🥇Full diskkryptering av Windows Linux-installerte systemer. Kryptert Multiboot

Oppdatert egen guide til full-disk kryptering i RuNet V0.2.

Cowboystrategi:

[A] Windows 7-systemblokkkryptering av det installerte systemet;
[B] GNU/Linux-systemblokkkryptering (Debian) installert system (inkludert /boot);
[C] GRUB2-konfigurasjon, oppstartslasterbeskyttelse med digital signatur/autentisering/hashing;
[D] stripping – ødeleggelse av ukrypterte data;
[E] universell sikkerhetskopi av kryptert OS;
[F] angrep mål - GRUB6 bootloader;
[G]nyttig dokumentasjon.

╭───Skjema for #rom 40# :
├──╼ Windows 7 installert - full systemkryptering, ikke skjult;
├──╼ GNU/Linux installert (Debian og avledede distribusjoner) — full systemkryptering, ikke skjult(/, inkludert /boot; swap);
├──╼ uavhengige bootloader: VeraCrypt bootloader er installert i MBR, GRUB2 bootloader er installert i den utvidede partisjonen;
├──╼ krever ingen OS-installasjon/reinstallasjon;
└──╼ kryptografisk programvare brukt: VeraCrypt; Kryptoppsett; GnuPG; sjøhest; Hashdeep; GRUB2 er gratis/gratis.

Opplegget ovenfor løser delvis problemet med "ekstern oppstart til en flash-stasjon", lar deg nyte kryptert OS Windows/Linux og utveksle data via en "kryptert kanal" fra ett OS til et annet.

PC-oppstartsrekkefølge (ett av alternativene):

slå på maskinen;
lasting av VeraCrypt bootloader (å angi riktig passord fortsetter å starte opp Windows 7);
å trykke på "Esc"-tasten vil laste GRUB2 oppstartslasteren;
GRUB2 oppstartslaster (velg distribusjon/GNU/Linux/CLI), vil kreve autentisering av GRUB2 superbruker ;
etter vellykket autentisering og valg av distribusjonen, må du angi en passordfrase for å låse opp "/boot/initrd.img";
etter å ha skrevet inn feilfrie passord, vil GRUB2 "kreve" et passord (for det tredje, BIOS-passord eller GNU/Linux-brukerkontopassord – ikke vurder) for å låse opp og starte opp GNU/Linux OS, eller automatisk erstatning av en hemmelig nøkkel (to passord + nøkkel, eller passord + nøkkel);
eksternt inntrenging i GRUB2-konfigurasjonen vil fryse oppstartsprosessen for GNU/Linux.

Plagsom? Ok, la oss automatisere prosessene.

Når du partisjonerer en harddisk (MBR-tabell) En PC kan ikke ha mer enn 4 hovedpartisjoner, eller 3 hovedpartisjoner og en utvidet, samt et ikke-allokert område. En utvidet seksjon, i motsetning til hoveddelen, kan inneholde underseksjoner (logiske stasjoner=utvidet partisjon). Med andre ord, den "utvidede partisjonen" på harddisken erstatter LVM for oppgaven: full systemkryptering. Hvis disken din er delt inn i 4 hovedpartisjoner, må du bruke lvm, eller transformere (med formatering) seksjon fra hoved til avansert, eller bruk klokt alle fire seksjoner og la alt være som det er, for å få ønsket resultat. Selv om du har én partisjon på disken, vil Gparted hjelpe deg med å partisjonere harddisken (for flere seksjoner) uten tap av data, men likevel med en liten straff for slike handlinger.

Oppsettet for harddiskoppsett, i forhold til hvilket hele artikkelen vil bli verbalisert, er presentert i tabellen nedenfor.

Tabell (nr. 1) over 1TB partisjoner.

Du burde ha noe lignende også.
sda1 - hovedpartisjon nr. 1 NTFS (kryptert);
sda2 - utvidet seksjonsmarkør;
sda6 - logisk disk (den har GRUB2 bootloader installert);
sda8 - swap (kryptert swap-fil/ikke alltid);
sda9 - test logisk disk;
sda5 - logisk disk for nysgjerrige;
sda7 - GNU/Linux OS (overført OS til en kryptert logisk disk);
sda3 - hovedpartisjon nr. 2 med Windows 7 OS (kryptert);
sda4 - hovedseksjon nr. 3 (den inneholdt ukryptert GNU/Linux, brukt til sikkerhetskopiering/ikke alltid).

[A] Windows 7 System Block Encryption

A1. VeraCrypt

Last ned fra offisielle nettsted, eller fra speilet sourceforge installasjonsversjon av VeraCrypt kryptografisk programvare (på tidspunktet for publisering av artikkelen v1.24-Update3, er den bærbare versjonen av VeraCrypt ikke egnet for systemkryptering). Sjekk sjekksummen til den nedlastede programvaren

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

og sammenlign resultatet med CS som er lagt ut på VeraCrypt-utviklernettstedet.

Hvis HashTab-programvaren er installert, er det enda enklere: RMB (VeraCrypt Setup 1.24.exe)-egenskaper - hash sum av filer.

For å bekrefte programsignaturen må programvaren og utviklerens offentlige pgp-nøkkel være installert på systemet gnuPG; gpg4win.

A2. Installere/kjøre VeraCrypt-programvare med administratorrettigheter

A3. Velge systemkrypteringsparametere for den aktive partisjonenVeraCrypt – System – Krypter systempartisjon/disk – Normal – Krypter Windows systempartisjon – Multiboot – (advarsel: "Uerfarne brukere anbefales ikke å bruke denne metoden", og dette er sant, vi godtar "Ja") – Oppstartsdisk ("ja", selv om ikke, fortsatt "ja") – Antall systemdisker “2 eller flere” – Flere systemer på én disk “Ja” – Ikke-Windows oppstartslaster “Nei” (faktisk "Ja", men VeraCrypt/GRUB2 oppstartslastere vil ikke dele MBR seg imellom; mer presist, bare den minste delen av oppstartslasterkoden er lagret i MBR/oppstartsporet, hoveddelen av den er ligger i filsystemet) – Multiboot – Krypteringsinnstillinger...

Hvis du avviker fra trinnene ovenfor (blokkere systemkryptering), så vil VeraCrypt utstede en advarsel og vil ikke tillate deg å kryptere partisjonen.

I neste trinn mot målrettet databeskyttelse, utfør en "Test" og velg en krypteringsalgoritme. Hvis du har en utdatert CPU, vil mest sannsynlig den raskeste krypteringsalgoritmen være Twofish. Hvis CPU-en er kraftig, vil du merke forskjellen: AES-kryptering vil ifølge testresultatene være flere ganger raskere enn krypto-konkurrentene. AES er en populær krypteringsalgoritme; maskinvaren til moderne CPUer er spesielt optimalisert for både "hemmelig" og "hacking."

VeraCrypt støtter muligheten til å kryptere disker i en AES-kaskade(Tofisk)/og andre kombinasjoner. På en gammel kjerne Intel CPU fra ti år siden (uten maskinvarestøtte for AES, A/T-kaskadekryptering) Nedgangen i ytelse er i hovedsak umerkelig. (for AMD-CPU-er med samme tidsalder/~parametere er ytelsen noe redusert). OS fungerer dynamisk og ressursforbruket for transparent kryptering er usynlig. Derimot er det for eksempel en merkbar nedgang i ytelsen på grunn av det installerte ustabile testskrivebordsmiljøet Mate v1.20.1 (eller v1.20.2 husker jeg ikke nøyaktig) i GNU/Linux, eller på grunn av driften av telemetrirutinen i Windows7↑. Vanligvis utfører erfarne brukere maskinvareytelsestester før kryptering. For eksempel, i Aida64/Sysbench/systemd-analyze sammenlignes skyld med resultatene av de samme testene etter kryptering av systemet, og tilbakeviser dermed myten om at "systemkryptering er skadelig." Nedgangen til maskinen og ulempen er merkbar når du sikkerhetskopierer/gjenoppretter krypterte data, fordi selve "systemdata backup"-operasjonen ikke måles i ms, og de samme blir lagt til. Til syvende og sist balanserer hver bruker som får lov til å fikle med kryptografi krypteringsalgoritmen mot tilfredsstillelsen av oppgavene, deres nivå av paranoia og brukervennlighet.

Det er bedre å la PIM-parameteren være standard, slik at du ikke trenger å angi nøyaktige iterasjonsverdier hver gang når du laster inn operativsystemet. VeraCrypt bruker et stort antall iterasjoner for å lage en virkelig "slow hash". Et angrep på en slik "kryptosnegl" ved bruk av Brute force/rainbow tables-metoden gir mening bare med en kort "enkel" passordfrase og offerets personlige tegnsett. Prisen å betale for passordstyrke er en forsinkelse i å angi riktig passord når du laster inn operativsystemet. (montering av VeraCrypt-volumer i GNU/Linux er betydelig raskere).
Gratis programvare for å implementere brute force-angrep (trekk ut passordfrase fra VeraCrypt/LUKS diskoverskrift) Hashcat. John the Ripper vet ikke hvordan han skal "knekke Veracrypt", og når han jobber med LUKS forstår han ikke Twofish-kryptering.

På grunn av den kryptografiske styrken til krypteringsalgoritmer, utvikler ustoppelige cypherpunks programvare med en annen angrepsvektor. For eksempel å trekke ut metadata/nøkler fra RAM (kald oppstart/direkte minnetilgangsangrep), Det finnes spesialisert gratis og ikke-fri programvare for disse formålene.

Etter fullføring av oppsett/generering av "unike metadata" for den krypterte aktive partisjonen, vil VeraCrypt tilby å starte PC-en på nytt og teste funksjonaliteten til oppstartslasteren. Etter omstart/start av Windows vil VeraCrypt lastes i standby-modus, alt som gjenstår er å bekrefte krypteringsprosessen - Y.

Ved siste trinn av systemkryptering vil VeraCrypt tilby å lage en sikkerhetskopi av overskriften til den aktive krypterte partisjonen i form av "veracrypt rescue disk.iso" - dette må gjøres - i denne programvaren er en slik operasjon et krav (i LUKS, som et krav - dette er dessverre utelatt, men understrekes i dokumentasjonen). Redningsdisk vil komme godt med for alle, og for noen mer enn én gang. Tap (overskrift/MBR-omskriving) en sikkerhetskopi av overskriften vil permanent nekte tilgang til den dekrypterte partisjonen med OS Windows.

A4. Opprette en VeraCrypt rednings-USB/diskSom standard tilbyr VeraCrypt å brenne "~2-3MB metadata" til en CD, men ikke alle mennesker har disker eller DWD-ROM-stasjoner, og å lage en oppstartbar flash-stasjon "VeraCrypt Rescue disk" vil være en teknisk overraskelse for noen: Rufus /GUIDd-ROSA ImageWriter og annen lignende programvare vil ikke være i stand til å takle oppgaven, fordi i tillegg til å kopiere offset-metadata til en oppstartbar flash-stasjon, må du kopiere/lime inn bildet utenfor filsystemet til USB-stasjonen, kort sagt, kopier MBR/veien til nøkkelring korrekt. Du kan lage en oppstartbar flash-stasjon fra GNU/Linux OS ved å bruke "dd"-verktøyet, og se på dette skiltet.

Å lage en redningsdisk i et Windows-miljø er annerledes. Utvikleren av VeraCrypt inkluderte ikke løsningen på dette problemet i den offisielle dokumentasjon av "redningsdisk", men foreslo en løsning på en annen måte: han la ut tilleggsprogramvare for å lage en "usb-redningsdisk" for gratis tilgang på sitt VeraCrypt-forum. Arkivaren for denne programvaren for Windows "oppretter usb veracrypt redningsdisk". Etter å ha lagret redningsdisk.iso, vil prosessen med blokkering av systemkryptering av den aktive partisjonen begynne. Under kryptering stopper ikke driften av operativsystemet; en PC-omstart er ikke nødvendig. Når krypteringsoperasjonen er fullført, blir den aktive partisjonen fullstendig kryptert og kan brukes. Hvis VeraCrypt oppstartslasteren ikke vises når du starter PC-en, og headergjenopprettingsoperasjonen ikke hjelper, sjekk "boot"-flagget, den må settes til partisjonen der Windows er til stede (uavhengig av kryptering og annet OS, se tabell nr. 1).
Dette fullfører beskrivelsen av blokkeringssystemkryptering med Windows OS.

[B]LUKS. GNU/Linux-kryptering (~Debian) installert OS. Algoritme og trinn

For å kryptere en installert Debian/derivatdistribusjon, må du kartlegge den forberedte partisjonen til en virtuell blokkeringsenhet, overføre den til den tilordnede GNU/Linux-disken og installere/konfigurere GRUB2. Hvis du ikke har en barmetallserver, og du setter pris på tiden din, må du bruke GUI, og de fleste terminalkommandoene beskrevet nedenfor er ment å kjøres i "Chuck-Norris-modus".

B1. Oppstart av PC fra live usb GNU/Linux

"Utfør en kryptotest for maskinvareytelse"

lscpu && сryptsetup benchmark

Hvis du er den lykkelige eieren av en kraftig bil med AES-maskinvarestøtte, vil tallene se ut som høyre side av terminalen; hvis du er en lykkelig eier, men med antikk maskinvare, vil tallene se ut som venstre side.

B2. Diskpartisjonering. montere/formatere fs logisk disk HDD til Ext4 (Gparted)

B2.1. Opprette en kryptert sda7-partisjonsoverskriftJeg vil beskrive navnene på partisjonene, her og videre, i samsvar med partisjonstabellen min som er lagt ut ovenfor. I henhold til diskoppsettet må du erstatte partisjonsnavnene dine.

Kartlegging av logisk stasjonskryptering (/dev/sda7 > /dev/mapper/sda7_crypt).
#Enkel oppretting av en "LUKS-AES-XTS-partisjon"

cryptsetup -v -y luksFormat /dev/sda7

Alternativer:

* luksFormat - initialisering av LUKS header;
* -y -passordfrase (ikke nøkkel/fil);
* -v -verbalisering (viser informasjon i terminalen);
* /dev/sda7 - din logiske disk fra den utvidede partisjonen (hvor det er planlagt å overføre/kryptere GNU/Linux).

Standard krypteringsalgoritme <LUKS1: aes-xts-plain64, nøkkel: 256 biter, LUKS header hashing: sha256, RNG: /dev/urandom> (avhenger av cryptsetup-versjonen).

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

Hvis det ikke er maskinvarestøtte for AES på CPU, vil det beste valget være å lage en utvidet "LUKS-Twofish-XTS-partisjon".

B2.2. Avansert oppretting av "LUKS-Twofish-XTS-partisjon"

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

Alternativer:
* luksFormat - initialisering av LUKS header;
* /dev/sda7 er din fremtidige krypterte logiske disk;
* -v verbalisering;
* -y passordfrase;
* -c velg datakrypteringsalgoritme;
* -s krypteringsnøkkel størrelse;
* -h hashing-algoritme/kryptofunksjon, RNG brukt (--bruk-urandom) å generere en unik krypterings-/dekrypteringsnøkkel for den logiske diskhodet, en sekundær hodenøkkel (XTS); en unik hovednøkkel lagret i den krypterte diskhodet, en sekundær XTS-nøkkel, alle disse metadataene og en krypteringsrutine som, ved å bruke hovednøkkelen og den sekundære XTS-nøkkelen, krypterer/dekrypterer data på partisjonen (unntatt avsnittstittel) lagret i ~3MB på den valgte harddiskpartisjonen.
* -i iterasjoner i millisekunder, i stedet for "beløp" (tidsforsinkelsen ved behandling av passordfrasen påvirker lasting av operativsystemet og den kryptografiske styrken til nøklene). For å opprettholde en balanse av kryptografisk styrke, med et enkelt passord som "russisk" må du øke -(i)-verdien; med et komplekst passord som "?8dƱob/øfh" kan verdien reduseres.
* —use-urandom random number generator, genererer nøkler og salt.

Etter kartlegging av delen sda7 > sda7_crypt (operasjonen er rask, siden en kryptert overskrift er opprettet med ~3 MB metadata og det er alt), må du formatere og montere sda7_crypt-filsystemet.

B2.3. Sammenligning

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

alternativer:
* åpen - match seksjonen "med navn";
* /dev/sda7 -logisk disk;
* sda7_crypt - navnetilordning som brukes til å montere den krypterte partisjonen eller initialisere den når operativsystemet starter.

B2.4. Formaterer sda7_crypt-filsystemet til ext4. Montering av en disk i OS(Merk: du vil ikke kunne jobbe med en kryptert partisjon i Gparted)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt

alternativer:
* -v -verbalisering;
* -L - stasjonsetikett (som vises i Explorer blant andre stasjoner).

Deretter bør du montere den virtuell-krypterte blokkenheten /dev/sda7_crypt til systemet

mount /dev/mapper/sda7_crypt /mnt

Arbeid med filer i /mnt-mappen vil automatisk kryptere/dekryptere data i sda7.

Det er mer praktisk å kartlegge og montere partisjonen i Explorer (nautilus/caja GUI), partisjonen vil allerede være i diskvalglisten, alt som gjenstår er å skrive inn passordfrasen for å åpne/dekryptere disken. Det samsvarende navnet vil bli valgt automatisk og ikke "sda7_crypt", men noe sånt som /dev/mapper/Luks-xx-xx...

B2.5. Sikkerhetskopiering av platehode (~3MB metadata)En av de mest viktig operasjoner som må gjøres uten forsinkelse - en sikkerhetskopi av "sda7_crypt"-overskriften. Hvis du overskriver/skader overskriften (for eksempel å installere GRUB2 på sda7-partisjonen, etc.), vil de krypterte dataene gå helt tapt uten mulighet for å gjenopprette dem, fordi det vil være umulig å gjenskape de samme nøklene; nøklene er opprettet unikt.

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

alternativer:
* luksHeaderBackup —header-backup-file -backup kommando;
* luksHeaderRestore —header-backup-file -restore kommando;
* ~/Backup_DebSHIFR - sikkerhetskopifil;
* /dev/sda7 - partisjon hvis krypterte sikkerhetskopi av diskhode skal lagres.
På dette trinnet er fullført.

B3. Portering av GNU/Linux OS (sda4) til en kryptert partisjon (sda7)

Opprett en mappe /mnt2 (Merk - vi jobber fortsatt med live usb, sda7_crypt er montert på /mnt), og monter vår GNU/Linux i /mnt2, som må krypteres.

mkdir /mnt2
mount /dev/sda4 /mnt2

Vi utfører korrekt OS-overføring ved hjelp av Rsync-programvare

rsync -avlxhHX --progress /mnt2/ /mnt

Alternativer for Rsync er beskrevet i avsnitt E1.

videre, må defragmentere en logisk diskpartisjon

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

Gjør det til en regel: gjør e4defrag på kryptert GNU/LInux fra tid til annen hvis du har en HDD.
Overføringen og synkroniseringen [GNU/Linux > GNU/Linux-kryptert] er fullført på dette trinnet.

AT 4. Sette opp GNU/Linux på en kryptert sda7-partisjon

Etter vellykket overføring av OS /dev/sda4 > /dev/sda7, må du logge på GNU/Linux på den krypterte partisjonen og utføre ytterligere konfigurasjon (uten å starte PC-en på nytt) i forhold til et kryptert system. Det vil si være i live usb, men utfør kommandoer "i forhold til roten til det krypterte operativsystemet." "chroot" vil simulere en lignende situasjon. For raskt å motta informasjon om hvilket OS du jobber med for øyeblikket (kryptert eller ikke, siden dataene i sda4 og sda7 er synkronisert), desynkroniser operativsystemet. Opprett i rotkataloger (sda4/sda7_crypt) tomme markørfiler, for eksempel /mnt/encryptedOS og /mnt2/decryptedOS. Sjekk raskt hvilket OS du bruker (inkludert for fremtiden):

ls /<Tab-Tab>

B4.1. "Simulering av pålogging til et kryptert OS"

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. Verifisere at arbeid utføres mot et kryptert system

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. Opprette/konfigurere kryptert bytte, redigere crypttab/fstabSiden swap-filen formateres hver gang operativsystemet starter, gir det ingen mening å opprette og tilordne swap til en logisk disk nå, og skrive kommandoer som i avsnitt B2.2. For Swap vil dens egne midlertidige krypteringsnøkler genereres automatisk ved hver start. Livssyklus for byttenøkler: demontering/avmontering av byttepartisjon (+rengjøring av RAM); eller start OS på nytt. Setter opp swap, åpner filen som er ansvarlig for konfigurasjonen av blokkkrypterte enheter (analogt med en fstab-fil, men ansvarlig for krypto).

nano /etc/crypttab

vi redigerer

#"målnavn" "kildeenhet" "nøkkelfil" "alternativer"
swap /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512

Alternativer
* swap - kartlagt navn ved kryptering av /dev/mapper/swap.
* /dev/sda8 - bruk din logiske partisjon for swap.
* /dev/urandom - generator av tilfeldige krypteringsnøkler for swap (med hver ny OS-oppstart opprettes nye nøkler). /dev/urandom-generatoren er mindre tilfeldig enn /dev/random, tross alt brukes /dev/random når du arbeider under farlige paranoide omstendigheter. Når du laster inn operativsystemet, bremser /dev/random nedlastingen i flere ± minutter (se systemd-analyse).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -partisjonen vet at den er swap og er formatert "i henhold til dette"; krypteringsalgoritme.

#Открываем и правим fstab
nano /etc/fstab

vi redigerer

# swap var på / dev / sda8 under installasjonen
/dev/mapper/swap ingen swap sw 0 0

/dev/mapper/swap er navnet som ble satt i crypttab.

Alternativ kryptert swap
Hvis du av en eller annen grunn ikke vil gi opp en hel partisjon for en byttefil, kan du gå en alternativ og bedre vei: å lage en byttefil i en fil på en kryptert partisjon med OS.

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

Oppsettet av byttepartisjon er fullført.

B4.4. Sette opp kryptert GNU/Linux (redigere crypttab/fstab-filer)/etc/crypttab-filen, som skrevet ovenfor, beskriver krypterte blokkenheter som er konfigurert under systemoppstart.

#правим /etc/crypttab 
nano /etc/crypttab

hvis du matchet sda7>sda7_crypt-delen som i avsnitt B2.1

# "målnavn" "kildeenhet" "nøkkelfil" "alternativer"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

hvis du matchet sda7>sda7_crypt-delen som i avsnitt B2.2

# "målnavn" "kildeenhet" "nøkkelfil" "alternativer"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

hvis du matchet sda7>sda7_crypt-delen som i avsnitt B2.1 eller B2.2, men ikke ønsker å skrive inn passordet på nytt for å låse opp og starte opp operativsystemet, kan du i stedet for passordet erstatte en hemmelig nøkkel/tilfeldig fil

# "målnavn" "kildeenhet" "nøkkelfil" "alternativer"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

beskrivelse
* ingen - rapporterer at når operativsystemet lastes, kreves det å angi en hemmelig passordfrase for å låse opp roten.
* UUID - partisjonsidentifikator. For å finne ut ID-en din, skriv inn terminalen (minner om at fra nå av jobber du i en terminal i et chroot-miljø, og ikke i en annen live usb-terminal).

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

denne linjen er synlig når du ber om blkid fra live usb-terminalen med sda7_crypt montert).
Du tar UUID fra din sdaX (ikke sdaX_crypt!, UUID sdaX_crypt - vil bli igjen automatisk når grub.cfg-konfigurasjonen genereres).
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks-kryptering i avansert modus.
* /etc/skey - hemmelig nøkkelfil, som settes inn automatisk for å låse opp OS-oppstarten (i stedet for å skrive inn det tredje passordet). Du kan spesifisere hvilken som helst fil på opptil 8 MB, men dataene vil bli lest <1 MB.

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7

Det vil se omtrent slik ut:

(gjør det selv og se selv).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab inneholder beskrivende informasjon om forskjellige filsystemer.

#Правим /etc/fstab
nano /etc/fstab

# "filsystem" "monteringspunkt" "type" "alternativer" "dump" "pass"
# / var på / dev / sda7 under installasjonen
/dev/mapper/sda7_crypt / ext4 errors=remount-ro 0 1

alternativ
* /dev/mapper/sda7_crypt - navnet på sda7>sda7_crypt-tilordningen, som er spesifisert i filen /etc/crypttab.
crypttab/fstab-oppsettet er fullført.

B4.5. Redigering av konfigurasjonsfiler. NøkkeløyeblikkB4.5.1. Redigering av konfigurasjonen /etc/initramfs-tools/conf.d/resume

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

og kommentere (hvis det finnes) "#" linje "resume". Filen må være helt tom.

B4.5.2. Redigering av konfigurasjonen /etc/initramfs-tools/conf.d/cryptsetup

nano /etc/initramfs-tools/conf.d/cryptsetup

skal matche

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=ja
eksporter CRYPTSETUP

B4.5.3. Redigering av /etc/default/grub-konfigurasjonen (denne konfigurasjonen er ansvarlig for muligheten til å generere grub.cfg når du arbeider med kryptert /boot)

nano /etc/default/grub

legg til linjen «GRUB_ENABLE_CRYPTODISK=y»
verdien 'y', grub-mkconfig og grub-install vil se etter krypterte stasjoner og generere ytterligere kommandoer som trengs for å få tilgang til dem ved oppstart (insmods ).
det må være en likhet

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || ekko Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=leverandør"
GRUB_CMDLINE_LINUX="stille splash noautomount"
GRUB_ENABLE_CRYPTODISK=y

B4.5.4. Redigering av konfigurasjonen /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

sjekk at linjen er kommentert ut .
I fremtiden (og selv nå vil denne parameteren ikke ha noen betydning, men noen ganger forstyrrer den oppdateringen av initrd.img-bildet).

B4.5.5. Redigering av konfigurasjonen /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

legge

KEYFILE_PATTERN="/etc/skey"
UMASK=0077

Dette vil pakke den hemmelige nøkkelen "skey" inn i initrd.img, nøkkelen er nødvendig for å låse opp roten når operativsystemet starter opp (hvis du ikke vil skrive inn passordet igjen, erstattes bilen med "nøkkelen").

B4.6. Oppdater /boot/initrd.img [versjon]For å pakke den hemmelige nøkkelen inn i initrd.img og bruke krypteringsopprettinger, oppdater bildet

update-initramfs -u -k all

ved oppdatering av initrd.img (som de sier "Det er mulig, men det er ikke sikkert") advarsler knyttet til cryptsetup vil vises, eller for eksempel et varsel om tap av Nvidia-moduler - dette er normalt. Etter å ha oppdatert filen, sjekk at den faktisk er oppdatert, se klokkeslettet (i forhold til chroot-miljøet./boot/initrd.img). Advarsel! før [update-initramfs -u -k all] sørg for å sjekke at cryptsetup er åpent /dev/sda7 sda7_crypt - dette er navnet som vises i /etc/crypttab, ellers vil det oppstå en busybox-feil etter omstart)
På dette trinnet er oppsettet av konfigurasjonsfilene fullført.

[C] Installere og konfigurere GRUB2/Protection

C1. Om nødvendig, formater den dedikerte partisjonen for oppstartslasteren (en partisjon trenger minst 20 MB)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. Monter /dev/sda6 til /mntSå vi jobber i chroot, da vil det ikke være noen /mnt2-katalog i roten, og /mnt-mappen vil være tom.
montere GRUB2-partisjonen

mount /dev/sda6 /mnt

Hvis du har en eldre versjon av GRUB2 installert, i katalogen /mnt/boot/grub/i-386-pc (annen plattform er mulig, for eksempel ikke "i386-pc") ingen kryptomoduler (kort sagt, mappen skal inneholde moduler, inkludert disse .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), i dette tilfellet må GRUB2 ristes.

apt-get update
apt-get install grub2

Viktig! Når du oppdaterer GRUB2-pakken fra depotet, når du blir spurt "om å velge" hvor du skal installere oppstartslasteren, må du nekte installasjonen (grunn - forsøk å installere GRUB2 - i "MBR" eller på live usb). Ellers vil du skade VeraCrypt header/loader. Etter å ha oppdatert GRUB2-pakkene og avbrutt installasjonen, må oppstartslasteren installeres manuelt på den logiske disken, og ikke i MBR. Hvis depotet ditt har en utdatert versjon av GRUB2, prøv Oppdater den er fra den offisielle nettsiden - har ikke sjekket den (fungerte med de nyeste GRUB 2.02 ~BetaX oppstartslasterne).

C3. Installere GRUB2 i en utvidet partisjon [sda6]Du må ha en montert partisjon [element C.2]

grub-install --force --root-directory=/mnt /dev/sda6

alternativer
* —force - installasjon av bootloader, omgå alle advarsler som nesten alltid eksisterer og blokkerer installasjonen (påkrevd flagg).
* --root-directory - setter -katalogen til roten til sda6.
* /dev/sda6 - din sdaХ-partisjon (ikke gå glipp av mellom /mnt /dev/sda6).

C4. Opprette en konfigurasjonsfil [grub.cfg]Glem kommandoen "update-grub2", og bruk kommandoen for generering av full konfigurasjonsfil

grub-mkconfig -o /mnt/boot/grub/grub.cfg

etter å ha fullført genereringen/oppdateringen av grub.cfg-filen, bør utgangsterminalen inneholde linje(r) med operativsystemet som finnes på disken ("grub-mkconfig" vil sannsynligvis finne og plukke opp operativsystemet fra en live usb, hvis du har en multiboot-flash-stasjon med Windows 10 og en haug med live-distribusjoner - dette er normalt). Hvis terminalen er "tom" og filen "grub.cfg" ikke genereres, er dette det samme tilfellet når det er GRUB-feil i systemet (og mest sannsynlig lasteren fra testgrenen til depotet), installer GRUB2 på nytt fra pålitelige kilder.
Installasjonen av "enkel konfigurasjon" og GRUB2-oppsettet er fullført.

C5. Bevistest av kryptert GNU/Linux OSVi fullfører kryptooppdraget riktig. Forlat den krypterte GNU/Linux forsiktig (avslutt chroot-miljø).

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

Etter omstart av PC-en, skal VeraCrypt-oppstartslasteren lastes.

* Hvis du skriver inn passordet for den aktive partisjonen, begynner lasting av Windows.
*Trykk på "Esc"-tasten vil overføre kontrollen til GRUB2, hvis du velger kryptert GNU/Linux - et passord (sda7_crypt) vil være nødvendig for å låse opp /boot/initrd.img (hvis grub2 skriver uuid "ikke funnet" - dette er en problem med grub2 bootloader, bør den installeres på nytt, for eksempel fra testgren/stabil etc.).

*Avhengig av hvordan du konfigurerte systemet (se avsnitt B4.4/4.5), etter å ha skrevet inn riktig passord for å låse opp /boot/initrd.img-bildet, vil du trenge et passord for å laste OS-kjernen/roten, eller hemmeligheten nøkkelen erstattes automatisk med "skey", noe som eliminerer behovet for å skrive inn passordet på nytt.

(skjermbildet "automatisk erstatning av en hemmelig nøkkel").

*Deretter vil den kjente prosessen med å laste GNU/Linux med brukerkontoautentisering følge.

*Etter brukerautorisasjon og pålogging til operativsystemet, må du oppdatere /boot/initrd.img igjen (se B4.6).

update-initramfs -u -k all

Og i tilfelle ekstra linjer i GRUB2-menyen (fra OS-m pickup med live usb) bli kvitt dem

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

En rask oppsummering av GNU/Linux-systemkryptering:

GNU/Linuxinux er fullstendig kryptert, inkludert /boot/kernel og initrd;
den hemmelige nøkkelen er pakket i initrd.img;
gjeldende autorisasjonsordning (skrive inn passordet for å låse opp initrd; passord/nøkkel for å starte opp operativsystemet; passord for å autorisere Linux-kontoen).

"Simple GRUB2 Configuration" systemkryptering av blokkpartisjonen er fullført.

C6. Avansert GRUB2-konfigurasjon. Bootloader-beskyttelse med digital signatur + autentiseringsbeskyttelseGNU/Linux er fullstendig kryptert, men bootloaderen kan ikke krypteres - denne tilstanden er diktert av BIOS. Av denne grunn er en kjedet kryptert oppstart av GRUB2 ikke mulig, men en enkel lenket oppstart er mulig/tilgjengelig, men fra et sikkerhetssynspunkt er det ikke nødvendig [se P.F].
For den "sårbare" GRUB2 implementerte utviklerne en "signatur/autentisering" beskyttelsesalgoritme for oppstartslaster.

Når oppstartslasteren er beskyttet av "sin egen digitale signatur", vil ekstern modifikasjon av filer, eller et forsøk på å laste inn flere moduler i denne oppstartsmaskinen, føre til at oppstartsprosessen blir blokkert.
Når du beskytter oppstartslasteren med autentisering, for å velge å laste en distribusjon, eller legge inn flere kommandoer i CLI, må du skrive inn påloggingen og passordet til superuser-GRUB2.

C6.1. Bootloader-autentiseringsbeskyttelseSjekk at du jobber i en terminal på et kryptert OS

ls /<Tab-Tab> #обнаружить файл-маркер

opprett et superbrukerpassord for autorisasjon i GRUB2

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя.

Få passordhashen. Noe sånt som dette

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

monter GRUB-partisjonen

mount /dev/sda6 /mnt

rediger konfigurasjonen

nano -$ /mnt/boot/grub/grub.cfg

sjekk filsøket at det ikke er noen flagg noe sted i "grub.cfg" ("-ubegrenset" "-bruker",
legge til helt til slutt (før linjen ### END /etc/grub.d/41_custom ###)
"set superusers="root"
password_pbkdf2 root hash."

Det burde være noe slikt

# Denne filen gir en enkel måte å legge til egendefinerte menyoppføringer. Bare skriv inn
# menyoppføringer du vil legge til etter denne kommentaren. Vær forsiktig så du ikke endrer deg
# 'exec tail' linjen over.
### END /etc/grub.d/40_custom ###

### BEGYNNE /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; deretter
kilde ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; deretter
kilde $prefix/custom.cfg;
fi
set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

Hvis du ofte bruker kommandoen "grub-mkconfig -o /mnt/boot/grub/grub.cfg" og ikke vil gjøre endringer i grub.cfg hver gang, skriv inn linjene ovenfor (Innloggings passord) i GRUB-brukerskriptet helt nederst

nano /etc/grub.d/41_custom

katt <<EOF
set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

Når du genererer konfigurasjonen "grub-mkconfig -o /mnt/boot/grub/grub.cfg", vil linjene som er ansvarlige for autentisering automatisk legges til grub.cfg.
Dette trinnet fullfører GRUB2-autentiseringsoppsettet.

C6.2. Bootloader-beskyttelse med digital signaturDet antas at du allerede har din personlige pgp-krypteringsnøkkel (eller lag en slik nøkkel). Systemet må ha kryptografisk programvare installert: gnuPG; kleopatra/GPA; Sjøhest. Kryptoprogramvare vil gjøre livet ditt mye enklere i alle slike saker. Seahorse - stabil versjon av pakken 3.14.0 (versjoner høyere, for eksempel V3.20, er defekte og har betydelige feil).

PGP-nøkkelen må kun genereres/lanseres/legges til i su-miljøet!

Generer personlig krypteringsnøkkel

gpg - -gen-key

Eksporter nøkkelen din

gpg --export -o ~/perskey

Monter den logiske disken i operativsystemet hvis den ikke allerede er montert

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

rengjør GRUB2-partisjonen

rm -rf /mnt/

Installer GRUB2 i sda6, legg inn din private nøkkel i GRUB-hovedbildet "core.img"

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

alternativer
* --force - installer oppstartslasteren, omgå alle advarslene som alltid eksisterer (påkrevd flagg).
* —modules="gcry_sha256 gcry_sha512 signatur_test gcry_dsa gcry_rsa" - instruerer GRUB2 å forhåndslaste de nødvendige modulene når PC-en starter.
* -k ~/perskey -bane til "PGP-nøkkelen" (etter å ha pakket nøkkelen inn i bildet, kan den slettes).
* --root-directory - sett oppstartskatalogen til roten til sda6
/dev/sda6 - din sdaX-partisjon.

Genererer/oppdaterer grub.cfg

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

Legg til linjen "trust /boot/grub/perskey" på slutten av filen "grub.cfg" (tving bruk av pgp-nøkkel.) Siden vi installerte GRUB2 med et sett med moduler, inkludert signaturmodulen "signature_test.mod", eliminerer dette behovet for å legge til kommandoer som "set check_signatures=enforce" til konfigurasjonen.

Det skal se noe slikt ut (sluttlinjer i grub.cfg-filen)

### BEGYNNE /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; deretter
kilde ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; deretter
kilde $prefix/custom.cfg;
fi
trust /boot/grub/perskey
set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

Banen til "/boot/grub/perskey" trenger ikke å pekes til en bestemt diskpartisjon, for eksempel hd0,6; for selve oppstartslasteren er "root" standardbanen til partisjonen som GRUB2 er installert på (se sett råte=..).

Signerer GRUB2 (alle filer i alle /GRUB-kataloger) med nøkkelen din "perskey".
En enkel løsning på hvordan signere (for nautilus/caja explorer): installer utvidelsen "seahorse" for Explorer fra depotet. Nøkkelen din må legges til su-miljøet.
Åpne Explorer med sudo "/mnt/boot" - RMB - tegn. På skjermen ser det slik ut

Selve nøkkelen er "/mnt/boot/grub/perskey" (kopier til grub-katalogen) må også signeres med egen signatur. Sjekk at [*.sig]-filsignaturene vises i katalogen/underkatalogene.
Ved å bruke metoden beskrevet ovenfor, skriv "/boot" (vår kjerne, initrd). Hvis tiden din er verdt noe, eliminerer denne metoden behovet for å skrive et bash-skript for å signere "mange filer."

For å fjerne alle bootloader-signaturer (hvis noe gikk galt)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

For ikke å signere bootloaderen etter oppdatering av systemet, fryser vi alle oppdateringspakker relatert til GRUB2.

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

På dette trinnet er avansert konfigurasjon av GRUB2 fullført.

C6.3. Bevistest av GRUB2 bootloader, beskyttet av digital signatur og autentiseringGRUB2. Når du velger en GNU/Linux-distribusjon eller går inn i CLI (kommandolinje) Superbrukerautorisasjon vil være nødvendig. Etter å ha skrevet inn riktig brukernavn/passord, trenger du det initrd-passordet

Skjermbilde av vellykket autentisering av GRUB2-superbrukeren.

Hvis du tukler med noen av GRUB2-filene/gjør endringer i grub.cfg, eller sletter filen/signaturen, eller laster inn en ondsinnet module.mod, vil en tilsvarende advarsel vises. GRUB2 vil sette innlastingen på pause.

Skjermbilde, et forsøk på å forstyrre GRUB2 "utenfra".

Under "normal" oppstart "uten inntrenging", er systemets utgangskodestatus "0". Derfor er det ukjent om beskyttelsen fungerer eller ikke (det vil si "med eller uten bootloader signaturbeskyttelse" under normal lasting er statusen den samme "0" - dette er dårlig).

Hvordan sjekke digital signaturbeskyttelse?

En upraktisk måte å sjekke: falsk/fjern en modul brukt av GRUB2, for eksempel, fjern signaturen luks.mod.sig og få en feilmelding.

Riktig måte: gå til oppstartslasteren CLI og skriv inn kommandoen

trust_list

Som svar bør du motta et "perskey"-fingeravtrykk; hvis statusen er "0", fungerer ikke signaturbeskyttelsen, dobbeltsjekk avsnitt C6.2.
På dette trinnet er den avanserte konfigurasjonen "Beskytte GRUB2 med digital signatur og autentisering" fullført.

C7 Alternativ metode for å beskytte GRUB2 bootloader ved hjelp av hashingMetoden "CPU Boot Loader Protection/Authentication" beskrevet ovenfor er en klassiker. På grunn av ufullkommenhetene til GRUB2, er den under paranoide forhold utsatt for et reelt angrep, som jeg vil gi nedenfor i avsnitt [F]. I tillegg, etter oppdatering av OS/kjernen, må oppstartslasteren signeres på nytt.

Beskytter GRUB2 bootloader ved hjelp av hashing

Fordeler fremfor klassikere:

Høyere grad av pålitelighet (hashing/verifisering foregår kun fra en kryptert lokal ressurs. Hele den tildelte partisjonen under GRUB2 kontrolleres for eventuelle endringer, og alt annet er kryptert; i det klassiske opplegget med CPU-lasterbeskyttelse/Autentisering er det kun filer som kontrolleres, men ikke gratis plass, der "noe" noe skummelt" kan legges til).
Kryptert logging (en menneskelig lesbar personlig kryptert logg er lagt til ordningen).
Fart (beskyttelse/verifisering av en hel partisjon tildelt for GRUB2 skjer nesten umiddelbart).
Automatisering av alle kryptografiske prosesser.

Ulemper i forhold til klassikerne.

Forfalskning av signatur (teoretisk sett er det mulig å finne en gitt hashfunksjonskollisjon).
Økt vanskelighetsgrad (i forhold til klassisk, kreves det litt flere ferdigheter i GNU/Linux OS).

Hvordan GRUB2/partisjon hashing-ideen fungerer

GRUB2-partisjonen er "signert"; når operativsystemet starter, sjekkes oppstartslasterpartisjonen for uforanderlighet, etterfulgt av pålogging i et sikkert (kryptert) miljø. Hvis oppstartslasteren eller dens partisjon er kompromittert, i tillegg til inntrengningsloggen, startes følgende:

Ting.

En lignende sjekk skjer fire ganger om dagen, som ikke laster systemressurser.
Ved å bruke "-$ check_GRUB"-kommandoen, skjer en umiddelbar sjekk når som helst uten logging, men med informasjonsutgang til CLI.
Ved å bruke kommandoen "-$ sudo signatur_GRUB", blir GRUB2 oppstartslasteren/partisjonen umiddelbart signert på nytt og dens oppdaterte logging (nødvendig etter OS/oppstartsoppdatering), og livet fortsetter.

Implementering av en hashing-metode for oppstartslasteren og dens seksjon

0) La oss signere GRUB bootloader/partisjon ved først å montere den i /media/brukernavn

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) Vi lager et skript uten utvidelse i roten til det krypterte OS ~/podpis, bruker de nødvendige 744 sikkerhetsrettighetene og idiotsikker beskyttelse på det.

Fyller innholdet

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

Kjør skriptet fra su, vil hashing av GRUB-partisjonen og dens bootloader bli sjekket, lagre loggen.

La oss lage eller kopiere for eksempel en "ondsinnet fil" [virus.mod] til GRUB2-partisjonen og kjøre en midlertidig skanning/test:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

CLI må se en invasjon av vår -citadell-#Trimmet logg inn CLI

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

#Som du kan se, vises "Filer flyttet: 1 og revisjon mislyktes", noe som betyr at kontrollen mislyktes.
På grunn av arten til partisjonen som testes, i stedet for "Nye filer funnet"> "Filer flyttet"

2) Sett gif-en her > ~/warning.gif, sett tillatelsene til 744.

3) Konfigurerer fstab til å automontere GRUB-partisjonen ved oppstart

-$ sudo nano /etc/fstab

LABEL=GRUB /media/brukernavn/GRUB ext4 standard 0 0

4) Rotere loggen

-$ sudo nano /etc/logrotate.d/podpis

/var/log/podpis.txt {
daglig
roter 50
størrelse 5M
datatekst
komprimere
forsinkelse
olddir /var/log/old
}

/var/log/vtorjenie.txt {
månedlig
roter 5
størrelse 5M
datatekst
olddir /var/log/old
}

5) Legg til en jobb i cron

-$ sudo crontab -e

omstart '/abonnement'
0 */6 * * * '/podpis

6) Opprette permanente aliaser

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

Etter OS-oppdatering -$ apt-get upgrade signer vår GRUB-partisjon på nytt
-$ подпись_GRUB
På dette tidspunktet er hashing-beskyttelsen av GRUB-partisjonen fullført.

[D] Tørking - ødeleggelse av ukrypterte data

Slett dine personlige filer så fullstendig at "ikke engang Gud kan lese dem," ifølge South Carolina-talsmann Trey Gowdy.

Som vanlig er det ulike «myter og legender", om å gjenopprette data etter at de har blitt slettet fra en harddisk. Hvis du tror på cyberwitchcraft, eller er medlem av Drs nettsamfunn og aldri har prøvd datagjenoppretting etter at den ble slettet/overskrevet (for eksempel gjenoppretting ved hjelp av R-studio), da er det usannsynlig at den foreslåtte metoden passer deg, bruk det som er nærmest deg.

Etter vellykket overføring av GNU/Linux til en kryptert partisjon, må den gamle kopien slettes uten mulighet for datagjenoppretting. Universell rengjøringsmetode: programvare for Windows/Linux gratis GUI-programvare BleachBit.
raskt formatere delen, dataene som må destrueres (via Gparted) start BleachBit, velg "Rydd opp ledig plass" - velg partisjonen (din sdaX med en tidligere kopi av GNU/Linux), vil strippeprosessen starte. BleachBit - tørker av disken i én omgang - dette er det "vi trenger", men! Dette fungerer bare i teorien hvis du formaterte disken og renset den i BB v2.0-programvare.

Oppmerksomhet! BB tørker disken og etterlater metadata; filnavn blir bevart når data elimineres (CCleaner - etterlater ikke metadata).

Og myten om muligheten for datagjenoppretting er ikke helt en myte.Bleachbit V2.0-2 tidligere ustabil OS Debian-pakke (og annen lignende programvare: sfill; wipe-Nautilus - ble også lagt merke til i denne skitne virksomheten) hadde faktisk en kritisk feil: funksjonen "rydding av ledig plass". det fungerer feil på HDD/Flash-stasjoner (ntfs/ext4). Programvare av denne typen, når du tømmer ledig plass, overskriver ikke hele disken, som mange brukere tror. Og noe (mye) slettede data OS/programvare anser disse dataene som ikke-slettede/brukerdata, og når du renser "OSP" hopper den over disse filene. Problemet er at etter så lang tid, rengjøring av disken "slettede filer" kan gjenopprettes selv etter 3+ omganger med å tørke av platen.
På GNU/Linux på Bleachbit 2.0-2 Funksjonene for permanent sletting av filer og kataloger fungerer pålitelig, men tømmer ikke ledig plass. Til sammenligning: på Windows i CCleaner fungerer "OSP for ntfs"-funksjonen som den skal, og Gud vil virkelig ikke kunne lese slettede data.

Og så, for å fjerne grundig "kompromisser" gamle ukrypterte data, Bleachbit trenger direkte tilgang til disse dataene, bruk deretter funksjonen "slett filer/kataloger permanent".
For å fjerne "slettede filer med standard OS-verktøy" i Windows, bruk CCleaner/BB med "OSP"-funksjonen. I GNU/Linux over dette problemet (slett slettede filer) du må trene på egen hånd (slette data + et uavhengig forsøk på å gjenopprette dem, og du bør ikke stole på programvareversjonen (hvis ikke et bokmerke, så en feil)), bare i dette tilfellet vil du kunne forstå mekanismen til dette problemet og bli kvitt de slettede dataene helt.

Jeg har ikke testet Bleachbit v3.0, problemet kan allerede være løst.
Bleachbit v2.0 fungerer ærlig.

På dette trinnet er disktørking fullført.

[E] Universal backup av kryptert OS

Hver bruker har sin egen metode for sikkerhetskopiering av data, men krypterte System OS-data krever en litt annen tilnærming til oppgaven. Samlet programvare, som Clonezilla og lignende programvare, kan ikke fungere direkte med krypterte data.

Uttalelse om problemet med sikkerhetskopiering av krypterte blokkenheter:

universalitet - samme sikkerhetskopieringsalgoritme/programvare for Windows/Linux;
muligheten til å jobbe i konsollen med hvilken som helst live usb GNU/Linux uten behov for ekstra programvarenedlasting (men anbefaler fortsatt GUI);
sikkerhet for sikkerhetskopier - lagrede "bilder" må være kryptert/passordbeskyttet;
størrelsen på de krypterte dataene må samsvare med størrelsen på de faktiske dataene som kopieres;
praktisk utvinning av nødvendige filer fra en sikkerhetskopi (ingen krav om å dekryptere hele delen først).

For eksempel sikkerhetskopiering/gjenoppretting via "dd"-verktøyet

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

Det tilsvarer nesten alle punkter i oppgaven, men i henhold til punkt 4 tåler det ikke kritikk, siden det kopierer hele diskpartisjonen, inkludert ledig plass - ikke interessant.

For eksempel en GNU/Linux-sikkerhetskopi via arkiveren [tar" | gpg] er praktisk, men for Windows-sikkerhetskopi må du se etter en annen løsning - det er ikke interessant.

E1. Universal Windows/Linux backup. Link rsync (Grsync)+VeraCrypt-volumAlgoritme for å lage en sikkerhetskopi:

lage en kryptert beholder (volum/fil) VeraCrypt for OS;
overføre/synkronisere operativsystemet ved å bruke Rsync-programvare til VeraCrypt-kryptobeholderen;
om nødvendig, last opp VeraCrypt-volumet til www.

Å lage en kryptert VeraCrypt-beholder har sine egne egenskaper:
skape et dynamisk volum (oppretting av DT er kun tilgjengelig i Windows, kan også brukes i GNU/Linux);
lage et vanlig volum, men det er et krav om en "paranoid karakter" (ifølge utvikleren) – containerformatering.

Et dynamisk volum opprettes nesten umiddelbart i Windows, men når du kopierer data fra GNU/Linux > VeraCrypt DT, reduseres den generelle ytelsen til sikkerhetskopieringen betydelig.

Et vanlig Twofish-volum på 70 GB opprettes (la oss bare si, gjennomsnittlig PC-kraft) til HDD ~ om en halv time (å overskrive de tidligere beholderdataene i ett pass er på grunn av sikkerhetskrav). Funksjonen for å raskt formatere et volum når du oppretter det er fjernet fra VeraCrypt Windows/Linux, så å lage en beholder er kun mulig gjennom "one-pass rewriting" eller lage et dynamisk volum med lav ytelse.

Lag et vanlig VeraCrypt-volum (ikke dynamisk/ntfs), det burde ikke være noen problemer.

Konfigurer/opprett/åpne en beholder i VeraCrypt GUI> GNU/Linux live usb (volumet blir automatisk montert til /media/veracrypt2, Windows OS-volumet vil bli montert til /media/veracrypt1). Opprette en kryptert sikkerhetskopi av Windows OS ved hjelp av GUI rsync (grsync)ved å merke av i boksene.

Vent til prosessen er fullført. Når sikkerhetskopieringen er fullført, vil vi ha én kryptert fil.

På samme måte oppretter du en sikkerhetskopi av GNU/Linux OS ved å fjerne merket for "Windows-kompatibilitet" i rsync GUI.

Oppmerksomhet! opprette en Veracrypt-beholder for "GNU/Linux backup" i filsystemet ext4. Hvis du lager en sikkerhetskopi til en ntfs-beholder, vil du miste alle rettigheter/grupper til alle dataene dine når du gjenoppretter en slik kopi.

Alle operasjoner kan utføres i terminalen. Grunnleggende alternativer for rsync:
* -g -lagre grupper;
* -P — fremdrift — status for tiden brukt på å jobbe med filen;
* -H - kopier hardlinks som de er;
* -a -arkivmodus (flere rlptgoD-flagg);
* -v -verbalisering.

Hvis du vil montere et "Windows VeraCrypt-volum" via konsollen i cryptsetup-programvaren, kan du opprette et alias (su)

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

Nå vil kommandoen "veramount pictures" be deg om å angi en passordfrase, og det krypterte Windows-systemvolumet vil bli montert i operativsystemet.

Kartlegg/monter VeraCrypt-systemvolum i cryptsetup-kommando

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

Kartlegg/monter VeraCrypt-partisjon/beholder i cryptsetup-kommando

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

I stedet for alias vil vi legge til (et skript for oppstart) et systemvolum med Windows OS og en logisk kryptert ntfs-disk til GNU/Linux-oppstart

Lag et skript og lagre det i ~/VeraOpen.sh

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

Vi distribuerer de "riktige" rettighetene:

sudo chmod 100 /VeraOpen.sh

Lag to identiske filer (samme navn!) i /etc/rc.local og ~/etc/init.d/rc.local
Fyller filene

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

Vi distribuerer de "riktige" rettighetene:

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local

Det er det, nå når vi laster GNU/Linux trenger vi ikke å angi passord for å montere krypterte ntfs-disker, diskene monteres automatisk.

En kort merknad om hva som er beskrevet ovenfor i avsnitt E1 trinn for trinn (men nå for OS GNU/Linux)
1) Lag et volum i fs ext4 > 4gb (for fil) Linux i Veracrypt [Cryptbox].
2) Start på nytt til live usb.
3) ~$ cryptsetup åpen /dev/sda7 Lunux #mapping kryptert partisjon.
4) ~$ monter /dev/mapper/Linux /mnt #monter den krypterte partisjonen til /mnt.
5) ~$ mkdir mnt2 #opprette en katalog for en fremtidig sikkerhetskopi.
6) ~$ cryptsetup open —veracrypt —type tcrypt ~/CryptoBox CryptoBox && monter /dev/mapper/CryptoBox /mnt2 #Kartlegg et Veracrypt-volum kalt "CryptoBox" og monter CryptoBox til /mnt2.
7) ~$ rsync -avlxhHX —progress /mnt /mnt2/ #sikkerhetskopiering av en kryptert partisjon til et kryptert Veracrypt-volum.

(p/s/ Oppmerksomhet! Hvis du overfører kryptert GNU/Linux fra en arkitektur/maskin til en annen, for eksempel Intel > AMD (det vil si å distribuere en sikkerhetskopi fra en kryptert partisjon til en annen kryptert Intel > AMD-partisjon), Ikke glem Etter å ha overført det krypterte operativsystemet, rediger den hemmelige erstatningsnøkkelen i stedet for passordet, kanskje. den forrige nøkkelen ~/etc/skey - vil ikke lenger passe en annen kryptert partisjon, og det er ikke tilrådelig å lage en ny nøkkel "cryptsetup luksAddKey" fra under chroot - en feil er mulig, bare i ~/etc/crypttab spesifiser i stedet for "/etc/skey" midlertidig "ingen" ", etter rebot og pålogging til OS, gjenskap din hemmelige jokertegn-nøkkel igjen).

Som IT-veteraner, husk å ta sikkerhetskopier separat av overskriftene til krypterte Windows/Linux OS-partisjoner, ellers vil krypteringen vende seg mot deg.
På dette trinnet er sikkerhetskopieringen av det krypterte operativsystemet fullført.

[F] Angrep på GRUB2 bootloader

detaljerHvis du har beskyttet bootloaderen med en digital signatur og/eller autentisering (se punkt C6.), da vil ikke dette beskytte mot fysisk tilgang. Krypterte data vil fortsatt være utilgjengelige, men beskyttelsen vil bli omgått (tilbakestill digital signaturbeskyttelse) GRUB2 lar en cyber-skurk injisere koden sin i bootloaderen uten å vekke mistanke (med mindre brukeren manuelt overvåker oppstartslastertilstanden, eller kommer opp med sin egen robuste vilkårlige skriptkode for grub.cfg).

Angrepsalgoritme. Inntrenger

* Booter opp PC fra live usb. Enhver endring (overtreder) filer vil varsle den virkelige eieren av PC-en om inntrengningen i oppstartslasteren. Men en enkel reinstallering av GRUB2 med grub.cfg (og den påfølgende muligheten til å redigere den) vil tillate en angriper å redigere alle filer (i denne situasjonen, når du laster GRUB2, vil den virkelige brukeren ikke bli varslet. Statusen er den samme )
* Monterer en ukryptert partisjon, lagrer "/mnt/boot/grub/grub.cfg".
* Installerer oppstartslasteren på nytt (fjerner "perskey" fra core.img-bildet)

grub-install --force --root-directory=/mnt /dev/sda6

* Returnerer «grub.cfg» > «/mnt/boot/grub/grub.cfg», redigerer den om nødvendig, for eksempel ved å legge til modulen «keylogger.mod» i mappen med lastermoduler, i «grub.cfg» > linje "insmod keylogger". Eller, for eksempel, hvis fienden er utspekulert, så etter å ha installert GRUB2 på nytt (alle signaturer forblir på plass) den bygger GRUB2-hovedbildet ved å bruke "grub-mkimage med alternativ (-c)." "-c"-alternativet lar deg laste inn konfigurasjonen din før du laster inn hoved-"grub.cfg". Konfigurasjonen kan bestå av bare én linje: omdirigering til hvilken som helst "modern.cfg", blandet for eksempel med ~400 filer (moduler+signaturer) i mappen "/boot/grub/i386-pc". I dette tilfellet kan en angriper sette inn vilkårlig kode og laste inn moduler uten å påvirke "/boot/grub/grub.cfg", selv om brukeren brukte "hashsum" på filen og midlertidig viste den på skjermen.
En angriper trenger ikke å hacke GRUB2-superbruker-påloggings-/passordet; han trenger bare å kopiere linjene (ansvarlig for autentisering) "/boot/grub/grub.cfg" til "modern.cfg"

set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

Og PC-eieren vil fortsatt være autentisert som GRUB2-superbruker.

Kjedelasting (bootloader laster en annen bootloader), som jeg skrev ovenfor, gir ikke mening (den er ment for et annet formål). Kryptert bootloader kan ikke lastes på grunn av BIOS (kjedeoppstart starter GRUB2 på nytt > kryptert GRUB2, feil!). Men hvis du fortsatt bruker ideen om kjedelasting, kan du være sikker på at det er den krypterte som blir lastet. (ikke modernisert) "grub.cfg" fra den krypterte partisjonen. Og dette er også en falsk følelse av sikkerhet, fordi alt som er angitt i den krypterte "grub.cfg" (modullasting) legger opp til moduler som lastes fra ukryptert GRUB2.

Hvis du vil sjekke dette, så alloker/krypter en annen partisjon sdaY, kopier GRUB2 til den (grub-installasjon på en kryptert partisjon er ikke mulig) og i "grub.cfg" (ukryptert konfigurasjon) endre linjer som disse

menuentry 'GRUBx2' --class papegøye --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
last_video
insmod gzio
if [ x$grub_plattform = xxen ]; deretter insmod xzio; insmod lzopio; fi
insmod part_msdos
insmod kryptodisk
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
normal /boot/grub/grub.cfg
}

linjer
* insmod - laster de nødvendige modulene for å jobbe med en kryptert disk;
* GRUBx2 - navnet på linjen som vises i GRUB2 oppstartsmenyen;
* kryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -se. fdisk -l (sda9);
* sette rot - sette roten;
* normal /boot/grub/grub.cfg - kjørbar konfigurasjonsfil på en kryptert partisjon.

Trygghet på at det er den krypterte "grub.cfg" som er lastet inn er et positivt svar på å skrive inn passordet/låse opp "sdaY" når du velger linjen "GRUBx2" i GRUB-menyen.

Når du jobber i CLI, for ikke å bli forvirret (og sjekk om "set root" miljøvariabelen fungerte), lag tomme token-filer, for eksempel i den krypterte delen "/shifr_grub", i den ukrypterte delen "/noshifr_grub". Sjekker inn CLI

cat /Tab-Tab

Som nevnt ovenfor vil ikke dette hjelpe mot nedlasting av ondsinnede moduler hvis slike moduler havner på din PC. For eksempel en tastelogger som vil kunne lagre tastetrykk til en fil og blande den med andre filer i «~/i386» til den lastes ned av en angriper med fysisk tilgang til PC-en.

Den enkleste måten å bekrefte at digital signaturbeskyttelse fungerer aktivt (ikke tilbakestilt), og ingen har invadert oppstartslasteren, skriv inn kommandoen i CLI

list_trusted

som svar mottar vi en kopi av vår "perskey", eller vi mottar ingenting hvis vi blir angrepet (du må også sjekke "set check_signatures=enforce").
En betydelig ulempe med dette trinnet er å legge inn kommandoer manuelt. Hvis du legger til denne kommandoen i "grub.cfg" og beskytter konfigurasjonen med en digital signatur, er den foreløpige utgangen av nøkkelbildet på skjermen for kort i timing, og du har kanskje ikke tid til å se utdataene etter å ha lastet GRUB2 .
Det er ingen spesielt å gjøre krav på: utvikleren i sin dokumentasjon klausul 18.2 erklærer offisielt

"Merk at selv med GRUB-passordbeskyttelse, kan ikke GRUB i seg selv forhindre at noen med fysisk tilgang til maskinen endrer maskinens fastvarekonfigurasjon (f.eks. Coreboot eller BIOS) for å få maskinen til å starte opp fra en annen (angriperkontrollert) enhet. GRUB er i beste fall bare ett ledd i en sikker støvelkjede."

GRUB2 er for overbelastet med funksjoner som kan gi en følelse av falsk sikkerhet, og utviklingen har allerede overgått MS-DOS når det gjelder funksjonalitet, men det er bare en bootloader. Det er morsomt at GRUB2 - "i morgen" kan bli operativsystemet, og oppstartbare GNU/Linux virtuelle maskiner for det.

En kort video om hvordan jeg tilbakestiller GRUB2 digital signaturbeskyttelse og erklærte innbruddet mitt til en ekte bruker (Jeg skremte deg, men i stedet for det som vises i videoen, kan du skrive ufarlig vilkårlig kode/.mod).

Konklusjoner:

1) Blokksystemkryptering for Windows er enklere å implementere, og beskyttelse med ett passord er mer praktisk enn beskyttelse med flere passord med GNU/Linux blokksystemkryptering, for å være rettferdig: sistnevnte er automatisert.

2) Jeg skrev artikkelen som relevant og detaljert enkel en guide til full-disk kryptering VeraCrypt/LUKS på ett hjem maskinen, som er den klart beste i RuNet (IMHO). Guiden er > 50 51 tegn lang, så den dekket ikke noen interessante kapitler: kryptografer som forsvinner/holder seg i skyggen; om det faktum at de i ulike GNU/Linux-bøker skriver lite/skriver ikke om kryptografi; om artikkel XNUMX i den russiske føderasjonens grunnlov; O lisensiering/forby kryptering i den russiske føderasjonen, om hvorfor du trenger å kryptere "root/boot". Guiden viste seg å være ganske omfattende, men detaljert. (beskriver selv enkle trinn), i sin tur vil dette spare deg for mye tid når du kommer til den "virkelige krypteringen".

3) Full diskkryptering ble utført på Windows 7 64; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.

4) Implementerte et vellykket angrep på hans GRUB2 oppstartslaster.

5) Opplæringen ble laget for å hjelpe alle de paranoide menneskene i CIS, der arbeid med kryptering er tillatt på lovnivå. Og først og fremst for de som ønsker å rulle ut fulldiskkryptering uten å rive de konfigurerte systemene sine.

6) Omarbeidet og oppdatert manualen min, som er aktuell i 2020.

[G] Nyttig dokumentasjon

TrueCrypt brukerveiledning (februar 2012 RU)
VeraCrypt-dokumentasjon
/usr/share/doc/cryptsetup(-run) [lokal ressurs] (offisiell detaljert dokumentasjon om oppsett av GNU/Linux-kryptering ved bruk av cryptsetup)
Offisiell FAQ-kryptoppsett (kort dokumentasjon om oppsett av GNU/Linux-kryptering ved bruk av cryptsetup)
LUKS enhetskryptering (archlinux dokumentasjon)
Detaljert beskrivelse av cryptsetup syntaks (arch man page)
Detaljert beskrivelse av crypttab (arch man page)
Offisiell GRUB2-dokumentasjon.

Tags: full diskkryptering, partisjonskryptering, Linux full diskkryptering, LUKS1 full systemkryptering.

Kun registrerte brukere kan delta i undersøkelsen. Logg inn, vær så snill.

Krypterer du?

17,1%Jeg krypterer alt jeg kan. Jeg er paranoid.14
34,2%Jeg krypterer bare viktige data.28
14,6%Noen ganger krypterer jeg, noen ganger glemmer jeg.12
34,2%Nei, jeg krypterer ikke, det er upraktisk og dyrt.28

82 brukere stemte. 22 brukere avsto.

Kilde: www.habr.com

Full diskkryptering av Windows Linux-installerte systemer. Kryptert multi-boot