Windows Linux स्थापित प्रणालीहरूको पूर्ण डिस्क इन्क्रिप्शन। इन्क्रिप्टेड बहु-बुट

RuNet V0.2 मा पूर्ण-डिस्क इन्क्रिप्शनको लागि आफ्नै गाइड अपडेट गरियो।

काउबॉय रणनीति:

[ए] स्थापित प्रणालीको Windows 7 प्रणाली ब्लक इन्क्रिप्शन;
[B] GNU/Linux प्रणाली ब्लक इन्क्रिप्शन (डेबियन) स्थापित प्रणाली (बुट सहित);
[C] GRUB2 कन्फिगरेसन, डिजिटल हस्ताक्षर/प्रमाणीकरण/ह्यासिङको साथ बुटलोडर सुरक्षा;
[डी] स्ट्रिपिङ—इन्क्रिप्ट नगरिएको डाटाको विनाश;
[ई] इन्क्रिप्टेड ओएसको विश्वव्यापी ब्याकअप;
[F] आक्रमण <वस्तु [C6]> लक्ष्य - GRUB2 बूटलोडर;
[G] उपयोगी दस्तावेज।

╭───#रूम ४०# को योजना :
├──╼ Windows 7 स्थापित - पूर्ण प्रणाली इन्क्रिप्शन, लुकेको छैन;
├──╼ GNU/Linux स्थापना गरियो (डेबियन र व्युत्पन्न वितरण) - पूर्ण प्रणाली ईन्क्रिप्शन, लुकेको छैन(/, बुट सहित; स्वैप);
├──╼ स्वतन्त्र बुटलोडरहरू: MBR मा VeraCrypt बुटलोडर स्थापना गरिएको छ, GRUB2 बुटलोडर विस्तारित विभाजनमा स्थापना गरिएको छ;
├──╼ कुनै OS स्थापना/पुनस्थापना आवश्यक छैन;
└──╼क्रिप्टोग्राफिक सफ्टवेयर प्रयोग गरियो: VeraCrypt; क्रिप्टसेटअप; GnuPG; समुद्री घोडा; हशदीप; GRUB2 नि:शुल्क/नि:शुल्क छ।

माथिको योजनाले आंशिक रूपमा "फ्ल्यास ड्राइभमा रिमोट बुट" को समस्या समाधान गर्दछ, तपाईंलाई एन्क्रिप्टेड ओएस विन्डोज/लिनक्सको मजा लिन र एक ओएसबाट अर्कोमा "इन्क्रिप्टेड च्यानल" मार्फत डाटा आदान प्रदान गर्न अनुमति दिन्छ।

पीसी बुट अर्डर (विकल्पहरू मध्ये एक):

• मेसिन खोल्दै;
• VeraCrypt बुटलोडर लोड गर्दै (सही पासवर्ड प्रविष्ट गर्दा Windows 7 बुट गर्न जारी रहनेछ);
• "Esc" कुञ्जी थिच्दा GRUB2 बुट लोडर लोड हुनेछ;
• GRUB2 बुट लोडर (वितरण चयन गर्नुहोस्/GNU/Linux/CLI), GRUB2 सुपरप्रयोगकर्ताको प्रमाणीकरण आवश्यक हुनेछ <login/password>;
• सफल प्रमाणीकरण र वितरणको चयन पछि, तपाईंले "/boot/initrd.img" अनलक गर्न पासफ्रेज प्रविष्ट गर्न आवश्यक हुनेछ;
• त्रुटिरहित पासवर्डहरू प्रविष्ट गरेपछि, GRUB2 लाई पासवर्ड प्रविष्टि "आवश्यक" हुनेछ (तेस्रो, BIOS पासवर्ड वा GNU/Linux प्रयोगकर्ता खाता पासवर्ड - विचार नगर्नुहोस्) अनलक गर्न र GNU/Linux OS बुट गर्न, वा गोप्य कुञ्जीको स्वचालित प्रतिस्थापन (दुई पासवर्ड + कुञ्जी, वा पासवर्ड + कुञ्जी);
• GRUB2 कन्फिगरेसनमा बाह्य घुसपैठले GNU/Linux बुट प्रक्रियालाई फ्रिज गर्नेछ।

अप्ठ्यारो? ठीक छ, प्रक्रियाहरू स्वचालित गरौं।

हार्ड ड्राइभ विभाजन गर्दा (MBR तालिका) एक PC मा 4 भन्दा बढी मुख्य विभाजनहरू, वा 3 मुख्य र एक विस्तारित, साथै एक अनलोकेटेड क्षेत्र हुन सक्दैन। एउटा विस्तारित खण्ड, मुख्य खण्डको विपरीत, उपखण्डहरू समावेश हुन सक्छ (तार्किक ड्राइव = विस्तारित विभाजन)। अन्य शब्दहरूमा, HDD मा "विस्तारित विभाजन" ले हातमा कार्यको लागि LVM प्रतिस्थापन गर्दछ: पूर्ण प्रणाली इन्क्रिप्शन। यदि तपाइँको डिस्क 4 मुख्य विभाजनहरूमा विभाजित छ भने, तपाइँले lvm प्रयोग गर्न आवश्यक छ, वा रूपान्तरण। (ढाँचा संग) खण्ड मुख्य देखि उन्नत सम्म, वा बुद्धिमानीपूर्वक सबै चार खण्डहरू प्रयोग गर्नुहोस् र इच्छित परिणाम प्राप्त गर्दै सबै कुरा छोड्नुहोस्। यदि तपाइँ तपाइँको डिस्क मा एक विभाजन छ भने, Gparted तपाइँ तपाइँको HDD विभाजन गर्न मद्दत गर्नेछ (अतिरिक्त खण्डहरूको लागि) डाटा हानि बिना, तर अझै पनि त्यस्ता कार्यहरूको लागि सानो दण्डको साथ।

हार्ड ड्राइभ लेआउट योजना, जसको सम्बन्धमा सम्पूर्ण लेख मौखिक बनाइनेछ, तलको तालिकामा प्रस्तुत गरिएको छ।

1TB विभाजनहरूको तालिका (नम्बर 1)।

तपाईसँग पनि यस्तै केहि हुनुपर्छ।
sda1 - मुख्य विभाजन नम्बर 1 NTFS (इन्क्रिप्टेड);
sda2 - विस्तारित खण्ड मार्कर;
sda6 - तार्किक डिस्क (यससँग GRUB2 बुटलोडर स्थापना गरिएको छ);
sda8 - स्वैप (इन्क्रिप्टेड स्वैप फाइल/ सधैं होइन);
sda9 - परीक्षण तार्किक डिस्क;
sda5 - जिज्ञासु लागि तार्किक डिस्क;
sda7 - GNU/Linux OS (इन्क्रिप्टेड तार्किक डिस्कमा ओएस स्थानान्तरण गरिएको);
sda3 - Windows 2 OS को साथ मुख्य विभाजन नम्बर 7 (इन्क्रिप्टेड);
sda4 - मुख्य खण्ड नम्बर 3 (यसमा एन्क्रिप्ट नगरिएको GNU/Linux समावेश छ, ब्याकअपको लागि प्रयोग गरिन्छ/सधैं होइन).

[A] Windows 7 प्रणाली ब्लक इन्क्रिप्सन

A1। VeraCrypt

बाट डाउनलोड गर्नुहोस् आधिकारिक साइट, वा ऐनाबाट sourceforge VeraCrypt क्रिप्टोग्राफिक सफ्टवेयर को स्थापना संस्करण (लेख v1.24-Update3 को प्रकाशनको समयमा, VeraCrypt को पोर्टेबल संस्करण प्रणाली इन्क्रिप्शनको लागि उपयुक्त छैन)। डाउनलोड गरिएको सफ्टवेयरको चेकसम जाँच गर्नुहोस्

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

र VeraCrypt विकासकर्ता वेबसाइटमा पोस्ट गरिएको CS सँग परिणाम तुलना गर्नुहोस्।

यदि HashTab सफ्टवेयर स्थापना गरिएको छ भने, यो अझ सजिलो छ: RMB (VeraCrypt सेटअप 1.24.exe)-गुणहरू - फाइलहरूको ह्यास योग।

कार्यक्रम हस्ताक्षर प्रमाणित गर्न, सफ्टवेयर र विकासकर्ताको सार्वजनिक pgp कुञ्जी प्रणालीमा स्थापित हुनुपर्छ। gnuPG; gpg4win.

A2। प्रशासक अधिकारहरूसँग VeraCrypt सफ्टवेयर स्थापना / चलाउँदै

A3। सक्रिय विभाजनको लागि प्रणाली गुप्तिकरण प्यारामिटरहरू चयन गर्दैVeraCrypt - प्रणाली - एन्क्रिप्ट प्रणाली विभाजन / डिस्क - सामान्य - एन्क्रिप्ट विन्डोज प्रणाली विभाजन - मल्टिबुट - (चेतावनी: "अनुभवी प्रयोगकर्ताहरूलाई यो विधि प्रयोग गर्न सिफारिस गरिएको छैन" र यो सत्य हो, हामी सहमत छौं "हो") - बुट डिस्क (“हो”, त्यसो नभए पनि “हो”) - प्रणाली डिस्कहरूको संख्या "2 वा बढी" - एक डिस्कमा धेरै प्रणालीहरू "हो" - गैर-विन्डोज बुटलोडर "होइन" (वास्तवमा, "हो," तर VeraCrypt/GRUB2 बुट लोडरहरूले MBR साझा गर्दैनन्; अझ स्पष्ट रूपमा, बुट लोडर कोडको सबैभन्दा सानो भाग मात्र MBR/बुट ट्र्याकमा भण्डार गरिएको छ, यसको मुख्य भाग हो। फाइल प्रणाली भित्र स्थित) - मल्टिबुट - एन्क्रिप्शन सेटिङहरू ...

यदि तपाइँ माथिका चरणहरूबाट विचलित हुनुहुन्छ भने (ब्लक प्रणाली गुप्तिकरण योजनाहरू), त्यसपछि VeraCrypt ले चेतावनी जारी गर्नेछ र तपाइँलाई विभाजन गुप्तिकरण गर्न अनुमति दिँदैन।

लक्षित डाटा सुरक्षा तर्फ अर्को चरणमा, "परीक्षण" सञ्चालन गर्नुहोस् र एन्क्रिप्शन एल्गोरिदम चयन गर्नुहोस्। यदि तपाइँसँग पुरानो CPU छ भने, त्यसपछि सम्भवतः सबैभन्दा छिटो एन्क्रिप्शन एल्गोरिथ्म Twofish हुनेछ। यदि CPU शक्तिशाली छ भने, तपाईंले भिन्नता देख्नुहुनेछ: AES एन्क्रिप्शन, परीक्षण परिणामहरू अनुसार, यसको क्रिप्टो प्रतिस्पर्धीहरू भन्दा धेरै गुणा छिटो हुनेछ। AES एक लोकप्रिय एन्क्रिप्शन एल्गोरिथ्म हो; आधुनिक CPU को हार्डवेयर विशेष रूपमा "गोप्य" र "ह्याकिंग" दुवैको लागि अनुकूलित छ।

VeraCrypt ले AES क्यास्केडमा डिस्कहरू इन्क्रिप्ट गर्ने क्षमतालाई समर्थन गर्दछ(Twofish)/ र अन्य संयोजनहरू। दस वर्ष पहिलेको पुरानो कोर Intel CPU मा (AES, A/T कास्केड एन्क्रिप्शनको लागि हार्डवेयर समर्थन बिना) कार्यसम्पादनमा आएको कमी अनिवार्य रूपमा अकल्पनीय छ। (एउटै युगको AMD CPUs/~ प्यारामिटरहरूको लागि, कार्यसम्पादन थोरै घटाइएको छ)। OS गतिशील रूपमा काम गर्दछ र पारदर्शी इन्क्रिप्शनको लागि स्रोत खपत अदृश्य छ। यसको विपरीत, उदाहरण को लागी, स्थापित अस्थिर परीक्षण डेस्कटप वातावरण Mate v1.20.1 को कारण प्रदर्शन मा एक उल्लेखनीय कमी छ। (वा v1.20.2 मलाई ठ्याक्कै याद छैन) GNU/Linux मा, वा Windows7↑ मा टेलिमेट्री दिनचर्याको सञ्चालनको कारणले। सामान्यतया, अनुभवी प्रयोगकर्ताहरूले एन्क्रिप्शन अघि हार्डवेयर प्रदर्शन परीक्षणहरू सञ्चालन गर्छन्। उदाहरणका लागि, Aida64/Sysbench/systemd-analyze दोषलाई प्रणाली इन्क्रिप्ट गरेपछि उही परीक्षणको नतिजासँग तुलना गरिएको छ, जसले गर्दा "प्रणाली इन्क्रिप्शन हानिकारक छ" भन्ने मिथकलाई खण्डन गर्दछ। इन्क्रिप्टेड डाटा ब्याकअप/पुनर्स्थापना गर्दा मेसिनको ढिलोपन र असुविधा देख्न सकिन्छ, किनभने "प्रणाली डाटा ब्याकअप" सञ्चालन आफैमा ms मा मापन गरिएको छैन, र उही <decrypt/encrypt on the fly> थपिएका छन्। अन्ततः, प्रत्येक प्रयोगकर्ता जसलाई क्रिप्टोग्राफीको साथ टिंकर गर्न अनुमति दिइएको छ हातमा भएका कार्यहरूको सन्तुष्टि, तिनीहरूको पागलपनको स्तर, र प्रयोगको सहजता विरुद्ध एन्क्रिप्शन एल्गोरिदमलाई सन्तुलनमा राख्छ।

PIM प्यारामिटरलाई पूर्वनिर्धारित रूपमा छोड्नु राम्रो हुन्छ, ताकि OS लोड गर्दा तपाईंले प्रत्येक पटक सही पुनरावृत्ति मानहरू प्रविष्ट गर्नुपर्दैन। VeraCrypt ले वास्तवमै "ढिलो ह्यास" सिर्जना गर्न धेरै संख्यामा पुनरावृत्तिहरू प्रयोग गर्दछ। ब्रुट फोर्स/रेन्बो टेबल विधि प्रयोग गरेर यस्तो "क्रिप्टो स्नेल" मा आक्रमणले छोटो "सरल" पासफ्रेज र पीडितको व्यक्तिगत अक्षर सूचीको साथ मात्र अर्थ दिन्छ। पासवर्ड बलियो बनाउनको लागि तिर्नु पर्ने मूल्य ओएस लोड गर्दा सही पासवर्ड प्रविष्ट गर्न ढिलाइ हो। (GNU/Linux मा VeraCrypt भोल्युमहरू माउन्ट गर्नु धेरै छिटो छ)।
क्रूर बल आक्रमणहरू लागू गर्न नि: शुल्क सफ्टवेयर (VeraCrypt/LUKS डिस्क हेडरबाट पासफ्रेज निकाल्नुहोस्) ह्यासक्याट। जोन द रिपरलाई "भेराक्रिप्ट तोड्न" कसरी थाहा छैन, र LUKS सँग काम गर्दा टूफिस क्रिप्टोग्राफी बुझ्दैन।

एन्क्रिप्शन एल्गोरिदमको क्रिप्टोग्राफिक शक्तिको कारण, रोक्न नसकिने साइफरपङ्कहरू फरक आक्रमण भेक्टरको साथ सफ्टवेयर विकास गर्दैछन्। उदाहरणका लागि, RAM बाट मेटाडेटा/कुञ्जीहरू निकाल्दै (चिसो बुट / प्रत्यक्ष मेमोरी पहुँच आक्रमण), त्यहाँ यी उद्देश्यहरूको लागि विशेष नि: शुल्क र गैर-मुक्त सफ्टवेयर छ।

इन्क्रिप्टेड सक्रिय विभाजनको "अद्वितीय मेटाडेटा" सेटअप/उत्पन्न गरेपछि, VeraCrypt ले PC पुन: सुरु गर्न र यसको बुटलोडरको कार्यक्षमता परीक्षण गर्न प्रस्ताव गर्नेछ। विन्डोज रिबुट/सुरु गरेपछि, VeraCrypt स्ट्यान्डबाइ मोडमा लोड हुनेछ, बाँकी रहेको एन्क्रिप्शन प्रक्रिया पुष्टि गर्न हो - Y।

प्रणाली इन्क्रिप्शनको अन्तिम चरणमा, VeraCrypt ले "veracrypt rescue disk.iso" को रूपमा सक्रिय इन्क्रिप्टेड विभाजनको हेडरको जगेडा प्रतिलिपि सिर्जना गर्न प्रस्ताव गर्नेछ - यो गर्नुपर्छ - यस सफ्टवेयरमा यस्तो अपरेशन आवश्यक छ (LUKS मा, आवश्यकताको रूपमा - यो दुर्भाग्यवश हटाइएको छ, तर कागजातमा जोड दिइएको छ)। उद्धार डिस्क सबैको लागि काममा आउनेछ, र केहि एक पटक भन्दा बढीको लागि। घाटा (हेडर/MBR पुनर्लेखन) हेडरको ब्याकअप प्रतिलिपिले OS Windows को साथ डिक्रिप्टेड विभाजनमा पहुँचलाई स्थायी रूपमा अस्वीकार गर्नेछ।

A4। VeraCrypt उद्धार USB/डिस्क सिर्जना गर्दैपूर्वनिर्धारित रूपमा, VeraCrypt ले CD मा "~ 2-3MB को मेटाडेटा" जलाउन प्रस्ताव गर्दछ, तर सबैसँग डिस्क वा DWD-ROM ड्राइभहरू छैनन्, र बुटेबल फ्ल्यास ड्राइभ "VeraCrypt उद्धार डिस्क" सिर्जना गर्नु केहीको लागि प्राविधिक आश्चर्य हुनेछ: Rufus /GUIdd-ROSA ImageWriter र अन्य समान सफ्टवेयरले कार्यसँग सामना गर्न सक्षम हुनेछैन, किनकि बुटबल फ्ल्याश ड्राइभमा अफसेट मेटाडेटा प्रतिलिपि गर्नका साथै, तपाईंले USB ड्राइभको फाइल प्रणाली बाहिर छवि प्रतिलिपि / टाँस्नु आवश्यक छ, छोटकरीमा, MBR/रोडलाई किचेनमा सही रूपमा प्रतिलिपि गर्नुहोस्। तपाईले GNU/Linux OS बाट "dd" उपयोगिता प्रयोग गरेर यो चिन्हलाई हेरेर बुटेबल फ्ल्यास ड्राइभ सिर्जना गर्न सक्नुहुन्छ।

विन्डोज वातावरणमा उद्धार डिस्क सिर्जना गर्नु फरक छ। VeraCrypt को विकासकर्ताले आधिकारिकमा यस समस्याको समाधान समावेश गरेन कागजात "रेस्क्यु डिस्क" द्वारा, तर फरक तरिकामा समाधान प्रस्ताव गरे: उसले आफ्नो VeraCrypt फोरममा नि: शुल्क पहुँचको लागि "USB उद्धार डिस्क" सिर्जना गर्न थप सफ्टवेयर पोस्ट गर्यो। विन्डोजको लागि यस सफ्टवेयरको अभिलेखकर्ता "USB veracrypt उद्धार डिस्क सिर्जना गर्दै हुनुहुन्छ"। उद्धार disk.iso बचत गरेपछि, सक्रिय विभाजनको ब्लक प्रणाली इन्क्रिप्शनको प्रक्रिया सुरु हुनेछ। एन्क्रिप्शनको समयमा, OS को सञ्चालन रोक्दैन; एक पीसी पुन: सुरु गर्न आवश्यक छैन। गुप्तिकरण कार्य पूरा भएपछि, सक्रिय विभाजन पूर्ण रूपमा गुप्तिकरण हुन्छ र प्रयोग गर्न सकिन्छ। यदि तपाइँ पीसी सुरु गर्दा VeraCrypt बुट लोडर देखा पर्दैन, र हेडर रिकभरी अपरेशनले मद्दत गर्दैन भने, "बुट" फ्ल्याग जाँच गर्नुहोस्, यो विन्डोज अवस्थित रहेको विभाजनमा सेट हुनुपर्छ। (इन्क्रिप्शन र अन्य OS को बावजुद, तालिका नम्बर 1 हेर्नुहोस्)।
यसले Windows OS सँग ब्लक प्रणाली इन्क्रिप्शनको विवरण पूरा गर्छ।

[B]LUKS। GNU/Linux एन्क्रिप्शन (~ डेबियन) स्थापित OS। एल्गोरिदम र चरणहरू

स्थापित डेबियन/डेरिभेटिभ वितरणलाई इन्क्रिप्ट गर्नको लागि, तपाईंले भर्चुअल ब्लक यन्त्रमा तयार पार्टिसनलाई म्याप गर्न आवश्यक छ, यसलाई म्याप गरिएको GNU/Linux डिस्कमा स्थानान्तरण गर्नुहोस्, र GRUB2 स्थापना/कन्फिगर गर्नुहोस्। यदि तपाईंसँग बेयर मेटल सर्भर छैन भने, र तपाईंले आफ्नो समयको कदर गर्नुहुन्छ भने, तपाईंले GUI प्रयोग गर्न आवश्यक छ, र तल वर्णन गरिएका अधिकांश टर्मिनल आदेशहरू "चक-नोरिस मोड" मा चलाउनको लागि हो।

B1। लाइभ USB GNU/Linux बाट PC बुट गर्दै

"हार्डवेयर प्रदर्शनको लागि क्रिप्टो परीक्षण सञ्चालन गर्नुहोस्"

lscpu && сryptsetup benchmark

यदि तपाईं AES हार्डवेयर समर्थनको साथ शक्तिशाली कारको खुसी मालिक हुनुहुन्छ भने, नम्बरहरू टर्मिनलको दाहिने तिर जस्तो देखिनेछन्; यदि तपाईं खुसी मालिक हुनुहुन्छ, तर एन्टिक हार्डवेयरको साथ, नम्बरहरू बायाँ तिर जस्तो देखिनेछन्।

B2। डिस्क विभाजन। Fs तार्किक डिस्क HDD मा Ext4 (Gparted) माउन्ट/फर्म्याट गर्दै

B2.1। एन्क्रिप्टेड sda7 विभाजन हेडर सिर्जना गर्दैम माथि पोस्ट गरिएको मेरो विभाजन तालिका अनुसार, यहाँ र अगाडि, विभाजनहरूको नाम वर्णन गर्नेछु। तपाईंको डिस्क लेआउट अनुसार, तपाईंले आफ्नो विभाजन नामहरू प्रतिस्थापन गर्नुपर्छ।

तार्किक ड्राइभ एन्क्रिप्शन म्यापिङ (/dev/sda7 > /dev/mapper/sda7_crypt)।
# "LUKS-AES-XTS विभाजन" को सजिलो सिर्जना

cryptsetup -v -y luksFormat /dev/sda7

विकल्पहरू:

* luksFormat - LUKS हेडरको प्रारम्भिकरण;
* -y -पासफ्रेज (कुञ्जी/फाइल होइन);
* -v -verbalization (टर्मिनलमा जानकारी प्रदर्शन गर्दै);
* /dev/sda7 - विस्तारित विभाजनबाट तपाईंको तार्किक डिस्क (जहाँ यो GNU/Linux स्थानान्तरण/इन्क्रिप्ट गर्ने योजना छ).

पूर्वनिर्धारित एन्क्रिप्शन एल्गोरिथ्म <LUKS1: aes-xts-plain64, कुञ्जी: 256 बिट, LUKS हेडर ह्यासिङ: sha256, RNG: /dev/urandom> (क्रिप्टसेटअप संस्करणमा निर्भर गर्दछ)।

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

यदि CPU मा AES को लागि कुनै हार्डवेयर समर्थन छैन भने, उत्तम विकल्प विस्तारित "LUKS-Twofish-XTS-partition" सिर्जना गर्नु हो।

B2.2। "LUKS-Twofish-XTS-विभाजन" को उन्नत सिर्जना

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

विकल्पहरू:
* luksFormat - LUKS हेडरको प्रारम्भिकरण;
* /dev/sda7 तपाईको भविष्यको इन्क्रिप्टेड तार्किक डिस्क हो;
* -v मौखिकीकरण;
* -y पासफ्रेज;
* -c डाटा एन्क्रिप्शन एल्गोरिथ्म चयन गर्नुहोस्;
* -s एन्क्रिप्शन कुञ्जी आकार;
* -h ह्यासिङ एल्गोरिथ्म/क्रिप्टो प्रकार्य, RNG प्रयोग गरियो (--usage-urandom) तार्किक डिस्क हेडरको लागि एक अद्वितीय इन्क्रिप्शन/डिक्रिप्शन कुञ्जी उत्पन्न गर्न, एक माध्यमिक हेडर कुञ्जी (XTS); इन्क्रिप्टेड डिस्क हेडरमा भण्डारण गरिएको एउटा अद्वितीय मास्टर कुञ्जी, एउटा माध्यमिक XTS कुञ्जी, यी सबै मेटाडेटा र एउटा गुप्तिकरण दिनचर्या जुन, मास्टर कुञ्जी र दोस्रो XTS कुञ्जी प्रयोग गरेर, विभाजनमा कुनै पनि डाटालाई गुप्तिकरण/डिक्रिप्ट गर्दछ। (खण्ड शीर्षक बाहेक) चयन गरिएको हार्ड डिस्क विभाजनमा ~3MB मा भण्डारण गरिएको छ।
* -i "रकम" को सट्टा मिलिसेकेन्डमा पुनरावृत्ति (पासफ्रेज प्रशोधन गर्दा समय ढिलाइले OS को लोडिङ र कुञ्जीहरूको क्रिप्टोग्राफिक बललाई असर गर्छ)। क्रिप्टोग्राफिक बलको सन्तुलन कायम गर्न, "रूसी" जस्तो साधारण पासवर्डको साथ तपाईंले -(i) मान बढाउनु पर्छ; "?8dƱob/øfh" जस्तो जटिल पासवर्डको साथमा मान घटाउन सकिन्छ।
* -यूरेन्डम अनियमित नम्बर जनरेटर प्रयोग गर्नुहोस्, कुञ्जीहरू र नुन उत्पन्न गर्दछ।

खण्ड म्याप गरेपछि sda7 > sda7_crypt (अपरेसन छिटो छ, किनकि एन्क्रिप्टेड हेडर ~3 MB मेटाडेटाको साथ सिर्जना गरिएको छ र यति मात्रै हो), तपाईंले sda7_crypt फाइल प्रणाली ढाँचा र माउन्ट गर्न आवश्यक छ।

B2.3। तुलना

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

विकल्प:
* खोल्नुहोस् - "नाम संग" खण्ड मिलाउनुहोस्;
* /dev/sda7 - तार्किक डिस्क;
* sda7_crypt - नाम म्यापिङ जुन ईन्क्रिप्टेड विभाजन माउन्ट गर्न वा OS बुट हुँदा सुरु गर्न प्रयोग गरिन्छ।

B2.4. sda7_crypt फाइल प्रणाली ext4 मा ढाँचा गर्दै। OS मा डिस्क माउन्ट गर्दै(नोट: तपाईं Gparted मा एक इन्क्रिप्टेड विभाजन संग काम गर्न सक्षम हुनुहुने छैन)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt 

विकल्प:
* -v - शाब्दिकीकरण;
* -L - ड्राइभ लेबल (जुन अन्य ड्राइभहरू बीच एक्सप्लोररमा प्रदर्शित हुन्छ)।

अर्को, तपाईँले प्रणालीमा भर्चुअल-इन्क्रिप्टेड ब्लक उपकरण /dev/sda7_crypt माउन्ट गर्नुपर्छ।

mount /dev/mapper/sda7_crypt /mnt

/mnt फोल्डरमा फाइलहरूसँग काम गर्दा sda7 मा डेटा स्वचालित रूपमा गुप्तिकरण/डिक्रिप्ट हुनेछ।

यो नक्सा गर्न र एक्सप्लोरर मा विभाजन माउन्ट गर्न अधिक सुविधाजनक छ (nautilus/caja GUI), विभाजन पहिले नै डिस्क चयन सूचीमा हुनेछ, डिस्क खोल्न/डिक्रिप्ट गर्न पासफ्रेज प्रविष्ट गर्न बाँकी छ। मिल्दो नाम स्वतः चयन गरिनेछ र "sda7_crypt" होइन, तर केहि जस्तै /dev/mapper/Luks-xx-xx...

B2.5। डिस्क हेडर ब्याकअप (~3MB मेटाडेटा)सबैभन्दा धेरै मध्ये एक महत्त्वपूर्ण अपरेसनहरू जुन ढिलाइ बिना गर्न आवश्यक छ - "sda7_crypt" हेडरको जगेडा प्रतिलिपि। यदि तपाईंले हेडरलाई ओभरराइट/हानि गर्नुभयो भने (उदाहरणका लागि, sda2 विभाजनमा GRUB7 स्थापना, आदि।), इन्क्रिप्टेड डाटा रिकभर गर्ने कुनै पनि सम्भावना बिना पूर्ण रूपमा हराउनेछ, किनकि उही कुञ्जीहरू पुन: उत्पन्न गर्न असम्भव हुनेछ; कुञ्जीहरू अद्वितीय रूपमा सिर्जना गरिएका छन्।

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7 

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

विकल्प:
* luksHeaderBackup —हेडर-ब्याकअप-फाइल-ब्याकअप आदेश;
* luksHeaderRestore —header-backup-file -restore आदेश;
* ~/Backup_DebSHIFR - जगेडा फाइल;
* /dev/sda7 - विभाजन जसको एन्क्रिप्टेड डिस्क हेडर ब्याकअप प्रतिलिपि बचत गर्न सकिन्छ।
यो चरणमा <इन्क्रिप्टेड विभाजन सिर्जना र सम्पादन> सम्पन्न भयो।

B3। GNU/Linux OS पोर्ट गर्दै (sda4) एन्क्रिप्टेड विभाजनमा (sda7)

फोल्डर /mnt2 सिर्जना गर्नुहोस् (नोट - हामी अझै पनि प्रत्यक्ष USB सँग काम गरिरहेका छौं, sda7_crypt माउन्ट गरिएको छ /mnt), र /mnt2 मा हाम्रो GNU/Linux माउन्ट गर्नुहोस्, जुन इन्क्रिप्ट गर्न आवश्यक छ।

mkdir /mnt2
mount /dev/sda4 /mnt2

हामी Rsync सफ्टवेयर प्रयोग गरेर सही OS स्थानान्तरण गर्छौं

rsync -avlxhHX --progress /mnt2/ /mnt

Rsync विकल्पहरू अनुच्छेद E1 मा वर्णन गरिएको छ।

अर्को आवश्यक छ तार्किक डिस्क विभाजन defragment

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

यसलाई एउटा नियम बनाउनुहोस्: यदि तपाईंसँग HDD छ भने समय-समयमा एन्क्रिप्टेड GNU/Linux मा e4defrag गर्नुहोस्।
स्थानान्तरण र सिङ्क्रोनाइजेसन [GNU/Linux > GNU/Linux-encrypted] यस चरणमा पूरा भयो।

एटी ४। एन्क्रिप्टेड sda4 विभाजनमा GNU/Linux सेटअप गर्दै

OS /dev/sda4 > /dev/sda7 सफलतापूर्वक स्थानान्तरण गरेपछि, तपाईंले एन्क्रिप्टेड विभाजनमा GNU/Linux मा लग इन गर्न र थप कन्फिगरेसन पूरा गर्न आवश्यक छ। (पीसी रिबुट नगरी) एक ईन्क्रिप्टेड प्रणाली सापेक्ष। त्यो हो, प्रत्यक्ष USB मा हुनुहोस्, तर "इन्क्रिप्टेड OS को मूलसँग सापेक्ष" आदेशहरू कार्यान्वयन गर्नुहोस्। "chroot" ले समान स्थिति अनुकरण गर्नेछ। तपाईं हाल काम गरिरहनुभएको OS मा द्रुत रूपमा जानकारी प्राप्त गर्न (इन्क्रिप्टेड वा होइन, किनकि sda4 र sda7 मा डेटा सिङ्क्रोनाइज गरिएको छ), OS लाई डिसिङ्क्रोनाइज गर्नुहोस्। रूट डाइरेक्टरीहरूमा सिर्जना गर्नुहोस् (sda4/sda7_crypt) खाली मार्कर फाइलहरू, उदाहरणका लागि, /mnt/encryptedOS र /mnt2/decryptedOS। तपाईं कुन OS मा हुनुहुन्छ द्रुत रूपमा जाँच गर्नुहोस् (भविष्यको लागि सहित):

ls /<Tab-Tab>

B4.1। "इन्क्रिप्टेड ओएसमा लग इन गर्ने सिमुलेशन"

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2। प्रमाणीकरण गर्दै कि कार्य ईन्क्रिप्टेड प्रणाली विरुद्ध गरिन्छ

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3। एन्क्रिप्टेड स्वैप सिर्जना/कन्फिगर गर्दै, क्रिप्टट्याब/fstab सम्पादन गर्दैप्रत्येक पटक ओएस सुरु हुँदा स्वैप फाइल ढाँचामा भएको हुनाले, अब तार्किक डिस्कमा स्वैप सिर्जना गर्न र नक्सा बनाउनुको कुनै अर्थ छैन, र अनुच्छेद B2.2 मा जस्तै आदेशहरू प्रविष्ट गर्नुहोस्। स्वैपको लागि, प्रत्येक सुरुमा यसको आफ्नै अस्थायी गुप्तिकरण कुञ्जीहरू स्वचालित रूपमा उत्पन्न हुनेछन्। स्वैप कुञ्जीहरूको जीवन चक्र: अनमाउन्ट/अनमाउन्ट स्वैप विभाजन (+ RAM सफाई); वा OS पुन: सुरु गर्नुहोस्। स्वैप सेट अप गर्दै, ब्लक इन्क्रिप्टेड यन्त्रहरूको कन्फिगरेसनको लागि जिम्मेवार फाइल खोल्दै (fstab फाइलको अनुरूप, तर क्रिप्टोका लागि जिम्मेवार)।

nano /etc/crypttab 

हामी सम्पादन गर्छौं

#"लक्ष्य नाम" "स्रोत उपकरण" "कुञ्जी फाइल" "विकल्पहरू"
स्वैप /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512

विकल्पहरू
* स्वैप - एन्क्रिप्ट गर्दा म्याप गरिएको नाम /dev/mapper/swap।
* /dev/sda8 - स्वैपको लागि आफ्नो तार्किक विभाजन प्रयोग गर्नुहोस्।
* /dev/urandom - स्वैपको लागि अनियमित गुप्तिकरण कुञ्जीहरूको जनरेटर (प्रत्येक नयाँ OS बुटको साथ, नयाँ कुञ्जीहरू सिर्जना हुन्छन्)। /dev/urandom जेनेरेटर /dev/random भन्दा कम अनियमित छ, पछि खतरनाक पागल परिस्थितिमा काम गर्दा /dev/random प्रयोग गरिन्छ। OS लोड गर्दा, /dev/random ले धेरै ± मिनेटको लागि लोडिङलाई कम गर्छ (सिस्टम-विश्लेषण हेर्नुहोस्).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: - विभाजनलाई थाहा छ कि यो स्वैप हो र "तदनुसार" ढाँचा गरिएको छ; एन्क्रिप्शन एल्गोरिथ्म।

#Открываем и правим fstab
nano /etc/fstab

हामी सम्पादन गर्छौं

# स्व्याप स्थापनामा / dev / sda8 मा थियो
/dev/mapper/swap कुनै पनि स्वैप sw 0 0

/dev/mapper/swap नाम हो जुन crypttab मा सेट गरिएको थियो।

वैकल्पिक इन्क्रिप्टेड स्वैप
यदि कुनै कारणले गर्दा तपाईं स्वैप फाइलको लागि सम्पूर्ण विभाजन छोड्न चाहनुहुन्न भने, त्यसपछि तपाईं वैकल्पिक र राम्रो तरिकामा जान सक्नुहुन्छ: ओएससँग इन्क्रिप्टेड विभाजनमा फाइलमा स्वैप फाइल सिर्जना गर्ने।

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

स्वैप विभाजन सेटअप पूरा भयो।

B4.4. इन्क्रिप्टेड GNU/Linux सेटअप गर्दै (क्रिप्टट्याब/fstab फाइलहरू सम्पादन गर्दै)माथि लेखिए अनुसार /etc/crypttab फाइलले प्रणाली बुट गर्दा कन्फिगर गरिएका गुप्तिकरण गरिएका ब्लक यन्त्रहरू वर्णन गर्दछ।

#правим /etc/crypttab 
nano /etc/crypttab 

यदि तपाईंले अनुच्छेद B7 मा जस्तै sda7>sda2.1_crypt खण्डसँग मेल खानुभयो भने

# "लक्ष्य नाम" "स्रोत उपकरण" "कुञ्जी फाइल" "विकल्पहरू"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

यदि तपाईंले अनुच्छेद B7 मा जस्तै sda7>sda2.2_crypt खण्डसँग मेल खानुभयो भने

# "लक्ष्य नाम" "स्रोत उपकरण" "कुञ्जी फाइल" "विकल्पहरू"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

यदि तपाइँ अनुच्छेद B7 वा B7 मा जस्तै sda2.1>sda2.2_crypt खण्डसँग मिल्नुभयो, तर OS अनलक र बुट गर्न पासवर्ड पुन: प्रविष्ट गर्न चाहनुहुन्न भने, पासवर्डको सट्टा तपाइँ गोप्य कुञ्जी/अनियमित फाइल प्रतिस्थापन गर्न सक्नुहुन्छ।

# "लक्ष्य नाम" "स्रोत उपकरण" "कुञ्जी फाइल" "विकल्पहरू"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

विवरण
* कुनै पनि छैन - रिपोर्ट गर्दछ कि OS लोड गर्दा, गोप्य पासफ्रेज प्रविष्ट गर्न रूट अनलक गर्न आवश्यक छ।
* UUID - विभाजन पहिचानकर्ता। आफ्नो ID पत्ता लगाउन, टर्मिनलमा टाइप गर्नुहोस् (स्मरण गराउनुहोस् कि यस समय अगाडिबाट, तपाइँ क्रोट वातावरणमा टर्मिनलमा काम गर्दै हुनुहुन्छ, र अर्को प्रत्यक्ष USB टर्मिनलमा होइन)।

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное 

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

sda7_crypt माउन्ट गरिएको लाइभ USB टर्मिनलबाट blkid अनुरोध गर्दा यो रेखा देखिने छ)।
तपाईंले आफ्नो sdaX बाट UUID लिनुहुन्छ (sdaX_crypt होइन!, UUID sdaX_crypt - grub.cfg कन्फिगरेसन उत्पन्न गर्दा स्वचालित रूपमा छोडिनेछ)।
* साइफर=twofish-xts-plain64,size=512,hash=sha512 -luks एन्क्रिप्शन उन्नत मोडमा।
* /etc/skey - गोप्य कुञ्जी फाइल, जुन OS बुट अनलक गर्न स्वचालित रूपमा सम्मिलित हुन्छ (तेस्रो पासवर्ड प्रविष्ट गर्नुको सट्टा)। तपाईंले 8MB सम्मको कुनै पनि फाइल निर्दिष्ट गर्न सक्नुहुन्छ, तर डाटा <1MB पढिनेछ।

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7 

यो केहि यस्तो देखिनेछ:

(यो आफै गर्नुहोस् र आफैलाई हेर्नुहोस्)।

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab ले विभिन्न फाइल प्रणालीहरूको बारेमा वर्णनात्मक जानकारी समावेश गर्दछ।

#Правим /etc/fstab
nano /etc/fstab

# "फाइल प्रणाली" "माउन्ट पोइन्ट" "प्रकार" "विकल्पहरू" "डम्प" "पास"
# / स्थापनाको समयमा / dev / sda7 मा थियो
/dev/mapper/sda7_crypt/ext4 errors=remount-ro 0 1

विकल्प
* /dev/mapper/sda7_crypt - sda7>sda7_crypt म्यापिङको नाम, जुन /etc/crypttab फाइलमा निर्दिष्ट गरिएको छ।
crypttab/fstab सेटअप पूरा भयो।

B4.5। कन्फिगरेसन फाइलहरू सम्पादन गर्दै। मुख्य क्षणB4.5.1। कन्फिग सम्पादन गर्दै /etc/initramfs-tools/conf.d/resume

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

र टिप्पणी गर्नुहोस् (यदि अवस्थित छ) "#" लाइन "रिजुम"। फाइल पूर्ण रूपमा खाली हुनुपर्छ।

B4.5.2। कन्फिग सम्पादन गर्दै /etc/initramfs-tools/conf.d/cryptsetup

nano /etc/initramfs-tools/conf.d/cryptsetup

मिल्नु पर्छ

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=हो
CRYPTSETUP निर्यात गर्नुहोस्

B4.5.3। /etc/default/grub कन्फिगरेसन सम्पादन गर्दै (यो कन्फिगरेसन encrypted /boot सँग काम गर्दा grub.cfg उत्पन्न गर्ने क्षमताको लागि जिम्मेवार छ)

nano /etc/default/grub

रेखा थप्नुहोस् "GRUB_ENABLE_CRYPTODISK=y"
मान 'y', grub-mkconfig र grub-install ले इन्क्रिप्टेड ड्राइभहरूको लागि जाँच गर्नेछ र बुट समयमा पहुँच गर्न आवश्यक थप आदेशहरू उत्पन्न गर्नेछ। (insmods ).
त्यहाँ समानता हुनुपर्छ

GRUB_DEFAULT = ०
GRUB_TIMEOUT =।
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || इको डेबियन'
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=विक्रेता"
GRUB_CMDLINE_LINUX="शान्त स्प्ल्याश नोआटोमाउन्ट"
GRUB_ENABLE_CRYPTODISK=y

B4.5.4। कन्फिग सम्पादन गर्दै /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

लाइन जाँच गर्नुहोस् टिप्पणी गरे <#>।
भविष्यमा (र अहिले पनि, यो प्यारामिटरको कुनै अर्थ रहनेछैन, तर कहिलेकाहीँ यसले initrd.img छवि अद्यावधिक गर्न हस्तक्षेप गर्दछ)।

B4.5.5। कन्फिग सम्पादन गर्दै /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

थप्नुहोस्

KEYFILE_PATTERN="/etc/skey"
UMASK=0077

यसले गोप्य कुञ्जी "आकाश" initrd.img मा प्याक गर्नेछ, OS बुट हुँदा रूट अनलक गर्न कुञ्जी आवश्यक हुन्छ। (यदि तपाइँ फेरि पासवर्ड प्रविष्ट गर्न चाहनुहुन्न भने, "skey" कुञ्जी कारको लागि प्रतिस्थापित गरिएको छ)।

B4.6. अपडेट गर्नुहोस् /boot/initrd.img [संस्करण]गुप्त कुञ्जी initrd.img मा प्याक गर्न र क्रिप्टसेटअप फिक्सहरू लागू गर्न, छवि अपडेट गर्नुहोस्

update-initramfs -u -k all

initrd.img अद्यावधिक गर्दा (जसरी तिनीहरू भन्छन् "यो सम्भव छ, तर यो निश्चित छैन") क्रिप्टसेटअपसँग सम्बन्धित चेतावनीहरू देखा पर्नेछ, वा, उदाहरणका लागि, Nvidia मोड्युलहरू हराउने बारे सूचना - यो सामान्य छ। फाइल अद्यावधिक गरेपछि, जाँच गर्नुहोस् कि यो वास्तवमा अद्यावधिक गरिएको छ, समय हेर्नुहोस् (chroot वातावरणसँग सापेक्ष।/boot/initrd.img)। सावधानी पहिले [update-initramfs -u -k all] cryptsetup खुला छ भनेर निश्चित गर्नुहोस् /dev/sda7 sda7_crypt - यो /etc/crypttab मा देखा पर्ने नाम हो, अन्यथा रिबुट पछि व्यस्त बाकस त्रुटि हुनेछ)
यस चरणमा, कन्फिगरेसन फाइलहरू सेटअप पूरा भयो।

[C] GRUB2/Protection स्थापना र कन्फिगर गर्दै

C1। आवश्यक भएमा, बुटलोडरको लागि समर्पित विभाजन ढाँचा गर्नुहोस् (एक विभाजन कम्तिमा 20MB चाहिन्छ)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2। माउन्ट /dev/sda6 देखि /mntत्यसैले हामी chroot मा काम गर्छौं, त्यसपछि रूटमा /mnt2 डाइरेक्टरी हुनेछैन, र /mnt फोल्डर खाली हुनेछ।
GRUB2 विभाजन माउन्ट गर्नुहोस्

mount /dev/sda6 /mnt

यदि तपाइँसँग GRUB2 को पुरानो संस्करण स्थापित छ भने, /mnt/boot/grub/i-386-pc डाइरेक्टरीमा (अन्य प्लेटफर्म सम्भव छ, उदाहरणका लागि, "i386-pc" होइन) कुनै क्रिप्टो मोड्युलहरू छैनन् (छोटोमा, फोल्डरमा यी .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod सहित मोड्युलहरू समावेश हुनुपर्छ), यस अवस्थामा, GRUB2 हल्लाउनु आवश्यक छ।

apt-get update
apt-get install grub2 

महत्त्वपूर्ण! भण्डारबाट GRUB2 प्याकेज अद्यावधिक गर्दा, बूटलोडर कहाँ स्थापना गर्ने "छनोट गर्ने बारे" सोध्दा, तपाईंले स्थापना अस्वीकार गर्नुपर्छ। (कारण - GRUB2 स्थापना गर्ने प्रयास - "MBR" वा लाइभ USB मा)। अन्यथा तपाईंले VeraCrypt हेडर/लोडरलाई नोक्सान गर्नुहुनेछ। GRUB2 प्याकेजहरू अद्यावधिक गरेपछि र स्थापना रद्द गरेपछि, बुट लोडर MBR मा होइन, तार्किक डिस्कमा म्यानुअल रूपमा स्थापना गर्नुपर्छ। यदि तपाईंको भण्डारमा GRUB2 को पुरानो संस्करण छ भने, प्रयास गर्नुहोस् अपडेट गर्नुहोस् यो आधिकारिक वेबसाइटबाट हो - यसलाई जाँच गरिएको छैन (नयाँ GRUB 2.02 ~ BetaX बुट लोडरहरूसँग काम गरेको छ)।

C3। विस्तारित विभाजनमा GRUB2 स्थापना गर्दै [sda6]तपाईंसँग माउन्ट गरिएको विभाजन हुनुपर्छ [वस्तु C.2]

grub-install --force --root-directory=/mnt /dev/sda6

विकल्पहरू
* —बल - बूटलोडरको स्थापना, लगभग सधैं अवस्थित सबै चेतावनीहरू बाइपास गर्दै र स्थापनालाई रोक्नुहोस् (आवश्यक झण्डा)।
* --root-directory - डाइरेक्टरी स्थापना sda6 को मूलमा।
* /dev/sda6 - तपाईंको sdaХ विभाजन (/mnt /dev/sda6 बीच <space> नछुटाउनुहोस्)।

C4। कन्फिगरेसन फाइल सिर्जना गर्दै [grub.cfg]"update-grub2" आदेशको बारेमा बिर्सनुहोस्, र पूर्ण कन्फिगरेसन फाइल उत्पादन आदेश प्रयोग गर्नुहोस्

grub-mkconfig -o /mnt/boot/grub/grub.cfg

grub.cfg फाइलको जेनरेशन/अपडेटिङ पूरा गरेपछि, आउटपुट टर्मिनलले डिस्कमा फेला परेको ओएससँग लाइन(हरू) समावेश गर्नुपर्छ। ("grub-mkconfig" ले सम्भवतः लाइभ USB बाट OS फेला पार्नेछ, यदि तपाइँसँग Windows 10 सँग मल्टिबुट फ्ल्यास ड्राइभ र लाइभ वितरणको गुच्छा छ भने - यो सामान्य हो)। यदि टर्मिनल "खाली" छ र "grub.cfg" फाइल उत्पन्न भएको छैन भने, प्रणालीमा GRUB बगहरू हुँदा यो उही मामला हो। (र सम्भवतः भण्डारको परीक्षण शाखाबाट लोडर), विश्वसनीय स्रोतहरूबाट GRUB2 पुन: स्थापना गर्नुहोस्।
"सरल कन्फिगरेसन" स्थापना र GRUB2 सेटअप पूरा भयो।

C5। एन्क्रिप्टेड GNU/Linux OS को प्रमाण-परीक्षणहामीले क्रिप्टो मिसन सही तरिकाले पूरा गर्छौं। सावधानीपूर्वक एन्क्रिप्टेड GNU/Linux छोड्नुहोस् (chroot वातावरण बाहिर निस्कनुहोस्)।

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

पीसी रिबुट गरेपछि, VeraCrypt बुटलोडर लोड हुनुपर्छ।


*सक्रिय विभाजनको लागि पासवर्ड प्रविष्ट गर्दा विन्डोज लोड हुन सुरु हुनेछ।
*"Esc" कुञ्जी थिच्दा GRUB2 मा नियन्त्रण हस्तान्तरण हुनेछ, यदि तपाईंले एन्क्रिप्टेड GNU/Linux चयन गर्नुभयो भने - /boot/initrd.img अनलक गर्न पासवर्ड (sda7_crypt) आवश्यक हुनेछ (यदि grub2 ले uuid "फेला परेन" लेख्छ - यो एउटा हो grub2 बुटलोडरसँग समस्या छ, यसलाई पुन: स्थापना गर्नुपर्छ, उदाहरणका लागि, परीक्षण शाखा/स्थिर आदिबाट)।


*तपाईँले प्रणाली कसरी कन्फिगर गर्नुभयो भन्ने आधारमा (अनुच्छेद B4.4/4.5 हेर्नुहोस्), /boot/initrd.img छवि अनलक गर्न सही पासवर्ड प्रविष्ट गरेपछि, तपाईँलाई OS कर्नेल/रूट, वा गोप्य लोड गर्न पासवर्ड चाहिन्छ। कुञ्जी स्वचालित रूपमा "स्काई" प्रतिस्थापित हुनेछ, पासफ्रेज पुन: प्रविष्ट गर्न आवश्यक हटाउँदै।

(स्क्रिन "गोप्य कुञ्जीको स्वचालित प्रतिस्थापन")।

* त्यसपछि प्रयोगकर्ता खाता प्रमाणीकरणको साथ GNU/Linux लोड गर्ने परिचित प्रक्रिया पछ्याउनेछ।


*प्रयोगकर्ता प्राधिकरण र OS मा लगइन पछि, तपाईंले /boot/initrd.img फेरि अद्यावधिक गर्न आवश्यक छ। (B4.6 हेर्नुहोस्)।

update-initramfs -u -k all

र GRUB2 मेनुमा अतिरिक्त लाइनहरूको मामलामा (लाइभ USB संग OS-m पिकअपबाट) तिनीहरूलाई छुटकारा पाउनुहोस्

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

GNU/Linux प्रणाली इन्क्रिप्शनको द्रुत सारांश:

• GNU/Linuxinux /boot/kernel र initrd सहित पूर्ण रूपमा गुप्तिकरण गरिएको छ;
• गुप्त कुञ्जी initrd.img मा प्याकेज गरिएको छ;
• वर्तमान प्राधिकरण योजना (initrd अनलक गर्न पासवर्ड प्रविष्ट गर्दै; ओएस बुट गर्न पासवर्ड/कुञ्जी; लिनक्स खाता अधिकृत गर्न पासवर्ड).

ब्लक विभाजनको "सरल GRUB2 कन्फिगरेसन" प्रणाली गुप्तिकरण पूरा भयो।

C6। उन्नत GRUB2 कन्फिगरेसन। डिजिटल हस्ताक्षर + प्रमाणीकरण सुरक्षा संग बूटलोडर सुरक्षाGNU/Linux पूर्ण रूपमा गुप्तिकरण गरिएको छ, तर बुटलोडरलाई गुप्तिकरण गर्न सकिँदैन - यो अवस्था BIOS द्वारा निर्देशित छ। यस कारणको लागि, GRUB2 को एक चेन गरिएको ईन्क्रिप्टेड बुट सम्भव छैन, तर एक साधारण चेन गरिएको बुट सम्भव छ/उपलब्ध छ, तर सुरक्षा दृष्टिकोणबाट यो आवश्यक छैन [हेर्नुहोस्। P. F]।
"कमजोर" GRUB2 को लागि, विकासकर्ताहरूले "हस्ताक्षर/प्रमाणीकरण" बुटलोडर सुरक्षा एल्गोरिदम लागू गरे।

• जब बुटलोडर "यसको आफ्नै डिजिटल हस्ताक्षर" द्वारा सुरक्षित हुन्छ, फाइलहरूको बाह्य परिमार्जन, वा यस बुटलोडरमा थप मोड्युलहरू लोड गर्ने प्रयासले, बुट प्रक्रिया अवरुद्ध हुन जान्छ।
• प्रमाणीकरणको साथ बूटलोडरलाई सुरक्षित गर्दा, वितरण लोड गर्ने चयन गर्न, वा CLI मा थप आदेशहरू प्रविष्ट गर्न, तपाईंले superuser-GRUB2 को लगइन र पासवर्ड प्रविष्ट गर्न आवश्यक हुनेछ।

C6.1. बुटलोडर प्रमाणीकरण सुरक्षातपाईंले एन्क्रिप्टेड ओएसमा टर्मिनलमा काम गरिरहनुभएको छ भनी जाँच गर्नुहोस्

ls /<Tab-Tab> #обнаружить файл-маркер

GRUB2 मा प्राधिकरणको लागि सुपर प्रयोगकर्ता पासवर्ड सिर्जना गर्नुहोस्

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. 

पासवर्ड ह्यास प्राप्त गर्नुहोस्। यस्तै केहि

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

GRUB विभाजन माउन्ट गर्नुहोस्

mount /dev/sda6 /mnt 

कन्फिगरेसन सम्पादन गर्नुहोस्

nano -$ /mnt/boot/grub/grub.cfg 

फाइल खोज जाँच गर्नुहोस् कि "grub.cfg" ("-अप्रतिबंधित" "-प्रयोगकर्ता" मा कतै पनि झण्डाहरू छैनन्।
धेरै अन्त मा थप्नुहोस् (लाइन ### END अघि /etc/grub.d/41_custom ###)
"सुपर प्रयोगकर्ताहरू सेट गर्नुहोस् = "रूट"
password_pbkdf2 रूट ह्यास।"

यो केहि यस्तो हुनुपर्छ

# यो फाइलले अनुकूलन मेनु प्रविष्टिहरू थप्न सजिलो तरिका प्रदान गर्दछ। बस टाइप गर्नुहोस्
# मेनु प्रविष्टिहरू तपाईंले यो टिप्पणी पछि थप्न चाहनुहुन्छ। परिवर्तन हुन नदिन सचेत रहनुहोस्
# माथिको 'कार्यान्वयन टेल' लाइन।
### END /etc/grub.d/40_custom ###

### BEGIN /etc/grub.d/41_custom ###
यदि [ -f ${config_directory}/custom.cfg]; त्यसपछि
स्रोत ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; त्यसपछि
स्रोत $prefix/custom.cfg;
fi
superusers="root" सेट गर्नुहोस्
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

यदि तपाइँ प्राय: "grub-mkconfig -o /mnt/boot/grub/grub.cfg" आदेश प्रयोग गर्नुहुन्छ र हरेक पटक grub.cfg मा परिवर्तन गर्न चाहनुहुन्न भने, माथिका रेखाहरू प्रविष्ट गर्नुहोस्। (लगइन: पासवर्ड) धेरै तलको GRUB प्रयोगकर्ता लिपिमा

nano /etc/grub.d/41_custom 

बिरालो <<EOF
superusers="root" सेट गर्नुहोस्
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
ईओएफ

"grub-mkconfig -o /mnt/boot/grub/grub.cfg" कन्फिगरेसन उत्पन्न गर्दा, प्रमाणीकरणका लागि जिम्मेवार रेखाहरू grub.cfg मा स्वतः थपिनेछन्।
यो चरणले GRUB2 प्रमाणीकरण सेटअप पूरा गर्दछ।

C6.2। डिजिटल हस्ताक्षर संग बूटलोडर सुरक्षायो मानिन्छ कि तपाइँसँग पहिले नै तपाइँको व्यक्तिगत pgp एन्क्रिप्शन कुञ्जी छ (वा यस्तो कुञ्जी सिर्जना गर्नुहोस्)। प्रणालीमा क्रिप्टोग्राफिक सफ्टवेयर स्थापना भएको हुनुपर्छ: gnuPG; kleopatra/GPA; समुद्री घोडा। क्रिप्टो सफ्टवेयरले तपाइँको जीवनलाई त्यस्ता सबै मामिलामा धेरै सजिलो बनाउँदछ। Seahorse - प्याकेज 3.14.0 को स्थिर संस्करण (उच्च संस्करणहरू, उदाहरणका लागि, V3.20, दोषपूर्ण छन् र महत्त्वपूर्ण बगहरू छन्)।

PGP कुञ्जी su वातावरणमा मात्र उत्पन्न/सुरु/थप्न आवश्यक छ!

व्यक्तिगत गुप्तिकरण कुञ्जी उत्पन्न गर्नुहोस्

gpg - -gen-key

आफ्नो कुञ्जी निर्यात गर्नुहोस्

gpg --export -o ~/perskey

OS मा तार्किक डिस्क माउन्ट गर्नुहोस् यदि यो पहिले नै माउन्ट गरिएको छैन

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

GRUB2 विभाजन सफा गर्नुहोस्

rm -rf /mnt/

मुख्य GRUB छवि "core.img" मा आफ्नो निजी कुञ्जी राखेर sda2 मा GRUB6 स्थापना गर्नुहोस्।

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

विकल्पहरू
* --force - सँधै अवस्थित सबै चेतावनीहरूलाई बाइपास गर्दै, बूटलोडर स्थापना गर्नुहोस् (आवश्यक झण्डा)।
* —modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - PC सुरु हुँदा GRUB2 लाई आवश्यक मोड्युलहरू प्रिलोड गर्न निर्देशन दिन्छ।
* -k ~/perskey - "PGP कुञ्जी" को लागि मार्ग (छविमा कुञ्जी प्याक गरेपछि, यसलाई मेटाउन सकिन्छ)।
* --root-directory - बुट डाइरेक्टरीलाई sda6 को रूटमा सेट गर्नुहोस्
/dev/sda6 - तपाईंको sdaX विभाजन।

grub.cfg उत्पन्न/अपडेट गर्दै

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

"grub.cfg" फाइलको अन्त्यमा "trust /boot/grub/perskey" लाइन थप्नुहोस्। (pgp कुञ्जीको बल प्रयोग।) हामीले हस्ताक्षर मोड्युल "signature_test.mod" सहित मोड्युलहरूको सेटको साथ GRUB2 स्थापना गरेकाले, यसले कन्फिगरेसनमा "सेट check_signatures=enforce" जस्ता आदेशहरू थप्नु पर्ने आवश्यकतालाई हटाउँछ।

यो केहि यस्तो देखिनु पर्छ (grub.cfg फाइलमा अन्त्य रेखाहरू)

### BEGIN /etc/grub.d/41_custom ###
यदि [ -f ${config_directory}/custom.cfg]; त्यसपछि
स्रोत ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; त्यसपछि
स्रोत $prefix/custom.cfg;
fi
विश्वास /boot/grub/perskey
superusers="root" सेट गर्नुहोस्
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

"/boot/grub/perskey" को मार्गलाई विशेष डिस्क विभाजनमा औंल्याउनु आवश्यक छैन, उदाहरणका लागि hd0,6; बुटलोडरको लागि, "रूट" विभाजनको पूर्वनिर्धारित मार्ग हो जसमा GRUB2 स्थापना गरिएको छ। (सेट रोट =...) हेर्नुहोस्।

GRUB2 मा हस्ताक्षर गर्दै (सबै फाइलहरू सबै /GRUB डाइरेक्टरीहरूमा) तपाइँको कुञ्जी "पर्स्की" संग।
कसरी हस्ताक्षर गर्ने मा एक सरल समाधान (नटिलस/काजा अन्वेषकका लागि): भण्डारबाट एक्सप्लोररको लागि "समुद्री घोडा" विस्तार स्थापना गर्नुहोस्। तपाईँको कुञ्जी su वातावरणमा थपिनुपर्छ।
sudo "/mnt/boot" - RMB - चिन्हको साथ एक्सप्लोरर खोल्नुहोस्। स्क्रिनमा यो यस्तो देखिन्छ

कुञ्जी आफैं हो "/ mnt/boot/grub/perskey" (ग्रब डाइरेक्टरीमा प्रतिलिपि गर्नुहोस्) आफ्नो हस्ताक्षरले पनि हस्ताक्षर गर्नुपर्छ। जाँच गर्नुहोस् कि [*.sig] फाइल हस्ताक्षरहरू डाइरेक्टरी/उपनिर्देशिकाहरूमा देखा पर्दछ।
माथि वर्णन गरिएको विधि प्रयोग गरेर, "/boot" मा हस्ताक्षर गर्नुहोस् (हाम्रो कर्नेल, initrd)। यदि तपाइँको समय केहि मूल्यवान छ भने, तब यो विधिले "धेरै फाइलहरू" साइन इन गर्न ब्यास लिपि लेख्नु पर्ने आवश्यकतालाई हटाउँछ।

सबै बुटलोडर हस्ताक्षरहरू हटाउन (यदि केहि गलत भयो भने)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

प्रणाली अद्यावधिक गरेपछि बुटलोडरमा हस्ताक्षर नगर्नको लागि, हामीले GRUB2 सँग सम्बन्धित सबै अपडेट प्याकेजहरू फ्रिज गर्छौं।

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

यस चरणमा <डिजिटल हस्ताक्षरको साथ बूटलोडरलाई सुरक्षित गर्नुहोस्> GRUB2 को उन्नत कन्फिगरेसन पूरा भयो।

C6.3. GRUB2 बुटलोडरको प्रमाण-परीक्षण, डिजिटल हस्ताक्षर र प्रमाणीकरण द्वारा सुरक्षितGRUB2। कुनै पनि GNU/Linux वितरण चयन गर्दा वा CLI प्रविष्ट गर्दा (कमांड लाइन) सुपर प्रयोगकर्ता प्राधिकरण आवश्यक हुनेछ। सही प्रयोगकर्ता नाम/पासवर्ड प्रविष्ट गरेपछि, तपाईंलाई initrd पासवर्ड चाहिन्छ

GRUB2 सुपर प्रयोगकर्ताको सफल प्रमाणीकरणको स्क्रिनसट।

यदि तपाईंले कुनै पनि GRUB2 फाइलहरूसँग छेडछाड गर्नुभयो/ grub.cfg मा परिवर्तन गर्नुभयो, वा फाइल/हस्ताक्षर मेटाउनुभयो, वा खराब मोड्युल लोड गर्नुभयो भने, एक सम्बन्धित चेतावनी देखा पर्नेछ। GRUB2 ले लोडिङ पज गर्नेछ।

स्क्रिनसट, "बाहिरबाट" GRUB2 मा हस्तक्षेप गर्ने प्रयास।

"सामान्य" बुटिङ "विना घुसपैठ" को समयमा, प्रणाली निकास कोड स्थिति "०" हो। त्यसैले संरक्षणले काम गर्छ कि गर्दैन भन्ने थाहा छैन (अर्थात, "बुटलोडर हस्ताक्षर सुरक्षाको साथ वा बिना" सामान्य लोडिङको बेला स्थिति समान "0" हुन्छ - यो खराब छ)।

डिजिटल हस्ताक्षर सुरक्षा कसरी जाँच गर्ने?

जाँच गर्ने एक असुविधाजनक तरिका: GRUB2 द्वारा प्रयोग गरिएको मोड्युल नक्कली/हटाउनुहोस्, उदाहरणका लागि, हस्ताक्षर luks.mod.sig हटाउनुहोस् र त्रुटि प्राप्त गर्नुहोस्।

सही तरिका: बूटलोडर CLI मा जानुहोस् र आदेश टाइप गर्नुहोस्

trust_list

जवाफमा, तपाईंले "पर्स्की" फिंगरप्रिन्ट प्राप्त गर्नुपर्छ; यदि स्थिति "०," हो भने हस्ताक्षर सुरक्षाले काम गर्दैन, अनुच्छेद C0 डबल-जाँच गर्नुहोस्।
यस चरणमा, उन्नत कन्फिगरेसन "डिजिटल हस्ताक्षर र प्रमाणीकरण संग GRUB2 को सुरक्षा" पूरा भयो।

C7 ह्यासिङ प्रयोग गरेर GRUB2 बुटलोडर सुरक्षित गर्ने वैकल्पिक विधिमाथि वर्णन गरिएको "CPU बुट लोडर सुरक्षा/प्रमाणीकरण" विधि क्लासिक हो। GRUB2 को अपूर्णताका कारण, पागल अवस्थाहरूमा यो वास्तविक आक्रमणको लागि संवेदनशील हुन्छ, जुन म अनुच्छेद [F] मा तल दिनेछु। थप रूपमा, OS/kernel अद्यावधिक गरेपछि, बुटलोडर पुन: हस्ताक्षरित हुनुपर्छ।

ह्यासिङ प्रयोग गरेर GRUB2 बुटलोडरलाई सुरक्षित गर्दै

क्लासिक्स भन्दा फाइदाहरू:

• विश्वसनीयता को उच्च स्तर (ह्यासिङ/प्रमाणीकरण एक गुप्तिकरण गरिएको स्थानीय स्रोतबाट मात्र हुन्छ। GRUB2 अन्तर्गत सम्पूर्ण आवंटित विभाजन कुनै पनि परिवर्तनको लागि नियन्त्रण गरिन्छ, र अरू सबै कुरा गुप्तिकरण गरिएको छ; CPU लोडर सुरक्षा/प्रमाणीकरणको साथ क्लासिक योजनामा, फाइलहरू मात्र नियन्त्रण गरिन्छ, तर नि:शुल्क हुँदैन। स्पेस, जसमा "केहि" केहि अशुभ" थप्न सकिन्छ)।
• इन्क्रिप्टेड लगिङ (मानव-पढ्न सकिने व्यक्तिगत इन्क्रिप्टेड लग योजनामा ​​थपिएको छ)।
• गति (GRUB2 का लागि छुट्याइएको सम्पूर्ण विभाजनको सुरक्षा/प्रमाणीकरण लगभग तुरुन्तै हुन्छ)।
• सबै क्रिप्टोग्राफिक प्रक्रियाहरूको स्वचालन।

क्लासिक्स भन्दा बेफाइदाहरू।

• नक्कली हस्ताक्षर (सैद्धान्तिक रूपमा, दिइएको ह्यास प्रकार्य टक्कर फेला पार्न सम्भव छ)।
• कठिनाई स्तर बढ्यो (क्लासिकको तुलनामा, GNU/Linux OS मा अलि बढी सीपहरू आवश्यक छ)।

GRUB2/partition ह्यासिङ विचार कसरी काम गर्दछ

GRUB2 विभाजन "हस्ताक्षरित" छ; जब OS बुट हुन्छ, बुट लोडर विभाजन अपरिवर्तनीयताको लागि जाँच गरिन्छ, त्यसपछि सुरक्षित (इन्क्रिप्टेड) ​​वातावरणमा लग इन गरेर। यदि बुटलोडर वा यसको विभाजन सम्झौता गरिएको छ भने, घुसपैठ लगको अतिरिक्त, निम्न सुरू गरिएको छ:

कुरा।

यस्तै जाँच दिनको चार पटक हुन्छ, जसले प्रणाली स्रोतहरू लोड गर्दैन।
"-$ check_GRUB" आदेश प्रयोग गरेर, लगइन नगरी कुनै पनि समयमा तत्काल जाँच हुन्छ, तर CLI मा जानकारी आउटपुटको साथ।
"-$ sudo signature_GRUB" आदेश प्रयोग गरेर, GRUB2 बुट लोडर/विभाजन तुरुन्तै पुन: हस्ताक्षरित हुन्छ र यसको अद्यावधिक लगिङ हुन्छ। (OS/बुट अपडेट पछि आवश्यक), र जीवन चल्छ।

बुटलोडर र यसको खण्डको लागि ह्यासिङ विधिको कार्यान्वयन

0) पहिले यसलाई /media/username मा माउन्ट गरेर GRUB बुटलोडर/पार्टिसनमा हस्ताक्षर गरौं।

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) हामीले एन्क्रिप्टेड OS ~/podpis को रूटमा एक्स्टेन्सन बिना स्क्रिप्ट सिर्जना गर्छौं, आवश्यक 744 सुरक्षा अधिकारहरू लागू गर्छौं र यसलाई सुरक्षित सुरक्षा दिन्छौं।

यसको सामग्रीहरू भर्दै

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

बाट स्क्रिप्ट चलाउनुहोस् su, GRUB विभाजन र यसको बुटलोडरको ह्यासिङ जाँच गरिनेछ, लग बचत गर्नुहोस्।

उदाहरणका लागि, GRUB2 विभाजनमा "दुर्भावपूर्ण फाइल" [virus.mod] सिर्जना वा प्रतिलिपि गरौं र अस्थायी स्क्यान/परीक्षण चलाउनुहोस्:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

CLI ले हाम्रो -गढ़को आक्रमण देख्नु पर्छ-# CLI मा ट्रिम गरिएको लग

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

# तपाईले देख्न सक्नुहुन्छ, "फाइलहरू सारियो: 1 र अडिट असफल भयो" देखा पर्दछ, जसको मतलब चेक असफल भयो।
"नयाँ फाइलहरू फेला पर्यो" > "फाइलहरू सारियो" को सट्टा परीक्षण भइरहेको विभाजनको प्रकृतिका कारण

2) यहाँ gif राख्नुहोस् > ~/warning.gif, अनुमतिहरू 744 मा सेट गर्नुहोस्।

3) बुटमा GRUB विभाजन स्वतः माउन्ट गर्न fstab कन्फिगर गर्दै

-$ sudo nano /etc/fstab

LABEL=GRUB /media/username/GRUB ext4 पूर्वनिर्धारित ० ०

4) लग घुमाउँदै

-$ sudo nano /etc/logrotate.d/podpis 

/var/log/podpis.txt {
दैनिक
rot घुमाउनुहोस्
आकार १०M
मिति
कम्प्रेस गर्नुहोस्
ढिलाइम्प्रेस
olddir /var/log/old
}

/var/log/vtorjenie.txt {
मासिक
rot घुमाउनुहोस्
आकार १०M
मिति
olddir /var/log/old
}

5) cron मा काम थप्नुहोस्

-$ sudo crontab -e

रिबुट '/ सदस्यता'
0 */6 * * * '/podpis

6) स्थायी उपनामहरू सिर्जना गर्दै

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

ओएस अपडेट पछि -$ apt-get upgrade हाम्रो GRUB विभाजन पुन: हस्ताक्षर गर्नुहोस्
-$ подпись_GRUB
यस बिन्दुमा, GRUB विभाजनको ह्यासिङ सुरक्षा पूरा भयो।

[डी] वाइपिङ - एन्क्रिप्ट नगरिएको डाटाको विनाश

साउथ क्यारोलिनाका प्रवक्ता ट्रे गाउडीका अनुसार आफ्नो व्यक्तिगत फाइलहरू पूर्ण रूपमा मेटाउनुहोस् कि "भगवानले पनि पढ्न सक्दैनन्।"

सामान्य रूपमा, त्यहाँ विभिन्न "मिथकहरू र किंवदन्तीहरू", हार्ड ड्राइभबाट मेटाइएपछि डेटा पुनर्स्थापना गर्ने बारे। यदि तपाइँ साइबरविचक्राफ्टमा विश्वास गर्नुहुन्छ, वा डा वेब समुदायको सदस्य हुनुहुन्छ र यसलाई मेटाइए/ओभरराइट गरे पछि डाटा रिकभरीको प्रयास गर्नुभएन भने। (उदाहरणका लागि, आर-स्टुडियो प्रयोग गरेर रिकभरी), तब प्रस्तावित विधि तपाईलाई उपयुक्त नहुन सक्छ, तपाईको नजिकको कुरा प्रयोग गर्नुहोस्।

GNU/Linux लाई इन्क्रिप्टेड विभाजनमा सफलतापूर्वक स्थानान्तरण गरेपछि, पुरानो प्रतिलिपि डाटा रिकभरीको सम्भावना बिना नै मेटाइनुपर्छ। विश्वव्यापी सफाई विधि: Windows/Linux नि: शुल्क GUI सफ्टवेयरको लागि सफ्टवेयर ब्लीचबिट.
छिटो खण्ड ढाँचा, जसमा डाटा नष्ट गर्न आवश्यक छ (Gparted मार्फत) BleachBit सुरु गर्नुहोस्, "खाली ठाउँ खाली गर्नुहोस्" चयन गर्नुहोस् - विभाजन चयन गर्नुहोस् (GNU/Linux को अघिल्लो प्रतिलिपिको साथ तपाईंको sdaX), स्ट्रिपिङ प्रक्रिया सुरु हुनेछ। BleachBit - एक पासमा डिस्क वाइप गर्दछ - यो के हो "हामीलाई चाहिन्छ", तर! यदि तपाईंले डिस्क ढाँचा गर्नुभयो र BB v2.0 सफ्टवेयरमा सफा गर्नुभयो भने यसले सिद्धान्तमा मात्र काम गर्दछ।

सावधानी! BB ले मेटाडेटा छोडेर डिस्क वाइप गर्छ; डाटा हटाउँदा फाइल नामहरू सुरक्षित हुन्छन् (Ccleaner - मेटाडेटा छोड्दैन)।

र डाटा रिकभरीको सम्भावनाको बारेमा मिथक पूर्णतया मिथक होइन।Bleachbit V2.0-2 पूर्व अस्थिर OS Debian प्याकेज (र कुनै पनि अन्य समान सफ्टवेयर: sfill; वाइप-नटिलस - यो फोहोर व्यवसायमा पनि देखियो) वास्तवमा एउटा महत्वपूर्ण बग थियो: "मुक्त ठाउँ खाली गर्ने" प्रकार्य यो गलत काम गर्दछ HDD/फ्ल्यास ड्राइभहरूमा (ntfs/ext4)। यस प्रकारको सफ्टवेयर, खाली ठाउँ खाली गर्दा, सम्पूर्ण डिस्क अधिलेखन गर्दैन, धेरै प्रयोगकर्ताहरूले सोचे जस्तै। र केही (धेरै) मेटाइएको डाटा ओएस/सफ्टवेयरले यो डाटालाई न-मेटिएको/प्रयोगकर्ता डाटाको रूपमा लिन्छ र "ओएसपी" सफा गर्दा यसले यी फाइलहरूलाई छोड्छ। समस्या यति लामो समय पछि, डिस्क सफा गर्न "मेटाइएका फाइलहरू" पुन: प्राप्त गर्न सकिन्छ डिस्क वाइप गरेको ३+ पास पछि पनि।
Bleachbit मा GNU/Linux मा 2.0-2 स्थायी रूपमा फाइलहरू र डाइरेक्टरीहरू मेटाउने कार्यहरू विश्वसनीय रूपमा काम गर्दछ, तर खाली ठाउँ खाली गर्दैन। तुलनाको लागि: CCleaner मा Windows मा "ntfs को लागी OSP" प्रकार्यले ठीकसँग काम गर्दछ, र भगवानले मेटाइएको डाटा पढ्न सक्षम हुनुहुनेछैन।

र त्यसैले, राम्ररी हटाउन "सम्झौता" पुरानो एन्क्रिप्टेड डाटा, Bleachbit लाई यस डाटामा प्रत्यक्ष पहुँच चाहिन्छ, त्यसपछि, "स्थायी रूपमा फाइलहरू/डाइरेक्टरीहरू मेटाउनुहोस्" प्रकार्य प्रयोग गर्नुहोस्।
Windows मा "मानक OS उपकरणहरू प्रयोग गरेर मेटाइएका फाइलहरू" हटाउन, "OSP" प्रकार्यको साथ CCleaner/BB प्रयोग गर्नुहोस्। GNU/Linux मा यस समस्यामा (मेटाइएका फाइलहरू मेटाउनुहोस्) तपाई आफैले अभ्यास गर्न आवश्यक छ (डेटा मेटाउँदै + यसलाई पुनर्स्थापना गर्ने स्वतन्त्र प्रयास र तपाईंले सफ्टवेयर संस्करणमा भर पर्नु हुँदैन (यदि बुकमार्क होइन भने बग)), केवल यस मामला मा तपाईं यस समस्या को संयन्त्र बुझ्न र मेटाइएको डाटा पूर्ण छुटकारा पाउन सक्षम हुनेछ।

मैले Bleachbit v3.0 को परीक्षण गरेको छैन, समस्या पहिले नै फिक्स गरिएको हुन सक्छ।
Bleachbit v2.0 इमानदारीपूर्वक काम गर्दछ।

यस चरणमा, डिस्क वाइपिङ पूरा भयो।

[E] इन्क्रिप्टेड OS को विश्वव्यापी ब्याकअप

प्रत्येक प्रयोगकर्तासँग डाटा ब्याकअप गर्ने आफ्नै विधि हुन्छ, तर इन्क्रिप्टेड प्रणाली OS डाटालाई कार्यको लागि अलि फरक दृष्टिकोण चाहिन्छ। एकीकृत सफ्टवेयर, जस्तै Clonezilla र समान सफ्टवेयर, ईन्क्रिप्टेड डाटा संग सीधा काम गर्न सक्दैन।

एन्क्रिप्टेड ब्लक यन्त्रहरू ब्याकअप गर्ने समस्याको कथन:

1. सार्वभौमिकता - विन्डोज/लिनक्सको लागि समान ब्याकअप एल्गोरिथ्म/सफ्टवेयर;
2. अतिरिक्त सफ्टवेयर डाउनलोडहरूको आवश्यकता बिना कुनै पनि प्रत्यक्ष USB GNU/Linux सँग कन्सोलमा काम गर्ने क्षमता (तर अझै पनि GUI सिफारिस गर्नुहोस्);
3. ब्याकअप प्रतिलिपिहरूको सुरक्षा - भण्डारण गरिएका "छविहरू" इन्क्रिप्टेड/पासवर्ड-सुरक्षित हुनुपर्छ;
4. ईन्क्रिप्टेड डाटाको साइज वास्तविक डाटाको आकारसँग मेल खानुपर्छ।
5. ब्याकअप प्रतिलिपिबाट आवश्यक फाइलहरूको सुविधाजनक निकासी (पहिले सम्पूर्ण खण्ड डिक्रिप्ट गर्न कुनै आवश्यकता छैन)।

उदाहरण को लागी, "dd" उपयोगिता मार्फत ब्याकअप/रिस्टोर गर्नुहोस्

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

यो कार्यको लगभग सबै बिन्दुहरूसँग मेल खान्छ, तर बिन्दु 4 अनुसार यो आलोचनामा खडा हुँदैन, किनकि यसले खाली ठाउँ सहित सम्पूर्ण डिस्क विभाजन प्रतिलिपि गर्दछ - रोचक छैन।

उदाहरणका लागि, आर्काइभर [tar" | मार्फत GNU/Linux ब्याकअप gpg] सुविधाजनक छ, तर Windows ब्याकअपको लागि तपाईंले अर्को समाधान खोज्नु पर्छ - यो रोचक छैन।

E1। युनिभर्सल विन्डोज/लिनक्स ब्याकअप। लिङ्क rsync (Grsync) + VeraCrypt भोल्युमब्याकअप प्रतिलिपि बनाउनको लागि एल्गोरिदम:

1. एन्क्रिप्टेड कन्टेनर सिर्जना गर्दै (भोल्युम/फाइल) OS को लागि VeraCrypt;
2. VeraCrypt क्रिप्टो कन्टेनरमा Rsync सफ्टवेयर प्रयोग गरेर ओएस स्थानान्तरण/सिंक्रोनाइज गर्नुहोस्;
3. आवश्यक भएमा, www मा VeraCrypt भोल्युम अपलोड गर्दै।

एन्क्रिप्टेड VeraCrypt कन्टेनर सिर्जना गर्ने यसको आफ्नै विशेषताहरू छन्:
गतिशील भोल्युम सिर्जना गर्दै (DT को सिर्जना विन्डोजमा मात्र उपलब्ध छ, GNU/Linux मा पनि प्रयोग गर्न सकिन्छ);
नियमित भोल्युम सिर्जना गर्नुहोस्, तर त्यहाँ "पारानोइड क्यारेक्टर" को आवश्यकता छ (विकासकर्ताका अनुसार) - कन्टेनर ढाँचा।

Windows मा एक गतिशील भोल्युम लगभग तुरुन्तै सिर्जना हुन्छ, तर GNU/Linux > VeraCrypt DT बाट डाटा प्रतिलिपि गर्दा, ब्याकअप सञ्चालनको समग्र कार्यसम्पादन उल्लेखनीय रूपमा घट्छ।

एक नियमित 70 GB Twofish भोल्युम सिर्जना गरिएको छ (बस भनौं, औसत पीसी पावरमा) HDD ~ आधा घण्टामा (पूर्व कन्टेनर डाटालाई एक पासमा ओभरराइट गर्नु सुरक्षा आवश्यकताहरूको कारण हो)। भोल्युम सिर्जना गर्दा यसलाई द्रुत रूपमा ढाँचा गर्ने कार्य VeraCrypt Windows/Linux बाट हटाइयो, त्यसैले कन्टेनर सिर्जना गर्न "वन-पास पुन: लेखन" वा कम-प्रदर्शन गतिशील भोल्युम सिर्जना गरेर मात्र सम्भव छ।

नियमित VeraCrypt भोल्युम सिर्जना गर्नुहोस् (गतिशील/ntfs होइन), त्यहाँ कुनै समस्या हुनु हुँदैन।

VeraCrypt GUI> GNU/Linux live usb मा कन्फिगर/सिर्जना/खोल्नुहोस् (भोल्युम /media/veracrypt2 मा स्वचालित हुनेछ, Windows OS भोल्युम /media/veracrypt1 मा माउन्ट गरिनेछ)। GUI rsync प्रयोग गरेर Windows OS को एक एन्क्रिप्टेड ब्याकअप सिर्जना गर्दै (grsync)बक्सहरू जाँच गरेर।

प्रक्रिया पूरा गर्न पर्खनुहोस्। ब्याकअप पूरा भएपछि, हामीसँग एउटा इन्क्रिप्टेड फाइल हुनेछ।

त्यस्तै गरी, rsync GUI मा "Windows कम्प्याटिबिलिटी" चेकबक्स अनचेक गरेर GNU/Linux OS को ब्याकअप प्रतिलिपि बनाउनुहोस्।

सावधानी! फाइल प्रणालीमा "GNU/Linux ब्याकअप" को लागि Veracrypt कन्टेनर सिर्जना गर्नुहोस् ext4। यदि तपाइँ ntfs कन्टेनरमा ब्याकअप गर्नुहुन्छ भने, तपाइँले यस्तो प्रतिलिपि पुनर्स्थापना गर्दा, तपाइँ तपाइँको सबै डेटामा सबै अधिकार/समूहहरू गुमाउनुहुनेछ।

सबै कार्यहरू टर्मिनलमा गर्न सकिन्छ। rsync को लागि आधारभूत विकल्पहरू:
* -g -समूहहरू बचत गर्नुहोस्;
* -P -प्रगति - फाइलमा काम बिताएको समयको स्थिति;
* -H - हार्डलिङ्कहरू जस्तै प्रतिलिपि गर्नुहोस्;
* -एक -संग्रह मोड (बहु rlptgoD झण्डा);
* -v - शाब्दिकीकरण।

यदि तपाइँ क्रिप्टसेटअप सफ्टवेयरमा कन्सोल मार्फत "Windows VeraCrypt भोल्युम" माउन्ट गर्न चाहनुहुन्छ भने, तपाइँ उपनाम (su) सिर्जना गर्न सक्नुहुन्छ।

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

अब "veramount चित्रहरू" आदेशले तपाईंलाई पासफ्रेज प्रविष्ट गर्न प्रम्प्ट गर्नेछ, र एन्क्रिप्टेड विन्डोज प्रणाली भोल्युम OS मा माउन्ट गरिनेछ।

क्रिप्टसेटअप आदेशमा नक्सा/माउन्ट VeraCrypt प्रणाली भोल्युम

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

नक्सा/माउन्ट VeraCrypt विभाजन/कन्टेनर cryptsetup आदेशमा

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

उपनामको सट्टा, हामी Windows OS सँग प्रणाली भोल्युम र GNU/Linux स्टार्टअपमा तार्किक इन्क्रिप्टेड ntfs डिस्क (स्टार्टअपको लागि स्क्रिप्ट) थप्नेछौं।

स्क्रिप्ट सिर्जना गर्नुहोस् र यसलाई ~/VeraOpen.sh मा बचत गर्नुहोस्

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

हामी "सही" अधिकारहरू वितरण गर्छौं:

sudo chmod 100 /VeraOpen.sh

/etc/rc.local र ~/etc/init.d/rc.local मा दुई समान फाइलहरू (एउटै नाम!) सिर्जना गर्नुहोस्
फाइलहरू भर्दै

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

हामी "सही" अधिकारहरू वितरण गर्छौं:

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local 

यो हो, अब GNU/Linux लोड गर्दा हामीले एन्क्रिप्टेड ntfs डिस्कहरू माउन्ट गर्न पासवर्डहरू प्रविष्ट गर्नुपर्दैन, डिस्कहरू स्वचालित रूपमा माउन्ट हुन्छन्।

चरण-दर-चरण अनुच्छेद E1 मा माथि वर्णन गरिएको कुराको बारेमा संक्षिप्त नोट (तर अब OS GNU/Linux को लागि)
१) Veracrypt [Cryptbox] मा fs ext1 > 4gb (फाइलको लागि) लिनक्समा भोल्युम सिर्जना गर्नुहोस्।
२) लाइभ USB मा रिबुट गर्नुहोस्।
3) ~$ क्रिप्टसेटअप खोल्नुहोस् /dev/sda7 Lunux #mapping एन्क्रिप्टेड विभाजन।
4) ~$ mount /dev/mapper/Linux /mnt #इन्क्रिप्टेड विभाजनलाई /mnt मा माउन्ट गर्नुहोस्।
5) ~$ mkdir mnt2 # भविष्यको ब्याकअपको लागि डाइरेक्टरी सिर्जना गर्दै।
6) ~$ क्रिप्टसेटअप खोल्नुहोस् —veracrypt —टाइप tcrypt ~/CryptoBox CryptoBox && mount /dev/mapper/CryptoBox /mnt2 # "CryptoBox" नामको Veracrypt भोल्युम नक्सा गर्नुहोस् र CryptoBox लाई /mnt2 मा माउन्ट गर्नुहोस्।
7) ~$ rsync -avlxhHX —progress /mnt /mnt2/ #ब्याकअप अपरेशन एन्क्रिप्टेड विभाजनको एन्क्रिप्टेड Veracrypt भोल्युममा।

(p/s/ सावधानी! यदि तपाइँ एन्क्रिप्टेड GNU/Linux लाई एउटा आर्किटेक्चर/मेसिनबाट अर्कोमा स्थानान्तरण गर्दै हुनुहुन्छ भने, उदाहरणका लागि, Intel > AMD (अर्थात, एउटा इन्क्रिप्टेड विभाजनबाट अर्को इन्क्रिप्टेड Intel > AMD विभाजनमा ब्याकअप डिप्लोइ गर्ने), नबिर्सनु इन्क्रिप्टेड OS स्थानान्तरण गरेपछि, पासवर्डको सट्टा गोप्य विकल्प कुञ्जी सम्पादन गर्नुहोस्, हुनसक्छ। अघिल्लो कुञ्जी ~/etc/skey - अब अर्को इन्क्रिप्टेड विभाजनमा फिट हुने छैन, र क्रुट मुनिबाट नयाँ कुञ्जी "cryptsetup luksAddKey" सिर्जना गर्न सल्लाह दिइँदैन - एक त्रुटि सम्भव छ, केवल ~/etc/crypttab मा निर्दिष्ट गर्नुहोस्। "/etc/skey" अस्थायी रूपमा "कुनै पनि छैन" ", रिबोट र OS मा लग इन गरेपछि, तपाइँको गोप्य वाइल्डकार्ड कुञ्जी पुन: सिर्जना गर्नुहोस्)।

IT दिग्गजहरूका रूपमा, एन्क्रिप्टेड Windows/Linux OS विभाजनहरूको हेडरहरूको अलग-अलग ब्याकअपहरू बनाउन नबिर्सनुहोस्, अन्यथा इन्क्रिप्सन तपाईंको विरुद्धमा हुनेछ।
यस चरणमा, एन्क्रिप्टेड OS को ब्याकअप पूरा भयो।

[F] GRUB2 बुटलोडरमा आक्रमण

Подробностиयदि तपाईंले आफ्नो बुटलोडरलाई डिजिटल हस्ताक्षर र/वा प्रमाणीकरणको साथ सुरक्षित गर्नुभएको छ भने (बिन्दु C6 हेर्नुहोस्।), तब यसले भौतिक पहुँच विरुद्ध सुरक्षा गर्दैन। इन्क्रिप्टेड डाटा अझै पनि पहुँचयोग्य हुनेछ, तर सुरक्षा बाइपास हुनेछ (डिजिटल हस्ताक्षर संरक्षण रिसेट) GRUB2 ले साइबर-खलनायकलाई आफ्नो कोड बुटलोडरमा शंका नगरी सुई दिन अनुमति दिन्छ। (जबसम्म प्रयोगकर्ताले बुटलोडर स्थिति म्यानुअल रूपमा निगरानी गर्दैन, वा grub.cfg को लागि आफ्नै बलियो स्वैच्छिक-स्क्रिप्ट कोडको साथ आउँदैन)।

आक्रमण एल्गोरिथ्म। घुसपैठ गर्ने

* प्रत्यक्ष USB बाट PC बुट गर्नुहोस्। कुनै पनि परिवर्तन (उल्लंघन गर्ने) फाइलहरूले पीसीको वास्तविक मालिकलाई बूटलोडरमा घुसपैठको बारेमा सूचित गर्नेछ। तर grub.cfg राख्दै GRUB2 को एक साधारण पुन: स्थापना (र यसलाई सम्पादन गर्ने पछिको क्षमता) आक्रमणकारीलाई कुनै पनि फाइल सम्पादन गर्न अनुमति दिनेछ (यस अवस्थामा, GRUB2 लोड गर्दा, वास्तविक प्रयोगकर्तालाई सूचित गरिने छैन। स्थिति उस्तै छ <0>)
* एन्क्रिप्ट नगरिएको विभाजन माउन्ट गर्दछ, "/mnt/boot/grub/grub.cfg" भण्डार गर्दछ।
* बूटलोडर पुन: स्थापना गर्दछ (core.img छविबाट "पर्स्की" हटाउँदै)

grub-install --force --root-directory=/mnt /dev/sda6

* "grub.cfg" > "/mnt/boot/grub/grub.cfg" फर्काउँछ, आवश्यक भएमा सम्पादन गर्दछ, उदाहरणका लागि, "grub.cfg" मा लोडर मोड्युलहरू भएको फोल्डरमा तपाईंको मोड्युल "keylogger.mod" थप्दै। > लाइन "insmod keylogger"। वा, उदाहरणका लागि, यदि दुश्मन चालाक छ, त्यसपछि GRUB2 पुन: स्थापना पछि (सबै हस्ताक्षरहरू ठाउँमा रहन्छन्) यसले "विकल्प (-c) सँग grub-mkimage" प्रयोग गरेर मुख्य GRUB2 छवि बनाउँछ। "-c" विकल्पले तपाइँलाई मुख्य "grub.cfg" लोड गर्नु अघि तपाइँको कन्फिगरेसन लोड गर्न अनुमति दिनेछ। कन्फिगरेसनमा केवल एउटा रेखा समावेश हुन सक्छ: कुनै पनि "modern.cfg" मा रिडिरेसन, मिश्रित, उदाहरणका लागि, ~ 400 फाइलहरूसँग (मोड्युल + हस्ताक्षर) फोल्डरमा "/boot/grub/i386-pc"। यस अवस्थामा, एक आक्रमणकर्ताले "/boot/grub/grub.cfg" लाई असर नगरी मनमानी कोड घुसाउन र मोड्युलहरू लोड गर्न सक्छ, प्रयोगकर्ताले फाइलमा "hashsum" लागू गरेको र स्क्रिनमा अस्थायी रूपमा प्रदर्शन गरेको भए पनि।
एक आक्रमणकारीले GRUB2 सुपर प्रयोगकर्ता लगइन/पासवर्ड ह्याक गर्न आवश्यक पर्दैन; उसले केवल लाइनहरू प्रतिलिपि गर्न आवश्यक हुनेछ। (प्रमाणीकरणका लागि जिम्मेवार) "/boot/grub/grub.cfg" लाई तपाइँको "modern.cfg" मा

superusers="root" सेट गर्नुहोस्
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

र PC मालिक अझै पनि GRUB2 सुपर प्रयोगकर्ताको रूपमा प्रमाणीकरण हुनेछ।

चेन लोड गर्दै (बुटलोडरले अर्को बुटलोडर लोड गर्दछ), मैले माथि लेखे जस्तै, अर्थ छैन (यो फरक उद्देश्यको लागि हो)। एन्क्रिप्टेड बुटलोडर BIOS को कारणले लोड गर्न सकिँदैन (चेन बुट पुन: सुरु हुन्छ GRUB2 > एन्क्रिप्टेड GRUB2, त्रुटि!)। यद्यपि, यदि तपाइँ अझै पनि चेन लोडिङको विचार प्रयोग गर्नुहुन्छ भने, तपाइँ निश्चित हुन सक्नुहुन्छ कि यो इन्क्रिप्टेड हो जुन लोड भइरहेको छ। (आधुनिकीकरण गरिएको छैन) एन्क्रिप्टेड विभाजनबाट "grub.cfg"। र यो सुरक्षाको झूटो भावना पनि हो, किनकि एन्क्रिप्टेड "grub.cfg" मा संकेत गरिएको सबै कुरा। (मोड्युल लोडिङ) ले एन्क्रिप्ट नगरिएको GRUB2 बाट लोड गरिएका मोड्युलहरूमा थप्छ।

यदि तपाइँ यसलाई जाँच गर्न चाहनुहुन्छ भने, त्यसपछि अर्को विभाजन sdaY आवंटित/इन्क्रिप्ट गर्नुहोस्, यसमा GRUB2 प्रतिलिपि गर्नुहोस् (इन्क्रिप्टेड विभाजनमा grub-install सञ्चालन सम्भव छैन) र "grub.cfg" मा (इन्क्रिप्ट नगरिएको कन्फिगरेसन) यस्ता रेखाहरू परिवर्तन गर्नुहोस्

मेनुएन्ट्री 'GRUBx2' --class तोता --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
load_video
insmod gzio
यदि [x$grub_platform = xxen]; त्यसपछि insmod xzio; insmod lzopio; fi
insmod part_msdos
insmod क्रिप्टोडिस्क
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
सामान्य /boot/grub/grub.cfg
}

तार
* insmod - एन्क्रिप्टेड डिस्कसँग काम गर्नको लागि आवश्यक मोड्युलहरू लोड गर्दै;
* GRUBx2 - GRUB2 बुट मेनुमा प्रदर्शित लाइनको नाम;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -हेर्नुहोस्। fdisk -l (sda9);
* रूट सेट गर्नुहोस् - रूट स्थापना गर्नुहोस्;
* सामान्य /boot/grub/grub.cfg - इन्क्रिप्टेड विभाजनमा कार्यान्वयन योग्य कन्फिगरेसन फाइल।

GRUB मेनुमा "GRUBx2" लाई चयन गर्दा पासवर्ड प्रविष्ट गर्न/अनलक गर्ने "sdaY" को लागी यो ईन्क्रिप्टेड "grub.cfg" हो भन्ने विश्वास सकारात्मक प्रतिक्रिया हो।

CLI मा काम गर्दा, भ्रमित नहोस् (र जाँच गर्नुहोस् कि "सेट रूट" वातावरण चरले काम गर्यो), खाली टोकन फाइलहरू सिर्जना गर्नुहोस्, उदाहरणका लागि, एन्क्रिप्टेड सेक्सन "/shifr_grub" मा, अनइन्क्रिप्टेड सेक्सन "/noshifr_grub" मा। CLI मा जाँच गर्दै

cat /Tab-Tab

माथि उल्लेख गरिए अनुसार, यदि त्यस्ता मोड्युलहरू तपाइँको PC मा समाप्त भएमा यसले खराब मोड्युलहरू डाउनलोड गर्न मद्दत गर्दैन। उदाहरणका लागि, किलगर जसले फाइलमा किस्ट्रोकहरू बचत गर्न र पीसीमा भौतिक पहुँच भएको आक्रमणकारीद्वारा डाउनलोड नगरेसम्म यसलाई "~/i386" मा अन्य फाइलहरूसँग मिक्स गर्न सक्षम हुनेछ।

डिजिटल हस्ताक्षर सुरक्षा सक्रिय रूपमा काम गरिरहेको छ भनेर प्रमाणित गर्ने सबैभन्दा सजिलो तरिका (रिसेट छैन), र कसैले पनि बूटलोडरमा आक्रमण गरेको छैन, CLI मा आदेश प्रविष्ट गर्नुहोस्

list_trusted

जवाफमा हामीले हाम्रो "पर्स्की" को प्रतिलिपि प्राप्त गर्छौं, वा यदि हामीमाथि आक्रमण भयो भने हामीले केही पनि प्राप्त गर्दैनौं (तपाईँले "सेट check_signatures=enforce" पनि जाँच गर्न आवश्यक छ).
यस चरणको महत्त्वपूर्ण हानि भनेको आदेशहरू म्यानुअल रूपमा प्रविष्ट गर्नु हो। यदि तपाईंले यो आदेश "grub.cfg" मा थप्नुभयो र डिजिटल हस्ताक्षरको साथ कन्फिगरेसन सुरक्षित गर्नुभयो भने, स्क्रिनमा कुञ्जी स्न्यापसटको प्रारम्भिक आउटपुट समयको हिसाबले धेरै छोटो छ, र तपाईंसँग GRUB2 लोड गरेपछि आउटपुट हेर्न समय नहुन सक्छ। ।
त्यहाँ विशेष रूपमा दावी गर्ने कोही छैन: विकासकर्ता उसको मा कागजात खण्ड 18.2 आधिकारिक रूपमा घोषणा गर्दछ

"ध्यान दिनुहोस् कि GRUB पासवर्ड सुरक्षाको साथमा पनि, GRUB ले मेसिनमा भौतिक पहुँच भएका कसैलाई मेसिनको फर्मवेयर (जस्तै, Coreboot वा BIOS) कन्फिगरेसनलाई फरक (आक्रमणकर्ता-नियन्त्रित) यन्त्रबाट बुट गर्नको लागि परिवर्तन गर्नबाट रोक्न सक्दैन। GRUB सुरक्षित बुट चेनमा एउटा मात्र लिङ्क हो।"

GRUB2 धेरै फंक्शनहरूसँग ओभरलोड गरिएको छ जसले झूटा सुरक्षाको भावना दिन सक्छ, र यसको विकासले कार्यक्षमताको सन्दर्भमा MS-DOS लाई पहिले नै पछाडि पारेको छ, तर यो केवल एक बुटलोडर हो। यो हास्यास्पद छ कि GRUB2 - "भोलि" OS बन्न सक्छ, र यसको लागि बुटेबल GNU/Linux भर्चुअल मेसिनहरू।

मैले कसरी GRUB2 डिजिटल हस्ताक्षर सुरक्षा रिसेट गर्छु र वास्तविक प्रयोगकर्तालाई मेरो घुसपैठ घोषणा गर्छु भन्ने बारेमा एउटा छोटो भिडियो (मैले तपाईंलाई डराएको थिएँ, तर भिडियोमा देखाइएको कुराको सट्टा, तपाईंले गैर-हानिरहित स्वेच्छाचारी कोड/.mod लेख्न सक्नुहुन्छ).

निष्कर्ष:

1) Windows को लागि ब्लक प्रणाली ईन्क्रिप्शन लागू गर्न सजिलो छ, र GNU/Linux ब्लक प्रणाली ईन्क्रिप्शन संग धेरै पासवर्ड संग सुरक्षा भन्दा एक पासवर्ड संग सुरक्षा अधिक सुविधाजनक छ, निष्पक्ष हुन: पछिल्लो स्वचालित छ।

२) मैले लेखलाई सान्दर्भिक र विस्तृत रूपमा लेखेको छु सरल एउटा घरको मेसिनमा पूर्ण-डिस्क इन्क्रिप्शन VeraCrypt/LUKS को लागि गाइड, जुन RuNet (IMHO) मा सबैभन्दा राम्रो छ। गाइड> ५०k क्यारेक्टर लामो छ, त्यसैले यसले केही रोचक अध्यायहरू समावेश गर्दैन: क्रिप्टोग्राफरहरू जो गायब हुन्छन्/छायाहरूमा राख्छन्; विभिन्न GNU/Linux पुस्तकहरूमा तिनीहरूले क्रिप्टोग्राफीको बारेमा थोरै लेख्छन्/लेख्दैनन् भन्ने तथ्यको बारेमा; रूसी संघ को संविधान को अनुच्छेद 50 को बारे मा; ओ इजाजतपत्र/ प्रतिबन्ध रूसी संघ मा गुप्तिकरण, किन तपाईंले "रूट/बुट" इन्क्रिप्ट गर्न आवश्यक छ। गाईड एकदम व्यापक, तर विस्तृत भयो। (सरल चरणहरू पनि वर्णन गर्दै), बारीमा, यसले तपाइँको धेरै समय बचत गर्नेछ जब तपाइँ "वास्तविक एन्क्रिप्शन" मा पुग्नुहुन्छ।

3) पूर्ण डिस्क इन्क्रिप्सन Windows 7 64 मा प्रदर्शन गरिएको थियो; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.

4) मा सफल आक्रमण लागू गरियो उनको GRUB2 बुटलोडर।

5) ट्यूटोरियल CIS मा सबै पागल मानिसहरूलाई मद्दत गर्नको लागि सिर्जना गरिएको थियो, जहाँ इन्क्रिप्शनसँग काम गर्न विधायिका स्तरमा अनुमति छ। र मुख्य रूपमा तिनीहरूका लागि जो तिनीहरूको कन्फिगर गरिएको प्रणालीहरू ध्वस्त नगरी पूर्ण-डिस्क इन्क्रिप्शन रोल आउट गर्न चाहन्छन्।

6) मेरो म्यानुअल पुन: काम र अपडेट गरियो, जुन २०२० मा सान्दर्भिक छ।

[G] उपयोगी दस्तावेज

1. TrueCrypt प्रयोगकर्ता गाइड (फेब्रुअरी २०१२ RU)
2. VeraCrypt कागजात
3. /usr/share/doc/cryptsetup(-run) [स्थानीय स्रोत] (क्रिप्टसेटअप प्रयोग गरेर GNU/Linux इन्क्रिप्सन सेटअप गर्ने बारे आधिकारिक विस्तृत दस्तावेज)
4. आधिकारिक FAQ क्रिप्टसेटअप (क्रिप्टसेटअप प्रयोग गरेर GNU/Linux इन्क्रिप्शन सेटअप गर्ने बारे संक्षिप्त दस्तावेज)
5. LUKS उपकरण इन्क्रिप्सन (archlinux दस्तावेज)
6. क्रिप्टसेटअप सिन्ट्याक्सको विस्तृत विवरण (आर्क म्यान पृष्ठ)
7. Crypttab को विस्तृत विवरण (आर्क म्यान पृष्ठ)
8. आधिकारिक GRUB2 कागजात.

ट्यागहरू: पूर्ण डिस्क ईन्क्रिप्शन, विभाजन ईन्क्रिप्शन, लिनक्स पूर्ण डिस्क ईन्क्रिप्शन, LUKS1 पूर्ण प्रणाली ईन्क्रिप्शन।

दर्ता भएका प्रयोगकर्ताहरूले मात्र सर्वेक्षणमा भाग लिन सक्छन्। साइन इन गर्नुहोस्कृपया

के तपाइँ इन्क्रिप्ट गर्दै हुनुहुन्छ?

• 17,1%मैले सक्ने सबै कुरा इन्क्रिप्ट गर्छु। म पागल छु।14

• 34,2%म केवल महत्त्वपूर्ण डाटा इन्क्रिप्ट गर्दछ।28

• 14,6%कहिलेकाहीँ म गुप्तिकरण गर्छु, कहिले बिर्सन्छु।12

• 34,2%होइन, म इन्क्रिप्ट गर्दिन, यो असुविधाजनक र महँगो छ।28

82 प्रयोगकर्ताहरूले मतदान गरे। २ प्रयोगकर्ताहरू रोकिए।

स्रोत: www.habr.com