Windows Linux суулгасан системүүдийн дискний бүрэн шифрлэлт. Шифрлэгдсэн олон ачаалах

RuNet V0.2 дээр бүрэн дискний шифрлэлтийн өөрийн гарын авлагыг шинэчилсэн.

Ковбой стратеги:

[A] суулгасан системийн Windows 7 системийн блокийн шифрлэлт;
[B] GNU/Linux системийн блокийн шифрлэлт (Дебиан) суулгасан систем (үүнд / ачаалах);
[C] GRUB2 тохиргоо, дижитал гарын үсэг/гэрчлэлт/хэшинг бүхий ачаалагчийн хамгаалалт;
[D] хөрс хуулалт-шифрлэгдээгүй өгөгдлийг устгах;
[E] шифрлэгдсэн үйлдлийн системийн бүх нийтийн нөөц;
[F] халдлага зорилтот - GRUB6 ачаалагч;
[G] тустай баримт бичиг.

╭───#40# өрөөний схем :
├──╼ Windows 7 суулгасан - бүрэн системийн шифрлэлт, далд биш;
├──╼ GNU/Linux суулгасан (Debian болон дериватив тархалт) - бүрэн системийн шифрлэлт, далд биш(/, үүнд / ачаалах; солих);
├──╼ бие даасан ачаалагч: VeraCrypt ачаалагчийг MBR-д суулгасан, GRUB2 ачаалагчийг өргөтгөсөн хуваалтад суулгасан;
├──╼OS суулгах/дахин суулгах шаардлагагүй;
└──╼криптографийн програм хангамж ашигласан: VeraCrypt; Cryptsetup; GnuPG; Далайн морь; Hashdeep; GRUB2 үнэгүй/үнэгүй.

Дээрх схем нь "флэш диск рүү алсаас ачаалах" асуудлыг хэсэгчлэн шийдэж, шифрлэгдсэн Windows/Linux үйлдлийн системтэй ажиллах, нэг үйлдлийн системээс нөгөө рүү "шифрлэгдсэн сувгаар" өгөгдөл солилцох боломжийг олгодог.

Компьютерийн ачаалах дараалал (сонголтуудын нэг):

• машин асаах;
• VeraCrypt ачаалагчийг ачаалж байна (Зөв нууц үг оруулах нь Windows 7-г үргэлжлүүлэн ачаалах болно);
• "Esc" товчийг дарснаар GRUB2 ачаалагчийг ачаалах болно;
• GRUB2 ачаалагч (тархалт/GNU/Linux/CLI-г сонгоно уу), GRUB2 супер хэрэглэгчийн баталгаажуулалтыг шаардах болно ;
• амжилттай нэвтрэлт танилт болон хуваарилалтыг сонгосны дараа та "/boot/initrd.img" түгжээг тайлахын тулд нэвтрэх үг оруулах шаардлагатай болно;
• Алдаагүй нууц үг оруулсны дараа GRUB2 нь нууц үг оруулахыг "шаардах" болно (гуравдугаарт, BIOS-ийн нууц үг эсвэл GNU/Linux хэрэглэгчийн бүртгэлийн нууц үгийг тооцохгүй) GNU/Linux үйлдлийн системийн түгжээг тайлах, ачаалах, эсвэл нууц түлхүүрийг автоматаар солих (хоёр нууц үг + түлхүүр, эсвэл нууц үг + түлхүүр);
• GRUB2 тохиргоонд гадны халдлага нь GNU/Linux ачаалах процессыг царцаах болно.

Асуудалтай юу? За, процессуудыг автоматжуулъя.

Хатуу дискийг хуваах үед (MBR хүснэгт) Компьютер нь 4-өөс илүүгүй үндсэн хуваалт, эсвэл 3 үндсэн ба нэг өргөтгөсөн, түүнчлэн хуваарилагдаагүй талбайтай байж болно. Өргөтгөсөн хэсэг нь үндсэн хэсгээс ялгаатай нь дэд хэсгүүдийг агуулж болно (логик хөтчүүд = өргөтгөсөн хуваалт). Өөрөөр хэлбэл, HDD дээрх "өргөтгөсөн хуваалт" нь LVM-ийг бүрэн системийн шифрлэлт хийх ажлыг орлоно. Хэрэв таны диск 4 үндсэн хэсэгт хуваагдсан бол lvm буюу хувиргах хэрэгтэй (форматтай) үндсэн хэсгээс ахисан түвшний хэсгийг сонгох эсвэл бүх дөрвөн хэсгийг ухаалгаар ашиглаад бүх зүйлийг байгаагаар нь үлдээж, хүссэн үр дүндээ хүрнэ үү. Таны дискэн дээр нэг хуваалт байгаа байсан ч Gparted танд HDD-г хуваахад тусална (нэмэлт хэсгүүдийн хувьд) өгөгдөл алдагдахгүй, гэхдээ ийм үйлдлийн төлөө бага хэмжээний торгууль ногдуулдаг.

Нийтлэлийг бүхэлд нь үгээр илэрхийлэх хатуу дискний байршлын схемийг доорх хүснэгтэд үзүүлэв.

1TB хуваалтын хүснэгт (No1).

Танд ч бас үүнтэй төстэй зүйл байх ёстой.
sda1 - үндсэн хуваалт No1 NTFS (шифрлэгдсэн);
sda2 - өргөтгөсөн хэсгийн тэмдэглэгээ;
sda6 - логик диск (энэ нь GRUB2 ачаалагч суулгасан);
sda8 - солилцоо (шифрлэгдсэн своп файл / үргэлж биш);
sda9 - логик дискийг шалгах;
sda5 - сониуч хүмүүст зориулсан логик диск;
sda7 - GNU/Linux OS (OS-ийг шифрлэгдсэн логик диск рүү шилжүүлсэн);
sda3 - Windows 2 үйлдлийн системтэй №7 үндсэн хуваалт (шифрлэгдсэн);
sda4 - үндсэн хэсэг No3 (энэ нь шифрлэгдээгүй GNU/Linux-г агуулсан, нөөцлөлтөд ашигладаг/байнга биш).

[A] Windows 7 системийн блокийн шифрлэлт

A1. VeraCrypt

Ачаалж байна албан ёсны сайт, эсвэл толиноос эх сурвалж VeraCrypt криптограф програм хангамжийн суулгацын хувилбар (v1.24-Update3 нийтлэлийг нийтлэх үед VeraCrypt-ийн зөөврийн хувилбар нь системийн шифрлэхэд тохиромжгүй). Татаж авсан програм хангамжийн хяналтын нийлбэрийг шалгана уу

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

мөн үр дүнг VeraCrypt хөгжүүлэгчийн вэбсайт дээр байрлуулсан CS-тэй харьцуулна уу.

Хэрэв HashTab програм хангамж суулгасан бол энэ нь бүр ч хялбар болно: RMB (VeraCrypt Setup 1.24.exe)-properties - файлуудын хэш нийлбэр.

Програмын гарын үсгийг баталгаажуулахын тулд програм хангамж болон хөгжүүлэгчийн нийтийн pgp түлхүүрийг систем дээр суулгасан байх ёстой gnuPG; gpg4win.

А2. Администраторын эрх бүхий VeraCrypt програм хангамжийг суулгаж/ажуулж байна

A3. Идэвхтэй хуваалтын системийн шифрлэлтийн параметрүүдийг сонгохVeraCrypt – Систем – Системийн хуваалт/дискийг шифрлэх – Ердийн – Windows системийн хуваалтыг шифрлэх – Multiboot – (Анхааруулга: "Туршлагагүй хэрэглэгчдэд энэ аргыг хэрэглэхийг зөвлөдөггүй" бөгөөд энэ нь үнэн, бид "Тийм" гэж хүлээн зөвшөөрч байна) - Ачаалах диск ("тийм", тийм биш байсан ч "тийм" хэвээр байна) – Системийн дискний тоо “2 ба түүнээс дээш” – Нэг диск дээрх хэд хэдэн систем “Тийм” – Windows-н бус ачаалагч “Үгүй” (үнэндээ "Тийм", гэхдээ VeraCrypt/GRUB2 ачаалагч нь MBR-ийг өөр хоорондоо хуваалцахгүй; илүү нарийвчлалтай, ачаалагчийн кодын зөвхөн хамгийн жижиг хэсэг нь MBR/ачаалах замд хадгалагддаг, гол хэсэг нь файлын системд байрладаг) – Multiboot – Шифрлэлтийн тохиргоо…

Хэрэв та дээрх алхмуудаас хазайвал (системийн шифрлэлтийн схемийг блоклох), дараа нь VeraCrypt анхааруулга өгөх бөгөөд хуваалтыг шифрлэхийг зөвшөөрөхгүй.

Зорилтот өгөгдлийг хамгаалах дараагийн алхамд "Туршилт" хийж, шифрлэлтийн алгоритмыг сонгоно уу. Хэрэв танд хуучирсан CPU байгаа бол хамгийн хурдан шифрлэлтийн алгоритм нь Twofish байх болно. Хэрэв CPU хүчирхэг бол та ялгааг анзаарах болно: AES шифрлэлт нь туршилтын үр дүнгээс үзэхэд криптогийн өрсөлдөгчдөөсөө хэд дахин хурдан байх болно. AES бол алдартай шифрлэлтийн алгоритм бөгөөд орчин үеийн CPU-ийн техник хангамжийг "нууц" болон "хакердах" аль алинд нь тусгайлан оновчтой болгосон.

VeraCrypt нь дискийг AES каскад шифрлэх чадварыг дэмждэг(Хоёр загас)/болон бусад хослолууд. Арван жилийн өмнөх хуучин үндсэн Intel CPU дээр (AES, A/T каскадын шифрлэлтийн техник хангамжийн дэмжлэггүй) Гүйцэтгэлийн бууралт нь үндсэндээ мэдэгдэхүйц биш юм. (ижил үеийн/~параметрийн AMD CPU-ийн хувьд гүйцэтгэл бага зэрэг буурсан). Үйлдлийн систем нь динамикаар ажилладаг бөгөөд ил тод шифрлэлтийн нөөцийн зарцуулалт үл үзэгдэх болно. Үүний эсрэгээр, жишээ нь, Mate v1.20.1 суулгасан тогтворгүй туршилтын ширээний орчны улмаас гүйцэтгэл мэдэгдэхүйц буурч байна. (эсвэл v1.20.2 яг санахгүй байна) GNU/Linux дээр эсвэл Windows7↑ дээрх телеметрийн горимын ажиллагаатай холбоотой. Ихэвчлэн туршлагатай хэрэглэгчид шифрлэлтийн өмнө техник хангамжийн гүйцэтгэлийн туршилт хийдэг. Жишээлбэл, Aida64/Sysbench/systemd-analyze-д бурууг системийг шифрлэсний дараа хийсэн ижил туршилтын үр дүнтэй харьцуулж, улмаар "системийн шифрлэлт нь хортой" гэсэн домгийг үгүйсгэдэг. Шифрлэгдсэн өгөгдлийг нөөцлөх/сэргээх үед машины удаашрал, таагүй байдал мэдэгдэхүйц байна, учир нь "системийн өгөгдлийг нөөцлөх" үйл ажиллагаа нь өөрөө мс-ээр хэмжигддэггүй бөгөөд тэдгээртэй ижил -ыг нэмдэг. Эцсийн эцэст, криптографийн аргыг ашиглахыг зөвшөөрсөн хэрэглэгч бүр шифрлэлтийн алгоритмыг даалгавруудын сэтгэл ханамж, паранойн түвшин, ашиглахад хялбар байдлын эсрэг тэнцвэржүүлдэг.

PIM параметрийг анхдагч байдлаар үлдээх нь дээр, ингэснээр та үйлдлийн системийг ачаалахдаа давталтын утгыг яг таг оруулах шаардлагагүй болно. VeraCrypt нь үнэхээр "удаан хэш" үүсгэхийн тулд асар олон тооны давталтуудыг ашигладаг. Brute force/Rainbow tables аргыг ашиглан ийм "крипто эмгэн хумс" руу дайрах нь зөвхөн богино "энгийн" нэвтрэх үг болон хохирогчийн хувийн тэмдэгтийн жагсаалтад л утга учиртай. Нууц үгийн бат бөх байдлын төлөө төлөх үнэ нь үйлдлийн систем ачаалах үед зөв нууц үг оруулахад саатал гарах явдал юм. (GNU/Linux дээр VeraCrypt-ийн эзлэхүүнийг холбох нь илүү хурдан байдаг).
Харгис хүчний халдлагыг хэрэгжүүлэх үнэгүй програм хангамж (VeraCrypt/LUKS дискний толгой хэсгээс нэвтрэх үгийг задлах) Хэшкат. Жон Риппер Веракриптийг хэрхэн эвдэхээ мэддэггүй бөгөөд LUKS-тэй ажиллахдаа Twofish криптографийг ойлгодоггүй.

Шифрлэлтийн алгоритмуудын криптографийн хүч чадлын улмаас зогсолтгүй cypherpunk-ууд өөр халдлагын вектор бүхий программ хангамжийг хөгжүүлж байна. Жишээлбэл, RAM-аас мета өгөгдөл/түлхүүрүүдийг задлах (хүйтэн ачаалах / санах ойд шууд нэвтрэх халдлага), Эдгээр зорилгоор тусгайлсан үнэгүй болон чөлөөт бус програм хангамж байдаг.

Шифрлэгдсэн идэвхтэй хуваалтын "өвөрмөц мета өгөгдлийг" тохируулж/үүсгэж дууссаны дараа VeraCrypt нь PC-г дахин асааж, ачаалагчийнхаа ажиллагааг шалгахыг санал болгоно. Windows-ийг дахин ачаалсны дараа / эхлүүлсний дараа VeraCrypt зогсолтын горимд ачаалагдах бөгөөд зөвхөн шифрлэлтийн процессыг баталгаажуулахад л үлддэг - Y.

Системийн шифрлэлтийн эцсийн шатанд VeraCrypt нь идэвхтэй шифрлэгдсэн хуваалтын толгойн нөөц хуулбарыг "veracrypt rescue disk.iso" хэлбэрээр үүсгэхийг санал болгоно - үүнийг хийх ёстой - энэ программ хангамжид ийм ажиллагаа шаардлагатай (LUKS-д шаардлагаар - харамсалтай нь үүнийг орхигдуулсан боловч баримт бичигт онцлон тэмдэглэсэн болно). Аврах диск нь хүн бүрт, заримд нь нэгээс олон удаа хэрэг болно. Алдагдал (толгой/MBR дахин бичих) толгойн нөөц хуулбар нь Windows үйлдлийн системтэй шифрлэгдсэн хуваалт руу нэвтрэх эрхийг бүрмөсөн үгүйсгэх болно.

А4. VeraCrypt аврах USB/диск үүсгэхАнхдагч байдлаар VeraCrypt нь "~2-3MB мета өгөгдлийг" CD-д бичихийг санал болгодог боловч бүх хүмүүст диск эсвэл DWD-ROM хөтөч байдаггүй бөгөөд "VeraCrypt Rescue disk" ачаалах боломжтой флаш дискийг бий болгох нь зарим хүмүүсийн хувьд техникийн гэнэтийн зүйл байх болно: Rufus /GUIdd-ROSA ImageWriter болон бусад ижил төстэй программ хангамж нь даалгаврыг даван туулах боломжгүй, учир нь офсет мета өгөгдлийг ачаалах боломжтой флаш диск рүү хуулахаас гадна USB драйвын файлын системийн гаднах зургийг хуулах/оруулах шаардлагатай. Товчхондоо, түлхүүрийн оосор руу MBR/замыг зөв хуулна. Та "dd" хэрэглүүрийг ашиглан GNU/Linux үйлдлийн системээс ачаалагдах боломжтой флаш диск үүсгэж болно.

Windows орчинд аврах диск үүсгэх нь өөр юм. VeraCrypt-ийн хөгжүүлэгч энэ асуудлын шийдлийг албан тушаалтанд оруулаагүй болно баримт бичиг "аврах диск"-ээр шийдсэн боловч өөр аргаар шийдлийг санал болгов: тэрээр VeraCrypt форум дээрээ үнэгүй нэвтрэх боломжтой "usb аврах диск" үүсгэх нэмэлт программ хангамжийг нийтэлсэн. Windows-д зориулсан энэхүү программ хангамжийн архивч нь "usb veracrypt аврах диск" үүсгэж байна. Rescue disk.iso-г хадгалсны дараа идэвхтэй хуваалтыг блок системээр шифрлэх процесс эхэлнэ. Шифрлэлтийн үед үйлдлийн системийн ажиллагаа зогсдоггүй, компьютерийг дахин асаах шаардлагагүй. Шифрлэлтийн ажиллагаа дууссаны дараа идэвхтэй хуваалт бүрэн шифрлэгдсэн бөгөөд ашиглах боломжтой болно. Хэрэв та компьютераа асаахад VeraCrypt ачаалагч гарч ирэхгүй, толгойг сэргээх ажиллагаа тус болохгүй бол "ачаалах" гэсэн тэмдгийг шалгана уу, үүнийг Windows байгаа хэсэгт тохируулсан байх ёстой. (шифрлэлт болон бусад үйлдлийн системээс үл хамааран хүснэгт №1-ийг үзнэ үү).
Энэ нь Windows үйлдлийн системтэй блок системийн шифрлэлтийн тайлбарыг дуусгаж байна.

[B]ЛУКС. GNU/Linux шифрлэлт (~Debian) суулгасан үйлдлийн систем. Алгоритм ба алхамууд

Суулгасан Debian/дериватив түгээлтийг шифрлэхийн тулд та бэлтгэсэн хуваалтыг виртуал блок төхөөрөмж рүү буулгаж, зурагласан GNU/Linux диск рүү шилжүүлж, GRUB2-г суулгах/тохируулга хийх шаардлагатай. Хэрэв танд нүцгэн металл сервер байхгүй бөгөөд та цагаа үнэлдэг бол GUI ашиглах хэрэгтэй бөгөөд доор тайлбарласан терминалын командуудын ихэнх нь "Чак-Норрис горим" дээр ажиллахад зориулагдсан болно.

B1. Шууд USB GNU/Linux-аас компьютерийг ачаалж байна

"Техник хангамжийн гүйцэтгэлийн крипто тест хийх"

lscpu && сryptsetup benchmark

Хэрэв та AES техник хангамжийн дэмжлэгтэй хүчирхэг машины аз жаргалтай эзэн бол тоонууд нь терминалын баруун тал шиг харагдах болно; хэрэв та аз жаргалтай эзэн бол эртний тоног төхөөрөмжтэй бол тоонууд зүүн тал шиг харагдах болно.

B2. Диск хуваах. fs логик диск HDD-г Ext4 (Gparted) руу холбох/форматлах

B2.1. Шифрлэгдсэн sda7 хуваалтын толгойг үүсгэж байнаДээр байрлуулсан хуваалтын хүснэгтийн дагуу би хуваалтуудын нэрийг энд болон цааш нь тайлбарлах болно. Таны дискний байршлын дагуу та хуваалтын нэрээ солих ёстой.

Логик хөтчийн шифрлэлтийн зураглал (/dev/sda7 > /dev/mapper/sda7_crypt).
# "LUKS-AES-XTS хуваалтыг" хялбархан үүсгэх

cryptsetup -v -y luksFormat /dev/sda7

Сонголтууд:

* luksFormat - LUKS толгой хэсгийг эхлүүлэх;
* -y -нууц үг (түлхүүр/файл биш);
* -v -verbalization (терминал дахь мэдээллийг харуулах);
* /dev/sda7 - өргөтгөсөн хуваалтаас таны логик диск (GNU/Linux дамжуулах/шифрлэхээр төлөвлөж байгаа газар).

Өгөгдмөл шифрлэлтийн алгоритм <LUKS1: aes-xts-plain64, Түлхүүр: 256 бит, LUKS толгой хэсгийг хэшлэх: sha256, RNG: /dev/urandom> (cryptsetup хувилбараас хамаарна).

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

Хэрэв CPU дээр AES-ийн техник хангамжийн дэмжлэг байхгүй бол хамгийн сайн сонголт бол өргөтгөсөн "LUKS-Twofish-XTS-хуваалт" үүсгэх явдал юм.

B2.2. "LUKS-Twofish-XTS-хуваалтын" дэвшилтэт бүтээл

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

Сонголтууд:
* luksFormat - LUKS толгой хэсгийг эхлүүлэх;
* /dev/sda7 нь таны ирээдүйн шифрлэгдсэн логик диск юм;
* -v үгээр илэрхийлэх;
* -y нэвтрэх үг;
* -c өгөгдөл шифрлэх алгоритмыг сонгох;
* -s шифрлэлтийн түлхүүрийн хэмжээ;
* -h хэш алгоритм/крипто функц, RNG ашигласан (--санамсаргүй ашиглах) логик дискний толгой хэсэгт зориулсан өвөрмөц шифрлэлт/шифр тайлах түлхүүр, хоёрдогч толгойн түлхүүр (XTS) үүсгэх; шифрлэгдсэн дискний толгой хэсэгт хадгалагдсан өвөрмөц мастер түлхүүр, хоёрдогч XTS түлхүүр, энэ бүх мета өгөгдөл болон үндсэн түлхүүр болон хоёрдогч XTS түлхүүрийг ашиглан хуваалт дээрх аливаа өгөгдлийг шифрлэдэг/шифрлэдэг. (хэсгийн гарчигнаас бусад) Сонгосон хатуу дискний хуваалт дээр ~3MB-т хадгалагдана.
* -i "хэмжээ"-н оронд миллисекундээр давталт (нууц үгийг боловсруулахад цаг хугацааны хоцрогдол нь үйлдлийн системийн ачаалал болон түлхүүрүүдийн криптографийн хүч чадалд нөлөөлдөг). Криптографийн хүч чадлын тэнцвэрийг хадгалахын тулд "Орос" гэх мэт энгийн нууц үгээр -(i) утгыг нэмэгдүүлэх шаардлагатай бол "?8dƱob/øfh" гэх мэт нарийн төвөгтэй нууц үгээр утгыг бууруулж болно.
* —санамсаргүй тоо үүсгэгчийг ашиглах, түлхүүр, давс үүсгэдэг.

sda7 > sda7_crypt хэсгийг зурагласны дараа (шифрлэгдсэн гарчиг нь ~3 МБ мета өгөгдлөөр үүсгэгдсэн тул үйл ажиллагаа хурдан явагдана), та sda7_crypt файлын системийг форматлаж, холбох хэрэгтэй.

B2.3. Харьцуулалт

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

сонголтууд:
* нээх - "нэртэй" хэсгийг тааруулна уу;
* /dev/sda7 -логик диск;
* sda7_crypt - үйлдлийн систем ачаалах үед шифрлэгдсэн хуваалтыг холбох эсвэл эхлүүлэхэд ашигладаг нэрийн зураглал.

B2.4. sda7_crypt файлын системийг ext4 болгож форматлаж байна. Дискийг үйлдлийн системд суулгаж байна(Тэмдэглэл: та Gparted дээр шифрлэгдсэн хуваалттай ажиллах боломжгүй)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt 

сонголтууд:
* -v - үгээр илэрхийлэх;
* -L - хөтөчийн шошго (энэ нь бусад хөтчүүдийн дунд Explorer дээр харагдана).

Дараа нь та виртуал шифрлэгдсэн блок төхөөрөмжийг /dev/sda7_crypt системд холбох хэрэгтэй

mount /dev/mapper/sda7_crypt /mnt

/mnt хавтас дахь файлуудтай ажиллах нь sda7 дахь өгөгдлийг автоматаар шифрлэх/шифрлэх болно.

Explorer дээр хуваалтыг зураглах, холбох нь илүү тохиромжтой (nautilus/caja GUI), хуваалт нь аль хэдийн диск сонгох жагсаалтад байх болно, зөвхөн дискийг нээх/шифрийг тайлахын тулд нэвтрэх үгийг оруулахад л үлддэг. Тохирсон нэр нь автоматаар сонгогдох бөгөөд "sda7_crypt" биш харин /dev/mapper/Luks-xx-xx...

B2.5. Дискний толгой хэсгийг нөөцлөх (~3MB мета өгөгдөл)Хамгийн их нь чухал цаг алдалгүй хийх шаардлагатай үйлдлүүд - "sda7_crypt" толгойн нөөц хуулбар. Хэрэв та толгой хэсгийг дарж бичсэн/гэмтсэн бол (жишээ нь sda2 хуваалт дээр GRUB7 суулгах гэх мэт), шифрлэгдсэн өгөгдлийг сэргээх ямар ч боломжгүй, учир нь ижил түлхүүрүүдийг дахин үүсгэх боломжгүй тул түлхүүрүүд нь өвөрмөц байдлаар бүтээгдсэн болно.

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7 

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

сонголтууд:
* luksHeaderBackup —header-backup-file -backup команд;
* luksHeaderRestore —толгой-нөөц файл -сэргээх команд;
* ~/Backup_DebSHIFR - нөөц файл;
* /dev/sda7 - шифрлэгдсэн дискний толгойн нөөц хуулбарыг хадгалах хуваалт.
Энэ үе шатанд дуусна.

B3. GNU/Linux үйлдлийн системтэй порт хийх (sda4) шифрлэгдсэн хуваалт руу (sda7)

/mnt2 хавтас үүсгэнэ үү (Тэмдэглэл - бид амьд USB-тэй ажиллаж байна, sda7_crypt /mnt дээр суурилагдсан), мөн шифрлэгдсэн байх шаардлагатай GNU/Linux-ыг /mnt2-д суулгаарай.

mkdir /mnt2
mount /dev/sda4 /mnt2

Бид Rsync програм хангамжийг ашиглан үйлдлийн системийн зөв дамжуулалтыг гүйцэтгэдэг

rsync -avlxhHX --progress /mnt2/ /mnt

Rsync сонголтуудыг E1-д тайлбарласан.

Цаашилбал, шаардлагатай байна логик дискний хуваалтыг дефрагментация хийх

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

Үүнийг дүрэм болго: Хэрэв танд HDD байгаа бол шифрлэгдсэн GNU/LInux дээр үе үе e4defrag хийх.
[GNU/Linux > GNU/Linux-шифрлэгдсэн] шилжүүлэг болон синхрончлол энэ алхамд дуусна.

AT 4. Шифрлэгдсэн sda7 хуваалт дээр GNU/Linux-г тохируулж байна

OS /dev/sda4 > /dev/sda7-г амжилттай шилжүүлсний дараа та шифрлэгдсэн хуваалт дээрх GNU/Linux руу нэвтэрч, цаашдын тохиргоог хийх шаардлагатай. (компьютерийг дахин ачаалахгүйгээр) шифрлэгдсэн системтэй харьцуулахад. Өөрөөр хэлбэл, амьд USB-д байгаарай, гэхдээ "шифрлэгдсэн үйлдлийн системийн үндэстэй холбоотой" тушаалуудыг гүйцэтгэнэ. "chroot" нь ижил төстэй нөхцөл байдлыг дуурайна. Одоогоор аль үйлдлийн системтэй ажиллаж байгаа талаарх мэдээллийг хурдан авах боломжтой (sda4 болон sda7 дахь өгөгдөл синхрончлогдсон тул шифрлэгдсэн эсвэл шифрлэгдсэн), үйлдлийн системийг синхрончлолгүй болгох. Үндэс директоруудад үүсгэх (sda4/sda7_crypt) хоосон маркер файлууд, жишээ нь, /mnt/encryptedOS болон /mnt2/decryptedOS. Ямар үйлдлийн систем ашиглаж байгаагаа хурдан шалгана уу (ирээдүйд зориулж):

ls /<Tab-Tab>

B4.1. "Шифрлэгдсэн үйлдлийн системд нэвтрэх загварчлал"

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. Ажил нь шифрлэгдсэн системийн эсрэг хийгдсэн эсэхийг шалгах

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. Шифрлэгдсэн своп үүсгэх/тохируулга хийх, crypttab/fstab засварлахСвоп файлыг үйлдлийн систем эхлэх болгонд форматлаж байдаг тул одоо логик дискэнд своп үүсгэж, зураглах нь утгагүй бөгөөд B2.2-т заасан тушаалуудыг бичнэ. Swap-ийн хувьд өөрийн түр зуурын шифрлэлтийн түлхүүрүүд эхлэх бүрт автоматаар үүсгэгдэнэ. Своп түлхүүрүүдийн амьдралын мөчлөг: своп хуваалтыг салгах/салгах (+RAM цэвэрлэх); эсвэл үйлдлийн системээ дахин эхлүүлнэ үү. Свопыг тохируулах, блок шифрлэгдсэн төхөөрөмжүүдийн тохиргоог хариуцах файлыг нээх (fstab файлтай адил боловч криптог хариуцдаг).

nano /etc/crypttab 

бид засварлана

#"зорилтот нэр" "эх төхөөрөмж" "түлхүүр файл" "сонголтууд"
swap /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512

Сонголтууд
* swap - /dev/mapper/swap-г шифрлэх үед дүрслэгдсэн нэр.
* /dev/sda8 - солигдохдоо логик хуваалтыг ашиглана уу.
* /dev/urandom - солилцох санамсаргүй шифрлэлтийн түлхүүр үүсгэгч (Шинэ үйлдлийн систем ачаалах бүрт шинэ түлхүүрүүд үүсдэг). /dev/urandom генератор нь /dev/random-аас бага санамсаргүй байдаг тул аюултай паранойд нөхцөлд ажиллах үед /dev/random ашигладаг. Үйлдлийн системийг ачаалах үед /dev/random нь ачааллыг хэдэн ± минутын турш удаашруулдаг (системд-шинжилгээг үзнэ үү).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -хуваалт нь своп гэдгийг мэдэж, “зохих ёсоор” форматлагдсан; шифрлэлтийн алгоритм.

#Открываем и правим fstab
nano /etc/fstab

бид засварлана

# своп суулгах явцад / dev / sda8 дээр байсан
/dev/mapper/swap none swap sw 0 0

/dev/mapper/swap нь crypttab-д тохируулагдсан нэр юм.

Альтернатив шифрлэгдсэн своп
Хэрэв та ямар нэг шалтгааны улмаас своп файлын хувьд бүхэл бүтэн хуваалтаас татгалзахыг хүсэхгүй байгаа бол та өөр, илүү сайн замыг сонгож болно: үйлдлийн системтэй шифрлэгдсэн хуваалт дээр файлд своп файл үүсгэх.

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

Своп хуваалтыг тохируулж дууслаа.

B4.4. Шифрлэгдсэн GNU/Linux-г тохируулах (crypttab/fstab файлуудыг засварлах)/etc/crypttab файл нь дээр бичсэнчлэн системийг ачаалах үед тохируулагдсан шифрлэгдсэн блок төхөөрөмжүүдийг тайлбарладаг.

#правим /etc/crypttab 
nano /etc/crypttab 

хэрэв та B7-д заасан sda7>sda2.1_crypt хэсгийг тааруулсан бол

# "зорилтот нэр" "эх төхөөрөмж" "түлхүүр файл" "сонголтууд"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

хэрэв та B7-д заасан sda7>sda2.2_crypt хэсгийг тааруулсан бол

# "зорилтот нэр" "эх төхөөрөмж" "түлхүүр файл" "сонголтууд"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

Хэрэв та B7 эсвэл B7-т заасан sda2.1>sda2.2_crypt хэсэгтэй таарч байгаа боловч үйлдлийн системийн түгжээг тайлж, ачаалах нууц үгээ дахин оруулахыг хүсэхгүй байгаа бол нууц үгийн оронд нууц түлхүүр/санамсаргүй файлыг орлуулж болно.

# "зорилтот нэр" "эх төхөөрөмж" "түлхүүр файл" "сонголтууд"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

Тайлбар
* байхгүй - OS-г ачаалах үед root-ийн түгжээг тайлахын тулд нууц үг оруулах шаардлагатай гэж мэдээлдэг.
* UUID - хуваалтын танигч. Өөрийн ID-г мэдэхийн тулд терминал дээр бичнэ үү (энэ үеэс эхлэн та өөр USB терминал дээр биш харин chroot орчинд терминал дээр ажиллаж байгааг сануулъя).

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное 

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

sda7_crypt суурилуулсан шууд USB терминалаас blkid хүсэлт гаргах үед энэ мөр харагдана).
Та UUID-г өөрийн sdaX-ээс авна (sdaX_crypt биш!, UUID sdaX_crypt - grub.cfg тохиргоог үүсгэх үед автоматаар үлдэх болно).
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks шифрлэлт дэвшилтэт горимд.
* /etc/skey - нууц түлхүүр файл бөгөөд үүнийг автоматаар OS ачаалах түгжээг тайлах боломжтой. (3 дахь нууц үгээ оруулахын оронд). Та 8МБ хүртэлх хэмжээтэй ямар ч файлыг зааж өгч болно, гэхдээ өгөгдлийг <1MB унших болно.

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7 

Энэ нь иймэрхүү харагдах болно:

(өөрөө хийж, өөрөө үзээрэй).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab нь төрөл бүрийн файлын системүүдийн талаархи тодорхой мэдээллийг агуулдаг.

#Правим /etc/fstab
nano /etc/fstab

# "файлын систем" "холбох цэг" "төрөл" "сонголтууд" "дамп" "дамж"
# / суулгах явцад / dev / sda7 дээр байсан
/dev/mapper/sda7_crypt / ext4 алдаа=remount-ro 0 1

сонголт
* /dev/mapper/sda7_crypt - /etc/crypttab файлд заасан sda7>sda7_crypt зураглалын нэр.
Crypttab/fstab тохиргоо дууссан.

B4.5. Тохиргооны файлуудыг засварлаж байна. Гол мөчB4.5.1. /etc/initramfs-tools/conf.d/resume тохиргоог засварлаж байна

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

мөн сэтгэгдэл бичээрэй (хэрэв байгаа бол) "#" мөр "үргүүлэх". Файл бүрэн хоосон байх ёстой.

B4.5.2. /etc/initramfs-tools/conf.d/cryptsetup тохиргоог засварлаж байна

nano /etc/initramfs-tools/conf.d/cryptsetup

таарах ёстой

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=тийм
CRYPTSETUP экспортлох

B4.5.3. /etc/default/grub тохиргоог засварлаж байна (энэ тохиргоо нь шифрлэгдсэн / ачаалах програмтай ажиллах үед grub.cfg үүсгэх чадварыг хариуцдаг)

nano /etc/default/grub

"GRUB_ENABLE_CRYPTODISK=y" мөрийг нэмнэ
'y' утга, grub-mkconfig болон grub-install нь шифрлэгдсэн хөтчүүдийг шалгаж, ачаалах үед тэдгээрт хандах нэмэлт командуудыг үүсгэх болно. (insmods ).
ижил төстэй байдал байх ёстой

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || Echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=vendor"
GRUB_CMDLINE_LINUX = "чимээгүй цацрах noautomount"
GRUB_ENABLE_CRYPTODISK=y

B4.5.4. /etc/cryptsetup-initramfs/conf-hook тохиргоог засварлаж байна

nano /etc/cryptsetup-initramfs/conf-hook

мөр тайлбартай байгаа эсэхийг шалгана уу.
Ирээдүйд (мөн одоо ч гэсэн энэ параметр нь ямар ч утгагүй боловч заримдаа initrd.img зургийг шинэчлэхэд саад болдог).

B4.5.5. /etc/cryptsetup-initramfs/conf-hook тохиргоог засварлаж байна

nano /etc/cryptsetup-initramfs/conf-hook

нэмэх

KEYFILE_PATTERN=”/etc/skey”
UMASK=0077

Энэ нь "skey" нууц түлхүүрийг initrd.img-д оруулах бөгөөд энэ түлхүүр нь үйлдлийн систем ачаалах үед root-ийн түгжээг тайлахад шаардлагатай болно. (хэрэв та нууц үгээ дахин оруулахыг хүсэхгүй бол машины оронд "skey" товчлуурыг оруулна).

B4.6. /boot/initrd.img-г шинэчлэх [хувилбар]Нууц түлхүүрийг initrd.img-д багтааж, крипт тохируулгын засваруудыг хэрэгжүүлэхийн тулд зургийг шинэчилнэ үү

update-initramfs -u -k all

initrd.img-г шинэчлэх үед (Тэд "Энэ боломжтой, гэхдээ энэ нь тодорхойгүй" гэж хэлдэг) cryptsetup-тай холбоотой сэрэмжлүүлэг, эсвэл жишээлбэл, Nvidia модулиудыг алдсан тухай мэдэгдэл гарч ирэх болно - энэ бол хэвийн зүйл. Файлыг шинэчилсний дараа энэ нь үнэхээр шинэчлэгдсэн эсэхийг шалгаад цагийг харна уу (chroot орчинтой холбоотой./boot/initrd.img). Анхаар [update-initramfs -u -k all]-аас өмнө cryptsetup /dev/sda7 нээлттэй байгаа эсэхийг шалгаарай. sda7_crypt - энэ нь /etc/crypttab дээр гарч ирэх нэр, эс тэгвээс дахин ачаалсны дараа busybox алдаа гарна)
Энэ алхамд тохиргооны файлуудыг тохируулж дуусна.

[C] GRUB2/Protection-г суулгаж, тохируулж байна

C1. Шаардлагатай бол ачаалагчийн зориулалтын хуваалтыг форматлана уу (хуваалтанд дор хаяж 20MB шаардлагатай)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. /dev/sda6-г /mnt руу холбоноТиймээс бид chroot дээр ажилладаг, тэгвэл root-д /mnt2 сан байхгүй, /mnt хавтас хоосон байх болно.
GRUB2 хуваалтыг холбох

mount /dev/sda6 /mnt

Хэрэв танд GRUB2-ийн хуучин хувилбар суулгасан бол /mnt/boot/grub/i-386-pc лавлах (өөр платформ боломжтой, жишээ нь "i386-pc" биш) крипто модуль байхгүй (Товчхондоо, хавтас нь модулиудыг агуулсан байх ёстой, үүнд .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), энэ тохиолдолд GRUB2-г сэгсрэх шаардлагатай.

apt-get update
apt-get install grub2 

Чухал! GRUB2 багцыг репозитороос шинэчлэх үед ачаалагчийг хаана суулгахыг "сонгох тухай" асуухад та суулгахаас татгалзах ёстой. (шалтгаан - GRUB2-г "MBR" эсвэл шууд USB дээр суулгахыг оролдсон). Үгүй бол та VeraCrypt толгой/ачаачийг гэмтээнэ. GRUB2 багцуудыг шинэчилж, суулгацыг цуцалсны дараа ачаалагчийг MBR дээр биш харин логик диск дээр гараар суулгах ёстой. Хэрэв таны репозитор GRUB2-ийн хуучирсан хувилбартай бол оролдоод үзээрэй шинэчлэх Энэ нь албан ёсны вэбсайтаас - үүнийг шалгаагүй байна (хамгийн сүүлийн үеийн GRUB 2.02 ~BetaX ачаалагчтай ажилласан).

C3. GRUB2-г өргөтгөсөн хуваалтад суулгаж байна [sda6]Та суурилуулсан хуваалттай байх ёстой [зүйл C.2]

grub-install --force --root-directory=/mnt /dev/sda6

сонголтууд
* —хүчээр - ачаалагчийг суулгаж, бараг үргэлж байдаг бүх анхааруулгыг алгасаж, суулгацыг блоклодог. (шаардлагатай туг).
* --root-directory - лавлахыг sda6-н үндэс рүү тохируулна.
* /dev/sda6 - таны sdaХ хуваалт (/mnt /dev/sda6 хоорондох -г бүү алдаарай).

C4. Тохируулгын файл үүсгэж байна [grub.cfg]"Update-grub2" командыг мартаж, бүрэн тохиргооны файл үүсгэх командыг ашиглана уу

grub-mkconfig -o /mnt/boot/grub/grub.cfg

grub.cfg файлыг үүсгэх/шинэчлэх ажлыг дуусгасны дараа гаралтын терминал нь дискэн дээрх үйлдлийн системтэй мөр(үүд)-ийг агуулсан байх ёстой. ("grub-mkconfig" нь Windows 10 үйлдлийн системтэй олон ачаалах флаш дисктэй, олон тооны шууд түгээлтүүдтэй бол үйлдлийн системээ шууд USB-ээс олж авах болно - энэ нь хэвийн үзэгдэл юм). Хэрэв терминал "хоосон" бөгөөд "grub.cfg" файл үүсгэгдээгүй бол системд GRUB алдаа гарсан тохиолдолд энэ нь мөн адил юм. (мөн агуулахын туршилтын салбараас ачигч байж магадгүй), GRUB2-г итгэмжлэгдсэн эх сурвалжаас дахин суулгана уу.
GRUB2-ийн "энгийн тохиргоо" суулгаж, тохируулж дууслаа.

C5. Шифрлэгдсэн GNU/Linux үйлдлийн системийн нотлох туршилтБид крипто даалгавраа зөв биелүүлж байна. Шифрлэгдсэн GNU/Linux-г болгоомжтой орхи (chroot орчноос гарах).

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

Компьютерийг дахин ачаалсны дараа VeraCrypt ачаалагч ачаалагдах ёстой.


*Идэвхтэй хуваалтын нууц үгийг оруулснаар Windows ачаалж эхэлнэ.
*"Esc" товчийг дарснаар та шифрлэгдсэн GNU/Linux-г сонговол удирдлагыг GRUB2 руу шилжүүлэх болно - /boot/initrd.img-н түгжээг тайлахад нууц үг (sda7_crypt) шаардлагатай (хэрэв grub2 uuid "олдсонгүй" гэж бичвэл энэ нь grub2 ачаалагчтай холбоотой асуудал гарвал үүнийг туршилтын салбар/тогтвортой гэх мэтээс дахин суулгах хэрэгтэй.


*Та системийг хэрхэн тохируулснаас хамааран (B4.4/4.5-ыг үзнэ үү) /boot/initrd.img зургийн түгжээг тайлах нууц үгээ зөв оруулсны дараа үйлдлийн системийн цөм/root-ыг ачаалах нууц үг эсвэл нууц үг хэрэгтэй болно. түлхүүр нь автоматаар "skey"-ээр солигдох бөгөөд энэ нь нэвтрэх үгийг дахин оруулах шаардлагагүй болно.

("нууц түлхүүрийг автоматаар солих" дэлгэц).

*Дараа нь GNU/Linux-ийг хэрэглэгчийн бүртгэлийн баталгаажуулалтаар ачаалах танил үйл явц дагах болно.


*Хэрэглэгчийн зөвшөөрөл болон үйлдлийн системд нэвтэрсний дараа та /boot/initrd.img-г дахин шинэчлэх хэрэгтэй. (B4.6-г үзнэ үү).

update-initramfs -u -k all

Мөн GRUB2 цэсэнд нэмэлт мөр гарсан тохиолдолд (амьд USB-тай OS-m пикапаас) тэднээс сал

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

GNU/Linux системийн шифрлэлтийн товч хураангуй:

• GNU/Linuxinux бүрэн шифрлэгдсэн бөгөөд үүнд /boot/kernel болон initrd;
• нууц түлхүүрийг initrd.img-д багцалсан;
• одоогийн зөвшөөрлийн схем (initrd-ийн түгжээг тайлах нууц үгийг оруулах; үйлдлийн системийг ачаалах нууц үг/түлхүүр; Линукс бүртгэлийг зөвшөөрөх нууц үг).

"Энгийн GRUB2 тохиргоо" системийн блок хуваалтын шифрлэлт дууслаа.

C6. Нарийвчилсан GRUB2 тохиргоо. Тоон гарын үсэг + баталгаажуулалтын хамгаалалт бүхий ачаалагчийн хамгаалалтGNU/Linux нь бүрэн шифрлэгдсэн боловч ачаалагчийг шифрлэх боломжгүй - энэ нөхцөлийг BIOS-аас заадаг. Энэ шалтгааны улмаас GRUB2-ийн гинжлэгдсэн шифрлэгдсэн ачаалах боломжгүй, гэхдээ энгийн гинжтэй ачаалах боломжтой/боломжтой, гэхдээ аюулгүй байдлын үүднээс энэ нь шаардлагагүй [харна уу. P. F].
"Эмзэг" GRUB2-ийн хувьд хөгжүүлэгчид ачаалагчийн хамгаалалтын "гарын үсэг / баталгаажуулалт" алгоритмыг хэрэгжүүлсэн.

• Ачаалагч нь "өөрийн дижитал гарын үсгээр" хамгаалагдсан үед файлуудыг гаднаас өөрчлөх эсвэл энэ ачаалагчийн нэмэлт модулийг ачаалах оролдлого нь ачаалах процессыг хаахад хүргэдэг.
• Ачаалагчийг нэвтрэлт танилтаар хамгаалахдаа түгээлтийн ачааллыг сонгох эсвэл CLI-д нэмэлт команд оруулахын тулд та супер хэрэглэгчийн GRUB2-ийн нэвтрэх болон нууц үгийг оруулах шаардлагатай болно.

C6.1. Ачаалагчийн баталгаажуулалтын хамгаалалтТа шифрлэгдсэн үйлдлийн систем дээр терминал дээр ажиллаж байгаа эсэхээ шалгаарай

ls /<Tab-Tab> #обнаружить файл-маркер

GRUB2 дээр зөвшөөрөл авах супер хэрэглэгчийн нууц үг үүсгэх

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. 

Нууц үгийн хэшийг аваарай. Энэ нь иймэрхүү зүйл

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

GRUB хуваалтыг холбох

mount /dev/sda6 /mnt 

тохиргоог засах

nano -$ /mnt/boot/grub/grub.cfg 

“grub.cfg” (“-unrestricted” “-user”) дотор ямар ч туг байхгүй эсэхийг файлын хайлтаас шалгана уу.
төгсгөлд нь нэмнэ (### END /etc/grub.d/41_custom ### мөрийн өмнө)
"супер хэрэглэгчдийг тохируулах = "үндэс"
password_pbkdf2 root хэш."

Энэ нь иймэрхүү зүйл байх ёстой

# Энэ файл нь захиалгат цэсийн оруулгуудыг нэмэх хялбар аргыг өгдөг. Зүгээр л бичнэ үү
Энэ сэтгэгдлийн дараа нэмэхийг хүсэж буй # цэсийн оруулгууд. Өөрчлөхөөс болгоомжил
# дээрх 'exec tail' мөр.
### Төгсгөл /etc/grub.d/40_custom ###

### ЭХЛҮҮЛЭХ /etc/grub.d/41_custom ###
хэрэв [ -f ${config_directory}/custom.cfg ]; тэгээд
эх үүсвэр ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; тэгээд
эх үүсвэр $prefix/custom.cfg;
fi
superusers = "үндэс" тохируулах
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### Төгсгөл /etc/grub.d/41_custom ###
#

Хэрэв та “grub-mkconfig -o /mnt/boot/grub/grub.cfg” командыг байнга ашигладаг бөгөөд grub.cfg-д өөрчлөлт оруулахыг хүсэхгүй байвал дээрх мөрүүдийг оруулна уу. (Нэвтрэх нууц үг) Хамгийн доод талд байгаа GRUB хэрэглэгчийн скрипт дээр

nano /etc/grub.d/41_custom 

муур <<EOF
superusers = "үндэс" тохируулах
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

“grub-mkconfig -o /mnt/boot/grub/grub.cfg” тохиргоог үүсгэх үед баталгаажуулалтыг хариуцах мөрүүдийг grub.cfg-д автоматаар нэмнэ.
Энэ алхам нь GRUB2 баталгаажуулалтын тохиргоог дуусгана.

C6.2. Тоон гарын үсэг бүхий ачаалагчийн хамгаалалтТанд хувийн pgp шифрлэлтийн түлхүүр аль хэдийн байгаа гэж таамаглаж байна (эсвэл ийм түлхүүр үүсгэх). Систем нь криптографийн програм хангамжийг суулгасан байх ёстой: gnuPG; kleopatra/GPA; Далайн морь. Крипто програм хангамж нь таны амьдралыг ийм бүх зүйлд илүү хялбар болгоно. Seahorse - багцын тогтвортой хувилбар 3.14.0 (Дээд хувилбарууд, жишээлбэл, V3.20 нь гэмтэлтэй, томоохон алдаатай).

PGP түлхүүрийг зөвхөн su орчинд үүсгэх/эхлүүлэх/нэмэх шаардлагатай!

Хувийн шифрлэлтийн түлхүүр үүсгэх

gpg - -gen-key

Түлхүүрээ экспортлох

gpg --export -o ~/perskey

Логик дискийг суулгаагүй бол үйлдлийн системд холбоно уу

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

GRUB2 хуваалтыг цэвэрлэ

rm -rf /mnt/

GRUB2-г sda6-д суулгаж, хувийн түлхүүрээ үндсэн GRUB зураг "core.img"-д оруулна уу.

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

сонголтууд
* --force - үргэлж байдаг бүх анхааруулгыг алгасаж ачаалагчийг суулгана уу (шаардлагатай туг).
* —modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - PC эхлэхэд шаардлагатай модулиудыг урьдчилан ачаалахыг GRUB2-д заадаг.
* -k ~/perskey - "PGP түлхүүр"-ийн зам (Түлхүүрийг зураг руу оруулсны дараа устгаж болно).
* --root-directory - ачаалах лавлахыг sda6-ийн үндэс рүү тохируулна уу
/dev/sda6 - таны sdaX хуваалт.

grub.cfg үүсгэж/шинэчилж байна

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

"grub.cfg" файлын төгсгөлд "trust /boot/grub/perskey" гэсэн мөрийг нэмнэ үү. (pgp түлхүүрийг хүчээр ашиглах.) Бид GRUB2-г “signature_test.mod” гарын үсэг бүхий модулиар суулгасан тул тохиргоонд “set check_signatures=enforce” гэх мэт командуудыг нэмэх шаардлагагүй болно.

Энэ нь иймэрхүү харагдах ёстой (grub.cfg файл дахь төгсгөлийн мөрүүд)

### ЭХЛҮҮЛЭХ /etc/grub.d/41_custom ###
хэрэв [ -f ${config_directory}/custom.cfg ]; тэгээд
эх үүсвэр ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; тэгээд
эх үүсвэр $prefix/custom.cfg;
fi
/boot/grub/perskey-д итгэ
superusers = "үндэс" тохируулах
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### Төгсгөл /etc/grub.d/41_custom ###
#

"/boot/grub/perskey"-д хүрэх замыг тодорхой дискний хуваалт, жишээ нь hd0,6 руу зааж өгөх шаардлагагүй; ачаалагчийн хувьд "root" нь GRUB2 суулгасан хуваалтын өгөгдмөл зам юм. (ялзрах=.. тохируулахыг үзнэ үү).

GRUB2-д гарын үсэг зурж байна (Бүх /GRUB лавлах дахь бүх файлууд) "perskey" түлхүүрээрээ.
Хэрхэн гарын үсэг зурах энгийн шийдэл (nautilus/caja Explorer-д зориулсан): репозитороос Explorer-д зориулсан "seahorse" өргөтгөлийг суулгана уу. Таны түлхүүрийг su орчинд нэмэх ёстой.
Explorer-г sudo “/mnt/boot” – RMB – тэмдгээр нээнэ үү. Дэлгэц дээр иймэрхүү харагдаж байна

Түлхүүр нь өөрөө “/mnt/boot/grub/perskey” (grub директор руу хуулах) мөн өөрийн гарын үсгээр гарын үсэг зурсан байх ёстой. [*.sig] файлын гарын үсэг директор/дэд директорт гарч ирж байгаа эсэхийг шалгана уу.
Дээр дурдсан аргыг ашиглан "/boot" гэж гарын үсэг зурна уу. (манай цөм, initrd). Хэрэв таны цаг хугацаа ямар ч үнэ цэнэтэй зүйл бол энэ арга нь "олон файл" дээр гарын үсэг зурахын тулд bash скрипт бичих шаардлагагүй болно.

Бүх ачаалагчийн гарын үсгийг устгахын тулд (ямар нэг зүйл буруу болвол)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

Системийг шинэчилсний дараа ачаалагчийг гарын үсэг зурахгүйн тулд бид GRUB2-тэй холбоотой бүх шинэчлэлтийн багцуудыг царцаадаг.

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

Энэ алхамд GRUB2-ийн дэвшилтэт тохиргоог хийж дуусгасан.

C6.3. Тоон гарын үсэг, баталгаажуулалтаар хамгаалагдсан GRUB2 ачаалагчийн нотлох туршилтGRUB2. Ямар нэгэн GNU/Linux түгээлтийг сонгох эсвэл CLI-д орох үед (тушаалын мөр) Супер хэрэглэгчийн зөвшөөрөл шаардлагатай болно. Хэрэглэгчийн нэр/нууц үгээ зөв оруулсны дараа танд initrd нууц үг хэрэгтэй болно

GRUB2 супер хэрэглэгчийн баталгаажуулалтыг амжилттай хийсэн дэлгэцийн агшин.

Хэрэв та GRUB2 файлуудын аль нэгийг нь өөрчлөх/grub.cfg-д өөрчлөлт оруулах, файл/гарын үсгийг устгах, эсвэл хортой module.mod ачаалах тохиолдолд холбогдох анхааруулга гарч ирнэ. GRUB2 ачааллыг түр зогсоох болно.

Дэлгэцийн зураг, GRUB2-д "гаднаас" хөндлөнгөөс оролцох оролдлого.

"Хэвтрэлгүйгээр" "хэвийн" ачаалах үед системийн гарах кодын төлөв "0" байна. Тиймээс хамгаалалт нь ажиллаж байгаа эсэх нь тодорхойгүй байна (өөрөөр хэлбэл "ачаалагчийн гарын үсгийн хамгаалалттай эсвэл хамгаалалтгүй" хэвийн ачаалах үед статус нь ижил "0" - энэ нь муу).

Тоон гарын үсгийн хамгаалалтыг хэрхэн шалгах вэ?

Шалгах тохиромжгүй арга: GRUB2-д ашигладаг модулийг хуурамчаар/устгах, жишээ нь luks.mod.sig гарын үсгийг устгаад алдаа гарна.

Зөв арга: bootloader CLI руу очоод командыг бичнэ үү

trust_list

Үүний хариуд та "перскей" хурууны хээ авах ёстой бөгөөд хэрэв статус "0" бол гарын үсгийн хамгаалалт ажиллахгүй бол C6.2-р догол мөрийг дахин шалгана уу.
Энэ алхамд "GRUB2-г дижитал гарын үсэг, баталгаажуулалтаар хамгаалах" дэвшилтэт тохиргоог хийж дуусгасан.

C7 Хэшинг ашиглан GRUB2 ачаалагчийг хамгаалах өөр аргаДээр тайлбарласан "CPU Boot Loader Protection/Authentication" арга нь сонгодог арга юм. GRUB2-ийн төгс бус байдлын улмаас паранойд нөхцөлд энэ нь бодит халдлагад өртөмтгий байдаг бөгөөд үүнийг би доор [F] догол мөрөнд өгөх болно. Үүнээс гадна, үйлдлийн систем/цөмийг шинэчилсний дараа ачаалагчийг дахин гарын үсэг зурах ёстой.

GRUB2 ачаалагчийг хэш ашиглан хамгаалж байна

Сонгодогоос давуу тал:

• Найдвартай байдлын өндөр түвшин (хэшинг/баталгаажуулалт нь зөвхөн шифрлэгдсэн локал нөөцөөс явагдана. GRUB2-д хуваарилагдсан хуваалтыг бүхэлд нь аливаа өөрчлөлтийг хянаж, бусад бүх зүйл нь шифрлэгдсэн; CPU дуудагч хамгаалалт/Гэрчлэлттэй сонгодог схемд зөвхөн файлуудыг хянадаг боловч үнэ төлбөргүй биш юм. орон зай, үүнд "ямар нэг зүйл" гэж ямар нэгэн хор хөнөөлтэй зүйл нэмж болно).
• Шифрлэгдсэн бүртгэл (хүний ​​унших боломжтой хувийн шифрлэгдсэн бүртгэлийг схемд нэмсэн).
• Хурд (GRUB2-д хуваарилагдсан бүхэл бүтэн хуваалтыг хамгаалах/баталгаажуулах нь бараг тэр даруй тохиолддог).
• Бүх криптографийн процессыг автоматжуулах.

Сонгодогтой харьцуулахад сул тал.

• Гарын үсэг хуурамчаар үйлдэх (онолын хувьд өгөгдсөн хэш функцийн мөргөлдөөнийг олох боломжтой).
• Хэцүү байдлын түвшин нэмэгдсэн (сонгодогтой харьцуулахад GNU/Linux үйлдлийн систем дээр арай илүү ур чадвар шаардагдана).

GRUB2/partition хэшлэх санаа хэрхэн ажилладаг

GRUB2 хуваалт нь "гарын үсэг зурсан" бөгөөд үйлдлийн систем ачаалагдах үед ачаалагчийн хуваалт өөрчлөгдөхгүй эсэхийг шалгаж, дараа нь аюулгүй (шифрлэгдсэн) орчинд нэвтэрнэ. Хэрэв ачаалагч эсвэл түүний хуваалт эвдэрсэн бол халдлагын бүртгэлээс гадна дараахь зүйлийг эхлүүлнэ.

Юм.

Үүнтэй төстэй шалгалт нь өдөрт дөрвөн удаа хийгддэг бөгөөд энэ нь системийн нөөцийг ачаалахгүй.
“-$ check_GRUB” командыг ашигласнаар ямар ч үед бүртгэл хөтлөхгүйгээр шуурхай шалгалт хийгдэнэ, гэхдээ CLI руу мэдээлэл гаргана.
“-$ sudo signature_GRUB” командыг ашиглан GRUB2 ачаалагч/хуваалт шууд дахин гарын үсэг зурж, шинэчилсэн бүртгэлд орно. (OS / ачаалах шинэчлэлтийн дараа шаардлагатай), амьдрал үргэлжилсээр байна.

Ачаалагч болон түүний хэсэгт зориулсан хэш хийх аргыг хэрэгжүүлэх

0) Эхлээд /media/username-д суулгаж, GRUB ачаалагч/партитицид гарын үсэг зурцгаая.

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) Бид шифрлэгдсэн OS ~/podpis-ийн үндэс дээр өргөтгөлгүйгээр скрипт үүсгэж, түүнд шаардлагатай 744 хамгаалалтын эрх, найдвартай хамгаалалтыг ашигладаг.

Түүний агуулгыг дүүргэх

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

Скриптийг ажиллуулна уу su, GRUB хуваалт болон түүний ачаалагчийн хэшийг шалгах болно, бүртгэлийг хадгал.

Жишээлбэл, "хортой файл" [virus.mod]-г GRUB2 хуваалт руу үүсгэж эсвэл хуулж, түр скан/туршилтыг ажиллуулъя:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

CLI манай цайзад довтлохыг харах ёстой.CLI-д #Trimmed log

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

#Таны харж байгаагаар "Файл зөөгдсөн: 1 ба Аудит амжилтгүй боллоо" гэсэн бичиг гарч ирэх нь шалгалт амжилтгүй болсон гэсэн үг.
Туршиж буй хуваалтын шинж чанараас шалтгаалан "Шинэ файлууд олдлоо" > "Зөөгдсөн файлууд" гэсний оронд

2) gif-г энд байрлуул > ~/warning.gif, зөвшөөрлийг 744 болгож тохируулна уу.

3) Ачаалах үед GRUB хуваалтыг автоматаар холбохын тулд fstab-г тохируулж байна

-$ sudo nano /etc/fstab

LABEL=GRUB /media/username/GRUB ext4 өгөгдмөл 0 0

4) Бүртгэлийг эргүүлж байна

-$ sudo nano /etc/logrotate.d/podpis 

/var/log/podpis.txt {
өдөр тутмын
50 эргүүлэх
хэмжээ 5М
огноо
шахах
хойшлуулах шахах
olddir /var/log/old
}

/var/log/vtorjenie.txt {
сар бүр
5 эргүүлэх
хэмжээ 5М
огноо
olddir /var/log/old
}

5) Cron-д ажил нэмнэ үү

-$ sudo crontab -e

дахин ачаалах '/захиалга'
0 */6 * * * ‘/podpis

6) Байнгын нэр үүсгэх

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

OS-ийн шинэчлэлтийн дараа -$ apt-get upgrade манай GRUB хуваалтад дахин гарын үсэг зурна уу
-$ подпись_GRUB
Энэ үед GRUB хуваалтын хэш хамгаалалт дууссан.

[D] Арчих - шифрлэгдээгүй өгөгдлийг устгах

Өмнөд Каролина мужийн төлөөлөгч Трей Гоудигийн хэлснээр хувийн файлуудаа бүрмөсөн устга, "Бурхан ч уншиж чадахгүй".

Ердийнх шигээ янз бүрийн “домог ба домог", өгөгдлийг хатуу дискнээс устгасны дараа сэргээх тухай. Хэрэв та кибер илбэчинд итгэдэг эсвэл доктор вэб нийгэмлэгийн гишүүн бөгөөд устгасан/дарж бичсэний дараа өгөгдлийг сэргээх оролдлого хийж үзээгүй бол (жишээ нь, R-studio ашиглан сэргээх), тэгвэл санал болгож буй арга нь танд тохирохгүй байх магадлалтай тул өөрт хамгийн ойр байгаа зүйлийг ашигла.

GNU/Linux-ийг шифрлэгдсэн хуваалт руу амжилттай шилжүүлсний дараа өгөгдлийг сэргээх боломжгүйгээр хуучин хуулбарыг устгах шаардлагатай. Бүх нийтийн цэвэрлэх арга: Windows/Linux үнэгүй GUI програм хангамжийн програм хангамж BleachBit.
Быстро хэсгийг форматлах, устгах шаардлагатай өгөгдөл (Gparted-ээр дамжуулан) BleachBit-ийг ажиллуулаад "Чөлөөт зайг цэвэрлэх" -ийг сонго - хуваалтыг сонгоно уу (таны GNU/Linux-ийн өмнөх хуулбартай sdaX), хөрс хуулалтын процесс эхэлнэ. BleachBit - нэг дамжуулалтаар дискийг арчдаг - энэ бол "бидэнд хэрэгтэй зүйл" Гэхдээ! Хэрэв та дискээ форматлаж, BB v2.0 программ хангамжаар цэвэрлэвэл энэ нь зөвхөн онолын хувьд ажиллана.

Анхаар! BB нь дискийг арчиж, мета өгөгдлийг үлдээдэг; өгөгдлийг устгах үед файлын нэр хадгалагдана (Ccleaner - мета өгөгдлийг орхихгүй).

Мөн өгөгдөл сэргээх боломжийн тухай домог бол бүхэлдээ домог биш юм.Bleachbit V2.0-2 хуучин тогтворгүй үйлдлийн системийн Debian багц (болон бусад ижил төстэй програм хангамж: sfill; wipe-Nautilus - энэ бохир бизнест бас анзаарагдсан) Үнэндээ маш чухал алдаа байсан: "чөлөөт зайг цэвэрлэх" функц энэ нь буруу ажилладаг HDD/Flash диск дээр (ntfs/ext4). Ийм төрлийн програм хангамж нь олон хэрэглэгчдийн бодож байгаачлан хоосон зайг цэвэрлэхдээ дискийг бүхэлд нь дарж бичдэггүй. Мөн зарим нь (их) устгасан өгөгдөл үйлдлийн систем/програм хангамж нь энэ өгөгдлийг устгаагүй/хэрэглэгчийн өгөгдөл гэж үздэг бөгөөд "OSP"-г цэвэрлэхдээ эдгээр файлуудыг алгасдаг. Асуудал нь ийм удаан хугацааны дараа дискийг цэвэрлэх явдал юм "устгагдсан файлуудыг" сэргээх боломжтой дискийг арчиж 3+ дараа ч гэсэн.
Bleachbit дээр GNU/Linux дээр 2.0-2 Файл, санг бүрмөсөн устгах функцүүд найдвартай ажилладаг боловч хоосон зайг чөлөөлөхгүй. Харьцуулбал: Windows дээр CCleaner дээр "OSP for ntfs" функц зөв ажилладаг бөгөөд Бурхан үнэхээр устгасан өгөгдлийг унших боломжгүй болно.

Тиймээс, сайтар арилгах хэрэгтэй "буулгах" хуучин шифрлэгдээгүй өгөгдөл, Bleachbit энэ өгөгдөлд шууд хандах шаардлагатай, дараа нь "файл/санлуудыг бүрмөсөн устгах" функцийг ашиглана уу.
Windows дээрх "стандарт үйлдлийн системийн хэрэгслүүдийг ашиглан устгасан файлуудыг" устгахын тулд "OSP" функцтэй CCleaner/BB ашиглана уу. Энэ асуудлын талаар GNU/Linux дээр (устгагдсан файлуудыг устгах) та өөрөө дадлага хийх хэрэгтэй (өгөгдөл устгах + үүнийг сэргээх бие даасан оролдлого бөгөөд та програм хангамжийн хувилбарт найдах ёсгүй (хэрэв хавчуурга биш бол алдаа)), зөвхөн энэ тохиолдолд та энэ асуудлын механизмыг ойлгож, устгасан мэдээллээс бүрэн ангижрах боломжтой болно.

Би Bleachbit v3.0-г туршиж үзээгүй, асуудал аль хэдийн шийдэгдсэн байж магадгүй.
Bleachbit v2.0 нь үнэнч шударга ажилладаг.

Энэ үе шатанд дискийг арчиж дуусна.

[E] Шифрлэгдсэн үйлдлийн системийн бүх нийтийн нөөцлөлт

Хэрэглэгч бүр өгөгдлийг нөөцлөх өөрийн гэсэн аргатай байдаг боловч системийн үйлдлийн системийн шифрлэгдсэн өгөгдөл нь даалгаварт арай өөр хандлагыг шаарддаг. Clonezilla болон үүнтэй төстэй програм хангамж зэрэг нэгдсэн программ хангамж нь шифрлэгдсэн өгөгдөлтэй шууд ажиллах боломжгүй.

Шифрлэгдсэн блок төхөөрөмжийг нөөцлөх асуудлын талаархи мэдэгдэл:

1. универсал байдал - Windows/Linux-д зориулсан ижил нөөцлөлтийн алгоритм/програм хангамж;
2. нэмэлт програм татаж авах шаардлагагүйгээр ямар ч амьд USB GNU/Linux-тай консол дээр ажиллах чадвар. (гэхдээ GUI санал болгож байна);
3. нөөц хуулбарын аюулгүй байдал - хадгалагдсан "зураг" нь шифрлэгдсэн/нууц үгээр хамгаалагдсан байх ёстой;
4. шифрлэгдсэн өгөгдлийн хэмжээ нь хуулж байгаа бодит өгөгдлийн хэмжээтэй тохирч байх ёстой;
5. нөөц хуулбараас шаардлагатай файлуудыг хялбархан гаргаж авах (эхлээд бүх хэсгийн шифрийг тайлах шаардлагагүй).

Жишээлбэл, "dd" хэрэгслээр нөөцлөх/сэргээх

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

Энэ нь даалгаврын бараг бүх цэгүүдэд тохирч байгаа боловч 4-р зүйлд заасны дагуу энэ нь шүүмжлэлийг тэсвэрлэдэггүй, учир нь энэ нь дискний хуваалтыг бүхэлд нь, түүний дотор чөлөөт зайг хуулж авдаг - сонирхолтой биш юм.

Жишээлбэл, архивлагчаар дамжуулан GNU/Linux нөөцлөлт [tar" | gpg] нь тохиромжтой, гэхдээ Windows нөөцлөхийн тулд та өөр шийдэл хайх хэрэгтэй - энэ нь сонирхолтой биш юм.

E1. Бүх нийтийн Windows/Linux нөөцлөлт. Rsync (Grsync)+VeraCrypt дууны хэмжээг холбоно ууНөөц хуулбар үүсгэх алгоритм:

1. шифрлэгдсэн контейнер үүсгэх (эзлэхүүн/файл) үйлдлийн системд зориулсан VeraCrypt;
2. Rsync програмыг ашиглан үйлдлийн системийг VeraCrypt крипто контейнерт шилжүүлэх/синхрончлох;
3. шаардлагатай бол VeraCrypt эзлэхүүнийг www.

Шифрлэгдсэн VeraCrypt контейнер үүсгэх нь өөрийн гэсэн шинж чанартай байдаг.
динамик эзлэхүүнийг бий болгох (DT үүсгэх нь зөвхөн Windows дээр боломжтой бөгөөд GNU/Linux дээр бас ашиглагдах боломжтой);
тогтмол эзлэхүүн бий болгох, гэхдээ "параноид шинж чанартай" шаардлага бий (хөгжүүлэгчийн хэлснээр) - контейнер форматлах.

Динамик эзлэхүүн нь Windows дээр бараг тэр даруй үүсдэг боловч GNU/Linux > VeraCrypt DT-ээс өгөгдлийг хуулах үед нөөцлөх үйлдлийн нийт гүйцэтгэл мэдэгдэхүйц буурдаг.

Ердийн 70 ГБ Twofish-ийн эзлэхүүнийг үүсгэсэн (компьютерийн дундаж хүч гэж хэлье) Хагас цагийн дотор HDD руу (хуучин контейнерийн өгөгдлийг нэг дамжуулалтаар дарж бичих нь аюулгүй байдлын шаардлагаас үүдэлтэй). Эзлэхүүнийг үүсгэх үед хурдан форматлах функцийг VeraCrypt Windows/Linux-аас хассан тул контейнер үүсгэх нь зөвхөн "нэг удаагийн дахин бичих" эсвэл бага гүйцэтгэлтэй динамик эзлэхүүн үүсгэх замаар л боломжтой юм.

Ердийн VeraCrypt эзлэхүүнийг үүсгэ (динамик/ntfs биш), ямар ч асуудал байх ёсгүй.

VeraCrypt GUI> GNU/Linux live usb дээр контейнер тохируулах/үүсгэх/нээх (эзлэхүүнийг /media/veracrypt2, Windows үйлдлийн системийн эзлэхүүнийг /media/veracrypt1-д автоматаар холбох болно). GUI rsync ашиглан Windows үйлдлийн системийн шифрлэгдсэн нөөцлөлтийг үүсгэх (grsync)хайрцгийг шалгах замаар.

Процесс дуусахыг хүлээнэ үү. Нөөцлөлт дууссаны дараа бид нэг шифрлэгдсэн файлтай болно.

Үүний нэгэн адил, rsync GUI дээрх "Windows нийцтэй байдал" гэсэн нүдийг сонгон GNU/Linux үйлдлийн системийн нөөц хуулбарыг үүсгэнэ үү.

Анхаар! файлын системд "GNU/Linux нөөц"-д зориулсан Veracrypt контейнер үүсгэнэ үү ext4. Хэрэв та ntfs контейнерт нөөцлөлт хийвэл ийм хуулбарыг сэргээх үед та өөрийн бүх өгөгдлийн бүх эрх/бүлэглэлээ алдах болно.

Бүх үйлдлийг терминал дээр хийж болно. Rsync-ийн үндсэн сонголтууд:
* -g - бүлгүүдийг хадгалах;
* -P —progress — файл дээр ажиллахад зарцуулсан хугацааны төлөв;
* -H - хатуу холбоосыг байгаагаар нь хуулах;
* -a - архивын горим (олон rlptgoD туг);
* -v - үгээр илэрхийлэх.

Хэрэв та cryptsetup програм хангамжийн консолоор дамжуулан "Windows VeraCrypt эзлэхүүн"-ийг холбохыг хүсвэл өөр нэр (su) үүсгэж болно.

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

Одоо "veramount pictures" команд нь таныг нэвтрэх үг оруулахыг хүсэх ба шифрлэгдсэн Windows системийн эзлэхүүнийг үйлдлийн системд суулгана.

Cryptsetup команд дахь VeraCrypt системийн эзлэхүүнийг зураглах/холбох

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

Cryptsetup команд дахь VeraCrypt хуваалт/савыг газрын зураг/холбох

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

Бид GNU/Linux эхлүүлэхэд нэрийн оронд Windows үйлдлийн системтэй системийн эзлэхүүн болон логик шифрлэгдсэн ntfs дискийг (эхлүүлэх скрипт) нэмнэ.

Скрипт үүсгээд ~/VeraOpen.sh-д хадгал

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

Бид "зөв" эрхийг хуваарилдаг:

sudo chmod 100 /VeraOpen.sh

/etc/rc.local болон ~/etc/init.d/rc.local дотор хоёр ижил файл (ижил нэртэй!) үүсгэ.
Файлуудыг дүүргэж байна

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

Бид "зөв" эрхийг хуваарилдаг:

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local 

Ингээд л бид GNU/Linux-г ачаалах үед шифрлэгдсэн ntfs дискийг холбохын тулд нууц үг оруулах шаардлагагүй, дискүүд автоматаар холбогддог.

Дээр E1-р зүйлд алхам алхмаар тайлбарласан товч тэмдэглэл (гэхдээ одоо OS GNU/Linux-д зориулагдсан)
1) Veracrypt [Cryptbox] дээр fs ext4 > 4gb (файлын хувьд) Linux-д эзлэхүүн үүсгэнэ үү.
2) Амьд USB ашиглахын тулд дахин ачаална уу.
3) ~$ cryptsetup нээлттэй /dev/sda7 Lunux #mapping шифрлэгдсэн хуваалт.
4) ~$ mount /dev/mapper/Linux /mnt #шифрлэгдсэн хуваалтыг /mnt руу холбоно.
5) ~$ mkdir mnt2 #Ирээдүйд нөөцлөх лавлах үүсгэх.
6) ~$ cryptsetup open —veracrypt —type tcrypt ~/CryptoBox CryptoBox && mount /dev/mapper/CryptoBox /mnt2 #“CryptoBox” нэртэй Veracrypt эзлэхүүнийг зураглаж, CryptoBox-ыг /mnt2 руу холбоно.
7) ~$ rsync -avlxhHX —progress /mnt /mnt2/ #шифрлэгдсэн хуваалтыг шифрлэгдсэн Veracrypt эзлэхүүн рүү нөөцлөх ажиллагаа.

(p/s/ Анхаар! Хэрэв та шифрлэгдсэн GNU/Linux-ийг нэг архитектур/машинаас нөгөө рүү шилжүүлж байгаа бол, жишээлбэл, Intel > AMD (өөрөөр хэлбэл нэг шифрлэгдсэн хуваалтаас нөгөө шифрлэгдсэн Intel > AMD хуваалт руу нөөцлөлт байршуулах), Битгий мартаарай Шифрлэгдсэн үйлдлийн системээ шилжүүлсний дараа нууц үгийн оронд нууц орлуулах түлхүүрийг засварлана уу. өмнөх түлхүүр ~/etc/skey - өөр шифрлэгдсэн хуваалтад багтахаа больсон бөгөөд chroot-оос "cryptsetup luksAddKey" гэсэн шинэ түлхүүр үүсгэхийг зөвлөдөггүй - алдаа гарах боломжтой, зүгээр л ~/etc/crypttab-ын оронд зааж өгнө үү. "/etc/skey" түр зуур "none" ", дахин ачаалж, үйлдлийн системд нэвтэрсний дараа нууц тэмдэгт түлхүүрээ дахин үүсгэнэ үү).

Мэдээллийн технологийн мэргэжилтнүүдийн хувьд шифрлэгдсэн Windows/Linux үйлдлийн системийн хуваалтуудын толгойн хэсгийг тусад нь нөөцөлж авахыг санаарай, эс тэгвээс шифрлэлт таны эсрэг ажиллах болно.
Энэ үе шатанд шифрлэгдсэн үйлдлийн системийн нөөцлөлт дуусна.

[F] GRUB2 ачаалагч руу халдлага

Дэлгэрэнгүй мэдээллийг харахХэрэв та ачаалагчаа дижитал гарын үсэг болон/эсвэл баталгаажуулалтаар хамгаалсан бол (С6 цэгийг үзнэ үү.), тэгвэл энэ нь физик хандалтаас хамгаалахгүй. Шифрлэгдсэн өгөгдөлд хандах боломжгүй хэвээр байх боловч хамгаалалтыг тойрч гарах болно (тоон гарын үсгийн хамгаалалтыг дахин тохируулах) GRUB2 нь кибер гэмт хэрэгтнүүдэд сэжиг төрүүлэхгүйгээр өөрийн кодыг ачаалагч руу оруулах боломжийг олгодог. (хэрэв хэрэглэгч ачаалагчийн төлөвийг гараар хянадаггүй эсвэл grub.cfg-д зориулсан өөрийн дурын скрипт кодыг гаргаж ирээгүй тохиолдолд).

Довтолгооны алгоритм. Халдагчид

* Амьд USB-ээс компьютерийг ачаална. Аливаа өөрчлөлт (зөрчлөгч) файлууд нь ачаалагч руу халдсан тухай компьютерийн жинхэнэ эзэмшигчид мэдэгдэх болно. Гэхдээ grub.cfg-г хадгалсан GRUB2-г энгийн дахин суулгах (мөн үүнийг засах дараагийн чадвар) халдагчид аливаа файлыг засварлах боломжийг олгоно (энэ тохиолдолд GRUB2-г ачаалах үед жинхэнэ хэрэглэгчдэд мэдэгдэхгүй. Статус нь ижил )
* Шифрлэгдээгүй хуваалтыг холбож, “/mnt/boot/grub/grub.cfg” хадгалдаг.
* Ачаалагчийг дахин суулгана (core.img зургаас "perskey"-г устгаж байна)

grub-install --force --root-directory=/mnt /dev/sda6

* "grub.cfg" > "/mnt/boot/grub/grub.cfg"-г буцааж, шаардлагатай бол засварлана, жишээ нь "grub.cfg" доторх ачаалагч модулиудтай хавтсанд "keylogger.mod" модулийг нэмнэ. > мөр "insmod keylogger". Эсвэл, жишээлбэл, дайсан зальтай бол GRUB2-г дахин суулгасны дараа (бүх гарын үсэг байрандаа үлдсэн) Энэ нь "grub-mkimage with option (-c)" ашиглан үндсэн GRUB2 дүрсийг бүтээдэг. "-c" сонголт нь үндсэн "grub.cfg"-г ачаалахаас өмнө тохиргоогоо ачаалах боломжийг танд олгоно. Тохиргоо нь зөвхөн нэг мөрөөс бүрдэнэ: дурын "modern.cfg" руу дахин чиглүүлэх, жишээ нь ~400 файлтай холих. (модуль + гарын үсэг) "/boot/grub/i386-pc" хавтсанд. Энэ тохиолдолд халдагчид дурын код оруулж, модулиудыг ачаалах боломжтой бөгөөд "/boot/grub/grub.cfg"-д нөлөөлөхгүйгээр хэрэглэгч файлд "hashsum"-ыг түр зуур дэлгэцэн дээр харуулсан ч болно.
Халдагчид GRUB2 супер хэрэглэгчийн нэвтрэх/нууц үгийг хакердах шаардлагагүй, тэр мөрүүдийг хуулахад л хангалттай. (баталгаажуулалтыг хариуцна) "/boot/grub/grub.cfg"-г "modern.cfg" руу оруулна

superusers = "үндэс" тохируулах
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

Мөн компьютер эзэмшигч нь GRUB2 супер хэрэглэгч гэдгээ баталгаажуулсан хэвээр байх болно.

Гинж ачаалах (ачаалагч өөр ачаалагчийг ачаална), дээр бичсэнчлэн энэ нь утгагүй юм (энэ нь өөр зорилготой). BIOS-ийн улмаас шифрлэгдсэн ачаалагчийг ачаалах боломжгүй (Гинжин ачаалах GRUB2-г дахин эхлүүлнэ > шифрлэгдсэн GRUB2, алдаа гарлаа!). Гэсэн хэдий ч, хэрэв та гинжээр ачаалах санааг ашигласаар байгаа бол энэ нь шифрлэгдсэн ачаалагдаж байгаа гэдэгт итгэлтэй байж болно. (шинэчлэгдээгүй) Шифрлэгдсэн хуваалтаас "grub.cfg". Энэ нь бас хуурамч аюулгүй байдлын мэдрэмж юм, учир нь шифрлэгдсэн "grub.cfg" -д заасан бүх зүйл байдаг. (модуль ачаалах) нь шифрлэгдээгүй GRUB2-ээс ачаалагдсан модулиуд хүртэл нэмэгддэг.

Хэрэв та үүнийг шалгахыг хүсвэл sdaY өөр хуваалтыг хуваарилж/шифрлээд GRUB2-г түүн рүү хуулна уу. (шифрлэгдсэн хуваалт дээр grub-суулгах ажиллагаа боломжгүй) болон "grub.cfg" дотор (шифрлэгдээгүй тохиргоо) иймэрхүү мөрүүдийг өөрчлөх

цэсний 'GRUBx2' --анги тоть --анги gnu-linux --анги gnu --ангилал os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
ачаалах_видео
insmod gzio
хэрэв [ x$grub_platform = xxen ]; дараа нь insmod xzio; insmod lzopio; fi
insmod part_msdos
insmod криптодиск
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
хэвийн /boot/grub/grub.cfg
}

шугамууд
* insmod - шифрлэгдсэн дисктэй ажиллахад шаардлагатай модулиудыг ачаалах;
* GRUBx2 - GRUB2 ачаалах цэсэнд харагдах мөрийн нэр;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -үзнэ үү. fdisk -l (sda9);
* root тохируулах - root суулгах;
* ердийн /boot/grub/grub.cfg - шифрлэгдсэн хуваалт дээрх гүйцэтгэх тохиргооны файл.

Энэ нь шифрлэгдсэн "grub.cfg" гэж ачаалагдсан гэдэгт итгэлтэй байгаа нь GRUB цэсний "GRUBx2" мөрийг сонгохдоо нууц үг оруулах/"sdaY" түгжээг тайлахад эерэг хариулт болно.

CLI-д ажиллаж байхдаа төөрөлдөхгүйн тулд (мөн "үндэс тогтоох" орчны хувьсагч ажиллаж байгаа эсэхийг шалгана уу), хоосон токен файлуудыг үүсгэх, жишээлбэл, шифрлэгдсэн "/shifr_grub" хэсэгт, шифрлэгдээгүй "/noshifr_grub" хэсэгт. CLI-г шалгаж байна

cat /Tab-Tab

Дээр дурдсанчлан, хэрэв ийм модуль нь таны компьютер дээр дуусвал хортой модулиудыг татаж авахад тус болохгүй. Жишээлбэл, компьютерт нэвтрэх эрх бүхий халдагч татаж авах хүртэл файлын товчлуурын даралтыг хадгалж, бусад файлуудтай холих боломжтой товчлуур тохируулагч.

Тоон гарын үсгийн хамгаалалт идэвхтэй ажиллаж байгаа эсэхийг шалгах хамгийн хялбар арга (дахин тохируулаагүй), мөн ачаалагч руу хэн ч халдаагүй бол CLI-д тушаалыг оруулна уу

list_trusted

Хариуд нь бид "перски"-ийнхээ хуулбарыг авдаг, эсвэл халдлагад өртвөл бид юу ч хүлээн авдаггүй (та мөн "set check_signatures=enforce"-г шалгах хэрэгтэй).
Энэ алхамын мэдэгдэхүйц сул тал бол тушаалуудыг гараар оруулах явдал юм. Хэрэв та энэ командыг "grub.cfg"-д нэмж тохиргоог дижитал гарын үсгээр хамгаалвал дэлгэцэн дээрх товч агшин зуурын агшин зуурын гаралт хэтэрхий богино байх бөгөөд GRUB2-г ачаалсны дараа гаралтыг харах цаг гарахгүй байж магадгүй юм. .
Тусгайлан нэхэмжлэл гаргах хэн ч байхгүй: хөгжүүлэгч нь түүний дотор баримт бичиг 18.2 дахь заалтыг албан ёсоор тунхаглаж байна

"GRUB нууц үгийн хамгаалалттай байсан ч гэсэн GRUB өөрөө машинд физик хандах эрхтэй хэн нэгэн нь тухайн машины програм хангамжийн тохиргоог (жишээ нь, Coreboot эсвэл BIOS) өөрчилснөөр машиныг өөр (халдагчийн удирдлагатай) төхөөрөмжөөс ачаалахаас сэргийлж чадахгүй гэдгийг анхаарна уу. GRUB бол аюулгүй ачаалах гинжин хэлхээний зөвхөн нэг холбоос юм."

GRUB2 нь хуурамч аюулгүй байдлын мэдрэмжийг өгөх функцүүдээр хэт ачаалалтай байдаг бөгөөд түүний хөгжүүлэлт нь функциональ байдлын хувьд MS-DOS-ийг аль хэдийн давж гарсан боловч энэ нь зүгээр л ачаалагч юм. GRUB2 - "маргааш" нь үйлдлийн систем болж, ачаалах боломжтой GNU/Linux виртуал машинууд болох нь инээдтэй юм.

Би GRUB2 дижитал гарын үсгийн хамгаалалтыг хэрхэн дахин тохируулж, жинхэнэ хэрэглэгч рүү нэвтэрсэн гэдгээ зарласан тухай богино хэмжээний видео (Би чамайг айлгасан, гэхдээ та видеонд үзүүлсэн зүйлийн оронд хор хөнөөлгүй дур зоргоороо код бичиж болно/.mod).

Дүгнэлт:

1) Windows-д зориулсан системийг блоклох шифрлэлтийг хэрэгжүүлэхэд илүү хялбар бөгөөд нэг нууц үгээр хамгаалах нь GNU/Linux блок системийн шифрлэлт бүхий хэд хэдэн нууц үгээр хамгаалахаас илүү тохиромжтой: сүүлийнх нь автоматжуулсан.

2) Би нийтлэлийг хамааралтай, дэлгэрэнгүй бичсэн Энгийн RuNet (IMHO)-ийн хамгийн шилдэг нь болох нэг гэрийн машин дээр VeraCrypt/LUKS бүрэн дискний шифрлэлтийн гарын авлага. Энэхүү гарын авлага нь 50 мянга гаруй тэмдэгтийн урттай тул зарим сонирхолтой бүлгүүдийг багтаасангүй: алга болдог/сүүдэрт үлддэг криптографчид; янз бүрийн GNU/Linux номуудад криптографийн талаар бага бичдэг/ бичдэггүй тухай; оХУ-ын Үндсэн хуулийн 51-р зүйлийн тухай; О лиценз олгох/хориг ОХУ-д шифрлэлт, Та яагаад “root/boot”-ыг шифрлэх хэрэгтэй талаар. Гарын авлага нь нэлээд өргөн хүрээтэй боловч нарийвчилсан байсан. (бүр энгийн алхмуудыг тайлбарлах), энэ нь эргээд таныг "бодит шифрлэлт"-д ороход маш их цаг хэмнэх болно.

3) Windows 7 64 дээр дискний бүрэн шифрлэлт хийгдсэн; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.

4) Амжилттай довтолгоо хийсэн Түүний GRUB2 ачаалагч.

5) Энэхүү заавар нь хууль тогтоомжийн түвшинд шифрлэлттэй ажиллахыг зөвшөөрдөг ТУХН-ийн бүх паранойд хүмүүст туслах зорилгоор бүтээгдсэн. Юуны өмнө тохируулсан системээ нураахгүйгээр бүрэн дискний шифрлэлтийг нэвтрүүлэхийг хүсдэг хүмүүст зориулагдсан.

6) Миний гарын авлагыг дахин боловсруулж, шинэчилсэн бөгөөд энэ нь 2020 онд хамааралтай болно.

[G] Хэрэгтэй баримт бичиг

1. TrueCrypt хэрэглэгчийн гарын авлага (2012 оны XNUMX-р сар RU)
2. VeraCrypt баримтжуулалт
3. /usr/share/doc/cryptsetup(-run) [орон нутгийн нөөц] (cryptsetup ашиглан GNU/Linux шифрлэлтийг тохируулах тухай албан ёсны дэлгэрэнгүй баримт бичиг)
4. Албан ёсны түгээмэл асуултуудын крипт тохируулга (cryptsetup ашиглан GNU/Linux шифрлэлтийг тохируулах тухай товч баримт бичиг)
5. LUKS төхөөрөмжийн шифрлэлт (archlinux баримт бичиг)
6. Cryptsetup синтаксийн дэлгэрэнгүй тайлбар (arch man хуудас)
7. Crypttab-ийн дэлгэрэнгүй тайлбар (arch man хуудас)
8. Албан ёсны GRUB2 баримт бичиг.

Шошго: бүтэн дискний шифрлэлт, хуваалтын шифрлэлт, Linux бүрэн дискний шифрлэлт, LUKS1 бүрэн системийн шифрлэлт.

Зөвхөн бүртгэлтэй хэрэглэгчид санал асуулгад оролцох боломжтой. Нэвтрэх, гуйя.

Та шифрлэж байна уу?

• 17,1%Би чадах бүхнээ шифрлэдэг. Би гаж донтон.14

• 34,2%Би зөвхөн чухал өгөгдлийг шифрлэдэг.28

• 14,6%Заримдаа би шифрлэдэг, заримдаа мартдаг.12

• 34,2%Үгүй ээ, би шифрлэдэггүй, энэ нь тохиромжгүй бөгөөд үнэтэй.28

82 хэрэглэгч санал өгсөн. 22 хэрэглэгч түдгэлзсэн.

Эх сурвалж: www.habr.com