🥇Kodifikazzjoni tad-diska sħiħa tas-sistemi installati tal-Windows Linux. Multiboot Encrypted

Gwida proprja aġġornata għall-kriptaġġ tad-disk sħiħ f'RuNet V0.2.

Strateġija tal-cowboy:

[A] Il-kriptaġġ tal-blokk tas-sistema Windows 7 tas-sistema installata;
[B] Encryption tal-blokki tas-sistema GNU/Linux (Debian) sistema installata (inkluż /boot);
[C] Konfigurazzjoni GRUB2, protezzjoni bootloader b'firma diġitali/awtentikazzjoni/hashing;
[D] tqaxxir—qerda ta' data mhux kriptata;
[E] backup universali ta' OS encrypted;
[F] attakk mira - bootloader GRUB6;
[G]dokumentazzjoni utli.

╭───Skema ta' #kamra 40# :
├──╼ Windows 7 installat - kriptaġġ tas-sistema sħiħa, mhux moħbi;
├──╼ GNU/Linux installat (Debian u distribuzzjonijiet derivattivi) — encryption tas-sistema sħiħa, mhux moħbija(/, inkluż /boot; tpartit);
├──╼ bootloaders indipendenti: VeraCrypt bootloader huwa installat fl-MBR, bootloader GRUB2 huwa installat fil-partizzjoni estiża;
├──╼l-ebda installazzjoni/installazzjoni mill-ġdid OS meħtieġa;
└──╼Software kriptografiku użat: VeraCrypt; Cryptsetup; GnuPG; Żiemel tal-baħar; Hashdeep; GRUB2 huwa b'xejn/b'xejn.

L-iskema ta 'hawn fuq issolvi parzjalment il-problema ta' "boot remot għal flash drive", tippermettilek tgawdi OS Windows/Linux encrypted u tiskambja data permezz ta '"kanal encrypted" minn OS għal ieħor.

Ordni tal-boot tal-PC (waħda mill-għażliet):

tixgħel il-magna;
tagħbija tal-bootloader VeraCrypt (li ddaħħal il-password korretta se tkompli tibbotja Windows 7);
meta tagħfas iċ-ċavetta "Esc" tgħabbi l- boot loader GRUB2;
Boot loader GRUB2 (agħżel id-distribuzzjoni/GNU/Linux/CLI), se teħtieġ awtentikazzjoni tas-superuser GRUB2 ;
wara awtentikazzjoni b'suċċess u għażla tad-distribuzzjoni, ser ikollok bżonn li ddaħħal passphrase biex tiftaħ "/boot/initrd.img";
wara li ddaħħal passwords mingħajr żbalji, GRUB2 "jeħtieġ" dħul tal-password (it-tielet, password tal-BIOS jew password tal-kont tal-utent GNU/Linux – ma tikkunsidrax) biex jinfetaħ u boot GNU/Linux OS, jew sostituzzjoni awtomatika ta 'ċavetta sigrieta (żewġ passwords + ċavetta, jew password + ċavetta);
intrużjoni esterna fil-konfigurazzjoni GRUB2 se tiffriża l-proċess tal-boot GNU/Linux.

Inkwetanti? Ok, ejja nawtomatjaw il-proċessi.

Meta partizzjoni hard drive (Tabella MBR) PC jista' jkollu mhux aktar minn 4 diviżorji prinċipali, jew 3 prinċipali u wieħed estiż, kif ukoll żona mhux allokata. Sezzjoni estiża, b'differenza minn dik prinċipali, jista' jkun fiha subsezzjonijiet (drives loġiċi=partizzjoni estiża). Fi kliem ieħor, il-"partizzjoni estiża" fuq l-HDD tissostitwixxi l-LVM għall-kompitu inkwistjoni: encryption tas-sistema sħiħa. Jekk id-disk tiegħek huwa maqsum f'4 diviżorji prinċipali, għandek bżonn tuża lvm, jew tittrasforma (bil-formattjar) sezzjoni minn prinċipali għal avvanzata, jew uża b'mod għaqli l-erba 'taqsimiet u ħalli kollox kif inhu, billi tikseb ir-riżultat mixtieq. Anke jekk għandek partizzjoni waħda fuq id-diska tiegħek, Gparted jgħinek tiddividi l-HDD tiegħek (għal sezzjonijiet addizzjonali) mingħajr telf ta' data, iżda xorta waħda b'penali żgħira għal azzjonijiet bħal dawn.

L-iskema tat-tqassim tal-hard drive, li fir-rigward tagħha se jiġi verbalizzat l-artikolu kollu, hija ppreżentata fit-tabella hawn taħt.

Tabella (Nru. 1) ta 'diviżorji 1TB.

Għandu jkollok xi ħaġa simili wkoll.
sda1 - partizzjoni prinċipali Nru 1 NTFS (kriptat);
sda2 - markatur ta 'sezzjoni estiża;
sda6 - disk loġiku (għandu l-bootloader GRUB2 installat);
sda8 - tpartit (fajl ta' tpartit encrypted/mhux dejjem);
sda9 - test tad-disk loġiku;
sda5 - disk loġiku għall-kurjuż;
sda7 - GNU/Linux OS (OS trasferit għal disk loġiku encrypted);
sda3 - partizzjoni prinċipali Nru 2 bil-Windows 7 OS (kodifikat);
sda4 - sezzjoni prinċipali Nru 3 (fiha GNU/Linux mhux kriptat, użat għall-backup/mhux dejjem).

[A] Windows 7 System Block Encryption

A1. VeraCrypt

Niżżel minn sit uffiċjali, jew mill-mera sorsforge verżjoni tal-installazzjoni tas-softwer kriptografiku VeraCrypt (fil-ħin tal-pubblikazzjoni tal-artikolu v1.24-Update3, il-verżjoni portabbli ta 'VeraCrypt mhix adattata għall-encryption tas-sistema). Iċċekkja l-checksum tas-softwer imniżżel

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

u qabbel ir-riżultat mas-CS imqiegħed fuq il-websajt tal-iżviluppatur VeraCrypt.

Jekk is-softwer HashTab huwa installat, huwa saħansitra aktar faċli: RMB (VeraCrypt Setup 1.24.exe)-properties - somma hash ta 'fajls.

Biex tivverifika l-firma tal-programm, is-softwer u ċ-ċavetta pgp pubblika tal-iżviluppatur għandhom jiġu installati fis-sistema gnuPG; gpg4win.

A2. Installazzjoni/tħaddim ta' softwer VeraCrypt bi drittijiet ta' amministratur

A3. Għażla tal-parametri tal-kriptaġġ tas-sistema għall-partizzjoni attivaVeraCrypt – Sistema – Kriptaġġ partizzjoni/diska tas-sistema – Normali – Kriptaġġ partizzjoni tas-sistema Windows – Multiboot – (twissija: "Utenti mingħajr esperjenza mhumiex rakkomandati li jużaw dan il-metodu" u dan huwa minnu, naqblu "Iva") – Diska tal-ibbutjar (“iva”, anki jekk mhux hekk, xorta waħda “iva”) – Numru ta’ diski tas-sistema “2 jew aktar” – Diversi sistemi fuq diska waħda “Iva” – Boot loader mhux tal-Windows “Le” (fil-fatt, "Iva," iżda l-boot loaders VeraCrypt/GRUB2 mhux se jaqsmu l-MBR bejniethom; b'mod aktar preċiż, l-iżgħar parti biss tal-kodiċi tal-boot loader hija maħżuna fl-MBR/boot track, il-parti prinċipali tagħha hija jinsabu fis-sistema tal-fajls) – Multiboot – Issettjar tal-kriptaġġ...

Jekk tiddevja mill-passi ta' hawn fuq (skemi ta' kriptaġġ tas-sistema ta' blokk), imbagħad VeraCrypt joħroġ twissija u ma jippermettilekx tikkodifika l-partizzjoni.

Fil-pass li jmiss lejn il-protezzjoni tad-dejta mmirata, agħmel "Test" u agħżel algoritmu ta' kriptaġġ. Jekk għandek CPU skadut, allura x'aktarx l-algoritmu tal-kriptaġġ l-aktar mgħaġġel ikun Twofish. Jekk is-CPU huwa b'saħħtu, tinnota d-differenza: l-encryption AES, skont ir-riżultati tat-test, se tkun bosta drabi aktar mgħaġġla mill-kompetituri kripto tagħha. AES huwa algoritmu ta' kriptaġġ popolari; il-ħardwer tas-CPUs moderni huwa ottimizzat b'mod speċjali kemm għal "sigriet" kif ukoll għal "hacking".

VeraCrypt jappoġġja l-abbiltà li tikkodifika diski f'kaskata AES(Żewġ ħutiet)/ u kombinazzjonijiet oħra. Fuq CPU Intel qalba qodma minn għaxar snin ilu (mingħajr appoġġ għall-ħardwer għal AES, encryption kaskata A/T) It-tnaqqis fil-prestazzjoni huwa essenzjalment imperċettibbli. (Għal CPUs AMD tal-istess era/~parametri, il-prestazzjoni hija mnaqqsa kemmxejn). L-OS jaħdem b'mod dinamiku u l-konsum tar-riżorsi għal kriptaġġ trasparenti huwa inviżibbli. B'kuntrast, pereżempju, hemm tnaqqis notevoli fil-prestazzjoni minħabba l-ambjent tad-desktop tat-test instabbli installat Mate v1.20.1 (jew v1.20.2 ma niftakarx eżatt) f'GNU/Linux, jew minħabba t-tħaddim tar-rutina tat-telemetrija fil-Windows7↑. Tipikament, utenti b'esperjenza jwettqu testijiet tal-prestazzjoni tal-ħardwer qabel l-encryption. Pereżempju, f'Aida64/Sysbench/systemd-analyze it-tort jitqabbel mar-riżultati tal-istess testijiet wara l-kriptaġġ tas-sistema, u b'hekk jiċħad il-leġġenda għalihom infushom li "l-encryption tas-sistema hija ta 'ħsara." It-tnaqqis tar-ritmu tal-magna u l-inkonvenjenza huma notevoli meta tagħmel backup / restawr ta 'data encrypted, minħabba li l-operazzjoni ta' "backup tad-data tas-sistema" nnifisha mhix imkejla f'ms, u dawk l-istess huma miżjuda. Fl-aħħar mill-aħħar, kull utent li huwa permess li jbiddel il-kriptografija jibbilanċja l-algoritmu ta 'kodifikazzjoni kontra s-sodisfazzjon tal-kompiti li għandhom f'idejh, il-livell ta' paranojja tagħhom, u l-faċilità ta 'użu.

Huwa aħjar li tħalli l-parametru PIM bħala default, sabiex meta tgħabbi l-OS ma jkollokx għalfejn tidħol il-valuri eżatti ta 'iterazzjoni kull darba. VeraCrypt juża numru kbir ta 'iterazzjonijiet biex joħloq tassew "hash bil-mod". Attakk fuq tali "bebbuxu kripto" bl-użu tal-metodu ta 'tabelli tal-forza bruta/qawsalla jagħmel sens biss b'passphrase qasira "sempliċi" u l-lista ta' charset personali tal-vittma. Il-prezz li għandu jitħallas għas-saħħa tal-password huwa dewmien biex tiddaħħal il-password korretta meta tgħabbi l-OS. (l-immuntar tal-volumi VeraCrypt f'GNU/Linux huwa ferm aktar mgħaġġel).
Softwer b'xejn għall-implimentazzjoni ta' attakki ta' forza bruta (estrazzjoni passphrase mill-header tad-diska VeraCrypt/LUKS) Hashcat. John the Ripper ma jafx kif "jkisser Veracrypt", u meta jaħdem ma 'LUKS ma jifhimx il-kriptografija Twofish.

Minħabba s-saħħa kriptografika ta 'algoritmi ta' encryption, cypherpunks bla waqfien qed jiżviluppaw softwer b'vettur ta 'attakk differenti. Per eżempju, estrazzjoni ta 'metadata/ċwievet mir-RAM (attakk ta' aċċess għall-memorja diretta/cold boot), Hemm softwer speċjalizzat b'xejn u mhux ħieles għal dawn l-għanijiet.

Mat-tlestija tat-twaqqif/ġenerazzjoni ta '"metadata unika" tal-partizzjoni attiva kodifikata, VeraCrypt se joffri li jerġa' jibda l-PC u jittestja l-funzjonalità tal-bootloader tiegħu. Wara li jerġa 'jibda/jibda l-Windows, VeraCrypt se jgħabbi fil-mod ta' standby, dak kollu li jibqa 'huwa li jikkonferma l-proċess ta' encryption - Y.

Fil-pass finali tal-kriptaġġ tas-sistema, VeraCrypt se joffri li joħloq kopja ta 'backup tal-header tal-partizzjoni kkodifikata attiva fil-forma ta' "veracrypt rescue disk.iso" - dan għandu jsir - f'dan is-software tali operazzjoni hija rekwiżit (f'LUKS, bħala rekwiżit - sfortunatament dan jitħalla barra, iżda huwa enfasizzat fid-dokumentazzjoni). Diska ta 'salvataġġ se tkun utli għal kulħadd, u għal xi wħud aktar minn darba. Telf (header/MBR kitba mill-ġdid) kopja ta 'backup tal-header se tiċħad b'mod permanenti l-aċċess għall-partizzjoni decrypted b'OS Windows.

A4. Ħolqien ta 'USB/disk ta' salvataġġ VeraCryptB'mod awtomatiku, VeraCrypt joffri li jaħarqu "~ 2-3MB ta 'metadata" għal CD, iżda mhux in-nies kollha għandhom diski jew drives DWD-ROM, u l-ħolqien ta' flash drive bootable "VeraCrypt Rescue disk" se tkun sorpriża teknika għal xi wħud: Rufus /GUIDd-ROSA ImageWriter u softwer simili ieħor mhux se jkunu jistgħu jlaħħqu mal-kompitu, għax minbarra li tikkopja metadata offset għal flash drive bootable, għandek bżonn tikkopja/pejstja l-immaġni barra s-sistema tal-fajl tal-USB drive, fil-qosor, jikkopja b'mod korrett l-MBR/triq għal keychain. Tista 'toħloq flash drive bootable minn GNU/Linux OS billi tuża l-utilità "dd", billi tħares lejn dan is-sinjal.

Il-ħolqien ta 'disk ta' salvataġġ f'ambjent Windows huwa differenti. L-iżviluppatur tal-VeraCrypt ma inkludax is-soluzzjoni għal din il-problema fl-uffiċjal dokumentazzjoni minn "disk ta 'salvataġġ", iżda ppropona soluzzjoni b'mod differenti: huwa stazzjonat softwer addizzjonali għall-ħolqien ta' "diska ta 'salvataġġ USB" għal aċċess ħieles fuq il-forum VeraCrypt tiegħu. L-arkivist ta 'dan is-software għall-Windows huwa "ħolqien ta' usb veracrypt rescue disk". Wara li ssalva rescue disk.iso, jibda l-proċess ta 'kriptaġġ tas-sistema tal-blokk tal-partizzjoni attiva. Waqt il-kriptaġġ, it-tħaddim tal-OS ma jieqafx; M'hemmx bżonn ta' startjar mill-ġdid tal-PC. Mat-tlestija tal-operazzjoni ta 'kodifikazzjoni, il-partizzjoni attiva ssir ikkodifikata bis-sħiħ u tista' tintuża. Jekk il-boot loader VeraCrypt ma jidhirx meta tibda l-PC, u l-operazzjoni ta 'rkupru tal-header ma tgħinx, imbagħad iċċekkja l-bandiera "boot", għandha tkun issettjata għall-partizzjoni fejn ikun preżenti Windows (irrispettivament mill-encryption u OS oħra, ara t-tabella Nru 1).
Dan jikkompleta d-deskrizzjoni tal-kriptaġġ tas-sistema tal-blokki bil-Windows OS.

[B]LUKS. Encryption GNU/Linux (~Debian) OS installat. Algoritmu u Passi

Sabiex tikkodifika distribuzzjoni Debian/derivattiva installata, għandek bżonn timmappa l-partizzjoni ppreparata għal apparat tal-blokk virtwali, tittrasferiha għad-diska GNU/Linux immappjata, u tinstalla/konfigura GRUB2. Jekk m'għandekx server tal-metall vojt, u tapprezza l-ħin tiegħek, allura għandek bżonn tuża l-GUI, u ħafna mill-kmandi tat-terminal deskritti hawn taħt huma maħsuba biex jitmexxew fil-"modalità Chuck-Norris".

B1. Ibbutjar tal-PC minn live usb GNU/Linux

"Agħmel test kripto għall-prestazzjoni tal-ħardwer"

lscpu && сryptsetup benchmark

Jekk inti sid kuntent ta 'karozza b'saħħitha b'appoġġ għall-ħardwer AES, allura n-numri se jidhru bħall-lemin tat-terminal; jekk inti sid kuntent, iżda b'ħardwer antik, in-numri se jidhru bħall-ġenb tax-xellug.

B2. Il-qsim tad-disk. immuntar/ifformattjar fs disk loġiku HDD għal Ext4 (Gparted)

B2.1. Ħolqien ta 'header ta' partizzjoni sda7 encryptedSe niddeskrivi l-ismijiet tal-ħitan, hawn u aktar, skont it-tabella tal-partizzjonijiet tiegħi mibgħuta hawn fuq. Skont it-tqassim tad-disk tiegħek, trid tissostitwixxi l-ismijiet tal-partizzjoni tiegħek.

Immappjar ta' Encryption Drive Loġiku (/dev/sda7 > /dev/mapper/sda7_crypt).
#Ħolqien faċli ta' "partizzjoni LUKS-AES-XTS"

cryptsetup -v -y luksFormat /dev/sda7

Għażliet:

* luksFormat - inizjalizzazzjoni tal-header LUKS;
* -y -passphrase (mhux ċavetta/fajl);
* -v -verbalization (wiri ta 'informazzjoni fit-terminal);
* /dev/sda7 - id-disk loġiku tiegħek mill-partizzjoni estiża (fejn huwa ppjanat li tittrasferixxi/kriptaġġ GNU/Linux).

Algoritmu ta' kriptaġġ default <LUKS1: aes-xts-plain64, Ewlenin: 256 bit, hashing tal-header LUKS: sha256, RNG: /dev/urandom> (jiddependi fuq il-verżjoni cryptsetup).

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

Jekk ma jkunx hemm appoġġ ta 'hardware għall-AES fuq is-CPU, l-aħjar għażla tkun li tinħoloq "LUKS-Twofish-XTS-partition" estiż.

B2.2. Ħolqien avvanzat ta' "LUKS-Twofish-XTS-partition"

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

Għażliet:
* luksFormat - inizjalizzazzjoni tal-header LUKS;
* /dev/sda7 huwa d-disk loġiku encrypted futur tiegħek;
* -v verbalizzazzjoni;
* -y passphrase;
* -c agħżel l-algoritmu tal-kriptaġġ tad-dejta;
* -s daqs taċ-ċavetta tal-kriptaġġ;
* -h hashing algoritmu/funzjoni kripto, RNG użat (--uża-urandom) biex tiġġenera ċavetta unika ta' encryption/decryption għall-header tad-disk loġiku, ċavetta tal-header sekondarja (XTS); ċavetta ewlenija unika maħżuna fl-header tad-diska kodifikata, ċavetta XTS sekondarja, din il-metadata kollha u rutina ta’ kriptaġġ li, bl-użu taċ-ċavetta prinċipali u ċ-ċavetta XTS sekondarja, tikkodifika/jiddeċifra kwalunkwe data fuq il-partizzjoni (ħlief it-titlu tat-taqsima) maħżuna f'~3MB fuq il-partizzjoni tal-hard disk magħżula.
* -i iterazzjonijiet f'millisekondi, minflok "ammont" (id-dewmien fil-ħin meta tiġi pproċessata l-passphrase jaffettwa t-tagħbija tal-OS u s-saħħa kriptografika taċ-ċwievet). Biex iżżomm bilanċ ta 'saħħa kriptografika, b'password sempliċi bħal "Russu" għandek bżonn iżżid il-valur -(i); b'password kumplessa bħal "?8dƱob/øfh" il-valur jista' jitnaqqas.
* —use-urandom numru każwali ġeneratur, jiġġenera ċwievet u melħ.

Wara l-immappjar tas-sezzjoni sda7 > sda7_crypt (l-operazzjoni hija mgħaġġla, peress li tinħoloq header kriptat b'~3 MB ta' metadejta u dak kollu), għandek bżonn tifformattja u timmonta s-sistema tal-fajls sda7_crypt.

B2.3. Tqabbil

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

għażliet:
* miftuħa - qabbel it-taqsima "bl-isem";
* /dev/sda7 -disk loġiku;
* sda7_crypt - l-immappjar tal-isem li jintuża biex jintramaw il-partizzjoni encrypted jew jinizjalizzaha meta l-OS boots.

B2.4. Ifformattjar tas-sistema tal-fajls sda7_crypt għal ext4. Immuntar ta 'diska fl-OS(Nota: ma tkunx tista' taħdem b'partizzjoni kriptata f'Gparted)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt

għażliet:
* -v -verbalizzazzjoni;
* -L - tikketta tas-sewqan (li hija murija fl-Explorer fost drives oħra).

Sussegwentement, għandek timmonta l-apparat tal-blokk virtwali-encrypted /dev/sda7_crypt mas-sistema

mount /dev/mapper/sda7_crypt /mnt

Ħidma ma 'fajls fil-folder / mnt awtomatikament tikkodifika/deċifra d-dejta f'sda7.

Huwa aktar konvenjenti li timmappa u timmonta l-partizzjoni fl-Explorer (nautilus/caja GUI), il-partizzjoni tkun diġà fil-lista tal-għażla tad-disk, dak kollu li jibqa 'huwa li tidħol fil-passphrase biex tiftaħ/decrypt id-diska. L-isem imqabbel jintgħażel awtomatikament u mhux "sda7_crypt", iżda xi ħaġa bħal /dev/mapper/Luks-xx-xx...

B2.5. Backup tal-header tad-diska (~3MB metadata)Waħda mill-aktar importanti operazzjonijiet li jeħtieġ li jsiru mingħajr dewmien - kopja ta 'backup tal-header "sda7_crypt". Jekk tikteb/tagħmel ħsara lill-header (per eżempju, l-installazzjoni ta 'GRUB2 fuq il-partizzjoni sda7, eċċ.), id-dejta kriptata tintilef kompletament mingħajr ebda possibbiltà li tiġi rkuprata, minħabba li jkun impossibbli li jerġgħu jiġu ġġenerati l-istess ċwievet; iċ-ċwievet huma maħluqa unikament.

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

għażliet:
* luksHeaderBackup —header-backup-file -backup kmand;
* luksHeaderRestore —header-backup-file -restore kmand;
* ~/Backup_DebSHIFR - fajl tal-backup;
* /dev/sda7 - partizzjoni li l-kopja tal-backup tal-header tad-diska kkodifikata għandha tiġi ssejvjata.
F'dan il-pass jitlesta .

B3. Porting GNU/Linux OS (sda4) għal partizzjoni kriptata (sda7)

Oħloq folder /mnt2 (Nota - għadna qed naħdmu b'usb live, sda7_crypt huwa mmuntat fuq /mnt), u mmunta l-GNU/Linux tagħna f'/mnt2, li jeħtieġ li jiġi encrypted.

mkdir /mnt2
mount /dev/sda4 /mnt2

Aħna nwettqu trasferiment OS korrett bl-użu tas-softwer Rsync

rsync -avlxhHX --progress /mnt2/ /mnt

L-għażliet Rsync huma deskritti fil-paragrafu E1.

Barra minn hekk, huwa meħtieġ deframmenta partizzjoni tad-diska loġika

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

Agħmilha regola: agħmel e4defrag fuq GNU/LINux kriptat minn żmien għal żmien jekk ikollok HDD.
It-trasferiment u s-sinkronizzazzjoni [GNU/Linux > GNU/Linux-encrypted] jitlestew f'dan il-pass.

AT 4. Twaqqif ta' GNU/Linux fuq partizzjoni sda7 encrypted

Wara li tittrasferixxi b'suċċess l-OS /dev/sda4 > /dev/sda7, trid tidħol f'GNU/Linux fuq il-partizzjoni kriptata u twettaq aktar konfigurazzjoni (mingħajr rebooting tal-PC) relattiv għal sistema encrypted. Jiġifieri, kun live USB, iżda tesegwixxi kmandi "relattivi għall-għerq tal-OS encrypted." "chroot" se jissimula sitwazzjoni simili. Biex tirċievi malajr informazzjoni dwar liema OS qed taħdem bħalissa (kodifikat jew le, peress li d-dejta f'sda4 u sda7 huma sinkronizzati), desinkronizza l-OS. Oħloq fid-direttorji tal-għeruq (sda4/sda7_crypt) fajls tal-markaturi vojta, pereżempju, /mnt/encryptedOS u /mnt2/decryptedOS. Iċċekkja malajr liema OS inti fuq (inkluż għall-futur):

ls /<Tab-Tab>

B4.1. "Simulazzjoni ta' illoggjar f'OS kriptat"

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. Il-verifika li x-xogħol isir kontra sistema kriptata

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. Ħolqien/konfigurazzjoni ta' swap encrypted, editjar ta' crypttab/fstabPeress li l-fajl ta' tpartit jiġi fformattjat kull darba li jibda l-OS, ma jagħmilx sens li issa jinħoloq u jiġi mmappat swap għal disk loġiku, u ttajpja l-kmandi bħal fil-paragrafu B2.2. Għal Swap, iċ-ċwievet ta 'encryption temporanji tiegħu stess se jiġu ġġenerati awtomatikament f'kull bidu. Ċiklu tal-ħajja ta 'ċwievet ta' tpartit: diviżorju ta 'skambju ta' l-iżmuntar/unmounting (+ RAM tat-tindif); jew jerġa 'jibda l-OS. Twaqqif ta 'skambju, ftuħ tal-fajl responsabbli għall-konfigurazzjoni ta' tagħmir kriptat tal-blokk (analogu għal fajl fstab, iżda responsabbli għall-kripto).

nano /etc/crypttab

neditjaw

#"isem fil-mira" "apparat sors" "fajl ewlieni" "għażliet"
swap /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512

Għażliet
* swap - isem immappjat meta l-kriptaġġ /dev/mapper/swap.
* /dev/sda8 - uża l-partizzjoni loġika tiegħek għall-iskambju.
* /dev/urandom - ġeneratur ta 'ċwievet ta' encryption każwali għal tpartit (ma' kull boot OS ġdid, jinħolqu ċwievet ġodda). Il-ġeneratur /dev/urandom huwa inqas każwali minn /dev/random, wara kollox /dev/random jintuża meta jaħdem f'ċirkostanzi paranojdi perikolużi. Meta tgħabbi l-OS, /dev/random inaqqas it-tagħbija għal diversi ± minuti (ara systemd-analyse).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -il-partizzjoni taf li hija tpartit u hija fformattjata "konsegwentement"; algoritmu ta' encryption.

#Открываем и правим fstab
nano /etc/fstab

neditjaw

# swap kien mixgħul / dev / sda8 waqt l-installazzjoni
/dev/mapper/swap xejn tpartit sw 0 0

/dev/mapper/swap huwa l-isem li ġie stabbilit fil-crypttab.

Skambju encrypted alternattiv
Jekk għal xi raġuni ma tridx iċedi partizzjoni sħiħa għal fajl ta 'skambju, allura tista' tmur mod alternattiv u aħjar: toħloq fajl ta 'skambju f'fajl fuq partizzjoni kkodifikata bl-OS.

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

Is-setup tal-partizzjoni tal-iskambju hija kompluta.

B4.4. Twaqqif ta' GNU/Linux ikkodifikat (editjar ta' fajls crypttab/fstab)Il-fajl /etc/crypttab, kif miktub hawn fuq, jiddeskrivi l-apparati tal-blokk kriptat li huma kkonfigurati waqt il-boot tas-sistema.

#правим /etc/crypttab 
nano /etc/crypttab

jekk qabbilt mat-taqsima sda7>sda7_crypt bħal fil-paragrafu B2.1

# "isem fil-mira" "apparat sors" "fajl ewlieni" "għażliet"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

jekk qabbilt mat-taqsima sda7>sda7_crypt bħal fil-paragrafu B2.2

# "isem fil-mira" "apparat sors" "fajl ewlieni" "għażliet"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

jekk qabbilt is-sezzjoni sda7>sda7_crypt bħal fil-paragrafu B2.1 jew B2.2, iżda ma tridx terġa' tidħol il-password biex tiftaħ u tibbotja l-OS, allura minflok il-password tista' tissostitwixxi ċavetta sigrieta/fajl każwali

# "isem fil-mira" "apparat sors" "fajl ewlieni" "għażliet"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

Deskrizzjoni
* xejn - jirrapporta li meta tgħabbi l-OS, id-dħul ta 'passphrase sigriet huwa meħtieġ biex jinfetaħ l-għerq.
* UUID - identifikatur tal-partizzjoni. Biex issir taf l-ID tiegħek, ittajpja t-terminal (tfakkar li minn dan iż-żmien 'il quddiem, qed taħdem f'terminal f'ambjent chroot, u mhux f'terminal usb live ieħor).

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

din il-linja hija viżibbli meta titlob blkid mit-terminal usb live b'sda7_crypt immuntat).
Inti tieħu l-UUID mill-sdaX tiegħek (mhux sdaX_crypt!, UUID sdaX_crypt - se titħalla awtomatikament meta tiġġenera l-konfigurazzjoni grub.cfg).
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks encryption fil-modalità avvanzata.
* /etc/skey - fajl taċ-ċavetta sigrieta, li jiddaħħal awtomatikament biex jinfetaħ il-boot tal-OS (minflok ma ddaħħal it-3 password). Tista' tispeċifika kwalunkwe fajl sa 8MB, iżda d-dejta tinqara <1MB.

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7

Se tidher xi ħaġa bħal din:

(do it yourself u ara għalik innifsek).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab fih informazzjoni deskrittiva dwar diversi sistemi ta' fajls.

#Правим /etc/fstab
nano /etc/fstab

# "file system" "mount point" "type" "options" "dump" "pass"
# / kien fuq / dev / sda7 waqt l-installazzjoni
/dev/mapper/sda7_crypt / ext4 errors=remount-ro 0 1

għażla
* /dev/mapper/sda7_crypt - l-isem tal-mapping sda7>sda7_crypt, li huwa speċifikat fil-fajl /etc/crypttab.
Is-setup crypttab/fstab hija kompluta.

B4.5. Editjar tal-fajls tal-konfigurazzjoni. Mument ewlieniB4.5.1. Editjar tal-konfigurazzjoni /etc/initramfs-tools/conf.d/resume

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

u tikkummenta (jekk jeżisti) "#" linja "jerġa". Il-fajl għandu jkun kompletament vojt.

B4.5.2. Editjar tal-konfigurazzjoni /etc/initramfs-tools/conf.d/cryptsetup

nano /etc/initramfs-tools/conf.d/cryptsetup

għandhom jaqblu

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=iva
esportazzjoni CRYPTSETUP

B4.5.3. Editjar tal-/etc/default/grub config (din il-konfigurazzjoni hija responsabbli għall-abbiltà li tiġġenera grub.cfg meta taħdem b'/boot encrypted)

nano /etc/default/grub

żid il-linja “GRUB_ENABLE_CRYPTODISK=y”
valur 'y', grub-mkconfig u grub-install se jiċċekkjaw għal drives encrypted u jiġġeneraw kmandi addizzjonali meħtieġa biex jaċċessawhom fil-ħin tal-boot (insmods ).
irid ikun hemm xebh

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=bejjiegħ"
GRUB_CMDLINE_LINUX="quiet splash noautomount"
GRUB_ENABLE_CRYPTODISK=y

B4.5.4. Editjar tal-konfigurazzjoni /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

iċċekkja li l-linja tkun ikkummentata barra .
Fil-futur (u anke issa, dan il-parametru mhux se jkollu l-ebda tifsira, iżda xi drabi jinterferixxi mal-aġġornament tal-immaġni initrd.img).

B4.5.5. Editjar tal-konfigurazzjoni /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

żid

KEYFILE_PATTERN="/etc/skey"
UMASK=0077

Dan se jippakkja ċ-ċavetta sigrieta "skey" f'initrd.img, iċ-ċavetta hija meħtieġa biex tiftaħ l-għerq meta l-OS boots (jekk ma tridx iddaħħal il-password mill-ġdid, iċ-ċavetta "skey" hija sostitwita għall-karozza).

B4.6. Aġġorna /boot/initrd.img [verżjoni]Biex tippakkja ċ-ċavetta sigrieta f'initrd.img u tapplika cryptsetup fixes, aġġorna l-immaġni

update-initramfs -u -k all

meta taġġorna initrd.img (kif jgħidu “Huwa possibbli, imma mhux ċert”) se jidhru twissijiet relatati ma 'cryptsetup, jew, pereżempju, notifika dwar it-telf ta' moduli Nvidia - dan huwa normali. Wara li taġġorna l-fajl, iċċekkja li fil-fatt ġie aġġornat, ara l-ħin (relattiv għall-ambjent chroot./boot/initrd.img). Attenzjoni! qabel [update-initramfs -u -k all] kun żgur li tivverifika li cryptsetup huwa miftuħ /dev/sda7 sda7_crypt - dan huwa l-isem li jidher f'/etc/crypttab, inkella wara reboot se jkun hemm żball ta' busybox)
F'dan il-pass, it-twaqqif tal-fajls tal-konfigurazzjoni huwa komplut.

[C] L-installazzjoni u l-konfigurazzjoni ta' GRUB2/Protection

C1. Jekk meħtieġ, ifformattja l-partizzjoni ddedikata għall-bootloader (partizzjoni teħtieġ mill-inqas 20MB)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. Immonta /dev/sda6 għal /mntAllura naħdmu fil-chroot, allura ma jkun hemm l-ebda direttorju /mnt2 fl-għerq, u l-folder /mnt se jkun vojt.
immuntat il-partizzjoni GRUB2

mount /dev/sda6 /mnt

Jekk għandek installata verżjoni eqdem ta' GRUB2, fid-direttorju /mnt/boot/grub/i-386-pc (pjattaforma oħra hija possibbli, pereżempju, mhux "i386-pc") l-ebda moduli kripto (fil-qosor, il-folder għandu jkun fih moduli, inklużi dawn .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), f'dan il-każ, GRUB2 jeħtieġ li jitħawwad.

apt-get update
apt-get install grub2

Importanti! Meta taġġorna l-pakkett GRUB2 mir-repożitorju, meta mistoqsi "dwar l-għażla" fejn tinstalla l-bootloader, trid tirrifjuta l-installazzjoni (raġuni - ipprova tinstalla GRUB2 - f'"MBR" jew fuq usb live). Inkella tagħmel ħsara lill-header/loader VeraCrypt. Wara li taġġorna l-pakketti GRUB2 u tikkanċella l-installazzjoni, il-boot loader għandu jiġi installat manwalment fuq id-diska loġika, u mhux fl-MBR. Jekk ir-repożitorju tiegħek għandu verżjoni skaduta ta' GRUB2, ipprova aġġornament huwa mill-websajt uffiċjali - ma ċċekkjawhx (ħadmet mal-aħħar GRUB 2.02 ~ boot loaders BetaX).

C3. Installazzjoni ta' GRUB2 f'partizzjoni estiża [sda6]Irid ikollok partizzjoni immuntata [oġġett C.2]

grub-install --force --root-directory=/mnt /dev/sda6

għażliet
* —forza - installazzjoni tal-bootloader, billi tevita t-twissijiet kollha li kważi dejjem jeżistu u timblokka l-installazzjoni (bandiera meħtieġa).
* --root-directory - jistabbilixxi d-direttorju għall-għerq ta' sda6.
* /dev/sda6 - il-partizzjoni sdaХ tiegħek (titlifx il- bejn /mnt /dev/sda6).

C4. Ħolqien ta' fajl ta' konfigurazzjoni [grub.cfg]Tinsa dwar il-kmand "update-grub2", u uża l-kmand tal-ġenerazzjoni tal-fajl tal-konfigurazzjoni sħiħa

grub-mkconfig -o /mnt/boot/grub/grub.cfg

wara li tlesti l-ġenerazzjoni/aġġornament tal-fajl grub.cfg, it-terminal tal-output għandu jkun fih linja(i) bl-OS misjuba fuq id-diska ("grub-mkconfig" probabbilment se jsib u jtella' l-OS minn usb ħaj, jekk għandek flash drive multiboot bil-Windows 10 u mazz ta 'distribuzzjonijiet ħajjin - dan huwa normali). Jekk it-terminal huwa "vojt" u l-fajl "grub.cfg" ma jiġix iġġenerat, allura dan huwa l-istess każ meta jkun hemm bugs GRUB fis-sistema (u x'aktarx il-loader mill-fergħa tat-test tar-repożitorju), installa mill-ġdid GRUB2 minn sorsi affidabbli.
L-installazzjoni tal-"konfigurazzjoni sempliċi" u s-setup tal-GRUB2 huma kompluti.

C5. Test ta' prova ta' GNU/Linux OS encryptedAħna tlesti l-missjoni kripto b'mod korrett. B'attenzjoni tħalli l-GNU/Linux encrypted (ħruġ mill-ambjent chroot).

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

Wara li jerġa 'jibda l-PC, il-bootloader VeraCrypt għandu jgħabbi.

* Id-dħul tal-password għall-partizzjoni attiva se tibda tagħbija Windows.
* Meta tagħfas iċ-ċavetta "Esc" se tittrasferixxi l-kontroll lil GRUB2, jekk tagħżel GNU/Linux encrypted - tkun meħtieġa password (sda7_crypt) biex tiftaħ /boot/initrd.img (jekk grub2 jikteb uuid "mhux misjub" - din hija problema bil-bootloader grub2, għandu jiġi installat mill-ġdid, eż., minn fergħa tat-test/stabbli eċċ.).

*Skond kif kkonfigurajt is-sistema (ara l-paragrafu B4.4/4.5), wara li ddaħħal il-password korretta biex tiftaħ l-immaġni /boot/initrd.img, ser ikollok bżonn password biex tagħbija l-kernel/l-għerq tal-OS, jew is-sigriet ċavetta se tiġi sostitwita awtomatikament "skey", telimina l-ħtieġa li terġa 'tiddaħħal il-passphrase.

(iskrin “sostituzzjoni awtomatika ta’ ċavetta sigrieta”).

* Imbagħad il-proċess familjari tat-tagħbija GNU/Linux bl-awtentikazzjoni tal-kont tal-utent se jsegwi.

*Wara l-awtorizzazzjoni tal-utent u l-login fl-OS, trid terġa' taġġorna /boot/initrd.img (ara B4.6).

update-initramfs -u -k all

U fil-każ ta 'linji żejda fil-menu GRUB2 (minn OS-m pickup b'usb live) jeħles minnhom

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

Sommarju rapidu tal-kriptaġġ tas-sistema GNU/Linux:

GNU/Linuxinux huwa kompletament encrypted, inklużi /boot/kernel u initrd;
iċ-ċavetta sigrieta hija ppakkjata f'initrd.img;
skema ta' awtorizzazzjoni attwali (iddaħħal il-password biex tiftaħ l-initrd; password/ċavetta biex tibbutja l-OS; password għall-awtorizzazzjoni tal-kont Linux).

L-encryption tas-sistema "Sempliċi GRUB2 Configuration" tal-partizzjoni tal-blokk hija kompluta.

C6. Konfigurazzjoni GRUB2 avvanzata. Protezzjoni bootloader b'firma diġitali + protezzjoni ta 'awtentikazzjoniGNU/Linux huwa kompletament encrypted, iżda l-bootloader ma jistax jiġi encrypted - din il-kundizzjoni hija ddettata mill-BIOS. Għal din ir-raġuni, boot encrypted b'katina ta' GRUB2 mhuwiex possibbli, iżda boot sempliċi b'katina huwa possibbli/disponibbli, iżda mil-lat tas-sigurtà mhuwiex meħtieġ [ara P. F].
Għall-GRUB2 "vulnerabbli", l-iżviluppaturi implimentaw algoritmu ta 'protezzjoni tal-bootloader ta' "firma/awtentikazzjoni".

Meta l-bootloader ikun protett bil-"firma diġitali tiegħu stess", modifika esterna tal-fajls, jew tentattiv biex jitgħabbew moduli addizzjonali f'dan il-bootloader, iwassal biex il-proċess tal-boot jiġi mblukkat.
Meta tipproteġi l-bootloader bl-awtentikazzjoni, sabiex tagħżel it-tagħbija ta 'distribuzzjoni, jew daħħal kmandi addizzjonali fis-CLI, ser ikollok bżonn iddaħħal il-login u l-password tas-superuser-GRUB2.

C6.1. Protezzjoni tal-awtentikazzjoni tal-bootloaderIċċekkja li qed taħdem f'terminal fuq OS encrypted

ls /<Tab-Tab> #обнаружить файл-маркер

oħloq password ta' superuser għall-awtorizzazzjoni fi GRUB2

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя.

Ikseb il-hash tal-password. Xi ħaġa bħal din

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

immuntat il-partizzjoni GRUB

mount /dev/sda6 /mnt

editja l-konfigurazzjoni

nano -$ /mnt/boot/grub/grub.cfg

iċċekkja t-tfittxija tal-fajl li m'hemm l-ebda bnadar imkien f'“grub.cfg” (“-unrestricted” “-user”,
żid fl-aħħar nett (qabel il-linja ### END /etc/grub.d/41_custom ###)
"sett superusers="root"
password_pbkdf2 root hash."

Għandha tkun xi ħaġa bħal din

# Dan il-fajl jipprovdi mod faċli biex iżżid entrati tal-menu tad-dwana. Sempliċement ittajpja l-
# entrati fil-menu li trid iżżid wara dan il-kumment. Oqgħod attent li ma tinbidilx
# il-linja 'exec tail' hawn fuq.
### TMIEM /etc/grub.d/40_custom ###

### BEGIN /etc/grub.d/41_custom ###
jekk [ -f ${config_directory}/custom.cfg ]; imbagħad
sors ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefiss/custom.cfg ]; imbagħad
sors $prefiss/custom.cfg;
fi
issettja superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### TMIEM /etc/grub.d/41_custom ###
#

Jekk spiss tuża l-kmand "grub-mkconfig -o /mnt/boot/grub/grub.cfg" u ma tridx tagħmel bidliet għal grub.cfg kull darba, daħħal il-linji ta' hawn fuq (Login: Password) fl-iskrittura tal-utent GRUB fil-qiegħ nett

nano /etc/grub.d/41_custom

qattus <<EOF
issettja superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

Meta tiġġenera l-konfigurazzjoni "grub-mkconfig -o /mnt/boot/grub/grub.cfg", il-linji responsabbli għall-awtentikazzjoni se jiżdiedu awtomatikament ma 'grub.cfg.
Dan il-pass itemm is-setup tal-awtentikazzjoni GRUB2.

C6.2. Protezzjoni bootloader b'firma diġitaliHuwa preżunt li diġà għandek iċ-ċavetta personali tal-encryption pgp tiegħek (jew toħloq ċavetta bħal din). Is-sistema għandu jkollha softwer kriptografiku installat: gnuPG; kleopatra/GPA; Żiemel tal-baħar. Is-softwer tal-kripto se jagħmel ħajtek ħafna aktar faċli f'dawn il-kwistjonijiet kollha. Seahorse - verżjoni stabbli tal-pakkett 3.14.0 (verżjonijiet ogħla, pereżempju, V3.20, huma difettużi u għandhom bugs sinifikanti).

Iċ-ċavetta PGP jeħtieġ li tiġi ġġenerata / imnedija / miżjuda biss fl-ambjent su!

Iġġenera ċavetta ta' encryption personali

gpg - -gen-key

Esporta ċ-ċavetta tiegħek

gpg --export -o ~/perskey

Immonta d-disk loġiku fl-OS jekk ma jkunx diġà mmuntat

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

naddaf il-partizzjoni GRUB2

rm -rf /mnt/

Installa GRUB2 f'sda6, u poġġi ċ-ċavetta privata tiegħek fl-immaġni GRUB prinċipali "core.img"

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

għażliet
* --force - tinstalla l-bootloader, billi tevita t-twissijiet kollha li dejjem jeżistu (bandiera meħtieġa).
* —modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - jagħti struzzjonijiet lil GRUB2 biex jgħabbi minn qabel il-moduli meħtieġa meta jibda l-PC.
* -k ~/perskey -path lejn il-“PGP key” (wara l-ippakkjar taċ-ċavetta fl-immaġni, jista 'jitħassar).
* --root-directory -issettja d-direttorju tal-boot għall-għerq ta 'sda6
/dev/sda6 - il-partizzjoni sdaX tiegħek.

Ġenerazzjoni/aġġornament ta' grub.cfg

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

Żid il-linja "trust /boot/grub/perskey" fl-aħħar tal-fajl "grub.cfg" (forza l-użu taċ-ċavetta pgp.) Peress li installajna GRUB2 b'sett ta 'moduli, inkluż il-modulu tal-firma "signature_test.mod", dan jelimina l-ħtieġa li jiżdiedu kmandi bħal "set check_signatures=enforce" mal-konfigurazzjoni.

Għandu jidher xi ħaġa bħal din (linji tat-tmiem fil-fajl grub.cfg)

### BEGIN /etc/grub.d/41_custom ###
jekk [ -f ${config_directory}/custom.cfg ]; imbagħad
sors ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefiss/custom.cfg ]; imbagħad
sors $prefiss/custom.cfg;
fi
trust / boot / grub / perskey
issettja superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### TMIEM /etc/grub.d/41_custom ###
#

Il-mogħdija għal "/boot/grub/perskey" m'għandhiex għalfejn tiġi indikata għal partizzjoni tad-diska speċifika, pereżempju hd0,6; għall-bootloader innifsu, "root" hija l-mogħdija default tal-partizzjoni li fuqha huwa installat GRUB2 (ara sett taħsir=..).

Iffirmar GRUB2 (il-fajls kollha fid-direttorji /GRUB kollha) biċ-ċavetta tiegħek “perskey”.
Soluzzjoni sempliċi dwar kif tiffirma (għal nautilus/caja explorer): installa l-estensjoni "seahorse" għal Explorer mir-repożitorju. Iċ-ċavetta tiegħek trid tiġi miżjuda mal-ambjent su.
Iftaħ Explorer b'sinjal sudo "/mnt/boot" - RMB. Fuq l-iskrin jidher bħal dan

Iċ-ċavetta nnifisha hija "/mnt/boot/grub/perskey" (kopja fid-direttorju tal-grub) trid tkun iffirmata wkoll bil-firma tiegħek. Iċċekkja li l-firem tal-fajl [*.sig] jidhru fid-direttorju/subdirettorji.
Bl-użu tal-metodu deskritt hawn fuq, iffirma "/boot" (il-qalba tagħna, initrd). Jekk il-ħin tiegħek jiswa xi ħaġa, allura dan il-metodu jelimina l-ħtieġa li tikteb script bash biex tiffirma "ħafna fajls".

Biex tneħħi l-firem kollha tal-bootloader (jekk xi ħaġa marret ħażin)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

Sabiex ma niffirmawx il-bootloader wara li taġġorna s-sistema, aħna niffriżaw il-pakketti ta 'aġġornament kollha relatati ma' GRUB2.

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

F'dan il-pass il-konfigurazzjoni avvanzata ta' GRUB2 titlesta.

C6.3. Test ta' prova tal-bootloader GRUB2, protett b'firma diġitali u awtentikazzjoniGRUB2. Meta tagħżel kwalunkwe distribuzzjoni GNU/Linux jew tidħol fis-CLI (linja tal-kmand) L-awtorizzazzjoni tas-superuser tkun meħtieġa. Wara li ddaħħal il-username/password korretti, ser ikollok bżonn il-password initrd

Screenshot ta' awtentikazzjoni b'suċċess tas-superuser GRUB2.

Jekk tbagħbas xi wieħed mill-fajls GRUB2/tagħmel bidliet f'grub.cfg, jew tħassar il-fajl/firma, jew tagħbija module.mod malizzjuż, tidher twissija korrispondenti. GRUB2 se jwaqqaf it-tagħbija.

Screenshot, tentattiv biex tinterferixxi ma 'GRUB2 "minn barra".

Matul booting "normali" "mingħajr intrużjoni", l-istatus tal-kodiċi tal-ħruġ tas-sistema huwa "0". Għalhekk, mhux magħruf jekk il-protezzjoni taħdimx jew le (jiġifieri, "bi jew mingħajr protezzjoni tal-firma bootloader" waqt it-tagħbija normali l-istatus huwa l-istess "0" - dan huwa ħażin).

Kif tiċċekkja l-protezzjoni tal-firma diġitali?

Mod inkonvenjenti biex tiċċekkja: falz/tneħħi modulu użat minn GRUB2, pereżempju, neħħi l-firma luks.mod.sig u tikseb żball.

Il-mod korrett: mur fil-bootloader CLI u ikteb il-kmand

trust_list

Bi tweġiba, għandek tirċievi marka tas-swaba '"perskey"; jekk l-istatus huwa "0", allura l-protezzjoni tal-firma ma taħdimx, iċċekkja darbtejn il-paragrafu C6.2.
F'dan il-pass, il-konfigurazzjoni avvanzata "Protezzjoni ta 'GRUB2 b'firma diġitali u awtentikazzjoni" titlesta.

C7 Metodu alternattiv biex jipproteġi l-bootloader GRUB2 bl-użu tal-hashingIl-metodu "Protezzjoni/Awtentikazzjoni tal-CPU Boot Loader" deskritt hawn fuq huwa klassiku. Minħabba l-imperfezzjonijiet ta 'GRUB2, f'kundizzjonijiet paranojde huwa suxxettibbli għal attakk reali, li se nagħti hawn taħt fil-paragrafu [F]. Barra minn hekk, wara l-aġġornament tal-OS/kernel, il-bootloader għandu jiġi ffirmat mill-ġdid.

Il-protezzjoni tal-bootloader GRUB2 bl-użu tal-hashing

Vantaġġi fuq il-klassiċi:

Livell ogħla ta 'affidabilità (il-hashing/il-verifika jseħħ biss minn riżors lokali kkodifikat. Il-partizzjoni kollha allokata taħt GRUB2 hija kkontrollata għal kwalunkwe tibdil, u kull ħaġa oħra hija kkodifikata; fl-iskema klassika bi protezzjoni/Awtentikazzjoni tal-loader tas-CPU, il-fajls biss huma kkontrollati, iżda mhux b'xejn. spazju, li fih "xi ħaġa" xi ħaġa sinister" tista 'tiġi miżjuda).
Logging encrypted (jiżdied log kriptat personali li jinqara mill-bniedem mal-iskema).
Veloċità (il-protezzjoni/verifika ta' partizzjoni sħiħa allokata għal GRUB2 isseħħ kważi istantanjament).
Awtomazzjoni tal-proċessi kriptografiċi kollha.

Żvantaġġi fuq il-klassiċi.

Falsifikazzjoni ta' firma (teoretikament, huwa possibbli li ssib ħabta ta' funzjoni hash partikolari).
Żieda fil-livell ta 'diffikultà (meta mqabbel mal-klassika, huma meħtieġa ftit aktar ħiliet f'GNU/Linux OS).

Kif taħdem l-idea tal-hashing GRUB2/partition

Il-partizzjoni GRUB2 hija "iffirmata"; meta l-OS jibda, il-partizzjoni tal-boot loader tiġi ċċekkjata għall-immutabilità, segwita minn illoggjar f'ambjent sigur (kriptat). Jekk il-bootloader jew il-partizzjoni tiegħu tkun kompromessa, minbarra r-reġistru tal-intrużjoni, jitnieda dan li ġej:

Ħaġa.

Kontroll simili iseħħ erba 'darbiet kuljum, li ma jgħabbix ir-riżorsi tas-sistema.
Bl-użu tal-kmand "-$ check_GRUB", verifika immedjata sseħħ fi kwalunkwe ħin mingħajr illoggjar, iżda bi output ta 'informazzjoni lill-CLI.
Bl-użu tal-kmand “-$ sudo signature_GRUB”, il-boot loader/partizzjoni GRUB2 jiġi ffirmat mill-ġdid istantanjament u l-illoggjar aġġornat tiegħu (meħtieġ wara l-aġġornament tal-OS/boot), u l-ħajja tkompli.

Implimentazzjoni ta 'metodu ta' hashing għall-bootloader u t-taqsima tiegħu

0) Ejja niffirmaw il-bootloader/partition GRUB billi l-ewwel immuntawha f'/media/username

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) Aħna noħolqu skript mingħajr estensjoni fl-għerq tal-OS ~/podpis encrypted, napplikaw id-drittijiet ta 'sigurtà 744 meħtieġa u protezzjoni foolproof għaliha.

Mili tal-kontenut tiegħu

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

Mexxi l-iskript minn su, il-hashing tal-partizzjoni GRUB u l-bootloader tagħha se jiġu ċċekkjati, ħlief il-log.

Ejja noħolqu jew nikkopja, pereżempju, "fajl malizzjuż" [virus.mod] fil-partizzjoni GRUB2 u wettaq skan/test temporanju:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

Is-CLI trid tara invażjoni taċ-ċittadella tagħna#Trimmed log fl-CLI

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

#Kif tistgħu taraw, tidher "Fajls mċaqalqa: 1 u Awditjar fallew", li jfisser li l-kontroll falla.
Minħabba n-natura tal-partizzjoni li qed tiġi ttestjata, minflok "Fajls ġodda misjuba" > "Fajls imċaqalqa"

2) Poġġi l-gif hawn > ~/warning.gif, issettja l-permessi għal 744.

3) Konfigurazzjoni ta 'fstab biex awtomatikament il-partizzjoni GRUB fil-boot

-$ sudo nano /etc/fstab

LABEL=GRUB /media/username/GRUB ext4 defaults 0 0

4) Dawwar il-log

-$ sudo nano /etc/logrotate.d/podpis

/var/log/podpis.txt {
kuljum
dawwar 50
daqs 5M
dataxt
kkompressat
dewmien ikkompressa
olddir /var/log/old
}

/var/log/vtorjenie.txt {
kull xahar
dawwar 5
daqs 5M
dataxt
olddir /var/log/old
}

5) Żid xogħol għal cron

-$ sudo crontab -e

reboot '/abbonament'
0 */6 * * * ‘/podpis

6) Ħolqien ta' psewdonimi permanenti

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

Wara l-aġġornament tal-OS -$ apt-get upgrade iffirma mill-ġdid il-partizzjoni GRUB tagħna
-$ подпись_GRUB
F'dan il-punt, il-protezzjoni tal-hashing tal-partizzjoni GRUB hija kompluta.

[D] Imsaħ - qerda ta' data mhux kriptata

Ħassar il-fajls personali tiegħek tant kompletament li "lanqas Alla ma jista 'jaqrahom," skond il-kelliem ta' South Carolina Trey Gowdy.

Bħas-soltu, hemm diversi “miti u leġġendi", dwar ir-restawr tad-data wara li tkun ġiet imħassra minn hard drive. Jekk temmen fis-cyberwitchcraft, jew int membru tal-komunità tal-web Dr u qatt ma ppruvajt l-irkupru tad-data wara li tħassar/inkiteb fuq (per eżempju, irkupru bl-użu ta 'R-studio), allura l-metodu propost x'aktarx ma jkunx adattat għalik, uża dak li huwa l-eqreb għalik.

Wara li ttrasferixxi b'suċċess GNU/Linux għal partizzjoni kriptata, il-kopja l-antika trid titħassar mingħajr il-possibbiltà ta 'rkupru tad-data. Metodu ta 'tindif universali: softwer għal softwer GUI b'xejn Windows/Linux BliċBit.
Mgħaġġel format it-taqsima, id-data li fuqha jeħtieġ li tinqered (permezz ta' Gparted) tniedi BleachBit, agħżel "Naddaf spazju ħieles" - agħżel il-partizzjoni (sdaX tiegħek b'kopja preċedenti ta' GNU/Linux), il-proċess ta 'tqaxxir se jibda. BleachBit - timsaħ id-diska f'pass wieħed - dan huwa dak li "neħtieġu", Imma! Dan jaħdem biss fit-teorija jekk ifformattjat id-diska u naddafha fis-softwer BB v2.0.

Attenzjoni! BB jimsaħ id-disk, u jħalli l-metadejta; l-ismijiet tal-fajls jiġu ppreservati meta d-dejta tiġi eliminata (Ccleaner - ma jħallix metadata).

U l-leġġenda dwar il-possibbiltà ta 'rkupru tad-data mhix għal kollox ħrafa.Bleachbit V2.0-2 li qabel kien instabbli OS Debian pakkett (u kwalunkwe softwer ieħor simili: sfill; imsaħ-Nautilus - ġew innutati wkoll f'dan in-negozju maħmuġ) fil-fatt kellu bug kritiku: il-funzjoni ta '"tneħħija ta' spazju ħieles". jaħdem ħażin fuq HDD/Flash drives (ntfs/ext4). Softwer ta 'dan it-tip, meta jikklerja l-ispazju ħieles, ma jiktebx fuq id-disk kollu, kif jaħsbu ħafna utenti. U xi wħud (ħafna) dejta mħassra OS/software iqis din id-dejta bħala dejta mhux imħassra/tal-utent u meta tnaddaf “OSP” taqbeż dawn il-fajls. Il-problema hija li wara tali żmien twil, it-tindif tad-diska "fajls imħassra" jistgħu jiġu rkuprati anke wara 3+ passes li timsaħ id-diska.
Fuq GNU/Linux f'Bleachbit 2.0-2 Il-funzjonijiet ta 'tħassir permanenti ta' fajls u direttorji jaħdmu b'mod affidabbli, iżda mhux ikklerjar l-ispazju ħieles. Għal paragun: fuq il-Windows f'CCleaner il-funzjoni "OSP għal ntfs" taħdem sew, u Alla verament mhux se jkun kapaċi jaqra data mħassra.

U għalhekk, biex tneħħi sewwa "komprometti" data antika mhux kriptata, Bleachbit jeħtieġ aċċess dirett għal din id-dejta, imbagħad, uża l-funzjoni "Ħassar fajls/direttorji b'mod permanenti".
Biex tneħħi "fajls imħassra bl-użu ta 'għodod standard OS" fil-Windows, uża CCleaner/BB bil-funzjoni "OSP". F'GNU/Linux fuq din il-problema (Ħassar fajls imħassra) trid tieħu l-prattika waħdek (tħassir tad-dejta + tentattiv indipendenti biex tirrestawraha u m'għandekx tistrieħ fuq il-verżjoni tas-softwer (jekk mhux bookmark, allura bug)), f'dan il-każ biss tkun tista 'tifhem il-mekkaniżmu ta' din il-problema u teħles mid-dejta mħassra kompletament.

Jien ma ttestjajtx Bleachbit v3.0, il-problema setgħet diġà ġiet irranġata.
Bleachbit v2.0 jaħdem b'mod onest.

F'dan il-pass, l-imsaħ tad-disk huwa komplut.

[E] Backup universali tal-OS encrypted

Kull utent għandu l-metodu tiegħu stess ta 'backup tad-dejta, iżda d-dejta tal-OS tas-Sistema kkodifikata teħtieġ approċċ kemmxejn differenti għall-kompitu. Softwer unifikat, bħal Clonezilla u softwer simili, ma jistax jaħdem direttament b'dejta kriptata.

Dikjarazzjoni tal-problema tal-backup ta 'apparati ta' blokki kriptati:

universalità - l-istess algoritmu/software tal-backup għall-Windows/Linux;
l-abbiltà li taħdem fil-console ma 'kwalunkwe usb live GNU/Linux mingħajr il-ħtieġa għal downloads ta' softwer addizzjonali (iżda xorta jirrakkomanda GUI);
sigurtà ta' kopji ta' backup - "immaġini" maħżuna għandhom ikunu encrypted/protetti b'password;
id-daqs tad-dejta kriptata għandu jikkorrispondi mad-daqs tad-dejta attwali li tkun qed tiġi kkupjata;
estrazzjoni konvenjenti ta 'fajls meħtieġa minn kopja ta' backup (l-ebda ħtieġa li l-ewwel jiġi dekriptjat is-sezzjoni kollha).

Per eżempju, backup/restore permezz tal-utilità "dd".

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

Jikkorrispondi għal kważi l-punti kollha tal-kompitu, iżda skont il-punt 4 ma jiflaħx għall-kritika, peress li tikkopja l-partizzjoni tad-diska kollha, inkluż l-ispazju ħieles - mhux interessanti.

Pereżempju, backup GNU/Linux permezz tal-arkivjar [tar" | gpg] huwa konvenjenti, iżda għall-backup tal-Windows trid tfittex soluzzjoni oħra - mhuwiex interessanti.

E1. Backup universali tal-Windows/Linux. Link rsync (Grsync) + volum VeraCryptAlgoritmu għall-ħolqien ta' kopja ta' backup:

ħolqien ta' kontenitur kriptat (volum/fajl) VeraCrypt għall-OS;
ittrasferixxi/ssinkronizza l-OS billi tuża s-softwer Rsync fil-kontenitur kripto VeraCrypt;
jekk meħtieġ, ittella' l-volum VeraCrypt fuq www.

Il-ħolqien ta' kontenitur VeraCrypt kriptat għandu l-karatteristiċi tiegħu stess:
ħolqien ta 'volum dinamiku (il-ħolqien ta' DT huwa disponibbli biss fil-Windows, jista' jintuża wkoll f'GNU/Linux);
ħolqien ta 'volum regolari, iżda hemm rekwiżit ta' "karattru paranojde" (skond l-iżviluppatur) – ifformattjar tal-kontenitur.

Volum dinamiku jinħoloq kważi istantanjament fil-Windows, iżda meta tikkopja dejta minn GNU/Linux > VeraCrypt DT, il-prestazzjoni ġenerali tal-operazzjoni tal-backup tonqos b'mod sinifikanti.

Jinħoloq volum regolari ta' 70 GB Twofish (Ejja ngħidu biss, bħala qawwa medja tal-PC) għal HDD ~ f'nofs siegħa (Is-sovraskrizzjoni tad-dejta tal-kontenitur preċedenti f'pass wieħed hija dovuta għal rekwiżiti ta 'sigurtà). Il-funzjoni ta 'formattjar malajr ta' volum meta jinħoloq tneħħiet minn VeraCrypt Windows/Linux, għalhekk il-ħolqien ta 'kontenitur huwa possibbli biss permezz ta' "kitba mill-ġdid b'pass wieħed" jew il-ħolqien ta 'volum dinamiku ta' prestazzjoni baxxa.

Oħloq volum VeraCrypt regolari (mhux dinamiku/ntfs), m'għandux ikun hemm problemi.

Ikkonfigura/oħloq/tiftaħ kontenitur fil-VeraCrypt GUI> GNU/Linux live usb (il-volum se jiġi mmuntat awtomatikament għal /media/veracrypt2, il-volum tal-Windows OS se jiġi mmuntat fuq /media/veracrypt1). Ħolqien ta 'backup encrypted tal-Windows OS bl-użu ta' GUI rsync (grsync)billi tiċċekkja l-kaxxi.

Stenna biex il-proċess jitlesta. Ladarba l-backup tkun kompluta, ikollna fajl wieħed encrypted.

Bl-istess mod, oħloq kopja ta' backup tal-OS GNU/Linux billi tneħħi l-iċċekkjar tal-kaxxa ta' kontroll "kompatibbiltà Windows" fil-GUI rsync.

Attenzjoni! oħloq kontenitur Veracrypt għal "backup GNU/Linux" fis-sistema tal-fajls ext4. Jekk tagħmel backup għal kontenitur ntfs, allura meta tirrestawra kopja bħal din, titlef id-drittijiet/gruppi kollha għad-data kollha tiegħek.

Tista 'twettaq l-operazzjonijiet kollha fit-terminal. Għażliet bażiċi għal rsync:
* -g -save gruppi;
* -P —progress — l-istatus tal-ħin imqatta' jaħdem fuq il-fajl;
* -H - kopja hardlinks kif inhi;
* -a -modalità arkivju (bnadar rlptgoD multipli);
* -v -verbalizzazzjoni.

Jekk trid timmonta "Windows VeraCrypt volum" permezz tal-console fis-software cryptsetup, tista 'toħloq alias (su)

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

Issa l-kmand ta '"stampi veramount" se jqanqlek biex iddaħħal passphrase, u l-volum tas-sistema Windows kriptat se jiġi mmuntat fl-OS.

Map/Immonta l-volum tas-sistema VeraCrypt fil-kmand tal-cryptsetup

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

Mappa/immonta partizzjoni/kontenitur VeraCrypt fil-kmand tal-cryptsetup

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

Minflok psewdonimu, aħna se nżidu (skript għall-istartjar) volum tas-sistema bil-Windows OS u disk ntfs kodifikat loġiku għall-istartjar GNU/Linux

Oħloq skript u ssalvah f'~/VeraOpen.sh

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

Aħna nqassmu d-drittijiet "korretti":

sudo chmod 100 /VeraOpen.sh

Oħloq żewġ fajls identiċi (l-istess isem!) f'/etc/rc.local u ~/etc/init.d/rc.local
Mili tal-fajls

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

Aħna nqassmu d-drittijiet "korretti":

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local

Dak hu, issa meta tagħbija GNU/Linux m'għandniex bżonn nidħlu passwords biex jintramaw diski ntfs encrypted, id-diski huma mmuntati awtomatikament.

Nota fil-qosor dwar dak deskritt hawn fuq fil-paragrafu E1 pass pass (iżda issa għal OS GNU/Linux)
1) Oħloq volum f'fs ext4 > 4gb (għall-fajl) Linux f'Veracrypt [Cryptbox].
2) Reboot biex tgħix usb.
3) ~$ cryptsetup miftuħa /dev/sda7 Lunux #mapping partition encrypted.
4) ~$ mount /dev/mapper/Linux /mnt #mount il-partizzjoni kriptata f'/mnt.
5) ~$ mkdir mnt2 #ħolqien ta' direttorju għal backup futur.
6) ~$ cryptsetup miftuħa —veracrypt —type tcrypt ~/CryptoBox CryptoBox && mmuntat /dev/mapper/CryptoBox /mnt2 #Immappa volum Veracrypt jismu “CryptoBox” u immunta l-CryptoBox għal /mnt2.
7) ~$ rsync -avlxhHX —progress /mnt /mnt2/ #operazzjoni ta' backup ta' partizzjoni kriptata għal volum Veracrypt encrypted.

(p/s/ Attenzjoni! Jekk qed tittrasferixxi GNU/Linux encrypted minn arkitettura/magna waħda għal oħra, pereżempju, Intel > AMD (jiġifieri, qed tuża backup minn partizzjoni kriptata għal partizzjoni Intel > AMD encrypted oħra), Tinsiex Wara li tittrasferixxi l-OS encrypted, editja ċ-ċavetta sostituta sigrieta minflok il-password, forsi. iċ-ċavetta preċedenti ~/etc/skey - mhux se tibqa' taqbel ma' partizzjoni kriptata oħra, u mhux rakkomandabbli li tinħoloq ċavetta ġdida "cryptsetup luksAddKey" minn taħt chroot - glitch huwa possibbli, biss f'~/etc/crypttab speċifika minflok "/etc/skey" temporanjament "xejn" ", wara rebot u illoggja fl-OS, terġa' toħloq iċ-ċavetta wildcard sigrieta tiegħek).

Bħala veterani tal-IT, ftakar li tagħmel backups separatament tal-headers tal-ħitan Windows/Linux OS encrypted, jew l-encryption se jdur kontrik.
F'dan il-pass, il-backup tal-OS encrypted jitlesta.

[F] Attakk fuq il-bootloader GRUB2

DettaljiJekk ipproteġijt il-bootloader tiegħek b'firma diġitali u/jew awtentikazzjoni (ara l-punt C6.), allura dan mhux se jipproteġi kontra aċċess fiżiku. Id-dejta kriptata xorta se tkun inaċċessibbli, iżda l-protezzjoni tiġi evitata (irrisettja l-protezzjoni tal-firma diġitali) GRUB2 jippermetti lil cyber-villain jinjetta l-kodiċi tiegħu fil-bootloader mingħajr ma jqajjem suspett (sakemm l-utent ma jimmonitorjax manwalment l-istat tal-bootloader, jew joħroġ bil-kodiċi b'kitba arbitrarja robusta tiegħu stess għal grub.cfg).

Algoritmu tal-attakk. Intruż

* Boots PC minn usb ħajjin. Kwalunkwe bidla (kisser) fajls jinnotifikaw lis-sid reali tal-PC dwar l-intrużjoni fil-bootloader. Iżda installazzjoni mill-ġdid sempliċi ta 'GRUB2 li żżomm grub.cfg (u l-abbiltà sussegwenti li teditjaha) se jippermetti lil attakkant jeditja kwalunkwe fajl (f'din is-sitwazzjoni, meta tagħbija GRUB2, l-utent reali mhux se jiġi nnotifikat. L-istatus huwa l-istess )
* Immonta partizzjoni mhux kriptata, taħżen “/mnt/boot/grub/grub.cfg”.
* Jinstalla mill-ġdid il-bootloader (tneħħi "perskey" mill-immaġni core.img)

grub-install --force --root-directory=/mnt /dev/sda6

* Jirritorna “grub.cfg” > “/mnt/boot/grub/grub.cfg”, jeditjah jekk meħtieġ, pereżempju, billi żżid il-modulu tiegħek “keylogger.mod” mal-folder b’moduli tal-loader, f’“grub.cfg” > linja "insmod keylogger". Jew, per eżempju, jekk l-ghadu huwa cunning, imbagħad wara li jerġa 'jinstalla GRUB2 (il-firem kollha jibqgħu f'posthom) jibni l-immaġni GRUB2 prinċipali billi tuża "grub-mkimage b'għażla (-c)." L-għażla "-c" tippermettilek li tagħbija l-konfigurazzjoni tiegħek qabel ma tgħabbi l-prinċipali "grub.cfg". Il-konfigurazzjoni tista 'tikkonsisti f'linja waħda biss: direzzjoni mill-ġdid għal kwalunkwe "modern.cfg", imħallat, pereżempju, ma' ~ 400 fajl (moduli+firem) fil-folder "/boot/grub/i386-pc". F'dan il-każ, attakkant jista 'jdaħħal kodiċi arbitrarju u jgħabbi moduli mingħajr ma jaffettwa "/boot/grub/grub.cfg", anki jekk l-utent applika "hashsum" għall-fajl u temporanjament werih fuq l-iskrin.
Attakkant mhux se jkollu bżonn hack il-login/password tas-superuser GRUB2; ikollu biss bżonn jikkopja l-linji (responsabbli għall-awtentikazzjoni) "/boot/grub/grub.cfg" għal "modern.cfg" tiegħek

issettja superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

U s-sid tal-PC xorta se jkun awtentikat bħala s-superuser GRUB2.

Katina tat-tagħbija (bootloader jgħabbi bootloader ieħor), kif ktibt hawn fuq, ma jagħmilx sens (huwa maħsub għal skop differenti). Bootloader encrypted ma jistax jitgħabba minħabba l-BIOS (katina boot jerġa 'jibda GRUB2 > encrypted GRUB2, żball!). Madankollu, jekk xorta tuża l-idea tat-tagħbija tal-katina, tista 'tkun ċert li hija dik kriptata li qed titgħabba. (mhux modernizzat) "grub.cfg" mill-partizzjoni kriptata. U dan huwa wkoll sens falz ta 'sigurtà, għaliex dak kollu li huwa indikat fil-kriptaġġ "grub.cfg" (tagħbija tal-modulu) tammonta għal moduli li huma mgħobbija minn GRUB2 mhux kriptat.

Jekk trid tiċċekkja dan, imbagħad talloka/kriptaġġ partizzjoni sdaY oħra, kopja GRUB2 għaliha (l-operazzjoni grub-install fuq partizzjoni kriptata mhix possibbli) u fi "grub.cfg" (konfigurazzjoni mhux ikkodifikata) ibiddel linji bħal dawn

menuentry 'GRUBx2' --class parrot --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
load_video
insmod gzio
jekk [ x$grub_platform = xxen ]; imbagħad insmod xzio; insmod lzopio; fi
insmod part_msdos
insmod cryptodisk
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
normali /boot/grub/grub.cfg
}

linji
* insmod - it-tagħbija tal-moduli meħtieġa biex taħdem b'diska kriptata;
* GRUBx2 - isem tal-linja murija fil-menu boot GRUB2;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -ara. fdisk -l (sda9);
* sett għerq - installa għerq;
* normali /boot/grub/grub.cfg - fajl ta' konfigurazzjoni eżekutibbli fuq partizzjoni kriptata.

Il-kunfidenza li hija l-"grub.cfg" encrypted li hija mgħobbija hija rispons pożittiv għad-dħul tal-password/il-ftuħ "sdaY" meta tagħżel il-linja "GRUBx2" fil-menu GRUB.

Meta taħdem fis-CLI, sabiex ma titħawwadx (u iċċekkja jekk il-varjabbli ambjentali "sett root" ħadimx), Oħloq fajls token vojta, pereżempju, fit-taqsima encrypted "/shifr_grub", fit-taqsima mhux encrypted "/noshifr_grub". Iċċekkjar fil-CLI

cat /Tab-Tab

Kif innutat hawn fuq, dan mhux se jgħin kontra t-tniżżil ta 'moduli malizzjużi jekk tali moduli jispiċċaw fuq il-PC tiegħek. Per eżempju, keylogger li se jkun jista 'jiffranka keystrokes għal fajl u ħallat ma' fajls oħra f'"~/i386" sakemm jitniżżel minn attakkant b'aċċess fiżiku għall-PC.

L-eħfef mod biex tivverifika li l-protezzjoni tal-firma diġitali qed taħdem b'mod attiv (mhux reset), u ħadd ma invada l-bootloader, daħħal il-kmand fis-CLI

list_trusted

bi tweġiba nirċievu kopja tal-“perskey” tagħna, jew ma nirċievu xejn jekk niġu attakkati (jeħtieġ ukoll li tiċċekkja "set check_signatures=enforce").
Żvantaġġ sinifikanti ta 'dan il-pass huwa d-dħul ta' kmandi manwalment. Jekk iżżid dan il-kmand ma '"grub.cfg" u tipproteġi l-konfigurazzjoni b'firma diġitali, allura l-output preliminari tal-istampa ewlenija fuq l-iskrin huwa qasir wisq fil-ħin, u jista' ma jkollokx ħin biex tara l-output wara li tgħabbi GRUB2 .
M'hemm ħadd b'mod partikolari biex jagħmel pretensjonijiet lil: l-iżviluppatur tiegħu dokumentazzjoni klawsola 18.2 tiddikjara uffiċjalment

“Innota li anke bil-protezzjoni tal-password GRUB, GRUB innifsu ma jistax jipprevjeni lil xi ħadd b’aċċess fiżiku għall-magna milli jbiddel il-konfigurazzjoni tal-firmware ta’ dik il-magna (eż., Coreboot jew BIOS) biex tikkawża li l-magna tibbotja minn apparat differenti (ikkontrollat mill-attakkant). GRUB huwa fl-aħjar ħolqa waħda biss f'katina ta' boot sigura."

GRUB2 huwa mgħobbi wisq b'funzjonijiet li jistgħu jagħtu sens ta 'sigurtà falza, u l-iżvilupp tiegħu diġà qabeż lil MS-DOS f'termini ta' funzjonalità, iżda huwa biss bootloader. Huwa umoristiċi li GRUB2 - "għada" jista 'jsir l-OS, u magni virtwali GNU/Linux bootable għaliha.

Vidjow qasir dwar kif reset il-protezzjoni tal-firma diġitali GRUB2 u ddikjarajt l-intrużjoni tiegħi lil utent reali (Bżajtkom, iżda minflok dak li jidher fil-video, tista 'tikteb kodiċi arbitrarju li ma jagħmilx ħsara/.mod).

Konklużjonijiet:

1) Il-kriptaġġ tas-sistema tal-blokki għall-Windows huwa aktar faċli biex jiġi implimentat, u l-protezzjoni b'password waħda hija aktar konvenjenti minn protezzjoni b'diversi passwords b'kriptaġġ tas-sistema tal-blokki GNU/Linux, biex inkunu ġusti: dan tal-aħħar huwa awtomatizzat.

2) Jien ktibt l-artiklu bħala rilevanti u dettaljat sempliċi gwida għall-encryption full-disk VeraCrypt/LUKS fuq dar waħda l-magna, li hija bil-bosta l-aħjar f'RuNet (IMHO). Il-gwida hija twila > 50k karattru, għalhekk ma koprietx xi kapitoli interessanti: kriptografi li jisparixxu/jżommu fid-dell; dwar il-fatt li f’diversi kotba GNU/Linux jiktbu ftit/ma jiktbux dwar il-kriptografija; dwar l-Artikolu 51 tal-Kostituzzjoni tal-Federazzjoni Russa; O liċenzjar/ projbizzjoni encryption fil-Federazzjoni Russa, dwar għaliex għandek bżonn tikkodifika "root/boot". Il-gwida rriżulta li kienet pjuttost estensiva, iżda dettaljata. (li tiddeskrivi anke passi sempliċi), imbagħad, dan se jiffrankaw ħafna ħin meta tasal għall-"kriptaġġ reali".

3) Twettqet encryption tad-diska sħiħa fuq Windows 7 64; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.

4) Implimenta attakk b'suċċess fuq tiegħu Bootloader GRUB2.

5) Tutorial inħoloq biex jgħin lin-nies paranojde kollha fis-CIS, fejn ix-xogħol bil-kriptaġġ huwa permess fil-livell leġiżlattiv. U primarjament għal dawk li jridu joħorġu l-kriptaġġ tad-disk sħiħ mingħajr ma jwaqqgħu s-sistemi konfigurati tagħhom.

6) Ħdimt mill-ġdid u aġġorna l-manwal tiegħi, li huwa rilevanti fl-2020.

[G] Dokumentazzjoni utli

Gwida għall-Utent TrueCrypt (Frar 2012 RU)
Dokumentazzjoni VeraCrypt
/usr/share/doc/cryptsetup(-run) [riżors lokali] (dokumentazzjoni dettaljata uffiċjali dwar it-twaqqif ta' encryption GNU/Linux bl-użu ta' cryptsetup)
FAQ uffiċjali cryptsetup (dokumentazzjoni qasira dwar it-twaqqif ta' encryption GNU/Linux bl-użu ta' cryptsetup)
Encryption tal-apparat LUKS (dokumentazzjoni tal-archlinux)
Deskrizzjoni dettaljata tas-sintassi tal-cryptsetup (paġna man arch)
Deskrizzjoni dettaljata ta 'crypttab (paġna man arch)
Dokumentazzjoni uffiċjali GRUB2.

Tags: kriptaġġ sħiħ tad-diska, kriptaġġ tal-partizzjoni, kriptaġġ sħiħ tad-disk Linux, kriptaġġ tas-sistema sħiħa LUKS1.

Utenti reġistrati biss jistgħu jipparteċipaw fl-istħarriġ. Idħol, ta 'xejn.

Inti kriptaġġ?

17,1%Nikkriptaġġ dak kollu li nista. Jien paranojde.14
34,2%Jien nikkodifika biss data importanti.28
14,6%Xi drabi nikkriptja, xi drabi ninsa.12
34,2%Le, ma nikkodifikax, huwa inkonvenjenti u għali.28

Ivvutaw 82 utent. 22 utent astjenew.

Sors: www.habr.com

Encryption tad-diska sħiħa tas-sistemi installati tal-Windows Linux. Encrypted multi-boot