🥇 Fanafenana kapila feno amin'ny rafitra napetraka Windows Linux. Multiboot encrypted

Nohavaozina ny torolàlana manokana momba ny fanafenana kapila feno ao amin'ny RuNet V0.2.

Cowboy paikady (Cowboy Strategy):

[A] Windows 7 system block encryption ny rafitra napetraka;
[B] GNU/Linux system block encryption (Debian) rafitra napetraka (anisan'izany / boot);
[C] GRUB2 configuration, fiarovana bootloader miaraka amin'ny sonia nomerika/authentication/hashing;
[D] fanalana—famotehana ny angon-drakitra tsy voafehy;
[E] backup universal amin'ny OS encryption;
[F] fanafihana <amin'ny singa [C6]> kendrena - GRUB2 bootloader;
[G] antontan-taratasy mahasoa.

╭───Skema an'ny #efitra 40# :
├──╼ Windows 7 napetraka - rafitra feno encryption, tsy miafina;
├──╼ GNU/Linux napetraka (Fizarana Debian sy derivative) — rafitra feno encryption, tsy miafina(/, anisan'izany ny /boot; swap);
├──╼ bootloader tsy miankina: VeraCrypt bootloader dia napetraka ao amin'ny MBR, GRUB2 bootloader dia napetraka ao amin'ny fizarazarana lava;
├──╼tsy mila fametrahana OS/reinstallation;
└──╼rindrambaiko kriptografika ampiasaina: VeraCrypt; cryptsetup; GnuPG; soavaly ranomasina; Hashdeep; GRUB2 dia maimaim-poana/maimaim-poana.

Ity tetika etsy ambony ity dia mamaha ny olan'ny "baoty lavitra amin'ny kapila tselatra", ahafahanao mankafy OS Windows/Linux miafina ary mifanakalo angon-drakitra amin'ny alàlan'ny "fantsona miafina" avy amin'ny OS iray mankany amin'ny iray hafa.

PC boot order (iray amin'ireo safidy):

mamelona ny milina;
fametrahana ny bootloader VeraCrypt (Ny fampidirana ny tenimiafina marina dia hanohy ny boot Windows 7);
fanindriana ny fanalahidy "Esc" dia hampiditra ny GRUB2 boot loader;
GRUB2 boot loader (safidio ny fizarana/GNU/Linux/CLI), dia mitaky ny fanamarinana ny GRUB2 superuser <login/password>;
aorian'ny fanamarinana mahomby sy ny fifantenana ny fizarana, dia mila mampiditra fehezanteny ianao mba hamahana ny "/boot/initrd.img";
aorian'ny fampidirana tenimiafina tsy misy hadisoana, ny GRUB2 dia "mitaky" fidirana amin'ny tenimiafina (fahatelo, tenimiafina BIOS na tenimiafina kaonty mpampiasa GNU/Linux - tsy diniho) manokatra sy mametaka ny GNU/Linux OS, na fanoloana fanalahidy miafina (Tenimiafina + fanalahidy roa, na tenimiafina + fanalahidy);
Ny fidiran'ny ivelany amin'ny GRUB2 configuration dia hanakana ny fizotry ny boot GNU/Linux.

Manahirana? Ok, andao handeha ho azy ireo dingana.

Rehefa mizara ny kapila mafy (tabilao MBR) Ny PC dia tsy afaka manana fizarazarana lehibe 4, na 3 lehibe ary iray miitatra, ary koa faritra tsy voatokana. Ny fizarana miitatra, tsy toy ny lehibe, dia mety ahitana zana-pizarana (drive logique=fizarana lavitra). Raha lazaina amin'ny teny hafa, ny "fizarana miitatra" amin'ny HDD dia manolo ny LVM amin'ny asa atao: fanafenana rafitra feno. Raha mizara ho partitions 4 lehibe ny kapilanao dia mila mampiasa lvm ianao, na manova (miaraka amin'ny format) fizarana avy amin'ny lehibe ho mandroso, na mampiasa amim-pahendrena ny fizarana efatra rehetra ary avelao ny zava-drehetra araka izay azo atao, hahazoana ny vokatra irina. Na dia manana fizarazarana iray ao amin'ny kapilanao aza ianao, dia hanampy anao hizara ny HDD ny Gparted (ho an'ny fizarana fanampiny) tsy misy fatiantoka data, fa mbola misy sazy kely ho an'ny hetsika toy izany.

Ny rafitra fandrindrana fiara mafy, mifandraika amin'izay hanononana ny lahatsoratra manontolo, dia aseho amin'ny tabilao etsy ambany.

Tabilao (No. 1) amin'ny fizarazarana 1TB.

Tokony hanana zavatra mitovy amin'izany koa ianao.
sda1 - fisarahana lehibe No. 1 NTFS (nafenina);
sda2 - marika fizarana miitatra;
sda6 - kapila lojika (misy ny bootloader GRUB2 napetraka);
sda8 - swap (rakitra swap encrypted / tsy foana);
sda9 - kapila lojika fitsapana;
sda5 - kapila lojika ho an'ny liana;
sda7 - GNU/Linux OS (OS nafindra ho any amin'ny kapila lojika misy encryption);
sda3 - fisarahana lehibe No. 2 miaraka amin'ny Windows 7 OS (nafenina);
sda4 - fizarana lehibe No. 3 (Misy GNU/Linux tsy misy encryption, ampiasaina amin'ny backup/tsy foana).

[A] Windows 7 System Block Encryption

A1. VeraCrypt

Fampidinana avy amin'ny vohikala ofisialy, na avy amin’ny fitaratra SourceForge version fametrahana ny VeraCrypt cryptographic software (tamin'ny fotoana namoahana ny lahatsoratra v1.24-Update3, ny VeraCrypt version portable dia tsy mety amin'ny encryption system). Jereo ny checksum an'ny logiciel alaina

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

ary ampitahao ny valiny amin'ny CS navoaka tao amin'ny tranokala mpamorona VeraCrypt.

Raha apetraka ny rindrambaiko HashTab dia mora kokoa izany: RMB (VeraCrypt Setup 1.24.exe)-properties - hash fitambaran'ny rakitra.

Mba hanamarinana ny sonia fandaharana dia tsy maintsy apetraka ao amin'ny rafitra ny rindrambaiko sy ny fanalahidin'ny pgp public an'ny mpamorona gnuPG; gpg4win.

A2. Fametrahana/fampandehanana rindrambaiko VeraCrypt miaraka amin'ny zon'ny mpitantana

A3. Misafidiana masontsivana fanafenana rafitra ho an'ny fizarazarana mavitrikaVeraCrypt – System – Encrypt system partition/disk – Normal – Encrypt Windows system partition – Multiboot – (fampitandremana: "Tsy asaina mampiasa an'io fomba io ny mpampiasa tsy manana traikefa" ary marina izany, manaiky izahay "Eny") - Kapila boot ("eny", na dia tsy izany aza, mbola "eny") - Isan'ny kapila rafitra "2 na mihoatra" - Rafitra maromaro amin'ny kapila iray "Eny" - Loader boot tsy Windows "Tsia" (raha ny marina, "Eny", fa ny VeraCrypt/GRUB2 boot loaders dia tsy hizara ny MBR amin'izy ireo; ny marimarina kokoa, ny ampahany kely indrindra amin'ny kaody boot loader dia voatahiry ao amin'ny MBR / boot track, ny ampahany lehibe amin'izany dia ao anatin'ny rafitra fichier) - Multiboot - Fikirana encryption…

Raha miala amin'ireo dingana etsy ambony ianao (fanakanana rafitra fanafenana rafitra), avy eo dia hamoaka fampitandremana i VeraCrypt ary tsy hamela anao hanidy ny fisarahana.

Amin'ny dingana manaraka mankany amin'ny fiarovana ny angona kendrena, manaova "Test" ary mifidiana algorithm encryption. Raha manana CPU efa lany andro ianao, dia azo inoana fa ny algorithm encryption haingana indrindra dia Twofish. Raha matanjaka ny CPU, dia ho hitanao ny fahasamihafana: Ny encryption AES, araka ny valin'ny fitsapana, dia ho haingana kokoa noho ny mpifaninana aminy crypto. Ny AES dia algorithm fanafenana malaza; ny hardware an'ny CPU maoderina dia natao indrindra ho an'ny "miafina" sy ny "fijirika."

VeraCrypt dia manohana ny fahafahana manidy kapila ao anaty cascade AES(trondro roa)/ sy ny fitambarana hafa. Amin'ny CPU Intel tranainy efa folo taona lasa izay (tsy misy fanohanana fitaovana ho an'ny AES, encryption cascade A/T) Ny fihenan'ny zava-bita dia tena tsy hita maso. (ho an'ny CPU AMD mitovy vanim-potoana/~parameter, mihena kely ny fampisehoana). Miasa mavitrika ny OS ary tsy hita maso ny fanjifana loharanon-karena ho an'ny fanafenana mangarahara. Mifanohitra amin'izany, ohatra, misy fihenam-bidy miharihary noho ny tontolon'ny desktop test tsy marin-toerana napetraka Mate v1.20.1 (na v1.20.2 tsy tadidiko tsara) ao amin'ny GNU/Linux, na noho ny fampandehanana ny zotra telemétrie ao Windows7↑. Amin'ny ankapobeny, ireo mpampiasa efa za-draharaha dia manao fitsapana ny fahombiazan'ny fitaovana alohan'ny fanafenana. Ohatra, ao amin'ny Aida64/Sysbench/systemd-analyze ny tsiny dia ampitahaina amin'ny valin'ny fitsapana mitovy taorian'ny nanafenana ny rafitra, ka nanala ny angano ho an'ny tenany manokana fa "manimba ny rafitra ny rafitra." Ny fihanaky ny milina sy ny fahasahiranana dia tsikaritra rehefa mamerina / mamerina ny angon-drakitra voatahiry, satria tsy refesina amin'ny ms ny fiasan'ny "système data backup", ary ampiana ireo <decrypt/encrypt on the fly>. Amin'ny farany, ny mpampiasa tsirairay izay avela hikorontana amin'ny kriptografika dia mandanjalanja ny algorithm encryption amin'ny fahafaham-po amin'ny asa eo am-pelatanana, ny haavon'ny paranoia ary ny fampiasana mora.

Tsara kokoa ny mamela ny mari-pamantarana PIM ho default, ka rehefa mameno ny OS ianao dia tsy mila miditra ny soatoavin'ny famerimberenana marina. VeraCrypt dia mampiasa famerimberenana marobe mba hamoronana "hash miadana". Ny fanafihana amin'ny "sifotra crypto" toy izany amin'ny fampiasana ny fomba tabilao Brute force/rainbow dia tsy misy dikany afa-tsy amin'ny fehezanteny fohy "tsotra" sy ny lisitry ny charset manokana an'ilay niharam-boina. Ny vidiny handoavana ny tanjaky ny tenimiafina dia fahatarana amin'ny fidirana ny tenimiafina marina rehefa mameno ny OS. (haingana kokoa ny fametrahana ny volume VeraCrypt ao amin'ny GNU/Linux).
Lozisialy maimaim-poana amin'ny fampiharana fanafihana herisetra (manala fehezanteny avy amin'ny lohatenin'ny kapila VeraCrypt/LUKS) Hashcat. John the Ripper dia tsy mahafantatra ny fomba "manapaka ny Veracrypt", ary rehefa miara-miasa amin'ny LUKS dia tsy mahazo ny kriptografika Twofish.

Noho ny tanjaky ny kriptografika ny algorithm encryption, ny cypherpunks tsy azo sakanana dia mamolavola rindrambaiko miaraka amin'ny vector fanafihana hafa. Ohatra, ny fanesorana metadata/key avy amin'ny RAM (fanafihana ny fidirana amin'ny fitadidiana mivantana/cold boot), Misy rindrambaiko manokana maimaim-poana sy tsy maimaim-poana ho an'ireo tanjona ireo.

Rehefa vita ny fametrahana/famokarana “metadata tokana” amin'ny fizarazarana mavitrika miafina, VeraCrypt dia hanolotra ny hamerina indray ny PC ary hizaha toetra ny fiasan'ny boot loader. Aorian'ny famerenana / fanombohana Windows, VeraCrypt dia hampiditra amin'ny mode standby, ny hany sisa tavela dia ny fanamafisana ny fizotran'ny encryption - Y.

Amin'ny dingana farany amin'ny fanafenana rafitra, VeraCrypt dia hanolotra ny hamorona kopia backup amin'ny lohatenin'ny fizarazarana mavitrika amin'ny endrika "veracrypt rescue disk.iso" - tsy maintsy atao izany - amin'ity lozisialy ity dia takiana ny fandidiana toy izany (ao amin'ny LUKS, ho fitakiana - indrisy fa nesorina izany, fa tsindriana ao amin'ny antontan-taratasy). Ny kapila famonjena dia ho mora ampiasaina ho an'ny rehetra, ary ho an'ny sasany mihoatra ny indray mandeha. very (lohapejy/MBR famerenana) ny dika mitovy amin'ny lohapejy dia handà tanteraka ny fidirana amin'ny fizarazarana voahidy miaraka amin'ny OS Windows.

A4. Mamorona VeraCrypt rescue USB/diskAmin'ny alàlan'ny default, VeraCrypt dia manolotra ny handoro "~ 2-3MB ny metadata" amin'ny CD, saingy tsy ny olona rehetra no manana kapila na DWD-ROM drive, ary ny famoronana kapila tselatra bootable "VeraCrypt Rescue disk" dia ho mahagaga ara-teknika ho an'ny sasany: Rufus / GUIdd-ROSA ImageWriter sy rindrambaiko hafa mitovy amin'izany dia tsy ho afaka hiatrika ilay asa, satria ankoatra ny kopia ny metadata offset amin'ny bootable flash drive, dia mila mandika / mametaka ilay sary ivelan'ny rafitra fichier amin'ny USB drive. , raha fintinina, kopia tsara ny MBR/lalana mankany amin'ny keychain. Azonao atao ny mamorona fiara tselatra bootable avy amin'ny GNU/Linux OS amin'ny fampiasana ny utility "dd", mijery ity famantarana ity.

Hafa ny famoronana kapila famonjena amin'ny tontolo Windows. Ny mpamorona ny VeraCrypt dia tsy nampiditra ny vahaolana amin'ity olana ity tao amin'ny ofisialy tahirin-kevitra amin'ny alalan'ny “disike mpamonjy voina”, saingy nanolotra vahaolana tamin'ny fomba hafa izy: namoaka rindrambaiko fanampiny izy mba hamoronana “kapila fanavotana usb” mba hidirana maimaim-poana ao amin'ny forum VeraCrypt-ny. Ny archivist an'ity rindrambaiko ity ho an'ny Windows dia "mamorona kapila famonjena usb veracrypt". Aorian'ny fitehirizana ny disk.iso famonjena, dia hanomboka ny dingan'ny fanakanana rafitra fanakanana ny fizarana mavitrika. Mandritra ny fanafenana dia tsy mijanona ny fiasan'ny OS; Rehefa vita ny asa fanafenana dia lasa encryption tanteraka ny partition active ary azo ampiasaina. Raha toa ka tsy miseho ny VeraCrypt boot loader rehefa manomboka ny PC ianao, ary tsy manampy ny asa fanarenana ny lohapejy, dia jereo ny saina "boot", dia tsy maintsy apetraka amin'ny fizarazarana misy ny Windows. (na inona na inona encryption sy OS hafa, jereo ny tabilao No. 1).
Izany dia mameno ny famaritana ny fanafenana rafitra fanakanana miaraka amin'ny Windows OS.

[B]LUKS. GNU/Linux encryption (~ Debian) napetraka OS. Algorithm sy dingana

Mba hanafenana ny fizarana Debian/derivative napetraka dia mila sarintany ny fizarana voaomana amin'ny fitaovana virtoaly virtoaly ianao, afindrao amin'ny kapila GNU/Linux sari-tany, ary apetraho / ampifanaraho ny GRUB2. Raha tsy manana mpizara vy tsy misy dikany ianao, ary manome lanja ny fotoanao, dia mila mampiasa ny GUI ianao, ary ny ankamaroan'ny baiko terminal voalaza etsy ambany dia natao ho an'ny "Chuck-Norris mode".

B1. Fametrahana PC avy amin'ny live usb GNU/Linux

"Manaova fitsapana crypto momba ny fahombiazan'ny fitaovana"

lscpu && сryptsetup benchmark

Raha toa ianao ka tompon'ny fiara matanjaka iray miaraka amin'ny fanohanan'ny fitaovana AES, dia hitovy amin'ny ilany havanana amin'ny terminal ny isa raha toa ianao ka tompona faly, fa miaraka amin'ny fitaovana antitra, ny isa dia hitovy amin'ny ilany havia.

B2. Fizarazarana kapila. fametrahana/famolavolana fs kapila lojika HDD ho Ext4 (Gparted)

B2.1. Mamorona lohapejy fizarazarana sda7 misy encryptionHofaritako ny anaran'ny fizarazarana, etsy sy eroa, mifanaraka amin'ny tabilao fizarazarana napetraka etsy ambony. Araka ny fisehon'ny kapilanao dia tsy maintsy soloinao ny anaran'ny fizaranao.

Sarintanin-tsarintany Logika Drive (/dev/sda7 > /dev/mapper/sda7_crypt).
#Famoronana mora "fizarana LUKS-AES-XTS"

cryptsetup -v -y luksFormat /dev/sda7

safidy:

* luksFormat - fanombohana ny lohatenin'ny LUKS;
* -y -passphrase (tsy key/file);
* -v -verbalization (mampiseho fampahalalana ao amin'ny terminal);
* /dev/sda7 - ny kapila lojikao avy amin'ny fisarahana lava (izay nokasaina hamindra/hamafa ny GNU/Linux).

Algorithm encryption default <LUKS1: aes-xts-plain64, Key: 256 bits, LUKS header hashing: sha256, RNG: /dev/urandom> (miankina amin'ny version cryptsetup).

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

Raha tsy misy fanohanana hardware ho an'ny AES amin'ny CPU, ny safidy tsara indrindra dia ny mamorona "LUKS-Twofish-XTS-partition" miitatra.

B2.2. Famoronana mandroso ny "LUKS-Twofish-XTS-partition"

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

safidy:
* luksFormat - fanombohana ny lohatenin'ny LUKS;
* /dev/sda7 no kapila lojika ho afeninao ho avy;
* -v fanononana;
* -y fehezan-teny;
* -c mifidy algorithm encryption data;
* -s haben'ny fanalahidin'ny encryption;
* -h hashing algorithm/crypto function, RNG ampiasaina (--fampiasana-urandom) mba hamoronana fanalahidin'ny encryption/decryption tokana ho an'ny lohatenin'ny kapila lojika, fanalahidin'ny lohateny faharoa (XTS); fanalahidin'ny master tokana voatahiry ao amin'ny lohatenin'ny kapila misy encryption, lakile XTS faharoa, ireo metadata rehetra ireo ary fanao fanafenana izay mampiasa ny lakile master sy ny lakile XTS faharoa, manidy/mamadika izay angona rehetra amin'ny fisarahana. (afa-tsy ny lohatenin'ny fizarana) voatahiry ao amin'ny ~ 3MB amin'ny fizarazarana fiara mafy voafantina.
* -i iterations amin'ny milisegondra, fa tsy "habeny" (Ny fahatarana amin'ny fanodinana ny fehezanteny dia misy fiantraikany amin'ny famenoana ny OS sy ny tanjaky ny kriptografika ny fanalahidy). Mba hitazonana ny fifandanjana amin'ny tanjaky ny kriptografika, miaraka amin'ny tenimiafina tsotra toy ny "Rosiana" dia mila mampitombo ny sanda -(i) miaraka amin'ny tenimiafina sarotra toy ny "?8dƱob/øfh" dia azo ahena ny sanda.
* — mampiasa-urandom random number generator, miteraka lakile sy sira.

Rehefa avy nanao sarintany ny fizarana sda7> sda7_crypt (Haingana ny fandidiana, satria misy lohapejy voatahiry miaraka amin'ny ~3 MB metadata ary izay ihany), mila manamboatra sy mametraka ny rafi-drakitra sda7_crypt ianao.

B2.3. fampitahana

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

safidy:
* misokatra - mifanandrify amin'ny fizarana "miaraka amin'ny anarana";
* /dev/sda7 -kapila lojika;
* sda7_crypt - sarintany anarana ampiasaina hametahana ny fisarahana miafina na hanombohana azy rehefa mandeha ny OS.

B2.4. Fandrafetana ny rafitra fichier sda7_crypt ho ext4. Mametraka kapila ao amin'ny OS(Fanamarihana: tsy ho afaka hiara-miasa amin'ny fizarazarana miafina ao amin'ny Gparted ianao)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt

safidy:
* -v -fanononana;
* -L - mari-pamantarana fiara (izay aseho amin'ny Explorer amin'ny fiara hafa).

Manaraka, tokony hametraka ny virtoaly-encrypted block device / dev / sda7_crypt amin'ny rafitra ianao

mount /dev/mapper/sda7_crypt /mnt

Ny fiaraha-miasa amin'ny rakitra ao amin'ny lahatahiry /mnt dia hanisy encryption/decrypt ho azy ny angona ao amin'ny sda7.

Mora kokoa ny manao sarintany sy mametraka ny fisarahana ao amin'ny Explorer (nautilus/caja GUI), ny fizarazarana dia efa ho ao amin'ny lisitry ny fisafidianana kapila, ny hany sisa tavela dia ny fampidirana ny fehezan-teny hanokafana/decrypt ny kapila. Ny anarana mifanandrify dia hofantenana ho azy fa tsy "sda7_crypt", fa zavatra toy ny /dev/mapper/Luks-xx-xx...

B2.5. Backup header kapila (~3MB metadata)Iray amin'ireo lehibe indrindra ZAVA-DEHIBE asa izay tsy maintsy atao tsy misy hatak'andro - dika mitovy amin'ny lohapejy "sda7_crypt". Raha toa ka diso/manimba ny lohapejy ianao (ohatra, fametrahana GRUB2 amin'ny partition sda7, sns.), ho very tanteraka ny angon-drakitra voatahiry tsy misy azo atao hamerenana azy, satria tsy ho azo atao ny mamerina ny fanalahidy mitovy amin'izany;

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

safidy:
* luksHeaderBackup —header-backup-file -backup command;
* luksHeaderRestore —header-backup-file -restore baiko;
* ~/Backup_DebSHIFR - rakitra backup;
* / dev / sda7 - fizarazarana izay tokony hotehirizina ny dika mitovy amin'ny lohatenin'ny kapila.
Amin'ity dingana ity dia vita ny <famoronana sy fanitsiana ny partition encryption>.

B3. Porting GNU/Linux OS (sda4) amin'ny fizarazarana miafina (sda7)

Mamorona lahatahiry / mnt2 (Fanamarihana - mbola miasa miaraka amin'ny live usb izahay, sda7_crypt dia napetraka amin'ny / mnt), ary ampidiro ao amin'ny /mnt2 ny GNU/Linux, izay mila encryption.

mkdir /mnt2
mount /dev/sda4 /mnt2

Manatanteraka famindrana OS marina izahay amin'ny alàlan'ny rindrambaiko Rsync

rsync -avlxhHX --progress /mnt2/ /mnt

Ny safidy Rsync dia voafaritra ao amin'ny paragrafy E1.

Ankoatra izany, ilaina defragment partition kapila lojika

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

Ataovy fitsipika izany: manaova e4defrag amin'ny GNU/LInux miafina tsindraindray raha manana HDD ianao.
Vita amin'ity dingana ity ny famindrana sy fampifanarahana [GNU/Linux > GNU/Linux-encrypted].

AT 4. Mametraka GNU/Linux amin'ny fizarazarana sda7 misy encryption

Rehefa avy namindra soa aman-tsara ny OS / dev / sda4> / dev / sda7 dia mila miditra amin'ny GNU/Linux amin'ny fizarazarana miafina ianao ary manatanteraka fanitsiana fanampiny (tsy rebooting ny PC) mifandraika amin'ny rafitra misy encryption. Izany hoe, ao amin'ny live usb, fa manatanteraka baiko "mifandray amin'ny fototry ny OS encrypted." "chroot" dia hanao simulate toe-javatra mitovy. Mba handraisanao haingana ny vaovao momba ny OS iasanao ankehitriny (nafenina na tsia, satria ny angon-drakitra ao amin'ny sda4 sy sda7 dia atambatra), desynchronize ny OS. Mamorona amin'ny lahatahiry fototra (sda4/sda7_crypt) rakitra marika foana, ohatra, /mnt/encryptedOS sy /mnt2/decryptedOS. Hamarino haingana izay OS misy anao (anisan'izany ny ho avy):

ls /<Tab-Tab>

B4.1. "Simulation ny fidirana ao amin'ny OS encrypted"

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. Fanamarinana fa ny asa dia atao amin'ny rafitra miafina

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. Famoronana/fandrindrana ny swap encryption, fanitsiana crypttab/fstabKoa satria ny rakitra swap dia voalamina isaky ny manomboka ny OS, dia tsy misy dikany ny mamorona sy manao sarintany swap amin'ny kapila lojika izao, ary manoratra baiko toy ny ao amin'ny paragrafy B2.2. Ho an'ny Swap, ny fanalahidin'ny fanafenana vonjimaika azy dia hatsangana ho azy isaky ny fanombohana. Fizaran'ny fiainan'ny fanalahidin'ny swap: esory ny fizarazarana swap (+manadio RAM); na avereno indray ny OS. Fametrahana swap, fanokafana ny rakitra tompon'andraikitra amin'ny fanamafisana ireo fitaovana voasakana (mitovy amin'ny rakitra fstab, fa tompon'andraikitra amin'ny crypto).

nano /etc/crypttab

ovainay

# "anaran'ny tanjona" "fitaovana loharano" "rakitra fanalahidy" "safidy"
swap /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,habe=512,hash=sha512

FANDIKANA
* swap - anarana voapetaka rehefa manao encryption /dev/mapper/swap.
* /dev/sda8 - ampiasao ny fizaranao lojika ho an'ny swap.
* / dev / urandom - mpamorona ny fanalahidin'ny encryption kisendrasendra ho an'ny swap (miaraka amin'ny boot OS vaovao tsirairay dia misy fanalahidy vaovao). Ny mpamokatra / dev / urandom dia tsy kisendrasendra kokoa noho ny / dev / random, raha ny marina / dev / random dia ampiasaina rehefa miasa amin'ny toe-javatra paranoïde mampidi-doza. Rehefa mameno ny OS, /dev/random dia mampiadana ny fandefasana mandritra ny ± minitra maromaro (jereo systemd-analyze).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -fantatry ny partition fa swap io ary misy endrika “arakaraka”; algorithm encryption.

#Открываем и правим fstab
nano /etc/fstab

ovainay

# swap dia tao / dev / sda8 nandritra ny fametrahana
/dev/mapper/swap tsy misy swap sw 0 0

/dev/mapper/swap no anarana napetraka ao amin'ny crypttab.

Fifanakalozana encryption hafa
Raha noho ny antony tsy te handao ny fizarazarana iray manontolo ho an'ny rakitra swap, dia afaka mandeha amin'ny fomba hafa sy tsara kokoa ianao: mamorona rakitra swap amin'ny rakitra amin'ny fizarazarana miafina miaraka amin'ny OS.

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

Vita ny fametrahana fizarazarana swap.

B4.4. Fametrahana ny GNU/Linux miafina (fanovana ny rakitra crypttab/fstab)Ny rakitra /etc/crypttab, araka ny voasoratra etsy ambony, dia manoritsoritra ireo fitaovana fanakanana voafefy izay amboarina mandritra ny boot system.

#правим /etc/crypttab 
nano /etc/crypttab

raha mifanaraka amin'ny fizarana sda7>sda7_crypt toy ny ao amin'ny paragrafy B2.1 ianao

# "anaran'ny tanjona" "fitaovana loharano" "rakitra fanalahidy" "safidy"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

raha mifanaraka amin'ny fizarana sda7>sda7_crypt toy ny ao amin'ny paragrafy B2.2 ianao

# "anaran'ny tanjona" "fitaovana loharano" "rakitra fanalahidy" "safidy"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

raha nifanaraka tamin'ny fizarana sda7>sda7_crypt toy ny ao amin'ny paragrafy B2.1 na B2.2 ianao, fa tsy te-hiditra indray ny tenimiafina hanokafana sy handroahana ny OS, dia azonao soloina ny tenimiafina miafina / rakitra kisendrasendra.

# "anaran'ny tanjona" "fitaovana loharano" "rakitra fanalahidy" "safidy"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

famaritana
* tsy misy - mitatitra fa rehefa mameno ny OS dia ilaina ny mampiditra fehezanteny miafina mba hamahana ny fakany.
* UUID - identifier partition. Raha te hahalala ny ID-nao dia midira ny terminal (fampahatsiahivana fa manomboka amin'izao fotoana izao dia miasa amin'ny terminal ianao amin'ny tontolo chroot, fa tsy amin'ny terminal USB mivantana hafa).

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

Ity tsipika ity dia hita rehefa mangataka blkid avy amin'ny terminal USB mivantana misy sda7_crypt napetraka).
Raisinao ny UUID avy amin'ny sdaX anao (fa tsy sdaX_crypt!, UUID sdaX_crypt - dia havela ho azy rehefa mamorona ny grub.cfg config).
* cipher=twofish-xts-plain64, size=512, hash=sha512 -luks encryption amin'ny fomba mandroso.
* /etc/skey - rakitra fanalahidy miafina, izay ampidirina ho azy mba hamahana ny boot OS (fa tsy miditra ny tenimiafina faha-3). Azonao atao ny mamaritra izay rakitra hatramin'ny 8MB, fa ny angona dia hovakiana <1MB.

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7

Ho toy izao izany:

(ataovy izany ary jereo ny tenanao).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab dia mirakitra fampahalalana momba ny rafitra rakitra isan-karazany.

#Правим /etc/fstab
nano /etc/fstab

# "system file" "mount point" "type" "options" "dump" "pass"
# / dia tao / dev / sda7 nandritra ny fametrahana
/dev/mapper/sda7_crypt / ext4 errors=remount-ro 0 1

safidy
* /dev/mapper/sda7_crypt - ny anaran'ny sarintany sda7>sda7_crypt, izay voafaritra ao amin'ny rakitra /etc/crypttab.
Vita ny fametrahana crypttab/fstab.

B4.5. Fanovana ny fisie fichier. Fotoana lehibeB4.5.1. Fanovana ny config /etc/initramfs-tools/conf.d/resume

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

ary maneho hevitra (raha misy) "#" andalana "resume". Tsy maintsy banga tanteraka ny rakitra.

B4.5.2. Fanovana ny config /etc/initramfs-tools/conf.d/cryptsetup

nano /etc/initramfs-tools/conf.d/cryptsetup

tokony hifanaraka

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=eny
manondrana CRYPTSETUP

B4.5.3. Fanovana ny /etc/default/grub config (ity config ity dia tompon'andraikitra amin'ny fahafahana mamorona grub.cfg rehefa miasa amin'ny encrypted /boot)

nano /etc/default/grub

ampio ny tsipika "GRUB_ENABLE_CRYPTODISK=y"
ny sanda 'y', grub-mkconfig ary grub-install dia hanamarina ny fiara misy encryption ary hamorona baiko fanampiny ilaina hidirana amin'izy ireo amin'ny fotoana boot. (insmods ).
tsy maintsy misy fitoviana

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=vendor"
GRUB_CMDLINE_LINUX="Splash mangina noautomount"
GRUB_ENABLE_CRYPTODISK=y

B4.5.4. Fanovana ny config /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

jereo fa ny tsipika naneho hevitra <#>.
Amin'ny ho avy (ary na dia amin'izao fotoana izao aza dia tsy hisy dikany io paramètre io, fa indraindray dia manelingelina ny fanavaozana ny sary initrd.img).

B4.5.5. Fanovana ny config /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

hametraka

KEYFILE_PATTERN=”/etc/skey”
UMASK=0077

Izany dia hampiditra ny fanalahidy miafina "skey" ao amin'ny initrd.img, ilaina ny fanalahidy hamahana ny fakany rehefa mandeha ny OS. (raha tsy te-hiditra ny tenimiafina indray ianao, dia ny fanalahidy "skey" no soloina ny fiara).

B4.6. Fanavaozana /boot/initrd.img [version]Raha te hampiditra ny fanalahidy miafina ao anaty initrd.img ary hampihatra ny fanamboarana cryptsetup, manavao ny sary

update-initramfs -u -k all

rehefa manavao ny initrd.img (araka ny lazain'izy ireo hoe "Azo atao izany, saingy tsy azo antoka") Ny fampitandremana mifandraika amin'ny cryptsetup dia hiseho, na, ohatra, fampandrenesana momba ny fahaverezan'ny mody Nvidia - mahazatra izany. Aorian'ny fanavaozana ny rakitra, jereo fa tena nohavaozina izy io, jereo ny fotoana (mifandray amin'ny chroot environment./boot/initrd.img). Miangavy azafady! alohan'ny [fanavaozana-initramfs -u -k rehetra] ataovy azo antoka fa misokatra ny cryptsetup / dev / sda7 sda7_crypt - io no anarana miseho ao amin'ny /etc/crypttab, raha tsy izany aorian'ny reboot dia hisy hadisoana busybox)
Amin'ity dingana ity, dia vita ny fametrahana ny rakitra fanamafisana.

[C] Fametrahana sy fanamboarana GRUB2/Protection

C1. Raha ilaina dia amboary ny fizarazarana natokana ho an'ny bootloader (mila 20MB farafahakeliny ny fizarazarana iray)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. Mount /dev/sda6 mankany /mntNoho izany dia miasa amin'ny chroot izahay, dia tsy hisy / mnt2 lahatahiry ao amin'ny fakany, ary ny / mnt folder dia ho foana.
amboary ny partition GRUB2

mount /dev/sda6 /mnt

Raha manana dikan-teny tranainy GRUB2 napetraka ianao, ao amin'ny lahatahiry / mnt/boot/grub/i-386-pc (sehatra hafa azo atao, ohatra, fa tsy "i386-pc") tsy misy modules crypto (Raha fintinina, ny lahatahiry dia tokony ahitana modules, anisan'izany ireto .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), Amin'ity tranga ity dia mila mihozongozona ny GRUB2.

apt-get update
apt-get install grub2

Zava-dehibe! Rehefa manavao ny fonosana GRUB2 avy amin'ny tahiry, rehefa nanontaniana hoe "momba ny fisafidianana" ny toerana hametrahana ny bootloader dia tsy maintsy mandà ny fametrahana ianao (antony - manandrana mametraka GRUB2 - amin'ny "MBR" na amin'ny USB mivantana). Raha tsy izany dia hanimba ny lohatenin'ny VeraCrypt/loader ianao. Aorian'ny fanavaozana ny fonosana GRUB2 sy ny fanafoanana ny fametrahana, ny boot loader dia tsy maintsy apetraka amin'ny tanana amin'ny kapila lojika, fa tsy ao amin'ny MBR. Raha manana GRUB2 efa lany andro ny tahirinao, andramo vaovao farany avy amin'ny tranokala ofisialy izany - tsy nanamarina izany (Niara-niasa tamin'ny GRUB 2.02 ~BetaX boot loaders farany).

C3. Fametrahana GRUB2 amin'ny fisarahana lava [sda6]Tsy maintsy manana fizarazarana mipetaka [singa C.2] ianao

grub-install --force --root-directory=/mnt /dev/sda6

safidy
* —force - fametrahana ny bootloader, mandingana ny fampitandremana rehetra saika misy foana ary manakana ny fametrahana (faneva ilaina).
* --root-directory - fametrahana lahatahiry mankany amin'ny fototry ny sda6.
* /dev/sda6 - fizarazaranao sdaХ (aza adino ny <space> eo anelanelan'ny /mnt /dev/sda6).

C4. Mamorona rakitra fikirakirana [grub.cfg]Adino ny baiko "update-grub2", ary ampiasao ny baiko famoronana rakitra feno

grub-mkconfig -o /mnt/boot/grub/grub.cfg

rehefa vita ny famoronana/fanavaozana ny rakitra grub.cfg dia tokony ahitana tsipika miaraka amin'ny OS hita ao amin'ny disk ny terminal output. ("grub-mkconfig" dia mety hahita sy haka ny OS avy amin'ny live usb, raha manana multiboot flash drive miaraka amin'ny Windows 10 sy andiana fizarana mivantana - mahazatra izany). Raha "foana" ny terminal ary tsy voaforona ny rakitra "grub.cfg", dia toy izany koa ny tranga rehefa misy bibikely GRUB ao amin'ny rafitra. (ary azo inoana fa ny loader avy amin'ny sampana fitsapana amin'ny tahiry), avereno indray ny GRUB2 avy amin'ny loharano azo itokisana.
Vita ny fametrahana "configuration tsotra" sy ny GRUB2.

C5. Fitsapana porofo amin'ny GNU/Linux OS miafinaVitanay tsara ny iraka crypto. Avelao amim-pitandremana ny GNU/Linux miafina (miala chroot environment).

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

Aorian'ny famerenana indray ny PC dia tokony hidina ny bootloader VeraCrypt.

* Ny fampidirana ny tenimiafina ho an'ny fizarana mavitrika dia hanomboka hampiditra Windows.
*Ny fanindriana ny lakile "Esc" dia hamindra ny fanaraha-maso any amin'ny GRUB2, raha misafidy GNU/Linux encrypted ianao - ny tenimiafina (sda7_crypt) dia takiana hanokatra /boot/initrd.img (raha grub2 manoratra uuid "tsy hita" - ity dia a olana amin'ny bootloader grub2, tokony hapetraka indray izy io, ohatra, avy amin'ny sampana fitsapana / stable sns.).

* Miankina amin'ny fomba nanamboaranao ny rafitra (jereo ny paragrafy B4.4/4.5), rehefa avy niditra ny tenimiafina marina mba hamahana ny sary /boot/initrd.img dia mila tenimiafina ianao hampidirana ny kernel/root OS, na ny tsiambaratelo. Ny fanalahidy dia hosoloina ho azy " skey ", hanafoana ny tsy maintsy hampidirana indray ny fehezanteny.

(efijery "fanoloana mandeha ho azy ny fanalahidy miafina").

*Ny manaraka dia ny dingana mahazatra amin'ny fametahana ny GNU/Linux miaraka amin'ny fanamarinana kaonty mpampiasa.

*Aorian'ny fanomezan-dàlana ny mpampiasa sy ny fidirana amin'ny OS, mila manavao /boot/initrd.img indray ianao (jereo ny B4.6).

update-initramfs -u -k all

Ary raha misy andalana fanampiny ao amin'ny menu GRUB2 (avy amin'ny OS-m pickup miaraka amin'ny live usb) esory izy ireo

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

Famintinana haingana momba ny fanafenana rafitra GNU/Linux:

GNU/Linuxinux dia voafehy tanteraka, ao anatin'izany ny /boot/kernel ary initrd;
ny fanalahidy miafina dia fonosina ao amin'ny initrd.img;
rafitra fanomezan-dàlana ankehitriny (Ampidiro ny tenimiafina hanokafana ny initrd; tenimiafina/fanalahidy hanombohana ny OS; tenimiafina hanomezana alalana ny kaonty Linux).

Ny "Simple GRUB2 Configuration" dia vita ny fanafenana rafitra amin'ny fizarazarana sakana.

C6. Advanced GRUB2 configuration. Fiarovana bootloader miaraka amin'ny sonia nomerika + fiarovana fanamarinanaGNU/Linux dia encryption tanteraka, fa ny bootloader dia tsy azo encryption - io fepetra io dia baikon'ny BIOS. Noho izany antony izany dia tsy azo atao ny baotin'ny GRUB2 misy rojo miafina, fa ny baotin'ny rojo vy tsotra dia azo atao/misy, fa amin'ny lafiny fiarovana dia tsy ilaina izany [jereo P. F].
Ho an'ny GRUB2 "mora" dia nametraka algorithm fiarovana bootloader "sonia / fanamarinana" ny mpamorona.

Rehefa voaaro amin'ny "sonia nomerika azy manokana" ny bootloader, ny fanovana ivelany amin'ny rakitra, na ny fikasana hampiditra maody fanampiny amin'ity bootloader ity, dia hitarika ho amin'ny fanakanana ny fizotran'ny entana.
Rehefa miaro ny bootloader amin'ny fanamarinana, mba hisafidianana ny fandefasana fizarana, na hampiditra baiko fanampiny ao amin'ny CLI, dia mila miditra ny fidirana sy ny tenimiafina an'ny superuser-GRUB2 ianao.

C6.1. Fiarovana ny fanamarinana bootloaderHamarino fa miasa amin'ny terminal ianao amin'ny OS miafina

ls /<Tab-Tab> #обнаружить файл-маркер

mamorona tenimiafina superuser ho an'ny fanomezan-dàlana amin'ny GRUB2

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя.

Raiso ny tenimiafina hash. Zavatra toy izao

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

amboary ny partition GRUB

mount /dev/sda6 /mnt

hanova ny config

nano -$ /mnt/boot/grub/grub.cfg

jereo ny fikarohana rakitra fa tsy misy saina na aiza na aiza ao amin'ny "grub.cfg" ("-tsy voafetra" "-user",
ampio amin'ny farany (alohan'ny tsipika ### END /etc/grub.d/41_custom ###)
"set superusers="root"
password_pbkdf2 root hash."

Tokony ho toy izao izany

# Ity rakitra ity dia manome fomba mora hanampiana ny fidirana amin'ny menu mahazatra. Soraty tsotra izao ny
# lisitry ny sakafo tianao ampiana aorian'ity fanehoan-kevitra ity. Tandremo sao miova
# ny tsipika 'exec tail' etsy ambony.
### END /etc/grub.d/40_custom ###

### BEGIN /etc/grub.d/41_custom ###
raha [-f ${config_directory}/custom.cfg ]; DIA
loharano ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; DIA
loharano $prefix/custom.cfg;
fi
mametraka superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

Raha mampiasa matetika ny baiko "grub-mkconfig -o /mnt/boot/grub/grub.cfg" ianao ary tsy te hanova ny grub.cfg isaky ny mandeha dia ampidiro ireto andalana etsy ambony ireto. (Fidirana: tenimiafina) ao amin'ny script mpampiasa GRUB amin'ny farany ambany

nano /etc/grub.d/41_custom

saka <<EOF
mametraka superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

Rehefa mamorona ny config "grub-mkconfig -o /mnt/boot/grub/grub.cfg", dia ampidirina ho azy ao amin'ny grub.cfg ny andalana tompon'andraikitra amin'ny fanamarinana.
Ity dingana ity dia mamita ny fananganana fanamarinana GRUB2.

C6.2. Fiarovana bootloader miaraka amin'ny sonia nomerikaHeverina fa efa manana ny fanalahidin'ny encryption pgp manokana ianao (na mamorona fanalahidy toy izany). Ny rafitra dia tsy maintsy manana rindrambaiko kriptografika napetraka: gnuPG; kleopatra/GPA; Soavaly ranomasina. Ny rindrambaiko Crypto dia hanamora ny fiainanao amin'ny raharaha rehetra. Seahorse - kinova stable amin'ny fonosana 3.14.0 (ny dikan-teny ambony kokoa, ohatra, V3.20, dia misy tsininy ary misy bibikely lehibe).

Ny fanalahidin'ny PGP dia tsy maintsy amboarina / atomboka / ampiana ao amin'ny tontolo su!

Mamorona fanalahidin'ny fanafenana manokana

gpg - -gen-key

Manondrana ny fanalahidinao

gpg --export -o ~/perskey

Ampidiro ao amin'ny OS ny kapila lojika raha tsy efa napetraka

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

diovy ny fizarana GRUB2

rm -rf /mnt/

Ampidiro ny GRUB2 amin'ny sda6, apetraho amin'ny sary GRUB lehibe "core.img" ny fanalahidinao manokana.

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

safidy
* --force - mametraka ny bootloader, mandalo ny fampitandremana rehetra misy foana (faneva ilaina).
* —modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - manome toromarika ny GRUB2 hametraka mialoha ny maody ilaina rehefa manomboka ny PC.
* -k ~/perskey -path mankany amin'ny "PGP key" (aorian'ny fametahana ny lakile ao anaty sary dia azo esorina izany).
* --root-directory - mametraka ny lahatahiry boot amin'ny fototry ny sda6
/dev/sda6 - fizarazaranao sdaX.

Famoronana/fanavaozana ny grub.cfg

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

Ampio ny tsipika "trust /boot/grub/perskey" amin'ny faran'ny rakitra "grub.cfg" (fampiasana an-keriny ny lakile pgp.) Koa satria nametraka ny GRUB2 miaraka amin'ny mody maromaro izahay, anisan'izany ny maodely sonia "signature_test.mod", dia manafoana ny filàna fanampiny toy ny "set check_signatures=enforce" amin'ny config.

Tokony ho toy izao izany (andalana farany amin'ny rakitra grub.cfg)

### BEGIN /etc/grub.d/41_custom ###
raha [-f ${config_directory}/custom.cfg ]; DIA
loharano ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; DIA
loharano $prefix/custom.cfg;
fi
trust /boot/grub/perskey
mametraka superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

Ny lalana mankany amin'ny "/boot/grub/perskey" dia tsy mila manondro fizarazarana manokana, ohatra hd0,6 ho an'ny bootloader mihitsy, "root" no lalan'ny fizarazarana izay ametrahana ny GRUB2; (jereo ny set rot=..).

Fanasoniavana GRUB2 (ny rakitra rehetra ao amin'ny lahatahiry rehetra / GRUB) miaraka amin'ny fanalahidy "perskey".
Vahaolana tsotra amin'ny fomba fanaovana sonia (ho an'ny nautilus/caja explorer): apetraho ny fanitarana "seahorse" ho an'ny Explorer avy amin'ny tahiry. Tsy maintsy ampidirina amin'ny tontolo su ny fanalahidinao.
Sokafy ny Explorer miaraka amin'ny sudo "/ mnt / boot" - RMB - famantarana. Eo amin'ny efijery dia toa izao

Ny fanalahidy dia ny "/mnt/boot/grub/perskey" (kopia amin'ny lahatahiry grub) tsy maintsy soniavina amin'ny sonianao ihany koa. Hamarino fa ny sonia rakitra [*.sig] dia miseho ao amin'ny lahatahiry/subdirectories.
Ampiasao ny fomba voalaza etsy ambony, sonia "/boot" (ny kernel, initrd). Raha toa ka misy vidiny ny fotoananao, ity fomba ity dia manafoana ny filàna manoratra script bash hanasonia "rakitra be".

Mba hanesorana ny sonia bootloader rehetra (raha nisy tsy nety)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

Mba tsy hanasonia ny bootloader aorian'ny fanavaozana ny rafitra, dia manamaivana ny fonosana fanavaozana rehetra mifandraika amin'ny GRUB2.

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

Amin'ity dingana ity <arovana ny bootloader miaraka amin'ny sonia nomerika> dia vita ny fanamafisana ny GRUB2 mandroso.

C6.3. Fitsapana porofo momba ny bootloader GRUB2, voaaro amin'ny sonia nomerika sy fanamarinanaGRUB2. Rehefa misafidy fizarana GNU/Linux na miditra amin'ny CLI (tsipika baiko) Ilaina ny fanomezan-dàlana superuser. Rehefa avy niditra ny solon'anarana / tenimiafina marina dia mila ny tenimiafina initrd ianao

Pikantsary momba ny fanamarinana mahomby amin'ny mpampiasa super GRUB2.

Raha manodinkodina ny iray amin'ireo rakitra GRUB2 ianao/manao fanovana amin'ny grub.cfg, na mamafa ny rakitra/sonia, na mametraka module.mod manimba, dia hisy fampitandremana mifanaraka amin'izany. GRUB2 dia hampiato ny fandefasana.

Pikantsary, fikasana hanelingelina ny GRUB2 "avy any ivelany".

Mandritra ny booting "ara-dalàna" "tsy misy fitsabahana", dia "0" ny satan'ny kaody fivoahana. Noho izany, tsy fantatra na miasa na tsia ny fiarovana (izany hoe, "miaraka na tsy misy fiarovana sonia bootloader" mandritra ny fandefasana ara-dalàna ny sata dia mitovy "0" - ratsy izany).

Ahoana no hanamarinana ny fiarovana sonia nomerika?

Fomba tsy mety hanamarinana: sandoka/esory ny mody ampiasain'ny GRUB2, ohatra, esory ny sonia luks.mod.sig ary mahazo hadisoana.

Ny fomba marina: mandehana any amin'ny bootloader CLI ary soraty ny baiko

trust_list

Ho setrin'izany dia tokony hahazo dian-tanana "perskey" ianao raha toa ka "0" ny sata dia tsy mandeha ny fiarovana sonia, jereo indroa ny andalana C6.2.
Amin'ity dingana ity dia vita ny fanamafisana mandroso "Miaro ny GRUB2 miaraka amin'ny sonia nomerika sy ny fanamarinana".

C7 Fomba hafa hiarovana ny bootloader GRUB2 amin'ny fampiasana hashingNy fomba "CPU Boot Loader Protection/Authentication" voalaza etsy ambony dia mahazatra. Noho ny tsy fahatomombanan'ny GRUB2, amin'ny toe-javatra paranoïde dia mety ho tratran'ny fanafihana tena izy, izay homeko eto ambany ao amin'ny andalana [F]. Ankoatr'izay, aorian'ny fanavaozana ny OS / kernel dia tsy maintsy soniavina indray ny bootloader.

Miaro ny bootloader GRUB2 amin'ny fampiasana hashing

Tombontsoa noho ny klasika:

Avo kokoa ny fahatokisana (Hashing/fanamarinana dia avy amin'ny loharano eo an-toerana misy miafina ihany. Ny fizarazarana voatokana manontolo ao amin'ny GRUB2 dia fehezina amin'ny fanovana rehetra, ary ny zavatra hafa rehetra dia miafina; ao amin'ny rafitra mahazatra miaraka amin'ny fiarovana / Authentication CPU loader, ny rakitra ihany no fehezina, fa tsy maimaim-poana toerana, izay azo ampiana "zavatra" zavatra ratsy ").
Firaketana an-tsoratra (Ampidirina ao amin'ilay tetika ny logiciel manokana azo vakina manokana).
hafainganam-pandeha (Ny fiarovana/fanamarinana ny fizarana iray manontolo natokana ho an'ny GRUB2 dia miseho eo no ho eo).
Automation ny fizotran'ny kriptografika rehetra.

Ny tsy fahampiana amin'ny klasika.

Fisolokiana sonia (ara-teorika, azo atao ny mahita fifandonan'ny hash function).
Nitombo ny haavon'ny fahasarotana (raha ampitahaina amin'ny mahazatra dia ilaina ny fahaiza-manao kely kokoa amin'ny GNU/Linux OS).

Ahoana ny fomba fiasan'ny hevitra hashing GRUB2/partition

Ny fizarazarana GRUB2 dia "voasonia" rehefa mandeha ny OS, ny fizarazarana boot loader dia voamarina ho tsy azo ovaina, arahin'ny fidirana amin'ny tontolo azo antoka (nafenina). Raha simba ny bootloader na ny fisarahana azy, ankoatra ny log intrusion, dia atomboka izao manaraka izao:

Zavatra.

Ny fisavana mitovy amin'izany dia mitranga inefatra isan'andro, izay tsy mameno ny loharanon'ny rafitra.
Amin'ny fampiasana ny baiko "-$ check_GRUB", ny fisavana eo noho eo dia mitranga amin'ny fotoana rehetra tsy misy logging, fa miaraka amin'ny famoahana vaovao amin'ny CLI.
Amin'ny fampiasana ny baiko "-$ sudo signature_GRUB", ny GRUB2 boot loader/partition dia nosoniavina avy hatrany ary ny fanavaozana ny log (ilaina aorian'ny fanavaozana OS/boot), ary mitohy ny fiainana.

Fampiharana fomba hashing ho an'ny bootloader sy ny fizarana azy

0) Andao sonia ny GRUB bootloader/partition amin'ny fametrahana azy voalohany amin'ny /media/username

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) Mamorona script tsy misy fanitarana amin'ny fakan'ny OS ~/podpis voatahiry izahay, ampiharo ny zon'ny fiarovana 744 ilaina sy ny fiarovana tsy misy dikany aminy.

Famenoana ny ao anatiny

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

Mandeha ny script avy amin'ny su, ny hashing amin'ny fisarahana GRUB sy ny bootloader dia hojerena, tehirizo ny log.

Andao hamorona na handika, ohatra, “rakitra maloto” [virus.mod] amin'ny fizarazarana GRUB2 ary hanao scan/fitsapana vonjimaika:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

Ny CLI dia tsy maintsy mahita fananiham-bohitra ao amin'ny tranobentsika.#Login'ny CLI voatetika

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

#Araka ny hitanao dia miseho ny "Files nifindra: 1 ary tsy nahomby ny Audit", izay midika fa tsy nahomby ny fanamarinana.
Noho ny toetran'ny fisarahana nosedraina, fa tsy "File vaovao hita"> "File nifindra"

2) Apetraho eto ny gif > ~/warning.gif, apetraho amin'ny 744 ny fahazoan-dàlana.

3) Ny fanamafisana ny fstab hanamboatra ny fizarazarana GRUB amin'ny boot

-$ sudo nano /etc/fstab

LABEL=GRUB /media/username/GRUB ext4 defaults 0 0

4) Mihodina ny log

-$ sudo nano /etc/logrotate.d/podpis

/var/log/podpis.txt {
isan'andro
mihodina 50
habe 5M
daty
hamintinana ireo
fanemorana
olddir /var/log/old
}

/var/log/vtorjenie.txt {
isam-bolana
mihodina 5
habe 5M
daty
olddir /var/log/old
}

5) Manampia asa amin'ny cron

-$ sudo crontab -e

reboot '/famandrihana'
0 */6 * * * '/podpis

6) Mamorona aliases maharitra

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

Taorian'ny fanavaozana OS -$ apt-get upgrade sonia indray ny fizarana GRUB
-$ подпись_GRUB
Amin'izao fotoana izao, ny fiarovana ny hashing amin'ny fizarana GRUB dia vita.

[D] Famafana - famongorana ny angon-drakitra tsy voafehy

Fafao tanteraka ny antontan-taratasinao manokana ka “na dia Andriamanitra aza tsy mahay mamaky azy ireny”, hoy i Trey Gowdy, mpitondra tenin’i Carolina Atsimo.

Toy ny mahazatra dia misy “angano sy ANGANO", momba ny famerenana ny angona rehefa voafafa tamin'ny kapila mafy. Raha mino ny filalaovana ody cyber ianao, na mpikambana ao amin'ny vondrom-piarahamonina Dr web ary tsy mbola nanandrana ny fanarenana angon-drakitra taorian'ny namafana/nasoloina azy (ohatra, fanarenana amin'ny fampiasana R-studio), dia tsy mety aminao ilay fomba aroso, ampiasao izay akaiky anao indrindra.

Aorian'ny fandefasana soa aman-tsara ny GNU/Linux amin'ny fizarazarana misy encryption, dia tsy maintsy esorina ilay dika taloha raha tsy misy ny famerenana ny angona. Fomba fanadiovana manerantany: rindrambaiko ho an'ny rindrambaiko GUI maimaim-poana Windows/Linux BleachBit.
fifadian-kanina endrika ny fizarana, ny angon-drakitra tokony hopotehina (avy amin'ny Gparted) manomboka BleachBit, safidio ny "Clean up free space" - safidio ny partition (ny sdaX misy ny dika mitovy amin'ny GNU/Linux teo aloha), hanomboka ny fizotran'ny fanalana. BleachBit - mamafa ny kapila ao anaty pass iray - izany no "mila antsika", Saingy! Amin'ny teôlôjia ihany no miasa raha toa ka nodiovinao tamin'ny rindrambaiko BB v2.0 ilay kapila.

Caution! BB mamafa ny kapila, mamela ny anaran'ny rakitra dia voatahiry rehefa esorina ny data (Ccleaner - tsy miala amin'ny metadata).

Ary ny angano momba ny mety ho fanarenana angona dia tsy angano tanteraka.Bleachbit V2.0-2 fonosana OS Debian taloha tsy milamina (sy ireo rindrambaiko hafa mitovy amin'izany: sfill; wipe-Nautilus - voamarika ihany koa tamin'ity orinasa maloto ity) Raha ny marina dia nanana bug mitsikera: ny asa "fanadiovana ny toerana malalaka". tsy mandeha tsara amin'ny HDD/Flash drive (ntfs/ext4). Software toy izany, rehefa manadio toerana malalaka, dia tsy overwrite ny kapila manontolo, araka ny fiheveran'ny mpampiasa maro. Ary ny sasany (be dia be) angon-drakitra voafafa OS/rindrambaiko dia mihevitra an'io angona io ho angon-drakitra tsy voafafa/mpampiasa ary rehefa manadio "OSP" dia mitsambikina ireo rakitra ireo. Ny olana dia rehefa ela be toy izany, ny fanadiovana ny kapila Ny "fichier voafafa" dia azo averina na dia aorian'ny famafana ny kapila 3+ aza.
Amin'ny GNU/Linux amin'ny Bleachbit 2.0-2 Ny asa famafana ny rakitra sy ny lahatahiry dia miasa azo antoka, fa tsy manadio toerana malalaka. Ho fampitahana: amin'ny Windows ao amin'ny CCleaner dia miasa tsara ny fiasa "OSP ho an'ny ntfs", ary Andriamanitra dia tsy afaka mamaky angon-drakitra voafafa.

Ary noho izany, mba hanala tanteraka "mampandefitra" angon-drakitra taloha tsy voafehy, Mila fidirana mivantana amin'ity data ity ny Bleachbit, avy eo, ampiasao ny fiasa "mamafa rakitra / lahatahiry maharitra".
Mba hanesorana ireo "rakitra voafafa mampiasa fitaovana OS mahazatra" ao amin'ny Windows, ampiasao CCleaner/BB miaraka amin'ny fiasa "OSP". Ao amin'ny GNU/Linux momba ity olana ity (fafao ny rakitra voafafa) mila manao fanazaran-tena ianao (famafana angon-drakitra + fanandramana tsy miankina hamerenana azy io ary tsy tokony hiantehitra amin'ny dikan-tsarimihetsika ianao (raha tsy tsoratadidy dia bibikely)), amin'ity tranga ity ihany no ho azonao ny fomba fiasan'ity olana ity ary hanala tanteraka ny angon-drakitra voafafa.

Mbola tsy nanandrana Bleachbit v3.0 aho, mety efa voavaha ny olana.
Bleachbit v2.0 dia miasa amim-pahatsorana.

Amin'ity dingana ity dia vita ny famafana ny kapila.

[E] Famerenana iraisan'ny OS miafina

Ny mpampiasa tsirairay dia samy manana ny fomba fampandehanana ny angon-drakitra, fa ny angon-drakitra System OS encrypted dia mitaky fomba fiasa hafa kely amin'ilay asa. Ny rindrambaiko mitambatra, toy ny Clonezilla sy ny rindrambaiko mitovy aminy, dia tsy afaka miasa mivantana amin'ny angon-drakitra voatahiry.

Fanambarana momba ny olana amin'ny famandrihana ireo fitaovana fanakanana miafina:

universality - ny algorithm/rindrambaiko backup mitovy amin'ny Windows/Linux;
ny fahafahana miasa ao amin'ny console miaraka amin'ny USB mivantana GNU/Linux tsy mila fampidinana rindrambaiko fanampiny (fa mbola manoro ny GUI);
fiarovana ny kopia backup - ny "sary" voatahiry dia tsy maintsy arovana/arovana amin'ny tenimiafina;
tsy maintsy mifanandrify amin'ny haben'ny angona marina adika ny haben'ny angon-drakitra miafina;
fanalana mora ny rakitra ilaina amin'ny kopia backup (tsy misy fepetra ny decryption ny fizarana manontolo aloha).

Ohatra, backup / famerenana amin'ny alàlan'ny utility "dd".

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

Izy io dia mifanitsy amin'ny teboka rehetra amin'ny asa, fa araka ny teboka 4 dia tsy mijoro amin'ny fanakianana, satria mandika ny fizarana kapila manontolo, anisan'izany ny habaka malalaka - tsy mahaliana.

Ohatra, backup GNU/Linux amin'ny alàlan'ny archiver [tar" | gpg] dia mety, fa ho an'ny Windows backup dia mila mitady vahaolana hafa ianao - tsy mahaliana izany.

E1. Universal Windows/Linux backup. Rohy rsync (Grsync)+VeraCrypt volumeAlgorithm amin'ny famoronana kopia backup:

mamorona fitoeran-javatra misy encryption (volo/rakitra) VeraCrypt ho an'ny OS;
mamindra / mampifanaraka ny OS amin'ny alàlan'ny rindrankajy Rsync ao amin'ny container crypto VeraCrypt;
raha ilaina, ampidiro ny boky VeraCrypt amin'ny www.

Ny famoronana fitoeran'entana VeraCrypt misy encryption dia manana ny toetrany manokana:
mamorona boky mavitrika (Ny famoronana DT dia tsy misy afa-tsy amin'ny Windows, azo ampiasaina amin'ny GNU/Linux ihany koa);
mamorona volume tsy tapaka, fa misy fepetra takiana amin'ny "karazana paranoïde" (araka ny filazan'ny mpamorona) – fandrafetana fitoeran-javatra.

Saika miforona eo no ho eo ny volume dynamique ao amin'ny Windows, fa rehefa mandika ny angona avy amin'ny GNU/Linux> VeraCrypt DT, dia mihena be ny fampisehoana ankapoben'ny asa backup.

Namboarina ny boky Twofish mahazatra 70 GB (aleo atao hoe, amin'ny herin'ny PC antonony) ho HDD ~ ao anatin'ny antsasaky ny ora (Ny fanokanana ny angon-drakitra kaontenera teo aloha amin'ny pass iray dia noho ny fepetra fiarovana). Nesorina tao amin'ny VeraCrypt Windows/Linux ny fandrafetana haingana ny boky rehefa mamorona azy, noho izany dia azo atao amin'ny alalan'ny “famerenana indray mandeha indray” na ny famoronana boky mihetsiketsika tsy dia misy dikany ny famoronana container.

Mamorona boky VeraCrypt mahazatra (tsy dynamic/ntfs), tsy tokony hisy olana.

Manamboara / mamorona / manokatra container ao amin'ny VeraCrypt GUI> GNU/Linux live usb (Ny boky dia halefa any amin'ny /media/veracrypt2, ny Windows OS volume dia hapetraka amin'ny /media/veracrypt1). Mamorona backup encrypted an'ny Windows OS mampiasa GUI rsync (grsync)amin'ny fanamarinana ireo boaty.

Andraso ny dingana ho vita. Rehefa vita ny backup dia hanana rakitra iray misy encryption isika.

Torak'izany koa, mamorona dika mitovy amin'ny GNU/Linux OS amin'ny alàlan'ny fanesorana ny bokotra "Windows compatibility" ao amin'ny rsync GUI.

Caution! mamorona fitoeran-javatra Veracrypt ho an'ny "GNU/Linux backup" ao amin'ny rafitra rakitra ext4. Raha manao backup amin'ny kaontenera ntfs ianao, dia rehefa mamerina ny kopia toy izany ianao dia ho very ny zo/vondrona rehetra amin'ny angonao rehetra.

Ny asa rehetra dia azo atao ao amin'ny terminal. Safidy fototra ho an'ny rsync:
* -g -vondrona vondrona;
* -P —fandrosoana — toeran'ny fotoana lany niasana tamin'ny rakitra;
* -H - maka tahaka ny rohy mafy;
* -a -arisiva fomba (saina rlptgoD maromaro);
* -v -fanononana.

Raha te-hametraka "Windows VeraCrypt volume" amin'ny alàlan'ny console ao amin'ny rindrambaiko cryptsetup ianao dia afaka mamorona alias (su)

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

Ankehitriny ny baiko "sary veramount" dia hanosika anao hampiditra fehezanteny iray, ary hapetraka ao amin'ny OS ny habetsaky ny rafitra Windows miafina.

Map/mount VeraCrypt system volume in cryptsetup command

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

Map/mount VeraCrypt partition/container amin'ny baiko cryptsetup

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

Raha tokony ho solon'anarana, dia ampianay (soratra iray hanombohana) volavolan-drafitra miaraka amin'ny Windows OS sy kapila ntfs encrypted lojika amin'ny fanombohana GNU/Linux

Mamorona script ary tehirizo ao amin'ny ~/VeraOpen.sh

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

Mizara ny zo "marina" izahay:

sudo chmod 100 /VeraOpen.sh

Mamorona rakitra roa mitovy (mitovy anarana!) ao amin'ny /etc/rc.local sy ~/etc/init.d/rc.local
Famenoana ny rakitra

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

Mizara ny zo "marina" izahay:

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local

Izany no izy, rehefa mameno ny GNU/Linux isika dia tsy mila mampiditra tenimiafina hametahana kapila ntfs encrypted, dia apetraka ho azy ny kapila.

Fanamarihana fohy momba izay voalaza etsy ambony ao amin'ny paragrafy E1 tsikelikely (fa ankehitriny ho an'ny OS GNU/Linux)
1) Mamorona boky ao amin'ny fs ext4> 4gb (ho an'ny rakitra) Linux ao amin'ny Veracrypt [Cryptbox].
2) Avereno indray ny live usb.
3) ~ $ cryptsetup misokatra / dev / sda7 Lunux #mapping encrypted partition.
4) ~$ mount /dev/mapper/Linux /mnt #mount the encrypted partition to / mnt.
5) ~$ mkdir mnt2 #mamorona lahatahiry ho an'ny backup ho avy.
6) ~$ cryptsetup open —veracrypt —type tcrypt ~/CryptoBox CryptoBox && mount /dev/mapper/CryptoBox /mnt2 #Map a Veracrypt volume antsoina hoe “CryptoBox” ary apetaho amin'ny / mnt2 ny CryptoBox.
7) ~$ rsync -avlxhHX —fandrosoana /mnt /mnt2/ #fananganana fizarazarana miafina amin'ny volume Veracrypt miafina.

(p/s/ Caution! Raha mamindra GNU/Linux encrypted avy amin'ny architecture/machine iray mankany amin'ny iray hafa ianao, ohatra, Intel> AMD (izany hoe, mametraka backup avy amin'ny fizarazarana iray misy miafina mankany amin'ny fisarahana Intel> AMD miafina hafa), Aza hadino Aorian'ny famindrana ny OS encryption dia ovay ny fanalahidy miafina fa tsy ny tenimiafina, angamba. ny lakile teo aloha ~/etc/skey - dia tsy hifanaraka intsony amin'ny fizarazarana hafa, ary tsy mety ny mamorona fanalahidy vaovao "cryptsetup luksAddKey" avy eo ambanin'ny chroot - misy glitch azo atao, ao amin'ny ~/etc/crypttab mamaritra fa tsy "/etc/skey" vetivety "tsy misy" ", aorian'ny rebot sy miditra ao amin'ny OS, avereno indray ny fanalahidin'ny wildcard miafina).

Amin'ny maha-veteran'ny IT anao, tadidio ny manao backup misaraka amin'ny lohatenin'ny fizarazarana Windows/Linux OS, na hivadika aminao ny encryption.
Amin'ity dingana ity dia vita ny backup ny OS encryption.

[F] Fanafihana ny bootloader GRUB2

Hizaha antsipirianyRaha niaro ny bootloader anao tamin'ny sonia nomerika sy/na fanamarinana ianao (jereo ny teboka C6.), dia tsy hiaro amin'ny fidirana ara-batana izany. Mbola tsy azo idirana ny angon-drakitra voarakitra, fa hofoanana ny fiarovana (avereno ny fiarovana sonia nomerika) GRUB2 dia mamela ny cyber-villain hampiditra ny kaody ao amin'ny bootloader nefa tsy mampiahiahy (raha tsy hoe ny mpampiasa dia manara-maso ny toetry ny bootloader, na tonga miaraka amin'ny kaody script arbitrary manokana ho an'ny grub.cfg).

Algorithm fanafihana. Mpiditra an-keriny

* Boots PC avy amin'ny live usb. Izay fiovana rehetra (mpanitsakitsaka) Ny rakitra dia hampandre ny tena tompon'ny PC momba ny fidiran'ny bootloader. Fa ny fametrahana tsotra ny GRUB2 fitandremana grub.cfg (ary ny fahafahana manova azy avy eo) dia hamela ny mpanafika hanova ny rakitra rehetra (amin'ity toe-javatra ity, rehefa mampiditra GRUB2 dia tsy hampahafantarina ny tena mpampiasa. Mitovy ny sata <0>)
* Mametraka fizarazarana tsy voafehy, mitahiry “/mnt/boot/grub/grub.cfg”.
* Mametraka indray ny bootloader (manala ny "perskey" amin'ny sary core.img)

grub-install --force --root-directory=/mnt /dev/sda6

* Mamerina ny “grub.cfg” > “/mnt/boot/grub/grub.cfg”, ovay izany raha ilaina, ohatra, ampio ny module “keylogger.mod” ao amin'ny lahatahiry misy maody loader, ao amin'ny “grub.cfg” > andalana "insmod keylogger". Na, ohatra, raha fetsy ny fahavalo, dia aorian'ny fametrahana indray ny GRUB2 (mijanona amin'ny toerany ny sonia rehetra) manangana ny sary GRUB2 lehibe amin'ny fampiasana "grub-mkimage miaraka amin'ny safidy (-c)." Ny safidy "-c" dia ahafahanao mampiditra ny config anao alohan'ny hampidirana ny "grub.cfg" lehibe. Ny config dia mety ahitana andalana iray monja: redirection amin'ny "modern.cfg", mifangaro, ohatra, miaraka amin'ny ~400 rakitra (module+sonia) ao amin'ny lahatahiry "/boot/grub/i386-pc". Amin'ity tranga ity, ny mpanafika dia afaka mampiditra kaody tsy misy dikany sy mameno ny maody tsy misy fiantraikany amin'ny "/boot/grub/grub.cfg", na dia nampihatra "hashsum" tamin'ny rakitra aza ny mpampiasa ary naseho vetivety teo amin'ny efijery.
Ny mpanafika dia tsy mila mijirika ny GRUB2 superuser login/password; (miandraikitra ny fanamarinana) "/boot/grub/grub.cfg" mankany amin'ny "modern.cfg" anao

mametraka superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

Ary ny tompon'ny PC dia mbola hohamarinina ho GRUB2 superuser.

Fametrahana rojo (Mampiditra bootloader hafa ny bootloader), araka ny nosoratako etsy ambony dia tsy mitombina (dia natao ho an'ny tanjona hafa). Ny bootloader encrypted dia tsy azo alaina noho ny BIOS (manomboka indray ny GRUB2 > GRUB2 encrypted ny baotin'ny rojo, diso!). Na izany aza, raha mbola mampiasa ny hevitra momba ny famenoana rojo ianao, dia azonao antoka fa ilay voatahiry no entina. (tsy nohavaozina) "grub.cfg" avy amin'ny fizarazarana miafina. Ary izany koa dia fahatsapana fiarovana diso, satria ny zavatra rehetra voalaza ao amin'ny "grub.cfg" voatahiry (module loading) dia manampy amin'ny maodely izay entina avy amin'ny GRUB2 tsy voafehy.

Raha te hanamarina an'io ianao dia omeo / encrypt partition sdaY hafa, kopia GRUB2 aminy (tsy azo atao ny fandidiana grub-install amin'ny partition encryption) ary ao amin'ny "grub.cfg" (config tsy voafehy) ovay tsipika toy ireny

menuentry 'GRUBx2' --class parrot --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
load_video
insmod gzio
raha [x$grub_platform = xxen]; avy eo insmod xzio; insmod lzopio; ny fi
insmod part_msdos
insmod cryptodisk
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
normal /boot/grub/grub.cfg
}

tady
* insmod - mametaka ny maody ilaina amin'ny fiasana amin'ny kapila misy miafina;
* GRUBx2 - anaran'ny tsipika aseho ao amin'ny menu boot GRUB2;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -jereo. fdisk -l (sda9);
* mametraka faka - mametraka ny faka;
* normal /boot/grub/grub.cfg - rakitra fikirakirana azo tanterahana amin'ny fizarazarana miafina.

Ny fahatokiana fa ny "grub.cfg" voarakotra dia valiny tsara amin'ny fampidirana ny tenimiafina / fanokafana "sdaY" rehefa misafidy ny tsipika "GRUBx2" ao amin'ny menio GRUB.

Rehefa miasa ao amin'ny CLI, mba tsy ho very hevitra (ary jereo raha niasa ny fari-piainan'ny "set root"), Mamorona rakitra famantarana tsy misy na inona na inona, ohatra, ao amin'ny fizarana "/shifr_grub", ao amin'ny fizarana "/noshifr_grub". Vidin'ny CLI

cat /Tab-Tab

Araka ny nomarihina etsy ambony dia tsy hanampy amin'ny fampidinana ireo maody ratsy izany raha toa ka miafara amin'ny PC-nao ny maody toy izany. Ohatra, keylogger iray izay afaka mitahiry fanendry bokotra amin'ny rakitra iray ary mampifangaro izany amin'ny rakitra hafa ao amin'ny "~/i386" mandra-pidin'ny mpanafika manana fidirana ara-batana amin'ny PC.

Ny fomba tsotra indrindra hanamarinana fa miasa mavitrika ny fiarovana sonia nomerika (tsy reset), ary tsy nisy nanafika ny bootloader, ampidiro ao amin'ny CLI ny baiko

list_trusted

ho setrin'izany dia mahazo dika mitovy amin'ny "perskey" izahay, na tsy mahazo na inona na inona raha misy voatafika (Ilainao koa ny manamarina ny "set check_signatures=enforce").
Ny fatiantoka lehibe amin'ity dingana ity dia ny fampidirana baiko amin'ny tanana. Raha ampidirinao ao amin'ny "grub.cfg" ity baiko ity ary miaro ny config miaraka amin'ny sonia nomerika, dia fohy loatra ny fotoana fivoahana voalohany amin'ny snapshot manan-danja eo amin'ny efijery, ary mety tsy manam-potoana hijerena ny vokatra ianao aorian'ny fandefasana GRUB2 .
Tsy misy olona manokana manao fitakiana amin'ny: ny developer ao aminy tahirin-kevitra ny andininy 18.2 dia manambara amin'ny fomba ofisialy

“Mariho fa na dia amin'ny fiarovana ny tenimiafina GRUB aza, ny GRUB mihitsy dia tsy afaka manakana ny olona manana fidirana ara-batana amin'ny milina tsy hanova ny fikirakirana an'io milina io (ohatra, Coreboot na BIOS) mba hahatonga ny milina hivoaka amin'ny fitaovana hafa (fehezin'ny mpanafika). Ny GRUB dia rohy iray monja amin'ny rojo baoty azo antoka."

Ny GRUB2 dia be loatra amin'ny fiasa izay afaka manome fahatsapana fiarovana diso, ary ny fivoarany dia efa nihoatra ny MS-DOS amin'ny lafiny fiasa, fa bootloader fotsiny. Mampihomehy fa ny GRUB2 - "rahampitso" dia mety ho lasa OS, ary milina virtoaly GNU/Linux azo alaina ho azy.

Lahatsary fohy momba ny fomba hamerenako ny fiarovana sonia nomerika GRUB2 ary nanambarako ny fidiran'ny mpampiasa tena izy (Natahotra anao aho, fa raha tokony ho izay aseho amin'ny horonan-tsary dia azonao atao ny manoratra code / .mod tsy mampidi-doza).

fehin-kevitra:

1) Mora kokoa ny mampihatra ny fanafenana rafitra fanakanana ho an'ny Windows, ary ny fiarovana amin'ny tenimiafina iray dia mety kokoa noho ny fiarovana amin'ny tenimiafina maromaro miaraka amin'ny rafitra fanakanana ny rafitra GNU/Linux, raha ny marina: ny farany dia mandeha ho azy.

2) Nosoratako ho manan-danja sy amin'ny antsipiriany ny lahatsoratra TSOTRA torolalana ho an'ny fanafenana kapila feno VeraCrypt/LUKS amin'ny trano iray ilay milina, izay tsara indrindra amin'ny RuNet (IMHO). Ny mpitari-dalana dia > 50k litera ny halavany, noho izany dia tsy nandrakotra toko mahaliana vitsivitsy: cryptographers izay manjavona / mijanona ao anaty aloka; momba ny fisian'ny boky GNU/Linux isan-karazany manoratra kely/tsy manoratra momba ny cryptography; momba ny Andininy faha-51 ao amin'ny Lalàm-panorenan'ny Federasiona Rosiana; O fahazoan-dalana/ban encryption ao amin'ny Federasiona Rosiana, momba ny antony tokony hanaovanao encryption "root/boot". Ny mpitari-dalana dia hita fa tena midadasika, fa amin'ny antsipiriany. (famaritana na dia dingana tsotra aza), ho setrin'izany dia hamonjy fotoana betsaka ianao rehefa tonga any amin'ny "tena fanafenana".

3) Ny fanafenana kapila feno dia natao tamin'ny Windows 7 64; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.

4) Nanatanteraka fanafihana nahomby tamin'ny ny GRUB2 bootloader.

5) Ny fampianarana dia noforonina mba hanampiana ireo olona paranoïde rehetra ao amin'ny CIS, izay ahafahana miasa amin'ny encryption amin'ny ambaratonga mpanao lalàna. Ary indrindra indrindra ho an'ireo izay te hamoaka encryption feno kapila tsy handrava ny rafitra voarindra.

6) Naverina niasa sy nanavao ny boky torolalako, izay manan-danja amin'ny 2020.

[G] Taratasy mahasoa

Torolàlana ho an'ny mpampiasa TrueCrypt (Febroary 2012 RU)
VeraCrypt Documentation
/usr/share/doc/cryptsetup(-run) [loharano eo an-toerana] (Taratasy amin'ny antsipiriany ofisialy momba ny fametrahana encryption GNU/Linux amin'ny fampiasana cryptsetup)
FAQ ofisialy cryptsetup (fanadihadiana fohy momba ny fametrahana encryption GNU/Linux amin'ny fampiasana cryptsetup)
LUKS encryption fitaovana (documentation archlinux)
Famaritana amin'ny antsipiriany momba ny syntax cryptsetup (pejy arch man)
Famaritana amin'ny antsipiriany momba ny crypttab (pejy arch man)
Taratasy ofisialy GRUB2.

Tags: encryption kapila feno, encryption partition, Linux encryption feno kapila, LUKS1 rafitra feno encryption.

Ireo mpampiasa voasoratra anarana ihany no afaka mandray anjara amin'ny fanadihadiana. HiditraPlease.

Manao encryption ve ianao?

17,1%Ataoko encrypt izay rehetra azoko atao. Paranoïde aho.14
34,2%Ny angon-drakitra manan-danja ihany no ataoko.28
14,6%Indraindray aho manao encryption, indraindray manadino.12
34,2%Tsia, tsy encryption aho, tsy mety sy lafo izany.28

Mpampiasa 82 no nifidy. Mpampiasa 22 no nifady.

Source: www.habr.com

Fanafenana kapila feno an'ireo rafitra napetraka Windows Linux. Multi-boot encrypted