Windows Linux ထည့်သွင်းထားသော စနစ်များ၏ အပြည့်ဒစ်ကုဒ်ဝှက်ခြင်း ကုဒ်ဝှက်ထားသော multi-boot

RuNet V0.2 တွင် full-disk ကုဒ်ဝှက်ခြင်းအတွက် ကိုယ်ပိုင်လမ်းညွှန်ကို အပ်ဒိတ်လုပ်ထားသည်။

ကောင်းဘွိုင်ဗျူဟာ-

[A] Windows 7 စနစ်သည် ထည့်သွင်းထားသော စနစ်၏ ကုဒ်ဝှက်ခြင်းကို ပိတ်ဆို့ခြင်း၊
[B] GNU/Linux စနစ်သည် ကုဒ်ဝှက်ခြင်းကို ပိတ်ဆို့ထားသည်။ (ဒေဘီယန်) ထည့်သွင်းထားသောစနစ် (/boot အပါအဝင်);
[C] GRUB2 ဖွဲ့စည်းမှုပုံစံ၊ ဒစ်ဂျစ်တယ် လက်မှတ်/အထောက်အထား/ ဟက်ကင်းဖြင့် bootloader အကာအကွယ်၊
[D] ဖယ်ရှားခြင်း—ကုဒ်ဝှက်မထားသော အချက်အလက်များကို ဖျက်ဆီးခြင်း၊
[E] ကုဒ်ဝှက်ထားသော OS ၏ universal backup;
[F] တိုက်ခိုက်ခြင်း <on item [C6]> ပစ်မှတ် - GRUB2 bootloader;
[G]အသုံးဝင်သောစာရွက်စာတမ်း။

╭─── #အခန်း 40# အစီအစဉ် :
├──╼ Windows 7 ထည့်သွင်းထားသည် - ဝှက်ထားခြင်းမရှိသော စနစ်အပြည့်ဖြင့် ကုဒ်ဝှက်ခြင်း၊
├──╼ GNU/Linux ထည့်သွင်းထားသည်။ (Debian နှင့် ဆင့်ပွားဖြန့်ဝေမှုများ) — ဝှက်ထားခြင်းမရှိသော စနစ်အပြည့်ဖြင့် ကုဒ်ဝှက်ခြင်း။(/ အပါအဝင် /boot; swap);
├──╼ သီးခြား bootloaders- VeraCrypt bootloader ကို MBR တွင် ထည့်သွင်းထားပြီး၊ GRUB2 bootloader ကို တိုးချဲ့ထားသော partition တွင် ထည့်သွင်းထားသည်။
├──╼ OS တပ်ဆင်ခြင်း/ပြန်လည်ထည့်သွင်းခြင်း မလိုအပ်ပါ။
└──╼အသုံးပြုထားသော ကုဒ်ဝှက်ဆော့ဖ်ဝဲ- VeraCrypt; Cryptsetup; GnuPG; ပင်လယ်မြင်း; Hashdeep; GRUB2 သည် အခမဲ့/အခမဲ့ဖြစ်သည်။

အထက်ပါအစီအစဥ်သည် "remote boot to a flash drive" ၏ပြဿနာကို တစ်စိတ်တစ်ပိုင်းဖြေရှင်းပေးသည်၊၊ သင်သည် encrypt လုပ်ထားသော OS Windows/Linux ကိုခံစားနိုင်ပြီး OS တစ်ခုမှအခြားတစ်ခုသို့ "စာဝှက်ထားသောချန်နယ်" မှတဆင့်ဒေတာဖလှယ်နိုင်စေပါသည်။

PC boot order (ရွေးချယ်စရာများထဲမှတစ်ခု):

• စက်ကိုဖွင့်;
• VeraCrypt bootloader ကိုဖွင့်ခြင်း။ (မှန်ကန်သောစကားဝှက်ကိုဖြည့်သွင်းပါက Windows 7 ကိုဆက်လက်ဖွင့်ပါမည်);
• "Esc" သော့ကိုနှိပ်ခြင်းဖြင့် GRUB2 boot loader ကို load လိမ့်မည်။
• GRUB2 boot loader (ဖြန့်ချီရေး/GNU/Linux/CLI ကို ရွေးပါ)GRUB2 superuser <login/password> ၏ စစ်မှန်ကြောင်း အထောက်အထား လိုအပ်ပါမည်။
• ဖြန့်ဖြူးမှုကို အောင်မြင်စွာ စစ်မှန်ကြောင်း အတည်ပြုခြင်းနှင့် ရွေးချယ်ခြင်းပြီးနောက်၊ “/boot/initrd.img” ကိုသော့ဖွင့်ရန် စကားဝှက်တစ်ခု ထည့်သွင်းရန် လိုအပ်မည်ဖြစ်သည်။
• အမှားအယွင်းမရှိသော စကားဝှက်များကို ရိုက်ထည့်ပြီးနောက် GRUB2 သည် စကားဝှက်ထည့်သွင်းရန် လိုအပ်မည်ဖြစ်သည်။ (တတိယ၊ BIOS စကားဝှက် သို့မဟုတ် GNU/Linux သုံးစွဲသူအကောင့် စကားဝှက်ကို ထည့်သွင်းစဉ်းစားခြင်းမပြုပါ) GNU/Linux OS ကိုသော့ဖွင့်ပြီးဖွင့်ရန် သို့မဟုတ် လျှို့ဝှက်သော့ကို အလိုအလျောက်အစားထိုးခြင်း။ (စကားဝှက် နှစ်ခု + သော့ သို့မဟုတ် စကားဝှက် + သော့);
• GRUB2 configuration အတွင်းသို့ ပြင်ပမှဝင်ရောက်ခြင်းသည် GNU/Linux boot လုပ်ငန်းစဉ်ကို ရပ်တန့်စေမည်ဖြစ်သည်။

ဒုက္ခလား? အိုကေ၊ လုပ်ငန်းစဉ်များကို အလိုအလျောက်လုပ်ကြရအောင်။

hard drive ကို partition လုပ်တဲ့အခါ (MBR ဇယား) PC တစ်လုံးတွင် ပင်မ partition 4 ခုထက်မပိုစေရ၊ သို့မဟုတ် ပင်မ 3 ခုနှင့် တိုးချဲ့ထားသော တစ်ခုအပြင် ခွဲဝေမထားသော ဧရိယာလည်း ရှိနိုင်ပါသည်။ ပင်မအပိုင်းနှင့်မတူဘဲ တိုးချဲ့ထားသောအပိုင်းတွင် အပိုင်းခွဲများပါရှိသည်။ (logical drives=extended partition). တစ်နည်းဆိုရသော်၊ HDD ရှိ “extended partition” သည် လက်ရှိလုပ်ဆောင်စရာအတွက် LVM ကို အစားထိုးသည်- စနစ်အပြည့်အစုံ ကုဒ်ဝှက်ခြင်း ဖြစ်သည်။ အကယ်၍ သင့်ဒစ်ကို အဓိက အပိုင်း ၄ ပိုင်းအဖြစ် ပိုင်းခြားထားပါက၊ သင်သည် lvm ကို အသုံးပြုရန် သို့မဟုတ် အသွင်ပြောင်းရန် လိုအပ်သည်။ (ဖော်မတ်ဖြင့်) အပိုင်းကို ပင်မမှအဆင့်မြင့်အထိ သို့မဟုတ် ကဏ္ဍလေးခုစလုံးကို ပညာရှိရှိအသုံးပြုကာ လိုချင်သောရလဒ်ကိုရရှိရန် အရာအားလုံးကို မူလအတိုင်းထားခဲ့ပါ။ သင့် disk တွင် partition တစ်ခုရှိလျှင်ပင် Gparted သည်သင့် HDD ကို partition လုပ်ရန်ကူညီလိမ့်မည်။ (နောက်ထပ်အပိုင်းများအတွက်) ဒေတာဆုံးရှုံးခြင်းမရှိဘဲ၊ သို့သော်ထိုကဲ့သို့သောလုပ်ရပ်များအတွက်သေးငယ်တဲ့ပြစ်ဒဏ်နှင့်အတူနေဆဲဖြစ်သည်။

ဆောင်းပါးတစ်ခုလုံးကို စကားဖြင့်ပြောမည့် hard drive အပြင်အဆင်အစီအစဉ်ကို အောက်ပါဇယားတွင် တင်ပြထားသည်။

1TB အခန်းကန့်များ ၏ ဇယား (နံပါတ် 1)။

သင့်မှာလည်း အလားတူတစ်ခုခုရှိသင့်တယ်။
sda1 - ပင်မ partition နံပါတ် 1 NTFS (ကုဒ်ဝှက်ထားသည်);
sda2 - တိုးချဲ့အပိုင်း အမှတ်အသား၊
sda6 - ယုတ္တိဒစ် (၎င်းတွင် GRUB2 bootloader ကိုထည့်သွင်းထားသည်။
sda8 - swap (ကုဒ်ဝှက်ထားသော swap ဖိုင်/အမြဲတမ်းမဟုတ်ပါ);
sda9 - စမ်းသပ်မှု ယုတ္တိဒစ်;
sda5 - စူးစမ်းလိုသူများအတွက် ယုတ္တိဗေဒဒစ်။
sda7 - GNU/Linux OS (OS ကို ကုဒ်ဝှက်ထားသော ယုတ္တိဒစ်တစ်ခုသို့ လွှဲပြောင်းခဲ့သည်);
sda3 - Windows 2 OS ဖြင့် ပင်မအပိုင်းအမှတ် 7 (ကုဒ်ဝှက်ထားသည်);
sda4 - ပင်မအပိုင်း နံပါတ် ၃ (၎င်းတွင် ကုဒ်မထားသော GNU/Linux ပါ၀င်သည်၊ အရန်သိမ်းရန်/အမြဲတမ်းသုံးသည်).

[A] Windows 7 စနစ် ကုဒ်ဝှက်ခြင်း ပိတ်ဆို့ခြင်း။

A1။ VeraCrypt

မှဒေါင်းလုဒ်လုပ်ပါ။ တာဝန်ရှိသူတဦးက site ကိုဒါမှမဟုတ် မှန်ထဲကလား။ နေပြည်တော် VeraCrypt ကုဒ်ဝှက်ဆော့ဖ်ဝဲ၏ တပ်ဆင်မှုဗားရှင်း (ဆောင်းပါး v1.24-Update3 ကိုထုတ်ဝေသည့်အချိန်တွင်၊ VeraCrypt ၏အိတ်ဆောင်ဗားရှင်းသည် စနစ်ကုဒ်ဝှက်ခြင်းအတွက် မသင့်လျော်ပါ). ဒေါင်းလုဒ်လုပ်ထားသော software ၏ checksum ကိုစစ်ဆေးပါ။

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

VeraCrypt developer ဝဘ်ဆိုက်တွင် တင်ထားသော CS နှင့် ရလဒ်ကို နှိုင်းယှဉ်ပါ။

HashTab ဆော့ဖ်ဝဲလ်ကို ထည့်သွင်းပါက၊ ၎င်းသည် ပိုမိုလွယ်ကူသည်- RMB (VeraCrypt စနစ်ထည့်သွင်းခြင်း 1.24.exe)-properties - ဖိုင်များ၏ hash ပေါင်းလဒ်။

ပရိုဂရမ်လက်မှတ်ကို အတည်ပြုရန်၊ ဆော့ဖ်ဝဲနှင့် ဆော့ဖ်ဝဲရေးသားသူ၏ အများသူငှာ pgp သော့တို့ကို စနစ်တွင် ထည့်သွင်းရပါမည်။ gnuPG; gpg4win.

A2။ စီမံခန့်ခွဲသူအခွင့်အရေးများဖြင့် VeraCrypt ဆော့ဖ်ဝဲကို ထည့်သွင်းခြင်း/လုပ်ဆောင်ခြင်း။

A3။ တက်ကြွသောအပိုင်းအတွက် စနစ်ကုဒ်ဝှက်ခြင်း ဘောင်များကို ရွေးချယ်ခြင်း။VeraCrypt – စနစ် – စနစ်ခွဲခန်း/ဒစ်ခ်ကို စာဝှက်ခြင်း – ပုံမှန် – Windows စနစ်အပိုင်းကို စာဝှက်ခြင်း – Multiboot – (သတိပေးချက်- "အတွေ့အကြုံမရှိသော အသုံးပြုသူများကို ဤနည်းလမ်းကို အသုံးပြုရန် အကြံပြုထားခြင်း မရှိကြောင်း" နှင့် ၎င်းသည် မှန်ပါသည်၊ ကျွန်ုပ်တို့ သဘောတူသည် "Yes") - Boot disk (“ဟုတ်” မဟုတ်ရင်တောင် “ဟုတ်” ဆဲ) - စနစ်ဒစ်နံပါတ် “2 သို့မဟုတ် ထို့ထက်ပိုသော” – ဒစ်တစ်ခုတွင် “Yes” – Windows မဟုတ်သော boot loader “No” (တကယ်တော့ "ဟုတ်ပါတယ်၊" သို့သော် VeraCrypt/GRUB2 boot loaders များသည် MBR ကို ၎င်းတို့အချင်းချင်းမျှဝေမည်မဟုတ်ပါ၊ ပို၍တိကျစွာပြောရလျှင်၊ boot loader code ၏အသေးဆုံးအပိုင်းကိုသာ MBR/boot track တွင်သိမ်းဆည်းထားသည်၊ ၎င်း၏အဓိကအစိတ်အပိုင်းမှာ ဖိုင်စနစ်အတွင်းတွင်တည်ရှိသည်) – Multiboot – ကုဒ်ဝှက်ခြင်း ဆက်တင်များ…

အထက်ဖော်ပြပါ အဆင့်များမှလွဲချော်ပါက (စနစ်ကုဒ်ဝှက်ခြင်းအစီအစဉ်များကို ပိတ်ဆို့ခြင်း)ထို့နောက် VeraCrypt သည် သတိပေးချက် ထုတ်ပြန်မည်ဖြစ်ပြီး အခန်းကန့်ကို စာဝှက်ရန် ခွင့်မပြုပါ။

ပစ်မှတ်ထားသော ဒေတာကာကွယ်ရေးအတွက် နောက်တစ်ဆင့်တွင်၊ "စမ်းသပ်မှု" ပြုလုပ်ပြီး ကုဒ်ဝှက်ခြင်းဆိုင်ရာ အယ်လဂိုရီသမ်တစ်ခုကို ရွေးချယ်ပါ။ သင့်တွင် ခေတ်မမီသော CPU ရှိပါက၊ အမြန်ဆုံး ကုဒ်ဝှက်ခြင်းဆိုင်ရာ အယ်လဂိုရီသမ်သည် Twofish ဖြစ်လိမ့်မည်။ CPU သည် အားကောင်းပါက၊ ခြားနားချက်ကို သင်သတိပြုမိလိမ့်မည်- စမ်းသပ်မှုရလဒ်များအရ AES ကုဒ်ဝှက်ခြင်းသည် ၎င်း၏ crypto ပြိုင်ဘက်များထက် အဆများစွာ ပိုမြန်မည်ဖြစ်သည်။ AES သည် လူကြိုက်များသော ကုဒ်ဝှက်ခြင်းဆိုင်ရာ အယ်လဂိုရီသမ်တစ်ခုဖြစ်သည်။ ခေတ်မီ CPU များ၏ ဟာ့ဒ်ဝဲကို "လျှို့ဝှက်" နှင့် "ဟက်ကာ" နှစ်မျိုးလုံးအတွက် အထူးပြုလုပ်ထားသည်။

VeraCrypt သည် AES cascade ရှိ disks များကို စာဝှက်ရန် စွမ်းရည်ကို ပံ့ပိုးပေးသည်။(ငါးနှစ်ကောင်)/ နှင့်အခြားပေါင်းစပ်။ လွန်ခဲ့သော XNUMX နှစ်ခန့်က Intel CPU အဟောင်းတစ်ခုတွင် (AES၊ A/T cascade ကုဒ်ဝှက်ခြင်းအတွက် ဟာ့ဒ်ဝဲပံ့ပိုးမှုမရှိဘဲ) စွမ်းဆောင်ရည် ကျဆင်းခြင်းသည် အဓိကအားဖြင့် မမြင်နိုင်ပေ။ (တူညီသောခေတ်ရှိ AMD CPU များအတွက် / ~ ကန့်သတ်ချက်များ၊ စွမ်းဆောင်ရည်အနည်းငယ်လျှော့ချသည်). OS သည် ဒိုင်းနမစ်ဖြင့် အလုပ်လုပ်ပြီး ပွင့်လင်းမြင်သာသော ကုဒ်ဝှက်ခြင်းအတွက် ရင်းမြစ်သုံးစွဲမှုကို မမြင်နိုင်ပါ။ ဆန့်ကျင်ဘက်အနေနှင့်၊ ဥပမာ၊ ထည့်သွင်းထားသည့် မတည်မငြိမ် စမ်းသပ်မှု ဒက်စ်တော့ပတ်ဝန်းကျင် Mate v1.20.1 ကြောင့် စွမ်းဆောင်ရည် သိသိသာသာ ကျဆင်းသွားပါသည်။ (သို့မဟုတ် v1.20.2 အတိအကျ မမှတ်မိတော့ပါ) GNU/Linux တွင် သို့မဟုတ် Windows7↑ တွင် telemetry ပုံမှန်လည်ပတ်မှုကြောင့်ဖြစ်သည်။ ပုံမှန်အားဖြင့်၊ အတွေ့အကြုံရှိအသုံးပြုသူများသည် ကုဒ်ဝှက်ခြင်းမပြုမီ ဟာ့ဒ်ဝဲစွမ်းဆောင်ရည်စစ်ဆေးမှုများကို ပြုလုပ်ကြသည်။ ဥပမာအားဖြင့်၊ Aida64/Sysbench/systemd-analyze တွင် system encrypt လုပ်ပြီးနောက် တူညီသောစမ်းသပ်မှုရလဒ်များနှင့် နှိုင်းယှဉ်ပြီး "system encryption is harmful" ဆိုတဲ့ ဒဏ္ဍာရီကို သူတို့ကိုယ်သူတို့ ငြင်းဆိုပါတယ်။ "system data backup" လုပ်ဆောင်ချက်ကို ms ဖြင့် မတိုင်းတာထားသောကြောင့် အရန်ကူး/ပြန်ယူသည့်အခါတွင် အဆင်မပြေမှုနှင့် အဆင်မပြေမှုများကို သိသာထင်ရှားစေပါသည်။ အဆုံးစွန်အားဖြင့်၊ cryptography ကို tinker လုပ်ခွင့်ပြုသော အသုံးပြုသူတိုင်းသည် လက်ရှိလုပ်ဆောင်စရာများ၏ ကျေနပ်မှု၊ ၎င်းတို့၏ ကြောက်ရွံ့မှုအဆင့်နှင့် အသုံးပြုရလွယ်ကူမှုတို့နှင့် ဆန့်ကျင်ဘက်ဖြစ်သော ကုဒ်ဝှက်ခြင်းဆိုင်ရာ အယ်လဂိုရီသမ်ကို ချိန်ညှိပေးပါသည်။

OS ကို loading လုပ်တဲ့အခါတိုင်း တိကျတဲ့ iteration values ​​တွေထည့်စရာမလိုအောင် PIM parameter ကို default အနေနဲ့ထားခဲ့တာက ပိုကောင်းပါတယ်။ VeraCrypt သည် အမှန်တကယ် "နှေးကွေးသော hash" ကို ဖန်တီးရန် ထပ်တလဲလဲ အများအပြားကို အသုံးပြုသည်။ Brute force/rainbow tables နည်းလမ်းကို အသုံးပြု၍ ထိုကဲ့သို့သော "crypto ခရု" ကို တိုက်ခိုက်ခြင်းသည် တိုတောင်းသော "ရိုးရှင်း" စကားဝှက်နှင့် သားကောင်၏ ကိုယ်ရေးကိုယ်တာ ဇယားကွက်များစာရင်းဖြင့်သာ အဓိပ္ပာယ်ရှိစေသည်။ စကားဝှက်ခိုင်ခံ့မှုအတွက် ပေးဆောင်ရမည့်စျေးနှုန်းမှာ OS ကိုဖွင့်သည့်အခါ မှန်ကန်သောစကားဝှက်ကိုထည့်သွင်းရာတွင် နှောင့်နှေးမှုတစ်ခုဖြစ်သည်။ (GNU/Linux တွင် VeraCrypt volumes များကို တပ်ဆင်ခြင်းသည် သိသိသာသာ ပိုမြန်သည်)။
brute force တိုက်ခိုက်မှုများကို အကောင်အထည်ဖော်ရန်အတွက် အခမဲ့ဆော့ဖ်ဝဲ (VeraCrypt/LUKS ဒစ်ခ်ခေါင်းစီးမှ စကားဝှက်ကို ထုတ်ယူပါ) Hashcat John the Ripper သည် Veracrypt ကို မည်ကဲ့သို့ ချိုးဖျက်ရမည်ကို မသိပါ၊ LUKS နှင့် အလုပ်လုပ်သောအခါ Twofish cryptography ကို နားမလည်ပါ။

ကုဒ်ဝှက်ခြင်းဆိုင်ရာ အယ်လဂိုရီသမ်များ၏ လျှို့ဝှက်ကုဒ်ဖော်ပြမှု အားကောင်းမှုကြောင့်၊ ရပ်တန့်၍မရသော ဆိုက်ဖာပန့်ခ်များသည် မတူညီသော တိုက်ခိုက်ရေးဗက်တာဖြင့် ဆော့ဖ်ဝဲလ်ကို တီထွင်လျက်ရှိသည်။ ဥပမာအားဖြင့် RAM မှ မက်တာဒေတာ/ကီးများကို ထုတ်ယူခြင်း။ (အေးသော boot/ တိုက်ရိုက်မမ်မိုရီဝင်ရောက်တိုက်ခိုက်ခြင်း)၊ ဤရည်ရွယ်ချက်များအတွက် အထူးပြု အခမဲ့နှင့် အခမဲ့မဟုတ်သော ဆော့ဖ်ဝဲများ ရှိပါသည်။

ကုဒ်ဝှက်ထားသော တက်ကြွသော partition ၏ "ထူးခြားသော မက်တာဒေတာ" ကို စနစ်ထည့်သွင်းခြင်း/ထုတ်လုပ်ခြင်း ပြီးသောအခါ၊ VeraCrypt သည် PC ကို ပြန်လည်စတင်ရန်နှင့် ၎င်း၏ bootloader ၏ လုပ်ဆောင်နိုင်စွမ်းကို စမ်းသပ်ရန် ကမ်းလှမ်းမည်ဖြစ်သည်။ Windows ပြန်လည်စတင်ခြင်း/စတင်ပြီးနောက်၊ VeraCrypt သည် အသင့်အနေအထားတွင် ရှိနေမည်ဖြစ်ပြီး ကျန်အားလုံးသည် ကုဒ်ဝှက်ခြင်းလုပ်ငန်းစဉ်ကို အတည်ပြုရန်ဖြစ်သည် - Y။

စနစ်ကုဒ်ဝှက်ခြင်း၏ နောက်ဆုံးအဆင့်တွင်၊ VeraCrypt သည် “veracrypt rescue disk.iso” ပုံစံဖြင့် လုပ်ဆောင်နေသော ကုဒ်ဝှက်ထားသောအပိုင်း၏ ခေါင်းစီး၏ အရန်မိတ္တူကို ဖန်တီးရန် ကမ်းလှမ်းလိမ့်မည် - ၎င်းကို လုပ်ဆောင်ရမည် - ဤဆော့ဖ်ဝဲတွင် ထိုသို့သောလုပ်ဆောင်ချက်သည် လိုအပ်ချက်တစ်ခုဖြစ်သည်။ (လိုအပ်ချက်တစ်ခုအနေဖြင့် LUKS တွင် ဤအရာအား ကံမကောင်းစွာဖြင့် ချန်လှပ်ထားသော်လည်း စာရွက်စာတမ်းတွင် အလေးပေးဖော်ပြထားသည်). Rescue disk သည် လူတိုင်းအတွက် အဆင်ပြေမည်ဖြစ်ပြီး အချို့အတွက် တစ်ကြိမ်ထက်ပိုပါသည်။ ဆုံးရှုံးမှု (ခေါင်းစီး/MBR ပြန်လည်ရေးသားခြင်း) ခေါင်းစီး၏ အရန်မိတ္တူသည် OS Windows ဖြင့် ကုဒ်ဝှက်ထားသော အခန်းကန့်သို့ ဝင်ရောက်ခွင့်ကို အပြီးတိုင် ငြင်းပယ်လိမ့်မည်။

A4။ VeraCrypt ကယ်ဆယ်ရေး USB/disk ဖန်တီးခြင်း။မူရင်းအားဖြင့်၊ VeraCrypt သည် CD တစ်ခုတွင် “~2-3MB of metadata” ကို မီးရှို့ရန် ကမ်းလှမ်းသော်လည်း လူအားလုံးတွင် ဒစ်ခ်များ သို့မဟုတ် DWD-ROM ဒရိုက်ဗ်များ ရှိကြပြီး bootable flash drive “VeraCrypt Rescue disk” ကို ဖန်တီးခြင်းသည် အချို့သူများအတွက် နည်းပညာပိုင်းဆိုင်ရာ အံ့အားသင့်စရာ ဖြစ်လိမ့်မည်- Rufus /GUIdd-ROSA ImageWriter နှင့် အခြားအလားတူဆော့ဖ်ဝဲလ်များသည် လုပ်ငန်းဆောင်တာများကို ကိုင်တွယ်ဖြေရှင်းနိုင်မည်မဟုတ်ပါ၊ အဘယ်ကြောင့်ဆိုသော် bootable flash drive သို့ offset metadata ကိုကူးယူခြင်းအပြင်၊ သင်သည် USB drive ၏ဖိုင်စနစ်အပြင်ဘက်တွင် ပုံကူးထည့်ရန် လိုအပ်ပါသည်။ အတိုချုပ်အားဖြင့်၊ MBR/road ကို သော့ချိတ်သို့ မှန်ကန်စွာ ကူးယူပါ။ ဤလက္ခဏာကိုကြည့်၍ "dd" utility ကို အသုံးပြု၍ GNU/Linux OS မှ bootable flash drive တစ်ခုကို ဖန်တီးနိုင်သည်။

Windows ပတ်၀န်းကျင်တွင် ကယ်ဆယ်ရေးဒစ်တစ်ခုကို ဖန်တီးခြင်းသည် ကွဲပြားသည်။ VeraCrypt ၏ developer သည် ဤပြဿနာအတွက် ဖြေရှင်းချက်ကို တရားဝင်တွင် မပါဝင်ပါ။ စာရွက်စာတမ်း “rescue disk” ဖြင့်၊ သို့သော် မတူညီသောနည်းလမ်းဖြင့် ဖြေရှင်းချက်တစ်ခုကို အဆိုပြုခဲ့သည်- သူသည် ၎င်း၏ VeraCrypt ဖိုရမ်တွင် အခမဲ့ဝင်ရောက်အသုံးပြုနိုင်ရန်အတွက် “usb ကယ်ဆယ်ရေးဒစ်” ဖန်တီးရန်အတွက် နောက်ထပ်ဆော့ဖ်ဝဲလ်ကို တင်ခဲ့သည်။ Windows အတွက် ဤဆော့ဖ်ဝဲ၏ မော်ကွန်းထိန်းသည် "usb veracrypt ကယ်ဆယ်ရေးဒစ်ကို ဖန်တီးနေသည်" ဖြစ်သည်။ ကယ်တင်ခြင်း disk.iso ကိုသိမ်းဆည်းပြီးနောက်၊ တက်ကြွသော partition ၏ပိတ်ဆို့ခြင်းစနစ်ကုဒ်ဝှက်ခြင်းလုပ်ငန်းစဉ်စတင်လိမ့်မည်။ လျှို့ဝှက်ကုဒ်သွင်းနေစဉ်တွင်၊ OS ၏လုပ်ဆောင်ချက်သည် ရပ်သွားမည်မဟုတ်ပါ၊ PC ပြန်လည်စတင်ရန် မလိုအပ်ပါ။ ကုဒ်ဝှက်ခြင်းလုပ်ဆောင်မှု ပြီးဆုံးသောအခါ၊ တက်ကြွသောအပိုင်းသည် အပြည့်အဝ ကုဒ်ဝှက်ပြီး အသုံးပြုနိုင်သည်။ အကယ်၍ သင် PC ကိုစတင်ချိန်တွင် VeraCrypt boot loader မပေါ်ပါက၊ header recovery operation သည် မကူညီပါက၊ ထို့နောက် "boot" အလံကိုစစ်ဆေးပါ၊ ၎င်းကို Windows ပါရှိသည့် partition သို့ သတ်မှတ်ရပါမည်။ (ကုဒ်ဝှက်ခြင်းနှင့် အခြား OS များကို မခွဲခြားဘဲ ဇယားနံပါတ် 1 ကိုကြည့်ပါ)။
၎င်းသည် Windows OS ဖြင့် ပိတ်ဆို့စနစ်ကုဒ်ဝှက်ခြင်း၏ ဖော်ပြချက်ကို ပြီးမြောက်စေသည်။

[B]LUKS။ GNU/Linux ကုဒ်ဝှက်ခြင်း (~Debian) ထည့်သွင်းထားသော OS။ Algorithm နှင့် အဆင့်များ

ထည့်သွင်းထားသည့် Debian/derivative ဖြန့်ဖြူးမှုကို စာဝှက်ရန်အတွက်၊ ပြင်ဆင်ထားသော partition ကို virtual block device တစ်ခုသို့ မြေပုံဆွဲပြီး၊ ၎င်းကို မြေပုံဆွဲထားသော GNU/Linux disk သို့ လွှဲပြောင်းပြီး GRUB2 ကို ထည့်သွင်း/ပြင်ဆင်ရန် လိုအပ်ပါသည်။ သင့်တွင် သတ္တုဗလာဆာဗာမရှိပါ၊ သင့်အချိန်ကို သင်တန်ဖိုးထားပါက GUI ကိုအသုံးပြုရန် လိုအပ်ပြီး အောက်တွင်ဖော်ပြထားသော terminal command အများစုကို "Chuck-Norris mode" တွင် လုပ်ဆောင်ရန် ရည်ရွယ်ပါသည်။

B1 တိုက်ရိုက် usb GNU/Linux မှ PC ကို စတင်ခြင်း

"ဟာ့ဒ်ဝဲစွမ်းဆောင်ရည်အတွက် crypto စမ်းသပ်မှုပြုလုပ်ပါ"

lscpu && сryptsetup benchmark

အကယ်၍ သင်သည် AES ဟာ့ဒ်ဝဲပံ့ပိုးမှုဖြင့် အားကောင်းသောကားတစ်စီး၏ ပျော်ရွှင်စွာပိုင်ဆိုင်သူဖြစ်ပါက၊ နံပါတ်များသည် terminal ၏ညာဘက်ခြမ်းနှင့်တူလိမ့်မည်၊ သင်သည် ပျော်ရွှင်သောပိုင်ရှင်ဖြစ်သည်၊ သို့သော် ရှေးဟောင်း hardware ဖြင့် နံပါတ်များသည် ဘယ်ဘက်ခြမ်းနှင့်တူမည်ဖြစ်သည်။

B2 Disk partitioning ။ fs ယုတ္တိဒစ် HDD ကို Ext4 သို့ တပ်ဆင်ခြင်း/ပုံစံချခြင်း (Gparted)

B2.1။ ကုဒ်ဝှက်ထားသော sda7 အခန်းကန့်ခေါင်းစီးကို ဖန်တီးခြင်း။အထက်ဖော်ပြပါ ကျွန်ုပ်၏ partition ဇယားနှင့်အညီ ဤနေရာတွင် နှင့် နောက်ထပ်အပိုင်းများကို ကျွန်ုပ်ဖော်ပြပါမည်။ သင်၏ disk အပြင်အဆင်အရ၊ သင်သည် သင်၏ partition အမည်များကို အစားထိုးရပါမည်။

Logical Drive Encryption Mapping (/dev/sda7 > /dev/mapper/sda7_crypt)။
"LUKS-AES-XTS partition" ကို လွယ်ကူစွာ ဖန်တီးနိုင်ခြင်း။

cryptsetup -v -y luksFormat /dev/sda7

ရွေးစရာများ

* luksFormat - LUKS ခေါင်းစီး၏ အစပြုခြင်း
* -y -passphrase (သော့/ဖိုင်မဟုတ်ပါ);
* -v -verbalization (terminal တွင်အချက်အလက်ပြသခြင်း);
* /dev/sda7 - တိုးချဲ့ထားသော partition မှ သင့်ယုတ္တိဒစ် (GNU/Linux ကို လွှဲပြောင်း/စာဝှက်ရန် စီစဉ်ထားသည့်နေရာ).

ပုံသေ ကုဒ်ဝှက်ခြင်း အယ်လဂိုရီသမ် <LUKS1- aes-xts-plain64၊ သော့- 256 ဘစ်၊ LUKS ခေါင်းစီး ဟက်ခြင်း- sha256၊ RNG- /dev/urandom> (cryptsetup ဗားရှင်းပေါ် မူတည်.)

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

CPU တွင် AES အတွက် ဟာ့ဒ်ဝဲ ပံ့ပိုးမှု မရှိပါက၊ အကောင်းဆုံး ရွေးချယ်မှုမှာ တိုးချဲ့ “LUKS-Twofish-XTS-partition” ကို ဖန်တီးရန် ဖြစ်သည်။

B2.2။ “LUKS-Twofish-XTS-partition” ၏ အဆင့်မြင့် ဖန်တီးမှု

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

ရွေးစရာများ
* luksFormat - LUKS ခေါင်းစီး၏ အစပြုခြင်း
* /dev/sda7 သည် သင်၏အနာဂတ်တွင် ကုဒ်ဝှက်ထားသော ယုတ္တိဒစ်ဖြစ်သည်။
*-v နှုတ်ဖြင့်ပြောခြင်း၊
* -y စကားဝှက်;
* -c ဒေတာ ကုဒ်ဝှက်ခြင်း အယ်ဂိုရီသမ်ကို ရွေးချယ်ပါ။
* -s ကုဒ်ဝှက်ခြင်းသော့အရွယ်အစား;
* -h hashing algorithm/crypto လုပ်ဆောင်ချက်၊ RNG ကို အသုံးပြုသည်။ (--Urandom) ယုတ္တိဒစ်ခေါင်းစီးအတွက် ထူးခြားသော ကုဒ်ဝှက်ခြင်း/စာဝှက်ခြင်းသော့ကို ဖန်တီးရန်၊ ဒုတိယခေါင်းစီးကီး (XTS); ကုဒ်ဝှက်ထားသော disk ခေါင်းစီးတွင် သိမ်းဆည်းထားသော ထူးခြားသည့် မာစတာကီးတစ်ခု၊ ဒုတိယ XTS သော့၊ ဤမက်တာဒေတာအားလုံးနှင့် မာစတာကီးနှင့် ဒုတိယ XTS သော့တို့ကို အသုံးပြု၍ အခန်းကန့်ရှိ မည်သည့်ဒေတာကိုမဆို စာဝှက်ပေးသည် (ကဏ္ဍခေါင်းစဉ်မှလွဲ၍) ရွေးချယ်ထားသော hard disk partition တွင် ~3MB တွင် သိမ်းဆည်းထားသည်။
* -i သည် "ပမာဏ" အစား မီလီစက္ကန့်ဖြင့် ထပ်ခြင်း (စကားဝှက်ကိုလုပ်ဆောင်ရာတွင် အချိန်နှောင့်နှေးခြင်းသည် OS ၏တင်ခြင်းနှင့် သော့များ၏ လျှို့ဝှက်သင်္ကေတဆိုင်ရာ ခွန်အားအပေါ် သက်ရောက်သည်)။ လျှို့ဝှက်စာဝှက် ခိုင်ခံ့မှု ချိန်ခွင်လျှာကို ထိန်းသိမ်းရန်၊ "ရုရှား" ကဲ့သို့သော ရိုးရှင်းသော စကားဝှက်ဖြင့် သင် -(i) တန်ဖိုးကို တိုးရန် လိုအပ်သည်၊ "?8dƱob/øfh" ကဲ့သို့သော ရှုပ်ထွေးသော စကားဝှက်ဖြင့် တန်ဖိုးကို လျှော့ချနိုင်သည်။
* —Urandom ကျပန်းနံပါတ် မီးစက်ကိုသုံး၍ သော့နှင့်ဆားကိုထုတ်ပေးသည်။

အပိုင်းကို ပုံဖော်ပြီးနောက် sda7 > sda7_crypt (ကုဒ်ဝှက်ထားသော ခေါင်းစီးကို မက်တာဒေတာ ~3 MB ဖြင့် ဖန်တီးထားသောကြောင့် လုပ်ဆောင်ချက်သည် မြန်ဆန်ပါသည်)သင်သည် sda7_crypt ဖိုင်စနစ်ကို ဖော်မတ်လုပ်ပြီး တပ်ဆင်ရန် လိုအပ်သည်။

B2.3။ နှိုင်းယှဉ်ခြင်း။

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

ရွေးချယ်စရာများ-
* ဖွင့် - အပိုင်း "အမည်ဖြင့်" ကိုက်ညီပါ။
* /dev/sda7 -logical disk;
* sda7_crypt - ကုဒ်ဝှက်ထားသောအပိုင်းကို တပ်ဆင်ရန် သို့မဟုတ် OS စတင်သည့်အခါ ၎င်းကို အစပြုရန် အသုံးပြုသည့် အမည်မြေပုံဆွဲခြင်း။

B2.4။ sda7_crypt ဖိုင်စနစ်အား ext4 သို့ ဖော်မတ်လုပ်ခြင်း။ OS တွင် disk တစ်ခုကို တပ်ဆင်ခြင်း။(မှတ်ချက်- Gparted တွင် ကုဒ်ဝှက်ထားသော အခန်းကန့်တစ်ခုဖြင့် သင် အလုပ်လုပ်နိုင်မည် မဟုတ်ပါ။)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt 

ရွေးချယ်စရာများ-
* -v -verbalization;
* -L - drive တံဆိပ် (အခြားဒရိုက်များအကြား Explorer တွင်ပြသထားသည်)။

ထို့နောက်၊ သင်သည် virtual-encrypted block device /dev/sda7_crypt ကို စနစ်သို့ တပ်ဆင်သင့်သည်။

mount /dev/mapper/sda7_crypt /mnt

/mnt ဖိုဒါရှိ ဖိုင်များနှင့် အလုပ်လုပ်ခြင်းသည် sda7 တွင် ဒေတာကို အလိုအလျောက် စာဝှက်/စာဝှက် ကုဒ်လုပ်မည်ဖြစ်သည်။

Explorer တွင် partition ကိုမြေပုံနှင့်တပ်ဆင်ရန်ပိုမိုအဆင်ပြေသည်။ (nautilus/caja GUI)အခန်းကန့်သည် ဒစ်ခ်ရွေးချယ်မှုစာရင်းတွင် ရှိနှင့်ပြီးဖြစ်ကာ ကျန်အားလုံးသည် ဒစ်ခ်ကိုဖွင့်/စာဝှက်ရန် စကားဝှက်ကို ထည့်သွင်းရန်ဖြစ်သည်။ လိုက်ဖက်သောအမည်ကို “sda7_crypt” မဟုတ်ဘဲ အလိုအလျောက်ရွေးချယ်သွားမည်ဖြစ်ပြီး /dev/mapper/Luks-xx-xx...

B2.5။ Disc ခေါင်းစီး အရန်ကူးခြင်း (~3MB မက်တာဒေတာ)အများဆုံးတစ်ခုမှာ အရေးကြီးသည် နှောင့်နှေးမှုမရှိဘဲ လုပ်ဆောင်ရန်လိုအပ်သည့် လုပ်ဆောင်ချက်များ - “sda7_crypt” ခေါင်းစီး၏ အရန်မိတ္တူ။ ခေါင်းစီးကို overwrite/damage လုပ်ရင် (ဥပမာ၊ sda2 partition တွင် GRUB7 ကို ထည့်သွင်းခြင်း စသည်ဖြင့်)တူညီသောသော့များကို ပြန်လည်ဖန်တီးရန် မဖြစ်နိုင်သောကြောင့်၊ ကုဒ်ဝှက်ထားသောဒေတာသည် ၎င်းကို ပြန်လည်ရယူရန် မဖြစ်နိုင်ဘဲ လုံး၀ ဆုံးရှုံးသွားမည်ဖြစ်ပြီး၊ သော့များကို သီးသန့်ဖန်တီးထားသည်။

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7 

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

ရွေးချယ်စရာများ-
* luksHeaderBackup —header-backup-file -backup command;
* luksHeaderRestore —header-backup-file -restore command;
* ~/Backup_DebSHIFR - အရန်ဖိုင်၊
* /dev/sda7 - ကုဒ်ဝှက်ထားသော disk ခေါင်းစီး အရန်မိတ္တူကို သိမ်းဆည်းရမည့် အခန်းကန့်။
ဤအဆင့်တွင် <ကုဒ်ဝှက်ထားသော အခန်းကန့်ကို ဖန်တီးခြင်းနှင့် တည်းဖြတ်ခြင်း> ပြီးမြောက်သည်။

B3 GNU/Linux OS ကို ပို့နေပါသည်။ (sda4) ကုဒ်ဝှက်ထားသော partition သို့ (sda7)

/mnt2 ဖိုင်တွဲတစ်ခုဖန်တီးပါ။ (မှတ်ချက် - ကျွန်ုပ်တို့သည် တိုက်ရိုက် usb ဖြင့် လုပ်ဆောင်နေဆဲဖြစ်ပြီး၊ sda7_crypt ကို /mnt တွင် ထည့်သွင်းထားသည်)နှင့် ကုဒ်ဝှက်ထားရန်လိုအပ်သော ကျွန်ုပ်တို့၏ GNU/Linux ကို /mnt2 တွင် တပ်ဆင်ပါ။

mkdir /mnt2
mount /dev/sda4 /mnt2

ကျွန်ုပ်တို့သည် Rsync ဆော့ဖ်ဝဲလ်ကို အသုံးပြု၍ မှန်ကန်သော OS လွှဲပြောင်းခြင်းကို လုပ်ဆောင်ပါသည်။

rsync -avlxhHX --progress /mnt2/ /mnt

Rsync ရွေးချယ်မှုများကို အပိုဒ် E1 တွင် ဖော်ပြထားပါသည်။

နောက်ထပ်, ရ logical disk partition ကို defragment လုပ်ပါ။

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

စည်းမျဉ်းတစ်ခုပြုလုပ်ပါ- သင့်တွင် HDD တစ်ခုရှိလျှင် ကုဒ်ဝှက်ထားသော GNU/LInux တွင် e4defrag ပြုလုပ်ပါ။
လွှဲပြောင်းခြင်းနှင့် ထပ်တူပြုခြင်း [GNU/Linux > GNU/Linux-encrypted] သည် ဤအဆင့်တွင် ပြီးမြောက်ပါသည်။

AT 4 ။ ကုဒ်ဝှက်ထားသော sda7 အခန်းကန့်တွင် GNU/Linux ကို စနစ်ထည့်သွင်းခြင်း။

OS /dev/sda4 > /dev/sda7 ကို အောင်မြင်စွာ လွှဲပြောင်းပြီးနောက်၊ သင်သည် ကုဒ်ဝှက်ထားသော partition တွင် GNU/Linux သို့ အကောင့်ဝင်ပြီး နောက်ထပ် ဖွဲ့စည်းမှုပုံစံကို လုပ်ဆောင်ရန် လိုအပ်ပါသည်။ (PC ကို reboot မလုပ်ဘဲ) ကုဒ်ဝှက်ထားသော စနစ်တစ်ခုနှင့် ဆက်စပ်နေသည်။ ဆိုလိုသည်မှာ၊ တိုက်ရိုက် usb တွင်ရှိသော်လည်း၊ "ကုဒ်ဝှက်ထားသော OS ၏ root နှင့်ဆက်စပ်သော" အမိန့်များကိုလုပ်ဆောင်ပါ။ "chroot" သည် အလားတူအခြေအနေတစ်ခုကို ပုံဖော်ပေးမည်ဖြစ်သည်။ သင်လက်ရှိလုပ်ဆောင်နေသည့် မည်သည့် OS နှင့်ပတ်သက်သည့် အချက်အလက်များကို လျင်မြန်စွာ လက်ခံရရှိရန် (sda4 နှင့် sda7 ရှိ ဒေတာများကို ထပ်တူပြုထားသောကြောင့် ကုဒ်ဝှက်ထားသည်ဖြစ်စေ မပြုလုပ်ပါ)OS ကို တွဲလုပ်ပါ။ root directory တွင်ဖန်တီးပါ။ (sda4/sda7_crypt) အလွတ်အမှတ်အသားဖိုင်များ၊ ဥပမာ၊ /mnt/encryptedOS နှင့် /mnt2/decryptedOS။ သင်အသုံးပြုနေသည့် OS ကို အမြန်စစ်ဆေးပါ။ (အနာဂတ်အတွက် အပါအဝင်)

ls /<Tab-Tab>

B4.1။ "ကုဒ်ဝှက်ထားသော OS သို့ လော့ဂ်အင်ဝင်ခြင်း၏ သရုပ်ဖော်ခြင်း"

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2။ အလုပ်သည် ကုဒ်ဝှက်ထားသော စနစ်ဖြင့် လုပ်ဆောင်ကြောင်း အတည်ပြုခြင်း

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3။ ကုဒ်ဝှက်ထားသော လဲလှယ်မှုကို ဖန်တီးခြင်း၊ ပြင်ဆင်ခြင်း၊ crypttab/fstab ကို တည်းဖြတ်ခြင်း။OS စတင်ချိန်တိုင်း swap ဖိုင်ကို ဖော်မတ်လုပ်ထားသောကြောင့်၊ ယခု swap ကို ဖန်တီးပြီး logical disk သို့ မြေပုံဆွဲပြီး စာပိုဒ် B2.2 ကဲ့သို့ command များကို ရိုက်ထည့်ရန် အဓိပ္ပါယ်မရှိပါ။ Swap အတွက်၊ စတင်တိုင်းတွင် ၎င်း၏ကိုယ်ပိုင် ယာယီလျှို့ဝှက်ကုဒ်ဝှက်ကီးများကို အလိုအလျောက်ထုတ်ပေးမည်ဖြစ်သည်။ လဲလှယ်သော့များ၏ ဘဝသံသရာ- လဲလှယ်မှုအပိုင်းကို ဖြုတ်ချခြင်း/ဖြုတ်ချခြင်း။ (+ RAM ကို ရှင်းလင်းခြင်း); သို့မဟုတ် OS ကို ပြန်လည်စတင်ပါ။ လဲလှယ်မှုကို စနစ်ထည့်သွင်းခြင်း၊ ပိတ်ဆို့ကုဒ်ဝှက်ထားသော စက်ပစ္စည်းများ၏ ဖွဲ့စည်းမှုပုံစံအတွက် တာဝန်ရှိသော ဖိုင်ကိုဖွင့်ပါ။ (fstab ဖိုင်နှင့် တူညီသော်လည်း crypto အတွက် တာဝန်ရှိသည်)။

nano /etc/crypttab 

ကျွန်ုပ်တို့ တည်းဖြတ်ပါသည်။

#"ပစ်မှတ်အမည်" "အရင်းအမြစ်ကိရိယာ" "သော့ဖိုင်" "ရွေးချယ်စရာများ"
swap /dev/sda8 /dev/urandom swap၊cipher=twofish-xts-plain64၊size=512၊hash=sha512

ရွေးစရာများ
* swap - /dev/mapper/swap ကို စာဝှက်ထားသည့်အခါ မြေပုံဆွဲထားသော အမည်။
* /dev/sda8 - swap အတွက် သင်၏ logical partition ကို အသုံးပြုပါ။
* /dev/urandom - swap အတွက် ကျပန်း ကုဒ်ဝှက်ခြင်းသော့များ ၏ ဂျင်နရေတာ (OS အသစ်တစ်ခုစီတိုင်းတွင် သော့အသစ်များကို ဖန်တီးထားသည်။) /dev/urandom generator သည် /dev/random ထက် ကျပန်းနည်းသည်၊ အန္တရာယ်ရှိသော paranoid အခြေအနေများတွင် အလုပ်လုပ်သောအခါ /dev/random ကိုအသုံးပြုပြီးနောက် /dev/random ကိုအသုံးပြုသည်။ OS ကိုဖွင့်သောအခါ /dev/random သည် ± မိနစ်အတော်ကြာ တင်ပေးခြင်းကို နှေးကွေးစေသည်။ (စနစ်ဖြင့် ခွဲခြမ်းစိတ်ဖြာကြည့်ပါ).
* swap၊cipher=twofish-xts-plain64၊size=512၊hash=sha512--the partition သည် swap ဖြစ်သည်ကို သိပြီး "အတိုင်း" ဖော်မတ်လုပ်ထားသည်။ ကုဒ်ဝှက်ခြင်း အယ်ဂိုရီသမ်။

#Открываем и правим fstab
nano /etc/fstab

ကျွန်ုပ်တို့ တည်းဖြတ်ပါသည်။

ထည့်သွင်းနေစဉ် # swap သည် / dev / sda8 ဖြစ်သည်
/dev/mapper/swap none swap sw 0 0

/dev/mapper/swap သည် crypttab တွင် သတ်မှတ်ထားသော အမည်ဖြစ်သည်။

အစားထိုး ကုဒ်ဝှက်ထားသော လဲလှယ်မှု
အကြောင်းတစ်ခုခုကြောင့် swap ဖိုင်တစ်ခုအတွက် partition တစ်ခုလုံးကို သင်မပေးချင်ပါက၊ ထို့နောက် OS ဖြင့် စာဝှက်ထားသော partition တစ်ခုပေါ်ရှိ ဖိုင်တစ်ခုတွင် swap ဖိုင်ကို ဖန်တီးခြင်းဖြင့် အခြားရွေးချယ်မှုနှင့် ပိုမိုကောင်းမွန်သောလမ်းကြောင်းတစ်ခုကို သင်လုပ်ဆောင်နိုင်ပါသည်။

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

swap partition စနစ်ထည့်သွင်းမှု ပြီးပါပြီ။

B4.4။ ကုဒ်ဝှက်ထားသော GNU/Linux ကို စနစ်ထည့်သွင်းခြင်း (crypttab/fstab ဖိုင်များကို တည်းဖြတ်ခြင်း)အထက်တွင်ရေးထားသည့်အတိုင်း /etc/crypttab ဖိုင်သည် စနစ်စတင်စဉ်အတွင်း ပြင်ဆင်သတ်မှတ်ထားသော ကုဒ်ဝှက်ထားသော ပိတ်ဆို့ထားသော စက်ပစ္စည်းများကို ဖော်ပြသည်။

#правим /etc/crypttab 
nano /etc/crypttab 

အကယ်၍ သင်သည် စာပိုဒ် B7 ကဲ့သို့ sda7>sda2.1_crypt ကဏ္ဍနှင့် ကိုက်ညီပါက

# "ပစ်မှတ်အမည်" "အရင်းအမြစ်ကိရိယာ" "သော့ဖိုင်" "ရွေးချယ်စရာများ"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

အကယ်၍ သင်သည် စာပိုဒ် B7 ကဲ့သို့ sda7>sda2.2_crypt ကဏ္ဍနှင့် ကိုက်ညီပါက

# "ပစ်မှတ်အမည်" "အရင်းအမြစ်ကိရိယာ" "သော့ဖိုင်" "ရွေးချယ်စရာများ"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

အကယ်၍ သင်သည် စာပိုဒ် B7 သို့မဟုတ် B7 တွင်ကဲ့သို့ sda2.1>sda2.2_crypt ကဏ္ဍကို ကိုက်ညီသော်လည်း၊ OS ကိုသော့ဖွင့်ရန်နှင့် စတင်ရန်အတွက် စကားဝှက်ကို ပြန်မထည့်လိုပါက၊ ထို့နောက် စကားဝှက်အစား သင်သည် လျှို့ဝှက်သော့/ကျပန်းဖိုင်ကို အစားထိုးနိုင်ပါသည်။

# "ပစ်မှတ်အမည်" "အရင်းအမြစ်ကိရိယာ" "သော့ဖိုင်" "ရွေးချယ်စရာများ"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

ဖေါ်ပြချက်
*မရှိပါ - OS ကိုဖွင့်သောအခါတွင် root ကိုသော့ဖွင့်ရန်လျှို့ဝှက်စကားဝှက်တစ်ခုထည့်သွင်းရန်လိုအပ်ကြောင်းအစီရင်ခံသည်။
* UUID - အပိုင်းသတ်မှတ်မှု။ သင်၏ ID ကိုသိရှိရန်၊ terminal တွင်ရိုက်ထည့်ပါ။ (ယခုအချိန်မှစ၍ သင်သည် chroot ပတ်၀န်းကျင်ရှိ terminal တွင်အလုပ်လုပ်နေပြီး အခြား live usb terminal တွင်မဟုတ်ကြောင်း သတိပြုပါ။)

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное 

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

sda7_crypt တပ်ဆင်ထားသော တိုက်ရိုက် usb terminal မှ blkid ကို တောင်းဆိုသောအခါ ဤလိုင်းကို မြင်နိုင်သည်)။
သင်သည်သင်၏ sdaX မှ UUID ကိုယူသည်။ (sdaX_crypt! မဟုတ်ပါ၊ UUID sdaX_crypt - grub.cfg config ကိုထုတ်ပေးသောအခါ အလိုအလျောက်ကျန်နေပါမည်။
* cipher=twofish-xts-plain64၊size=512၊hash=sha512 -luks အဆင့်မြင့်မုဒ်တွင် ကုဒ်ဝှက်ခြင်း။
* /etc/skey - OS boot ကိုသော့ဖွင့်ရန်အလိုအလျောက်ထည့်သွင်းထားသည့်လျှို့ဝှက်သော့ဖိုင် (တတိယစကားဝှက်ကိုထည့်မည့်အစား)။ မည်သည့်ဖိုင်ကိုမဆို 8MB အထိ သတ်မှတ်နိုင်သော်လည်း ဒေတာကို <1MB ဖတ်ပါမည်။

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7 

၎င်းသည်ဤကဲ့သို့သောပုံရသည်-

(ကိုယ်တိုင်လုပ်ကြည့်၊ ကိုယ်တိုင်လုပ်ကြည့်ပါ)။

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab တွင် အမျိုးမျိုးသော ဖိုင်စနစ်များအကြောင်း ဖော်ပြချက် အချက်အလက် ပါရှိသည်။

#Правим /etc/fstab
nano /etc/fstab

# "ဖိုင်စနစ်" "mount point" "type" "options" "dump" "pass"
ထည့်သွင်းနေစဉ်အတွင်း # / on / dev / sda7 ဖြစ်သည်
/dev/mapper/sda7_crypt / ext4 အမှားအယွင်းများ=remount-ro 0 1

option ကို
* /dev/mapper/sda7_crypt - /etc/crypttab ဖိုင်တွင် သတ်မှတ်ထားသည့် sda7>sda7_crypt mapping ၏ အမည်။
crypttab/fstab စနစ်ထည့်သွင်းမှု ပြီးပါပြီ။

B4.5 ဖွဲ့စည်းမှုပုံစံဖိုင်များကို တည်းဖြတ်ခြင်း။ အဓိက အခိုက်အတန့်B4.5.1။ config /etc/initramfs-tools/conf.d/resume ကိုတည်းဖြတ်ခြင်း

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

မှတ်ချက်ထုတ်ပါ။ (ရှိလျှင်) "#" စာကြောင်း "ကိုယ်ရေးရာဇဝင်"။ ဖိုင်သည် လုံးဝအလွတ်ဖြစ်ရပါမည်။

B4.5.2။ config /etc/initramfs-tools/conf.d/cryptsetup ကိုတည်းဖြတ်ခြင်း

nano /etc/initramfs-tools/conf.d/cryptsetup

ကိုက်ညီသင့်သည်။

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=ဟုတ်ပါတယ်။
CRYPTSETUP ကို ​​တင်ပို့ပါ။

B4.5.3။ /etc/default/grub config ကို တည်းဖြတ်ခြင်း။ (ကုဒ်ဝှက်ထားသော /boot နှင့်အလုပ်လုပ်သောအခါ grub.cfg ကိုထုတ်လုပ်ရန်ဤ config တွင်တာဝန်ရှိသည်။)

nano /etc/default/grub

“GRUB_ENABLE_CRYPTODISK=y” စာကြောင်းကို ထည့်ပါ
တန်ဖိုး 'y'၊ grub-mkconfig နှင့် grub-install တို့သည် ကုဒ်ဝှက်ထားသော ဒရိုက်ဗ်များကို စစ်ဆေးပြီး စတင်ချိန်တွင် ၎င်းတို့ကို ဝင်ရောက်ရန် လိုအပ်သော နောက်ထပ် command များကို ထုတ်ပေးမည်ဖြစ်သည်။ (အင်စဒိုက်များ ).
တူညီမှုရှိရမည်။

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || ပဲ့တင်သံ Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=ရောင်းချသူ"
GRUB_CMDLINE_LINUX="ဆိတ်ငြိမ်သော splash noautomount"
GRUB_ENABLE_CRYPTODISK=y

B4.5.4။ config /etc/cryptsetup-initramfs/conf-hook ကို တည်းဖြတ်ခြင်း။

nano /etc/cryptsetup-initramfs/conf-hook

လိုင်းကိုစစ်ဆေးပါ။ <#> မှတ်ချက်ပေးခဲ့သည်။
အနာဂတ္မွာ (ယခုပင်၊ ဤကန့်သတ်ချက်သည် အဓိပ္ပါယ်မရှိပါ၊ သို့သော် တစ်ခါတစ်ရံတွင် ၎င်းသည် initrd.img ပုံအား အပ်ဒိတ်လုပ်ရာတွင် အနှောင့်အယှက်ဖြစ်စေသည်)။

B4.5.5။ config /etc/cryptsetup-initramfs/conf-hook ကို တည်းဖြတ်ခြင်း။

nano /etc/cryptsetup-initramfs/conf-hook

ထည့်ပါ။

KEYFILE_PATTERN=”/etc/skey”
UMASK=0077

၎င်းသည် လျှို့ဝှက်သော့ "skey" ကို initrd.img တွင် ထုပ်ပိုးပေးမည်ဖြစ်ပြီး OS စတင်သောအခါတွင် အမြစ်ကိုသော့ဖွင့်ရန် သော့လိုအပ်ပါသည်။ (စကားဝှက်ကို ထပ်မံမထည့်လိုပါက၊ "စကီး" သော့ကို ကားအတွက် အစားထိုးထားသည်)။

B4.6။ အပ်ဒိတ် /boot/initrd.img [ဗားရှင်း]လျှို့ဝှက်သော့ကို initrd.img တွင်ထုပ်ပိုးပြီး cryptsetup ပြင်ဆင်မှုများကို အသုံးပြုရန်၊ ပုံအား အပ်ဒိတ်လုပ်ပါ။

update-initramfs -u -k all

initrd.img ကို update လုပ်သောအခါ (“ဖြစ်နိုင်တယ်၊ ဒါပေမယ့် မသေချာဘူး” လို့ ပြောကြတယ်) cryptsetup နှင့်ဆက်စပ်သောသတိပေးချက်များပေါ်လာလိမ့်မည်၊ သို့မဟုတ်ဥပမာအားဖြင့် Nvidia modules များဆုံးရှုံးခြင်းအကြောင်းသတိပေးချက် - ဒါကပုံမှန်ပါပဲ။ ဖိုင်ကို အပ်ဒိတ်လုပ်ပြီးနောက်၊ ၎င်းသည် အမှန်တကယ် မွမ်းမံပြီးကြောင်း စစ်ဆေးပါ၊ အချိန်ကိုကြည့်ပါ။ (chroot ပတ်ဝန်းကျင်နှင့် သက်ဆိုင်သည်။/boot/initrd.img)။ သတိပေးခြင်း! [update-initramfs -u -k all] မပြုမီ cryptsetup သည် /dev/sda7 ဖွင့်ထားကြောင်း သေချာပါစေ။ sda7_crypt - ဤသည်မှာ /etc/crypttab တွင်ပေါ်လာသောအမည်ဖြစ်သည်၊ မဟုတ်ပါက ပြန်လည်စတင်ပြီးနောက် busybox အမှားတစ်ခုရှိလိမ့်မည်)
ဤအဆင့်တွင်၊ configuration ဖိုင်များကို စနစ်ထည့်သွင်းခြင်း ပြီးပါပြီ။

[C] GRUB2/Protection ကို ထည့်သွင်းခြင်းနှင့် ပြင်ဆင်သတ်မှတ်ခြင်း။

C1 လိုအပ်ပါက၊ bootloader အတွက် သီးခြား partition ကို format လုပ်ပါ (အပိုင်းတစ်ခုသည် အနည်းဆုံး 20MB လိုအပ်သည်)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2 /dev/sda6 ကို /mnt သို့ တပ်ဆင်ပါ။ထို့ကြောင့် ကျွန်ုပ်တို့သည် chroot တွင်အလုပ်လုပ်သည်၊ ထို့နောက် root တွင် /mnt2 directory မရှိတော့ဘဲ /mnt folder သည်ဗလာဖြစ်နေလိမ့်မည်။
GRUB2 partition ကိုတပ်ပါ။

mount /dev/sda6 /mnt

သင့်တွင် GRUB2 ၏ ဗားရှင်းအဟောင်းကို ထည့်သွင်းထားပါက /mnt/boot/grub/i-386-pc directory တွင်၊ (ဥပမာ၊ i386-pc မဟုတ်ဘဲ အခြားပလပ်ဖောင်း ဖြစ်နိုင်သည်) crypto module မရှိပါ။ (အတိုချုပ်အားဖြင့်၊ ဖိုဒါတွင် .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod) အပါအဝင် မော်ဂျူးများ ပါဝင်သင့်သည်။ ဤကိစ္စတွင်၊ GRUB2 ကိုလှုပ်ခါရန်လိုသည်။

apt-get update
apt-get install grub2 

အရေးကြီးသည်! repository မှ GRUB2 ပက်ကေ့ဂျ်ကို အပ်ဒိတ်လုပ်သောအခါ၊ bootloader တပ်ဆင်မည့်နေရာကို "ရွေးချယ်ခြင်းအကြောင်း" ဟုမေးသောအခါ၊ ထည့်သွင်းခြင်းကို ငြင်းဆိုရပါမည်။ (အကြောင်းပြချက် - GRUB2 ကို "MBR" တွင် သို့မဟုတ် တိုက်ရိုက် usb တွင် GRUBXNUMX ကိုထည့်သွင်းရန်ကြိုးစားခြင်း). မဟုတ်ပါက သင်သည် VeraCrypt ခေါင်းစီး/ loader ကို ပျက်စီးစေလိမ့်မည်။ GRUB2 ပက်ကေ့ဂျ်များကို အပ်ဒိတ်လုပ်ပြီး တပ်ဆင်မှုကို ပယ်ဖျက်ပြီးနောက်၊ boot loader ကို MBR တွင်မဟုတ်ဘဲ logical disk ပေါ်တွင် ကိုယ်တိုင်ထည့်သွင်းရပါမည်။ သင့်သိုလှောင်မှုတွင် GRUB2 ၏ ခေတ်မမီသောဗားရှင်းတစ်ခုရှိနေပါက၊ စမ်းကြည့်ပါ။ အပ်ဒိတ် ၎င်းသည်တရားဝင်ဝဘ်ဆိုဒ်မှဖြစ်သည် - မစစ်ဆေးရသေးပါ။ (နောက်ဆုံးပေါ် GRUB 2.02 ~BetaX boot loaders များနှင့် အလုပ်လုပ်သည်)။

C3 GRUB2 ကို တိုးချဲ့ထားသော အပိုင်း [sda6] တွင် ထည့်သွင်းခြင်းသင့်တွင် တပ်ဆင်ထားသော အခန်းကန့်တစ်ခု [item C.2] ရှိရမည်။

grub-install --force --root-directory=/mnt /dev/sda6

ရွေးချယ်မှုများ
* —force - အမြဲတမ်းနီးပါးရှိနေသည့်သတိပေးချက်အားလုံးကိုကျော်ဖြတ်ကာ bootloader ကိုတပ်ဆင်ခြင်း၊ တပ်ဆင်ခြင်းကိုပိတ်ဆို့ခြင်း။ (လိုအပ်သောအလံ)။
* --root-directory - လမ်းညွှန်ထည့်သွင်းခြင်း။ sda6 ၏ root သို့။
* /dev/sda6 - သင်၏ sdaХ partition ကို ( /mnt /dev/sda6 အကြား <space> ကို လက်လွတ်မခံပါနှင့်)။

C4။ ဖွဲ့စည်းမှုပုံစံဖိုင်တစ်ခုဖန်တီးခြင်း [grub.cfg]"update-grub2" ကွန်မန်းကို မေ့လိုက်ပြီး အပြည့်အစုံဖွဲ့စည်းပုံဖိုင်ကို ထုတ်လုပ်သည့် အမိန့်ကို အသုံးပြုပါ။

grub-mkconfig -o /mnt/boot/grub/grub.cfg

grub.cfg ဖိုင်၏ မျိုးဆက်/မွမ်းမံခြင်းကို ပြီးမြောက်ပြီးနောက်၊ အထွက် terminal တွင် disk တွင်တွေ့ရသော OS လိုင်း(များ) ပါဝင်သင့်သည် ("grub-mkconfig" သည် သင့်တွင် Windows 10 ပါသော multiboot flash drive နှင့် တိုက်ရိုက်ဖြန့်ဝေမှုများ အများအပြားရှိလျှင် တိုက်ရိုက် usb မှ OS ကို ရှာပြီး ကောက်ယူနိုင်လိမ့်မည် - ၎င်းသည် ပုံမှန်ဖြစ်သည်)။ terminal သည် "ဗလာ" ဖြစ်ပြီး "grub.cfg" ဖိုင်ကို မထုတ်ပေးပါက၊ စနစ်တွင် GRUB ချွတ်ယွင်းမှုများ ရှိနေသည့်အခါ ၎င်းမှာ အလားတူကိစ္စမျိုးဖြစ်သည်။ (အများစုမှာ repository ၏စမ်းသပ်မှုဌာနခွဲမှ loader ဖြစ်နိုင်သည်) ယုံကြည်ရသောရင်းမြစ်များမှ GRUB2 ကို ပြန်လည်ထည့်သွင်းပါ။
"ရိုးရှင်းသောဖွဲ့စည်းမှု" တပ်ဆင်မှုနှင့် GRUB2 စနစ်ထည့်သွင်းမှု ပြီးမြောက်ပါသည်။

C5 စာဝှက်ထားသော GNU/Linux OS ၏ အထောက်အထား-စမ်းသပ်မှုကျွန်ုပ်တို့သည် crypto မစ်ရှင်ကို မှန်ကန်စွာ ပြီးမြောက်ပါသည်။ စာဝှက်ထားသော GNU/Linux ကို ဂရုတစိုက်ချန်ထားပါ။ (Chroot ပတ်ဝန်းကျင်မှ ထွက်ပါ)။

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

PC ကိုပြန်လည်စတင်ပြီးနောက်၊ VeraCrypt bootloader ကိုစတင်သင့်သည်။


*တက်ကြွသောအခန်းကန့်အတွက် စကားဝှက်ကိုထည့်သွင်းခြင်းသည် Windows ကိုစတင်ပါလိမ့်မည်။
* "Esc" သော့ကိုနှိပ်ခြင်းဖြင့် GRUB2 သို့ ကုဒ်ကုဒ်လုပ်ထားသော GNU/Linux ကိုရွေးချယ်ပါက ထိန်းချုပ်မှုအား GRUB7 သို့လွှဲပြောင်းပေးလိမ့်မည် - စကားဝှက် (sda2_crypt) သည် /boot/initrd.img ကိုသော့ဖွင့်ရန် လိုအပ်လိမ့်မည် (grub2 က uuid "မတွေ့ပါ" ဟုရေးပါက၊ ၎င်းသည် grubXNUMX bootloader တွင် ပြဿနာရှိနေသည်၊ ဥပမာ- test branch/stable စသည်တို့မှ ပြန်လည်ထည့်သွင်းသင့်သည်။


*စနစ်အား သင်မည်ကဲ့သို့ configure လုပ်ပုံပေါ်မူတည်၍ (စာပိုဒ် B4.4/4.5 ကိုကြည့်ပါ) /boot/initrd.img ပုံအား လော့ခ်ဖွင့်ရန် မှန်ကန်သောစကားဝှက်ကို ရိုက်ထည့်ပြီးနောက်၊ OS kernel/root ကိုဖွင့်ရန် စကားဝှက်တစ်ခု လိုအပ်ပါမည်၊ သို့မဟုတ် လျှို့ဝှက်ချက် စကားဝှက်ကို ပြန်လည်ထည့်သွင်းရန်မလိုအပ်ဘဲ သော့အား အလိုအလျောက် အစားထိုးပေးပါမည်။

(“လျှို့ဝှက်သော့ကို အလိုအလျောက်အစားထိုးခြင်း” မျက်နှာပြင်)။

*ထို့နောက် အသုံးပြုသူအကောင့် စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းနှင့်အတူ GNU/Linux ကိုဖွင့်ခြင်း၏ အကျွမ်းတဝင်လုပ်ငန်းစဉ်သည် လိုက်လာပါမည်။


*အသုံးပြုသူ၏ခွင့်ပြုချက်နှင့် OS သို့ဝင်ရောက်ပြီးနောက်၊ သင်သည် /boot/initrd.img ကိုထပ်မံမွမ်းမံရန်လိုအပ်သည်။ (B4.6 ကိုကြည့်ပါ)။

update-initramfs -u -k all

ထို့အပြင် GRUB2 မီနူးရှိ အပိုလိုင်းများ ပါဝင်သည်။ (Live usb ဖြင့် OS-m မှ ထုတ်ယူခြင်း) သူတို့ကို ဖယ်ရှားလိုက်ပါ။

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

GNU/Linux စနစ်ကုဒ်ဝှက်ခြင်း၏ အမြန်အကျဉ်းချုပ်-

• GNU/Linuxinux သည် /boot/kernel နှင့် initrd အပါအဝင် အပြည့်အဝ ကုဒ်ဝှက်ထားသည်။
• လျှို့ဝှက်သော့ကို initrd.img တွင် ထုပ်ပိုးထားသည်။
• လက်ရှိခွင့်ပြုချက်အစီအစဥ် (initrd ကိုသော့ဖွင့်ရန်စကားဝှက်ကိုထည့်ပါ၊ OS ကိုဖွင့်ရန်စကားဝှက် / သော့၊ Linux အကောင့်ကိုခွင့်ပြုချက်အတွက်စကားဝှက်).

block partition ၏ "ရိုးရှင်းသော GRUB2 ဖွဲ့စည်းမှုပုံစံ" စနစ် ကုဒ်ဝှက်ခြင်း ပြီးပါပြီ။

C6။ အဆင့်မြင့် GRUB2 ဖွဲ့စည်းမှုပုံစံ။ ဒစ်ဂျစ်တယ်လက်မှတ် + စစ်မှန်ကြောင်းအထောက်အထားကာကွယ်မှုနှင့်အတူ Bootloader ကာကွယ်မှုGNU/Linux သည် လုံးလုံးလျားလျား ကုဒ်ဝှက်ထားသော်လည်း bootloader ကို စာဝှက်မရနိုင်ပါ - ဤအခြေအနေအား BIOS မှ ညွှန်ကြားသည်။ ထို့ကြောင့်၊ GRUB2 ၏ သံကြိုးတပ်ထားသော ကုဒ်ဝှက်ထားသော ဘွတ်စ်တစ်ခု မဖြစ်နိုင်သော်လည်း ရိုးရှင်းသော သံကြိုးတပ်ထားသည့် ဘွတ်ဖိနပ်သည် ဖြစ်နိုင်/ရနိုင်သော်လည်း လုံခြုံရေး ရှုထောင့်မှ ကြည့်ရန် မလိုအပ်ပါ။ P. F]။
“အားနည်းချက်” GRUB2 အတွက်၊ developer များသည် “signature/authentication” bootloader protection algorithm ကို အကောင်အထည်ဖော်ခဲ့သည်။

• bootloader ကို "၎င်း၏ကိုယ်ပိုင် ဒစ်ဂျစ်တယ်လက်မှတ်" ဖြင့် ကာကွယ်ထားသောအခါ၊ ဖိုင်များ၏ ပြင်ပမွမ်းမံပြင်ဆင်မှု သို့မဟုတ် ဤ bootloader တွင် နောက်ထပ် module များကို တင်ရန် ကြိုးပမ်းခြင်းသည် boot လုပ်ငန်းစဉ်ကို ပိတ်ဆို့သွားစေသည်။
• bootloader ကို စစ်မှန်ကြောင်းသက်သေပြခြင်းဖြင့် ကာကွယ်သောအခါ၊ ဖြန့်ဖြူးမှုတစ်ခုအား တင်ခြင်းကို ရွေးချယ်ရန် သို့မဟုတ် CLI တွင် ထပ်လောင်းအမိန့်များထည့်ရန်အတွက်၊ သင်သည် superuser-GRUB2 ၏ လော့ဂ်အင်နှင့် စကားဝှက်ကို ထည့်သွင်းရန် လိုအပ်ပါသည်။

C6.1 Bootloader စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းကာကွယ်မှုသင်သည် ကုဒ်ဝှက်ထားသော OS ပေါ်ရှိ terminal တွင် အလုပ်လုပ်နေကြောင်း စစ်ဆေးပါ။

ls /<Tab-Tab> #обнаружить файл-маркер

GRUB2 တွင် ခွင့်ပြုချက်အတွက် superuser စကားဝှက်ကို ဖန်တီးပါ။

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. 

စကားဝှက် hash ကိုရယူပါ။ တစ်ခုခုပေါ့။

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

GRUB partition ကိုတပ်ပါ။

mount /dev/sda6 /mnt 

config ကိုတည်းဖြတ်ပါ။

nano -$ /mnt/boot/grub/grub.cfg 

“grub.cfg” တွင် မည်သည့်နေရာတွင်မဆို အလံများမရှိကြောင်း ဖိုင်ရှာဖွေမှုကို စစ်ဆေးပါ (“-ကန့်သတ်မထားသော” “-user”၊
အဆုံးမှာထည့်ပါ။ (စာကြောင်း ### END /etc/grub.d/41_custom ### မတိုင်ခင်)
"သတ်မှတ် superusers="root"
password_pbkdf2 root hash။"

ဒီလိုမျိုးဖြစ်သင့်တယ်။

# ဤဖိုင်သည် စိတ်ကြိုက်မီနူးများထည့်သွင်းရန် လွယ်ကူသောနည်းလမ်းကို ပံ့ပိုးပေးပါသည်။ ရိုးရိုးလေးပဲရိုက်ပါ။
ဤမှတ်ချက်ပြီးနောက် သင်ထည့်လိုသော မီနူးစာ # ခု။ မပြောင်းဖို့ သတိထားပါ။
အပေါ်က 'exec tail' လိုင်းကို။
### အဆုံးသတ် /etc/grub.d/40_custom ###

### BEGIN /etc/grub.d/41_custom ###
အကယ်၍ [ -f ${config_directory}/custom.cfg ]; ထို့နောက်
ရင်းမြစ် ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; ထို့နောက်
ရင်းမြစ် $prefix/custom.cfg;
fi
superusers="root" ကို သတ်မှတ်ပါ
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### အဆုံးသတ် /etc/grub.d/41_custom ###
#

သင်သည် “grub-mkconfig -o /mnt/boot/grub/grub.cfg” အမိန့်ကို မကြာခဏအသုံးပြုပြီး အချိန်တိုင်း grub.cfg ကို အပြောင်းအလဲမလုပ်ချင်ပါက၊ အထက်ပါစာကြောင်းများကို ရိုက်ထည့်ပါ။ (ဝင်ရောက်ရန်စကားဝှက်) အောက်ခြေရှိ GRUB အသုံးပြုသူ script တွင်

nano /etc/grub.d/41_custom 

ကြောင် <<EOF
superusers="root" ကို သတ်မှတ်ပါ
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

config “grub-mkconfig -o /mnt/boot/grub/grub.cfg” ကို ဖန်တီးသည့်အခါ၊ အထောက်အထားစိစစ်ခြင်းအတွက် တာဝန်ရှိသော လိုင်းများကို grub.cfg သို့ အလိုအလျောက် ပေါင်းထည့်မည်ဖြစ်သည်။
ဤအဆင့်သည် GRUB2 စစ်မှန်ကြောင်းအထောက်အထားပြစနစ်ထည့်သွင်းခြင်းကို အပြီးသတ်သည်။

C6.2 ဒစ်ဂျစ်တယ်လက်မှတ်ဖြင့် Bootloader ကာကွယ်မှုသင့်တွင် သင်၏ကိုယ်ပိုင် pgp ကုဒ်ဝှက်ခြင်းသော့ရှိနေပြီဟု ယူဆပါသည်။ (သို့မဟုတ်ထိုကဲ့သို့သောသော့ကိုဖန်တီးပါ)။ စနစ်တွင် cryptographic software ထည့်သွင်းထားရမည်- gnuPG; kleopatra/GPA; ပင်လယ်မြင်း။ Crypto ဆော့ဖ်ဝဲလ်သည် ထိုသို့သော ကိစ္စရပ်တိုင်းတွင် သင့်ဘဝကို ပိုမိုလွယ်ကူစေသည်။ Seahorse - အထုပ် 3.14.0 ၏ တည်ငြိမ်သောဗားရှင်း (ဥပမာ၊ V3.20 အထက်ဗားရှင်းများသည် ချို့ယွင်းနေပြီး သိသာထင်ရှားသော ချို့ယွင်းချက်များရှိသည်)။

PGP သော့ကို su ပတ်၀န်းကျင်တွင်သာ ထုတ်လုပ်ရန်/စတင်ရန်/ထည့်ရန် လိုအပ်ပါသည်။

ကိုယ်ရေးကိုယ်တာ လျှို့ဝှက်ကုဒ်နံပါတ်ကို ဖန်တီးပါ။

gpg - -gen-key

သင့်သော့ကို ထုတ်ယူပါ။

gpg --export -o ~/perskey

မတပ်ဆင်ရသေးပါက OS တွင် logical disk ကို တပ်ဆင်ပါ။

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

GRUB2 partition ကိုရှင်းလင်းပါ။

rm -rf /mnt/

GRUB2 ကို sda6 တွင် ထည့်သွင်းပြီး ပင်မ GRUB ပုံ "core.img" တွင် သင်၏သီးသန့်သော့ကို ထည့်သွင်းပါ။

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

ရွေးချယ်မှုများ
* --force - အမြဲတမ်းရှိနေသည့်သတိပေးချက်အားလုံးကိုကျော်ဖြတ်ကာ bootloader ကိုထည့်သွင်းပါ။ (လိုအပ်သောအလံ)။
* —modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - PC စတင်ချိန်တွင် လိုအပ်သော module များကို ကြိုတင်တင်ရန် GRUB2 ကို ညွှန်ကြားသည်။
* -k ~/perskey - "PGP သော့" သို့ လမ်းကြောင်း (ပုံတွင်သော့ထည့်ပြီးနောက်၊ ၎င်းကိုဖျက်နိုင်သည်။)
* --root-directory - boot directory ကို sda6 ၏ root သို့ သတ်မှတ်ပါ။
/dev/sda6 - သင်၏ sdaX အခန်းကန့်။

grub.cfg ကို ထုတ်လုပ်ခြင်း/မွမ်းမံခြင်း

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

“grub.cfg” ဖိုင်၏အဆုံးတွင် “trust /boot/grub/perskey” စာကြောင်းကို ထည့်ပါ။ ( pgp သော့ကိုအတင်းသုံးပါ။) ကျွန်ုပ်တို့သည် GRUB2 ကို လက်မှတ် module “signature_test.mod” အပါအဝင် module အစုံဖြင့် ထည့်သွင်းထားသောကြောင့်၊ ၎င်းသည် config တွင် “set check_signatures=enforce” ကဲ့သို့သော command များကို ထည့်သွင်းရန် လိုအပ်မှုကို ဖယ်ရှားပေးပါသည်။

ဤကဲ့သို့ကြည့်သင့်သည်။ (grub.cfg ဖိုင်တွင် အဆုံးသတ်လိုင်းများ)

### BEGIN /etc/grub.d/41_custom ###
အကယ်၍ [ -f ${config_directory}/custom.cfg ]; ထို့နောက်
ရင်းမြစ် ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; ထို့နောက်
ရင်းမြစ် $prefix/custom.cfg;
fi
ယုံကြည်ရန် /boot/grub/perskey
superusers="root" ကို သတ်မှတ်ပါ
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### အဆုံးသတ် /etc/grub.d/41_custom ###
#

“/boot/grub/perskey” သို့သွားသည့်လမ်းကြောင်းသည် သီးခြား disk partition ဥပမာ hd0,6 သို့ညွှန်ပြရန်မလိုအပ်ပါ၊ bootloader ကိုယ်တိုင်အတွက်၊ "root" သည် GRUB2 ကိုထည့်သွင်းထားသည့် partition ၏မူလလမ်းကြောင်းဖြစ်သည်။ (set rot= ရှု။ ။)

GRUB2 ကို လက်မှတ်ထိုးပါ။ (/GRUB လမ်းညွှန်များအားလုံးရှိ ဖိုင်များအားလုံး) သင်၏သော့ "perskey" နှင့်။
လက်မှတ်ထိုးနည်းကို ရိုးရှင်းစွာဖြေရှင်းပါ။ (nautilus/caja explorer အတွက်) သိုလှောင်မှုမှ Explorer အတွက် "seahorse" extension ကို ထည့်သွင်းပါ။ သင့်သော့ကို su ပတ်ဝန်းကျင်တွင် ထည့်ရပါမည်။
sudo “/mnt/boot” – RMB – သင်္ကေတဖြင့် Explorer ကိုဖွင့်ပါ။ ဖန်သားပြင်ပေါ်တွင်ဤကဲ့သို့မြင်ရသည်။

သော့ကိုယ်တိုင်က “/mnt/boot/grub/perskey” (grub directory သို့ ကူးယူ) ကိုယ့်လက်မှတ်နဲ့လည်း ရေးထိုးရမယ်။ [*.sig] ဖိုင် လက်မှတ်များသည် လမ်းညွှန်/လမ်းညွှန်များ ခွဲများတွင် ပေါ်လာကြောင်း စစ်ဆေးပါ။
အထက်ဖော်ပြပါနည်းလမ်းကို အသုံးပြု၍ “/boot” တွင် လက်မှတ်ထိုးပါ။ (ကျွန်ုပ်တို့၏ kernel၊ initrd)။ သင့်အချိန်သည် တစ်စုံတစ်ရာတန်ဖိုးရှိပါက၊ ဤနည်းလမ်းသည် “ဖိုင်များစွာ” ကို လက်မှတ်ထိုးရန် bash script ရေးရန် လိုအပ်မှုကို ဖယ်ရှားပေးပါသည်။

bootloader လက်မှတ်များအားလုံးကို ဖယ်ရှားရန် (တစ်ခုခုမှားသွားရင်)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

စနစ်ကို အပ်ဒိတ်လုပ်ပြီးနောက် bootloader ကို လက်မှတ်မထိုးစေရန်၊ ကျွန်ုပ်တို့သည် GRUB2 နှင့် သက်ဆိုင်သည့် အပ်ဒိတ်ပက်ကေ့ခ်ျအားလုံးကို ရပ်တန့်ထားသည်။

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

ဤအဆင့်တွင် <ဒစ်ဂျစ်တယ်လက်မှတ်ဖြင့် bootloader ကိုကာကွယ်ပါ> GRUB2 ၏အဆင့်မြင့်ဖွဲ့စည်းပုံကို ပြီးမြောက်သည်။

C6.3 ဒစ်ဂျစ်တယ်လက်မှတ်နှင့် စစ်မှန်ကြောင်းအထောက်အထားဖြင့် ကာကွယ်ထားသော GRUB2 bootloader ၏ သက်သေ-စစ်ဆေးမှုGRUB2။ GNU/Linux ဖြန့်ဖြူးမှုတစ်ခုခုကို ရွေးချယ်သည့်အခါ သို့မဟုတ် CLI သို့ ဝင်ရောက်သည့်အခါ (အမိန့်စာလိုင်း) Superuser ခွင့်ပြုချက် လိုအပ်ပါမည်။ မှန်ကန်သော အသုံးပြုသူအမည်/စကားဝှက်ကို ထည့်သွင်းပြီးနောက်၊ သင်သည် initrd စကားဝှက်ကို လိုအပ်မည်ဖြစ်သည်။

GRUB2 superuser ကို အောင်မြင်စွာ စစ်မှန်ကြောင်း အထောက်အထားပြခြင်း၏ ဖန်သားပြင်ဓာတ်ပုံ။

အကယ်၍ သင်သည် GRUB2 ဖိုင်များထဲမှ တစ်ခုခုကို ဆော့ကစားခြင်း/grub.cfg သို့ ပြောင်းလဲမှုများ ပြုလုပ်ပါက သို့မဟုတ် ဖိုင်/လက်မှတ်ကို ဖျက်မည် သို့မဟုတ် အန္တရာယ်ရှိသော module.mod တစ်ခုကို တင်ပါက၊ သက်ဆိုင်ရာ သတိပေးချက် ပေါ်လာပါမည်။ GRUB2 သည် စတင်ခြင်းကို ခေတ္တရပ်ပါမည်။

မျက်နှာပြင်ဓာတ်ပုံ၊ GRUB2 "ပြင်ပမှ" ကို အနှောင့်အယှက်ပေးရန် ကြိုးပမ်းမှု။

"သာမန်" "ဝင်ရောက်စွက်ဖက်မှုမရှိဘဲ" ဖွင့်နေစဉ်၊ စနစ်၏ထွက်ပေါက်ကုဒ်အခြေအနေမှာ "0" ဖြစ်သည်။ ထို့ကြောင့် အကာအကွယ်ပေးမှု လုပ်ဆောင်ခြင်း ရှိ၊ မရှိ မသိရသေးပါ။ (ဆိုလိုသည်မှာ၊ ပုံမှန်တင်နေစဉ်အတွင်း "bootloader signature protection" သည် "0" နှင့် တူညီသည် - ၎င်းသည် ဆိုးရွားပါသည်။)

ဒစ်ဂျစ်တယ်လက်မှတ်ကာကွယ်မှုကို ဘယ်လိုစစ်ဆေးမလဲ။

စစ်ဆေးရန် အဆင်မပြေသောနည်းလမ်း- ဥပမာ GRUB2 မှအသုံးပြုသော module အတု/ဖယ်ရှားခြင်း ဥပမာ luks.mod.sig ကို ဖယ်ရှားပြီး အမှားတစ်ခုရယူပါ။

မှန်ကန်သောနည်းလမ်း- bootloader CLI သို့သွားပြီး command ကိုရိုက်ပါ။

trust_list

တုံ့ပြန်မှုအနေဖြင့် သင်သည် “perskey” လက်ဗွေကို လက်ခံရရှိသင့်သည်၊ အကယ်၍ အခြေအနေမှာ “0” ဖြစ်ပါက လက်မှတ်ကာကွယ်မှု အလုပ်မလုပ်ပါ၊ အပိုဒ် C6.2 ကို နှစ်ချက်စစ်ဆေးပါ။
ဤအဆင့်တွင်၊ “ဒစ်ဂျစ်တယ်လက်မှတ်နှင့် စစ်မှန်ကြောင်းအထောက်အထားဖြင့် GRUB2 ကိုကာကွယ်ခြင်း” အဆင့်မြင့်ဖွဲ့စည်းမှု ပြီးမြောက်ပါသည်။

C7 သည် hashing ကို အသုံးပြု၍ GRUB2 bootloader ကိုကာကွယ်သည့်အခြားနည်းလမ်းအထက်တွင်ဖော်ပြထားသော "CPU Boot Loader Protection/Authentication" နည်းလမ်းသည် ရှေးရိုးဖြစ်သည်။ GRUB2 ၏မစုံလင်မှုများကြောင့်၊ အကြောက်လွန်သောအခြေအနေများတွင် ၎င်းသည် အပိုဒ် [F] တွင် အောက်တွင်ဖော်ပြထားသော တကယ့်တိုက်ခိုက်မှုကို ခံရနိုင်ချေရှိသည်။ ထို့အပြင်၊ OS/kernel ကို အပ်ဒိတ်လုပ်ပြီးနောက်၊ bootloader ကို ပြန်လည်ဝင်ရောက်ရပါမည်။

hashing ကိုအသုံးပြု၍ GRUB2 bootloader ကိုကာကွယ်ခြင်း။

ဂန္တဝင်များထက် အားသာချက်များ-

• ပိုမိုမြင့်မားသောယုံကြည်စိတ်ချရသောအဆင့် (hashing/ verification သည် encrypted local resource မှသာလျှင်ပြုလုပ်ပါသည်။ GRUB2 အောက်တွင် ခွဲဝေထားသော partition တစ်ခုလုံးကို မည်သည့်ပြောင်းလဲမှုများအတွက်မဆို ထိန်းချုပ်ထားပြီး အခြားအရာအားလုံးကို ကုဒ်ဝှက်ထားပါသည်၊ CPU loader protection/Authentication ပါရှိသော classic scheme တွင်၊ ဖိုင်များကိုသာ ထိန်းချုပ်ထားသော်လည်း အခမဲ့မဟုတ်ပါ။ “တစ်ခုခု” ဆိုးရွားတဲ့အရာတစ်ခုကို ထပ်ထည့်နိုင်တဲ့နေရာ)။
• ကုဒ်ဝှက်ထားသော မှတ်တမ်း (လူသားဖတ်နိုင်သော ကိုယ်ရေးကိုယ်တာ ကုဒ်ဝှက်ထားသော မှတ်တမ်းကို အစီအစဉ်တွင် ထည့်သွင်းထားသည်။)
• အရှိန် (GRUB2 အတွက် ခွဲဝေချထားပေးသော အပိုင်းတစ်ခုလုံးကို ကာကွယ်ခြင်း/အတည်ပြုခြင်းမှာ ချက်ချင်းနီးပါး ဖြစ်ပေါ်သည်)။
• cryptographic လုပ်ငန်းစဉ်များအားလုံး၏ အလိုအလျောက်လုပ်ဆောင်ခြင်း။

ဂန္တဝင်များထက် အားနည်းချက်များ။

• လက်မှတ်အတု (သီအိုရီအရ၊ ပေးထားသော hash function collision ကို ရှာတွေ့နိုင်သည်)။
• ခက်ခဲမှုအဆင့်ကိုတိုးမြှင့် (ဂန္ထဝင်နှင့် နှိုင်းယှဉ်ပါက GNU/Linux OS တွင် ကျွမ်းကျင်မှု အနည်းငယ် လိုအပ်သည်)။

GRUB2/partition hashing idea အလုပ်လုပ်ပုံ

GRUB2 အခန်းကန့်ကို "လက်မှတ်ထိုးထားသည်"၊ OS စတင်သောအခါ၊ boot loader အပိုင်းကို မပြောင်းလဲနိုင်စေရန် စစ်ဆေးပြီး၊ ထို့နောက် လုံခြုံသော (ကုဒ်ဝှက်ထားသော) ပတ်ဝန်းကျင်တွင် လော့ဂ်လုပ်ပါ။ bootloader သို့မဟုတ် ၎င်း၏အခန်းကန့်ကို အခိုးခံရပါက၊ ဝင်ရောက်မှုမှတ်တမ်းအပြင်၊ အောက်ပါတို့ကို စတင်လုပ်ဆောင်သည်-

ဟိုဒင်း။

အလားတူစစ်ဆေးမှုသည် စနစ်အရင်းအမြစ်များကို မတင်ဆောင်ဘဲ တစ်နေ့လျှင် လေးကြိမ်ပြုလုပ်သည်။
“-$ check_GRUB” ညွှန်ကြားချက်ကို အသုံးပြု၍ မှတ်တမ်းမတင်ဘဲ အချိန်မရွေး ချက်ချင်းစစ်ဆေးနိုင်သော်လည်း CLI သို့ အချက်အလက်များ ထုတ်ပေးခြင်းဖြင့်၊
“-$ sudo signature_GRUB” ဟူသော အမိန့်ကို အသုံးပြု၍ GRUB2 boot loader/partition ကို ချက်ချင်း ပြန်လည် လက်မှတ်ရေးထိုးပြီး ၎င်း၏ မွမ်းမံထားသော မှတ်တမ်းဝင်ခြင်း (OS/boot အပ်ဒိတ်လုပ်ပြီးနောက် လိုအပ်သည်)၊ နှင့် အသက်သည် ဆက်လက်တည်ရှိနေပါသည်။

bootloader နှင့် ၎င်း၏ကဏ္ဍအတွက် hashing နည်းလမ်းကို အကောင်အထည်ဖော်ခြင်း။

0) ပထမဦးစွာ ၎င်းကို /media/username တွင် ထည့်သွင်းခြင်းဖြင့် GRUB bootloader/partition ကို လက်မှတ်ထိုးကြပါစို့။

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) ကျွန်ုပ်တို့သည် ကုဒ်ဝှက်ထားသော OS ~/podpis ၏ အမြစ်တွင် တိုးချဲ့မှုမပါဘဲ script တစ်ခုကို ဖန်တီးပြီး၊ လိုအပ်သော 744 လုံခြုံရေးအခွင့်အရေးများနှင့် ၎င်းအတွက် မိုက်မဲသောအကာအကွယ်ကို အသုံးပြုပါသည်။

၎င်း၏အကြောင်းအရာများကိုဖြည့်စွက်

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

ဇာတ်ညွှန်းကို Run လိုက်ပါ။ suGRUB partition ၏ hashing နှင့် ၎င်း၏ bootloader ကို စစ်ဆေးပြီး မှတ်တမ်းကို သိမ်းဆည်းပါ။

ဥပမာအားဖြင့်၊ "အန္တရာယ်ရှိသောဖိုင်" [virus.mod] ကို GRUB2 အကန့်သို့ ဖန်တီး သို့မဟုတ် ကူးယူကြပါစို့။

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

CLI သည် ကျွန်ုပ်တို့၏ -citadel- ၏ ကျူးကျော်မှုကို မြင်တွေ့ရမည်၊# CLI တွင်ဝင်ရောက်မှုကိုဖြတ်တောက်ထားသည်။

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

#သင်တွေ့မြင်ရသည့်အတိုင်း "ဖိုင်များရွှေ့သည်- 1 နှင့် စာရင်းစစ်မအောင်မြင်" ပေါ်လာသည်၊ ဆိုလိုသည်မှာ စစ်ဆေးမှုမအောင်မြင်ပါ။
စမ်းသပ်နေသည့် အခန်းကန့်၏ သဘောသဘာဝကြောင့်၊ "ဖိုင်အသစ်တွေ့ရှိသည်" > "ဖိုင်များကို ရွှေ့ထားသည်" အစား၊

2) gif ကို ဤနေရာတွင်ထား > ~/warning.gif၊ ခွင့်ပြုချက်များကို 744 သို့ သတ်မှတ်ပါ။

3) boot တွင် GRUB partition ကိုအလိုအလျောက်တပ်ဆင်ရန် fstab ကိုပြင်ဆင်ခြင်း။

-$ sudo nano /etc/fstab

LABEL=GRUB /media/username/GRUB ext4 သည် ပုံသေ 0 0 ဖြစ်သည်။

4) သစ်လုံးလှည့်ခြင်း။

-$ sudo nano /etc/logrotate.d/podpis 

/var/log/podpis.txt {
နေ့စဉ်
50 လှည့်
အရွယ်အစား 5M
ရက်စွဲ
သိပ်
နေမင်း
olddir /var/log/old
}

/var/log/vtorjenie.txt {
လစဉ်
5 လှည့်
အရွယ်အစား 5M
ရက်စွဲ
olddir /var/log/old
}

5) cron တွင်အလုပ်တစ်ခုထည့်ပါ။

-$ sudo crontab -e

reboot လုပ်ပါ '/စာရင်းသွင်းခြင်း'
0 */6 * * * '/podpis

6) အမြဲတမ်း နာမည်တူများ ဖန်တီးခြင်း။

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

OS အပ်ဒိတ်လုပ်ပြီးနောက် -$ apt-get upgrade ကျွန်ုပ်တို့၏ GRUB အခန်းကန့်ကို ပြန်လည်လက်မှတ်ထိုးပါ။
-$ подпись_GRUB
ဤအချိန်တွင် GRUB partition ကို hashing protection ပြီးပါပြီ။

[D] Wiping - ကုဒ်မထားသော ဒေတာများကို ဖျက်ဆီးခြင်း။

“ဘုရားသခင်တောင်မှ အဲဒါတွေကို မဖတ်ရဘူး” လို့ တောင်ကယ်ရိုလိုင်းနား ပြောရေးဆိုခွင့်ရှိသူ Trey Gowdy ရဲ့ အဆိုအရ မင်းရဲ့ ကိုယ်ရေးကိုယ်တာ ဖိုင်တွေကို လုံးဝ ဖျက်ပစ်ပါ။

ထုံးစံအတိုင်း၊ အမျိုးမျိုးသော "ဒဏ္ဍာရီများနှင့် ဒဏ္ဍာရီများ"ဟာ့ဒ်ဒရိုက်မှ ဖျက်လိုက်ပြီးနောက် ဒေတာကို ပြန်လည်ရယူခြင်းအကြောင်း။ အကယ်၍ သင်သည် ဆိုက်ဘာစကေးပညာကို ယုံကြည်ပါက သို့မဟုတ် Dr web အသိုင်းအဝိုင်း၏ အဖွဲ့ဝင်တစ်ဦးဖြစ်ပြီး ၎င်းအား ဖျက်/ရေးပြီးနောက် ဒေတာပြန်လည်ရယူရန် တစ်ခါမျှ မကြိုးစားဖူးပါက၊ (ဥပမာ၊ R-studio သုံး၍ ပြန်လည်ရယူခြင်း)သို့ဆိုလျှင် အဆိုပြုထားသောနည်းလမ်းသည် သင့်အတွက် သင့်လျော်မှုမရှိကြောင်း၊ သင်နှင့် အနီးစပ်ဆုံးအရာကို အသုံးပြုပါ။

GNU/Linux ကို ကုဒ်ဝှက်ထားသော အပိုင်းတစ်ခုသို့ အောင်မြင်စွာ လွှဲပြောင်းပြီးနောက်၊ ဒေတာပြန်လည်ရယူရန် မဖြစ်နိုင်ဘဲ မိတ္တူဟောင်းကို ဖျက်ပစ်ရပါမည်။ တစ်ကမ္ဘာလုံးသန့်ရှင်းရေးနည်းလမ်း- Windows/Linux အခမဲ့ GUI ဆော့ဖ်ဝဲလ်အတွက် ဆော့ဖ်ဝဲ ဖြစ်တဲ့ BleachBit.
လျင်မြန်စွာ အပိုင်းကို format လုပ်ပါ။ဖျက်ဆီးပစ်ရန် လိုအပ်သည့် အချက်အလက်၊ (Gparted မှတဆင့်) BleachBit ကိုဖွင့်ပါ၊ “နေရာလွတ်ကင်းရှင်းပါ” ကိုရွေးချယ်ပါ - အခန်းကန့်ကိုရွေးချယ်ပါ။ (GNU/Linux ၏ ယခင်မိတ္တူနှင့်အတူ သင်၏ sdaX)ထုတ်ယူခြင်းလုပ်ငန်းစဉ် စတင်ပါမည်။ BleachBit - တစ်ချက်တည်းဖြင့် disk ကိုရှင်းလင်းသည် - ဤသည်မှာ "ကျွန်ုပ်တို့လိုအပ်သည်"၊ သို့သော်! ဒစ်ကို ဖော်မတ်ချပြီး BB v2.0 ဆော့ဖ်ဝဲလ်တွင် သန့်ရှင်းရေးလုပ်ပါက ၎င်းသည် သီအိုရီအရသာ အလုပ်လုပ်ပါသည်။

သတိ! BB သည် ဒစ်ခ်ကို ရှင်းလင်းစေပြီး မက်တာဒေတာကို ချန်ထားကာ ဒေတာများကို ဖယ်ရှားသည့်အခါ ဖိုင်အမည်များကို ထိန်းသိမ်းထားသည်။ (Ccleaner - မက်တာဒေတာ မထားခဲ့ပါ)။

ပြီးတော့ data recovery ဖြစ်နိုင်ခြေနဲ့ပတ်သက်တဲ့ ဒဏ္ဍာရီဟာ လုံးဝဒဏ္ဍာရီမဟုတ်ပါဘူး။Bleachbit V2.0-2 ယခင် မတည်မငြိမ် OS Debian ပက်ကေ့ဂျ် (နှင့်အခြားအလားတူဆော့ဖ်ဝဲလ်များ- sfill; wipe-Nautilus - ဤညစ်ပတ်သောစီးပွားရေးလုပ်ငန်းတွင်လည်းသတိပြုမိကြသည်) အမှန်တကယ်တွင် အရေးကြီးသော ချို့ယွင်းချက်တစ်ခုရှိသည်- "နေရာလွတ်ရှင်းလင်းခြင်း" လုပ်ဆောင်ချက် မမှန်ပါ။ HDD/Flash drive များတွင် (ntfs/ext4). ဤကဲ့သို့သော ဆော့ဖ်ဝဲလ်သည် နေရာလွတ်များကို ရှင်းလင်းသောအခါတွင်၊ အသုံးပြုသူအများအပြားထင်ထားသည့်အတိုင်း disk တစ်ခုလုံးကို overwrite လုပ်မည်မဟုတ်ပါ။ တစ်ချို့က (များစွာ) ဖျက်လိုက်သောဒေတာ OS/ဆော့ဖ်ဝဲသည် ဤဒေတာကို ဖျက်မထားသော/အသုံးပြုသူဒေတာအဖြစ် သတ်မှတ်ပြီး “OSP” ကို သန့်ရှင်းရေးလုပ်သောအခါတွင် ၎င်းသည် ဤဖိုင်များကို ကျော်သွားပါသည်။ ပြဿနာကတော့ အချိန်အတော်ကြာပြီးမှ disk ကို သန့်ရှင်းရေးလုပ်ပါ။ "ဖျက်ထားသောဖိုင်များ" ကိုပြန်လည်ရယူနိုင်သည်။ 3+ အခွေကို သုတ်ပြီးနောက်မှာပင်။
Bleachbit ရှိ GNU/Linux တွင် 2.0-2 ဖိုင်များနှင့် လမ်းညွှန်များကို အပြီးတိုင်ဖျက်ခြင်း၏ လုပ်ဆောင်ချက်များသည် စိတ်ချယုံကြည်စွာ အလုပ်လုပ်သော်လည်း နေရာလွတ်များကို မရှင်းလင်းပါ။ နှိုင်းယှဉ်ချက်အတွက်- CCleaner ရှိ Windows တွင် “OSP for ntfs” လုပ်ဆောင်ချက်သည် ကောင်းမွန်စွာအလုပ်လုပ်ပြီး ဘုရားသခင်သည် ဖျက်လိုက်သောဒေတာကို အမှန်တကယ်ဖတ်ရှုနိုင်မည်မဟုတ်ပါ။

ဒါကြောင့် နှိုက်နှိုက်ချွတ်ချွတ်ချွတ်ပစ်ပါ။ "အပေးအယူ" ကုဒ်ဝှက်ထားခြင်းမရှိသော အချက်အလက်ဟောင်းများ၊ Bleachbit သည် ဤဒေတာသို့ တိုက်ရိုက်ဝင်ရောက်ခွင့် လိုအပ်ပါသည်။ထို့နောက် “ဖိုင်များ/လမ်းကြောင်းများကို အပြီးတိုင်ဖျက်ပစ်ပါ” လုပ်ဆောင်ချက်ကို အသုံးပြုပါ။
Windows ရှိ “စံ OS ကိရိယာများကို အသုံးပြု၍ ဖျက်ထားသောဖိုင်များ” ကို ဖယ်ရှားရန်၊ “OSP” လုပ်ဆောင်ချက်ဖြင့် CCleaner/BB ကို အသုံးပြုပါ။ GNU/Linux တွင် ဤပြဿနာအပေါ် (ဖျက်ထားသောဖိုင်များကို ဖျက်ပါ) ကိုယ့်ဘာသာကိုယ် လေ့ကျင့်ယူရမယ်။ (ဒေတာကိုဖျက်ခြင်း + ၎င်းကိုပြန်လည်ရယူရန် အမှီအခိုကင်းသောကြိုးပမ်းမှုဖြစ်ပြီး ဆော့ဖ်ဝဲဗားရှင်းကို သင်အားမကိုးသင့်ပါ (စာညှပ်မဟုတ်ပါက ချွတ်ယွင်းချက်တစ်ခု))ဤကိစ္စတွင်သာ သင်သည် ဤပြဿနာ၏ ယန္တရားကို နားလည်နိုင်ပြီး ဖျက်လိုက်သောဒေတာကို လုံးဝဖယ်ရှားပစ်နိုင်မည်ဖြစ်သည်။

ကျွန်ုပ်သည် Bleachbit v3.0 ကို မစမ်းသပ်ရသေးပါ၊ ပြဿနာကို ဖြေရှင်းပြီးသားဖြစ်နိုင်ပါသည်။
Bleachbit v2.0 သည် ရိုးရိုးသားသားအလုပ်လုပ်သည်။

ဤအဆင့်တွင်၊ ဒစ်ခ်ကို ရှင်းလင်းခြင်း ပြီးပါပြီ။

[E] ကုဒ်ဝှက်ထားသော OS ၏ Universal Backup

အသုံးပြုသူတစ်ဦးစီတွင် ဒေတာကို အရန်ကူးရန် ကိုယ်ပိုင်နည်းလမ်းရှိသော်လည်း၊ ကုဒ်ဝှက်ထားသော စနစ် OS ဒေတာသည် လုပ်ဆောင်စရာအတွက် အနည်းငယ်ကွဲပြားသော ချဉ်းကပ်မှု လိုအပ်သည်။ Clonezilla နှင့် အလားတူဆော့ဖ်ဝဲကဲ့သို့ ပေါင်းစည်းထားသောဆော့ဖ်ဝဲလ်သည် ကုဒ်ဝှက်ထားသောဒေတာနှင့် တိုက်ရိုက်အလုပ်လုပ်၍မရပါ။

ကုဒ်ဝှက်ထားသော ပိတ်ဆို့ထားသော စက်ပစ္စည်းများကို အရန်သိမ်းခြင်းဆိုင်ရာ ပြဿနာ၏ ဖော်ပြချက်-

1. universality - Windows/Linux အတွက် တူညီသော backup algorithm/software၊
2. အပိုဆော့ဖ်ဝဲလ်ဒေါင်းလုဒ်များမလိုအပ်ဘဲ မည်သည့် live usb GNU/Linux ဖြင့်မဆို console တွင် အလုပ်လုပ်နိုင်စွမ်းရှိသည်။ (ဒါပေမယ့် GUI ကို အကြံပြုထားပါသေးတယ်);
3. အရန်မိတ္တူများ၏ လုံခြုံရေး - သိမ်းဆည်းထားသော “ပုံများ” ကို ကုဒ်ဝှက်ထား/စကားဝှက်ဖြင့် ကာကွယ်ထားရပါမည်။
4. ကုဒ်ဝှက်ထားသောဒေတာ၏အရွယ်အစားသည် အမှန်တကယ်ကူးယူထားသည့်ဒေတာအရွယ်အစားနှင့် ကိုက်ညီမှုရှိရမည်။
5. အရန်မိတ္တူမှ လိုအပ်သောဖိုင်များကို ထုတ်ယူရန် အဆင်ပြေသည်။ (ကဏ္ဍတစ်ခုလုံးကို ဦးစွာစာဝှက်ရန် မလိုအပ်ပါ။)

ဥပမာအားဖြင့်၊ “dd” utility မှတဆင့် အရန်/ပြန်လည်ရယူပါ။

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

၎င်းသည် အလုပ်၏နေရာအားလုံးနီးပါးနှင့် သက်ဆိုင်သော်လည်း အမှတ် 4 အရ ၎င်းသည် နေရာလွတ်အပါအဝင် disk partition တစ်ခုလုံးကို မိတ္တူကူးထားသောကြောင့် စိတ်ဝင်စားစရာမဟုတ်ပေ။

ဥပမာအားဖြင့်၊ archiver [tar" | မှတဆင့် GNU/Linux အရန်ကူးခြင်း။ gpg] သည်အဆင်ပြေသော်လည်း Windows အရန်ကူးယူရန်အတွက်သင်သည်အခြားဖြေရှင်းချက်ကိုရှာဖွေရန်လိုအပ်သည် - ၎င်းသည်စိတ်ဝင်စားစရာမဟုတ်ပါ။

E1 Universal Windows/Linux အရန်ကူးခြင်း။ လင့်ခ် rsync (Grsync)+VeraCrypt အသံအတိုးအကျယ်အရန်မိတ္တူဖန်တီးရန်အတွက် အယ်လဂိုရီသမ်-

1. ကုဒ်ဝှက်ထားသော ကွန်တိန်နာတစ်ခု ဖန်တီးခြင်း။ (အတွဲ/ဖိုင်) OS အတွက် VeraCrypt
2. Rsync ဆော့ဖ်ဝဲလ်ကို အသုံးပြု၍ OS ကို VeraCrypt crypto ကွန်တိန်နာထဲသို့ လွှဲပြောင်း/ထပ်တူပြုပါ။
3. လိုအပ်ပါက၊ VeraCrypt volume ကို www သို့ အပ်လုဒ်တင်ခြင်း။

ကုဒ်ဝှက်ထားသော VeraCrypt ကွန်တိန်နာကို ဖန်တီးရာတွင် ၎င်း၏ကိုယ်ပိုင်လက္ခဏာများ ရှိသည်-
dynamic volume ကိုဖန်တီးခြင်း။ (DT ဖန်တီးမှုကို Windows တွင်သာရရှိနိုင်သည်၊ GNU/Linux တွင်လည်းအသုံးပြုနိုင်သည်);
ပုံမှန်အသံအတိုးအကျယ်ကိုဖန်တီးသော်လည်း "အကြောက်လွန်သောဇာတ်ကောင်" ၏လိုအပ်ချက်တစ်ခုရှိသည်။ (ပြုစုသူ၏အဆိုအရ) - ကွန်တိန်နာပုံစံချခြင်း။

Dynamic Volume ကို Windows တွင် ချက်ချင်းနီးပါး ဖန်တီးထားသော်လည်း GNU/Linux > VeraCrypt DT မှ ဒေတာကို ကူးယူသောအခါတွင်၊ အရန်သိမ်းခြင်းလုပ်ငန်း၏ အလုံးစုံစွမ်းဆောင်ရည်သည် သိသိသာသာ ကျဆင်းသွားပါသည်။

ပုံမှန် 70 GB Twofish ပမာဏကို ဖန်တီးထားသည်။ (ပျမ်းမျှအားဖြင့် PC power ကိုဆိုကြပါစို့) နာရီဝက်အတွင်း HDD သို့ (pass တစ်ခုတွင် ယခင် container data ကို overwrite လုပ်ခြင်းသည် လုံခြုံရေး လိုအပ်ချက်များကြောင့်)။ VeraCrypt Windows/Linux မှ လျင်မြန်စွာ ဖော်မတ်ဖန်တီးခြင်း၏ လုပ်ဆောင်ချက်ကို VeraCrypt Windows/Linux မှ ဖယ်ရှားလိုက်သောကြောင့် ကွန်တိန်နာတစ်ခု ဖန်တီးခြင်းသည် "one-pass rewriting" သို့မဟုတ် စွမ်းဆောင်ရည်နိမ့်သော ဒိုင်းနမစ်အသံကို ဖန်တီးခြင်းဖြင့်သာ ဖြစ်နိုင်သည်။

ပုံမှန် VeraCrypt အသံအတိုးအကျယ်ကို ဖန်တီးပါ။ (dynamic/ntfs မဟုတ်ပါ)၊ ဘာပြဿနာမှ မဖြစ်သင့်ဘူး။

VeraCrypt GUI > GNU/Linux တိုက်ရိုက် usb တွင် ကွန်တိန်နာတစ်ခုကို စီစဉ်/ဖန်တီး/ဖွင့်ပါ (အသံအတိုးအကျယ်ကို /media/veracrypt2 တွင် အလိုအလျောက်တပ်ဆင်မည်ဖြစ်ပြီး၊ Windows OS အသံအတိုးအကျယ်ကို /media/veracrypt1 သို့ တပ်ဆင်သွားပါမည်။) GUI rsync ကို အသုံးပြု၍ Windows OS ၏ ကုဒ်ဝှက်ထားသော အရန်ကူးတစ်ခု ဖန်တီးခြင်း။ (Grsync)အကွက်များကိုစစ်ဆေးခြင်းဖြင့်

လုပ်ငန်းစဉ်ပြီးအောင်စောင့်ပါ။ မိတ္တူကူးပြီးသည်နှင့်၊ ကျွန်ုပ်တို့တွင် ကုဒ်ဝှက်ထားသော ဖိုင်တစ်ခုရှိသည်။

အလားတူ၊ rsync GUI ရှိ "Windows compatibility" checkbox ကိုဖြုတ်ခြင်းဖြင့် GNU/Linux OS ၏ အရန်မိတ္တူကို ဖန်တီးပါ။

သတိ! ဖိုင်စနစ်တွင် “GNU/Linux အရန်ကူးခြင်း” အတွက် Veracrypt container တစ်ခုကို ဖန်တီးပါ။ ext4. အကယ်၍ သင်သည် ntfs ကွန်တိန်နာတစ်ခုသို့ အရန်ကူးယူပါက၊ ထိုသို့သောမိတ္တူကို ပြန်လည်ရယူသည့်အခါ၊ သင်၏ဒေတာအားလုံးအတွက် အခွင့်အရေးများ/အုပ်စုများ ဆုံးရှုံးသွားမည်ဖြစ်သည်။

သင်သည် terminal တွင် လည်ပတ်မှုအားလုံးကို လုပ်ဆောင်နိုင်သည်။ rsync အတွက် အခြေခံရွေးချယ်စရာများ
* -g -save အဖွဲ့များ;
* -P —progress — ဖိုင်ပေါ်တွင် အလုပ်လုပ်သည့်အချိန်၏ အခြေအနေ၊
* -H - ဟာ့ဒ်လင့်ခ်များကို မူရင်းအတိုင်း ကူးယူပါ။
* -a -archive မုဒ် (rlptgoD အလံများစွာ);
*-v -verbalization။

cryptsetup ဆော့ဖ်ဝဲလ်ရှိ ကွန်ဆိုးလ်မှတစ်ဆင့် “Windows VeraCrypt volume” ကို တပ်ဆင်လိုပါက၊ alias (su) ကို ဖန်တီးနိုင်သည်။

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

ယခု “veramount pictures” ညွှန်ကြားချက်သည် စကားဝှက်တစ်ခု ထည့်သွင်းရန် သင့်ကို ခိုင်းစေမည်ဖြစ်ပြီး၊ ကုဒ်ဝှက်ထားသော Windows စနစ်အသံအား OS တွင် ထည့်သွင်းမည်ဖြစ်သည်။

cryptsetup command တွင် VeraCrypt စနစ်အသံအတိုးအကျယ်ကို Map/mount

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

cryptsetup command တွင် VeraCrypt အခန်းကန့်/ကွန်တိန်နာကို မြေပုံ/mount လုပ်ပါ။

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

အတိုကောက်အစား၊ Windows OS ပါသော စနစ်အသံအတိုးအကျယ်နှင့် GNU/Linux စတင်ရန်အတွက် ယုတ္တိကုဒ်ဝှက်ထားသော ntfs ဒစ်ကို ကျွန်ုပ်တို့ ပေါင်းထည့်ပါမည်။

ဇာတ်ညွှန်းဖန်တီးပြီး ~/VeraOpen.sh တွင် သိမ်းဆည်းပါ။

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

ကျွန်ုပ်တို့သည် “မှန်ကန်သော” အခွင့်အရေးများကို ဖြန့်ဝေသည်-

sudo chmod 100 /VeraOpen.sh

/etc/rc.local နှင့် ~/etc/init.d/rc.local တွင် တူညီသော ဖိုင်နှစ်ခု (အမည်တူ!) ဖန်တီးပါ။
ဖိုင်များကိုဖြည့်ခြင်း။

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

ကျွန်ုပ်တို့သည် “မှန်ကန်သော” အခွင့်အရေးများကို ဖြန့်ဝေသည်-

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local 

ဒါပါပဲ၊ အခု GNU/Linux ကို ဖွင့်တဲ့အခါမှာ ကုဒ်ဝှက်ထားတဲ့ ntfs ဒစ်တွေကို တပ်ဆင်ဖို့ စကားဝှက်တွေ ထည့်ဖို့ မလိုအပ်တော့ဘဲ ဒစ်ခ်တွေကို အလိုအလျောက် တပ်ဆင်ပါတယ်။

အပိုဒ် E1 တွင် အထက်တွင်ဖော်ပြထားသည့်အရာအကြောင်း အတိုချုံးပြီး မှတ်စုတစ်ခု (သို့သော် ယခု OS GNU/Linux အတွက်)
1) Veracrypt [Cryptbox] ရှိ Linux တွင် fs ext4 > 4gb (ဖိုင်အတွက်) Volume တစ်ခုဖန်တီးပါ။
2) live usb ကိုပြန်ဖွင့်ပါ။
3) ~$ cryptsetup ကိုဖွင့်ပြီး /dev/sda7 Lunux #mapping encrypted partition ကိုဖွင့်ပါ။
4) ~$ mount /dev/mapper/Linux /mnt #mount ကို /mnt သို့ ကုဒ်ဝှက်ထားသော အခန်းကန့်ကို တပ်ဆင်ပါ။
5) ~$ mkdir mnt2 #အနာဂတ်အရန်ကူးယူခြင်းအတွက် လမ်းညွှန်တစ်ခုဖန်တီးခြင်း။
6) ~$ cryptsetup ကိုဖွင့်ပြီး —veracrypt—အမျိုးအစား tcrypt ~/CryptoBox CryptoBox && mount /dev/mapper/CryptoBox /mnt2 #“CryptoBox” ဟုအမည်ပေးထားသည့် Veracrypt ပမာဏတစ်ခုကို ပုံဖော်ပြီး CryptoBox ကို /mnt2 သို့ တပ်ဆင်ပါ။
7) ~$ rsync -avlxhHX —progress /mnt /mnt2/ #backup လုပ်ဆောင်မှုသည် ကုဒ်ဝှက်ထားသော Veracrypt volume တစ်ခုသို့ ကုဒ်ဝှက်ထားသော partition တစ်ခု၏ လုပ်ဆောင်မှု။

(p/s/ သတိ! အကယ်၍ သင်သည် ကုဒ်ဝှက်ထားသော GNU/Linux ကို ဗိသုကာ/စက်တစ်ခုမှ အခြားသို့ လွှဲပြောင်းနေပါက၊ ဥပမာ၊ Intel > AMD (ဆိုလိုသည်မှာ၊ ကုဒ်ဝှက်ထားသော partition တစ်ခုမှ အခြား encrypt လုပ်ထားသော Intel > AMD partition သို့ အရန်ကူးယူခြင်း)၊ မမေ့ပါနှင့် ကုဒ်ဝှက်ထားသော OS ကို လွှဲပြောင်းပြီးနောက်၊ စကားဝှက်အစား လျှို့ဝှက်အစားထိုးသော့ကို တည်းဖြတ်ပါ။ ယခင်သော့ ~/etc/skey - အခြား ကုဒ်ဝှက်ထားသော အခန်းကန့်နှင့် အံကိုက်မဟုတ်တော့ဘဲ chroot အောက်တွင် “cryptsetup luksAddKey” သော့အသစ်တစ်ခုကို ဖန်တီးရန် အကြံပြုလိုသည်မဟုတ်ပါ - လွဲချော်မှုဖြစ်နိုင်သည်၊ အစား ~/etc/crypttab တွင်သာ သတ်မှတ်ပေးပါ။ “/etc/skey” ယာယီ “none” “၊ rebot လုပ်ပြီး OS ထဲသို့ လော့ဂ်အင်ဝင်ပြီးနောက်၊ သင်၏ လျှို့ဝှက် သင်္ကေတ ကီးကို ထပ်မံ ဖန်တီးပါ)။

အိုင်တီစစ်ပြန်များအနေနှင့်၊ စာဝှက်ထားသော Windows/Linux OS အခန်းကန့်များ၏ ခေါင်းစီးများကို သီးခြားအရန်ကူးရန် မမေ့ပါနှင့်၊ သို့မဟုတ် ကုဒ်ဝှက်ခြင်းသည် သင့်အား ဆန့်ကျင်သွားမည်ဖြစ်သည်။
ဤအဆင့်တွင်၊ ကုဒ်ဝှက်ထားသော OS ၏ အရန်ကူးခြင်းကို ပြီးမြောက်သည်။

[F] GRUB2 bootloader ကို တိုက်ခိုက်ပါ။

အသေးစိတျအကယ်၍ သင်သည် သင်၏ bootloader ကို ဒစ်ဂျစ်တယ် လက်မှတ်နှင့်/သို့မဟုတ် စစ်မှန်ကြောင်း အထောက်အထားဖြင့် ကာကွယ်ထားသည်။ (အမှတ် C6 ကိုကြည့်ပါ။)သို့ဆိုလျှင် ဤအရာသည် ရုပ်ပိုင်းဆိုင်ရာဝင်ရောက်ခြင်းမှ ကာကွယ်မည်မဟုတ်ပါ။ ကုဒ်ဝှက်ထားသော ဒေတာကို လက်လှမ်းမမီနိုင်သေးသော်လည်း အကာအကွယ်ကို ကျော်သွားပါမည်။ (ဒစ်ဂျစ်တယ်လက်မှတ်ကာကွယ်မှုကို ပြန်လည်သတ်မှတ်ပါ) GRUB2 သည် ဆိုက်ဘာဗီလိန်တစ်ဦးအား သံသယမ၀င်ဘဲ ၎င်း၏ကုဒ်ကို bootloader ထဲသို့ ထိုးသွင်းနိုင်စေသည် (အသုံးပြုသူသည် bootloader အခြေအနေကို ကိုယ်တိုင်စောင့်ကြည့်ခြင်းမရှိပါက၊ သို့မဟုတ် grub.cfg အတွက် ၎င်းတို့၏ ခိုင်မာသော arbitrary-script code နှင့်အတူ ပါလာသည်)။

တိုက်ခိုက်ရေး algorithm ကျူးကျော်သူ

* တိုက်ရိုက် usb မှ PC ကိုစတင်ပါ။ အပြောင်းအလဲရှိလား။ (ချိုးဖောက်သူ) ဖိုင်များသည် bootloader သို့ဝင်ရောက်မှုနှင့်ပတ်သက်၍ PC ၏ပိုင်ရှင်အစစ်အမှန်အား အကြောင်းကြားမည်ဖြစ်သည်။ သို့သော် grub.cfg ကိုထိန်းသိမ်းခြင်း GRUB2 ၏ရိုးရှင်းသောပြန်လည်ထည့်သွင်းခြင်း။ (နောက်ဆက်တွဲ တည်းဖြတ်နိုင်မှု) တိုက်ခိုက်သူအား မည်သည့်ဖိုင်ကိုမဆို တည်းဖြတ်ခွင့်ပြုပါမည်။ (ဤအခြေအနေတွင်၊ GRUB2 ကိုဖွင့်သောအခါ၊ အသုံးပြုသူအစစ်အမှန်အား အသိပေးမည်မဟုတ်ပါ။ အခြေအနေသည် <0> အတူတူပင်ဖြစ်သည်)
* ကုဒ်မထားသော အခန်းကန့်တစ်ခုကို တပ်ဆင်ပြီး “/mnt/boot/grub/grub.cfg” ကို သိမ်းဆည်းပါ။
* bootloader ကိုပြန်လည်ထည့်သွင်းသည်။ (core.img ပုံမှ "perskey" ကို ဖယ်ရှားခြင်း)

grub-install --force --root-directory=/mnt /dev/sda6

* “grub.cfg” > “/mnt/boot/grub/grub.cfg” ကို ပြန်ပေးသည်၊ လိုအပ်ပါက၊ ဥပမာအားဖြင့်၊ “grub.cfg” တွင် သင်၏ module “keylogger.mod” ကို loader module များဖြင့် ဖိုင်တွဲသို့ ပေါင်းထည့်ခြင်း၊ > line "insmod keylogger"။ သို့မဟုတ် ဥပမာအားဖြင့် ရန်သူသည် လိမ္မာပါက GRUB2 ကို ပြန်လည်ထည့်သွင်းပြီးနောက် (လက်မှတ်အားလုံး နေရာယူထားပါသည်) ၎င်းသည် "grub-mkimage with option (-c)" ကို အသုံးပြု၍ ပင်မ GRUB2 ရုပ်ပုံကို တည်ဆောက်သည်။ “-c” ရွေးချယ်မှုသည် ပင်မ “grub.cfg” ကို မတင်မီ သင်၏ config ကို တင်ရန် ခွင့်ပြုမည်ဖြစ်သည်။ config တွင် စာကြောင်းတစ်ကြောင်းသာ ပါဝင်နိုင်သည်- ဥပမာ ~ 400 ဖိုင်များဖြင့် ရောထားသော မည်သည့် "modern.cfg" သို့ ပြန်ညွှန်းခြင်း (မော်ဂျူး + လက်မှတ်များ) "/boot/grub/i386-pc" ဖိုဒါတွင်။ ဤကိစ္စတွင်၊ အသုံးပြုသူသည် ဖိုင်တွင် “hashsum” ကို ထည့်သွင်းပြီး ဖန်သားပြင်ပေါ်တွင် ယာယီပြသထားသော်လည်း၊ တိုက်ခိုက်သူသည် “/boot/grub/grub.cfg” ကို မထိခိုက်စေဘဲ ကိန်းဂဏာန်းများထည့်သွင်းကာ မော်ဂျူးများကို တင်နိုင်သည်။
တိုက်ခိုက်သူသည် GRUB2 superuser login/password ကို hack ရန် မလိုအပ်ပါ၊ သူသည် လိုင်းများကို ကူးယူရန် လိုအပ်လိမ့်မည် (Authentication အတွက် တာဝန်ရှိသည်) သင်၏ "modern.cfg" သို့ "/boot/grub/grub.cfg"

superusers="root" ကို သတ်မှတ်ပါ
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

PC ပိုင်ရှင်အား GRUB2 စူပါအသုံးပြုသူအဖြစ် စစ်မှန်ကြောင်းအထောက်အထားပြနိုင်ဆဲဖြစ်သည်။

ကွင်းဆက်တင်ပေးခြင်း။ (bootloader သည် အခြား bootloader ကို loader လုပ်သည်)အထက်မှာရေးခဲ့သလိုပဲ၊ အဓိပ္ပါယ်မရှိပါဘူး။ (ရည်ရွယ်ချက်အမျိုးမျိုးအတွက် ရည်ရွယ်သည်). BIOS ကြောင့် အသွင်ဝှက်ထားသော bootloader ကို မတင်နိုင်ပါ။ (ကွင်းဆက်စတင်ခြင်းသည် GRUB2 > ကုဒ်ဝှက်ထားသော GRUB2 ကို ပြန်လည်စတင်သည်၊ အမှားအယွင်း။). သို့သော်လည်း၊ သင်သည် ကွင်းဆက်တင်ခြင်းဆိုင်ရာ စိတ်ကူးကို ဆက်လက်အသုံးပြုပါက ၎င်းသည် ကုဒ်ဝှက်ထားသည့်အရာသည် loaded ဖြစ်နေကြောင်း သင်သေချာနိုင်ပါသည်။ (ခေတ်မမီပါ) ကုဒ်ဝှက်ထားသော အခန်းကန့်မှ "grub.cfg" ကုဒ်ဝှက်ထားသော “grub.cfg” တွင် ဖော်ပြထားသည့်အရာအားလုံးကြောင့် ၎င်းသည် လုံခြုံရေး၏ မှားယွင်းသော ခံစားချက်တစ်ခုလည်းဖြစ်သည်။ (module loading) သည် ကုဒ်ဝှက်မထားသော GRUB2 မှ တင်ဆောင်သည့် မော်ဂျူးများအထိ ပေါင်းထည့်သည်။

၎င်းကိုစစ်ဆေးလိုပါက အခြား partition sdaY ကိုခွဲဝေချထား/ကုဒ်ဝှက်ပါ၊ GRUB2 ကို ၎င်းသို့ကူးယူပါ။ (ကုဒ်ဝှက်ထားသော partition တစ်ခုတွင် grub-install လုပ်ဆောင်မှုကို မဖြစ်နိုင်ပါ။) နှင့် "grub.cfg" တွင် (ကုဒ်ဝှက်မထားသော config) ဤကဲ့သို့သောလိုင်းများကိုပြောင်းပါ။

menuentry 'GRUBx2' --class ကြက်တူရွေး --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
load_video
insmod gzio
အကယ်၍ [ x$grub_platform = xxen ]; ထို့နောက် insmod xzio; insmod lzopio; fi
insmod part_msdos
insmod cryptodisk
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2 ပါ
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
ပုံမှန် /boot/grub/grub.cfg
}

လိုင်းများ
* insmod - ကုဒ်ဝှက်ထားသောဒစ်တစ်ခုဖြင့်အလုပ်လုပ်ရန်အတွက်လိုအပ်သော module များကိုတင်နေသည်။
* GRUBx2 - GRUB2 boot menu တွင်ပြသထားသောလိုင်းအမည်။
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -see။ fdisk -l (sda9);
* set root - root ကိုသတ်မှတ်ခြင်း;
* ပုံမှန် /boot/grub/grub.cfg - ကုဒ်ဝှက်ထားသော partition တစ်ခုပေါ်တွင် executable configuration ဖိုင်။

GRUBx2” လိုင်းကိုရွေးချယ်သည့်အခါ “GRUBxXNUMX” ကိုရွေးချယ်သည့်အခါ စကားဝှက်ကိုထည့်သွင်းခြင်း/သော့ဖွင့်ခြင်း “sdaY” ကို ထည့်သွင်းခြင်းအတွက် ကုဒ်ကုဒ်လုပ်ထားသော “grub.cfg” ဖြစ်သည်ကို ယုံကြည်ပါသည်။

CLI မှာ အလုပ်လုပ်တဲ့အခါ စိတ်ရှုပ်မခံပါနဲ့။ (ပြီးလျှင် “set root” ပတ်ဝန်း ကျင် variable အလုပ်ဖြစ်မဖြစ် စစ်ဆေးပါ)၊ ဥပမာအားဖြင့်၊ ကုဒ်ဝှက်ထားသော ကဏ္ဍ “/shifr_grub”၊ ကုဒ်ဝှက်မထားသော ကဏ္ဍ “/noshifr_grub” တွင် အလွတ်တိုကင်ဖိုင်များကို ဖန်တီးပါ။ CLI တွင်စစ်ဆေးခြင်း။

cat /Tab-Tab

အထက်တွင်ဖော်ပြခဲ့သည့်အတိုင်း၊ ၎င်းသည် သင့် PC တွင် ထိုကဲ့သို့သော module များအဆုံးသတ်ပါက အန္တရာယ်ရှိသော module များကိုဒေါင်းလုဒ်လုပ်ခြင်းကို အထောက်အကူမပြုပါ။ ဥပမာအားဖြင့်၊ ဖိုင်တစ်ခုတွင် သော့ခတ်ခြင်းများကို သိမ်းဆည်းနိုင်ပြီး ၎င်းအား တိုက်ခိုက်သူမှ PC သို့ ရုပ်ပိုင်းဆိုင်ရာဝင်ရောက်ခွင့်ရှိသော တိုက်ခိုက်သူမှဒေါင်းလုဒ်ဆွဲမပြီးမချင်း ၎င်းကို “~/i386” တွင် အခြားဖိုင်များနှင့် ရောနှောနိုင်သည့် သော့လော့ဂ်ဂါ။

ဒစ်ဂျစ်တယ်လက်မှတ်ကာကွယ်မှု တက်ကြွစွာလုပ်ဆောင်နေကြောင်း အတည်ပြုရန် အလွယ်ကူဆုံးနည်းလမ်း (ပြန်လည်သတ်မှတ်ခြင်းမပြုပါ)နှင့် မည်သူမျှ bootloader ကိုမကျူးကျော်ပါ၊ CLI တွင် command ကိုရိုက်ထည့်ပါ။

list_trusted

တုံ့ပြန်သည့်အနေဖြင့် ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့၏ “perskey” မိတ္တူကို လက်ခံရရှိသည်၊ သို့မဟုတ် ကျွန်ုပ်တို့ တိုက်ခိုက်ခံရပါက မည်သည့်အရာကိုမျှ ရရှိမည်မဟုတ်ပေ။ (သင် "set check_signatures=enforce" ကို စစ်ဆေးရန် လိုအပ်သည်).
ဤအဆင့်၏ သိသာထင်ရှားသော အားနည်းချက်မှာ ညွှန်ကြားချက်များကို ကိုယ်တိုင်ထည့်သွင်းခြင်းဖြစ်သည်။ အကယ်၍ သင်သည် ဤအမိန့်ကို “grub.cfg” တွင် ထည့်သွင်းပြီး ဒစ်ဂျစ်တယ် လက်မှတ်ဖြင့် config ကို ကာကွယ်ပါက၊ ဖန်သားပြင်ပေါ်ရှိ သော့လျှပ်တစ်ပြက်၏ ပဏာမအထွက်သည် အချိန်ကိုက်လွန်းသဖြင့် GRUB2 ကိုဖွင့်ပြီးနောက်တွင် အထွက်ကို ကြည့်ရန် အချိန်မရှိနိုင်ပါ။ .
အထူးအားဖြင့် အရေးဆိုရန် မည်သူမျှ မရှိပါ- သူ့တွင် ပြုစုသူ စာရွက်စာတမ်း clause 18.2 မှတရားဝင်ကြေငြာသည်။

“GRUB စကားဝှက်ကို အကာအကွယ်ပေးခြင်းဖြင့်ပင်၊ GRUB ကိုယ်တိုင်က စက်၏ firmware (ဥပမာ၊ Coreboot သို့မဟုတ် BIOS) ဖွဲ့စည်းမှုပုံစံကို ပြောင်းလဲခြင်းမှ GRUB ကိုယ်တိုင်က စက်ကို boot လုပ်ခြင်းမှ မကာကွယ်နိုင်သည်ကို သတိပြုပါ။ GRUB သည် လုံခြုံသော boot ကွင်းဆက်ရှိ အကောင်းဆုံးလင့်ခ်တစ်ခုသာဖြစ်သည်။"

GRUB2 သည် မှားယွင်းသောလုံခြုံရေးကို ပေးစွမ်းနိုင်သော လုပ်ဆောင်ချက်များဖြင့် အလွန်ဝလွန်းနေပြီး ၎င်း၏ဖွံ့ဖြိုးတိုးတက်မှုသည် လုပ်ဆောင်နိုင်စွမ်းအရ MS-DOS ထက်ကျော်လွန်နေပြီဖြစ်သော်လည်း ၎င်းသည် bootloader တစ်ခုသာဖြစ်သည်။ GRUB2 - "မနက်ဖြန်" သည် OS ဖြစ်လာနိုင်ပြီး ၎င်းအတွက် စတင်နိုင်သော GNU/Linux virtual machines များသည် ရယ်စရာကောင်းပါသည်။

ကျွန်ုပ်သည် GRUB2 ဒစ်ဂျစ်တယ်လက်မှတ်ကာကွယ်မှုအား ပြန်လည်သတ်မှတ်ပုံနှင့် ကျွန်ုပ်၏ ကျူးကျော်ဝင်ရောက်မှုကို တကယ့်အသုံးပြုသူအား ကြေညာပုံအကြောင်း ဗီဒီယိုတို (ငါမင်းကိုကြောက်တယ်၊ ဒါပေမယ့် ဗီဒီယိုမှာပြထားတဲ့အရာအစား၊ အန္တရာယ်မရှိသောထင်သလိုကုဒ်/.mod ရေးနိုင်တယ်).

ကောက်ချက်:

1) Windows အတွက် စနစ်ကုဒ်ဝှက်ခြင်းကို ပိတ်ဆို့ခြင်းသည် အကောင်အထည်ဖော်ရန် ပိုမိုလွယ်ကူသည်၊ မျှတစေရန် GNU/Linux ပိတ်ဆို့စနစ် စာဝှက်စနစ်ဖြင့် စကားဝှက်များစွာဖြင့် ကာကွယ်ခြင်းထက် စကားဝှက်တစ်ခုဖြင့် ကာကွယ်ခြင်းက ပိုအဆင်ပြေသည်- နောက်ဆုံးမှာ အလိုအလျောက်ဖြစ်သည်။

2) ကျွန်တော် ဆောင်းပါးကို သက်ဆိုင်ရာ အသေးစိပ်အတိုင်း ရေးခဲ့ပါတယ်။ လွယ်ကူသော RuNet (IMHO) တွင် အကောင်းဆုံးဖြစ်သည့် စက်တစ်လုံးတွင် အိမ်တစ်လုံးတွင် အပြည့်ဒစ်ကုဒ်ဝှက်ခြင်း VeraCrypt/LUKS လမ်းညွှန်ချက်။ လမ်းညွှန်သည် စာလုံးရေ 50k > ရှည်သည်၊ ထို့ကြောင့် စိတ်ဝင်စားဖွယ်အခန်းအချို့ကို မဖုံးကွယ်ထားပေ။ အမျိုးမျိုးသော GNU/Linux စာအုပ်များတွင် cryptography အကြောင်း အနည်းငယ်ရေးသည်/မရေးကြခြင်းအကြောင်း၊ ရုရှားဖက်ဒရေးရှင်း၏ဖွဲ့စည်းပုံအခြေခံဥပဒေပုဒ်မ 51 အကြောင်း၊ အို လိုင်စင်/ပိတ်ပင်ထားမှု ရုရှားဖက်ဒရေးရှင်းတွင် စာဝှက်စနစ်"root/boot" ကို အဘယ်ကြောင့် စာဝှက်ထားရန် လိုအပ်ကြောင်း အကြောင်း။ လမ်းညွှန်ချက်သည် အလွန်ကျယ်ဝန်းသော်လည်း အသေးစိတ်ကျသည်။ (ရိုးရှင်းသော အဆင့်များကိုပင် ဖော်ပြပါ)တစ်ဖန်၊ ၎င်းသည် သင့်အား "အစစ်အမှန်ကုဒ်ဝှက်ခြင်း" သို့ ရောက်သည့်အခါ အချိန်များစွာ သက်သာစေမည်ဖြစ်သည်။

3) အပြည့်ဒစ်ကုဒ်ဝှက်ခြင်းကို Windows 7 64 တွင် လုပ်ဆောင်ခဲ့သည်။ GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5။

4) အောင်မြင်စွာ တိုက်ခိုက်နိုင်ခဲ့သည်။ သူ၏ GRUB2 bootloader

5) ဥပဒေပြုအဆင့်တွင် စာဝှက်စနစ်ဖြင့် လုပ်ဆောင်ခြင်းကို ခွင့်ပြုထားသည့် CIS ရှိ အကြောက်လွန်သူများအားလုံးကို ကူညီရန် ကျူတိုရီရယ်ကို ဖန်တီးထားသည်။ ပြီးတော့ သူတို့ရဲ့ configured စနစ်တွေကို ဖျက်ပစ်စရာမလိုဘဲ full-disk encryption ကို ထုတ်ချင်သူတွေအတွက် အဓိကပါပဲ။

6) 2020 တွင်သက်ဆိုင်သည့် ကျွန်ုပ်၏လက်စွဲစာအုပ်ကို ပြန်လည်ပြုပြင်ပြီး မွမ်းမံပြင်ဆင်ထားပါသည်။

[G] အသုံးဝင်သောစာရွက်စာတမ်း

1. TrueCrypt အသုံးပြုသူလမ်းညွှန် (ဖေဖော်ဝါရီ 2012 RU)
2. VeraCrypt စာရွက်စာတမ်း
3. /usr/share/doc/cryptsetup(-run) [local resource] (cryptsetup ကို အသုံးပြု၍ GNU/Linux ကုဒ်ဝှက်ခြင်းအား စနစ်ထည့်သွင်းခြင်းဆိုင်ရာ တရားဝင်အသေးစိတ်စာရွက်စာတမ်းများ)
4. တရားဝင် FAQ cryptsetup (cryptsetup ကို အသုံးပြု၍ GNU/Linux ကုဒ်ဝှက်ခြင်းအား စနစ်ထည့်သွင်းခြင်းဆိုင်ရာ အကျဉ်းချုပ်စာရွက်စာတမ်း)
5. LUKS စက်ပစ္စည်း ကုဒ်ဝှက်ခြင်း (archlinux စာရွက်စာတမ်းများ)
6. cryptsetup syntax ၏ အသေးစိတ်ဖော်ပြချက် (arch man page)
7. crypttab ၏ အသေးစိတ်ဖော်ပြချက် (arch man page)
8. တရားဝင် GRUB2 စာရွက်စာတမ်း.

တံဆိပ်များ- အပြည့်ဒစ်ကုဒ်ဝှက်ခြင်း၊ အခန်းကန့် ကုဒ်ဝှက်ခြင်း

စာရင်းသွင်းအသုံးပြုသူများသာ စစ်တမ်းတွင် ပါဝင်နိုင်ပါသည်။ ဆိုင်းအင်လုပ်ခြင်း, ကျေးဇူးပြု။

ကုဒ်ဝှက်နေတာလား။

• 17,1%ငါတတ်နိုင်သမျှ encrypt လုပ်ပါ။ ငါအကြောက်လွန်နေတယ်။၁၄

• 34,2%ကျွန်ုပ်သည် အရေးကြီးသော အချက်အလက်များကိုသာ စာဝှက်ထားသည်။28

• 14,6%တစ်ခါတလေ စာဝှက်ထားတယ်၊ တစ်ခါတစ်လေ မေ့သွားတယ်။12

• 34,2%မဟုတ်ဘူး၊ ကျွန်တော် စာဝှက်မပါဘူး၊ အဆင်မပြေဖြစ်ပြီး ဈေးကြီးပါတယ်။28

အသုံးပြုသူ 82 ဦး မဲပေးခဲ့သည်။ အသုံးပြုသူ ၃ ဦး ရှောင်နေခဲ့ပါတယ်။

source: www.habr.com