विंडोज लिनक्स स्थापित सिस्टमचे संपूर्ण डिस्क एन्क्रिप्शन. एनक्रिप्टेड मल्टी-बूट

RuNet V0.2 मध्ये पूर्ण-डिस्क एन्क्रिप्शनसाठी स्वतःचे मार्गदर्शक अद्यतनित केले.

काउबॉय धोरण:

[अ] स्थापित प्रणालीचे विंडोज 7 सिस्टम ब्लॉक एन्क्रिप्शन;
[B] GNU/Linux सिस्टम ब्लॉक एनक्रिप्शन (डेबियन) स्थापित प्रणाली (/boot सह);
[C] GRUB2 कॉन्फिगरेशन, डिजिटल स्वाक्षरी/प्रमाणीकरण/हॅशिंगसह बूटलोडर संरक्षण;
[डी] स्ट्रिपिंग—एनक्रिप्टेड डेटाचा नाश;
एनक्रिप्टेड ओएसचा सार्वत्रिक बॅकअप;
[एफ] हल्ला <आयटमवर [C6]> लक्ष्य - GRUB2 बूटलोडर;
[G]उपयुक्त दस्तऐवज.

╭───#खोली ४०# चा आकृती :
├──╼ Windows 7 स्थापित - संपूर्ण सिस्टम एन्क्रिप्शन, लपलेले नाही;
├──╼ GNU/Linux स्थापित (डेबियन आणि व्युत्पन्न वितरण) — संपूर्ण सिस्टम एनक्रिप्शन, लपलेले नाही(/, /बूटसह; स्वॅप);
├──╼ स्वतंत्र बूटलोडर: MBR मध्ये VeraCrypt बूटलोडर स्थापित केले आहे, GRUB2 बूटलोडर विस्तारित विभाजनामध्ये स्थापित केले आहे;
├──╼ OS इंस्टॉलेशन/पुनर्स्थापना आवश्यक नाही;
└──╼क्रिप्टोग्राफिक सॉफ्टवेअर वापरले: VeraCrypt; क्रिप्टसेटअप; GnuPG; सीहॉर्स; हशदीप; GRUB2 विनामूल्य/विनामूल्य आहे.

वरील योजना "फ्लॅश ड्राइव्हवर रिमोट बूट" ची समस्या अंशतः सोडवते, तुम्हाला एनक्रिप्टेड OS विंडोज/लिनक्सचा आनंद घेण्यास आणि एका OS वरून दुसर्‍या OS मध्ये "एनक्रिप्टेड चॅनेल" द्वारे डेटाची देवाणघेवाण करण्यास अनुमती देते.

पीसी बूट ऑर्डर (पर्यायांपैकी एक):

• मशीन चालू करणे;
• VeraCrypt बूटलोडर लोड करत आहे (योग्य पासवर्ड टाकल्याने विंडोज ७ बूट होत राहील);
• "Esc" की दाबल्याने GRUB2 बूट लोडर लोड होईल;
• GRUB2 बूट लोडर (वितरण/GNU/Linux/CLI निवडा), साठी GRUB2 सुपरयुजरचे प्रमाणीकरण आवश्यक असेल <login/password>;
• यशस्वी प्रमाणीकरण आणि वितरणाची निवड केल्यानंतर, तुम्हाला “/boot/initrd.img” अनलॉक करण्यासाठी सांकेतिक वाक्यांश प्रविष्ट करणे आवश्यक आहे;
• त्रुटी-मुक्त पासवर्ड प्रविष्ट केल्यानंतर, GRUB2 ला पासवर्ड एंट्री "आवश्यक" होईल (तिसरा, BIOS पासवर्ड किंवा GNU/Linux वापरकर्ता खाते संकेतशब्द - विचारात घेऊ नका) GNU/Linux OS अनलॉक आणि बूट करण्यासाठी किंवा गुप्त कीचे स्वयंचलित प्रतिस्थापन (दोन पासवर्ड + की, किंवा पासवर्ड + की);
• GRUB2 कॉन्फिगरेशनमध्ये बाह्य घुसखोरी GNU/Linux बूट प्रक्रिया गोठवेल.

त्रासदायक? ठीक आहे, चला प्रक्रिया स्वयंचलित करूया.

हार्ड ड्राइव्हचे विभाजन करताना (MBR टेबल) पीसीमध्ये 4 पेक्षा जास्त मुख्य विभाजने असू शकत नाहीत, किंवा 3 मुख्य आणि एक विस्तारित, तसेच वाटप न केलेले क्षेत्र असू शकत नाही. विस्तारित विभागात, मुख्य विभागाच्या विपरीत, उपविभाग असू शकतात (लॉजिकल ड्राइव्ह = विस्तारित विभाजन). दुसर्‍या शब्दात, HDD वरील “विस्तारित विभाजन” हातात असलेल्या कार्यासाठी LVM ची जागा घेते: संपूर्ण सिस्टम एनक्रिप्शन. तुमची डिस्क 4 मुख्य विभाजनांमध्ये विभागली असल्यास, तुम्हाला lvm किंवा ट्रान्सफॉर्म वापरण्याची आवश्यकता आहे. (स्वरूपणासह) मुख्य ते प्रगत विभाग, किंवा सर्व चार विभाग हुशारीने वापरा आणि इच्छित परिणाम मिळवण्यासाठी सर्वकाही जसे आहे तसे सोडा. तुमच्या डिस्कवर एक विभाजन असले तरीही, Gparted तुम्हाला तुमचा HDD विभाजन करण्यात मदत करेल (अतिरिक्त विभागांसाठी) डेटा गमावल्याशिवाय, परंतु तरीही अशा कृतींसाठी लहान दंडासह.

हार्ड ड्राइव्ह लेआउट योजना, ज्याच्या संदर्भात संपूर्ण लेख मौखिक बनविला जाईल, खालील तक्त्यामध्ये सादर केला आहे.

1TB विभाजनांचे सारणी (क्रमांक 1).

आपल्याकडेही असेच काहीतरी असावे.
sda1 - मुख्य विभाजन क्रमांक 1 NTFS (एनक्रिप्टेड);
sda2 - विस्तारित विभाग मार्कर;
sda6 - लॉजिकल डिस्क (त्यात GRUB2 बूटलोडर स्थापित आहे);
sda8 - स्वॅप (एनक्रिप्टेड स्वॅप फाइल/नेहमी नाही);
sda9 - चाचणी लॉजिकल डिस्क;
sda5 - जिज्ञासूंसाठी लॉजिकल डिस्क;
sda7 - GNU/Linux OS (एन्क्रिप्टेड लॉजिकल डिस्कवर OS हस्तांतरित);
sda3 - Windows 2 OS सह मुख्य विभाजन क्रमांक 7 (एनक्रिप्टेड);
sda4 - मुख्य विभाग क्रमांक 3 (त्यात एनक्रिप्ट न केलेले GNU/Linux होते, बॅकअपसाठी वापरले जाते/नेहमी नाही).

[A] Windows 7 सिस्टम ब्लॉक एनक्रिप्शन

A1. VeraCrypt

वरून डाउनलोड करा अधिकृत साइट, किंवा आरशातून sourceforge VeraCrypt क्रिप्टोग्राफिक सॉफ्टवेअरची स्थापना आवृत्ती (लेख v1.24-Update3 च्या प्रकाशनाच्या वेळी, VeraCrypt ची पोर्टेबल आवृत्ती सिस्टम एनक्रिप्शनसाठी योग्य नाही). डाउनलोड केलेल्या सॉफ्टवेअरचा चेकसम तपासा

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

आणि VeraCrypt विकसक वेबसाइटवर पोस्ट केलेल्या CS सोबत निकालाची तुलना करा.

हॅशटॅब सॉफ्टवेअर स्थापित केले असल्यास, ते आणखी सोपे आहे: RMB (VeraCrypt सेटअप 1.24.exe)गुणधर्म - फाइल्सची हॅश बेरीज.

प्रोग्राम स्वाक्षरीची पडताळणी करण्यासाठी, सॉफ्टवेअर आणि विकासकाची सार्वजनिक pgp की सिस्टमवर स्थापित करणे आवश्यक आहे gnuPG; gpg4win.

A2. प्रशासक अधिकारांसह VeraCrypt सॉफ्टवेअर स्थापित करणे/चालवणे

A3. सक्रिय विभाजनासाठी सिस्टम एनक्रिप्शन पॅरामीटर्स निवडत आहेVeraCrypt – सिस्टम – सिस्टम विभाजन/डिस्क एनक्रिप्ट करा – सामान्य – विंडोज सिस्टम विभाजन एनक्रिप्ट करा – मल्टीबूट – (चेतावणी: "अनुभवी वापरकर्त्यांनी ही पद्धत वापरण्याची शिफारस केलेली नाही" आणि हे खरे आहे, आम्ही सहमत आहोत "होय") - बूट डिस्क (“होय”, तसे नसले तरीही, “होय”) – सिस्टम डिस्कची संख्या “2 किंवा अधिक” – एका डिस्कवर अनेक सिस्टम “होय” – नॉन-विंडोज बूटलोडर “नाही” (खरं तर, “होय,” पण VeraCrypt/GRUB2 बूट लोडर आपापसात MBR सामायिक करणार नाहीत; अधिक स्पष्टपणे, बूट लोडर कोडचा फक्त लहान भाग MBR/बूट ट्रॅकमध्ये संग्रहित केला जातो, त्याचा मुख्य भाग आहे फाइल सिस्टममध्ये स्थित) - मल्टीबूट - एन्क्रिप्शन सेटिंग्ज...

आपण वरील चरणांपासून विचलित झाल्यास (ब्लॉक सिस्टम एनक्रिप्शन योजना), नंतर VeraCrypt चेतावणी जारी करेल आणि तुम्हाला विभाजन एनक्रिप्ट करण्याची परवानगी देणार नाही.

लक्ष्यित डेटा संरक्षणाच्या दिशेने पुढील चरणात, एक "चाचणी" आयोजित करा आणि एन्क्रिप्शन अल्गोरिदम निवडा. आपल्याकडे कालबाह्य CPU असल्यास, बहुधा सर्वात वेगवान एन्क्रिप्शन अल्गोरिदम टूफिश असेल. CPU शक्तिशाली असल्यास, तुम्हाला फरक लक्षात येईल: AES एन्क्रिप्शन, चाचणी निकालांनुसार, त्याच्या क्रिप्टो प्रतिस्पर्ध्यांपेक्षा कित्येक पट वेगवान असेल. AES एक लोकप्रिय एन्क्रिप्शन अल्गोरिदम आहे; आधुनिक CPU चे हार्डवेअर विशेषत: “गुप्त” आणि “हॅकिंग” या दोन्हींसाठी ऑप्टिमाइझ केलेले आहे.

VeraCrypt एईएस कॅस्केडमध्ये डिस्क्स एनक्रिप्ट करण्याच्या क्षमतेस समर्थन देते(टूफिश)/आणि इतर संयोजन. दहा वर्षांपूर्वीच्या जुन्या कोर इंटेल CPU वर (एईएस, ए/टी कॅस्केड एन्क्रिप्शनसाठी हार्डवेअर समर्थनाशिवाय) कामगिरीतील घट मूलत: अगोचर आहे. (त्याच काळातील AMD CPUs/~ पॅरामीटर्ससाठी, कार्यप्रदर्शन किंचित कमी केले आहे). OS गतिमानपणे कार्य करते आणि पारदर्शक एन्क्रिप्शनसाठी संसाधनाचा वापर अदृश्य आहे. याउलट, उदाहरणार्थ, स्थापित अस्थिर चाचणी डेस्कटॉप वातावरणामुळे कार्यक्षमतेत लक्षणीय घट झाली आहे Mate v1.20.1 (किंवा v1.20.2 मला नक्की आठवत नाही) GNU/Linux मध्‍ये, किंवा Windows7↑ मधील टेलीमेट्री रूटीनच्या ऑपरेशनमुळे. सामान्यतः, अनुभवी वापरकर्ते एन्क्रिप्शनपूर्वी हार्डवेअर कार्यप्रदर्शन चाचण्या घेतात. उदाहरणार्थ, Aida64/Sysbench/systemd-analyze दोषाची तुलना सिस्टीम कूटबद्ध केल्यानंतर समान चाचण्यांच्या परिणामांशी केली जाते, ज्यामुळे "सिस्टम एन्क्रिप्शन हानिकारक आहे" या मिथकाचे खंडन केले जाते. एनक्रिप्टेड डेटाचा बॅकअप/रिस्टोअर करताना मशीनचा वेग आणि गैरसोय लक्षात येण्याजोगी आहे, कारण “सिस्टम डेटा बॅकअप” ऑपरेशन स्वतः ms मध्ये मोजले जात नाही आणि तेच <decrypt/encrypt on the fly> जोडले जातात. शेवटी, प्रत्येक वापरकर्ता ज्याला क्रिप्टोग्राफीसह टिंकर करण्याची अनुमती आहे तो हातात असलेल्या कामांच्या समाधानाच्या विरूद्ध एनक्रिप्शन अल्गोरिदम संतुलित करतो, त्यांच्या पॅरानोइयाची पातळी आणि वापरणी सोपी.

डीफॉल्ट म्हणून पीआयएम पॅरामीटर सोडणे चांगले आहे, जेणेकरून ओएस लोड करताना आपल्याला प्रत्येक वेळी अचूक पुनरावृत्ती मूल्ये प्रविष्ट करण्याची आवश्यकता नाही. VeraCrypt खरोखर "स्लो हॅश" तयार करण्यासाठी मोठ्या संख्येने पुनरावृत्ती वापरते. ब्रूट फोर्स/रेनबो टेबल पद्धतीचा वापर करून अशा “क्रिप्टो स्नेल” वर हल्ला करणे केवळ लहान “साधे” सांकेतिक वाक्यांश आणि पीडिताच्या वैयक्तिक अक्षर सूचीसह अर्थ प्राप्त होतो. पासवर्डच्या सामर्थ्यासाठी देय असलेली किंमत म्हणजे OS लोड करताना योग्य पासवर्ड प्रविष्ट करण्यात विलंब. (GNU/Linux मध्ये VeraCrypt व्हॉल्यूम माउंट करणे लक्षणीय जलद आहे).
क्रूर फोर्स हल्ल्यांची अंमलबजावणी करण्यासाठी विनामूल्य सॉफ्टवेअर (VeraCrypt/LUKS डिस्क शीर्षलेखातून सांकेतिक वाक्यांश काढा) हॅशकॅट. जॉन द रिपरला "व्हेराक्रिप्ट तोडणे" कसे माहित नाही आणि LUKS सह काम करताना टूफिश क्रिप्टोग्राफी समजत नाही.

एन्क्रिप्शन अल्गोरिदमच्या क्रिप्टोग्राफिक सामर्थ्यामुळे, न थांबवता येणारे सायफरपंक वेगळ्या आक्रमण वेक्टरसह सॉफ्टवेअर विकसित करत आहेत. उदाहरणार्थ, RAM मधून मेटाडेटा/की काढणे (कोल्ड बूट/डायरेक्ट मेमरी ऍक्सेस अटॅक), या उद्देशांसाठी खास मोफत आणि नॉन-फ्री सॉफ्टवेअर आहे.

एनक्रिप्टेड सक्रिय विभाजनाचा “युनिक मेटाडेटा” सेट अप/जनरेट करणे पूर्ण झाल्यावर, VeraCrypt पीसी रीस्टार्ट करण्याची आणि त्याच्या बूट लोडरची कार्यक्षमता तपासण्याची ऑफर देईल. Windows रीबूट/स्टार्ट केल्यानंतर, VeraCrypt स्टँडबाय मोडमध्ये लोड होईल, फक्त एनक्रिप्शन प्रक्रियेची पुष्टी करणे बाकी आहे - Y.

सिस्टम एन्क्रिप्शनच्या अंतिम टप्प्यावर, VeraCrypt सक्रिय एनक्रिप्टेड विभाजनाच्या शीर्षलेखाची बॅकअप प्रत “veracrypt Rescue disk.iso” स्वरूपात तयार करण्याची ऑफर देईल - हे केलेच पाहिजे - या सॉफ्टवेअरमध्ये असे ऑपरेशन करणे आवश्यक आहे (LUKS मध्ये, एक आवश्यकता म्हणून - हे दुर्दैवाने वगळले आहे, परंतु दस्तऐवजीकरणात यावर जोर दिला आहे). बचाव डिस्क प्रत्येकासाठी आणि काहींसाठी एकापेक्षा जास्त वेळा उपयोगी पडेल. तोटा (शीर्षलेख/MBR पुनर्लेखन) शीर्षलेखाची बॅकअप प्रत OS Windows सह डिक्रिप्टेड विभाजनाचा प्रवेश कायमचा नाकारेल.

A4. VeraCrypt बचाव USB/डिस्क तयार करणेडीफॉल्टनुसार, VeraCrypt सीडीवर "~2-3MB मेटाडेटा" बर्न करण्याची ऑफर देते, परंतु सर्व लोकांकडे डिस्क किंवा DWD-ROM ड्राइव्ह नसतात आणि बूट करण्यायोग्य फ्लॅश ड्राइव्ह "VeraCrypt रेस्क्यू डिस्क" तयार करणे काहींसाठी एक तांत्रिक आश्चर्य असेल: रुफस /जीयूआयडीडी-रोसा इमेजराइटर आणि इतर तत्सम सॉफ्टवेअर या कार्याचा सामना करू शकणार नाहीत, कारण ऑफसेट मेटाडेटा बूट करण्यायोग्य फ्लॅश ड्राइव्हवर कॉपी करण्याव्यतिरिक्त, तुम्हाला यूएसबी ड्राइव्हच्या फाइल सिस्टमच्या बाहेर प्रतिमा कॉपी/पेस्ट करणे आवश्यक आहे. , थोडक्यात, MBR/रोडची योग्यरीत्या कीचेनवर कॉपी करा. हे चिन्ह बघून तुम्ही “dd” युटिलिटी वापरून GNU/Linux OS वरून बूट करण्यायोग्य फ्लॅश ड्राइव्ह तयार करू शकता.

विंडोज वातावरणात रेस्क्यू डिस्क तयार करणे वेगळे आहे. VeraCrypt च्या विकसकाने या समस्येचे निराकरण अधिकृत मध्ये समाविष्ट केले नाही दस्तऐवजीकरण "रेस्क्यू डिस्क" द्वारे, परंतु वेगळ्या मार्गाने उपाय प्रस्तावित केला: त्याने त्याच्या व्हेराक्रिप्ट फोरमवर विनामूल्य प्रवेशासाठी "यूएसबी रेस्क्यू डिस्क" तयार करण्यासाठी अतिरिक्त सॉफ्टवेअर पोस्ट केले. विंडोजसाठी या सॉफ्टवेअरचे आर्काइव्हिस्ट "यूएसबी व्हेराक्रिप्ट रेस्क्यू डिस्क तयार करत आहे". रेस्क्यू disk.iso जतन केल्यानंतर, सक्रिय विभाजनाच्या ब्लॉक सिस्टम एनक्रिप्शनची प्रक्रिया सुरू होईल. एन्क्रिप्शन दरम्यान, ओएसचे ऑपरेशन थांबत नाही; पीसी रीस्टार्ट करणे आवश्यक नाही. एनक्रिप्शन ऑपरेशन पूर्ण झाल्यावर, सक्रिय विभाजन पूर्णपणे एनक्रिप्टेड होते आणि ते वापरले जाऊ शकते. जर तुम्ही पीसी सुरू करता तेव्हा VeraCrypt बूट लोडर दिसत नसेल आणि हेडर रिकव्हरी ऑपरेशन मदत करत नसेल, तर "बूट" ध्वज तपासा, तो विंडोज असलेल्या विभाजनावर सेट केला पाहिजे. (एनक्रिप्शन आणि इतर ओएसची पर्वा न करता, टेबल क्रमांक 1 पहा).
हे Windows OS सह ब्लॉक सिस्टम एनक्रिप्शनचे वर्णन पूर्ण करते.

[B]LUKS. GNU/Linux एन्क्रिप्शन (~डेबियन) स्थापित OS. अल्गोरिदम आणि पायऱ्या

डेबियन/व्युत्पन्न वितरण कूटबद्ध करण्यासाठी, तुम्हाला तयार विभाजन व्हर्च्युअल ब्लॉक डिव्हाइसवर मॅप करावे लागेल, ते मॅप केलेल्या GNU/Linux डिस्कवर हस्तांतरित करावे लागेल आणि GRUB2 स्थापित/कॉन्फिगर करावे लागेल. जर तुमच्याकडे बेअर मेटल सर्व्हर नसेल, आणि तुम्ही तुमच्या वेळेला महत्त्व देत असाल, तर तुम्हाला GUI वापरण्याची आवश्यकता आहे आणि खाली वर्णन केलेल्या बहुतांश टर्मिनल कमांड्स “चक-नॉरिस मोड” मध्ये चालवल्या जाणार आहेत.

B1. थेट USB GNU/Linux वरून PC बूट करणे

"हार्डवेअर कार्यक्षमतेसाठी क्रिप्टो चाचणी आयोजित करा"

lscpu && сryptsetup benchmark

तुम्ही AES हार्डवेअर सपोर्ट असलेल्या शक्तिशाली कारचे आनंदी मालक असल्यास, क्रमांक टर्मिनलच्या उजव्या बाजूला दिसतील; जर तुम्ही आनंदी मालक असाल, परंतु प्राचीन हार्डवेअरसह, संख्या डावीकडे दिसतील.

B2. डिस्क विभाजन. माउंटिंग/फॉर्मेटिंग fs लॉजिकल डिस्क HDD ते Ext4 (Gparted)

B2.1. एनक्रिप्टेड sda7 विभाजन शीर्षलेख तयार करणेमी वर पोस्ट केलेल्या माझ्या विभाजन सारणीनुसार, येथे आणि पुढे, विभाजनांच्या नावांचे वर्णन करेन. तुमच्या डिस्क लेआउटनुसार, तुम्ही तुमची विभाजन नावे बदलणे आवश्यक आहे.

लॉजिकल ड्राइव्ह एन्क्रिप्शन मॅपिंग (/dev/sda7 > /dev/mapper/sda7_crypt).
# "LUKS-AES-XTS विभाजन" ची सुलभ निर्मिती

cryptsetup -v -y luksFormat /dev/sda7

पर्याय:

* luksFormat - LUKS हेडरचे आरंभीकरण;
* -y -पासफ्रेज (की/फाइल नाही);
* -v -शब्दीकरण (टर्मिनलमध्ये माहिती प्रदर्शित करणे);
* /dev/sda7 - विस्तारित विभाजनातून तुमची लॉजिकल डिस्क (जिथे GNU/Linux हस्तांतरित/एनक्रिप्ट करण्याची योजना आहे).

डीफॉल्ट एनक्रिप्शन अल्गोरिदम <LUKS1: aes-xts-plain64, की: 256 बिट, LUKS हेडर हॅशिंग: sha256, RNG: /dev/urandom> (क्रिप्टसेटअप आवृत्तीवर अवलंबून).

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

CPU वर AES साठी हार्डवेअर समर्थन नसल्यास, विस्तारित “LUKS-Twofish-XTS- विभाजन” तयार करणे हा सर्वोत्तम पर्याय असेल.

B2.2. "LUKS-Twofish-XTS-विभाजन" ची प्रगत निर्मिती

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

पर्याय:
* luksFormat - LUKS हेडरचे आरंभीकरण;
* /dev/sda7 ही तुमची भविष्यातील एनक्रिप्टेड लॉजिकल डिस्क आहे;
* -v शाब्दिकीकरण;
* -y सांकेतिक वाक्यांश;
* -c डेटा एन्क्रिप्शन अल्गोरिदम निवडा;
* -s एन्क्रिप्शन की आकार;
* -h हॅशिंग अल्गोरिदम/क्रिप्टो फंक्शन, RNG वापरले (--वापर-युरेंडम) लॉजिकल डिस्क हेडरसाठी एक युनिक एनक्रिप्शन/डिक्रिप्शन की व्युत्पन्न करण्यासाठी, दुय्यम हेडर की (XTS); एनक्रिप्टेड डिस्क हेडरमध्ये साठवलेली एक अनन्य मास्टर की, एक दुय्यम XTS की, हा सर्व मेटाडेटा आणि एनक्रिप्शन रूटीन जी, मास्टर की आणि दुय्यम XTS की वापरून, विभाजनावरील कोणताही डेटा कूटबद्ध/डिक्रिप्ट करते. (विभाग शीर्षक वगळता) निवडलेल्या हार्ड डिस्क विभाजनावर ~3MB मध्ये संग्रहित.
* -मी "रक्कम" ऐवजी मिलिसेकंदांमध्ये पुनरावृत्ती (पासफ्रेजवर प्रक्रिया करताना लागणारा वेळ विलंब OS च्या लोडिंगवर आणि कीच्या क्रिप्टोग्राफिक ताकदीवर परिणाम करतो). क्रिप्टोग्राफिक सामर्थ्याचा समतोल राखण्यासाठी, “रशियन” सारख्या साध्या पासवर्डसह तुम्हाला -(i) मूल्य वाढवावे लागेल; “?8dƱob/øfh” सारख्या जटिल पासवर्डसह मूल्य कमी केले जाऊ शकते.
* —यूरॅंडम यादृच्छिक क्रमांक जनरेटर वापरा, की आणि मीठ व्युत्पन्न करा.

विभाग sda7 > sda7_crypt मॅप केल्यानंतर (ऑपरेशन जलद आहे, कारण एन्क्रिप्टेड हेडर ~3 MB मेटाडेटासह तयार केले आहे आणि एवढेच), तुम्हाला sda7_crypt फाइल सिस्टम फॉरमॅट आणि माउंट करणे आवश्यक आहे.

B2.3. तुलना

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

पर्याय:
* उघडा - विभाग “नावासह” जुळवा;
* /dev/sda7 -लॉजिकल डिस्क;
* sda7_crypt - नाव मॅपिंग जे एनक्रिप्टेड विभाजन माउंट करण्यासाठी किंवा OS बूट झाल्यावर आरंभ करण्यासाठी वापरले जाते.

B2.4. sda7_crypt फाइल सिस्टीमचे ext4 वर फॉरमॅट करणे. OS मध्ये डिस्क माउंट करणे(टीप: तुम्ही Gparted मध्ये एन्क्रिप्टेड विभाजनासह काम करू शकणार नाही)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt 

पर्याय:
* -v -शब्दीकरण;
* -L - ड्राइव्ह लेबल (जे इतर ड्राइव्हमध्ये एक्सप्लोररमध्ये प्रदर्शित केले जाते).

पुढे, तुम्ही व्हर्च्युअल-एनक्रिप्टेड ब्लॉक डिव्हाइस /dev/sda7_crypt सिस्टममध्ये माउंट केले पाहिजे.

mount /dev/mapper/sda7_crypt /mnt

/mnt फोल्डरमधील फाइल्ससह कार्य केल्याने sda7 मधील डेटा आपोआप एनक्रिप्ट/डिक्रिप्ट होईल.

एक्सप्लोररमध्ये विभाजन नकाशा आणि माउंट करणे अधिक सोयीचे आहे (नॉटिलस/काजा GUI), विभाजन आधीपासूनच डिस्क निवड सूचीमध्ये असेल, डिस्क उघडण्यासाठी/डिक्रिप्ट करण्यासाठी सांकेतिक वाक्यांश प्रविष्ट करणे बाकी आहे. जुळलेले नाव स्वयंचलितपणे निवडले जाईल आणि "sda7_crypt" नाही, परंतु काहीतरी /dev/mapper/Luks-xx-xx...

B2.5. डिस्क हेडर बॅकअप (~3MB मेटाडेटा)सर्वात एक महत्वाचे विलंब न करता करणे आवश्यक असलेली ऑपरेशन्स - “sda7_crypt” शीर्षलेखाची बॅकअप प्रत. जर तुम्ही हेडर ओव्हरराईट/नुकसान केले तर (उदाहरणार्थ, sda2 विभाजनावर GRUB7 स्थापित करणे इ.), कूटबद्ध केलेला डेटा पुनर्प्राप्त करण्याच्या कोणत्याही शक्यतेशिवाय पूर्णपणे गमावला जाईल, कारण त्याच की पुन्हा व्युत्पन्न करणे अशक्य होईल; की अद्वितीयपणे तयार केल्या जातात.

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7 

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

पर्याय:
* luksHeaderBackup —header-backup-file -backup कमांड;
* luksHeaderRestore —header-backup-file -restore कमांड;
* ~/Backup_DebSHIFR - बॅकअप फाइल;
* /dev/sda7 - विभाजन ज्याची एन्क्रिप्टेड डिस्क हेडर बॅकअप प्रत सेव्ह करायची आहे.
या चरणावर <एनक्रिप्टेड विभाजन तयार करणे आणि संपादित करणे> पूर्ण झाले आहे.

B3. GNU/Linux OS पोर्ट करत आहे (sda4) एनक्रिप्टेड विभाजनासाठी (sda7)

/mnt2 फोल्डर तयार करा (टीप - आम्ही अजूनही लाइव्ह usb सह काम करत आहोत, sda7_crypt /mnt वर आरोहित आहे), आणि आमचे GNU/Linux /mnt2 मध्ये माउंट करा, ज्याला एनक्रिप्ट करणे आवश्यक आहे.

mkdir /mnt2
mount /dev/sda4 /mnt2

आम्ही Rsync सॉफ्टवेअर वापरून योग्य OS हस्तांतरण करतो

rsync -avlxhHX --progress /mnt2/ /mnt

Rsync पर्यायांचे वर्णन परिच्छेद E1 मध्ये केले आहे.

पुढे, आवश्यक आहे लॉजिकल डिस्क विभाजन डीफ्रॅगमेंट करा

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

हा नियम बनवा: तुमच्याकडे HDD असल्यास वेळोवेळी एनक्रिप्टेड GNU/LInux वर e4defrag करा.
हस्तांतरण आणि सिंक्रोनाइझेशन [GNU/Linux > GNU/Linux-encrypted] या पायरीवर पूर्ण झाले आहे.

एटी ४. एनक्रिप्टेड sda4 विभाजनावर GNU/Linux सेट करणे

OS /dev/sda4 > /dev/sda7 यशस्वीरित्या हस्तांतरित केल्यानंतर, तुम्हाला एनक्रिप्टेड विभाजनावर GNU/Linux मध्ये लॉग इन करावे लागेल आणि पुढील कॉन्फिगरेशन करावे लागेल. (पीसी रीबूट न ​​करता) एनक्रिप्टेड सिस्टमशी संबंधित. म्हणजेच, थेट यूएसबीमध्ये रहा, परंतु "एनक्रिप्टेड ओएसच्या रूटशी संबंधित" कमांड कार्यान्वित करा. "chroot" समान परिस्थितीचे अनुकरण करेल. तुम्ही सध्या कोणत्या OS वर काम करत आहात याची माहिती पटकन प्राप्त करण्यासाठी (एनक्रिप्टेड किंवा नाही, कारण sda4 आणि sda7 मधील डेटा समक्रमित केला आहे), OS डिसिंक्रोनाइझ करा. रूट डिरेक्टरीमध्ये तयार करा (sda4/sda7_crypt) रिक्त मार्कर फाइल्स, उदाहरणार्थ, /mnt/encryptedOS आणि /mnt2/decryptedOS. तुम्ही कोणत्या OS वर आहात ते पटकन तपासा (भविष्यासाठी यासह):

ls /<Tab-Tab>

B4.1. "एन्क्रिप्टेड OS मध्ये लॉग इन करण्याचे सिम्युलेशन"

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. एनक्रिप्टेड सिस्टीम विरुद्ध कार्य केले जात असल्याचे सत्यापित करणे

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. एनक्रिप्टेड स्वॅप तयार करणे/कॉन्फिगर करणे, क्रिप्टटॅब/एफस्टॅब संपादित करणेप्रत्येक वेळी OS सुरू झाल्यावर स्वॅप फाइल फॉरमॅट केली जात असल्याने, आता लॉजिकल डिस्कवर स्वॅप तयार करणे आणि मॅप करणे, आणि परिच्छेद B2.2 प्रमाणे कमांड टाईप करण्यात काही अर्थ नाही. स्वॅपसाठी, प्रत्येक प्रारंभी स्वतःच्या तात्पुरत्या एन्क्रिप्शन की स्वयंचलितपणे व्युत्पन्न केल्या जातील. स्वॅप की चे जीवन चक्र: स्वॅप विभाजन अनमाउंट करणे/अनमाउंट करणे (+रॅम साफ करणे); किंवा OS रीस्टार्ट करा. स्वॅप सेट करणे, ब्लॉक एनक्रिप्टेड डिव्हाइसेसच्या कॉन्फिगरेशनसाठी जबाबदार फाइल उघडणे (fstab फाईलशी सादृश्य, परंतु क्रिप्टोसाठी जबाबदार).

nano /etc/crypttab 

आम्ही संपादित करतो

#"लक्ष्य नाव" "स्रोत डिव्हाइस" "की फाइल" "पर्याय"
स्वॅप /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512

पर्याय
* स्वॅप - /dev/mapper/swap एनक्रिप्ट करताना मॅप केलेले नाव.
* /dev/sda8 - स्वॅपसाठी तुमचे लॉजिकल विभाजन वापरा.
* /dev/urandom - स्वॅपसाठी यादृच्छिक एन्क्रिप्शन की चे जनरेटर (प्रत्येक नवीन OS बूटसह, नवीन की तयार केल्या जातात). /dev/urandom जनरेटर हे /dev/random पेक्षा कमी यादृच्छिक आहे, सर्व केल्यानंतर /dev/random धोकादायक विचित्र परिस्थितीत काम करताना वापरले जाते. OS लोड करताना, /dev/random अनेक ± मिनिटांसाठी लोडिंग कमी करते (सिस्टमड-विश्लेषण पहा).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -विभाजनाला माहीत आहे की ते स्वॅप आहे आणि "त्यानुसार" स्वरूपित केले आहे; एन्क्रिप्शन अल्गोरिदम.

#Открываем и правим fstab
nano /etc/fstab

आम्ही संपादित करतो

इंस्टॉलेशनवेळी # स्वॅप / dev / sda8 चालू होता
/dev/mapper/swap काहीही नाही स्वॅप sw 0 0

/dev/mapper/swap हे नाव आहे जे crypttab मध्ये सेट केले होते.

वैकल्पिक एनक्रिप्टेड स्वॅप
जर काही कारणास्तव तुम्हाला स्वॅप फाइलसाठी संपूर्ण विभाजन सोडायचे नसेल, तर तुम्ही पर्यायी आणि उत्तम मार्गाने जाऊ शकता: OS सह एनक्रिप्टेड विभाजनावर फाइलमध्ये स्वॅप फाइल तयार करणे.

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

स्वॅप विभाजन सेटअप पूर्ण झाले आहे.

B4.4. एनक्रिप्टेड GNU/Linux सेट करणे (क्रिप्टटॅब/एफस्टॅब फाइल्स संपादित करणे)/etc/crypttab फाइल, वर लिहिल्याप्रमाणे, एनक्रिप्टेड ब्लॉक साधनांचे वर्णन करते जे सिस्टम बूट दरम्यान कॉन्फिगर केले जातात.

#правим /etc/crypttab 
nano /etc/crypttab 

परिच्छेद B7 प्रमाणे तुम्ही sda7>sda2.1_crypt विभागाशी जुळत असल्यास

# "लक्ष्य नाव" "स्रोत साधन" "की फाइल" "पर्याय"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

परिच्छेद B7 प्रमाणे तुम्ही sda7>sda2.2_crypt विभागाशी जुळत असल्यास

# "लक्ष्य नाव" "स्रोत साधन" "की फाइल" "पर्याय"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

जर तुम्ही परिच्छेद B7 किंवा B7 प्रमाणे sda2.1>sda2.2_crypt विभागाशी जुळत असाल, परंतु OS अनलॉक आणि बूट करण्यासाठी पासवर्ड पुन्हा एंटर करू इच्छित नसाल, तर पासवर्डऐवजी तुम्ही गुप्त की/यादृच्छिक फाइल बदलू शकता.

# "लक्ष्य नाव" "स्रोत साधन" "की फाइल" "पर्याय"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

वर्णन
* काहीही नाही - अहवाल देतो की OS लोड करताना, रूट अनलॉक करण्यासाठी गुप्त सांकेतिक वाक्यांश प्रविष्ट करणे आवश्यक आहे.
* UUID - विभाजन ओळखकर्ता. तुमचा आयडी शोधण्यासाठी, टर्मिनलमध्ये टाइप करा (स्मरण करून द्या की या वेळेपासून, तुम्ही chroot वातावरणात टर्मिनलमध्ये काम करत आहात, आणि दुसऱ्या थेट usb टर्मिनलमध्ये नाही).

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное 

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

sda7_crypt माउंट केलेल्या लाईव्ह यूएसबी टर्मिनलवरून blkid ची विनंती करताना ही ओळ दृश्यमान आहे).
तुम्ही तुमच्या sdaX वरून UUID घ्या (sdaX_crypt नाही!, UUID sdaX_crypt - grub.cfg कॉन्फिगरेशन निर्माण करताना आपोआप सोडले जाईल).
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks एन्क्रिप्शन प्रगत मोडमध्ये.
* /etc/skey - गुप्त की फाइल, जी ओएस बूट अनलॉक करण्यासाठी आपोआप घातली जाते (3रा पासवर्ड टाकण्याऐवजी). तुम्ही 8MB पर्यंत कोणतीही फाइल निर्दिष्ट करू शकता, परंतु डेटा <1MB वाचला जाईल.

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7 

हे असे काहीतरी दिसेल:

(ते स्वतः करा आणि स्वतःसाठी पहा).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab मध्ये विविध फाइल प्रणालींबद्दल वर्णनात्मक माहिती असते.

#Правим /etc/fstab
nano /etc/fstab

# "फाइल सिस्टम" "माउंट पॉइंट" "प्रकार" "पर्याय" "डंप" "पास"
# / इंस्टॉलेशनवेळी / dev / sda7 चालू होता
/dev/mapper/sda7_crypt / ext4 errors=remount-ro 0 1

पर्याय
* /dev/mapper/sda7_crypt - sda7>sda7_crypt मॅपिंगचे नाव, जे /etc/crypttab फाइलमध्ये निर्दिष्ट केले आहे.
crypttab/fstab सेटअप पूर्ण झाले आहे.

B4.5. कॉन्फिगरेशन फाइल्स संपादित करत आहे. महत्त्वाचा क्षणB4.5.1. कॉन्फिगरेशन संपादित करत आहे /etc/initramfs-tools/conf.d/resume

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

आणि टिप्पणी द्या (अस्तित्वात असल्यास) "#" ओळ "रेझ्युम". फाइल पूर्णपणे रिकामी असणे आवश्यक आहे.

B4.5.2. कॉन्फिगरेशन संपादित करत आहे /etc/initramfs-tools/conf.d/cryptsetup

nano /etc/initramfs-tools/conf.d/cryptsetup

जुळले पाहिजे

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=होय
CRYPTSETUP निर्यात करा

B4.5.3. /etc/default/grub कॉन्फिगरेशन संपादित करत आहे (एनक्रिप्टेड /boot सह काम करताना grub.cfg निर्माण करण्याच्या क्षमतेसाठी हे कॉन्फिगरेशन जबाबदार आहे)

nano /etc/default/grub

"GRUB_ENABLE_CRYPTODISK=y" ओळ जोडा
व्हॅल्यू 'y', grub-mkconfig आणि grub-install एनक्रिप्टेड ड्राइव्हस् तपासतील आणि बूट वेळी त्यांना ऍक्सेस करण्यासाठी आवश्यक अतिरिक्त कमांड व्युत्पन्न करतील. (insmods ).
एक समानता असणे आवश्यक आहे

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || इको डेबियन`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=विक्रेता"
GRUB_CMDLINE_LINUX="शांत स्प्लॅश नोऑटोमाउंट"
GRUB_ENABLE_CRYPTODISK=y

B4.5.4. कॉन्फिगरेशन संपादित करत आहे /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

ओळ तपासा <#> टिप्पणी दिली.
भविष्यात (आणि आताही, या पॅरामीटरला काही अर्थ नसतो, परंतु काहीवेळा तो initrd.img प्रतिमा अद्यतनित करण्यात व्यत्यय आणतो).

B4.5.5. कॉन्फिगरेशन संपादित करत आहे /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

जोडा

KEYFILE_PATTERN="/etc/skey"
UMASK=0077

हे गुप्त की "skey" initrd.img मध्ये पॅक करेल, जेव्हा OS बूट होते तेव्हा रूट अनलॉक करण्यासाठी की आवश्यक असते. (जर तुम्हाला पासवर्ड पुन्हा एंटर करायचा नसेल, तर कारसाठी "स्काय" की बदलली जाईल).

B4.6. अपडेट करा /boot/initrd.img [आवृत्ती]गुप्त की initrd.img मध्ये पॅक करण्यासाठी आणि क्रिप्टसेटअप निराकरणे लागू करण्यासाठी, प्रतिमा अद्यतनित करा

update-initramfs -u -k all

initrd.img अद्यतनित करताना (जसे ते म्हणतात "हे शक्य आहे, परंतु ते निश्चित नाही") क्रिप्टसेटअपशी संबंधित चेतावणी दिसेल, किंवा, उदाहरणार्थ, Nvidia मॉड्यूल्सच्या नुकसानाबद्दल सूचना - हे सामान्य आहे. फाइल अपडेट केल्यानंतर, ती प्रत्यक्षात अपडेट झाली आहे का ते तपासा, वेळ पहा (chroot पर्यावरणाशी संबंधित./boot/initrd.img). खबरदारी [update-initramfs -u -k all] करण्यापूर्वी क्रिप्टसेटअप /dev/sda7 उघडे आहे हे तपासण्याची खात्री करा sda7_crypt - हे नाव आहे जे /etc/crypttab मध्ये दिसते, अन्यथा रीबूट केल्यानंतर बिझीबॉक्स त्रुटी असेल)
या चरणावर, कॉन्फिगरेशन फाइल्स सेट करणे पूर्ण झाले आहे.

[C] GRUB2/संरक्षण स्थापित करणे आणि कॉन्फिगर करणे

C1. आवश्यक असल्यास, बूटलोडरसाठी समर्पित विभाजनाचे स्वरूपन करा (विभाजन किमान 20MB आवश्यक आहे)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. माउंट /dev/sda6 ते /mntम्हणून आम्ही chroot मध्ये काम करतो, नंतर रूटमध्ये /mnt2 डिरेक्टरी नसेल आणि /mnt फोल्डर रिकामे असेल.
GRUB2 विभाजन माउंट करा

mount /dev/sda6 /mnt

तुमच्याकडे GRUB2 ची जुनी आवृत्ती स्थापित केली असल्यास, /mnt/boot/grub/i-386-pc निर्देशिकेत (इतर प्लॅटफॉर्म शक्य आहे, उदाहरणार्थ, “i386-pc” नाही) क्रिप्टो मॉड्यूल नाहीत (थोडक्यात, फोल्डरमध्ये या .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod) सह मॉड्यूल असावेत. या प्रकरणात, GRUB2 हलवणे आवश्यक आहे.

apt-get update
apt-get install grub2 

महत्वाचे! रेपॉजिटरीमधून GRUB2 पॅकेज अपडेट करताना, बूटलोडर कुठे स्थापित करायचे "निवडण्याबद्दल" विचारले असता, तुम्ही इंस्टॉलेशन नाकारले पाहिजे. (कारण - GRUB2 स्थापित करण्याचा प्रयत्न - “MBR” मध्ये किंवा live usb वर). अन्यथा तुम्ही VeraCrypt शीर्षलेख/लोडरचे नुकसान कराल. GRUB2 संकुल अद्ययावत केल्यानंतर आणि प्रतिष्ठापन रद्द केल्यानंतर, बूट लोडरला लॉजिकल डिस्कवर स्वहस्ते इंस्टॉल केले पाहिजे, MBR मध्ये नाही. तुमच्या भांडारात GRUB2 ची जुनी आवृत्ती असल्यास, प्रयत्न करा अद्यतन हे अधिकृत वेबसाइटवरून आहे - ते तपासले नाही (नवीनतम GRUB 2.02 ~BetaX बूट लोडरसह कार्य केले).

C3. विस्तारित विभाजनामध्ये GRUB2 स्थापित करणे [sda6]तुमच्याकडे माउंट केलेले विभाजन असणे आवश्यक आहे [आयटम C.2]

grub-install --force --root-directory=/mnt /dev/sda6

पर्याय
* —फोर्स - बूटलोडरची स्थापना, जवळजवळ नेहमीच अस्तित्वात असलेल्या सर्व इशाऱ्यांना मागे टाकून आणि स्थापना अवरोधित करा (आवश्यक ध्वज).
* --रूट-डिरेक्टरी - निर्देशिका स्थापना sda6 च्या मुळाशी.
* /dev/sda6 - तुमचे sdaХ विभाजन (/mnt /dev/sda6 मधील <space> चुकवू नका).

C4. कॉन्फिगरेशन फाइल तयार करणे [grub.cfg]"update-grub2" कमांड विसरा आणि संपूर्ण कॉन्फिगरेशन फाइल जनरेशन कमांड वापरा

grub-mkconfig -o /mnt/boot/grub/grub.cfg

grub.cfg फाईलचे जनरेशन/अपडेटिंग पूर्ण केल्यानंतर, आउटपुट टर्मिनलमध्ये डिस्कवर OS असलेली ओळ असावी. (तुमच्याकडे Windows 10 सह मल्टीबूट फ्लॅश ड्राइव्ह आणि लाइव्ह वितरणाचा समूह असल्यास “grub-mkconfig” कदाचित लाइव्ह USB वरून OS शोधेल आणि उचलेल - हे सामान्य आहे). जर टर्मिनल “रिकामे” असेल आणि “grub.cfg” फाईल व्युत्पन्न झाली नसेल, तर सिस्टीममध्ये GRUB बग्स असताना हीच परिस्थिती आहे. (आणि बहुधा रेपॉजिटरीच्या चाचणी शाखेतील लोडर), विश्वसनीय स्त्रोतांकडून GRUB2 पुन्हा स्थापित करा.
"साधे कॉन्फिगरेशन" इंस्टॉलेशन आणि GRUB2 सेटअप पूर्ण झाले आहे.

C5. एन्क्रिप्टेड GNU/Linux OS ची पुरावा-चाचणीआम्ही क्रिप्टो मिशन योग्यरित्या पूर्ण करतो. एनक्रिप्टेड GNU/Linux काळजीपूर्वक सोडा (chroot वातावरणातून बाहेर पडा).

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

पीसी रीबूट केल्यानंतर, VeraCrypt बूटलोडर लोड झाला पाहिजे.


*सक्रिय विभाजनासाठी पासवर्ड एंटर केल्याने विंडोज लोड होण्यास सुरुवात होईल.
*"Esc" की दाबल्याने नियंत्रण GRUB2 वर हस्तांतरित होईल, जर तुम्ही एनक्रिप्ट केलेले GNU/Linux निवडले असेल - /boot/initrd.img अनलॉक करण्यासाठी पासवर्ड (sda7_crypt) आवश्यक असेल (जर grub2 ने uuid "न सापडला" असे लिहिले - हे एक आहे grub2 बूटलोडरसह समस्या, ते पुन्हा स्थापित केले जावे, उदा., चाचणी शाखेतून/स्थिर इ.).


*तुम्ही सिस्टम कशी कॉन्फिगर केली यावर अवलंबून (परिच्छेद B4.4/4.5 पहा), /boot/initrd.img प्रतिमा अनलॉक करण्यासाठी योग्य पासवर्ड टाकल्यानंतर, तुम्हाला OS कर्नल/रूट किंवा गुप्त लोड करण्यासाठी पासवर्डची आवश्यकता असेल. सांकेतिक वाक्यांश पुन्हा एंटर करण्याची गरज दूर करून की आपोआप " sky" बदलली जाईल.

(स्क्रीन "गुप्त कीचे स्वयंचलित प्रतिस्थापन").

*नंतर वापरकर्ता खाते प्रमाणीकरणासह GNU/Linux लोड करण्याची परिचित प्रक्रिया फॉलो होईल.


*वापरकर्ता अधिकृतता आणि OS मध्ये लॉग इन केल्यानंतर, तुम्हाला /boot/initrd.img पुन्हा अपडेट करावे लागेल. (B4.6 पहा).

update-initramfs -u -k all

आणि GRUB2 मेनूमधील अतिरिक्त ओळींच्या बाबतीत (लाइव्ह USB सह OS-m पिकअपवरून) त्यांच्यापासून मुक्त व्हा

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

GNU/Linux सिस्टम एन्क्रिप्शनचा द्रुत सारांश:

• GNU/Linuxinux पूर्णपणे एनक्रिप्ट केलेले आहे, ज्यात /boot/kernel आणि initrd;
• गुप्त की initrd.img मध्ये पॅकेज केली आहे;
• वर्तमान अधिकृतता योजना (initrd अनलॉक करण्यासाठी पासवर्ड टाकणे; OS बूट करण्यासाठी पासवर्ड/की; लिनक्स खाते अधिकृत करण्यासाठी पासवर्ड).

ब्लॉक विभाजनाचे "सिंपल GRUB2 कॉन्फिगरेशन" सिस्टम एनक्रिप्शन पूर्ण झाले आहे.

C6. प्रगत GRUB2 कॉन्फिगरेशन. डिजिटल स्वाक्षरी + प्रमाणीकरण संरक्षणासह बूटलोडर संरक्षणGNU/Linux पूर्णपणे एनक्रिप्ट केलेले आहे, परंतु बूटलोडर एनक्रिप्ट केले जाऊ शकत नाही - ही स्थिती BIOS द्वारे निर्धारित केली जाते. या कारणास्तव, GRUB2 चे चेन केलेले एनक्रिप्टेड बूट शक्य नाही, परंतु एक साधा साखळीबंद बूट शक्य/उपलब्ध आहे, परंतु सुरक्षिततेच्या दृष्टिकोनातून ते आवश्यक नाही [पहा. P. F].
"असुरक्षित" GRUB2 साठी, विकासकांनी "स्वाक्षरी/प्रमाणीकरण" बूटलोडर संरक्षण अल्गोरिदम लागू केले.

• जेव्हा बूटलोडरला "स्वतःच्या डिजिटल स्वाक्षरी" द्वारे संरक्षित केले जाते, तेव्हा फायलींचे बाह्य बदल, किंवा या बूटलोडरमध्ये अतिरिक्त मॉड्यूल लोड करण्याचा प्रयत्न, बूट प्रक्रिया अवरोधित केली जाईल.
• प्रमाणीकरणासह बूटलोडरचे संरक्षण करताना, वितरण लोड करणे निवडण्यासाठी किंवा CLI मध्ये अतिरिक्त आदेश प्रविष्ट करण्यासाठी, तुम्हाला सुपरयूजर-GRUB2 चे लॉगिन आणि पासवर्ड प्रविष्ट करणे आवश्यक आहे.

C6.1. बूटलोडर प्रमाणीकरण संरक्षणतुम्ही एनक्रिप्टेड OS वर टर्मिनलमध्ये काम करत आहात का ते तपासा

ls /<Tab-Tab> #обнаружить файл-маркер

GRUB2 मध्ये अधिकृततेसाठी सुपरयुजर पासवर्ड तयार करा

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. 

पासवर्ड हॅश मिळवा. यासारखेच काहीसे

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

GRUB विभाजन माउंट करा

mount /dev/sda6 /mnt 

कॉन्फिगरेशन संपादित करा

nano -$ /mnt/boot/grub/grub.cfg 

फाइल शोध तपासा की “grub.cfg” (“-अप्रतिबंधित” “-user” मध्ये कुठेही कोणतेही ध्वज नाहीत,
अगदी शेवटी जोडा (ओळीच्या आधी ### END /etc/grub.d/41_custom ###)
"सुपर वापरकर्ते सेट करा="रूट"
password_pbkdf2 रूट हॅश."

हे असे काहीतरी असावे

# ही फाइल सानुकूल मेनू प्रविष्ट्या जोडण्याचा एक सोपा मार्ग प्रदान करते. फक्त टाइप करा
या टिप्पणीनंतर तुम्हाला # मेनू एंट्री जोडायच्या आहेत. बदल होणार नाही याची काळजी घ्या
# वरील 'एक्झीक टेल' ओळ.
### शेवट /etc/grub.d/40_custom ###

### BEGIN /etc/grub.d/41_custom ###
जर [ -f ${config_directory}/custom.cfg]; नंतर
स्रोत ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; नंतर
स्रोत $prefix/custom.cfg;
fi
superusers="root" सेट करा
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### शेवट /etc/grub.d/41_custom ###
#

तुम्ही "grub-mkconfig -o /mnt/boot/grub/grub.cfg" ही आज्ञा वापरत असल्यास आणि प्रत्येक वेळी grub.cfg मध्ये बदल करू इच्छित नसल्यास, वरील ओळी प्रविष्ट करा. (लॉगिन: पासवर्ड) अगदी तळाशी GRUB वापरकर्ता स्क्रिप्टमध्ये

nano /etc/grub.d/41_custom 

मांजर <<EOF
superusers="root" सेट करा
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

"grub-mkconfig -o /mnt/boot/grub/grub.cfg" कॉन्फिगरेशन निर्माण करताना, प्रमाणीकरणासाठी जबाबदार असलेल्या ओळी grub.cfg मध्ये आपोआप जोडल्या जातील.
ही पायरी GRUB2 ऑथेंटिकेशन सेटअप पूर्ण करते.

C6.2. डिजिटल स्वाक्षरीसह बूटलोडर संरक्षणअसे गृहीत धरले जाते की तुमच्याकडे आधीच तुमची वैयक्तिक pgp एन्क्रिप्शन की आहे (किंवा अशी की तयार करा). सिस्टममध्ये क्रिप्टोग्राफिक सॉफ्टवेअर स्थापित असणे आवश्यक आहे: gnuPG; क्लेओपेट्रा/जीपीए; सीहॉर्स. अशा सर्व बाबतीत क्रिप्टो सॉफ्टवेअर तुमचे जीवन खूप सोपे करेल. सीहॉर्स - पॅकेजची स्थिर आवृत्ती 3.14.0 (उच्च आवृत्त्या, उदाहरणार्थ, V3.20, दोषपूर्ण आहेत आणि त्यात लक्षणीय बग आहेत).

PGP की फक्त su वातावरणातच जनरेट/लाँच/जोडणे आवश्यक आहे!

वैयक्तिक एन्क्रिप्शन की व्युत्पन्न करा

gpg - -gen-key

तुमची की निर्यात करा

gpg --export -o ~/perskey

OS मध्ये लॉजिकल डिस्क आधीच माउंट केली नसल्यास माउंट करा

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

GRUB2 विभाजन साफ ​​करा

rm -rf /mnt/

तुमची खाजगी की मुख्य GRUB इमेज "core.img" मध्ये ठेवून sda2 मध्ये GRUB6 इंस्टॉल करा.

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

पर्याय
* --force - नेहमी अस्तित्वात असलेल्या सर्व इशाऱ्यांना मागे टाकून बूटलोडर स्थापित करा (आवश्यक ध्वज).
* —modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - PC सुरू झाल्यावर GRUB2 ला आवश्यक मॉड्यूल प्रीलोड करण्याची सूचना देते.
* -k ~/perskey -“PGP की” चा मार्ग (चित्रात की पॅक केल्यानंतर, ती हटविली जाऊ शकते).
* --root-directory -बूट डिरेक्ट्रीला sda6 च्या रूटवर सेट करा
/dev/sda6 - तुमचे sdaX विभाजन.

grub.cfg जनरेट/अपडेट करत आहे

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

“grub.cfg” फाईलच्या शेवटी “trust /boot/grub/perskey” ही ओळ जोडा (pgp की चा सक्तीने वापर.) आम्ही "signature_test.mod" या स्वाक्षरी मॉड्यूलसह ​​मॉड्यूल्सच्या संचासह GRUB2 स्थापित केल्यामुळे, यामुळे कॉन्फिगमध्ये "सेट check_signatures=enforce" सारख्या कमांड जोडण्याची गरज नाहीशी होते.

हे असे काहीतरी दिसले पाहिजे (grub.cfg फाइलमध्ये शेवटच्या ओळी)

### BEGIN /etc/grub.d/41_custom ###
जर [ -f ${config_directory}/custom.cfg]; नंतर
स्रोत ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; नंतर
स्रोत $prefix/custom.cfg;
fi
विश्वास /boot/grub/perskey
superusers="root" सेट करा
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### शेवट /etc/grub.d/41_custom ###
#

“/boot/grub/perskey” चा मार्ग विशिष्ट डिस्क विभाजनाकडे निर्देशित करणे आवश्यक नाही, उदाहरणार्थ hd0,6; स्वतः बूटलोडरसाठी, “रूट” हा विभाजनाचा पूर्वनिर्धारित मार्ग आहे ज्यावर GRUB2 स्थापित केले आहे. (सेट रॉट =... पहा).

GRUB2 वर स्वाक्षरी करत आहे (सर्व फाइल्स सर्व /GRUB डिरेक्टरीमध्ये) तुमच्या की "पर्स्की" सह.
सही कशी करायची यावर एक सोपा उपाय (नॉटिलस/काजा एक्सप्लोररसाठी): रेपॉजिटरीमधून एक्सप्लोररसाठी "सीहॉर्स" विस्तार स्थापित करा. तुमची की su वातावरणात जोडली जाणे आवश्यक आहे.
sudo “/mnt/boot” – RMB – चिन्हासह एक्सप्लोरर उघडा. स्क्रीनवर असे दिसते

की स्वतःच आहे “/mnt/boot/grub/perskey” (ग्रब डिरेक्टरीमध्ये कॉपी) आपल्या स्वतःच्या स्वाक्षरीने देखील स्वाक्षरी करणे आवश्यक आहे. डिरेक्टरी/उपडिरेक्टरीमध्ये [*.sig] फाइल स्वाक्षरी दिसत असल्याचे तपासा.
वर वर्णन केलेली पद्धत वापरून, "/boot" वर स्वाक्षरी करा (आमचे कर्नल, initrd). जर तुमचा वेळ काही मोलाचा असेल, तर ही पद्धत "बर्याच फाईल्स" वर स्वाक्षरी करण्यासाठी बॅश स्क्रिप्ट लिहिण्याची गरज काढून टाकते.

सर्व बूटलोडर स्वाक्षर्या काढण्यासाठी (काही चुकले तर)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

सिस्टम अपडेट केल्यानंतर बूटलोडरवर स्वाक्षरी न करण्यासाठी, आम्ही GRUB2 शी संबंधित सर्व अपडेट पॅकेजेस फ्रीज करतो.

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

या चरणावर <डिजिटल स्वाक्षरीसह बूटलोडरचे संरक्षण करा> GRUB2 चे प्रगत कॉन्फिगरेशन पूर्ण झाले आहे.

C6.3. डिजिटल स्वाक्षरी आणि प्रमाणीकरणाद्वारे संरक्षित, GRUB2 बूटलोडरची पुरावा-चाचणीGRUB2. कोणतेही GNU/Linux वितरण निवडताना किंवा CLI प्रविष्ट करताना (कमांड लाइन) सुपरयूजर अधिकृतता आवश्यक असेल. योग्य वापरकर्तानाव/संकेतशब्द प्रविष्ट केल्यानंतर, तुम्हाला initrd पासवर्डची आवश्यकता असेल

GRUB2 सुपरयुजरच्या यशस्वी प्रमाणीकरणाचा स्क्रीनशॉट.

तुम्ही कोणत्याही GRUB2 फायलींशी छेडछाड केल्यास/grub.cfg मध्ये बदल केल्यास, किंवा फाइल/स्वाक्षरी हटवल्यास, किंवा दुर्भावनापूर्ण module.mod लोड केल्यास, एक संबंधित चेतावणी दिसेल. GRUB2 लोडिंग थांबवेल.

स्क्रीनशॉट, "बाहेरून" GRUB2 मध्ये हस्तक्षेप करण्याचा प्रयत्न.

"घुसखोरीशिवाय" "सामान्य" बूटिंग दरम्यान, सिस्टम एक्झिट कोड स्थिती "0" आहे. त्यामुळे संरक्षण कार्य करते की नाही हे माहीत नाही (म्हणजे, "बूटलोडर स्वाक्षरी संरक्षणासह किंवा त्याशिवाय" सामान्य लोडिंग दरम्यान स्थिती समान "0" असते - हे वाईट आहे).

डिजिटल स्वाक्षरी संरक्षण कसे तपासायचे?

तपासण्याचा एक गैरसोयीचा मार्ग: GRUB2 द्वारे वापरलेले मॉड्यूल बनावट/काढणे, उदाहरणार्थ, स्वाक्षरी luks.mod.sig काढून टाका आणि त्रुटी मिळवा.

योग्य मार्ग: बूटलोडर CLI वर जा आणि कमांड टाइप करा

trust_list

प्रतिसादात, तुम्हाला "पर्स्की" फिंगरप्रिंट प्राप्त झाले पाहिजे; जर स्थिती "0" असेल तर स्वाक्षरी संरक्षण कार्य करत नाही, परिच्छेद C6.2 दोनदा तपासा.
या टप्प्यावर, "डिजिटल स्वाक्षरी आणि प्रमाणीकरणासह GRUB2 चे संरक्षण करणे" प्रगत कॉन्फिगरेशन पूर्ण झाले आहे.

C7 हॅशिंग वापरून GRUB2 बूटलोडरचे संरक्षण करण्याची पर्यायी पद्धतवर वर्णन केलेली "CPU बूट लोडर प्रोटेक्शन/ऑथेंटिकेशन" पद्धत क्लासिक आहे. GRUB2 च्या अपूर्णतेमुळे, अलौकिक परिस्थितीत ते वास्तविक आक्रमणास संवेदनाक्षम आहे, जे मी खाली परिच्छेद [F] मध्ये देईन. याव्यतिरिक्त, OS/कर्नल अद्यतनित केल्यानंतर, बूटलोडरला पुन्हा स्वाक्षरी करणे आवश्यक आहे.

हॅशिंग वापरून GRUB2 बूटलोडरचे संरक्षण करणे

क्लासिक्सपेक्षा फायदे:

• विश्वासार्हतेची उच्च पातळी (हॅशिंग/पडताळणी केवळ एनक्रिप्टेड स्थानिक संसाधनातूनच होते. GRUB2 अंतर्गत वाटप केलेले संपूर्ण विभाजन कोणत्याही बदलांसाठी नियंत्रित केले जाते, आणि बाकी सर्व काही एनक्रिप्ट केलेले असते; CPU लोडर संरक्षण/प्रमाणीकरण असलेल्या क्लासिक स्कीममध्ये, फक्त फाइल्स नियंत्रित केल्या जातात, परंतु विनामूल्य नाहीत जागा, ज्यामध्ये "काहीतरी" काहीतरी अशुभ" जोडले जाऊ शकते).
• एन्क्रिप्टेड लॉगिंग (मानव-वाचनीय वैयक्तिक एन्क्रिप्टेड लॉग योजनेमध्ये जोडला आहे).
• गती (GRUB2 साठी वाटप केलेल्या संपूर्ण विभाजनाचे संरक्षण/सत्यापन जवळजवळ त्वरित होते).
• सर्व क्रिप्टोग्राफिक प्रक्रियांचे ऑटोमेशन.

क्लासिक्स प्रती तोटे.

• सही खोटी (सैद्धांतिकदृष्ट्या, दिलेले हॅश फंक्शन टक्कर शोधणे शक्य आहे).
• वाढलेली अडचण पातळी (क्लासिकच्या तुलनेत, GNU/Linux OS मध्ये थोडी अधिक कौशल्ये आवश्यक आहेत).

GRUB2/विभाजन हॅशिंग कल्पना कशी कार्य करते

GRUB2 विभाजन "स्वाक्षरी केलेले" आहे; जेव्हा OS बूट होते, तेव्हा बूट लोडर विभाजन अपरिवर्तनीयतेसाठी तपासले जाते, त्यानंतर सुरक्षित (एनक्रिप्टेड) ​​वातावरणात लॉग इन केले जाते. जर बूटलोडर किंवा त्याचे विभाजन तडजोड केले असेल तर, घुसखोरी लॉग व्यतिरिक्त, खालील लाँच केले जाईल:

गोष्ट.

अशीच तपासणी दिवसातून चार वेळा होते, जी सिस्टम संसाधने लोड करत नाही.
“-$ check_GRUB” कमांड वापरून, लॉगिंग न करता कोणत्याही वेळी त्वरित तपासणी होते, परंतु CLI कडे माहिती आउटपुटसह.
“-$ sudo signature_GRUB” कमांड वापरून, GRUB2 बूट लोडर/विभाजन त्वरित पुन्हा साइन केले जाते आणि त्याचे अद्यतनित लॉगिंग होते (OS/बूट अपडेटनंतर आवश्यक), आणि आयुष्य चालू राहते.

बूटलोडर आणि त्याच्या विभागासाठी हॅशिंग पद्धतीची अंमलबजावणी

0) GRUB बूटलोडर/विभाजन प्रथम /media/username मध्ये माउंट करून त्यावर स्वाक्षरी करूया

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) आम्ही एन्क्रिप्टेड OS ~/podpis च्या रूटमध्ये विस्ताराशिवाय स्क्रिप्ट तयार करतो, त्यावर आवश्यक 744 सुरक्षा अधिकार आणि निर्दोष संरक्षण लागू करतो.

त्यातील सामग्री भरणे

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

पासून स्क्रिप्ट चालवा su, GRUB विभाजनाचे हॅशिंग आणि त्याचे बूटलोडर तपासले जाईल, लॉग जतन करा.

चला, उदाहरणार्थ, GRUB2 विभाजनावर “दुर्भावनायुक्त फाइल” [virus.mod] तयार करू किंवा कॉपी करू आणि तात्पुरती स्कॅन/चाचणी चालवू:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

सीएलआयने आमच्या गडावर आक्रमण पाहिले पाहिजे.# CLI मध्ये ट्रिम केलेला लॉग

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

# तुम्ही बघू शकता, “फाईल्स हलवल्या: 1 आणि ऑडिट अयशस्वी” दिसत आहे, याचा अर्थ चेक अयशस्वी झाला.
चाचणी केलेल्या विभाजनाच्या स्वरूपामुळे, “नवीन फायली सापडल्या” > “फायली हलविल्या” ऐवजी

2) येथे gif ठेवा > ~/warning.gif, परवानग्या 744 वर सेट करा.

3) बूटवर GRUB विभाजन स्वयं माऊंट करण्यासाठी fstab संरचीत करणे

-$ sudo nano /etc/fstab

LABEL=GRUB /media/username/GRUB ext4 डीफॉल्ट 0 0

4) लॉग फिरवत आहे

-$ sudo nano /etc/logrotate.d/podpis 

/var/log/podpis.txt {
दररोज
50 फिरवा
आकार 5 एम
तारीख
संक्षिप्त
विलंब कॉम्प्रेस
olddir /var/log/old
}

/var/log/vtorjenie.txt {
मासिक
5 फिरवा
आकार 5 एम
तारीख
olddir /var/log/old
}

5) क्रॉनमध्ये नोकरी जोडा

-$ sudo crontab -e

रिबूट '/सदस्यता'
0 */6 * * * '/podpis

6) कायम उपनावे तयार करणे

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

OS अपडेट केल्यानंतर -$ apt-get upgrade आमच्या GRUB विभाजनावर पुन्हा स्वाक्षरी करा
-$ подпись_GRUB
या टप्प्यावर, GRUB विभाजनाचे हॅशिंग संरक्षण पूर्ण झाले आहे.

[डी] पुसणे - एन्क्रिप्ट न केलेला डेटा नष्ट करणे

दक्षिण कॅरोलिनाचे प्रवक्ते ट्रे गौडी यांच्या म्हणण्यानुसार, तुमच्या वैयक्तिक फाइल्स इतक्या पूर्णपणे हटवा की "देवही त्या वाचू शकत नाही."

नेहमीप्रमाणे, तेथे विविध “पुराणकथा आणि दंतकथा", हार्ड ड्राइव्हवरून डेटा हटविल्यानंतर तो पुनर्संचयित करण्याबद्दल. तुमचा सायबरविचक्राफ्टवर विश्वास असल्यास, किंवा डॉ वेब समुदायाचे सदस्य असाल आणि ते हटवल्यानंतर/ओव्हरराईट झाल्यानंतर कधीही डेटा पुनर्प्राप्तीचा प्रयत्न केला नाही. (उदाहरणार्थ, आर-स्टुडिओ वापरून पुनर्प्राप्ती), तर प्रस्तावित पद्धत तुम्हाला अनुकूल असण्याची शक्यता नाही, तुमच्या सर्वात जवळचा वापर करा.

एनक्रिप्टेड विभाजनामध्ये GNU/Linux यशस्वीरित्या हस्तांतरित केल्यानंतर, डेटा पुनर्प्राप्तीच्या शक्यतेशिवाय जुनी प्रत हटविली जाणे आवश्यक आहे. युनिव्हर्सल क्लिनिंग पद्धत: विंडोज/लिनक्स फ्री GUI सॉफ्टवेअरसाठी सॉफ्टवेअर ब्लीचबिट.
वेगवान विभागाचे स्वरूपन करा, ज्यावरील डेटा नष्ट करणे आवश्यक आहे (Gparted मार्गे) ब्लीचबिट लाँच करा, "मोकळी जागा साफ करा" निवडा - विभाजन निवडा (GNU/Linux च्या मागील प्रतसह तुमचे sdaX), स्ट्रिपिंग प्रक्रिया सुरू होईल. ब्लीचबिट - एका पासमध्ये डिस्क पुसते - हेच "आम्हाला हवे आहे", पण! जर तुम्ही डिस्कचे स्वरूपन केले आणि BB v2.0 सॉफ्टवेअरमध्ये साफ केले तरच हे सिद्धांतानुसार कार्य करते.

खबरदारी! BB मेटाडेटा सोडून डिस्क पुसते; डेटा काढून टाकल्यावर फाइलची नावे जतन केली जातात (Ccleaner - मेटाडेटा सोडत नाही).

आणि डेटा पुनर्प्राप्तीच्या शक्यतेबद्दलची मिथक पूर्णपणे मिथक नाही.ब्लीचबिट V2.0-2 पूर्वीचे अस्थिर OS डेबियन पॅकेज (आणि इतर तत्सम सॉफ्टवेअर: sfill; wipe-Nautilus - देखील या घाणेरड्या व्यवसायात लक्षात आले होते) प्रत्यक्षात एक गंभीर बग होता: "फ्री स्पेस क्लिअरिंग" फंक्शन ते चुकीचे कार्य करते HDD/फ्लॅश ड्राइव्हवर (ntfs/ext4). या प्रकारचे सॉफ्टवेअर, मोकळी जागा साफ करताना, संपूर्ण डिस्क ओव्हरराईट करत नाही, जसे की बरेच वापरकर्ते विचार करतात. आणि काही (खूप) हटवलेला डेटा OS/सॉफ्टवेअर या डेटाला न हटवलेला/वापरकर्ता डेटा मानतो आणि “OSP” साफ करताना ते या फायली वगळते. समस्या अशी आहे की इतक्या दिवसांनी डिस्क साफ करणे "हटवलेल्या फायली" पुनर्प्राप्त केल्या जाऊ शकतात डिस्क पुसून 3+ पास झाल्यानंतरही.
Bleachbit वर GNU/Linux वर 2.0-2 फायली आणि निर्देशिका कायमस्वरूपी हटविण्याचे कार्य विश्वसनीयरित्या कार्य करतात, परंतु मोकळी जागा साफ करत नाहीत. तुलनेसाठी: CCleaner मधील Windows वर “NTFs साठी OSP” फंक्शन योग्यरित्या कार्य करते आणि देव खरोखरच हटवलेला डेटा वाचू शकणार नाही.

आणि म्हणून, नख काढण्यासाठी "तडजोड करणारा" जुना एनक्रिप्टेड डेटा, ब्लीचबिटला या डेटामध्ये थेट प्रवेश आवश्यक आहे, नंतर, "कायमस्वरूपी फाइल्स/डिरेक्टरी हटवा" फंक्शन वापरा.
Windows मधील “स्टँडर्ड OS टूल्स वापरून हटवलेल्या फाईल्स” काढून टाकण्यासाठी, “OSP” फंक्शनसह CCleaner/BB वापरा. GNU/Linux मध्ये या समस्येवर (हटवलेल्या फाइल्स हटवा) तुम्हाला स्वतः सराव करणे आवश्यक आहे (डेटा हटवणे + तो पुनर्संचयित करण्याचा स्वतंत्र प्रयत्न आणि आपण सॉफ्टवेअर आवृत्तीवर अवलंबून राहू नये (बुकमार्क नसल्यास, बग)), केवळ या प्रकरणात आपण या समस्येची यंत्रणा समजून घेण्यास आणि हटविलेल्या डेटापासून पूर्णपणे मुक्त होण्यास सक्षम असाल.

मी Bleachbit v3.0 ची चाचणी केलेली नाही, समस्या आधीच निश्चित केली गेली आहे.
Bleachbit v2.0 प्रामाणिकपणे कार्य करते.

या चरणावर, डिस्क पुसणे पूर्ण झाले आहे.

[ई] एनक्रिप्टेड OS चा युनिव्हर्सल बॅकअप

प्रत्येक वापरकर्त्याकडे डेटाचा बॅकअप घेण्याची स्वतःची पद्धत असते, परंतु कूटबद्ध केलेल्या सिस्टम OS डेटाला कार्यासाठी थोडा वेगळा दृष्टिकोन आवश्यक असतो. युनिफाइड सॉफ्टवेअर, जसे की क्लोनझिला आणि तत्सम सॉफ्टवेअर, एनक्रिप्टेड डेटासह थेट कार्य करू शकत नाहीत.

एनक्रिप्टेड ब्लॉक उपकरणांचा बॅकअप घेण्याच्या समस्येचे विधान:

1. सार्वत्रिकता - विंडोज/लिनक्ससाठी समान बॅकअप अल्गोरिदम/सॉफ्टवेअर;
2. अतिरिक्त सॉफ्टवेअर डाउनलोड न करता कोणत्याही थेट यूएसबी जीएनयू/लिनक्ससह कन्सोलमध्ये कार्य करण्याची क्षमता (परंतु तरीही GUI ची शिफारस करा);
3. बॅकअप प्रतींची सुरक्षा - संग्रहित "प्रतिमा" एनक्रिप्टेड/पासवर्ड-संरक्षित असणे आवश्यक आहे;
4. एनक्रिप्टेड डेटाचा आकार कॉपी केल्या जात असलेल्या वास्तविक डेटाच्या आकाराशी संबंधित असणे आवश्यक आहे;
5. बॅकअप कॉपीमधून आवश्यक फाइल्सचे सोयीस्कर निष्कर्षण (प्रथम संपूर्ण विभाग डिक्रिप्ट करण्याची आवश्यकता नाही).

उदाहरणार्थ, “dd” युटिलिटीद्वारे बॅकअप/रिस्टोअर

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

हे कार्याच्या जवळजवळ सर्व बिंदूंशी संबंधित आहे, परंतु पॉइंट 4 नुसार ते टीकेला सामोरे जात नाही, कारण ते रिक्त जागेसह संपूर्ण डिस्क विभाजन कॉपी करते - मनोरंजक नाही.

उदाहरणार्थ, आर्काइव्हर [tar" | द्वारे GNU/Linux बॅकअप gpg] सोयीस्कर आहे, परंतु Windows बॅकअपसाठी आपल्याला दुसरा उपाय शोधण्याची आवश्यकता आहे - ते मनोरंजक नाही.

E1. युनिव्हर्सल विंडोज/लिनक्स बॅकअप. लिंक rsync (Grsync)+VeraCrypt व्हॉल्यूमबॅकअप प्रत तयार करण्यासाठी अल्गोरिदम:

1. एनक्रिप्टेड कंटेनर तयार करणे (खंड/फाइल) OS साठी VeraCrypt;
2. VeraCrypt क्रिप्टो कंटेनरमध्ये Rsync सॉफ्टवेअर वापरून OS हस्तांतरित/सिंक्रोनाइझ करा;
3. आवश्यक असल्यास, VeraCrypt व्हॉल्यूम www वर अपलोड करणे.

एनक्रिप्टेड VeraCrypt कंटेनर तयार करण्याची स्वतःची वैशिष्ट्ये आहेत:
डायनॅमिक व्हॉल्यूम तयार करणे (डीटीची निर्मिती फक्त विंडोजमध्ये उपलब्ध आहे, जीएनयू/लिनक्समध्ये देखील वापरली जाऊ शकते);
नियमित व्हॉल्यूम तयार करणे, परंतु "पॅरानॉइड कॅरेक्टर" ची आवश्यकता आहे (विकासकाच्या मते) - कंटेनर स्वरूपन.

विंडोजमध्ये डायनॅमिक व्हॉल्यूम जवळजवळ त्वरित तयार केला जातो, परंतु GNU/Linux > VeraCrypt DT वरून डेटा कॉपी करताना, बॅकअप ऑपरेशनची एकूण कामगिरी लक्षणीयरीत्या कमी होते.

नियमित 70 जीबी टूफिश व्हॉल्यूम तयार केला जातो (आपण फक्त सांगू, सरासरी पीसी पॉवरवर) HDD ~ अर्ध्या तासात (मागील कंटेनर डेटा एका पासमध्ये ओव्हरराइट करणे सुरक्षा आवश्यकतांमुळे आहे). व्हॉल्यूम तयार करताना त्वरीत स्वरूपित करण्याचे कार्य VeraCrypt Windows/Linux मधून काढून टाकण्यात आले आहे, म्हणून कंटेनर तयार करणे केवळ "वन-पास पुनर्लेखन" किंवा कमी-कार्यक्षमता डायनॅमिक व्हॉल्यूम तयार करून शक्य आहे.

नियमित VeraCrypt व्हॉल्यूम तयार करा (डायनॅमिक/एनटीएफएस नाही), कोणतीही समस्या नसावी.

VeraCrypt GUI> GNU/Linux live usb मध्ये कंटेनर कॉन्फिगर/तयार/उघडा (वॉल्यूम /media/veracrypt2 वर स्वयंचलित केले जाईल, Windows OS व्हॉल्यूम /media/veracrypt1 वर माउंट केले जाईल). GUI rsync वापरून Windows OS चा एन्क्रिप्टेड बॅकअप तयार करणे (grsync)बॉक्स चेक करून.

प्रक्रिया पूर्ण होण्याची प्रतीक्षा करा. बॅकअप पूर्ण झाल्यावर, आमच्याकडे एक एनक्रिप्टेड फाइल असेल.

त्याचप्रमाणे, rsync GUI मधील “Windows compatibility” चेकबॉक्स अनचेक करून GNU/Linux OS ची बॅकअप प्रत तयार करा.

खबरदारी! फाइल सिस्टममध्ये “GNU/Linux बॅकअप” साठी Veracrypt कंटेनर तयार करा ext4. तुम्ही ntfs कंटेनरवर बॅकअप घेतल्यास, जेव्हा तुम्ही अशी प्रत पुनर्संचयित कराल, तेव्हा तुम्ही तुमच्या सर्व डेटाचे सर्व अधिकार/समूह गमावाल.

तुम्ही टर्मिनलमध्ये सर्व ऑपरेशन्स करू शकता. rsync साठी मूलभूत पर्याय:
* -g -समूह जतन करा;
* -P —प्रगती — फाइलवर काम करताना घालवलेल्या वेळेची स्थिती;
* -H - हार्डलिंक्स जसेच्या तसे कॉपी करा;
* -a -संग्रहण मोड (एकाधिक rlptgoD ध्वज);
* -v -शब्दीकरण.

तुम्हाला क्रिप्टसेटअप सॉफ्टवेअरमध्ये कन्सोलद्वारे “Windows VeraCrypt व्हॉल्यूम” माउंट करायचे असल्यास, तुम्ही उपनाव (su) तयार करू शकता.

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

आता "व्हेरामाउंट पिक्चर्स" कमांड तुम्हाला सांकेतिक वाक्यांश प्रविष्ट करण्यास सूचित करेल आणि एनक्रिप्टेड विंडोज सिस्टम व्हॉल्यूम OS मध्ये माउंट केले जाईल.

क्रिप्टसेटअप कमांडमध्ये मॅप/माउंट व्हेराक्रिप्ट सिस्टम व्हॉल्यूम

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

क्रिप्टसेटअप कमांडमध्ये मॅप/माउंट व्हेराक्रिप्ट विभाजन/कंटेनर

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

उपनाव ऐवजी, आम्ही GNU/Linux स्टार्टअपमध्ये Windows OS सह सिस्टम व्हॉल्यूम आणि लॉजिकल एनक्रिप्टेड ntfs डिस्क (स्टार्टअपसाठी स्क्रिप्ट) जोडू.

स्क्रिप्ट तयार करा आणि ~/VeraOpen.sh मध्ये सेव्ह करा

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

आम्ही "योग्य" अधिकार वितरित करतो:

sudo chmod 100 /VeraOpen.sh

/etc/rc.local आणि ~/etc/init.d/rc.local मध्ये दोन एकसारख्या फाइल्स (समान नाव!) तयार करा
फाईल्स भरत आहे

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

आम्ही "योग्य" अधिकार वितरित करतो:

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local 

इतकेच, आता GNU/Linux लोड करताना एनक्रिप्टेड ntfs डिस्क्स माउंट करण्यासाठी आम्हाला पासवर्ड टाकण्याची गरज नाही, डिस्क आपोआप माउंट केल्या जातात.

वरील परिच्छेद E1 मध्ये चरण-दर-चरण काय वर्णन केले आहे याबद्दल थोडक्यात एक टीप (परंतु आता OS GNU/Linux साठी)
1) Veracrypt [Cryptbox] मध्ये fs ext4 > 4gb (फाइलसाठी) Linux मध्ये व्हॉल्यूम तयार करा.
२) लाइव्ह यूएसबी रीबूट करा.
3) ~$ क्रिप्टसेटअप उघडा /dev/sda7 Lunux #mapping एनक्रिप्टेड विभाजन.
४) ~$ mount /dev/mapper/Linux /mnt #एनक्रिप्ट केलेले विभाजन /mnt वर माउंट करा.
5) ~$ mkdir mnt2 #भविष्यातील बॅकअपसाठी निर्देशिका तयार करणे.
6) ~$ क्रिप्टसेटअप उघडा —veracrypt —प्रकार tcrypt ~/CryptoBox CryptoBox && mount /dev/mapper/CryptoBox /mnt2 # “CryptoBox” नावाच्या Veracrypt व्हॉल्यूमचा नकाशा बनवा आणि CryptoBox ला /mnt2 वर माउंट करा.
7) ~$ rsync -avlxhHX —progress /mnt /mnt2/ #बॅकअप ऑपरेशन एनक्रिप्टेड विभाजनाचे एनक्रिप्टेड Veracrypt व्हॉल्यूममध्ये.

(p/s/ खबरदारी! जर तुम्ही एनक्रिप्टेड GNU/Linux एका आर्किटेक्चर/मशीनमधून दुसऱ्याकडे हस्तांतरित करत असाल, उदाहरणार्थ, Intel > AMD (म्हणजे एका एनक्रिप्टेड विभाजनातून दुसऱ्या एनक्रिप्टेड Intel > AMD विभाजनावर बॅकअप तैनात करणे), विसरू नको एनक्रिप्टेड OS हस्तांतरित केल्यानंतर, पासवर्डऐवजी गुप्त पर्याय की संपादित करा, कदाचित. मागील की ~/etc/skey - यापुढे दुसर्‍या एनक्रिप्टेड विभाजनात बसणार नाही, आणि chroot अंतर्गत नवीन की "cryptsetup luksAddKey" तयार करणे उचित नाही - एक चूक शक्य आहे, फक्त ~/etc/crypttab मध्ये त्याऐवजी निर्दिष्ट करा “/etc/skey” तात्पुरते “काहीही नाही” ", रीबोट केल्यानंतर आणि OS मध्ये लॉग इन केल्यानंतर, तुमची गुप्त वाइल्डकार्ड की पुन्हा तयार करा).

IT दिग्गज म्हणून, एनक्रिप्टेड Windows/Linux OS विभाजनांच्या शीर्षलेखांचा स्वतंत्रपणे बॅकअप घेण्याचे लक्षात ठेवा, अन्यथा कूटबद्धीकरण तुमच्या विरुद्ध होईल.
या चरणावर, एनक्रिप्टेड OS चा बॅकअप पूर्ण झाला आहे.

[F] GRUB2 बूटलोडरवर हल्ला

तपशीलजर तुम्ही तुमच्या बूटलोडरला डिजिटल स्वाक्षरी आणि/किंवा प्रमाणीकरणाने संरक्षित केले असेल (बिंदू C6 पहा.), तर हे भौतिक प्रवेशापासून संरक्षण करणार नाही. कूटबद्ध केलेला डेटा अद्याप प्रवेश करण्यायोग्य असेल, परंतु संरक्षण बायपास केले जाईल (डिजिटल स्वाक्षरी संरक्षण रीसेट करा) GRUB2 सायबर-खलनायकाला संशय न घेता त्याचा कोड बूटलोडरमध्ये इंजेक्ट करण्याची परवानगी देतो (जोपर्यंत वापरकर्ता स्वतः बूटलोडर स्थितीचे निरीक्षण करत नाही, किंवा grub.cfg साठी त्यांच्या स्वत: च्या मजबूत अनियंत्रित-स्क्रिप्ट कोडसह येत नाही).

हल्ला अल्गोरिदम. घुसखोर

* लाइव्ह यूएसबीवरून पीसी बूट करते. कोणताही बदल (उल्लंघन करणारा) फाईल्स पीसीच्या वास्तविक मालकाला बूटलोडरमध्ये घुसखोरीबद्दल सूचित करतील. परंतु grub.cfg ठेवून GRUB2 ची एक साधी पुनर्स्थापना (आणि ते संपादित करण्याची त्यानंतरची क्षमता) आक्रमणकर्त्याला कोणत्याही फायली संपादित करण्यास अनुमती देईल (या परिस्थितीत, GRUB2 लोड करताना, वास्तविक वापरकर्त्यास सूचित केले जाणार नाही. स्थिती समान आहे <0>)
* एनक्रिप्ट न केलेले विभाजन माउंट करते, “/mnt/boot/grub/grub.cfg” संग्रहित करते.
* बूटलोडर पुन्हा स्थापित करते (core.img प्रतिमेतून "पर्स्की" काढून टाकत आहे)

grub-install --force --root-directory=/mnt /dev/sda6

* “grub.cfg” > “/mnt/boot/grub/grub.cfg” परत करते, आवश्यक असल्यास ते संपादित करते, उदाहरणार्थ, तुमचे मॉड्यूल “keylogger.mod” लोडर मॉड्यूलसह ​​फोल्डरमध्ये “grub.cfg” मध्ये जोडणे. > ओळ "insmod keylogger". किंवा, उदाहरणार्थ, शत्रू धूर्त असल्यास, GRUB2 पुन्हा स्थापित केल्यानंतर (सर्व स्वाक्षर्‍या जागीच राहतील) ते "grub-mkimage with option (-c)" वापरून मुख्य GRUB2 प्रतिमा तयार करते. "-c" पर्याय तुम्हाला मुख्य "grub.cfg" लोड करण्यापूर्वी तुमची कॉन्फिगरेशन लोड करण्याची परवानगी देईल. कॉन्फिगरेशनमध्ये फक्त एक ओळ असू शकते: कोणत्याही “modern.cfg” वर पुनर्निर्देशन, मिश्रित, उदाहरणार्थ, ~ 400 फाइल्ससह (मॉड्यूल+स्वाक्षरी) "/boot/grub/i386-pc" फोल्डरमध्ये. या प्रकरणात, आक्रमणकर्ता "/boot/grub/grub.cfg" वर परिणाम न करता अनियंत्रित कोड घालू शकतो आणि मॉड्यूल लोड करू शकतो, जरी वापरकर्त्याने फाइलवर "हॅशसम" लागू केले आणि स्क्रीनवर तात्पुरते प्रदर्शित केले तरीही.
आक्रमणकर्त्याला GRUB2 सुपरयुजर लॉगिन/पासवर्ड हॅक करण्याची आवश्यकता नाही; त्याला फक्त ओळी कॉपी करणे आवश्यक आहे (प्रमाणीकरणासाठी जबाबदार) तुमच्या "modern.cfg" वर "/boot/grub/grub.cfg"

superusers="root" सेट करा
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

आणि PC मालक अजूनही GRUB2 सुपरयुझर म्हणून प्रमाणीकृत केला जाईल.

साखळी लोडिंग (बूटलोडर दुसरा बूटलोडर लोड करतो), मी वर लिहिल्याप्रमाणे, अर्थ नाही (हे वेगळ्या उद्देशासाठी आहे). BIOS मुळे एनक्रिप्टेड बूटलोडर लोड करता येत नाही (चेन बूट रीस्टार्ट GRUB2 > एनक्रिप्टेड GRUB2, त्रुटी!). तथापि, आपण अद्याप साखळी लोडिंगची कल्पना वापरत असल्यास, आपण खात्री बाळगू शकता की ते एनक्रिप्टेड आहे जे लोड केले जात आहे. (आधुनिक नाही) एनक्रिप्टेड विभाजनातून "grub.cfg". आणि ही सुरक्षिततेची खोटी भावना देखील आहे, कारण एनक्रिप्टेड "grub.cfg" मध्ये दर्शविलेली प्रत्येक गोष्ट (मॉड्यूल लोडिंग) एनक्रिप्ट न केलेल्या GRUB2 वरून लोड केलेल्या मॉड्यूल्सपर्यंत जोडते.

जर तुम्हाला हे तपासायचे असेल, तर दुसरे विभाजन sdaY वाटप/एनक्रिप्ट करा, GRUB2 कॉपी करा. (एनक्रिप्टेड विभाजनावर grub-install ऑपरेशन शक्य नाही) आणि "grub.cfg" मध्ये (एनक्रिप्टेड कॉन्फिगरेशन) अशा ओळी बदला

मेनूएंट्री 'GRUBx2' --class पोपट --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
लोड_व्हिडिओ
insmod gzio
जर [ x$grub_platform = xxen]; नंतर insmod xzio; insmod lzopio; fi
insmod part_msdos
insmod क्रिप्टोडिस्क
insmod लक्स
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
सामान्य /boot/grub/grub.cfg
}

तार
* insmod - एनक्रिप्टेड डिस्कसह कार्य करण्यासाठी आवश्यक मॉड्यूल लोड करणे;
* GRUBx2 - GRUB2 बूट मेनूमध्ये प्रदर्शित केलेल्या ओळीचे नाव;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -पहा. fdisk -l (sda9);
* रूट सेट करा - रूट स्थापित करा;
* सामान्य /boot/grub/grub.cfg - एनक्रिप्टेड विभाजनावर एक्झिक्युटेबल कॉन्फिगरेशन फाइल.

GRUB मेनूमध्‍ये "GRUBx2" ही ओळ निवडताना पासवर्ड टाकण्‍यास/अनलॉक करण्‍यास/अनलॉक करण्‍यास "grub.cfg" हा एनक्रिप्‍ट केलेला "grub.cfg" आहे हा आत्मविश्वास.

CLI मध्ये काम करताना, गोंधळ होऊ नये म्हणून (आणि "सेट रूट" पर्यावरण व्हेरिएबल काम करत आहे का ते तपासा), रिक्त टोकन फाइल्स तयार करा, उदाहरणार्थ, एनक्रिप्टेड विभागात “/shifr_grub”, अनएनक्रिप्टेड विभागात “/noshifr_grub”. CLI तपासत आहे

cat /Tab-Tab

वर नमूद केल्याप्रमाणे, जर असे मॉड्युल तुमच्या PC वर संपले तर दुर्भावनापूर्ण मॉड्युल डाउनलोड करण्यापासून हे मदत करणार नाही. उदाहरणार्थ, एक कीलॉगर जो फाइलमध्ये कीस्ट्रोक जतन करण्यास सक्षम असेल आणि "~/i386" मधील इतर फायलींसह ते पीसीमध्ये भौतिक प्रवेशासह आक्रमणकर्त्याद्वारे डाउनलोड करेपर्यंत ते मिक्स करू शकेल.

डिजिटल स्वाक्षरी संरक्षण सक्रियपणे कार्यरत आहे हे सत्यापित करण्याचा सर्वात सोपा मार्ग (रीसेट नाही), आणि कोणीही बूटलोडरवर आक्रमण केले नाही, CLI मध्ये कमांड प्रविष्ट करा

list_trusted

प्रतिसादात आम्हाला आमच्या "पर्स्की" ची प्रत मिळते किंवा आमच्यावर हल्ला झाल्यास आम्हाला काहीही मिळत नाही (तुम्हाला "सेट check_signatures=enforce" देखील तपासावे लागेल).
या पायरीचा एक महत्त्वाचा तोटा म्हणजे आदेश स्वहस्ते प्रविष्ट करणे. जर तुम्ही ही आज्ञा “grub.cfg” मध्ये जोडली आणि डिजिटल स्वाक्षरीने कॉन्फिगचे संरक्षण केले, तर स्क्रीनवरील की स्नॅपशॉटचे प्राथमिक आउटपुट वेळेत खूपच कमी आहे आणि GRUB2 लोड केल्यानंतर तुम्हाला आउटपुट पाहण्यासाठी वेळ नसेल. .
दावे करण्यासाठी विशेषत: कोणीही नाही: त्याच्यामध्ये विकासक दस्तऐवजीकरण कलम 18.2 अधिकृतपणे घोषित करते

“लक्षात ठेवा की GRUB पासवर्ड संरक्षणासह, GRUB स्वतः मशीनमध्ये भौतिक प्रवेश असलेल्या एखाद्याला मशीनचे फर्मवेअर (उदा. Coreboot किंवा BIOS) कॉन्फिगरेशन बदलण्यापासून रोखू शकत नाही ज्यामुळे मशीनला वेगळ्या (हल्लाखोर-नियंत्रित) डिव्हाइसवरून बूट होऊ शकते. सुरक्षित बूट शृंखलामध्ये GRUB हा फक्त एकच दुवा आहे."

GRUB2 फंक्शन्सने खूप ओव्हरलोड केलेले आहे जे खोट्या सुरक्षिततेची भावना देऊ शकते, आणि त्याच्या विकासाने कार्यक्षमतेच्या बाबतीत MS-DOS ला आधीच मागे टाकले आहे, परंतु ते फक्त एक बूटलोडर आहे. हे मजेदार आहे की GRUB2 - "उद्या" OS बनू शकते आणि त्यासाठी बूट करण्यायोग्य GNU/Linux व्हर्च्युअल मशीन बनू शकतात.

मी GRUB2 डिजिटल स्वाक्षरी संरक्षण कसे रीसेट केले आणि वास्तविक वापरकर्त्यासाठी माझी घुसखोरी कशी घोषित केली याबद्दल एक लहान व्हिडिओ (मी तुम्हाला घाबरवले, परंतु व्हिडिओमध्ये जे दाखवले आहे त्याऐवजी तुम्ही नॉन-हार्मलेस अनियंत्रित कोड/.mod लिहू शकता).

निष्कर्ष:

1) Windows साठी ब्लॉक सिस्टम एन्क्रिप्शन लागू करणे सोपे आहे, आणि GNU/Linux ब्लॉक सिस्टम एन्क्रिप्शनसह अनेक पासवर्डसह संरक्षण करण्यापेक्षा एका पासवर्डसह संरक्षण अधिक सोयीचे आहे, योग्यरित्या: नंतरचे स्वयंचलित आहे.

२) मी लेख समर्पक आणि तपशीलवार लिहिला आहे सोपे पूर्ण-डिस्क एन्क्रिप्शन VeraCrypt/LUKS साठी मार्गदर्शक एका घराच्या मशीनवर, जे RuNet (IMHO) मध्ये आतापर्यंत सर्वोत्तम आहे. मार्गदर्शक > 50k वर्ण लांब आहे, त्यामुळे त्यात काही मनोरंजक प्रकरणे समाविष्ट नाहीत: क्रिप्टोग्राफर जे अदृश्य होतात/सावलीत ठेवतात; विविध GNU/Linux पुस्तकांमध्ये ते क्रिप्टोग्राफीबद्दल थोडे लिहित/लिहित नाहीत या वस्तुस्थितीबद्दल; रशियन फेडरेशनच्या संविधानाच्या अनुच्छेद 51 बद्दल; ओ परवाना/बंदी रशियन फेडरेशनमध्ये एन्क्रिप्शन, तुम्हाला “रूट/बूट” एन्क्रिप्ट का करावे लागेल याबद्दल. मार्गदर्शक बरेच विस्तृत, परंतु तपशीलवार असल्याचे दिसून आले. (अगदी सोप्या चरणांचे वर्णन करणे), या बदल्यात, जेव्हा तुम्ही "वास्तविक एन्क्रिप्शन" वर पोहोचता तेव्हा हे तुमचा बराच वेळ वाचवेल.

3) पूर्ण डिस्क एन्क्रिप्शन Windows 7 64 वर केले गेले; GNU/Linux पोपट 4x; GNU/डेबियन 9.0/9.5.

4) वर यशस्वी हल्ला केला त्याच्या GRUB2 बूटलोडर.

5) CIS मधील सर्व अलौकिक लोकांना मदत करण्यासाठी ट्यूटोरियल तयार केले गेले होते, जेथे विधान स्तरावर एन्क्रिप्शनसह काम करण्याची परवानगी आहे. आणि प्रामुख्याने त्यांच्यासाठी ज्यांना त्यांची कॉन्फिगर केलेली प्रणाली नष्ट न करता पूर्ण-डिस्क एनक्रिप्शन रोल आउट करायचे आहे.

6) माझे मॅन्युअल पुन्हा तयार केले आणि अपडेट केले, जे 2020 मध्ये संबंधित आहे.

[जी] उपयुक्त दस्तऐवजीकरण

1. TrueCrypt वापरकर्ता मार्गदर्शक (फेब्रुवारी 2012 RU)
2. VeraCrypt दस्तऐवजीकरण
3. /usr/share/doc/cryptsetup(-run) [स्थानिक संसाधन] (क्रिप्टसेटअप वापरून GNU/Linux एनक्रिप्शन सेट करण्याबद्दल अधिकृत तपशीलवार दस्तऐवजीकरण)
4. अधिकृत FAQ क्रिप्टसेटअप (क्रिप्टसेटअप वापरून GNU/Linux कूटबद्धीकरण सेट करण्यासाठी संक्षिप्त दस्तऐवज)
5. LUKS डिव्हाइस एन्क्रिप्शन (archlinux दस्तऐवजीकरण)
6. क्रिप्टसेटअप सिंटॅक्सचे तपशीलवार वर्णन (आर्क मॅन पेज)
7. क्रिप्टटॅबचे तपशीलवार वर्णन (आर्क मॅन पेज)
8. अधिकृत GRUB2 दस्तऐवजीकरण.

टॅग्ज: संपूर्ण डिस्क एन्क्रिप्शन, विभाजन एन्क्रिप्शन, लिनक्स पूर्ण डिस्क एन्क्रिप्शन, LUKS1 पूर्ण सिस्टम एन्क्रिप्शन.

केवळ नोंदणीकृत वापरकर्तेच सर्वेक्षणात भाग घेऊ शकतात. साइन इन करा, आपले स्वागत आहे.

तुम्ही एन्क्रिप्ट करत आहात?

• 17,1%मी जे काही करू शकतो ते मी एन्क्रिप्ट करतो. मी पागल आहे.14

• 34,2%मी फक्त महत्वाचा डेटा एन्क्रिप्ट करतो.28

• 14,6%कधी मी एन्क्रिप्ट करतो, कधी विसरतो.१२

• 34,2%नाही, मी एन्क्रिप्ट करत नाही, ते गैरसोयीचे आणि महाग आहे.28

82 वापरकर्त्यांनी मतदान केले. 22 वापरकर्ते दूर राहिले.

स्त्रोत: www.habr.com