnē ievietoto CS.
Ja ir instalēta programmatūra HashTab, tas ir vēl vienkāršāk: RMB (VeraCrypt Setup 1.24.exe)-properties - failu jaukšanas summa.
Lai pārbaudītu programmas parakstu, programmatūrai un izstrādātāja publiskajai pgp atslēgai jābūt instalētai sistēmā ; .
A2. VeraCrypt programmatūras instalēšana/palaišana ar administratora tiesībām
A3. Sistēmas šifrēšanas parametru atlase aktīvajam nodalījumamVeraCrypt – Sistēma – Šifrēt sistēmas nodalījumu/disku – Normāls – Šifrēt Windows sistēmas nodalījumu – Multiboot – (brīdinājums: “Nepieredzējušiem lietotājiem nav ieteicams izmantot šo metodi”, un tā ir taisnība, mēs piekrītam “Jā”) - sāknēšanas disks ("jā", pat ja nē, tomēr "jā") – Sistēmas disku skaits “2 vai vairāk” – Vairākas sistēmas vienā diskā “Jā” – Ne-Windows sāknēšanas ielāde “Nē” (patiesībā “Jā”, bet VeraCrypt/GRUB2 sāknēšanas ielādēji savā starpā nedalīs MBR; precīzāk, tikai mazākā sāknēšanas ielādētāja koda daļa tiek saglabāta MBR/sāknēšanas celiņā, galvenā tā daļa ir atrodas failu sistēmā) — Vairākas sāknēšanas — Šifrēšanas iestatījumi…
Ja jūs novirzāties no iepriekš minētajām darbībām (bloķēt sistēmas šifrēšanas shēmas), tad VeraCrypt izdos brīdinājumu un neļaus šifrēt nodalījumu.
Nākamajā solī ceļā uz mērķtiecīgu datu aizsardzību veiciet “Pārbaudi” un atlasiet šifrēšanas algoritmu. Ja jums ir novecojis centrālais procesors, visticamāk, ātrākais šifrēšanas algoritms būs Twofish. Ja centrālais procesors ir jaudīgs, jūs pamanīsit atšķirību: AES šifrēšana, saskaņā ar testa rezultātiem, būs vairākas reizes ātrāka nekā tās kriptovalūtas konkurenti. AES ir populārs šifrēšanas algoritms; mūsdienu CPU aparatūra ir īpaši optimizēta gan “slepenai”, gan “uzlaušanai”.
VeraCrypt atbalsta iespēju šifrēt diskus AES kaskādē(Divas zivis)/un citas kombinācijas. Uz vecā Intel kodola CPU pirms desmit gadiem (bez aparatūras atbalsta AES, A/T kaskādes šifrēšanai) Veiktspējas samazināšanās būtībā ir nemanāma. (tā paša laikmeta/~parametru AMD centrālajiem procesoriem veiktspēja ir nedaudz samazināta). OS darbojas dinamiski, un resursu patēriņš caurspīdīgai šifrēšanai ir neredzams. Turpretim, piemēram, manāms veiktspējas samazinājums instalētās testa nestabilās darbvirsmas vides Mate v1.20.1 dēļ. (vai v1.20.2 es precīzi neatceros) GNU/Linux vai telemetrijas rutīnas darbības dēļ operētājsistēmā Windows7↑. Parasti pieredzējuši lietotāji pirms šifrēšanas veic aparatūras veiktspējas testus. Piemēram, Aida64/Sysbench/systemd-analyze vainošana tiek salīdzināta ar to pašu testu rezultātiem pēc sistēmas šifrēšanas, tādējādi atspēkojot pašu mītu, ka “sistēmas šifrēšana ir kaitīga”. Mašīnas palēnināšanās un neērtības ir manāmas dublējot/atjaunojot šifrētus datus, jo pati “sistēmas datu dublēšana” darbība netiek mērīta ms, un tiek pievienoti tie paši <decrypt/encrypt on the fly>. Galu galā katrs lietotājs, kuram ir atļauts nodarboties ar kriptogrāfiju, līdzsvaro šifrēšanas algoritmu pret veicamo uzdevumu izpildi, paranojas līmeni un lietošanas ērtumu.
Labāk ir atstāt PIM parametru kā noklusējumu, lai, ielādējot OS, katru reizi nebūtu jāievada precīzas iterācijas vērtības. VeraCrypt izmanto milzīgu skaitu iterāciju, lai izveidotu patiesi “lēnu jaucēju”. Uzbrukumam šādam “kripto gliemežam”, izmantojot brutālā spēka/varavīksnes tabulu metodi, ir jēga tikai ar īsu “vienkāršu” ieejas frāzi un upura personīgo rakstzīmju sarakstu. Cena, kas jāmaksā par paroles stiprumu, ir kavēšanās, ievadot pareizo paroli, ielādējot OS. (VeraCrypt sējumu uzstādīšana GNU/Linux ir ievērojami ātrāka).
Bezmaksas programmatūra brutālu spēku uzbrukumu īstenošanai (izvilkt ieejas frāzi no VeraCrypt/LUKS diska galvenes) Hashcat. Džons Uzšķērdētājs nezina, kā “uzlauzt Veracrypt”, un, strādājot ar LUKS, neizprot Twofish kriptogrāfiju.
Šifrēšanas algoritmu kriptogrāfiskā stipruma dēļ neapturami ciferpanki izstrādā programmatūru ar atšķirīgu uzbrukuma vektoru. Piemēram, metadatu/atslēgu izvilkšana no RAM (aukstās sāknēšanas/tiešās atmiņas piekļuves uzbrukums), Šiem nolūkiem ir specializēta bezmaksas un bezmaksas programmatūra.
Pabeidzot šifrētā aktīvā nodalījuma “unikālo metadatu” iestatīšanu/ģenerēšanu, VeraCrypt piedāvās restartēt datoru un pārbaudīt tā sāknēšanas ielādētāja funkcionalitāti. Pēc Windows pārstartēšanas / palaišanas VeraCrypt ielādēsies gaidīšanas režīmā, atliek tikai apstiprināt šifrēšanas procesu - Y.
Sistēmas šifrēšanas pēdējā posmā VeraCrypt piedāvās izveidot aktīvā šifrētā nodalījuma galvenes dublējumkopiju “veracrypt glābšanas disk.iso” formā - tas ir jādara - šajā programmatūrā šāda darbība ir obligāta (LUKS kā prasība - tas diemžēl ir izlaists, bet tiek uzsvērts dokumentācijā). Glābšanas disks noderēs ikvienam, un dažiem arī vairākkārt. Zaudējums (galvenes/MBR pārrakstīšana) galvenes rezerves kopija neatgriezeniski liegs piekļuvi atšifrētajam nodalījumam operētājsistēmā Windows.
A4. VeraCrypt glābšanas USB/diska izveidePēc noklusējuma VeraCrypt piedāvā ierakstīt “~2-3MB metadatus” kompaktdiskā, taču ne visiem ir diski vai DWD-ROM diskdziņi, un bootable flash drive “VeraCrypt Rescue disk” izveide dažiem būs tehnisks pārsteigums: Rufus /GUIdd-ROSA ImageWriter un cita līdzīga programmatūra nevarēs tikt galā ar uzdevumu, jo papildus nobīdes metadatu kopēšanai uz sāknējamu zibatmiņas disku jums ir nepieciešams kopēt/ielīmēt attēlu ārpus USB diska failu sistēmas, Īsāk sakot, pareizi kopējiet MBR/ceļu uz atslēgu piekariņu. Varat izveidot sāknējamu zibatmiņas disku no GNU/Linux OS, izmantojot utilītu “dd”, apskatot šo zīmi.
Glābšanas diska izveide Windows vidē ir atšķirīga. VeraCrypt izstrādātājs šīs problēmas risinājumu oficiālā neiekļāva ar “glābšanas disku”, taču piedāvāja risinājumu citā veidā: viņš savā VeraCrypt forumā ievietoja papildu programmatūru “usb glābšanas diska” izveidei, lai tā varētu brīvi piekļūt. Šīs Windows programmatūras arhivārs “izveido usb veracrypt glābšanas disku”. Pēc glābšanas disk.iso saglabāšanas sāksies aktīvā nodalījuma bloku sistēmas šifrēšanas process. Šifrēšanas laikā OS darbība neapstājas, datora restartēšana nav nepieciešama. Pabeidzot šifrēšanas darbību, aktīvais nodalījums kļūst pilnībā šifrēts un to var izmantot. Ja VeraCrypt sāknēšanas ielādētājs neparādās, startējot datoru un galvenes atkopšanas darbība nepalīdz, pārbaudiet karodziņu “sāknēšana”, tas jāiestata uz nodalījumu, kurā atrodas Windows. (neatkarīgi no šifrēšanas un citām OS, skatīt tabulu Nr. 1).
Tas pabeidz bloķēšanas sistēmas šifrēšanas aprakstu ar Windows OS.
[B]LUKS. GNU/Linux šifrēšana (~ Debian) instalēta OS. Algoritms un soļi
Lai šifrētu Debian/atvasinātu izplatīšanu, sagatavotais nodalījums ir jākartē ar virtuālo bloka ierīci, jāpārsūta uz kartēto GNU/Linux disku un jāinstalē/konfigurē GRUB2. Ja jums nav tukša metāla servera un jūs novērtējat savu laiku, jums ir jāizmanto GUI, un lielākā daļa tālāk aprakstīto termināļa komandu ir paredzētas palaišanai “Chuck-Norris režīmā”.
B1. Datora palaišana no tiešā usb GNU/Linux
“Veikt aparatūras veiktspējas kriptovalūtu pārbaudi”
lscpu && сryptsetup benchmark
Ja esat laimīgs īpašnieks jaudīgai automašīnai ar AES aparatūras atbalstu, tad cipari izskatīsies kā termināļa labajā pusē, ja esat laimīgs īpašnieks, bet ar antīku aparatūru, cipari izskatīsies kā kreisajā pusē.
B2. Diska sadalīšana. fs loģiskā diska HDD uzstādīšana/formatēšana uz Ext4 (Gparted)
B2.1. Šifrētas sda7 nodalījuma galvenes izveideŠeit un tālāk es aprakstīšu nodalījumu nosaukumus saskaņā ar manu iepriekš ievietoto nodalījumu tabulu. Atbilstoši diska izkārtojumam ir jāaizstāj nodalījumu nosaukumi.
Loģiskā diska šifrēšanas kartēšana (/dev/sda7 > /dev/mapper/sda7_crypt).
#Vienkārša “LUKS-AES-XTS nodalījuma” izveide
cryptsetup -v -y luksFormat /dev/sda7Iespējas:
* luksFormat - LUKS galvenes inicializācija;
* -y -ieejas frāze (nevis atslēga/fails);
* -v -verbalizācija (informācijas parādīšana terminālī);
* /dev/sda7 — jūsu loģiskais disks no paplašinātā nodalījuma (kur plānots pārsūtīt/šifrēt GNU/Linux).
Noklusējuma šifrēšanas algoritms <LUKS1: aes-xts-plain64, atslēga: 256 biti, LUKS galvenes jaukšana: sha256, RNG: /dev/urandom> (atkarīgs no cryptsetup versijas).
#Проверка default-алгоритма шифрования
cryptsetup --help #самая последняя строка в выводе терминала.Ja CPU nav aparatūras atbalsta AES, labākā izvēle būtu izveidot paplašinātu “LUKS-Twofish-XTS-partition”.
B2.2. Uzlabota “LUKS-Twofish-XTS-partition” izveide
cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom
Iespējas:
* luksFormat - LUKS galvenes inicializācija;
* /dev/sda7 ir jūsu nākotnes šifrētais loģiskais disks;
* -v verbalizācija;
* -y ieejas frāze;
* -c izvēlieties datu šifrēšanas algoritmu;
* -s šifrēšanas atslēgas izmērs;
* -h jaukšanas algoritms/šifrēšanas funkcija, izmantots RNG (--izmantot-urandom) lai ģenerētu unikālu šifrēšanas/atšifrēšanas atslēgu loģiskā diska galvenei, sekundāro galvenes atslēgu (XTS); unikāla galvenā atslēga, kas tiek glabāta šifrētā diska galvenē, sekundārā XTS atslēga, visi šie metadati un šifrēšanas rutīna, kas, izmantojot galveno atslēgu un sekundāro XTS atslēgu, šifrē/atšifrē visus datus nodalījumā. (izņemot sadaļas nosaukumu) saglabāts ~ 3 MB izvēlētajā cietā diska nodalījumā.
* -i iterācijas milisekundēs, nevis "summa" (laika aizkave, apstrādājot ieejas frāzi, ietekmē OS ielādi un atslēgu kriptogrāfisko stiprumu). Lai saglabātu kriptogrāfijas stipruma līdzsvaru, ar vienkāršu paroli, piemēram, “krievu”, ir jāpalielina -(i) vērtība; ar sarežģītu paroli, piemēram, “?8dƱob/øfh”, vērtību var samazināt.
* -izmantojiet nejaušo skaitļu ģeneratoru, ģenerē atslēgas un sāli.
Pēc sadaļas kartēšanas sda7 > sda7_crypt (darbība ir ātra, jo tiek izveidota šifrēta galvene ar ~3 MB metadatiem un tas arī viss), jums ir jāformatē un jāpievieno failu sistēma sda7_crypt.
B2.3. Salīdzinājums
cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.
opcijas:
* atvērt - saskaņojiet sadaļu “ar nosaukumu”;
* /dev/sda7 -loģiskais disks;
* sda7_crypt — nosaukuma kartēšana, ko izmanto, lai uzstādītu šifrētu nodalījumu vai inicializētu to, kad OS sāknējas.
B2.4. Failu sistēmas sda7_crypt formatēšana uz ext4. Diska uzstādīšana operētājsistēmā(Piezīme: jūs nevarēsit strādāt ar šifrētu nodalījumu pakalpojumā Gparted)
#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt
opcijas:
* -v -verbalizācija;
* -L - diska etiķete (kas tiek parādīta pārlūkprogrammā Explorer starp citiem diskdziņiem).
Pēc tam sistēmā jāpievieno virtuāli šifrētā blokierīce /dev/sda7_crypt
mount /dev/mapper/sda7_crypt /mntStrādājot ar failiem mapē /mnt, sda7 dati tiks automātiski šifrēti/atšifrēti.
Ērtāk ir kartēt un uzstādīt nodalījumu programmā Explorer (nautilus/caja GUI), nodalījums jau būs diska atlases sarakstā, atliek tikai ievadīt ieejas frāzi, lai atvērtu/atšifrētu disku. Atbilstošais nosaukums tiks atlasīts automātiski, nevis “sda7_crypt”, bet kaut kas līdzīgs /dev/mapper/Luks-xx-xx...
B2.5. Diska galvenes dublējums (~3 MB metadati)Viens no visvairāk svarīgs darbības, kas jāveic bez kavēšanās - galvenes “sda7_crypt” rezerves kopija. Ja pārrakstāt/bojājat galveni (piemēram, GRUB2 instalēšana sda7 nodalījumā utt.), šifrētie dati tiks pilnībā zaudēti bez iespējas tos atgūt, jo nebūs iespējams atkārtoti ģenerēt tās pašas atslēgas, atslēgas tiek izveidotas unikāli.
#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7
#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>
opcijas:
* luksHeaderBackup — header-backup-file -backup komanda;
* luksHeaderRestore — header-backup-file -restore komanda;
* ~/Backup_DebSHIFR - rezerves fails;
* /dev/sda7 — nodalījums, kura šifrētā diska galvenes dublējuma kopija ir jāsaglabā.
Šajā darbībā <šifrētā nodalījuma izveide un rediģēšana> ir pabeigta.
B3. GNU/Linux OS pārnešana (sda4) uz šifrētu nodalījumu (sda7)
Izveidojiet mapi /mnt2 (Piezīme — mēs joprojām strādājam ar tiešo usb, sda7_crypt ir uzstādīts /mnt), un pievienojiet mūsu GNU/Linux mapē /mnt2, kas ir jāšifrē.
mkdir /mnt2
mount /dev/sda4 /mnt2
Mēs veicam pareizu OS pārsūtīšanu, izmantojot Rsync programmatūru
rsync -avlxhHX --progress /mnt2/ /mntRsync opcijas ir aprakstītas sadaļā E1.
Turklāt, ir nepieciešama defragmentēt loģisko diska nodalījumu
e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux
Padariet to par noteikumu: ja jums ir HDD, laiku pa laikam veiciet e4defrag uz šifrētā GNU/LINux.
Šajā darbībā tiek pabeigta pārsūtīšana un sinhronizācija [GNU/Linux > GNU/Linux šifrēta].
4. plkst. GNU/Linux iestatīšana šifrētā sda7 nodalījumā
Pēc veiksmīgas operētājsistēmas /dev/sda4 > /dev/sda7 pārsūtīšanas jums ir jāpiesakās GNU/Linux šifrētajā nodalījumā un jāveic turpmāka konfigurēšana. (bez datora pārstartēšanas) attiecībā pret šifrētu sistēmu. Tas ir, jābūt tiešraidē USB, bet izpildiet komandas “attiecībā pret šifrētās OS sakni”. “chroot” simulēs līdzīgu situāciju. Lai ātri saņemtu informāciju par to, ar kuru OS pašlaik strādājat (šifrēts vai nešifrēts, jo sda4 un sda7 dati ir sinhronizēti), desinhronizējiet OS. Izveidot saknes direktorijos (sda4/sda7_crypt) tukši marķiera faili, piemēram, /mnt/encryptedOS un /mnt2/decryptedOS. Ātri pārbaudiet, kuru OS izmantojat (ieskaitot nākotni):
ls /<Tab-Tab>B4.1. “Pieteikšanās šifrētā operētājsistēmā simulācija”
mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt
B4.2. Pārbaude, vai darbs tiek veikts pret šifrētu sistēmu
ls /mnt<Tab-Tab>
#и видим файл "/шифрованнаяОС"
history
#в выводе терминала должна появиться история команд su рабочей ОС.B4.3. Šifrētas mijmaiņas izveide/konfigurēšana, crypttab/fstab rediģēšanaTā kā mijmaiņas fails tiek formatēts katru reizi, kad tiek startēta operētājsistēma, nav jēgas izveidot un kartēt mijmaiņas failu tagad ar loģisko disku un ierakstīt komandas, kā norādīts B2.2. punktā. Swap gadījumā tās pagaidu šifrēšanas atslēgas tiks automātiski ģenerētas katrā palaišanas reizē. Mijmaiņas atslēgu dzīves cikls: mijmaiņas nodalījuma atvienošana/atmontēšana (+ RAM tīrīšana); vai restartējiet OS. Mijmaiņas iestatīšana, faila atvēršana, kas atbild par bloķētu šifrētu ierīču konfigurāciju (analogs fstab failam, bet atbild par šifrēšanu).
nano /etc/crypttab mēs rediģējam
#"mērķa nosaukums" "avota ierīce" "atslēgas fails" "opcijas"
swap /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512
Iespējas
* swap — kartētais nosaukums, šifrējot /dev/mapper/swap.
* /dev/sda8 - izmantojiet savu loģisko nodalījumu mijmaiņas veikšanai.
* /dev/urandom - nejaušu šifrēšanas atslēgu ģenerators apmaiņai (ar katru jaunu OS palaišanu tiek izveidotas jaunas atslēgas). Ģenerators /dev/urandom ir mazāk nejaušs nekā /dev/random, jo /dev/random tiek izmantots, strādājot bīstamos paranojas apstākļos. Ielādējot OS, /dev/random palēnina ielādi par vairākām ± minūtēm (skatīt systemd-analyze).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -partīcija zina, ka tā ir mijmaiņa un tiek formatēta “atbilstoši”; šifrēšanas algoritms.
#Открываем и правим fstab
nano /etc/fstab
mēs rediģējam
Instalēšanas laikā # swap bija ieslēgts / dev / sda8
/dev/mapper/swap nav swap sw 0 0
/dev/mapper/swap ir nosaukums, kas tika iestatīts crypttab.
Alternatīva šifrēta mijmaiņas iespēja
Ja kāda iemesla dēļ nevēlaties atteikties no visa nodalījuma mijmaiņas failam, varat izvēlēties alternatīvu un labāku veidu: izveidot mijmaiņas failu failā šifrētā nodalījumā ar operētājsistēmu.
fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянныйMijmaiņas nodalījuma iestatīšana ir pabeigta.
B4.4. Šifrēta GNU/Linux iestatīšana (crypttab/fstab failu rediģēšana)Fails /etc/crypttab, kā rakstīts iepriekš, apraksta šifrētas blokierīces, kas tiek konfigurētas sistēmas sāknēšanas laikā.
#правим /etc/crypttab
nano /etc/crypttab
ja saskaņojāt sadaļu sda7>sda7_crypt, kā norādīts punktā B2.1
# "mērķa nosaukums" "avota ierīce" "atslēgas fails" "opcijas"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks
ja saskaņojāt sadaļu sda7>sda7_crypt, kā norādīts punktā B2.2
# "mērķa nosaukums" "avota ierīce" "atslēgas fails" "opcijas"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512
ja saskaņojāt sadaļu sda7>sda7_crypt kā B2.1 vai B2.2 punktā, bet nevēlaties atkārtoti ievadīt paroli, lai atbloķētu un palaistu OS, tad paroles vietā varat aizstāt slepeno atslēgu/izlases failu.
# "mērķa nosaukums" "avota ierīce" "atslēgas fails" "opcijas"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks
Apraksts
* nav - ziņo, ka, ielādējot OS, ir jāievada slepena ieejas frāze, lai atbloķētu sakni.
* UUID - nodalījuma identifikators. Lai uzzinātu savu ID, ierakstiet terminālī (atgādinājums, ka no šī brīža jūs strādājat terminālī chroot vidē, nevis citā tiešraides usb terminālī).
fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное
/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»
šī rindiņa ir redzama, pieprasot blkid no tiešā usb termināļa ar pievienotu sda7_crypt).
Jūs paņemat UUID no sava sdaX (nevis sdaX_crypt!, UUID sdaX_crypt — tiks automātiski atstāts, ģenerējot grub.cfg konfigurāciju).
* šifrs=twofish-xts-plain64,size=512,hash=sha512 -luks šifrēšana uzlabotajā režīmā.
* /etc/skey - slepenās atslēgas fails, kas tiek ievietots automātiski, lai atbloķētu OS sāknēšanu (nevis ievadiet 3. paroli). Varat norādīt jebkuru failu līdz 8 MB, taču dati tiks nolasīti <1 MB.
#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey
#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7
Tas izskatīsies apmēram šādi:
(dari to pats un pārliecinies pats).
cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота/etc/fstab satur aprakstošu informāciju par dažādām failu sistēmām.
#Правим /etc/fstab
nano /etc/fstab
# "failu sistēma" "piestiprināšanas punkts" "tips" "iespējas" "izgāzt" "iziet"
Instalēšanas laikā # / bija ieslēgts / dev / sda7
/dev/mapper/sda7_crypt / ext4 errors=remount-ro 0 1
opcija
* /dev/mapper/sda7_crypt — sda7>sda7_crypt kartējuma nosaukums, kas norādīts failā /etc/crypttab.
crypttab/fstab iestatīšana ir pabeigta.
B4.5. Konfigurācijas failu rediģēšana. Galvenais brīdisB4.5.1. Konfigurācijas /etc/initramfs-tools/conf.d/resume rediģēšana
#Если у вас ранее был активирован swap раздел, отключите его.
nano /etc/initramfs-tools/conf.d/resume
un komentēt (ja pastāv) "#" rinda "atsākt". Failam jābūt pilnīgi tukšam.
B4.5.2. Konfigurācijas /etc/initramfs-tools/conf.d/cryptsetup rediģēšana
nano /etc/initramfs-tools/conf.d/cryptsetupjāsakrīt
# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=jā
eksportēt CRYPTSETUP
B4.5.3. /etc/default/grub konfigurācijas rediģēšana (šī konfigurācija ir atbildīga par spēju ģenerēt grub.cfg, strādājot ar šifrētu /boot)
nano /etc/default/grub
pievienojiet rindu “GRUB_ENABLE_CRYPTODISK=y”
vērtība "y", grub-mkconfig un grub-install pārbaudīs šifrētus diskus un ģenerēs papildu komandas, kas nepieciešamas, lai tiem piekļūtu sāknēšanas laikā (insmods ).
ir jābūt līdzībai
GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian'
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=vendor"
GRUB_CMDLINE_LINUX="kluss splash noautomount"
GRUB_ENABLE_CRYPTODISK=y
B4.5.4. Konfigurācijas /etc/cryptsetup-initramfs/conf-hook rediģēšana
nano /etc/cryptsetup-initramfs/conf-hook
pārbaudiet, vai līnija komentēja <#>.
Nākotnē (un pat tagad šim parametram nebūs nekādas nozīmes, bet dažreiz tas traucē atjaunināt initrd.img attēlu).
B4.5.5. Konfigurācijas /etc/cryptsetup-initramfs/conf-hook rediģēšana
nano /etc/cryptsetup-initramfs/conf-hookpievienot
KEYFILE_PATTERN=”/etc/skey”
UMASK=0077
Tas iesaiņos slepeno atslēgu "skey" initrd.img, atslēga ir nepieciešama, lai atbloķētu sakni, kad OS sāknējas. (ja nevēlaties ievadīt paroli atkārtoti, automašīna tiek aizstāta ar taustiņu “skey”).
B4.6. Atjaunināt /boot/initrd.img [versija]Lai iesaiņotu slepeno atslēgu failā initrd.img un lietotu šifrēšanas iestatīšanas labojumus, atjauniniet attēlu
update-initramfs -u -k all
atjauninot initrd.img (kā viņi saka: "Tas ir iespējams, bet tas nav droši") parādīsies brīdinājumi, kas saistīti ar kriptoiestatīšanu, vai, piemēram, paziņojums par Nvidia moduļu zudumu - tas ir normāli. Pēc faila atjaunināšanas pārbaudiet, vai tas tiešām ir atjaunināts, skatiet laiku (attiecībā pret chroot vidi./boot/initrd.img). Uzmanību! pirms [update-initramfs -u -k all] noteikti pārbaudiet, vai kriptoiestatīšana ir atvērta /dev/sda7 sda7_crypt - šis ir nosaukums, kas parādās mapē /etc/crypttab, pretējā gadījumā pēc pārstartēšanas tiks parādīta aizņemtības kļūda)
Šajā darbībā konfigurācijas failu iestatīšana ir pabeigta.
[C] GRUB2/Protection instalēšana un konfigurēšana
C1. Ja nepieciešams, formatējiet sāknēšanas ielādētājam paredzēto nodalījumu (nodalījumam ir nepieciešami vismaz 20 MB)
mkfs.ext4 -v -L GRUB2 /dev/sda6C2. Pievienojiet /dev/sda6 mapei /mntTātad mēs strādājam ar chroot, tad saknē nebūs /mnt2 direktorija, un mape /mnt būs tukša.
pievienojiet GRUB2 nodalījumu
mount /dev/sda6 /mntJa jums ir instalēta vecāka GRUB2 versija, direktorijā /mnt/boot/grub/i-386-pc (ir iespējama arī cita platforma, piemēram, nevis “i386-pc”) nav kriptogrāfijas moduļu (īsi sakot, mapē ir jābūt moduļiem, tostarp šiem .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), šajā gadījumā GRUB2 ir jāsakrata.
apt-get update
apt-get install grub2
Svarīgs! Atjauninot GRUB2 pakotni no repozitorija, kad tiek jautāts “par izvēli”, kur instalēt sāknēšanas ielādētāju, jums ir jāatsakās no instalēšanas (iemesls — mēģinājums instalēt GRUB2 — “MBR” vai tiešraidē usb). Pretējā gadījumā jūs sabojāsit VeraCrypt galveni/ielādētāju. Pēc GRUB2 pakotņu atjaunināšanas un instalēšanas atcelšanas sāknēšanas ielādētājs ir manuāli jāinstalē loģiskajā diskā, nevis MBR. Ja jūsu repozitorijā ir novecojusi GRUB2 versija, mēģiniet tas ir no oficiālās vietnes — neesmu to pārbaudījis (strādāja ar jaunākajiem GRUB 2.02 ~ BetaX sāknēšanas ielādētājiem).
C3. GRUB2 instalēšana paplašinātā nodalījumā [sda6]Jums ir jābūt uzstādītam nodalījumam [pozīcija C.2]
grub-install --force --root-directory=/mnt /dev/sda6
iespējas
* — piespiedu kārtā — sāknēšanas ielādēja instalēšana, apejot visus gandrīz vienmēr pastāvošos brīdinājumus un bloķējot instalēšanu (obligāts karogs).
* --root-directory - direktoriju instalēšana līdz sda6 saknei.
* /dev/sda6 — jūsu sdaХ nodalījums (nepalaidiet garām <space> starp /mnt /dev/sda6).
C4. Konfigurācijas faila izveide [grub.cfg]Aizmirstiet par komandu "update-grub2" un izmantojiet pilnas konfigurācijas faila ģenerēšanas komandu
grub-mkconfig -o /mnt/boot/grub/grub.cfg
pēc faila grub.cfg ģenerēšanas/atjaunināšanas pabeigšanas izvades terminālī ir jāietver rinda(s) ar diskā atrasto OS. (“grub-mkconfig”, iespējams, atradīs un paņems OS no tiešā usb, ja jums ir vairāku sāknēšanas zibatmiņas disks ar operētājsistēmu Windows 10 un virkne tiešo izplatījumu — tas ir normāli). Ja terminālis ir “tukšs” un fails “grub.cfg” nav ģenerēts, tad tas ir tāds pats gadījums, kad sistēmā ir GRUB kļūdas. (un, visticamāk, ielādētājs no repozitorija testa filiāles), pārinstalējiet GRUB2 no uzticamiem avotiem.
"Vienkāršās konfigurācijas" instalēšana un GRUB2 iestatīšana ir pabeigta.
C5. Šifrētas GNU/Linux OS pārbaudes pārbaudeMēs veicam kriptogrāfijas misiju pareizi. Uzmanīgi atstājot šifrēto GNU/Linux (iziet no chroot vides).
umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot
Pēc datora pārstartēšanas ir jāielādē VeraCrypt sāknēšanas programma.
*Ievadot aktīvā nodalījuma paroli, tiks sākta Windows ielāde.
*Nospiežot taustiņu "Esc", vadība tiks nodota GRUB2, ja atlasīsiet šifrētu GNU/Linux - lai atbloķētu /boot/initrd.img, būs nepieciešama parole (sda7_crypt) (ja grub2 raksta uuid "nav atrasts" - tas ir problēma ar grub2 sāknēšanas ielādētāju, tas ir jāinstalē no jauna, piemēram, no testa filiāles/stabilas utt.).
*Atkarībā no tā, kā konfigurējāt sistēmu (skatiet punktu B4.4/4.5), pēc pareizās paroles ievadīšanas, lai atbloķētu /boot/initrd.img attēlu, jums būs nepieciešama parole, lai ielādētu OS kodolu/sakni vai noslēpumu. atslēga tiks automātiski aizstāta ar "skey", tādējādi novēršot nepieciešamību atkārtoti ievadīt ieejas frāzi.
(ekrāns "automātiska slepenās atslēgas aizstāšana").
*Pēc tam sekos pazīstamais GNU/Linux ielādes process ar lietotāja konta autentifikāciju.
*Pēc lietotāja autorizācijas un pieteikšanās operētājsistēmā vēlreiz ir jāatjaunina /boot/initrd.img (sk. B4.6).
update-initramfs -u -k allUn papildu rindu gadījumā GRUB2 izvēlnē (no OS-m uztveršanas ar tiešo usb) atbrīvoties no tiem
mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg
Īss GNU/Linux sistēmas šifrēšanas kopsavilkums:
- GNU/Linuxinux ir pilnībā šifrēts, ieskaitot /boot/kernel un initrd;
- slepenā atslēga ir iesaiņota initrd.img;
- pašreizējā atļauju shēma (paroles ievadīšana, lai atbloķētu initrd; parole/atslēga, lai palaistu OS; parole Linux konta autorizācijai).
Bloka nodalījuma sistēmas "Vienkāršā GRUB2 konfigurācija" šifrēšana ir pabeigta.
C6. Uzlabota GRUB2 konfigurācija. Bootloader aizsardzība ar ciparparakstu + autentifikācijas aizsardzībaGNU/Linux ir pilnībā šifrēts, bet sāknēšanas ielādētāju nevar šifrēt – šo nosacījumu nosaka BIOS. Šī iemesla dēļ GRUB2 ķēdes šifrēta sāknēšana nav iespējama, bet vienkārša ķēdes sāknēšana ir iespējama/pieejama, taču no drošības viedokļa tas nav nepieciešams [sk. P.F].
“Neaizsargātajam” GRUB2 izstrādātāji ieviesa “paraksta/autentifikācijas” bootloader aizsardzības algoritmu.
- Ja sāknēšanas ielādētājs ir aizsargāts ar “savu ciparparakstu”, ārēja failu modifikācija vai mēģinājums ielādēt papildu moduļus šajā sāknēšanas ielādētājā, sāknēšanas process tiks bloķēts.
- Aizsargājot sāknēšanas ielādētāju ar autentifikāciju, lai izvēlētos izplatīšanas ielādi vai ievadītu papildu komandas CLI, jums būs jāievada superlietotāja-GRUB2 pieteikumvārds un parole.
C6.1. Bootloader autentifikācijas aizsardzībaPārbaudiet, vai strādājat terminālī ar šifrētu OS
ls /<Tab-Tab> #обнаружить файл-маркерizveidojiet superlietotāja paroli autorizācijai GRUB2
grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. Iegūstiet paroles jaucējkodu. Kaut kas tamlīdzīgs
grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
uzstādiet GRUB nodalījumu
mount /dev/sda6 /mnt rediģēt konfigurāciju
nano -$ /mnt/boot/grub/grub.cfg
pārbaudiet failu meklēšanu, vai failā “grub.cfg” nekur nav karogu (“-unrestricted” “-user”,
pievienot pašās beigās (pirms rindas ### END /etc/grub.d/41_custom ###)
"set superusers="root"
password_pbkdf2 saknes hash."
Tam vajadzētu būt apmēram šādam
# Šis fails nodrošina vienkāršu veidu, kā pievienot pielāgotus izvēlnes ierakstus. Vienkārši ierakstiet
# izvēlnes ieraksti, ko vēlaties pievienot pēc šī komentāra. Esiet uzmanīgi, lai nemainītos
# augstāk esošā “exec tail” līnija.
### END /etc/grub.d/40_custom ###### BEGIN /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; tad
avots ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; tad
avots $prefix/custom.cfg;
fi
iestatīt superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#
Ja bieži izmantojat komandu “grub-mkconfig -o /mnt/boot/grub/grub.cfg” un nevēlaties katru reizi veikt izmaiņas failā grub.cfg, ievadiet iepriekš minētās rindas. (Pieslēgšanās parole) GRUB lietotāja skriptā pašā apakšā
nano /etc/grub.d/41_custom kaķis <<EOF
iestatīt superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF
Ģenerējot konfigurāciju “grub-mkconfig -o /mnt/boot/grub/grub.cfg”, par autentifikāciju atbildīgās rindas tiks automātiski pievienotas failam grub.cfg.
Šī darbība pabeidz GRUB2 autentifikācijas iestatīšanu.
C6.2. Bootloader aizsardzība ar ciparparakstuTiek pieņemts, ka jums jau ir jūsu personīgā pgp šifrēšanas atslēga (vai izveidojiet šādu atslēgu). Sistēmā jābūt instalētai kriptogrāfijas programmatūrai: gnuPG; kleopatra/GPA; Jūras zirdziņš. Kriptoprogrammatūra padarīs jūsu dzīvi daudz vieglāku visos šādos jautājumos. Seahorse - stabila pakotnes versija 3.14.0 (versijas, kas ir augstākas, piemēram, V3.20, ir bojātas un tajās ir būtiskas kļūdas).
PGP atslēga jāģenerē/jāsāk/jāpievieno tikai su vidē!
Ģenerējiet personīgo šifrēšanas atslēgu
gpg - -gen-keyEksportējiet savu atslēgu
gpg --export -o ~/perskeyUzstādiet loģisko disku operētājsistēmā, ja tas vēl nav uzstādīts
mount /dev/sda6 /mnt #sda6 – раздел GRUB2notīriet GRUB2 nodalījumu
rm -rf /mnt/Instalējiet GRUB2 sda6, ievietojot savu privāto atslēgu galvenajā GRUB attēlā "core.img"
grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6
iespējas
* --force - instalējiet sāknēšanas ielādētāju, apejot visus brīdinājumus, kas vienmēr pastāv (obligāts karogs).
* —modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" — uzdod GRUB2 ielādēt nepieciešamos moduļus, kad dators tiek startēts.
* -k ~/perskey -ceļš uz “PGP atslēgu” (pēc atslēgas iesaiņošanas attēlā to var izdzēst).
* --root-directory -iestatiet sāknēšanas direktoriju uz sda6 sakni
/dev/sda6 — jūsu sdaX nodalījums.
Grub.cfg ģenerēšana/atjaunināšana
grub-mkconfig -o /mnt/boot/grub/grub.cfgPievienojiet rindu “trust /boot/grub/perskey” faila “grub.cfg” beigās. (piespiedu kārtā izmantot pgp taustiņu.) Tā kā mēs instalējām GRUB2 ar moduļu kopu, tostarp paraksta moduli “signature_test.mod”, tas novērš nepieciešamību konfigurācijai pievienot tādas komandas kā “set check_signatures=enforce”.
Tam vajadzētu izskatīties apmēram šādi (beigu rindiņas failā grub.cfg)
### BEGIN /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; tad
avots ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; tad
avots $prefix/custom.cfg;
fi
uzticieties /boot/grub/perskey
iestatīt superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#
Ceļam uz “/boot/grub/perskey” nav jānorāda uz noteiktu diska nodalījumu, piemēram, hd0,6; pašam sāknēšanas ielādētājam “root” ir noklusējuma ceļš nodalījumam, kurā ir instalēts GRUB2. (skat. komplekts puve=..).
Parakstot GRUB2 (visi faili visos /GRUB direktorijos) ar savu atslēgu “perskey”.
Vienkāršs risinājums, kā parakstīt (paredzēts nautilus/caja explorer): instalējiet pārlūkprogrammas Explorer paplašinājumu “jūras zirgs” no krātuves. Jūsu atslēga ir jāpievieno su videi.
Atveriet Explorer ar sudo “/mnt/boot” – RMB – zīmi. Uz ekrāna tas izskatās šādi
Pati atslēga ir “/mnt/boot/grub/perskey” (kopēt uz grub direktoriju) jāparaksta arī ar savu parakstu. Pārbaudiet, vai [*.sig] faila paraksti parādās direktorijā/apakšdirektorijās.
Izmantojot iepriekš aprakstīto metodi, parakstiet “/boot” (mūsu kodols, initrd). Ja jūsu laiks ir ko vērts, šī metode novērš nepieciešamību rakstīt bash skriptu, lai parakstītu “daudz failu”.
Lai noņemtu visus bootloader parakstus (ja kaut kas nogāja greizi)
rm -f $(find /mnt/boot/grub -type f -name '*.sig')Lai pēc sistēmas atjaunināšanas neparakstītos sāknēšanas ielādētājs, mēs iesaldējam visas ar GRUB2 saistītās atjaunināšanas pakotnes.
apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-commonŠī darbība <aizsargāt sāknēšanas ielādētāju ar ciparparakstu> ir pabeigta GRUB2 uzlabotā konfigurācija.
C6.3. GRUB2 sāknēšanas ielādētāja pārbaudes pārbaude, kas aizsargāta ar ciparparakstu un autentifikācijuGRUB2. Izvēloties jebkuru GNU/Linux izplatīšanu vai ievadot CLI (komandrinda) Būs nepieciešama superlietotāja autorizācija. Pēc pareizā lietotājvārda/paroles ievadīšanas jums būs nepieciešama initrd parole
Ekrānuzņēmums ar veiksmīgu GRUB2 superlietotāja autentifikāciju.
Ja manipulējat ar kādu no GRUB2 failiem/veicat izmaiņas failā grub.cfg, izdzēšat failu/parakstu vai ielādējat ļaunprātīgu moduli.mod, tiks parādīts attiecīgs brīdinājums. GRUB2 apturēs ielādi.
Ekrānuzņēmums, mēģinājums traucēt GRUB2 “no ārpuses”.
"Normālas" sāknēšanas laikā "bez ielaušanās" sistēmas izejas koda statuss ir "0". Tāpēc nav zināms, vai aizsardzība darbojas vai ne (tas ir, “ar vai bez bootloader paraksta aizsardzības” normālas ielādes laikā statuss ir vienāds “0” - tas ir slikti).
Kā pārbaudīt digitālā paraksta aizsardzību?
Neērts veids, kā pārbaudīt: viltot/noņemt moduli, ko izmanto GRUB2, piemēram, noņemiet parakstu luks.mod.sig un saņemsiet kļūdu.
Pareizais veids: dodieties uz sāknēšanas ielādētāja CLI un ierakstiet komandu
trust_list
Atbildot uz to, jums jāsaņem “perskey” pirksta nospiedums; ja statuss ir “0”, tad paraksta aizsardzība nedarbojas, vēlreiz pārbaudiet C6.2. punktu.
Šajā solī ir pabeigta uzlabotā konfigurācija “GRUB2 aizsardzība ar ciparparakstu un autentifikāciju”.
C7 Alternatīva metode GRUB2 sāknēšanas ielādētāja aizsardzībai, izmantojot jaukšanuIepriekš aprakstītā "CPU sāknēšanas ielādes aizsardzības/autentifikācijas" metode ir klasiska. GRUB2 nepilnību dēļ paranojas apstākļos tas ir jutīgs pret reālu uzbrukumu, ko es sniegšu tālāk [F] punktā. Turklāt pēc OS/kodola atjaunināšanas ir atkārtoti jāparaksta sāknēšanas ielādētājs.
GRUB2 sāknēšanas ielādētāja aizsardzība, izmantojot jaukšanu
Priekšrocības salīdzinājumā ar klasiku:
- Augstāks uzticamības līmenis (jaukšana/pārbaude notiek tikai no šifrēta lokālā resursa. Viss piešķirtais nodalījums zem GRUB2 tiek kontrolēts, lai veiktu jebkādas izmaiņas, un viss pārējais ir šifrēts; klasiskajā shēmā ar CPU lādētāja aizsardzību/autentifikāciju tiek kontrolēti tikai faili, bet ne brīvi telpa, kurā var pievienot "kaut ko draudīgu").
- Šifrēta reģistrēšana (shēmai tiek pievienots cilvēka lasāms personīgais šifrēts žurnāls).
- Ātrums (visa GRUB2 piešķirtā nodalījuma aizsardzība/pārbaude notiek gandrīz uzreiz).
- Visu kriptogrāfijas procesu automatizācija.
Trūkumi salīdzinājumā ar klasiku.
- Paraksta viltošana (teorētiski ir iespējams atrast doto jaucējfunkciju sadursmi).
- Paaugstināts grūtības līmenis (salīdzinot ar klasisko, ir nepieciešamas nedaudz vairāk prasmes GNU/Linux OS).
Kā darbojas GRUB2/sadaļas jaukšanas ideja
GRUB2 nodalījums ir “parakstīts”; OS sāknēšanas laikā tiek pārbaudīta sāknēšanas ielādētāja nodalījuma nemainīgums, kam seko pieteikšanās drošā (šifrētā) vidē. Ja sāknēšanas ielādētājs vai tā nodalījums ir apdraudēts, papildus ielaušanās žurnālam tiek palaista:
Lieta.
Līdzīga pārbaude notiek četras reizes dienā, kas neielādē sistēmas resursus.
Izmantojot komandu “-$ check_GRUB”, tūlītēja pārbaude notiek jebkurā laikā bez reģistrēšanas, bet ar informācijas izvadīšanu CLI.
Izmantojot komandu “-$ sudo signature_GRUB”, GRUB2 sāknēšanas ielādētājs/nodalījums tiek nekavējoties atkārtoti parakstīts un atjaunināta reģistrēšana. (nepieciešams pēc OS/sāknēšanas atjaunināšanas), un dzīve turpinās.
Jaukšanas metodes ieviešana bootloader un tā sadaļai
0) Parakstīsim GRUB sāknēšanas ielādētāju/sadaļu, vispirms uzstādot to mapē /media/lietotājvārds
-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt1) Mēs izveidojam skriptu bez paplašinājuma šifrētās OS ~/podpis saknē, piemērojam tam nepieciešamās 744 drošības tiesības un nepārprotamu aizsardzību.
Tā satura aizpildīšana
#!/bin/bash
#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux.
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'
a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!!
b="hashdeep: Audit failed"
#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]]
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif'
fiPalaidiet skriptu no su, tiks pārbaudīta GRUB nodalījuma un tā sāknēšanas ielādētāja jaukšana, saglabājiet žurnālu.
Izveidosim vai kopēsim, piemēram, “ļaunprātīgu failu” [virus.mod] GRUB2 nodalījumā un palaidīsim pagaidu skenēšanu/testu:
-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUBCLI ir jāredz iebrukums mūsu -citadelē-#Trimmed log in CLI
Ср янв 2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
Input files examined: 0
Known files expecting: 0
Files matched: 325
Files partially matched: 0
Files moved: 1
New files found: 0
Known files not found: 0
#Kā redzat, parādās “Faili pārvietoti: 1 un audits neizdevās”, kas nozīmē, ka pārbaude neizdevās.
Pārbaudītā nodalījuma rakstura dēļ "Atrasti jauni faili" > "Faili pārvietoti" vietā
2) Ievietojiet gif šeit > ~/warning.gif, iestatiet atļaujas uz 744.
3) Fstab konfigurēšana, lai automātiski pievienotu GRUB nodalījumu sāknēšanas laikā
-$ sudo nano /etc/fstabLABEL=GRUB /media/lietotājvārds/GRUB ext4 noklusējuma iestatījumi 0 0
4) Pagriežot baļķi
-$ sudo nano /etc/logrotate.d/podpis /var/log/podpis.txt {
ik dienas
pagriezt 50
izmērs 5M
datuma teksts
saspiest
delaycompress
olddir /var/log/old
}/var/log/vtorjenie.txt {
ikmēneša
pagriezt 5
izmērs 5M
datuma teksts
olddir /var/log/old
}
5) Pievienojiet cronam darbu
-$ sudo crontab -e'/abonements'
0 */6 * * * '/podpis
6) Pastāvīgo aizstājvārdu izveide
-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash
Pēc OS atjaunināšanas -$ apt-get upgrade atkārtoti parakstiet mūsu GRUB nodalījumu
-$ подпись_GRUB
Šajā brīdī GRUB nodalījuma aizsardzība pret jaukšanu ir pabeigta.
[D] Noslaucīšana - nešifrētu datu iznīcināšana
Izdzēsiet savus personīgos failus tik pilnībā, ka "pat Dievs nevar tos izlasīt", sacīja Dienvidkarolīnas pārstāvis Trejs Godijs.
Kā ierasts, pastāv dažādi “mīti un ", par datu atjaunošanu pēc to dzēšanas no cietā diska. Ja jūs ticat kiberburvestībām vai esat Dr tīmekļa kopienas biedrs un nekad neesat mēģinājis atkopt datus pēc to dzēšanas/pārrakstīšanas (piemēram, atkopšana, izmantojot R-studio), tad piedāvātā metode, visticamāk, jums nebūs piemērota, izmantojiet to, kas jums ir vistuvāk.
Pēc veiksmīgas GNU/Linux pārsūtīšanas uz šifrētu nodalījumu vecā kopija ir jāizdzēš bez datu atkopšanas iespējas. Universāla tīrīšanas metode: programmatūra Windows/Linux bezmaksas GUI programmatūrai .
Ātri formatējiet sadaļu, kuru dati ir jāiznīcina (izmantojot Gparted) palaidiet BleachBit, atlasiet “Attīrīt brīvo vietu” - atlasiet nodalījumu (jūsu sdaX ar iepriekšējo GNU/Linux kopiju), sāksies noņemšanas process. BleachBit - noslauka disku vienā piegājienā - tas ir tas, kas mums ir vajadzīgs, bet! Tas darbojas tikai teorētiski, ja formatējat disku un notīrāt to programmatūrā BB v2.0.
Uzmanību! BB notīra disku, atstājot metadatus; failu nosaukumi tiek saglabāti, kad dati tiek noņemti (Ccleaner - neatstāj metadatus).
Un mīts par datu atkopšanas iespēju nav pilnībā mīts.Bleachbit V2.0-2 bijusī nestabilā OS Debian pakotne (un jebkura cita līdzīga programmatūra: sfill; wipe-Nautilus - arī tika pamanītas šajā netīrajā biznesā) faktiski bija kritiska kļūda: funkcija "brīvās vietas tīrīšana". tas darbojas nepareizi uz HDD/Flash diskdziņiem (ntfs/ext4). Šāda veida programmatūra, atbrīvojot brīvu vietu, nepārraksta visu disku, kā domā daudzi lietotāji. Un daži (daudzi) dzēstie dati OS/programmatūra šos datus uzskata par neizdzēstiem/lietotāja datiem un, tīrot “OSP”, izlaiž šos failus. Problēma ir tāda, ka pēc tik ilga laika diska tīrīšana "Izdzēstos failus" var atgūt pat pēc 3+ diska tīrīšanas piegājieniem.
Uz GNU/Linux un Bleachbit 2.0-2 Failu un direktoriju neatgriezeniskas dzēšanas funkcijas darbojas droši, bet neatbrīvo brīvo vietu. Salīdzinājumam: operētājsistēmā Windows programmā CCleaner funkcija “OSP for ntfs” darbojas pareizi, un Dievs tiešām nevarēs nolasīt izdzēstos datus.
Un tā, lai rūpīgi noņemtu "kompromitējoša" veci nešifrēti dati, Bleachbit nepieciešama tieša piekļuve šiem datiem, pēc tam izmantojiet funkciju “neatgriezeniski dzēst failus/direktorijus”.
Lai noņemtu “dzēstos failus, izmantojot standarta OS rīkus” sistēmā Windows, izmantojiet CCleaner/BB ar funkciju “OSP”. GNU/Linux par šo problēmu (dzēst izdzēstos failus) jums ir jāiegūst prakse patstāvīgi (datu dzēšana + neatkarīgs mēģinājums tos atjaunot, un jums nevajadzētu paļauties uz programmatūras versiju (ja ne grāmatzīmi, tad kļūdu)), tikai šajā gadījumā varēsiet izprast šīs problēmas rašanās mehānismu un pilnībā atbrīvoties no izdzēstajiem datiem.
Es neesmu testējis Bleachbit v3.0, iespējams, problēma jau ir novērsta.
Bleachbit v2.0 darbojas godīgi.
Šajā darbībā diska tīrīšana ir pabeigta.
[E] Šifrētas operētājsistēmas universāls dublējums
Katram lietotājam ir sava datu dublēšanas metode, taču šifrētiem sistēmas OS datiem ir nepieciešama nedaudz atšķirīga pieeja uzdevumam. Vienotā programmatūra, piemēram, Clonezilla un līdzīga programmatūra, nevar strādāt tieši ar šifrētiem datiem.
Paziņojums par šifrētu bloku ierīču dublēšanas problēmu:
- universālums - tas pats dublēšanas algoritms/programmatūra operētājsistēmai Windows/Linux;
- iespēja strādāt konsolē ar jebkuru dzīvu usb GNU/Linux bez nepieciešamības pēc papildu programmatūras lejupielādes (bet tomēr ieteiktu GUI);
- rezerves kopiju drošība - saglabātajiem “attēliem” jābūt šifrētiem/aizsargātiem ar paroli;
- šifrēto datu lielumam jāatbilst reālo kopējamo datu lielumam;
- ērta nepieciešamo failu iegūšana no rezerves kopijas (nav prasības vispirms atšifrēt visu sadaļu).
Piemēram, dublējiet/atjaunojiet, izmantojot utilītu “dd”.
dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerrorTas atbilst gandrīz visiem uzdevuma punktiem, taču saskaņā ar 4. punktu tas neiztur kritiku, jo kopē visu diska nodalījumu, ieskaitot brīvo vietu - nav interesanti.
Piemēram, GNU/Linux dublējums, izmantojot arhivētāju [tar" | gpg] ir ērts, taču Windows dublēšanai ir jāmeklē cits risinājums - tas nav interesanti.
E1. Universāla Windows/Linux dublēšana. Saistiet rsync (Grsync)+VeraCrypt skaļumuAlgoritms rezerves kopijas izveidei:
- šifrēta konteinera izveide (sējums/fails) VeraCrypt operētājsistēmai;
- pārsūtīt/sinhronizēt operētājsistēmu, izmantojot Rsync programmatūru VeraCrypt kriptogrāfijas konteinerā;
- ja nepieciešams, augšupielādējot VeraCrypt sējumu vietnē www.
Šifrēta VeraCrypt konteinera izveidei ir savas īpašības:
veidojot dinamisku skaļumu (DT izveide ir pieejama tikai operētājsistēmā Windows, var izmantot arī GNU/Linux);
izveidojot regulāru skaļumu, bet ir prasība pēc "paranoiskā rakstura" (pēc izstrādātāja domām) – konteinera formatēšana.
Dinamisks sējums operētājsistēmā Windows tiek izveidots gandrīz uzreiz, taču, kopējot datus no GNU/Linux > VeraCrypt DT, kopējā dublēšanas darbības veiktspēja ievērojami samazinās.
Tiek izveidots parasts 70 GB Twofish sējums (teiksim tā, vidējā datora jauda) uz HDD ~ pusstundas laikā (bijušo konteinera datu pārrakstīšana vienā piegājienā ir drošības prasību dēļ). Sējuma ātras formatēšanas funkcija, to izveidojot, ir noņemta no VeraCrypt Windows/Linux, tāpēc konteinera izveide ir iespējama, tikai izmantojot “vienreizēju pārrakstīšanu” vai izveidojot zemas veiktspējas dinamisku sējumu.
Izveidojiet parastu VeraCrypt sējumu (nav dinamisks/ntfs), problēmām nevajadzētu būt.
Konfigurējiet/izveidojiet/atveriet konteineru VeraCrypt GUI> GNU/Linux live usb (sējums tiks automātiski pievienots mapē /media/veracrypt2, Windows OS sējums tiks pievienots mapē /media/veracrypt1). Šifrētas Windows OS dublējuma izveide, izmantojot GUI rsync (grsync)atzīmējot izvēles rūtiņas.
Pagaidiet, līdz process tiks pabeigts. Kad dublēšana būs pabeigta, mums būs viens šifrēts fails.
Līdzīgi izveidojiet GNU/Linux OS dublējumkopiju, noņemot atzīmi no izvēles rūtiņas “Windows saderība” rsync GUI.
Uzmanību! izveidojiet Veracrypt konteineru “GNU/Linux dublējumam” failu sistēmā ext4. Ja izveidojat dublējumu ntfs konteinerā, tad, atjaunojot šādu kopiju, jūs zaudēsiet visas tiesības/grupas uz visiem saviem datiem.
Visas darbības varat veikt terminālī. Rsync pamata opcijas:
* -g -saglabāt grupas;
* -P —progress — darbam ar failu pavadītā laika statuss;
* -H - kopēt cietās saites tādas, kādas tās ir;
* -a -arhīva režīms (vairāki rlptgoD karodziņi);
* -v -verbalizācija.
Ja vēlaties pievienot “Windows VeraCrypt sējumu”, izmantojot konsoli kriptoiestatīšanas programmatūrā, varat izveidot aizstājvārdu (su)
echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash
Tagad komanda “veramount images” liks ievadīt ieejas frāzi, un šifrētais Windows sistēmas apjoms tiks uzstādīts operētājsistēmā.
Kartēt/montēt VeraCrypt sistēmas sējumu komandā cryptsetup
cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mntKartēt/montēt VeraCrypt nodalījumu/konteineru kriptoiestatīšanas komandā
cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mntaizstājvārda vietā mēs pievienosim (skriptu palaišanai) sistēmas sējumu ar Windows OS un loģiski šifrētu ntfs disku GNU/Linux startēšanai.
Izveidojiet skriptu un saglabājiet to ~/VeraOpen.sh
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.
Mēs izplatām “pareizās” tiesības:
sudo chmod 100 /VeraOpen.shIzveidojiet divus identiskus failus (tāds pats nosaukums!) mapē /etc/rc.local un ~/etc/init.d/rc.local
Failu aizpildīšana
#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0Mēs izplatām “pareizās” tiesības:
sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local Tas arī viss, tagad, ielādējot GNU/Linux, mums nav jāievada paroles, lai pievienotu šifrētus ntfs diskus, diski tiek uzstādīti automātiski.
Īsa piezīme par to, kas soli pa solim aprakstīts iepriekš E1 punktā (bet tagad OS GNU/Linux)
1) Izveidojiet sējumu fs ext4 > 4gb (failam) Linux programmā Veracrypt [Cryptbox].
2) Reboot, lai tiešraidē usb.
3) ~$ cryptsetup atvērt /dev/sda7 Lunux #mapping šifrētu nodalījumu.
4) ~$ mount /dev/mapper/Linux /mnt #montējiet šifrēto nodalījumu mapē /mnt.
5) ~$ mkdir mnt2 #direktorija izveide nākotnes dublējumam.
6) ~$ cryptsetup open —veracrypt — ierakstiet tcrypt ~/CryptoBox CryptoBox && mount /dev/mapper/CryptoBox /mnt2 #Kartējiet Veracrypt sējumu ar nosaukumu “CryptoBox” un pievienojiet CryptoBox mapei /mnt2.
7) ~$ rsync -avlxhHX —progress /mnt /mnt2/ #šifrēta nodalījuma dublēšanas darbība šifrētā Veracrypt sējumā.
(p/s/ Uzmanību! Ja pārsūtāt šifrētu GNU/Linux no vienas arhitektūras/iekārtas uz citu, piemēram, Intel > AMD (tas ir, dublējuma izvietošana no viena šifrēta nodalījuma uz citu šifrētu Intel > AMD nodalījumu), neaizmirsti Pēc šifrētās OS pārsūtīšanas, iespējams, paroles vietā rediģējiet slepeno aizstājējatslēgu. iepriekšējā atslēga ~/etc/skey - vairs nederēs citam šifrētam nodalījumam, un nav vēlams izveidot jaunu atslēgu “cryptsetup luksAddKey” no zem chroot - ir iespējama kļūme, vienkārši ~/etc/crypttab norādiet tā vietā. “/etc/skey” īslaicīgi “nav””, pēc pārstartēšanas un pieteikšanās OS vēlreiz izveidojiet savu slepeno aizstājējzīmi.
Kā IT veterāni atcerieties atsevišķi izveidot šifrēto Windows/Linux OS nodalījumu galveņu dublējumkopijas, pretējā gadījumā šifrēšana vērsīsies pret jums.
Šajā darbībā tiek pabeigta šifrētās OS dublēšana.
[F] Uzbrukums GRUB2 bootloader
DetaļasJa esat aizsargājis sāknēšanas ielādētāju ar ciparparakstu un/vai autentifikāciju (skat. punktu C6.), tad tas nepasargās no fiziskas piekļuves. Šifrētie dati joprojām nebūs pieejami, taču aizsardzība tiks apieta (atiestatīt ciparparaksta aizsardzību) GRUB2 ļauj kiber-ļaundaram ievadīt savu kodu sāknēšanas ielādētājā, neradot aizdomas (ja vien lietotājs manuāli neuzrauga sāknēšanas ielādētāja stāvokli vai nenāk klajā ar savu jaudīgo patvaļīgu skripta kodu grub.cfg).
Uzbrukuma algoritms. Iebrucējs
* Ieslēdz datoru no tiešās usb. Jebkuras izmaiņas (pārkāpējs) faili paziņos patiesajam datora īpašniekam par ielaušanos sāknēšanas ielādētājā. Bet vienkārša GRUB2 pārinstalēšana, saglabājot grub.cfg (un turpmākā iespēja to rediģēt) ļaus uzbrucējam rediģēt visus failus (šajā situācijā, ielādējot GRUB2, īstais lietotājs netiks informēts. Statuss ir tāds pats <0>)
* Pievienojiet nešifrētu nodalījumu, saglabā “/mnt/boot/grub/grub.cfg”.
* Pārinstalē sāknēšanas ielādētāju (perskey noņemšana no core.img attēla)
grub-install --force --root-directory=/mnt /dev/sda6
* Atgriež “grub.cfg” > “/mnt/boot/grub/grub.cfg”, rediģē, ja nepieciešams, piemēram, pievienojot savu moduli “keylogger.mod” mapei ar ielādēšanas moduļiem, “grub.cfg” > rinda "insmod keylogger". Vai, piemēram, ja ienaidnieks ir viltīgs, tad pēc GRUB2 pārinstalēšanas (visi paraksti paliek vietā) tas veido galveno GRUB2 attēlu, izmantojot "grub-mkimage ar opciju (-c)." Opcija “-c” ļaus ielādēt konfigurāciju pirms galvenā “grub.cfg” ielādes. Konfigurācija var sastāvēt tikai no vienas rindiņas: novirzīšana uz jebkuru “modern.cfg”, jaukta, piemēram, ar ~400 failiem (moduļi+paraksti) mapē "/boot/grub/i386-pc". Šādā gadījumā uzbrucējs var ievietot patvaļīgu kodu un ielādēt moduļus, neietekmējot “/boot/grub/grub.cfg”, pat ja lietotājs failam ir pievienojis “hashsum” un īslaicīgi to parādījis ekrānā.
Uzbrucējam nevajadzēs uzlauzt GRUB2 superlietotāja pieteikumvārdu/paroli; viņam būs vienkārši jākopē rindiņas. (atbildīgs par autentifikāciju) "/boot/grub/grub.cfg" uz jūsu "modern.cfg"
iestatīt superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
Un datora īpašnieks joprojām tiks autentificēts kā GRUB2 superlietotājs.
Ķēdes iekraušana (sāknēšanas ielādētājs ielādē citu sāknēšanas programmu), kā jau rakstīju iepriekš, nav jēgas (tas ir paredzēts citam mērķim). Šifrētu sāknēšanas programmu nevar ielādēt BIOS dēļ (ķēdes sāknēšana restartējas GRUB2 > šifrēts GRUB2, kļūda!). Tomēr, ja joprojām izmantojat ķēdes ielādes ideju, varat būt pārliecināti, ka tiek ielādēta šifrētā. (nav modernizēts) "grub.cfg" no šifrētā nodalījuma. Un tā ir arī nepatiesa drošības sajūta, jo viss, kas norādīts šifrētajā “grub.cfg” (moduļu ielāde) tiek pievienoti moduļiem, kas tiek ielādēti no nešifrēta GRUB2.
Ja vēlaties to pārbaudīt, piešķiriet/šifrējiet citu nodalījumu sdaY, kopējiet tajā GRUB2 (Grub-instalēšanas darbība šifrētā nodalījumā nav iespējama) un "grub.cfg" (nešifrēta konfigurācija) mainiet šādas līnijas
izvēlnes ieraksts 'GRUBx2' --class papagailis --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
load_video
insmod gzio
if [ x$grub_platform = xxen ]; tad insmod xzio; insmod lzopio; fi
insmod part_msdos
insmod kriptodisk
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
normāls /boot/grub/grub.cfg
}
līnijas
* insmod - nepieciešamo moduļu ielāde darbam ar šifrētu disku;
* GRUBx2 - GRUB2 sāknēšanas izvēlnē parādītās rindas nosaukums;
* kriptonauda -u 15c47d1c4bd34e5289df77bcf60ee838 -skat. fdisk -l (sda9);
* iestatīt sakni - instalēt sakni;
* parasts /boot/grub/grub.cfg — izpildāms konfigurācijas fails šifrētā nodalījumā.
Pārliecība, ka tiek ielādēts šifrētais “grub.cfg”, ir pozitīva atbilde uz paroles ievadīšanu/atbloķēšanu “sdaY”, GRUB izvēlnē atlasot rindiņu “GRUBx2”.
Strādājot CLI, lai neapjuktu (un pārbaudiet, vai vides mainīgais “set root” darbojās), izveidot tukšus marķiera failus, piemēram, šifrētajā sadaļā “/shifr_grub”, nešifrētajā sadaļā “/noshifr_grub”. Pārbaude CLI
cat /Tab-TabKā minēts iepriekš, tas nepalīdzēs pret ļaunprātīgu moduļu lejupielādi, ja šādi moduļi nonāk jūsu datorā. Piemēram, taustiņu bloķētājs, kas varēs saglabāt taustiņsitienus failā un sajaukt to ar citiem failiem “~/i386”, līdz to lejupielādēs uzbrucējs ar fizisku piekļuvi datoram.
Vienkāršākais veids, kā pārbaudīt, vai ciparparaksta aizsardzība aktīvi darbojas (nav atiestatīts), un neviens nav iebrucis sāknēšanas ielādētājs, ievadiet komandu CLI
list_trusted
kā atbildi mēs saņemam mūsu “perskey” kopiju vai arī nesaņemam neko, ja mums uzbrūk (jums ir arī jāatzīmē "set check_signatures=enforce").
Būtisks šīs darbības trūkums ir komandu manuāla ievadīšana. Ja pievienojat šo komandu failam “grub.cfg” un aizsargājat konfigurāciju ar ciparparakstu, atslēgas momentuzņēmuma sākotnējā izvade ekrānā ir pārāk īsa, un pēc GRUB2 ielādes jums var nebūt laika redzēt izvadi. .
Nav neviena, kam izvirzīt pretenzijas: izstrādātājam savā 18.2.punktā oficiāli paziņo
“Ņemiet vērā, ka pat ar GRUB paroles aizsardzību GRUB pats par sevi nevar liegt kādam, kam ir fiziska piekļuve iekārtai, mainīt šīs mašīnas programmaparatūras (piemēram, Coreboot vai BIOS) konfigurāciju, lai izraisītu iekārtas sāknēšanu no citas (uzbrucēja kontrolētas) ierīces. GRUB labākajā gadījumā ir tikai viens posms drošā sāknēšanas ķēdē.
GRUB2 ir pārāk pārslogots ar funkcijām, kas var radīt viltus drošības sajūtu, un tā attīstība jau funkcionalitātes ziņā ir apsteigusi MS-DOS, taču tas ir tikai sāknēšanas ielādētājs. Smieklīgi, ka GRUB2 - "rīt" var kļūt par OS, un tam par bootējamām GNU/Linux virtuālajām mašīnām.
Īss video par to, kā es atiestatīju GRUB2 digitālā paraksta aizsardzību un paziņoju par savu ielaušanos reālam lietotājam (Es tevi nobiedēju, bet video redzamā vietā vari uzrakstīt nekaitīgu patvaļīgu kodu/.mod).
Secinājumi:
1) Bloku sistēmas šifrēšana operētājsistēmai Windows ir vieglāk īstenojama, un aizsardzība ar vienu paroli ir ērtāka nekā aizsardzība ar vairākām parolēm ar GNU/Linux bloku sistēmas šifrēšanu, godīgi sakot: pēdējā ir automatizēta.
2) Es uzrakstīju rakstu kā atbilstošu un detalizētu vienkāršs rokasgrāmata pilna diska šifrēšanai VeraCrypt/LUKS vienā mājā, kas ir neapšaubāmi labākā RuNet (IMHO). Ceļvedis ir vairāk nekā 50 51 rakstzīmju garš, tāpēc tas neaptvēra dažas interesantas nodaļas: kriptogrāfi, kuri pazūd/paliek ēnā; par to, ka dažādās GNU/Linux grāmatās par kriptogrāfiju raksta maz/neraksta; par Krievijas Federācijas Konstitūcijas XNUMX. pantu; O /ban , par to, kāpēc jums ir jāšifrē “root/boot”. Ceļvedis izrādījās diezgan plašs, bet detalizēts. (aprakstot pat vienkāršas darbības), savukārt, tas ietaupīs daudz laika, kad nonāksit pie “īstās šifrēšanas”.
3) Windows 7 64 tika veikta pilna diska šifrēšana; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.
4) Īstenoja veiksmīgu uzbrukumu viņa GRUB2 sāknēšanas ielādētājs.
5) Apmācība tika izveidota, lai palīdzētu visiem paranoiķiem NVS, kur likumdošanas līmenī ir atļauts strādāt ar šifrēšanu. Un galvenokārt tiem, kas vēlas ieviest pilna diska šifrēšanu, neizjaucot savas konfigurētās sistēmas.
6) Pārstrādāju un atjaunināju manu rokasgrāmatu, kas ir aktuāla 2020. gadā.
[G] Noderīga dokumentācija
- (2012. gada februāris, RU)
- /usr/share/doc/cryptsetup(-run) [vietējais resurss] (oficiāla detalizēta dokumentācija par GNU/Linux šifrēšanas iestatīšanu, izmantojot kriptoiestatīšanu)
- (īsa dokumentācija par GNU/Linux šifrēšanas iestatīšanu, izmantojot kriptoiestatīšanu)
- (archlinux dokumentācija)
- (arch man page)
- (arch man page)
- .
Birkas: pilna diska šifrēšana, nodalījumu šifrēšana, Linux pilna diska šifrēšana, LUKS1 pilna sistēmas šifrēšana.
Aptaujā var piedalīties tikai reģistrēti lietotāji. , lūdzu.
Vai jūs šifrējat?
-
17,1%Es šifrēju visu, ko varu. Esmu paranoiķis.14
-
34,2%Es šifrēju tikai svarīgus datus.28
-
14,6%Reizēm šifrēju, reizēm aizmirstu.12
-
34,2%Nē, es nešifrēju, tas ir neērti un dārgi.28
Balsoja 82 lietotāji. 22 lietotāji atturējās.
Avots: www.habr.com