Ажуриран сопствен водич за шифрирање на целосен диск во RuNet V0.2.
Каубојска стратегија:
[A] Системски блок шифрирање на Windows 7 на инсталираниот систем;
[B] ГНУ/Линукс системски блок шифрирање (Дебијан) инсталиран систем (вклучувајќи /boot);
[C] GRUB2 конфигурација, заштита на подигнувачот со дигитален потпис/автентикација/хаширање;
[D] соголување - уништување на нешифрирани податоци;
[E] универзална резервна копија на шифриран ОС;
[F] напад <на ставка [C6]> цел - подигнувач на GRUB2;
[G]корисна документација.
╭───Дијаграм на #соба 40# :
├──╼ инсталиран Windows 7 - целосно шифрирање на системот, не скриено;
├──╼ инсталиран GNU/Linux (Дебијан и деривативни дистрибуции) — целосна системска шифрирање, не скриена(/, вклучувајќи /boot; swap);
├──╼ независни подигачи: VeraCrypt подигнувачот е инсталиран во MBR, подигнувачот GRUB2 е инсталиран во продолжената партиција;
├──╼не е потребна инсталација/реинсталација на ОС;
└──╼ користен криптографски софтвер: VeraCrypt; Cryptsetup; GnuPG; Морски коњ; Хашдип; GRUB2 е бесплатен/бесплатен.
Горенаведената шема делумно го решава проблемот со „далечинско подигање на флеш-уред“, ви овозможува да уживате во шифриран оперативен систем Windows/Linux и да разменувате податоци преку „шифриран канал“ од еден оперативен систем во друг.
Нарачка за подигање на компјутер (една од опциите):
- вклучување на машината;
- вчитување на подигнувачот VeraCrypt (Внесувањето на точната лозинка ќе продолжи да се подига Windows 7);
- со притискање на копчето „Esc“ ќе се вчита подигачот на GRUB2;
- ГРУБ2 подигнувач (изберете дистрибуција/GNU/Linux/CLI), ќе бара автентикација на суперкорисникот на GRUB2 <најава/лозинка>;
- по успешна автентикација и избор на дистрибуцијата, ќе треба да внесете лозинка за отклучување „/boot/initrd.img“;
- по внесување на лозинки без грешки, GRUB2 ќе „бара“ внесување лозинка (трето, лозинка за BIOS-от или лозинка за корисничка сметка на GNU/Linux - не земајте предвид) за отклучување и подигнување на GNU/Linux OS или автоматска замена на таен клуч (две лозинки + клуч или лозинка + клуч);
- надворешен упад во конфигурацијата GRUB2 ќе го замрзне процесот на подигање на GNU/Linux.
Вознемирувачки? Добро, ајде да ги автоматизираме процесите.
При партиција на хард диск (табела MBR) Компјутерот може да има не повеќе од 4 главни партиции, или 3 главни и една продолжена, како и нераспределена област. Проширен дел, за разлика од главниот, може да содржи подсекции (логички дискови=проширена партиција). Со други зборови, „проширената партиција“ на HDD го заменува LVM за задачата што е на располагање: целосно шифрирање на системот. Ако вашиот диск е поделен на 4 главни партиции, треба да користите lvm или да трансформирате (со форматирање) дел од главен до напреден, или паметно користете ги сите четири делови и оставете сè како што е, добивајќи го посакуваниот резултат. Дури и ако имате една партиција на вашиот диск, Gparted ќе ви помогне да го поделите вашиот HDD (за дополнителни делови) без загуба на податоци, но сепак со мала казна за ваквите постапки.
Шемата за распоред на хард дискот, во однос на која ќе биде вербализирана целата статија, е претставена во табелата подолу.
Табела (бр. 1) со партиции од 1 ТБ.
Треба да имате и вие нешто слично.
sda1 - главна партиција бр. 1 NTFS (шифрирана);
sda2 - маркер за продолжен пресек;
sda6 - логички диск (го има инсталирано подигнувачот GRUB2);
sda8 - swap (шифрирана swap датотека/не секогаш);
sda9 - тест логички диск;
sda5 - логичен диск за љубопитните;
sda7 - GNU/Linux OS (префрлен ОС на шифриран логички диск);
sda3 - главна партиција бр. 2 со Windows 7 OS (шифрирана);
sda4 - главен дел бр.3 (содржеше нешифриран GNU/Linux, користен за резервна копија/не секогаш).
[A] Шифрирање на системски блок на Windows 7
А1. VeraCrypt
Преземете од , или од огледалото верзија за инсталација на криптографскиот софтвер VeraCrypt (во моментот на објавување на статијата v1.24-Update3, преносната верзија на VeraCrypt не е погодна за системско шифрирање). Проверете ја контролната сума на преземениот софтвер
$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256
и споредете го резултатот со CS објавена на веб-страницата за развивачи на VeraCrypt.
Ако е инсталиран софтвер HashTab, тоа е уште полесно: RMB (Поставување VeraCrypt 1.24.exe)-својства - хаш збир на датотеки.
За да го проверите потписот на програмата, софтверот и јавниот pgp клуч на развивачот мора да бидат инсталирани на системот ; .
А2. Инсталирање/водење софтвер VeraCrypt со администраторски права
А3. Избор на параметри за шифрирање на системот за активната партицијаVeraCrypt – Систем – Шифрирајте системска партиција/диск – Нормално – Шифрирајте системска партиција на Windows – Multiboot – (предупредување: „На неискусните корисници не им се препорачува да го користат овој метод“ и тоа е точно, се согласуваме „Да“) – Диск за подигање („Да“, дури и ако не е така, сепак „да“) – Број на системски дискови „2 или повеќе“ – Неколку системи на еден диск „Да“ – подигнувач што не е од Windows „Не“ (всушност, „Да“, но подигнувачите на VeraCrypt/GRUB2 нема да го делат MBR меѓу себе; поточно, само најмалиот дел од кодот на подигнувачот е зачуван во патеката MBR/подигање, главниот дел е лоциран во датотечниот систем) – Multiboot – Поставки за шифрирање…
Ако отстапите од горенаведените чекори (блок системски шеми за шифрирање), тогаш VeraCrypt ќе издаде предупредување и нема да ви дозволи да ја шифрирате партицијата.
Во следниот чекор кон насочена заштита на податоците, спроведете „Тест“ и изберете алгоритам за шифрирање. Ако имате застарен процесор, тогаш најверојатно најбрзиот алгоритам за шифрирање ќе биде Twofish. Ако процесорот е моќен, ќе ја забележите разликата: шифрирањето AES, според резултатите од тестот, ќе биде неколку пати побрзо од неговите крипто конкуренти. AES е популарен алгоритам за шифрирање, хардверот на современите процесори е специјално оптимизиран и за „тајно“ и за „хакирање“.
VeraCrypt ја поддржува можноста за шифрирање на дискови во каскада AES(Две риби)/ и други комбинации. На старо јадро Intel процесор од пред десет години (без хардверска поддршка за AES, A/T каскадно шифрирање) Намалувањето на перформансите во суштина е незабележливо. (за AMD процесори од истата ера/~ параметри, перформансите се малку намалени). ОС работи динамично и потрошувачката на ресурси за транспарентно шифрирање е невидлива. Спротивно на тоа, на пример, има забележително намалување на перформансите поради инсталираната нестабилна работна околина за тестирање Mate v1.20.1 (или v1.20.2 не се сеќавам точно) во GNU/Linux или поради работата на рутината за телеметрија во Windows7↑. Вообичаено, искусните корисници спроведуваат тестови за перформансите на хардверот пред шифрирањето. На пример, во Aida64/Sysbench/systemd-analyze вината се споредува со резултатите од истите тестови по шифрирањето на системот, а со тоа самите го побиваат митот дека „системското шифрирање е штетно“. Забавувањето на машината и непријатностите се забележливи при правење резервна копија/обновување на шифрирани податоци, бидејќи самата операција „системска резервна копија“ не се мери во ms, а истите тие се додаваат <decrypt/encrypt on the fly>. На крајот на краиштата, секој корисник на кој му е дозволено да се меша со криптографијата го балансира алгоритмот за шифрирање наспроти задоволството на задачите што се на располагање, нивното ниво на параноја и леснотијата на користење.
Подобро е да го оставите параметарот PIM како стандарден, така што при вчитување на ОС не мора да ги внесувате точните вредности за повторување секој пат. VeraCrypt користи огромен број повторувања за да создаде вистински „бавен хаш“. Нападот на таков „крипто полжав“ со помош на методот брутална сила/табели на виножито има смисла само со кратка „едноставна“ фраза за лозинка и лична листа на знаци на жртвата. Цената што треба да се плати за јачината на лозинката е доцнење со внесување на точната лозинка при вчитување на ОС. (монтажата тома на VeraCrypt во GNU/Linux е значително побрзо).
Бесплатен софтвер за имплементација на напади со брутална сила (извадете лозинка од заглавието на дискот VeraCrypt/LUKS) Hashcat. Џон Мевосек не знае како да го „скрши Veracrypt“ и кога работи со LUKS не ја разбира криптографијата Twofish.
Поради криптографската сила на алгоритмите за шифрирање, незапирливите сајферпанкери развиваат софтвер со различен вектор на напад. На пример, извлекување метаподатоци/клучеви од RAM меморијата (напад со ладно подигање/директен пристап до меморија), За овие цели постои специјализиран бесплатен и неслободен софтвер.
По завршувањето на поставувањето/генерирањето на „уникатни метаподатоци“ на шифрираната активна партиција, VeraCrypt ќе понуди да го рестартира компјутерот и да ја тестира функционалноста на неговиот подигнувач. По рестартирање/стартување на Windows, VeraCrypt ќе се вчита во режим на подготвеност, останува само да се потврди процесот на шифрирање - Y.
На последниот чекор од шифрирањето на системот, VeraCrypt ќе понуди да создаде резервна копија од заглавието на активната шифрирана партиција во форма на „veracrypt rescue disk.iso“ - ова мора да се направи - во овој софтвер таква операција е услов (во ЛУКС како услов - ова за жал е испуштено, но е нагласено во документацијата). Спасувачкиот диск ќе ни се најде на сите, а на некои повеќе од еднаш. Загуба (заглавие/препишување на MBR) резервната копија од заглавието трајно ќе го одбие пристапот до дешифрираната партиција со оперативниот систем Windows.
А4. Креирање USB/диск за спасување VeraCryptСтандардно, VeraCrypt нуди снимање „~ 2-3 MB метаподатоци“ на ЦД, но не сите луѓе имаат дискови или DWD-ROM-дискови, а создавањето на бутабилен флеш-уред „VeraCrypt Rescue disk“ ќе биде техничко изненадување за некои: Rufus /GUIdd-ROSA ImageWriter и другиот сличен софтвер нема да можат да се справат со задачата, бидејќи покрај копирањето на офсет метаподатоците на бутабилен флеш-драјв, треба да ја копирате/залепите сликата надвор од датотечниот систем на USB-уредот. накратко, правилно копирајте го MBR/road to keychain. Можете да креирате бутабилен флеш драјв од GNU/Linux OS користејќи ја алатката „dd“, гледајќи го овој знак.
Создавањето диск за спасување во околина на Windows е различно. Развивачот на VeraCrypt не го вклучи решението за овој проблем во официјалното од „диск за спасување“, но предложи решение на поинаков начин: тој објави дополнителен софтвер за создавање „усб спасувачки диск“ за слободен пристап на неговиот форум VeraCrypt. Архиварот на овој софтвер за Windows „креира USB veracrypt спасувачки диск“. По зачувувањето на rescue disk.iso, ќе започне процесот на блокирање на системот за шифрирање на активната партиција. За време на шифрирањето, работата на оперативниот систем не запира, не е потребно рестартирање на компјутерот. По завршувањето на операцијата за шифрирање, активната партиција станува целосно шифрирана и може да се користи. Ако подигачот на VeraCrypt не се појави кога ќе го стартувате компјутерот и операцијата за обновување на заглавието не помага, тогаш проверете го знамето „подигање“, мора да се постави на партицијата каде што е присутен Windows (без оглед на шифрирањето и другите ОС, видете ја табелата бр. 1).
Ова го комплетира описот на шифрирањето на блок системот со Windows OS.
[B]ЛУКС. GNU/Linux шифрирање (~ Debian) инсталиран ОС. Алгоритам и чекори
За да шифрирате инсталирана дистрибуција на Debian/дериват, треба да ја мапирате подготвената партиција на уред со виртуелен блок, да ја префрлите на мапираниот GNU/Linux диск и да го инсталирате/конфигурирате GRUB2. Ако немате гол метален сервер и го цените вашето време, тогаш треба да користите GUI, а повеќето од терминалните команди опишани подолу се наменети да се извршуваат во „Chuck-Norris режим“.
Б1. Вчитување на компјутер од живо USB GNU/Linux
„Спроведете крипто тест за перформанси на хардверот“
lscpu && сryptsetup benchmark
Ако сте среќен сопственик на моќен автомобил со AES хардверска поддршка, тогаш броевите ќе изгледаат како десната страна на терминалот, ако сте среќен сопственик, но со антички хардвер, бројките ќе изгледаат како левата страна.
Б2. Поделба на дискот. монтирање/форматирање fs логички диск HDD на Ext4 (Gparted)
Б2.1. Креирање на заглавие на шифрирана партиција sda7Ќе ги опишам имињата на партициите, овде и понатаму, во согласност со мојата табела за партиции објавена погоре. Според распоредот на вашиот диск, мора да ги замените имињата на вашите партиции.
Логичко мапирање на шифрирање на диск (/dev/sda7 > /dev/mapper/sda7_crypt).
# Лесно креирање на „LUKS-AES-XTS партиција“
cryptsetup -v -y luksFormat /dev/sda7Опција:
* luksFormat - иницијализација на заглавието на LUKS;
* -y -лозинка (не клуч/датотека);
* -v -вербализација (прикажување информации во терминалот);
* /dev/sda7 - вашиот логички диск од проширената партиција (каде што се планира да се префрли/шифрира GNU/Linux).
Стандарден алгоритам за шифрирање <LUKS1: aes-xts-plain64, клуч: 256 бита, хаширање на заглавието LUKS: sha256, RNG: /dev/urandom> (зависи од верзијата на cryptsetup).
#Проверка default-алгоритма шифрования
cryptsetup --help #самая последняя строка в выводе терминала.Ако нема хардверска поддршка за AES на процесорот, најдобриот избор би бил да се создаде проширена „LUKS-Twofish-XTS-партиција“.
Б2.2. Напредно создавање на „LUKS-Twofish-XTS-partition“
cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom
Опција:
* luksFormat - иницијализација на заглавието на LUKS;
* /dev/sda7 е вашиот иден шифриран логички диск;
* -v вербализација;
* -y лозинка;
* -c изберете алгоритам за шифрирање на податоци;
* -s големина на клучот за шифрирање;
* -h алгоритам за хеширање/крипто функција, користен RNG (--користи-случајно) да генерира единствен клуч за шифрирање/декрипција за заглавието на логичкиот диск, секундарен клуч за заглавие (XTS); единствен главен клуч зачуван во заглавието на шифрирана диск, секундарен XTS клуч, сите овие метаподатоци и рутина за шифрирање што, користејќи го главниот клуч и секундарниот XTS клуч, ги шифрира/дешифрира сите податоци на партицијата (освен насловот на делот) зачувано во ~ 3MB на избраната партиција на хард дискот.
* -i повторувања во милисекунди, наместо „amount“ (временското доцнење при обработката на лозинката влијае на вчитувањето на ОС и на криптографската сила на клучевите). За да одржите рамнотежа на криптографската сила, со едноставна лозинка како „руски“ треба да ја зголемите вредноста -(i) со сложена лозинка како „?8dƱob/øfh“, вредноста може да се намали.
* —користете генератор на случајни броеви, генерира клучеви и сол.
По мапирањето на делот sda7 > sda7_crypt (операцијата е брза, бидејќи се креира шифриран заглавие со ~ 3 MB метаподатоци и тоа е сè), треба да го форматирате и монтирате датотечен систем sda7_crypt.
Б2.3. Споредба
cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.
опции:
* отворено - поклопете го делот „со име“;
* /dev/sda7 -логички диск;
* sda7_crypt - мапирање на имиња што се користи за монтирање на шифрирана партиција или нејзино иницијализирање кога оперативниот систем ќе се подигне.
Б2.4. Форматирање на датотечен систем sda7_crypt во ext4. Монтирање на диск во ОС(Забелешка: нема да можете да работите со шифрирана партиција во Gparted)
#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt
опции:
* -v -вербализација;
* -L - етикета на погонот (која е прикажана во Explorer меѓу другите дискови).
Следно, треба да го монтирате виртуелно шифрираниот блок уред /dev/sda7_crypt на системот
mount /dev/mapper/sda7_crypt /mntРаботата со датотеки во папката /mnt автоматски ќе ги шифрира/дешифрира податоците во sda7.
Попогодно е да се мапира и монтира партицијата во Explorer (наутилус/каја GUI), партицијата веќе ќе биде во списокот за избор на диск, останува само да се внесе лозинката за да се отвори/дешифрира дискот. Соодветното име ќе се избере автоматски, а не „sda7_crypt“, туку нешто како /dev/mapper/Luks-xx-xx...
Б2.5. Резервна копија на заглавието на дискот (~3 MB метаподатоци)Еден од најпознатите важно операции што треба да се направат без одлагање - резервна копија од заглавието „sda7_crypt“. Ако го презапишете/оштетите заглавието (на пример, инсталирање на GRUB2 на партицијата sda7, итн.), шифрираните податоци ќе бидат целосно изгубени без никаква можност за нивно враќање, бидејќи ќе биде невозможно повторно да се генерираат истите клучеви.
#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7
#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>
опции:
* luksHeaderBackup —заглавие-резервна-датотека -команда за резервна копија;
* luksHeaderRestore — команда за заглавие-резервна датотека-датотека -враќање;
* ~/Backup_DebSHIFR - резервна датотека;
* /dev/sda7 - партиција чијашто резервна копија од заглавието на дискот шифрирана треба да се зачува.
На овој чекор е завршено <создавањето и уредувањето на шифрирана партиција>.
Б3. Пренесување на GNU/Linux OS (sda4) на шифрирана партиција (sda7)
Направете папка /mnt2 (Забелешка - сè уште работиме со live USB, sda7_crypt е монтиран на /mnt), и монтирајте го нашиот GNU/Linux во /mnt2, кој треба да биде шифриран.
mkdir /mnt2
mount /dev/sda4 /mnt2
Вршиме правилен пренос на ОС користејќи софтвер Rsync
rsync -avlxhHX --progress /mnt2/ /mntОпциите за Rsync се опишани во став Е1.
Следно е потребно дефрагментирајте логичка партиција на дискот
e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux
Направете го тоа правило: правете e4defrag на шифрирани GNU/LInux од време на време ако имате HDD.
Преносот и синхронизацијата [GNU/Linux > GNU/Linux-encrypted] се завршени на овој чекор.
НА 4. Поставување на GNU/Linux на шифрирана партиција sda7
По успешното пренесување на оперативниот систем /dev/sda4 > /dev/sda7, треба да се најавите на GNU/Linux на шифрираната партиција и да извршите понатамошна конфигурација (без рестартирање на компјутерот) во однос на шифриран систем. Тоа е, да се биде во живо USB, но да се извршуваат команди „во однос на коренот на шифрираниот ОС“. „chroot“ ќе симулира слична ситуација. За брзо примање информации за тоа со кој оперативен систем моментално работите (шифрирана или не, бидејќи податоците во sda4 и sda7 се синхронизирани), десинхронизирајте го ОС. Креирајте во root директориуми (sda4/sda7_crypt) празни датотеки со маркери, на пример, /mnt/encryptedOS и /mnt2/decryptedOS. Брзо проверете на кој оперативен систем сте (вклучително и за иднината):
ls /<Tab-Tab>Б4.1. „Симулација на најавување во шифриран оперативен систем“
mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt
Б4.2. Потврда дека работата е извршена против шифриран систем
ls /mnt<Tab-Tab>
#и видим файл "/шифрованнаяОС"
history
#в выводе терминала должна появиться история команд su рабочей ОС.Б4.3. Креирање/конфигурирање на шифрирана размена, уредување crypttab/fstabБидејќи датотеката swap се форматира секогаш кога ќе се стартува оперативниот систем, нема смисла да се креира и мапира swap на логички диск сега и да се пишуваат команди како во параграфот B2.2. За Swap, неговите привремени клучеви за шифрирање автоматски ќе се генерираат при секој почеток. Животен циклус на swap клучеви: демонтирање/откачување swap партиција (+ чистење на RAM меморија); или рестартирајте го ОС. Поставување swap, отворање на датотеката одговорна за конфигурација на блок шифрирани уреди (аналогно на датотеката fstab, но одговорна за крипто).
nano /etc/crypttab уредуваме
#"име на цел" "изворен уред" "клучна датотека" "опции"
swap /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512
Опција
* swap - мапирано име кога се шифрира /dev/mapper/swap.
* /dev/sda8 - користете ја вашата логичка партиција за замена.
* /dev/urandom - генератор на случајни клучеви за шифрирање за замена (со секое ново подигање на ОС, се создаваат нови клучеви). Генераторот /dev/urandom е помалку случаен од /dev/random, на крајот на краиштата, /dev/random се користи кога се работи во опасни параноични околности. Кога се вчитува оперативниот систем, /dev/random го успорува вчитувањето неколку ± минути (види системска анализа).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -партицијата знае дека е swap и е форматирана „соодветно“; алгоритам за шифрирање.
#Открываем и правим fstab
nano /etc/fstab
уредуваме
# swap беше на /dev/sda8 за време на инсталацијата
/dev/mapper/swap нема замени sw 0 0
/dev/mapper/swap е името што беше поставено во crypttab.
Алтернативна шифрирана размена
Ако поради некоја причина не сакате да се откажете од цела партиција за swap-датотека, тогаш можете да одите на алтернативен и подобар начин: создавање датотека за замена во датотека на шифрирана партиција со оперативниот систем.
fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянныйПоставувањето на swap партицијата е завршено.
Б4.4. Поставување шифриран GNU/Linux (уредување датотеки crypttab/fstab)Датотеката /etc/crypttab, како што е напишано погоре, опишува шифрирани блок уреди кои се конфигурирани при подигање на системот.
#правим /etc/crypttab
nano /etc/crypttab
ако се совпаднавте со делот sda7>sda7_crypt како во параграф Б2.1
# "име на целта" "изворниот уред" "клучна датотека" "опции"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks
ако се совпаднавте со делот sda7>sda7_crypt како во параграф Б2.2
# "име на целта" "изворниот уред" "клучна датотека" "опции"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512
ако се совпаднавте со делот sda7>sda7_crypt како во параграфот B2.1 или B2.2, но не сакате повторно да ја внесете лозинката за да го отклучите и подигнете оперативниот систем, тогаш наместо лозинката можете да замените таен клуч/случајна датотека
# "име на целта" "изворниот уред" "клучна датотека" "опции"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks
Опис
* Никој - известува дека при вчитување на ОС, потребно е внесување тајна фраза за отклучување на коренот.
* UUID - идентификатор на партиција. За да го дознаете вашиот проект, напишете го терминалот (потсетете дека од овој пат натаму, работите во терминал во chroot околина, а не во друг жив USB терминал).
fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное
/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»
оваа линија е видлива кога барате blkid од живиот USB терминал со монтиран sda7_crypt).
Го земате UUID од вашиот sdaX (не sdaX_crypt!, UUID sdaX_crypt - автоматски ќе се остави при генерирање на конфигурацијата grub.cfg).
* шифра=twofish-xts-plain64,size=512,hash=sha512 -luks шифрирање во напреден режим.
* /etc/skey - датотека со таен клуч, која се вметнува автоматски за да се отклучи подигањето на ОС (наместо да ја внесете третата лозинка). Можете да наведете која било датотека до 8MB, но податоците ќе се читаат <1MB.
#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey
#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7
Ќе изгледа отприлика вака:
(направете го тоа сами и уверете се сами).
cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота/etc/fstab содржи описни информации за различни датотечни системи.
#Правим /etc/fstab
nano /etc/fstab
# "датотечен систем" "точка на монтирање" "тип" "опции" "депонија" "помине"
# / беше на /dev/sda7 за време на инсталацијата
/dev/mapper/sda7_crypt / ext4 errors=remount-ro 0 1
опција
* /dev/mapper/sda7_crypt - името на мапирањето sda7>sda7_crypt, кое е наведено во датотеката /etc/crypttab.
Поставувањето на crypttab/fstab е завршено.
Б4.5. Уредување на конфигурациски датотеки. Клучен моментБ4.5.1. Уредување на конфигурацијата /etc/initramfs-tools/conf.d/resume
#Если у вас ранее был активирован swap раздел, отключите его.
nano /etc/initramfs-tools/conf.d/resume
и коментирај (ако постои) „#“ линија „продолжение“. Датотеката мора да биде целосно празна.
Б4.5.2. Уредување на конфигурацијата /etc/initramfs-tools/conf.d/cryptsetup
nano /etc/initramfs-tools/conf.d/cryptsetupтреба да одговара
# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=да
извоз CRYPTSETUP
Б4.5.3. Уредување на конфигурацијата /etc/default/grub (оваа конфигурација е одговорна за способноста да се генерира grub.cfg при работа со шифрирана /boot)
nano /etc/default/grub
додадете ја линијата „GRUB_ENABLE_CRYPTODISK=y“
вредноста „y“, grub-mkconfig и grub-install ќе проверат дали има шифрирани дискови и ќе генерираат дополнителни команди потребни за пристап до нив при подигање (немоќни ).
мора да има сличност
GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || ехо Дебиан`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=продавач"
GRUB_CMDLINE_LINUX = "тивко прскање ноавтомонтирање"
GRUB_ENABLE_CRYPTODISK=y
Б4.5.4. Уредување на конфигурацијата /etc/cryptsetup-initramfs/conf-hook
nano /etc/cryptsetup-initramfs/conf-hook
проверете дали линијата коментираше <#>.
Во иднина (и дури и сега, овој параметар нема да има никакво значење, но понекогаш се меша со ажурирањето на сликата initrd.img).
Б4.5.5. Уредување на конфигурацијата /etc/cryptsetup-initramfs/conf-hook
nano /etc/cryptsetup-initramfs/conf-hookдодадете
KEYFILE_PATTERN=”/etc/skey”
UMASK=0077
Ова ќе го спакува тајниот клуч „ски“ во initrd.img, клучот е потребен за отклучување на коренот кога оперативниот систем ќе се подигне (ако не сакате повторно да ја внесувате лозинката, клучот „клуч“ се заменува со автомобилот).
Б4.6. Ажурирајте ја /boot/initrd.img [верзија]За да го спакувате тајниот клуч во initrd.img и да примените поправки на cryptsetup, ажурирајте ја сликата
update-initramfs -u -k all
при ажурирање на initrd.img (како што велат „Можно е, но не е сигурно“) Ќе се појават предупредувања поврзани со поставувањето на крипти или, на пример, известување за губење на Nvidia модулите - ова е нормално. Откако ќе ја ажурирате датотеката, проверете дали е навистина ажурирана, видете го времето (во однос на chroot околината./boot/initrd.img). Предупредување! пред [update-initramfs -u -k all] проверете дали е отворен cryptsetup /dev/sda7 sda7_crypt - ова е името што се појавува во /etc/crypttab, инаку по рестартирање ќе има грешка busybox)
На овој чекор, поставувањето на конфигурациските датотеки е завршено.
[C] Инсталирање и конфигурирање на GRUB2/Protection
C1. Доколку е потребно, форматирајте ја посветената партиција за подигнувачот (на партицијата и треба најмалку 20 MB)
mkfs.ext4 -v -L GRUB2 /dev/sda6C2. Монтирајте го /dev/sda6 во /mntЗначи, работиме во chroot, тогаш нема да има директориум /mnt2 во root, а папката /mnt ќе биде празна.
монтирајте ја партицијата GRUB2
mount /dev/sda6 /mntАко имате инсталирано постара верзија на GRUB2, во директориумот /mnt/boot/grub/i-386-pc (можна е друга платформа, на пример, не „i386-pc“) нема крипто-модули (накратко, папката треба да содржи модули, вклучувајќи ги овие .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), во овој случај, GRUB2 треба да се протресе.
apt-get update
apt-get install grub2
Важно! Кога го ажурирате пакетот GRUB2 од складиштето, на прашањето „за изборот“ каде да го инсталирате подигнувачот, мора да ја одбиете инсталацијата (причина - обид за инсталирање на GRUB2 - во „MBR“ или на USB во живо). Во спротивно ќе го оштетите заглавието/натоварувачот на VeraCrypt. По ажурирањето на GRUB2 пакетите и откажувањето на инсталацијата, подигачот мора да се инсталира рачно на логичкиот диск, а не во MBR. Ако вашето складиште има застарена верзија на GRUB2, обидете се тоа е од официјалната веб-страница - не сум го проверил (работи со најновите подигнувачи на GRUB 2.02 ~BetaX).
C3. Инсталирање на GRUB2 во проширена партиција [sda6]Мора да имате монтирана партиција [точка C.2]
grub-install --force --root-directory=/mnt /dev/sda6
опција
* —force - инсталација на подигнувачот, заобиколувајќи ги сите предупредувања што скоро секогаш постојат и ја блокира инсталацијата (задолжително знаменце).
* --root-directory - инсталација на директориуми до коренот на sda6.
* /dev/sda6 - вашата sdaХ партиција (не пропуштајте го <space> помеѓу /mnt /dev/sda6).
C4. Креирање на конфигурациска датотека [grub.cfg]Заборавете на командата „update-grub2“ и користете ја командата за генерирање датотеки со целосна конфигурација
grub-mkconfig -o /mnt/boot/grub/grub.cfg
по завршувањето на генерирањето/ажурирањето на датотеката grub.cfg, излезниот терминал треба да содржи линија(и) со оперативниот систем што се наоѓа на дискот („grub-mkconfig“ веројатно ќе го пронајде и подигне оперативниот систем од живо USB, ако имате флеш-уред за повеќе подигање со Windows 10 и куп дистрибуции во живо - ова е нормално). Ако терминалот е „празен“ и датотеката „grub.cfg“ не е генерирана, тогаш ова е ист случај кога има грешки GRUB во системот (и најверојатно натоварувачот од тест гранката на складиштето), повторно инсталирајте го GRUB2 од доверливи извори.
Инсталирањето на „едноставната конфигурација“ и поставувањето на GRUB2 се завршени.
C5. Доказ за тестирање на шифриран GNU/Linux OSПравилно ја завршуваме крипто мисијата. Внимателно напуштање на шифрираниот GNU/Linux (излезете од околината на chroot).
umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot
По рестартирање на компјутерот, подигнувачот на VeraCrypt треба да се вчита.
*Внесувањето на лозинката за активната партиција ќе започне да се вчитува Windows.
*Со притискање на копчето „Esc“ ќе се префрли контролата на GRUB2, ако изберете шифриран GNU/Linux - ќе биде потребна лозинка (sda7_crypt) за отклучување /boot/initrd.img (ако grub2 напише uuid „не се најде“ - ова е проблем со подигнувачот grub2, треба повторно да се инсталира, на пр., од тест гранка/стабилна итн.).
*Во зависност од тоа како сте го конфигурирале системот (види став B4.4/4.5), откако ќе ја внесете точната лозинка за отклучување на сликата /boot/initrd.img, ќе ви треба лозинка за да го вчитате кернелот/root на ОС или тајната клучот автоматски ќе биде заменет со „ски“, елиминирајќи ја потребата од повторно внесување на лозинката.
(екран „автоматска замена на таен клуч“).
*Потоа ќе следи познатиот процес на вчитување на GNU/Linux со автентикација на корисничка сметка.
*По овластувањето на корисникот и најавувањето на ОС, треба повторно да го ажурирате /boot/initrd.img (види Б4.6).
update-initramfs -u -k allИ во случај на дополнителни линии во менито GRUB2 (од OS-m pickup со живо USB) ослободете се од нив
mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg
Брзо резиме на шифрирањето на системот GNU/Linux:
- GNU/Linuxinux е целосно шифриран, вклучувајќи ги /boot/kernel и initrd;
- тајниот клуч е спакуван во initrd.img;
- тековната шема за овластување (внесување лозинка за отклучување на initrd; лозинка/клуч за подигање на оперативниот систем; лозинка за овластување на сметката на Linux).
Системот за шифрирање на блок партицијата „Едноставна конфигурација GRUB2“ е завршена.
C6. Напредна конфигурација на GRUB2. Заштита на подигнувачот со дигитален потпис + заштита од автентикацијаGNU/Linux е целосно шифриран, но подигнувачот не може да се шифрира - оваа состојба е диктирана од BIOS-от. Поради оваа причина, не е возможен шифриран багажник на GRUB2 со синџир, но можен/достапен е едноставен багажник со синџири, но од безбедносна гледна точка тоа не е неопходно [види P. F].
За „ранливиот“ GRUB2, програмерите имплементираа алгоритам за заштита на подигнувачот „потпис/автентикација“.
- Кога подигнувачот е заштитен со „свој дигитален потпис“, надворешната модификација на датотеките или обидот да се вчитаат дополнителни модули во овој подигнувач, ќе доведе до блокирање на процесот на подигање.
- Кога го заштитувате подигнувачот со автентикација, за да изберете вчитување дистрибуција или да внесете дополнителни команди во CLI, ќе треба да ги внесете најавувањето и лозинката на суперкорисникот-GRUB2.
C6.1. Заштита од автентикација на подигнувачотПроверете дали работите во терминал на шифриран ОС
ls /<Tab-Tab> #обнаружить файл-маркеркреирајте лозинка за суперкорисник за авторизација во GRUB2
grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. Добијте го хашот на лозинката. Нешто како ова
grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
монтирајте ја партицијата GRUB
mount /dev/sda6 /mnt уредете ја конфигурацијата
nano -$ /mnt/boot/grub/grub.cfg
проверете го пребарувањето на датотеката дека нема знаменца никаде во „grub.cfg“ („-неограничено“ „-user“,
додадете на самиот крај (пред линијата ### КРАЈ /etc/grub.d/41_custom ###)
"постави суперкорисници = корен"
root хаш лозинка_pbkdf2."
Треба да биде вакво нешто
# Оваа датотека обезбедува лесен начин за додавање сопствени записи од менито. Едноставно напишете го
# записи од менито што сакате да ги додадете по овој коментар. Внимавајте да не се промените
# линијата "извршна опашка" горе.
### КРАЈ /etc/grub.d/40_custom ###### ПОЧЕТЕ /etc/grub.d/41_custom ###
ако [ -f ${config_directory}/custom.cfg ]; тогаш
извор ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; тогаш
извор $префикс/custom.cfg;
fi
постави суперкорисници = корен“
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### КРАЈ /etc/grub.d/41_custom ###
#
Ако често ја користите командата „grub-mkconfig -o /mnt/boot/grub/grub.cfg“ и не сакате да правите промени на grub.cfg секој пат, внесете ги горните редови (Најава: Лозинка) во корисничката скрипта GRUB на самото дно
nano /etc/grub.d/41_custom мачка <<ЕОФ
постави суперкорисници = корен“
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
ЕОФ
При генерирање на конфигурацијата „grub-mkconfig -o /mnt/boot/grub/grub.cfg“, линиите одговорни за автентикација автоматски ќе се додадат на grub.cfg.
Овој чекор го комплетира поставувањето за автентикација на GRUB2.
C6.2. Заштита на подигнувачот со дигитален потписСе претпоставува дека веќе го имате вашиот личен клуч за шифрирање pgp (или креирајте таков клуч). Системот мора да има инсталиран криптографски софтвер: gnuPG; клеопатра/GPA; Морско коњче. Крипто софтверот ќе ви го олесни животот многу во сите такви работи. Морски коњ - стабилна верзија на пакетот 3.14.0 (Верзиите повисоки, на пример, V3.20, се неисправни и имаат значителни грешки).
Клучот PGP треба да се генерира/лансира/додади само во су средина!
Генерирајте личен клуч за шифрирање
gpg - -gen-keyИзвезете го вашиот клуч
gpg --export -o ~/perskeyМонтирајте го логичкиот диск во ОС ако веќе не е монтиран
mount /dev/sda6 /mnt #sda6 – раздел GRUB2исчистете ја партицијата GRUB2
rm -rf /mnt/Инсталирајте го GRUB2 во sda6, ставајќи го вашиот приватен клуч во главната слика на GRUB "core.img"
grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6
опција
* --force - инсталирајте го подигнувачот, заобиколувајќи ги сите предупредувања што секогаш постојат (задолжително знаменце).
* —modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - му наложува на GRUB2 однапред да ги вчита потребните модули кога компјутерот ќе се стартува.
* -k ~/perskey -пат до „PGP key“ (по пакување на клучот во сликата, може да се избрише).
* --root-directory -поставете го директориумот за подигање на коренот на sda6
/dev/sda6 - вашата sdaX партиција.
Се генерира/ажурира grub.cfg
grub-mkconfig -o /mnt/boot/grub/grub.cfgДодадете ја линијата „trust /boot/grub/perskey“ на крајот од датотеката „grub.cfg“ (присилно користење на клучот pgp.) Бидејќи го инсталиравме GRUB2 со множество модули, вклучувајќи го и модулот за потпис „signature_test.mod“, ова ја елиминира потребата да се додаваат команди како „постави check_signatures=enforce“ во конфигурацијата.
Би требало да изгледа вака (крајни линии во датотеката grub.cfg)
### ПОЧЕТЕ /etc/grub.d/41_custom ###
ако [ -f ${config_directory}/custom.cfg ]; тогаш
извор ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; тогаш
извор $префикс/custom.cfg;
fi
доверба /boot/grub/perskey
постави суперкорисници = корен“
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### КРАЈ /etc/grub.d/41_custom ###
#
Патеката до „/boot/grub/perskey“ не треба да биде насочена кон одредена партиција на дискот, на пример hd0,6 за самиот подигнувач, „root“ е стандардната патека на партицијата на која е инсталирана GRUB2; (види сет гниење=..).
Потпишување на GRUB2 (сите датотеки во сите директориуми /GRUB) со вашиот клуч „perskey“.
Едноставно решение како да потпишете (за nautilus/caja explorer): инсталирајте ја екстензијата „морски коњ“ за Explorer од складиштето. Вашиот клуч мора да се додаде во околината su.
Отворете го Explorer со sudo „/mnt/boot“ – RMB – знак. На екранот изгледа вака
Самиот клуч е „/mnt/boot/grub/perskey“ (копирајте во директориумот grub) мора да биде потпишан и со ваш сопствен потпис. Проверете дали потписите на датотеките [*.sig] се појавуваат во директориумот/поддиректориумите.
Користејќи го методот опишан погоре, потпишете „/boot“ (нашето јадро, initrd). Ако вашето време вреди нешто, тогаш овој метод ја елиминира потребата да се напише баш скрипта за да потпишете „многу датотеки“.
За да ги отстраните сите потписи на подигнувачот (ако нешто тргна наопаку)
rm -f $(find /mnt/boot/grub -type f -name '*.sig')За да не го потпишеме подигнувачот по ажурирањето на системот, ги замрзнуваме сите пакети за ажурирање поврзани со GRUB2.
apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-commonНа овој чекор <заштитете го подигнувачот со дигитален потпис> напредната конфигурација на GRUB2 е завршена.
В6.3. Доказ за тестирање на подигнувачот GRUB2, заштитен со дигитален потпис и автентикацијаГРУБ2. Кога избирате која било дистрибуција на GNU/Linux или кога влегувате во CLI (командна линија) Ќе биде потребно овластување од суперкорисник. Откако ќе го внесете точното корисничко име/лозинка, ќе ви треба почетната лозинка
Слика од екранот на успешна автентикација на суперкорисникот GRUB2.
Ако помешате некоја од датотеките на GRUB2/направите промени во grub.cfg или ја избришете датотеката/потписот или вчитате злонамерен module.mod, ќе се појави соодветно предупредување. GRUB2 ќе го паузира вчитувањето.
Слика од екранот, обид да се меша со GRUB2 „однадвор“.
При „нормално“ подигање „без упад“, статусот на кодот за излез од системот е „0“. Затоа, не се знае дали заштитата функционира или не (односно, „со или без заштита на потпис на подигнувачот“ при нормално вчитување, статусот е ист „0“ - ова е лошо).
Како да ја проверите заштитата на дигиталниот потпис?
Непогоден начин за проверка: лажни/отстранете го модулот што го користи GRUB2, на пример, отстранете го потписот luks.mod.sig и добијте грешка.
Правилен начин: одете до подигнувачот CLI и напишете ја командата
trust_list
Како одговор, треба да добиете отпечаток од прст „perskey“ ако статусот е „0“, тогаш заштитата на потписот не работи, проверете го двапати ставот C6.2.
На овој чекор, напредната конфигурација „Заштита на GRUB2 со дигитален потпис и автентикација“ е завршена.
C7 Алтернативен метод за заштита на подигнувачот GRUB2 со користење на хаширањеМетодот „Заштита/автентикација на подигач на процесорот“ опишан погоре е класичен. Поради несовршеностите на GRUB2, во параноични услови тој е подложен на вистински напад, што ќе го дадам подолу во став [F]. Дополнително, по ажурирањето на ОС/кернелот, подигнувачот мора повторно да се потпише.
Заштита на подигнувачот GRUB2 со користење на хаширање
Предности во однос на класиците:
- Повисоко ниво на доверливост (хаширањето/верификацијата се одвива само од шифриран локален ресурс. Целата доделена партиција под GRUB2 е контролирана за какви било промени, а сè друго е шифрирано; во класичната шема со заштита/автентикација на натоварувачот на процесорот, се контролираат само датотеките, но не и слободните простор, во кој може да се додаде „нешто“ нешто злобно).
- Шифрирана евиденција (во шемата се додава личен шифриран дневник читлив од човек).
- Брзина (заштитата/верификацијата на цела партиција доделена за GRUB2 се случува речиси веднаш).
- Автоматизација на сите криптографски процеси.
Недостатоци во однос на класиците.
- Фалсификување потпис (теоретски, можно е да се најде даден судир на хаш функција).
- Зголемено ниво на тежина (во споредба со класичните, потребни се малку повеќе вештини во GNU/Linux OS).
Како функционира идејата за хеширање на GRUB2/партиција
Партицијата GRUB2 е „потпишана“ кога оперативниот систем се подига, партицијата на подигнувачот се проверува за непроменливост, проследена со најавување во безбедна (шифрирана) средина. Ако подигнувачот или неговата партиција се компромитирани, покрај дневникот за упади, се активира и следново:
Работа.
Слична проверка се случува четири пати на ден, што не ги вчитува системските ресурси.
Користејќи ја командата „-$ check_GRUB“, се случува инстант проверка во секое време без логирање, но со излез на информации во CLI.
Користејќи ја командата „-$ sudo signature_GRUB“, подигнувачот/партицијата на GRUB2 веднаш се потпишува повторно и неговото ажурирано евидентирање (неопходно по ажурирањето на ОС/подигање), и животот продолжува.
Имплементација на метод на хеширање за подигнувачот и неговиот дел
0) Ајде да го потпишеме подигнувачот/партицијата на GRUB така што прво ќе го монтираме во /media/корисничко име
-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt1) Ние создаваме скрипта без екстензија во коренот на шифрираниот ОС ~/podpis, ги применуваме потребните 744 безбедносни права и непромислена заштита на него.
Пополнување на неговата содржина
#!/bin/bash
#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux.
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'
a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!!
b="hashdeep: Audit failed"
#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]]
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif'
fiГо извршуваме сценариото од su, ќе се провери хаширањето на партицијата GRUB и нејзиниот подигнувач, зачувајте го дневникот.
Ајде да креираме или копираме, на пример, „злонамерна датотека“ [virus.mod] во партицијата GRUB2 и да извршиме привремено скенирање/тест:
-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUBCLI мора да види инвазија на нашата - цитадела -#Скратено најавување во CLI
Ср янв 2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
Input files examined: 0
Known files expecting: 0
Files matched: 325
Files partially matched: 0
Files moved: 1
New files found: 0
Known files not found: 0
#Како што можете да видите, се појавува „Датотеките се преместени: 1 и Ревизијата не успеа“, што значи дека проверката не успеа.
Поради природата на партицијата што се тестира, наместо „Најдени нови датотеки“ > „Датотеки се преместени“
2) Ставете го gif-от овде > ~/warning.gif, поставете ги дозволите на 744.
3) Конфигурирање на fstab за автоматско монтирање на партицијата GRUB при подигнување
-$ sudo nano /etc/fstabLABEL=GRUB /медиа/корисничко име/GRUB ext4 стандардно 0 0
4) Ротирање на дневникот
-$ sudo nano /etc/logrotate.d/podpis /var/log/podpis.txt {
секојдневно
ротирај 50
големина 5M
датум текст
компресирате
доцнокомпрес
olddir /var/log/old
}/var/log/vtorjenie.txt {
месечно
ротирај 5
големина 5M
датум текст
olddir /var/log/old
}
5) Додајте работа во cron
-$ sudo crontab -e„/претплата“
0 */6 * * * '/podpis
6) Создавање постојани псевдоними
-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash
По ажурирањето на ОС -$ apt-get upgrade повторно потпишете ја нашата GRUB партиција
-$ подпись_GRUB
Во овој момент, заштитата од хеширање на партицијата GRUB е завршена.
[D] Бришење - уништување на нешифрирани податоци
Избришете ги вашите лични датотеки толку целосно што „ниту Бог не може да ги прочита“, според портпаролот на Јужна Каролина Треј Гоуди.
Како и обично, постојат различни „митови и ", за враќање на податоците откако ќе бидат избришани од хард дискот. Ако верувате во сајбер вештерки или сте член на веб-заедницата на Dr и никогаш не сте пробале да ги обновите податоците откако биле избришани/презапишани (на пример, обновување со помош на R-studio), тогаш предложениот метод веројатно нема да ви одговара, користете го она што е најблиску до вас.
По успешното пренесување на GNU/Linux на шифрирана партиција, старата копија мора да се избрише без можност за враќање на податоците. Универзален метод за чистење: софтвер за Windows/Linux бесплатен GUI софтвер .
Брз форматирајте го делот, податоците за кои треба да се уништат (преку Gparted) стартувајте BleachBit, изберете „Clean up free space“ - изберете ја партицијата (вашиот sdaX со претходна копија на GNU/Linux), ќе започне процесот на соголување. BleachBit - го брише дискот во едно поминување - ова е она што „ни треба“, Но! Ова функционира само во теорија ако сте го форматирале дискот и сте го исчистиле во софтверот BB v2.0.
Внимание! BB го брише дискот, оставајќи ги метаподатоците имињата на датотеките се зачувани кога податоците се елиминираат (Ccleaner - не остава метаподатоци).
И митот за можноста за враќање на податоците не е целосно мит.Bleachbit V2.0-2 поранешен нестабилен OS Debian пакет (и кој било друг сличен софтвер: sfill; wipe-Nautilus - беа забележани и во оваа валкана работа) всушност имаше критична грешка: функцијата „чистење на слободен простор“. работи погрешно на HDD/Flash-уреди (ntfs/ext4). Софтверот од овој вид, при чистење на слободен простор, не го презапишува целиот диск, како што мислат многу корисници. И некои (многу) избришани податоци ОС/софтвер ги смета овие податоци како неизбришани/кориснички податоци и при чистење на „OSP“ ги прескокнува овие датотеки. Проблемот е што после толку долго време, чистење на дискот „избришаните датотеки“ може да се обноват дури и по 3+ минувања на бришење на дискот.
На GNU/Linux на Bleachbit 2.0-2 Функциите за трајно бришење датотеки и директориуми работат сигурно, но не и чистење на слободен простор. За споредба: на Windows во CCleaner функцијата „OSP for ntfs“ работи правилно и Бог навистина нема да може да чита избришани податоци.
И така, темелно да се отстрани "компромитирање" стари нешифрирани податоци, На Bleachbit му треба директен пристап до овие податоци, потоа користете ја функцијата „трајно бришење датотеки/директориуми“.
За да отстраните „избришани датотеки користејќи стандардни оперативни алатки“ во Windows, користете CCleaner/BB со функцијата „OSP“. Во GNU/Linux за овој проблем (избришете ги избришаните датотеки) треба да вежбате сами (бришење податоци + независен обид за враќање и не треба да се потпирате на верзијата на софтверот (ако не е обележувач, тогаш бубачка)), само во овој случај ќе можете да го разберете механизмот на овој проблем и целосно да се ослободите од избришаните податоци.
Не сум го тестирал Bleachbit v3.0, можеби проблемот е веќе решен.
Bleachbit v2.0 работи искрено.
На овој чекор, бришењето на дискот е завршено.
[E] Универзална резервна копија на шифриран ОС
Секој корисник има свој метод за правење резервни копии на податоци, но шифрираните податоци за Систем OS бараат малку поинаков пристап кон задачата. Унифицираниот софтвер, како што е Clonezilla и сличен софтвер, не може да работи директно со шифрирани податоци.
Изјава за проблемот со резервна копија на шифрирани блок уреди:
- универзалност - истиот алгоритам/софтвер за резервна копија за Windows/Linux;
- можност за работа во конзолата со кој било жив USB GNU/Linux без потреба од дополнителни преземања на софтвер (но сепак препорачувам GUI);
- безбедност на резервните копии - зачуваните „слики“ мора да бидат шифрирани/заштитени со лозинка;
- големината на шифрираните податоци мора да одговара на големината на вистинските податоци што се копираат;
- практично извлекување на потребните датотеки од резервна копија (нема потреба прво да се дешифрира целиот дел).
На пример, резервна копија/обновување преку алатката „dd“.
dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerrorСоодветствува на скоро сите точки од задачата, но според точката 4 не издржува критики, бидејќи ја копира целата партиција на дискот, вклучително и слободниот простор - не е интересно.
На пример, резервна копија на GNU/Linux преку архиварот [tar" | gpg] е погодно, но за резервна копија на Windows треба да барате друго решение - не е интересно.
Е1. Универзална резервна копија на Windows/Linux. Врска rsync (Grsync) + волумен на VeraCryptАлгоритам за создавање резервна копија:
- создавање на шифриран контејнер (волумен/датотека) VeraCrypt за ОС;
- префрлете/синхронизирајте го ОС со помош на софтверот Rsync во крипто контејнерот VeraCrypt;
- доколку е потребно, прикачете го волуменот на VeraCrypt на www.
Креирањето на шифриран контејнер VeraCrypt има свои карактеристики:
создавајќи динамичен волумен (создавањето на DT е достапно само во Windows, може да се користи и во GNU/Linux);
создавајќи редовен волумен, но постои барање за „параноичен карактер“ (според инвеститорот) – форматирање на контејнер.
Динамичен волумен се создава речиси веднаш во Windows, но кога се копираат податоци од GNU/Linux > VeraCrypt DT, севкупните перформанси на операцијата за резервна копија значително се намалуваат.
Создаден е обичен волумен Twofish од 70 GB (да речеме, просечна моќност на компјутер) на HDD ~ за половина час (препишувањето на податоците од поранешниот контејнер во едно поминување се должи на безбедносни барања). Функцијата за брзо форматирање на том при неговото креирање е отстранета од VeraCrypt Windows/Linux, така што создавањето контејнер е можно само преку „препишување со еден премин“ или создавање динамичен волумен со ниски перформанси.
Создадете редовен волумен на VeraCrypt (не динамичен/ntfs), не треба да има никакви проблеми.
Конфигурирај/создај/отвори контејнер во VeraCrypt GUI> GNU/Linux live usb (јачината на звукот ќе се монтира автоматски на /media/veracrypt2, јачината на звукот на Windows OS ќе се монтира на /media/veracrypt1). Создавање шифрирана резервна копија на Windows OS користејќи GUI rsync (grsync)со штиклирање на полињата.
Почекајте да заврши процесот. Откако ќе заврши резервната копија, ќе имаме една шифрирана датотека.
Слично на тоа, креирајте резервна копија на GNU/Linux OS со отштиклирање на полето за избор „Windows compatibility“ во rsync GUI.
Внимание! креирајте контејнер Veracrypt за „ГНУ/Линукс резервна копија“ во датотечниот систем ext4. Ако направите резервна копија на контејнер ntfs, тогаш кога ќе ја вратите таквата копија, ќе ги изгубите сите права/групи на сите ваши податоци.
Сите операции може да се извршат во терминалот. Основни опции за rsync:
* -g -зачувај групи;
* -P — напредок — статус на времето поминато во работата на датотеката;
* -H - копирајте тврди врски како што се;
* -a -архив режим (повеќе rlptgoD знаменца);
* -v -вербализација.
Ако сакате да монтирате „волумен на Windows VeraCrypt“ преку конзолата во софтверот за cryptsetup, можете да креирате алијас (su)
echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash
Сега командата „veramount pictures“ ќе ве поттикне да внесете лозинка, а шифрираната јачина на системот Windows ќе биде монтирана во ОС.
Карта/монтирајте ја јачината на системот VeraCrypt во командата cryptsetup
cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mntКарта/монтирајте партиција/контејнер VeraCrypt во командата cryptsetup
cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mntНаместо псевдоним, ќе додадеме (скрипта за стартување) системски волумен со Windows OS и логички шифриран ntfs диск на стартувањето на GNU/Linux
Направете скрипта и зачувајте ја во ~/VeraOpen.sh
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.
Ги дистрибуираме „точните“ права:
sudo chmod 100 /VeraOpen.shНаправете две идентични датотеки (исто име!) во /etc/rc.local и ~/etc/init.d/rc.local
Пополнување на датотеките
#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0Ги дистрибуираме „точните“ права:
sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local Тоа е сè, сега при вчитување на GNU/Linux не треба да внесуваме лозинки за монтирање шифрирани ntfs-дискови, дисковите се монтираат автоматски.
Накратко забелешка за она што е опишано погоре во параграф Е1 чекор по чекор (но сега за ОС GNU/Linux)
1) Направете волумен во fs ext4 > 4gb (за датотека) Linux во Veracrypt [Cryptbox].
2) Рестартирајте во живо USB.
3) ~$ cryptsetup отворена /dev/sda7 Lunux #mapping шифрирана партиција.
4) ~$ монтирајте /dev/mapper/Linux /mnt #поставете ја шифрираната партиција на /mnt.
5) ~$ mkdir mnt2 #создавање директориум за идна резервна копија.
6) ~$ cryptsetup open —veracrypt — напишете tcrypt ~/CryptoBox CryptoBox && монтирајте /dev/mapper/CryptoBox /mnt2 #Направете мапирање на волумен на Veracrypt со име „CryptoBox“ и монтирајте го CryptoBox на /mnt2.
7) ~$ rsync -avlxhHX — напредок /mnt /mnt2/ #резервна операција на шифрирана партиција до шифриран волумен на Veracrypt.
(p/s/ Внимание! Ако префрлате шифриран GNU/Linux од една архитектура/машина во друга, на пример, Intel > AMD (односно, распоредување резервна копија од една шифрирана партиција на друга шифрирана Intel > AMD партиција), Не заборавај Откако ќе го префрлите шифрираниот ОС, уредете го тајниот заменски клуч наместо лозинката, можеби. претходниот клуч ~/etc/skey - повеќе нема да одговара на друга шифрирана партиција и не е препорачливо да се создаде нов клуч „cryptsetup luksAddKey“ од под chroot - можна е грешка, само во ~/etc/crypttab наведете наместо „/etc/skey“ привремено „нема““, откако ќе се реботирате и ќе се најавите во оперативниот систем, повторно креирајте го вашиот таен клуч со џокери).
Како ИТ ветерани, не заборавајте да направите одделно резервни копии на заглавјата на шифрирани партиции на Windows/Linux OS, во спротивно шифрирањето ќе се сврти против вас.
На овој чекор, резервната копија на шифрираниот ОС е завршена.
[F] Напад на подигнувачот GRUB2
Детали заАко сте го заштитиле вашиот подигнувач со дигитален потпис и/или автентикација (види точка C6.), тогаш ова нема да заштити од физички пристап. Шифрираните податоци сè уште ќе бидат недостапни, но заштитата ќе биде заобиколена (ресетирање заштита на дигитален потпис) GRUB2 му дозволува на сајбер-негативецот да го внесе неговиот код во подигнувачот без да предизвика сомневање (освен ако корисникот рачно ја следи состојбата на подигнувачот или не излезе со сопствен робустен код со произволна скрипта за grub.cfg).
Алгоритам за напад. Натрапник
* Го подига компјутерот од USB во живо. Секоја промена (насилник) датотеките ќе го известат вистинскиот сопственик на компјутерот за упадот во подигнувачот. Но, едноставна реинсталација на GRUB2 за задржување на grub.cfg (и последователната можност за уредување) ќе му овозможи на напаѓачот да ги уреди сите датотеки (во оваа ситуација, при вчитување на GRUB2, вистинскиот корисник нема да биде известен. Статусот е ист <0>)
* Монтира нешифрирана партиција, складира „/mnt/boot/grub/grub.cfg“.
* Повторно го инсталира подигнувачот (се отстранува „perskey“ од сликата core.img)
grub-install --force --root-directory=/mnt /dev/sda6
* Враќа „grub.cfg“ > „/mnt/boot/grub/grub.cfg“, го уредува ако е потребно, на пример, додавајќи го вашиот модул „keylogger.mod“ во папката со модули за подигнување, во „grub.cfg“ > линија „insmod keylogger“. Или, на пример, ако непријателот е лукав, тогаш по повторно инсталирање на GRUB2 (сите потписи остануваат на место) ја гради главната слика на GRUB2 користејќи „grub-mkimage со опција (-c).“ Опцијата „-c“ ќе ви овозможи да ја вчитате вашата конфигурација пред да ја вчитате главната „grub.cfg“. Конфигурацијата може да се состои од само една линија: пренасочување кон која било „modern.cfg“, измешана, на пример, со ~ 400 датотеки (модули + потписи) во папката „/boot/grub/i386-pc“. Во овој случај, напаѓачот може да вметне произволен код и да вчита модули без да влијае на „/boot/grub/grub.cfg“, дури и ако корисникот примени „hashsum“ на датотеката и привремено ја прикаже на екранот.
Напаѓачот нема да треба да го хакира најавувањето/лозинката на суперкорисникот на GRUB2, тој само ќе треба да ги копира линиите (одговорен за автентикација) „/boot/grub/grub.cfg“ на вашиот „modern.cfg“
постави суперкорисници = корен“
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
И сопственикот на компјутерот сепак ќе биде автентификуван како суперкорисник на GRUB2.
Вчитување на ланецот (подигачот вчитува друг подигнувач), како што напишав погоре, нема смисла (наменет е за друга намена). Шифрираниот подигнувач не може да се вчита поради BIOS-от (Подигнувањето со синџир го рестартира GRUB2 > шифриран GRUB2, грешка!). Меѓутоа, ако сè уште ја користите идејата за вчитување на синџирот, можете да бидете сигурни дека тоа е шифрираната што се вчитува. (не модернизиран) "grub.cfg" од шифрираната партиција. И ова е исто така лажно чувство на сигурност, бидејќи сè што е наведено во шифрираната „grub.cfg“ (вчитување на модулот) се собира до модули кои се вчитани од нешифриран GRUB2.
Ако сакате да го проверите ова, тогаш доделете/шифрирајте друга партиција sdaY, копирајте го GRUB2 на неа (операцијата за инсталирање на грб на шифрирана партиција не е можна) и во „grub.cfg“ (нешифрирана конфигурација) смени линии како овие
менија „GRUBx2“ --класа папагал --класа gnu-linux --класа gnu --класа os $menuentry_id_option „gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780“ {
load_video
insmod gzio
ако [ x$grub_platform = xxen ]; потоа insmod xzio; инсмод лзопио; фи
insmod part_msdos
insmod криптодиск
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
инсмод ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
нормално /boot/grub/grub.cfg
}
линии
* insmod - вчитување на потребните модули за работа со шифриран диск;
* GRUBx2 - име на линијата прикажана во менито за подигање GRUB2;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -види. fdisk -l (sda9);
* постави корен - инсталирај корен;
* normal /boot/grub/grub.cfg - извршна конфигурациска датотека на шифрирана партиција.
Довербата дека е вчитана шифрираната „grub.cfg“ е позитивен одговор на внесувањето на лозинката/отклучувањето „sdaY“ при изборот на линијата „GRUBx2“ во менито GRUB.
Кога работите во CLI, за да не се збуни (и проверете дали функционирала променливата на околината „set root“), креирајте празни датотеки со токени, на пример, во шифрираниот дел „/shifr_grub“, во нешифрираниот дел „/noshifr_grub“. Проверка во CLI
cat /Tab-TabКако што е наведено погоре, ова нема да помогне против преземањето на малициозни модули ако таквите модули завршат на вашиот компјутер. На пример, тајлогер кој ќе може да зачувува удари на тастатурата во датотека и да го меша со други датотеки во „~/i386“ додека не го преземе напаѓач со физички пристап до компјутерот.
Најлесен начин да се потврди дека заштитата на дигитален потпис активно работи (не се ресетира), и никој не го нападнал подигнувачот, внесете ја командата во CLI
list_trusted
како одговор добиваме копија од нашиот „perskey“, или не добиваме ништо ако не нападнат (исто така треба да проверите „постави check_signatures=спроведување“).
Значаен недостаток на овој чекор е рачно внесување на команди. Ако ја додадете оваа команда на „grub.cfg“ и ја заштитите конфигурацијата со дигитален потпис, тогаш прелиминарниот излез на снимката на клучот на екранот е премногу краток во тајмингот и можеби немате време да го видите излезот по вчитувањето на GRUB2 .
Нема кој конкретно да има тврдења: инвеститорот во неговата клаузула 18.2 официјално изјавува
„Забележете дека дури и со заштитата со лозинка на GRUB, самиот GRUB не може да спречи некој со физички пристап до машината да ја промени конфигурацијата на фирмверот на таа машина (на пр. Coreboot или BIOS) за да предизвика уредот да се подигне од друг уред (контролиран од напаѓачот). GRUB е во најдобар случај само една алка во безбеден синџир за подигање“.
GRUB2 е премногу преоптоварен со функции кои можат да дадат чувство на лажна безбедност, а неговиот развој веќе го надмина MS-DOS во однос на функционалноста, но тој е само подигнувач. Смешно е што GRUB2 - „утре“ може да стане ОС и бутабилни GNU/Linux виртуелни машини за него.
Кратко видео за тоа како ја ресетирав заштитата на дигиталниот потпис GRUB2 и го објавив мојот упад на вистински корисник (Те исплашив, но наместо она што е прикажано на видеото, можете да напишете неопасен произволен код/.mod).
Заклучоци:
1) Блокирање на шифрирањето на системот за Windows е полесно да се имплементира, а заштитата со една лозинка е попогодна од заштитата со неколку лозинки со шифрирање на блок системот GNU/Linux, да бидеме фер: второто е автоматизирано.
2) Ја напишав статијата како релевантна и детална едноставно водич за шифрирање на целосен диск VeraCrypt/LUKS на еден дом на машината, која е убедливо најдобра во RuNet (IMHO). Водичот е долг > 50 илјади знаци, така што не опфати некои интересни поглавја: криптографи кои исчезнуваат/чуваат во сенка; за фактот дека во разни книги за GNU/Linux малку/не се пишува за криптографијата; за член 51 од Уставот на Руската Федерација; О /забрани , за тоа зошто треба да шифрирате „root/boot“. Водичот се покажа доста обемен, но детален. (опишувајќи дури и едноставни чекори), за возврат, ова ќе ви заштеди многу време кога ќе дојдете до „вистинската шифрирање“.
3) Целосно шифрирање на дискот беше извршено на Windows 7 64; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.
4) Спроведе успешен напад на неговата ГРУБ2 подигнувач.
5) Упатството е создадено за да им помогне на сите параноични луѓе во ЗНД, каде што работата со шифрирање е дозволена на законодавно ниво. И првенствено за оние кои сакаат да започнат енкрипција на целиот диск без да ги урнат нивните конфигурирани системи.
6) Го преработив и ажурирав мојот прирачник, кој е релевантен во 2020 година.
[G] Корисна документација
- (февруари 2012 RU)
- /usr/share/doc/cryptsetup(-run) [локален ресурс] (официјална детална документација за поставување на шифрирање GNU/Linux со користење на cryptsetup)
- (кратка документација за поставување на шифрирање GNU/Linux со користење на cryptsetup)
- (документација на archlinux)
- (страница arch man)
- (страница arch man)
- .
Тагови: целосно шифрирање на дискот, шифрирање на партиции, шифрирање на целосен диск на Linux, шифрирање на целосен систем LUKS1.
Само регистрирани корисници можат да учествуваат во анкетата. , вие сте добредојдени.
Дали шифрирате?
-
17,1%Јас криптирам се што можам. јас сум параноичен.14
-
34,2%Јас само шифрирам важни податоци.28
-
14,6%Некогаш криптирам, некогаш заборавам.12
-
34,2%Не, не шифрирам, тоа е незгодно и скапо.28
Гласаа 82 корисници. 22 корисници се воздржаа.
Извор: www.habr.com