ਪੂਰੀ-ਡਿਸਕ ਇਨਕ੍ਰਿਪਸ਼ਨ Windows Linux ਇੰਸਟਾਲ ਕੀਤੇ ਸਿਸਟਮ। ਇਨਕ੍ਰਿਪਟਡ ਮਲਟੀ-ਬੂਟ

RuNet V0.2 ਵਿੱਚ ਪੂਰੀ-ਡਿਸਕ ਇਨਕ੍ਰਿਪਸ਼ਨ ਲਈ ਆਪਣੀ ਗਾਈਡ ਨੂੰ ਅੱਪਡੇਟ ਕੀਤਾ ਗਿਆ।

ਕਾਉਬੌਏ ਰਣਨੀਤੀ:

[A] ਬਲਾਕ ਸਿਸਟਮ ਸਾਈਫਰ Windows 7 ਸਥਾਪਿਤ ਸਿਸਟਮ;
[B] GNU ਬਲਾਕ ਸਿਸਟਮ ਸਾਈਫਰ/Linux (Debian) ਇੰਸਟਾਲ ਸਿਸਟਮ (/ਬੂਟ ਸਮੇਤ);
[C] GRUB2 ਸੰਰਚਨਾ, ਡਿਜੀਟਲ ਦਸਤਖਤ/ਪ੍ਰਮਾਣਿਕਤਾ/ਹੈਸ਼ਿੰਗ ਨਾਲ ਬੂਟਲੋਡਰ ਸੁਰੱਖਿਆ;
[ਡੀ] ਸਟ੍ਰਿਪਿੰਗ—ਅਨਕ੍ਰਿਪਟਡ ਡੇਟਾ ਦਾ ਵਿਨਾਸ਼;
ਏਨਕ੍ਰਿਪਟਡ OS ਦਾ ਯੂਨੀਵਰਸਲ ਬੈਕਅੱਪ;
[F] ਹਮਲਾ <ਤੇ ਆਈਟਮ [C6]> ਟੀਚਾ - GRUB2 ਬੂਟਲੋਡਰ;
[ਜੀ] ਮਦਦਗਾਰ ਦਸਤਾਵੇਜ਼।

╭───#ਰੂਮ 40# ਦੀ ਸਕੀਮ :
├──╼ Windows 7 ਇੰਸਟਾਲ ਕੀਤਾ - ਪੂਰਾ ਸਿਸਟਮ ਇਨਕ੍ਰਿਪਸ਼ਨ, ਲੁਕਿਆ ਨਹੀਂ;
├──╼ ਜੀਐਨਯੂ/Linux ਸਥਾਪਤ (Debian ਅਤੇ ਪ੍ਰਾਪਤ ਵੰਡਾਂ) — ਪੂਰਾ ਸਿਸਟਮ ਇਨਕ੍ਰਿਪਸ਼ਨ, ਲੁਕਿਆ ਨਹੀਂ(/, /ਬੂਟ ਸਮੇਤ; ਸਵੈਪ);
├──╼ ਸੁਤੰਤਰ ਬੂਟਲੋਡਰ: VeraCrypt ਬੂਟਲੋਡਰ MBR ਵਿੱਚ ਇੰਸਟਾਲ ਹੈ, GRUB2 ਬੂਟਲੋਡਰ ਵਿਸਤ੍ਰਿਤ ਭਾਗ ਵਿੱਚ ਇੰਸਟਾਲ ਹੈ;
├──╼ਕੋਈ OS ਸਥਾਪਨਾ/ਮੁੜ-ਇੰਸਟਾਲੇਸ਼ਨ ਦੀ ਲੋੜ ਨਹੀਂ;
└──╼ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਸਾਫਟਵੇਅਰ ਵਰਤੇ ਗਏ: VeraCrypt; ਕ੍ਰਿਪਟਸੈੱਟਅੱਪ; GnuPG; ਸਮੁੰਦਰੀ ਘੋੜਾ; ਹਸ਼ਦੀਪ; GRUB2 ਮੁਫ਼ਤ/ਮੁਫ਼ਤ ਹੈ।

ਉੱਪਰ ਦੱਸੀ ਗਈ ਸਕੀਮ "ਫਲੈਸ਼ ਡਰਾਈਵ 'ਤੇ ਰਿਮੋਟ ਬੂਟ" ਦੀ ਸਮੱਸਿਆ ਨੂੰ ਅੰਸ਼ਕ ਤੌਰ 'ਤੇ ਹੱਲ ਕਰਦੀ ਹੈ ਅਤੇ ਤੁਹਾਨੂੰ ਇਨਕ੍ਰਿਪਟਡ OS ਦਾ ਆਨੰਦ ਲੈਣ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ। Windows/Linux ਅਤੇ ਇੱਕ OS ਤੋਂ ਦੂਜੇ OS ਵਿੱਚ "ਇਨਕ੍ਰਿਪਟਡ ਚੈਨਲ" ਰਾਹੀਂ ਡੇਟਾ ਦਾ ਆਦਾਨ-ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ।

ਪੀਸੀ ਬੂਟ ਆਰਡਰ (ਵਿਕਲਪਾਂ ਵਿੱਚੋਂ ਇੱਕ):

• ਮਸ਼ੀਨ ਨੂੰ ਚਾਲੂ ਕਰਨਾ;
• VeraCrypt ਬੂਟਲੋਡਰ ਲੋਡ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ (ਸਹੀ ਪਾਸਵਰਡ ਦਰਜ ਕਰਨ ਨਾਲ ਡਾਊਨਲੋਡ ਜਾਰੀ ਰਹੇਗਾ) Windows 7);
• "Esc" ਕੁੰਜੀ ਨੂੰ ਦਬਾਉਣ ਨਾਲ GRUB2 ਬੂਟਲੋਡਰ ਲੋਡ ਹੋ ਜਾਵੇਗਾ;
• GRUB2 ਬੂਟ ਲੋਡਰ (ਇੱਕ ਵੰਡ ਚੁਣਨਾ/ GNU/Linux/ਸੀ.ਐਲ.ਆਈ.), ਨੂੰ GRUB2 ਸੁਪਰਯੂਜ਼ਰ <login/password> ਦੀ ਪ੍ਰਮਾਣਿਕਤਾ ਦੀ ਲੋੜ ਹੋਵੇਗੀ;
• ਸਫਲਤਾਪੂਰਵਕ ਪ੍ਰਮਾਣਿਕਤਾ ਅਤੇ ਵੰਡ ਦੀ ਚੋਣ ਤੋਂ ਬਾਅਦ, ਤੁਹਾਨੂੰ “/boot/initrd.img” ਨੂੰ ਅਨਲੌਕ ਕਰਨ ਲਈ ਇੱਕ ਗੁਪਤਕੋਡ ਦਰਜ ਕਰਨ ਦੀ ਲੋੜ ਹੋਵੇਗੀ;
• ਗਲਤੀ-ਮੁਕਤ ਪਾਸਵਰਡ ਦੇਣ ਤੋਂ ਬਾਅਦ, GRUB2 ਨੂੰ ਇੱਕ ਪਾਸਵਰਡ ਐਂਟਰੀ "ਲੋੜੀਂਦੀ" ਹੋਵੇਗੀ (ਲਗਾਤਾਰ ਤੀਜਾ, BIOS ਪਾਸਵਰਡ ਜਾਂ GNU ਯੂਜ਼ਰ ਅਕਾਊਂਟ ਪਾਸਵਰਡ/Linux - ਵਿਚਾਰ ਨਾ ਕਰੋ) GNU/OS ਨੂੰ ਅਨਲੌਕ ਅਤੇ ਬੂਟ ਕਰਨ ਲਈLinux, ਜਾਂ ਗੁਪਤ ਕੁੰਜੀ ਦਾ ਆਟੋਮੈਟਿਕ ਬਦਲ (ਦੋ ਪਾਸਵਰਡ + ਕੁੰਜੀ, ਜਾਂ ਪਾਸਵਰਡ + ਕੁੰਜੀ);
• GRUB2 ਸੰਰਚਨਾ ਵਿੱਚ ਬਾਹਰੀ ਘੁਸਪੈਠ GNU/ ਨੂੰ ਫ੍ਰੀਜ਼ ਕਰ ਦੇਵੇਗੀ।Linux.

ਪਰੇਸ਼ਾਨੀ? ਠੀਕ ਹੈ, ਚਲੋ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਸਵੈਚਲਿਤ ਕਰੀਏ।

ਇੱਕ ਹਾਰਡ ਡਰਾਈਵ ਨੂੰ ਵੰਡਣ ਵੇਲੇ (MBR ਸਾਰਣੀ) ਇੱਕ PC ਵਿੱਚ 4 ਤੋਂ ਵੱਧ ਮੁੱਖ ਭਾਗ ਨਹੀਂ ਹੋ ਸਕਦੇ, ਜਾਂ 3 ਮੁੱਖ ਅਤੇ ਇੱਕ ਵਿਸਤ੍ਰਿਤ, ਅਤੇ ਨਾਲ ਹੀ ਇੱਕ ਅਣ-ਅਲੋਕੇਟਿਡ ਖੇਤਰ ਵੀ ਨਹੀਂ ਹੋ ਸਕਦਾ। ਇੱਕ ਵਿਸਤ੍ਰਿਤ ਭਾਗ, ਮੁੱਖ ਭਾਗ ਦੇ ਉਲਟ, ਉਪ-ਭਾਗ ਸ਼ਾਮਲ ਕਰ ਸਕਦਾ ਹੈ (ਲਾਜ਼ੀਕਲ ਡਰਾਈਵਾਂ = ਵਿਸਤ੍ਰਿਤ ਭਾਗ). ਦੂਜੇ ਸ਼ਬਦਾਂ ਵਿੱਚ, HDD ਉੱਤੇ “ਐਕਸਟੈਂਡਡ ਭਾਗ” ਹੱਥ ਵਿੱਚ ਕੰਮ ਲਈ LVM ਨੂੰ ਬਦਲਦਾ ਹੈ: ਪੂਰਾ ਸਿਸਟਮ ਇਨਕ੍ਰਿਪਸ਼ਨ। ਜੇਕਰ ਤੁਹਾਡੀ ਡਿਸਕ ਨੂੰ 4 ਮੁੱਖ ਭਾਗਾਂ ਵਿੱਚ ਵੰਡਿਆ ਗਿਆ ਹੈ, ਤਾਂ ਤੁਹਾਨੂੰ lvm, ਜਾਂ ਟ੍ਰਾਂਸਫਾਰਮ ਦੀ ਵਰਤੋਂ ਕਰਨੀ ਪਵੇਗੀ। (ਫਾਰਮੈਟਿੰਗ ਦੇ ਨਾਲ) ਮੁੱਖ ਤੋਂ ਉੱਨਤ ਤੱਕ ਭਾਗ, ਜਾਂ ਸਮਝਦਾਰੀ ਨਾਲ ਸਾਰੇ ਚਾਰ ਭਾਗਾਂ ਦੀ ਵਰਤੋਂ ਕਰੋ ਅਤੇ ਇੱਛਤ ਨਤੀਜਾ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਸਭ ਕੁਝ ਇਸ ਤਰ੍ਹਾਂ ਛੱਡੋ। ਭਾਵੇਂ ਤੁਹਾਡੀ ਡਿਸਕ 'ਤੇ ਇੱਕ ਭਾਗ ਹੈ, Gparted ਤੁਹਾਡੀ HDD ਨੂੰ ਵੰਡਣ ਵਿੱਚ ਤੁਹਾਡੀ ਮਦਦ ਕਰੇਗਾ (ਵਾਧੂ ਭਾਗਾਂ ਲਈ) ਡੇਟਾ ਦੇ ਨੁਕਸਾਨ ਤੋਂ ਬਿਨਾਂ, ਪਰ ਅਜੇ ਵੀ ਅਜਿਹੀਆਂ ਕਾਰਵਾਈਆਂ ਲਈ ਇੱਕ ਛੋਟੇ ਜੁਰਮਾਨੇ ਦੇ ਨਾਲ।

ਹਾਰਡ ਡਰਾਈਵ ਲੇਆਉਟ ਸਕੀਮ, ਜਿਸ ਦੇ ਸਬੰਧ ਵਿੱਚ ਪੂਰੇ ਲੇਖ ਨੂੰ ਜ਼ੁਬਾਨੀ ਰੂਪ ਦਿੱਤਾ ਜਾਵੇਗਾ, ਹੇਠਾਂ ਦਿੱਤੀ ਸਾਰਣੀ ਵਿੱਚ ਪੇਸ਼ ਕੀਤਾ ਗਿਆ ਹੈ।

1TB ਭਾਗਾਂ ਦੀ ਸਾਰਣੀ (ਨੰਬਰ 1)।

ਤੁਹਾਡੇ ਕੋਲ ਵੀ ਕੁਝ ਅਜਿਹਾ ਹੀ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ.
sda1 - ਮੁੱਖ ਭਾਗ ਨੰਬਰ 1 NTFS (ਏਨਕ੍ਰਿਪਟਡ);
sda2 - ਵਿਸਤ੍ਰਿਤ ਭਾਗ ਮਾਰਕਰ;
sda6 - ਲਾਜ਼ੀਕਲ ਡਿਸਕ (ਇਸ ਵਿੱਚ GRUB2 ਬੂਟਲੋਡਰ ਇੰਸਟਾਲ ਹੈ);
sda8 - ਸਵੈਪ (ਇਨਕ੍ਰਿਪਟਡ ਸਵੈਪ ਫਾਈਲ/ਹਮੇਸ਼ਾ ਨਹੀਂ);
sda9 - ਲਾਜ਼ੀਕਲ ਡਿਸਕ ਦੀ ਜਾਂਚ ਕਰੋ;
sda5 - ਉਤਸੁਕ ਲਈ ਲਾਜ਼ੀਕਲ ਡਿਸਕ;
sda7 — GNU OS/Linux (ਇੱਕ ਇਨਕ੍ਰਿਪਟਡ ਲਾਜ਼ੀਕਲ ਡਿਸਕ ਤੇ OS ਟ੍ਰਾਂਸਫਰ ਕੀਤਾ ਗਿਆ);
sda3 — OS ਦੇ ਨਾਲ ਮੁੱਖ ਭਾਗ #2 Windows 7 (ਏਨਕ੍ਰਿਪਟਡ);
sda4 - ਮੁੱਖ ਭਾਗ ਨੰ. 3 (ਇਸ ਵਿੱਚ ਅਣ-ਇਨਕ੍ਰਿਪਟਡ GNU/ ਸੀ)Linux, ਬੈਕਅੱਪ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ/ਹਮੇਸ਼ਾ ਨਹੀਂ).

[A] ਸਿਸਟਮ ਇਨਕ੍ਰਿਪਸ਼ਨ ਨੂੰ ਬਲਾਕ ਕਰੋ Windows 7

A1. VeraCrypt

ਤੋਂ ਡਾਊਨਲੋਡ ਕਰੋ ਅਧਿਕਾਰੀ ਨੇ ਸਾਈਟ, ਜਾਂ ਸ਼ੀਸ਼ੇ ਤੋਂ sourceforge VeraCrypt ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਸੌਫਟਵੇਅਰ ਦਾ ਇੰਸਟਾਲੇਸ਼ਨ ਸੰਸਕਰਣ (ਲੇਖ v1.24-Update3 ਦੇ ਪ੍ਰਕਾਸ਼ਨ ਦੇ ਸਮੇਂ, VeraCrypt ਦਾ ਪੋਰਟੇਬਲ ਸੰਸਕਰਣ ਸਿਸਟਮ ਇਨਕ੍ਰਿਪਸ਼ਨ ਲਈ ਢੁਕਵਾਂ ਨਹੀਂ ਹੈ). ਡਾਊਨਲੋਡ ਕੀਤੇ ਸੌਫਟਵੇਅਰ ਦੇ ਚੈਕਸਮ ਦੀ ਜਾਂਚ ਕਰੋ

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

ਅਤੇ ਨਤੀਜੇ ਦੀ ਤੁਲਨਾ VeraCrypt ਡਿਵੈਲਪਰ ਵੈੱਬਸਾਈਟ 'ਤੇ ਪੋਸਟ ਕੀਤੇ ਗਏ CS ਨਾਲ ਕਰੋ।

ਜੇਕਰ ਹੈਸ਼ਟੈਬ ਸੌਫਟਵੇਅਰ ਸਥਾਪਿਤ ਹੈ, ਤਾਂ ਇਹ ਹੋਰ ਵੀ ਆਸਾਨ ਹੈ: RMB (VeraCrypt ਸੈੱਟਅੱਪ 1.24.exe)- ਵਿਸ਼ੇਸ਼ਤਾ - ਫਾਈਲਾਂ ਦਾ ਹੈਸ਼ ਜੋੜ।

ਪ੍ਰੋਗਰਾਮ ਦੇ ਦਸਤਖਤ ਦੀ ਪੁਸ਼ਟੀ ਕਰਨ ਲਈ, ਸੌਫਟਵੇਅਰ ਅਤੇ ਡਿਵੈਲਪਰ ਦੀ ਜਨਤਕ pgp ਕੁੰਜੀ ਸਿਸਟਮ 'ਤੇ ਸਥਾਪਿਤ ਹੋਣੀ ਚਾਹੀਦੀ ਹੈ gnuPG; gpg4win.

A2. ਪ੍ਰਸ਼ਾਸਕ ਦੇ ਅਧਿਕਾਰਾਂ ਨਾਲ VeraCrypt ਸੌਫਟਵੇਅਰ ਨੂੰ ਸਥਾਪਿਤ / ਚਲਾਉਣਾ

A3. ਕਿਰਿਆਸ਼ੀਲ ਭਾਗ ਲਈ ਸਿਸਟਮ ਇਨਕ੍ਰਿਪਸ਼ਨ ਪੈਰਾਮੀਟਰ ਚੁਣਨਾਵੇਰਾਕ੍ਰਿਪਟ – ਸਿਸਟਮ – ਸਿਸਟਮ ਪਾਰਟੀਸ਼ਨ/ਡਰਾਈਵ ਨੂੰ ਐਨਕ੍ਰਿਪਟ ਕਰੋ – ਸਧਾਰਨ – ਸਿਸਟਮ ਪਾਰਟੀਸ਼ਨ ਨੂੰ ਐਨਕ੍ਰਿਪਟ ਕਰੋ Windows - ਮਲਟੀ-ਲੋਡਿੰਗ - (ਚੇਤਾਵਨੀ: "ਭੋਲੇ-ਭਾਲੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਇਸ ਵਿਧੀ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਸਿਫਾਰਸ਼ ਨਹੀਂ ਕੀਤੀ ਜਾਂਦੀ" ਅਤੇ ਇਹ ਸੱਚ ਹੈ, ਅਸੀਂ "ਹਾਂ" ਨਾਲ ਸਹਿਮਤ ਹਾਂ) - ਬੂਟ ਡਿਸਕ ("ਹਾਂ", ਭਾਵੇਂ ਅਜਿਹਾ ਨਾ ਹੋਵੇ, ਫਿਰ ਵੀ "ਹਾਂ") – ਸਿਸਟਮ ਡਿਸਕਾਂ ਦੀ ਗਿਣਤੀ “2 ਜਾਂ ਵੱਧ” – ਇੱਕ ਡਿਸਕ ਤੇ ਕਈ ਸਿਸਟਮ “ਹਾਂ” – ਨਹੀਂ Windows ਬੂਟਲੋਡਰ "ਨਹੀਂ" (ਅਸਲ ਵਿੱਚ, “ਹਾਂ”, ਪਰ VeraCrypt/GRUB2 ਬੂਟ ਲੋਡਰ ਆਪਸ ਵਿੱਚ MBR ਨੂੰ ਸਾਂਝਾ ਨਹੀਂ ਕਰਨਗੇ; ਵਧੇਰੇ ਸਪੱਸ਼ਟ ਤੌਰ 'ਤੇ, ਬੂਟ ਲੋਡਰ ਕੋਡ ਦਾ ਸਿਰਫ ਸਭ ਤੋਂ ਛੋਟਾ ਹਿੱਸਾ MBR/ਬੂਟ ਟਰੈਕ ਵਿੱਚ ਸਟੋਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਇਸਦਾ ਮੁੱਖ ਹਿੱਸਾ ਹੈ। ਫਾਈਲ ਸਿਸਟਮ ਦੇ ਅੰਦਰ ਸਥਿਤ) - ਮਲਟੀਬੂਟ - ਏਨਕ੍ਰਿਪਸ਼ਨ ਸੈਟਿੰਗਾਂ ...

ਜੇਕਰ ਤੁਸੀਂ ਉਪਰੋਕਤ ਕਦਮਾਂ ਤੋਂ ਭਟਕ ਜਾਂਦੇ ਹੋ (ਬਲਾਕ ਸਿਸਟਮ ਇਨਕ੍ਰਿਪਸ਼ਨ ਸਕੀਮਾਂ), ਫਿਰ VeraCrypt ਇੱਕ ਚੇਤਾਵਨੀ ਜਾਰੀ ਕਰੇਗਾ ਅਤੇ ਤੁਹਾਨੂੰ ਭਾਗ ਨੂੰ ਇਨਕ੍ਰਿਪਟ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਨਹੀਂ ਦੇਵੇਗਾ।

ਨਿਸ਼ਾਨਾ ਡੇਟਾ ਸੁਰੱਖਿਆ ਵੱਲ ਅਗਲੇ ਕਦਮ ਵਿੱਚ, ਇੱਕ "ਟੈਸਟ" ਕਰੋ ਅਤੇ ਇੱਕ ਏਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ ਚੁਣੋ। ਜੇਕਰ ਤੁਹਾਡੇ ਕੋਲ ਇੱਕ ਪੁਰਾਣਾ CPU ਹੈ, ਤਾਂ ਸਭ ਤੋਂ ਤੇਜ਼ ਏਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ ਟੂਫਿਸ਼ ਹੋਵੇਗਾ। ਜੇਕਰ CPU ਸ਼ਕਤੀਸ਼ਾਲੀ ਹੈ, ਤਾਂ ਤੁਸੀਂ ਫਰਕ ਵੇਖੋਗੇ: AES ਐਨਕ੍ਰਿਪਸ਼ਨ, ਟੈਸਟ ਦੇ ਨਤੀਜਿਆਂ ਦੇ ਅਨੁਸਾਰ, ਇਸਦੇ ਕ੍ਰਿਪਟੋ ਪ੍ਰਤੀਯੋਗੀਆਂ ਨਾਲੋਂ ਕਈ ਗੁਣਾ ਤੇਜ਼ ਹੋਵੇਗੀ। AES ਇੱਕ ਪ੍ਰਸਿੱਧ ਏਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ ਹੈ; ਆਧੁਨਿਕ CPUs ਦਾ ਹਾਰਡਵੇਅਰ ਵਿਸ਼ੇਸ਼ ਤੌਰ 'ਤੇ "ਗੁਪਤ" ਅਤੇ "ਹੈਕਿੰਗ" ਦੋਵਾਂ ਲਈ ਅਨੁਕੂਲਿਤ ਕੀਤਾ ਗਿਆ ਹੈ।

VeraCrypt ਇੱਕ AES ਕੈਸਕੇਡ ਵਿੱਚ ਡਿਸਕਾਂ ਨੂੰ ਐਨਕ੍ਰਿਪਟ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ(ਟੌਫਿਸ਼)/ਅਤੇ ਹੋਰ ਸੰਜੋਗ। ਦਸ ਸਾਲ ਪਹਿਲਾਂ ਦੇ ਇੱਕ ਪੁਰਾਣੇ ਕੋਰ Intel CPU 'ਤੇ (AES, A/T ਕੈਸਕੇਡ ਐਨਕ੍ਰਿਪਸ਼ਨ ਲਈ ਹਾਰਡਵੇਅਰ ਸਹਾਇਤਾ ਤੋਂ ਬਿਨਾਂ) ਕਾਰਗੁਜ਼ਾਰੀ ਵਿੱਚ ਕਮੀ ਜ਼ਰੂਰੀ ਤੌਰ 'ਤੇ ਅਦ੍ਰਿਸ਼ਟ ਹੈ. (ਉਸੇ ਯੁੱਗ ਦੇ AMD CPUs/~ਪੈਰਾਮੀਟਰਾਂ ਲਈ, ਪ੍ਰਦਰਸ਼ਨ ਥੋੜ੍ਹਾ ਘਟਾਇਆ ਗਿਆ ਹੈ). OS ਗਤੀਸ਼ੀਲ ਤੌਰ 'ਤੇ ਕੰਮ ਕਰਦਾ ਹੈ ਅਤੇ ਪਾਰਦਰਸ਼ੀ ਐਨਕ੍ਰਿਪਸ਼ਨ ਲਈ ਸਰੋਤ ਦੀ ਖਪਤ ਅਦਿੱਖ ਹੈ। ਇਸਦੇ ਉਲਟ, ਉਦਾਹਰਨ ਲਈ, ਸਥਾਪਤ ਅਸਥਿਰ ਟੈਸਟ ਡੈਸਕਟੌਪ ਵਾਤਾਵਰਣ ਮੇਟ v1.20.1 ਦੇ ਕਾਰਨ ਪ੍ਰਦਰਸ਼ਨ ਵਿੱਚ ਇੱਕ ਧਿਆਨ ਦੇਣ ਯੋਗ ਕਮੀ ਹੈ। (ਜਾਂ v1.20.2 ਮੈਨੂੰ ਬਿਲਕੁਲ ਯਾਦ ਨਹੀਂ ਹੈ) GNU/ ਵਿੱਚLinux, ਜਾਂ ਟੈਲੀਮੈਟਰੀ ਸਬਰੂਟੀਨ ਦੇ ਸੰਚਾਲਨ ਦੇ ਕਾਰਨ Windows7↑। ਤਜਰਬੇਕਾਰ ਉਪਭੋਗਤਾ ਆਮ ਤੌਰ 'ਤੇ ਇਨਕ੍ਰਿਪਸ਼ਨ ਤੋਂ ਪਹਿਲਾਂ ਹਾਰਡਵੇਅਰ ਪ੍ਰਦਰਸ਼ਨ ਟੈਸਟ ਕਰਦੇ ਹਨ। ਉਦਾਹਰਨ ਲਈ, Aida64/Sysbench/systemd-analyze ਵਿੱਚ, ਉਹ ਨਤੀਜਿਆਂ ਦੀ ਤੁਲਨਾ ਸਿਸਟਮ ਇਨਕ੍ਰਿਪਸ਼ਨ ਤੋਂ ਬਾਅਦ ਦੇ ਉਹੀ ਟੈਸਟਾਂ ਨਾਲ ਕਰਦੇ ਹਨ, ਇਸ ਤਰ੍ਹਾਂ ਇਸ ਮਿੱਥ ਨੂੰ ਰੱਦ ਕਰਦੇ ਹਨ ਕਿ "ਸਿਸਟਮ ਇਨਕ੍ਰਿਪਸ਼ਨ ਨੁਕਸਾਨਦੇਹ ਹੈ।" ਇਨਕ੍ਰਿਪਟਡ ਡੇਟਾ ਦਾ ਬੈਕਅੱਪ/ਰੀਸਟੋਰ ਕਰਦੇ ਸਮੇਂ ਮਸ਼ੀਨ ਦੀ ਸੁਸਤੀ ਅਤੇ ਅਸੁਵਿਧਾ ਧਿਆਨ ਦੇਣ ਯੋਗ ਹੁੰਦੀ ਹੈ, ਕਿਉਂਕਿ "ਸਿਸਟਮ ਡੇਟਾ ਬੈਕਅੱਪ" ਓਪਰੇਸ਼ਨ ਨੂੰ ਖੁਦ ਮਿਲੀਸਕਿੰਟਾਂ ਵਿੱਚ ਨਹੀਂ ਮਾਪਿਆ ਜਾਂਦਾ ਹੈ, ਅਤੇ ਉਹੀ "ਆਨ-ਦ-ਫਲਾਈ ਡੀਕ੍ਰਿਪਸ਼ਨ/ਐਨਕ੍ਰਿਪਸ਼ਨ" ਓਪਰੇਸ਼ਨ ਜੋੜੇ ਜਾਂਦੇ ਹਨ। ਅੰਤ ਵਿੱਚ, ਹਰੇਕ ਉਪਭੋਗਤਾ ਨੂੰ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫੀ ਨਾਲ ਟਿੰਕਰ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ ਜੋ ਉਹਨਾਂ ਦੀਆਂ ਜ਼ਰੂਰਤਾਂ, ਉਹਨਾਂ ਦੇ ਪੈਰਾਨੋਆ ਦੇ ਪੱਧਰ ਅਤੇ ਵਰਤੋਂ ਵਿੱਚ ਆਸਾਨੀ ਦੇ ਵਿਚਕਾਰ ਏਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ ਨੂੰ ਸੰਤੁਲਿਤ ਕਰਦੀ ਹੈ।

PIM ਪੈਰਾਮੀਟਰ ਨੂੰ ਡਿਫੌਲਟ ਦੇ ਤੌਰ 'ਤੇ ਛੱਡਣਾ ਬਿਹਤਰ ਹੈ, ਤਾਂ ਜੋ OS ਨੂੰ ਲੋਡ ਕਰਨ ਵੇਲੇ ਤੁਹਾਨੂੰ ਹਰ ਵਾਰ ਸਹੀ ਦੁਹਰਾਓ ਮੁੱਲ ਦਾਖਲ ਕਰਨ ਦੀ ਲੋੜ ਨਾ ਪਵੇ। VeraCrypt ਇੱਕ ਸੱਚਮੁੱਚ "ਹੌਲੀ ਹੈਸ਼" ਬਣਾਉਣ ਲਈ ਬਹੁਤ ਸਾਰੇ ਦੁਹਰਾਓ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ. ਬਰੂਟ ਫੋਰਸ/ਰੇਨਬੋ ਟੇਬਲ ਵਿਧੀ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਅਜਿਹੇ "ਕ੍ਰਿਪਟੋ ਸਨੇਲ" 'ਤੇ ਹਮਲਾ ਸਿਰਫ ਇੱਕ ਛੋਟੇ "ਸਧਾਰਨ" ਪਾਸਫ੍ਰੇਜ਼ ਅਤੇ ਪੀੜਤ ਦੀ ਨਿੱਜੀ ਅੱਖਰ-ਸੂਚੀ ਨਾਲ ਹੀ ਅਰਥ ਰੱਖਦਾ ਹੈ। ਪਾਸਵਰਡ ਦੀ ਤਾਕਤ ਲਈ ਭੁਗਤਾਨ ਕਰਨ ਦੀ ਕੀਮਤ OS ਨੂੰ ਲੋਡ ਕਰਨ ਵੇਲੇ ਸਹੀ ਪਾਸਵਰਡ ਦਾਖਲ ਕਰਨ ਵਿੱਚ ਦੇਰੀ ਹੈ। (GNU/ ਵਿੱਚ VeraCrypt ਵਾਲੀਅਮ ਨੂੰ ਮਾਊਂਟ ਕਰਨਾ)Linux - ਕਾਫ਼ੀ ਤੇਜ਼)।
ਵਹਿਸ਼ੀ ਬਲ ਦੇ ਹਮਲਿਆਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਮੁਫਤ ਸੌਫਟਵੇਅਰ (VeraCrypt/LUKS ਡਿਸਕ ਹੈਡਰ ਤੋਂ ਪਾਸਫਰੇਜ ਐਕਸਟਰੈਕਟ ਕਰੋ) ਹੈਸਕੈਟ. ਜੌਨ ਦ ਰਿਪਰ ਨਹੀਂ ਜਾਣਦਾ ਕਿ "ਵੇਰਾਕ੍ਰਿਪਟ ਨੂੰ ਕਿਵੇਂ ਤੋੜਨਾ ਹੈ", ਅਤੇ LUKS ਨਾਲ ਕੰਮ ਕਰਦੇ ਸਮੇਂ ਟੂਫਿਸ਼ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫੀ ਨੂੰ ਨਹੀਂ ਸਮਝਦਾ.

ਏਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ ਦੀ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਤਾਕਤ ਦੇ ਕਾਰਨ, ਨਾ ਰੁਕਣ ਵਾਲੇ ਸਾਈਫਰਪੰਕਸ ਇੱਕ ਵੱਖਰੇ ਅਟੈਕ ਵੈਕਟਰ ਨਾਲ ਸੌਫਟਵੇਅਰ ਵਿਕਸਿਤ ਕਰ ਰਹੇ ਹਨ। ਉਦਾਹਰਨ ਲਈ, RAM ਤੋਂ ਮੈਟਾਡੇਟਾ/ਕੁੰਜੀਆਂ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਨਾ (ਕੋਲਡ ਬੂਟ/ਡਾਇਰੈਕਟ ਮੈਮੋਰੀ ਐਕਸੈਸ ਅਟੈਕ), ਇਹਨਾਂ ਉਦੇਸ਼ਾਂ ਲਈ ਵਿਸ਼ੇਸ਼ ਮੁਫਤ ਅਤੇ ਗੈਰ-ਮੁਕਤ ਸਾਫਟਵੇਅਰ ਹਨ।

ਇੱਕ ਵਾਰ ਜਦੋਂ VeraCrypt ਇਨਕ੍ਰਿਪਟਡ ਐਕਟਿਵ ਪਾਰਟੀਸ਼ਨ ਲਈ "ਵਿਲੱਖਣ ਮੈਟਾਡੇਟਾ" ਨੂੰ ਕੌਂਫਿਗਰ/ਜਨਰੇਟ ਕਰਨਾ ਪੂਰਾ ਕਰ ਲੈਂਦਾ ਹੈ, ਤਾਂ ਇਹ ਤੁਹਾਨੂੰ ਆਪਣੇ PC ਨੂੰ ਰੀਬੂਟ ਕਰਨ ਅਤੇ ਇਸਦੇ ਬੂਟਲੋਡਰ ਦੀ ਕਾਰਜਸ਼ੀਲਤਾ ਦੀ ਜਾਂਚ ਕਰਨ ਲਈ ਕਹੇਗਾ। ਰੀਬੂਟ/ਸ਼ੁਰੂ ਕਰਨ ਤੋਂ ਬਾਅਦ Windows, VeraCrypt ਸਟੈਂਡਬਾਏ ਮੋਡ ਵਿੱਚ ਲੋਡ ਹੋਵੇਗਾ, ਸਿਰਫ਼ ਏਨਕ੍ਰਿਪਸ਼ਨ ਪ੍ਰਕਿਰਿਆ ਦੀ ਪੁਸ਼ਟੀ ਕਰਨਾ ਬਾਕੀ ਹੈ - Y।

ਸਿਸਟਮ ਇਨਕ੍ਰਿਪਸ਼ਨ ਦੇ ਅੰਤਮ ਪੜਾਅ 'ਤੇ, VeraCrypt "veracrypt Rescue disk.iso" ਦੇ ਰੂਪ ਵਿੱਚ ਕਿਰਿਆਸ਼ੀਲ ਐਨਕ੍ਰਿਪਟਡ ਭਾਗ ਦੇ ਸਿਰਲੇਖ ਦੀ ਇੱਕ ਬੈਕਅੱਪ ਕਾਪੀ ਬਣਾਉਣ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰੇਗਾ - ਇਹ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ - ਇਸ ਸੌਫਟਵੇਅਰ ਵਿੱਚ ਅਜਿਹੀ ਕਾਰਵਾਈ ਦੀ ਲੋੜ ਹੈ (LUKS ਵਿੱਚ, ਇੱਕ ਲੋੜ ਵਜੋਂ - ਇਹ ਬਦਕਿਸਮਤੀ ਨਾਲ ਛੱਡ ਦਿੱਤਾ ਗਿਆ ਹੈ, ਪਰ ਦਸਤਾਵੇਜ਼ ਵਿੱਚ ਜ਼ੋਰ ਦਿੱਤਾ ਗਿਆ ਹੈ). ਬਚਾਅ ਡਿਸਕ ਹਰ ਕਿਸੇ ਲਈ ਕੰਮ ਆਵੇਗੀ, ਅਤੇ ਕੁਝ ਇੱਕ ਤੋਂ ਵੱਧ ਵਾਰ ਲਈ। ਨੁਕਸਾਨ (ਸਿਰਲੇਖ/MBR ਮੁੜ ਲਿਖਣਾ) ਹੈਡਰ ਦੀ ਬੈਕਅੱਪ ਕਾਪੀ OS ਨਾਲ ਡੀਕ੍ਰਿਪਟ ਕੀਤੇ ਭਾਗ ਤੱਕ ਸਥਾਈ ਤੌਰ 'ਤੇ ਪਹੁੰਚ ਤੋਂ ਇਨਕਾਰ ਕਰ ਦੇਵੇਗੀ। Windows.

A4. ਇੱਕ VeraCrypt ਬਚਾਅ USB/ਡਿਸਕ ਬਣਾਉਣਾਡਿਫਾਲਟ ਤੌਰ 'ਤੇ, VeraCrypt ਇੱਕ CD ਵਿੱਚ "~2-3MB ਮੈਟਾਡੇਟਾ" ਲਿਖਣ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰਦਾ ਹੈ, ਪਰ ਹਰ ਕਿਸੇ ਕੋਲ CD ਜਾਂ DVD-ROM ਡਰਾਈਵ ਨਹੀਂ ਹੁੰਦੀ, ਅਤੇ ਇੱਕ ਬੂਟ ਹੋਣ ਯੋਗ "VeraCrypt Rescue Disk" ਫਲੈਸ਼ ਡਰਾਈਵ ਬਣਾਉਣਾ ਕੁਝ ਲੋਕਾਂ ਲਈ ਇੱਕ ਤਕਨੀਕੀ ਹੈਰਾਨੀ ਵਾਲੀ ਗੱਲ ਹੋਵੇਗੀ: Rufus/GUIdd-ROSA ImageWriter ਅਤੇ ਹੋਰ ਸਮਾਨ ਸੌਫਟਵੇਅਰ ਇਸ ਕੰਮ ਨੂੰ ਸੰਭਾਲਣ ਦੇ ਯੋਗ ਨਹੀਂ ਹੋਣਗੇ, ਕਿਉਂਕਿ ਬੂਟ ਹੋਣ ਯੋਗ ਫਲੈਸ਼ ਡਰਾਈਵ ਵਿੱਚ ਸ਼ਿਫਟ ਕੀਤੇ ਮੈਟਾਡੇਟਾ ਦੀ ਨਕਲ ਕਰਨ ਤੋਂ ਇਲਾਵਾ, ਤੁਹਾਨੂੰ USB ਡਰਾਈਵ ਦੇ ਫਾਈਲ ਸਿਸਟਮ ਦੇ ਬਾਹਰ ਚਿੱਤਰ ਨੂੰ ਕਾਪੀ/ਪੇਸਟ ਕਰਨ ਦੀ ਲੋੜ ਹੈ - ਸੰਖੇਪ ਵਿੱਚ, ਤੁਹਾਨੂੰ MBR/ਪਾਥ ਨੂੰ ਫਲੈਸ਼ ਡਰਾਈਵ ਵਿੱਚ ਸਹੀ ਢੰਗ ਨਾਲ ਕਾਪੀ ਕਰਨ ਦੀ ਲੋੜ ਹੈ। GNU/Linux OS ਦੇ ਅਧੀਨLinux ਤੁਸੀਂ ਇਸ ਟੇਬਲ ਨੂੰ ਵੇਖਦੇ ਹੋਏ, "dd" ਸਹੂਲਤ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਇੱਕ ਬੂਟ ਹੋਣ ਯੋਗ ਫਲੈਸ਼ ਡਰਾਈਵ ਬਣਾ ਸਕਦੇ ਹੋ।

ਵਾਤਾਵਰਣ ਵਿੱਚ ਇੱਕ ਬਚਾਅ ਡਿਸਕ ਬਣਾਉਣਾ Windows — ਨਹੀਂ ਤਾਂ। VeraCrypt ਦੇ ਡਿਵੈਲਪਰ ਨੇ ਇਸ ਸਮੱਸਿਆ ਦਾ ਹੱਲ ਅਧਿਕਾਰਤ ਵਿੱਚ ਸ਼ਾਮਲ ਨਹੀਂ ਕੀਤਾ। ਦਸਤਾਵੇਜ਼ "ਬਚਾਅ ਡਿਸਕ" 'ਤੇ, ਪਰ ਇੱਕ ਵੱਖਰੇ ਤਰੀਕੇ ਨਾਲ ਇੱਕ ਹੱਲ ਪੇਸ਼ ਕੀਤਾ: ਉਸਨੇ ਆਪਣੇ VeraCrypt ਫੋਰਮ 'ਤੇ "USB ਬਚਾਅ ਡਿਸਕ" ਬਣਾਉਣ ਲਈ ਵਾਧੂ ਸੌਫਟਵੇਅਰ ਮੁਫ਼ਤ ਵਿੱਚ ਉਪਲਬਧ ਕਰਵਾਇਆ। ਇਸ ਸੌਫਟਵੇਅਰ ਦਾ ਆਰਕਾਈਵਿਸਟ Windows – “USB Veracrypt Rescue Disk ਬਣਾਓ।” rescue disk.iso ਨੂੰ ਸੇਵ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਐਕਟਿਵ ਪਾਰਟੀਸ਼ਨ ਦੇ ਸਿਸਟਮ ਇਨਕ੍ਰਿਪਸ਼ਨ ਨੂੰ ਬਲਾਕ ਕਰਨ ਦੀ ਪ੍ਰਕਿਰਿਆ ਸ਼ੁਰੂ ਹੋ ਜਾਵੇਗੀ। ਇਨਕ੍ਰਿਪਸ਼ਨ ਦੌਰਾਨ OS ਕੰਮ ਕਰਨਾ ਬੰਦ ਨਹੀਂ ਕਰਦਾ, ਅਤੇ PC ਰੀਬੂਟ ਕਰਨ ਦੀ ਲੋੜ ਨਹੀਂ ਹੁੰਦੀ। ਇੱਕ ਵਾਰ ਇਨਕ੍ਰਿਪਸ਼ਨ ਪ੍ਰਕਿਰਿਆ ਪੂਰੀ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਐਕਟਿਵ ਪਾਰਟੀਸ਼ਨ ਪੂਰੀ ਤਰ੍ਹਾਂ ਐਨਕ੍ਰਿਪਟਡ ਅਤੇ ਵਰਤੋਂ ਲਈ ਤਿਆਰ ਹੋ ਜਾਂਦਾ ਹੈ। ਜੇਕਰ ਤੁਹਾਡੇ PC ਚਾਲੂ ਕਰਨ 'ਤੇ VeraCrypt ਬੂਟਲੋਡਰ ਦਿਖਾਈ ਨਹੀਂ ਦਿੰਦਾ ਹੈ, ਅਤੇ ਹੈਡਰ ਰਿਕਵਰੀ ਓਪਰੇਸ਼ਨ ਮਦਦ ਨਹੀਂ ਕਰਦਾ ਹੈ, ਤਾਂ "ਬੂਟ" ਫਲੈਗ ਦੀ ਜਾਂਚ ਕਰੋ; ਇਸਨੂੰ ਫਾਈਲ ਵਾਲੇ ਪਾਰਟੀਸ਼ਨ 'ਤੇ ਸੈੱਟ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ। Windows (ਏਨਕ੍ਰਿਪਸ਼ਨ ਅਤੇ ਹੋਰ OS ਦੀ ਪਰਵਾਹ ਕੀਤੇ ਬਿਨਾਂ, ਸਾਰਣੀ ਨੰ. 1 ਦੇਖੋ)।
ਇਹ OS ਨਾਲ ਬਲਾਕ ਸਿਸਟਮ ਇਨਕ੍ਰਿਪਸ਼ਨ ਦਾ ਵੇਰਵਾ ਹੈ। Windows ਖਤਮ।

[B] LUKS. GNU ਇਨਕ੍ਰਿਪਸ਼ਨ/Linux (~Debian) ਇੰਸਟਾਲ OS. ਐਲਗੋਰਿਦਮ ਅਤੇ ਕਦਮ

ਇੰਸਟਾਲ ਕੀਤੇ ਨੂੰ ਏਨਕ੍ਰਿਪਟ ਕਰਨ ਲਈ Debian/ਡੈਰੀਵੇਟਿਵ ਡਿਸਟ੍ਰੀਬਿਊਸ਼ਨ, ਲਈ ਇੱਕ ਤਿਆਰ ਕੀਤੇ ਭਾਗ ਨੂੰ ਇੱਕ ਵਰਚੁਅਲ ਬਲਾਕ ਡਿਵਾਈਸ ਨਾਲ ਮੈਪ ਕਰਨ ਅਤੇ ਇਸਨੂੰ ਮੈਪ ਕੀਤੇ GNU ਡਿਸਕ ਤੇ ਟ੍ਰਾਂਸਫਰ ਕਰਨ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ/Linux, ਅਤੇ GRUB2 ਨੂੰ ਸਥਾਪਿਤ/ਸੰਰਚਿਤ ਕਰੋ। ਜੇਕਰ ਤੁਹਾਡੇ ਕੋਲ ਬੇਅਰਬੋਨਸ ਸਰਵਰ ਨਹੀਂ ਹੈ ਅਤੇ ਤੁਸੀਂ ਆਪਣੇ ਸਮੇਂ ਦੀ ਕਦਰ ਕਰਦੇ ਹੋ, ਤਾਂ ਤੁਹਾਨੂੰ GUI ਦੀ ਵਰਤੋਂ ਕਰਨੀ ਚਾਹੀਦੀ ਹੈ, ਅਤੇ ਹੇਠਾਂ ਦੱਸੇ ਗਏ ਜ਼ਿਆਦਾਤਰ ਟਰਮੀਨਲ ਕਮਾਂਡਾਂ "ਚੱਕ ਨੌਰਿਸ ਮੋਡ" ਵਿੱਚ ਦਾਖਲ ਹੋਣ ਲਈ ਹਨ।

B1. ਲਾਈਵ USB GNU/ ਤੋਂ PC ਬੂਟ ਕਰਨਾLinux

"ਹਾਰਡਵੇਅਰ ਪ੍ਰਦਰਸ਼ਨ ਲਈ ਇੱਕ ਕ੍ਰਿਪਟੋ ਟੈਸਟ ਕਰੋ"

lscpu && сryptsetup benchmark

ਜੇਕਰ ਤੁਸੀਂ AES ਹਾਰਡਵੇਅਰ ਸਮਰਥਨ ਵਾਲੀ ਇੱਕ ਸ਼ਕਤੀਸ਼ਾਲੀ ਕਾਰ ਦੇ ਖੁਸ਼ ਮਾਲਕ ਹੋ, ਤਾਂ ਨੰਬਰ ਟਰਮੀਨਲ ਦੇ ਸੱਜੇ ਪਾਸੇ ਵਰਗੇ ਦਿਖਾਈ ਦੇਣਗੇ; ਜੇਕਰ ਤੁਸੀਂ ਇੱਕ ਖੁਸ਼ ਮਾਲਕ ਹੋ, ਪਰ ਐਂਟੀਕ ਹਾਰਡਵੇਅਰ ਦੇ ਨਾਲ, ਨੰਬਰ ਖੱਬੇ ਪਾਸੇ ਵਰਗੇ ਦਿਖਾਈ ਦੇਣਗੇ।

B2. ਡਿਸਕ ਵਿਭਾਗੀਕਰਨ. ਮਾਊਂਟਿੰਗ/ਫਾਰਮੈਟਿੰਗ fs ਲਾਜ਼ੀਕਲ ਡਿਸਕ HDD ਤੋਂ Ext4 (Gparted)

ਬੀ 2.1. ਇੱਕ ਇਨਕ੍ਰਿਪਟਡ sda7 ਭਾਗ ਸਿਰਲੇਖ ਬਣਾਉਣਾਮੈਂ ਭਾਗਾਂ ਦੇ ਨਾਵਾਂ ਦਾ ਵਰਣਨ ਕਰਾਂਗਾ, ਇੱਥੇ ਅਤੇ ਅੱਗੇ, ਉੱਪਰ ਪੋਸਟ ਕੀਤੀ ਮੇਰੀ ਭਾਗ ਸਾਰਣੀ ਦੇ ਅਨੁਸਾਰ। ਤੁਹਾਡੇ ਡਿਸਕ ਲੇਆਉਟ ਦੇ ਅਨੁਸਾਰ, ਤੁਹਾਨੂੰ ਆਪਣੇ ਭਾਗ ਦੇ ਨਾਂ ਬਦਲਣੇ ਚਾਹੀਦੇ ਹਨ।

ਲਾਜ਼ੀਕਲ ਡਰਾਈਵ ਐਨਕ੍ਰਿਪਸ਼ਨ ਮੈਪਿੰਗ (/dev/sda7 > /dev/mapper/sda7_crypt)।
# "LUKS-AES-XTS ਭਾਗ" ਦੀ ਆਸਾਨ ਰਚਨਾ

cryptsetup -v -y luksFormat /dev/sda7

ਵਿਕਲਪ:

* luksFormat - LUKS ਸਿਰਲੇਖ ਦੀ ਸ਼ੁਰੂਆਤ;
* -y -ਪਾਸਫਰੇਜ (ਕੁੰਜੀ/ਫਾਇਲ ਨਹੀਂ);
* -v -ਵਰਬਲਾਈਜ਼ੇਸ਼ਨ (ਟਰਮੀਨਲ ਵਿੱਚ ਜਾਣਕਾਰੀ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਨਾ);
* /dev/sda7 - ਵਿਸਤ੍ਰਿਤ ਭਾਗ ਤੋਂ ਤੁਹਾਡੀ ਲਾਜ਼ੀਕਲ ਡਿਸਕ (ਜਿੱਥੇ GNU ਨੂੰ ਟ੍ਰਾਂਸਫਰ/ਇਨਕ੍ਰਿਪਟ ਕਰਨ ਦੀ ਯੋਜਨਾ ਹੈ/Linux).

ਡਿਫੌਲਟ ਐਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ <LUKS1: aes-xts-plain64, ਕੁੰਜੀ: 256 ਬਿੱਟ, LUKS ਸਿਰਲੇਖ ਹੈਸ਼ਿੰਗ: sha256, RNG: /dev/urandom> (ਕ੍ਰਿਪਟਸੈੱਟਅੱਪ ਸੰਸਕਰਣ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ)।

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

ਜੇਕਰ CPU ਉੱਤੇ AES ਲਈ ਕੋਈ ਹਾਰਡਵੇਅਰ ਸਹਿਯੋਗ ਨਹੀਂ ਹੈ, ਤਾਂ ਸਭ ਤੋਂ ਵਧੀਆ ਵਿਕਲਪ ਇੱਕ ਵਿਸਤ੍ਰਿਤ “LUKS-Twofish-XTS-partition” ਬਣਾਉਣਾ ਹੋਵੇਗਾ।

ਬੀ 2.2. "LUKS-Twofish-XTS-ਪਾਰਟੀਸ਼ਨ" ਦੀ ਉੱਨਤ ਰਚਨਾ

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

ਵਿਕਲਪ:
* luksFormat - LUKS ਸਿਰਲੇਖ ਦੀ ਸ਼ੁਰੂਆਤ;
* /dev/sda7 ਤੁਹਾਡੀ ਭਵਿੱਖ ਦੀ ਇਨਕ੍ਰਿਪਟਡ ਲਾਜ਼ੀਕਲ ਡਿਸਕ ਹੈ;
* -v ਜ਼ੁਬਾਨੀਕਰਣ;
* -y ਗੁਪਤਕੋਡ;
* -c ਡਾਟਾ ਇਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ ਦੀ ਚੋਣ ਕਰੋ;
* -s ਇਨਕ੍ਰਿਪਸ਼ਨ ਕੁੰਜੀ ਦਾ ਆਕਾਰ;
* -h ਹੈਸ਼ਿੰਗ ਐਲਗੋਰਿਦਮ/ਕ੍ਰਿਪਟੋ ਫੰਕਸ਼ਨ, RNG ਵਰਤਿਆ ਗਿਆ (--ਵਰਤੋਂ-ਯੂਰੈਂਡਮ) ਲਾਜ਼ੀਕਲ ਡਿਸਕ ਹੈਡਰ ਲਈ ਇੱਕ ਵਿਲੱਖਣ ਇਨਕ੍ਰਿਪਸ਼ਨ/ਡਿਕ੍ਰਿਪਸ਼ਨ ਕੁੰਜੀ ਬਣਾਉਣ ਲਈ, ਇੱਕ ਸੈਕੰਡਰੀ ਹੈਡਰ ਕੁੰਜੀ (XTS); ਏਨਕ੍ਰਿਪਟਡ ਡਿਸਕ ਹੈਡਰ ਵਿੱਚ ਸਟੋਰ ਕੀਤੀ ਇੱਕ ਵਿਲੱਖਣ ਮਾਸਟਰ ਕੁੰਜੀ, ਇੱਕ ਸੈਕੰਡਰੀ XTS ਕੁੰਜੀ, ਇਹ ਸਾਰਾ ਮੈਟਾਡੇਟਾ ਅਤੇ ਇੱਕ ਐਨਕ੍ਰਿਪਸ਼ਨ ਰੁਟੀਨ ਜੋ ਕਿ, ਮਾਸਟਰ ਕੁੰਜੀ ਅਤੇ ਸੈਕੰਡਰੀ XTS ਕੁੰਜੀ ਦੀ ਵਰਤੋਂ ਕਰਕੇ, ਭਾਗ ਉੱਤੇ ਕਿਸੇ ਵੀ ਡੇਟਾ ਨੂੰ ਐਨਕ੍ਰਿਪਟ/ਡਿਕ੍ਰਿਪਟ ਕਰਦਾ ਹੈ। (ਸੈਕਸ਼ਨ ਸਿਰਲੇਖ ਨੂੰ ਛੱਡ ਕੇ) ਚੁਣੇ ਹੋਏ ਹਾਰਡ ਡਿਸਕ ਭਾਗ 'ਤੇ ~3MB ਵਿੱਚ ਸਟੋਰ ਕੀਤਾ ਗਿਆ।
* -i "ਰਾਤ" ਦੀ ਬਜਾਏ ਮਿਲੀਸਕਿੰਟ ਵਿੱਚ ਦੁਹਰਾਓ (ਪਾਸਫਰੇਜ਼ ਨੂੰ ਪ੍ਰੋਸੈਸ ਕਰਨ ਵੇਲੇ ਸਮੇਂ ਦੀ ਦੇਰੀ OS ਦੀ ਲੋਡਿੰਗ ਅਤੇ ਕੁੰਜੀਆਂ ਦੀ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਤਾਕਤ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਦੀ ਹੈ)। ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਤਾਕਤ ਦਾ ਸੰਤੁਲਨ ਬਣਾਈ ਰੱਖਣ ਲਈ, "ਰੂਸੀ" ਵਰਗੇ ਸਧਾਰਨ ਪਾਸਵਰਡ ਨਾਲ ਤੁਹਾਨੂੰ -(i) ਮੁੱਲ ਵਧਾਉਣ ਦੀ ਲੋੜ ਹੈ; "?8dƱob/øfh" ਵਰਗੇ ਗੁੰਝਲਦਾਰ ਪਾਸਵਰਡ ਨਾਲ ਮੁੱਲ ਨੂੰ ਘਟਾਇਆ ਜਾ ਸਕਦਾ ਹੈ।
* -ਯੂਰੈਂਡਮ ਬੇਤਰਤੀਬ ਨੰਬਰ ਜਨਰੇਟਰ ਦੀ ਵਰਤੋਂ ਕਰੋ, ਕੁੰਜੀਆਂ ਅਤੇ ਨਮਕ ਤਿਆਰ ਕਰੋ।

ਸੈਕਸ਼ਨ sda7 > sda7_crypt ਨੂੰ ਮੈਪ ਕਰਨ ਤੋਂ ਬਾਅਦ (ਓਪਰੇਸ਼ਨ ਤੇਜ਼ ਹੈ, ਕਿਉਂਕਿ ਇੱਕ ਐਨਕ੍ਰਿਪਟਡ ਸਿਰਲੇਖ ~ 3 MB ਮੈਟਾਡੇਟਾ ਨਾਲ ਬਣਾਇਆ ਗਿਆ ਹੈ ਅਤੇ ਇਹ ਸਭ ਕੁਝ ਹੈ), ਤੁਹਾਨੂੰ sda7_crypt ਫਾਈਲ ਸਿਸਟਮ ਨੂੰ ਫਾਰਮੈਟ ਅਤੇ ਮਾਊਂਟ ਕਰਨ ਦੀ ਲੋੜ ਹੈ।

B2.3. ਤੁਲਨਾ

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

ਵਿਕਲਪ:
* ਖੋਲ੍ਹੋ - "ਨਾਮ ਦੇ ਨਾਲ" ਭਾਗ ਨਾਲ ਮੇਲ ਕਰੋ;
* /dev/sda7 -ਲਾਜ਼ੀਕਲ ਡਿਸਕ;
* sda7_crypt - ਨਾਮ ਮੈਪਿੰਗ ਜੋ ਕਿ ਏਨਕ੍ਰਿਪਟ ਕੀਤੇ ਭਾਗ ਨੂੰ ਮਾਊਂਟ ਕਰਨ ਜਾਂ OS ਦੇ ਬੂਟ ਹੋਣ 'ਤੇ ਇਸ ਨੂੰ ਸ਼ੁਰੂ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ।

B2.4. sda7_crypt ਫਾਈਲ ਸਿਸਟਮ ਨੂੰ ext4 ਵਿੱਚ ਫਾਰਮੈਟ ਕਰਨਾ। OS ਵਿੱਚ ਇੱਕ ਡਿਸਕ ਨੂੰ ਮਾਊਂਟ ਕਰਨਾ(ਨੋਟ: ਤੁਸੀਂ Gparted ਵਿੱਚ ਇੱਕ ਐਨਕ੍ਰਿਪਟਡ ਭਾਗ ਨਾਲ ਕੰਮ ਕਰਨ ਦੇ ਯੋਗ ਨਹੀਂ ਹੋਵੋਗੇ)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt 

ਵਿਕਲਪ:
* -v -ਵਰਬਲਾਈਜ਼ੇਸ਼ਨ;
* -L - ਡਰਾਈਵ ਲੇਬਲ (ਜੋ ਕਿ ਹੋਰ ਡਰਾਈਵਾਂ ਵਿੱਚ ਐਕਸਪਲੋਰਰ ਵਿੱਚ ਪ੍ਰਦਰਸ਼ਿਤ ਹੁੰਦਾ ਹੈ)।

ਅੱਗੇ, ਤੁਹਾਨੂੰ ਸਿਸਟਮ ਉੱਤੇ ਵਰਚੁਅਲ-ਇਨਕ੍ਰਿਪਟਡ ਬਲਾਕ ਜੰਤਰ /dev/sda7_crypt ਨੂੰ ਮਾਊਂਟ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ।

mount /dev/mapper/sda7_crypt /mnt

/mnt ਫੋਲਡਰ ਵਿੱਚ ਫਾਈਲਾਂ ਨਾਲ ਕੰਮ ਕਰਨਾ sda7 ਵਿੱਚ ਡੇਟਾ ਨੂੰ ਆਪਣੇ ਆਪ ਐਨਕ੍ਰਿਪਟ/ਡਿਕ੍ਰਿਪਟ ਕਰੇਗਾ।

ਐਕਸਪਲੋਰਰ ਵਿੱਚ ਭਾਗ ਨੂੰ ਮੈਪ ਅਤੇ ਮਾਊਂਟ ਕਰਨਾ ਵਧੇਰੇ ਸੁਵਿਧਾਜਨਕ ਹੈ (ਨਟੀਲਸ/ਕਾਜਾ ਜੀਯੂਆਈ), ਭਾਗ ਪਹਿਲਾਂ ਹੀ ਡਿਸਕ ਚੋਣ ਸੂਚੀ ਵਿੱਚ ਹੋਵੇਗਾ, ਡਿਸਕ ਨੂੰ ਖੋਲ੍ਹਣ/ਡਿਕ੍ਰਿਪਟ ਕਰਨ ਲਈ ਸਿਰਫ਼ ਗੁਪਤ-ਕੋਡ ਦਾਖਲ ਕਰਨਾ ਬਾਕੀ ਹੈ। ਮੇਲ ਖਾਂਦਾ ਨਾਮ ਆਪਣੇ ਆਪ ਚੁਣਿਆ ਜਾਵੇਗਾ ਅਤੇ "sda7_crypt" ਨਹੀਂ, ਪਰ /dev/mapper/Luks-xx-xx...

B2.5. ਡਿਸਕ ਹੈਡਰ ਬੈਕਅੱਪ (~3MB ਮੈਟਾਡੇਟਾ)ਸਭ ਤੋਂ ਵੱਧ ਮਹੱਤਵਪੂਰਨ ਓਪਰੇਸ਼ਨ ਜੋ ਬਿਨਾਂ ਦੇਰੀ ਕੀਤੇ ਕੀਤੇ ਜਾਣ ਦੀ ਲੋੜ ਹੈ - “sda7_crypt” ਸਿਰਲੇਖ ਦੀ ਬੈਕਅੱਪ ਕਾਪੀ। ਜੇਕਰ ਤੁਸੀਂ ਸਿਰਲੇਖ ਨੂੰ ਓਵਰਰਾਈਟ/ਨੁਕਸਾਨ ਦਿੰਦੇ ਹੋ (ਉਦਾਹਰਨ ਲਈ, sda2 ਭਾਗ ਉੱਤੇ GRUB7 ਇੰਸਟਾਲ ਕਰਨਾ, ਆਦਿ), ਏਨਕ੍ਰਿਪਟਡ ਡੇਟਾ ਇਸ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਨ ਦੀ ਕਿਸੇ ਸੰਭਾਵਨਾ ਤੋਂ ਬਿਨਾਂ ਪੂਰੀ ਤਰ੍ਹਾਂ ਖਤਮ ਹੋ ਜਾਵੇਗਾ, ਕਿਉਂਕਿ ਉਹੀ ਕੁੰਜੀਆਂ ਨੂੰ ਦੁਬਾਰਾ ਬਣਾਉਣਾ ਅਸੰਭਵ ਹੋਵੇਗਾ; ਕੁੰਜੀਆਂ ਵਿਲੱਖਣ ਤੌਰ 'ਤੇ ਬਣਾਈਆਂ ਗਈਆਂ ਹਨ।

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7 

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

ਵਿਕਲਪ:
* luksHeaderBackup —header-backup-file -backup ਕਮਾਂਡ;
* luksHeaderRestore —header-backup-file -restore ਕਮਾਂਡ;
* ~/Backup_DebSHIFR - ਬੈਕਅੱਪ ਫਾਈਲ;
* /dev/sda7 - ਭਾਗ ਜਿਸ ਦੀ ਇਨਕ੍ਰਿਪਟਡ ਡਿਸਕ ਹੈਡਰ ਬੈਕਅੱਪ ਕਾਪੀ ਨੂੰ ਸੰਭਾਲਿਆ ਜਾਣਾ ਹੈ।
ਇਸ ਪੜਾਅ 'ਤੇ <ਇਨਕ੍ਰਿਪਟਡ ਭਾਗ ਬਣਾਉਣਾ ਅਤੇ ਸੋਧਣਾ> ਪੂਰਾ ਹੋ ਗਿਆ ਹੈ।

B3. GNU OS ਨੂੰ ਪੋਰਟ ਕਰਨਾ/Linux (sda4) ਇੱਕ ਇਨਕ੍ਰਿਪਟਡ ਭਾਗ ਨੂੰ (sda7)

ਇੱਕ ਫੋਲਡਰ ਬਣਾਓ /mnt2 (ਨੋਟ - ਅਸੀਂ ਅਜੇ ਵੀ ਲਾਈਵ USB ਨਾਲ ਕੰਮ ਕਰ ਰਹੇ ਹਾਂ, sda7_crypt ਨੂੰ /mnt 'ਤੇ ਮਾਊਂਟ ਕੀਤਾ ਗਿਆ ਹੈ), ਅਤੇ ਅਸੀਂ ਆਪਣਾ GNU/ ਮਾਊਂਟ ਕਰਦੇ ਹਾਂLinux /mnt2 ਵਿੱਚ, ਜਿਸਨੂੰ ਇਨਕ੍ਰਿਪਟ ਕਰਨ ਦੀ ਲੋੜ ਹੈ।

mkdir /mnt2
mount /dev/sda4 /mnt2

ਅਸੀਂ Rsync ਸੌਫਟਵੇਅਰ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਸਹੀ OS ਟ੍ਰਾਂਸਫਰ ਕਰਦੇ ਹਾਂ

rsync -avlxhHX --progress /mnt2/ /mnt

Rsync ਵਿਕਲਪਾਂ ਦਾ ਵਰਣਨ ਪੈਰਾ E1 ਵਿੱਚ ਕੀਤਾ ਗਿਆ ਹੈ।

ਅਗਲਾ, ਜ਼ਰੂਰੀ ਹੈ ਇੱਕ ਲਾਜ਼ੀਕਲ ਡਿਸਕ ਭਾਗ ਨੂੰ ਡੀਫ੍ਰੈਗਮੈਂਟ ਕਰੋ

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

ਇਸਨੂੰ ਇੱਕ ਨਿਯਮ ਬਣਾਓ: ਜੇਕਰ ਤੁਹਾਡੇ ਕੋਲ HDD ਹੈ ਤਾਂ ਸਮੇਂ-ਸਮੇਂ 'ਤੇ ਐਨਕ੍ਰਿਪਟਡ GNU/LInux 'ਤੇ e4defrag ਕਰੋ।
ਟ੍ਰਾਂਸਫਰ ਅਤੇ ਸਿੰਕ੍ਰੋਨਾਈਜ਼ੇਸ਼ਨ [GNU/Linux > ਜੀਐਨਯੂ/Linux-encrypted] ਇਸ ਪੜਾਅ 'ਤੇ ਪੂਰੇ ਹੋ ਜਾਂਦੇ ਹਨ।

B4. GNU/ ਦੀ ਸੰਰਚਨਾ ਕਰਨਾLinux ਇਨਕ੍ਰਿਪਟਡ ਪਾਰਟੀਸ਼ਨ sda7 ਤੇ

OS /dev/sda4 > /dev/sda7 ਨੂੰ ਸਫਲਤਾਪੂਰਵਕ ਟ੍ਰਾਂਸਫਰ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਤੁਹਾਨੂੰ GNU/ ਦਰਜ ਕਰਨ ਦੀ ਲੋੜ ਹੈ।Linux ਇਨਕ੍ਰਿਪਟਡ ਭਾਗ ਤੇ, ਅਤੇ ਹੋਰ ਸੰਰਚਨਾ ਕਰੋ (ਪੀਸੀ ਰੀਬੂਟ ਕੀਤੇ ਬਿਨਾਂ) ਇੱਕ ਐਨਕ੍ਰਿਪਟਡ ਸਿਸਟਮ ਦੇ ਅਨੁਸਾਰੀ. ਯਾਨੀ, ਲਾਈਵ USB ਵਿੱਚ ਰਹੋ, ਪਰ "ਇਨਕ੍ਰਿਪਟਡ OS ਦੇ ਰੂਟ ਨਾਲ ਸੰਬੰਧਿਤ" ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਓ। "chroot" ਇੱਕ ਸਮਾਨ ਸਥਿਤੀ ਦੀ ਨਕਲ ਕਰੇਗਾ। ਫੌਰੀ ਤੌਰ 'ਤੇ ਜਾਣਕਾਰੀ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਕਿ ਤੁਸੀਂ ਇਸ ਸਮੇਂ ਕਿਸ OS ਨਾਲ ਕੰਮ ਕਰ ਰਹੇ ਹੋ (ਏਨਕ੍ਰਿਪਟਡ ਜਾਂ ਨਹੀਂ, ਕਿਉਂਕਿ sda4 ਅਤੇ sda7 ਵਿੱਚ ਡੇਟਾ ਸਮਕਾਲੀ ਹਨ), OS ਨੂੰ ਡੀਸਿੰਕ੍ਰੋਨਾਈਜ਼ ਕਰੋ। ਰੂਟ ਡਾਇਰੈਕਟਰੀਆਂ ਵਿੱਚ ਬਣਾਓ (sda4/sda7_crypt) ਖਾਲੀ ਮਾਰਕਰ ਫਾਈਲਾਂ, ਉਦਾਹਰਨ ਲਈ, /mnt/encryptedOS ਅਤੇ /mnt2/decryptedOS। ਤੁਰੰਤ ਜਾਂਚ ਕਰੋ ਕਿ ਤੁਸੀਂ ਕਿਸ OS 'ਤੇ ਹੋ (ਭਵਿੱਖ ਲਈ ਸਮੇਤ):

ls /<Tab-Tab>

ਬੀ 4.1. "ਇੱਕ ਐਨਕ੍ਰਿਪਟਡ OS ਵਿੱਚ ਲੌਗਇਨ ਕਰਨ ਦਾ ਸਿਮੂਲੇਸ਼ਨ"

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

ਬੀ 4.2. ਇਹ ਪੁਸ਼ਟੀ ਕਰਨਾ ਕਿ ਕੰਮ ਇੱਕ ਐਨਕ੍ਰਿਪਟਡ ਸਿਸਟਮ ਦੇ ਵਿਰੁੱਧ ਕੀਤਾ ਗਿਆ ਹੈ

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

ਬੀ 4.3. ਐਨਕ੍ਰਿਪਟਡ ਸਵੈਪ ਬਣਾਉਣਾ/ਸੰਰਚਨਾ ਕਰਨਾ, crypttab/fstab ਦਾ ਸੰਪਾਦਨ ਕਰਨਾਕਿਉਂਕਿ ਹਰ ਵਾਰ OS ਸ਼ੁਰੂ ਹੋਣ 'ਤੇ ਸਵੈਪ ਫਾਈਲ ਨੂੰ ਫਾਰਮੈਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਇਸ ਲਈ ਹੁਣ ਇੱਕ ਲਾਜ਼ੀਕਲ ਡਿਸਕ 'ਤੇ ਸਵੈਪ ਬਣਾਉਣ ਅਤੇ ਮੈਪ ਕਰਨ ਦਾ ਕੋਈ ਮਤਲਬ ਨਹੀਂ ਹੈ, ਅਤੇ ਪੈਰਾਗ੍ਰਾਫ B2.2 ਵਿੱਚ ਕਮਾਂਡਾਂ ਦਿਓ। ਸਵੈਪ ਲਈ, ਇਸਦੀਆਂ ਆਪਣੀਆਂ ਅਸਥਾਈ ਐਨਕ੍ਰਿਪਸ਼ਨ ਕੁੰਜੀਆਂ ਹਰ ਸ਼ੁਰੂਆਤ 'ਤੇ ਆਪਣੇ ਆਪ ਤਿਆਰ ਕੀਤੀਆਂ ਜਾਣਗੀਆਂ। ਸਵੈਪ ਕੁੰਜੀਆਂ ਦਾ ਜੀਵਨ ਚੱਕਰ: ਸਵੈਪ ਭਾਗ ਨੂੰ ਅਣਮਾਊਂਟ ਕਰਨਾ/ਅਨਮਾਊਂਟ ਕਰਨਾ (+ਰੈਮ ਦੀ ਸਫਾਈ); ਜਾਂ OS ਨੂੰ ਮੁੜ ਚਾਲੂ ਕਰੋ। ਸਵੈਪ ਸੈੱਟਅੱਪ ਕਰਨਾ, ਬਲਾਕ ਇਨਕ੍ਰਿਪਟਡ ਡਿਵਾਈਸਾਂ ਦੀ ਸੰਰਚਨਾ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਫਾਈਲ ਨੂੰ ਖੋਲ੍ਹਣਾ (ਇੱਕ fstab ਫਾਈਲ ਦੇ ਸਮਾਨ, ਪਰ ਕ੍ਰਿਪਟੋ ਲਈ ਜ਼ਿੰਮੇਵਾਰ)।

nano /etc/crypttab 

ਅਸੀਂ ਸੰਪਾਦਿਤ ਕਰਦੇ ਹਾਂ

#"ਟਾਰਗੇਟ ਨਾਮ" "ਸਰੋਤ ਡਿਵਾਈਸ" "ਕੁੰਜੀ ਫਾਈਲ" "ਵਿਕਲਪ"
ਸਵੈਪ /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512

ਚੋਣਾਂ
* ਸਵੈਪ - /dev/mapper/swap ਇਨਕ੍ਰਿਪਟ ਕਰਨ ਵੇਲੇ ਮੈਪ ਕੀਤਾ ਨਾਮ।
* /dev/sda8 - ਸਵੈਪ ਲਈ ਆਪਣੇ ਲਾਜ਼ੀਕਲ ਭਾਗ ਦੀ ਵਰਤੋਂ ਕਰੋ।
* /dev/urandom - ਸਵੈਪ ਲਈ ਬੇਤਰਤੀਬ ਐਨਕ੍ਰਿਪਸ਼ਨ ਕੁੰਜੀਆਂ ਦਾ ਜਨਰੇਟਰਹਰੇਕ ਨਵੇਂ OS ਬੂਟ ਦੇ ਨਾਲ, ਨਵੀਆਂ ਕੁੰਜੀਆਂ ਬਣਾਈਆਂ ਜਾਂਦੀਆਂ ਹਨ)। /dev/urandom ਜਨਰੇਟਰ /dev/random ਨਾਲੋਂ ਘੱਟ ਬੇਤਰਤੀਬ ਹੈ, ਸਭ ਤੋਂ ਬਾਅਦ /dev/random ਦੀ ਵਰਤੋਂ ਖ਼ਤਰਨਾਕ ਪਾਗਲ ਹਾਲਾਤਾਂ ਵਿੱਚ ਕੰਮ ਕਰਨ ਵੇਲੇ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। OS ਨੂੰ ਲੋਡ ਕਰਨ ਵੇਲੇ, /dev/random ਕਈ ± ਮਿੰਟਾਂ ਲਈ ਲੋਡਿੰਗ ਨੂੰ ਹੌਲੀ ਕਰ ਦਿੰਦਾ ਹੈ (ਸਿਸਟਮਡ-ਵਿਸ਼ਲੇਸ਼ਣ ਦੇਖੋ).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -ਭਾਗ ਜਾਣਦਾ ਹੈ ਕਿ ਇਹ ਸਵੈਪ ਹੈ ਅਤੇ "ਅਨੁਸਾਰ" ਫਾਰਮੈਟ ਕੀਤਾ ਗਿਆ ਹੈ; ਏਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ।

#Открываем и правим fstab
nano /etc/fstab

ਅਸੀਂ ਸੰਪਾਦਿਤ ਕਰਦੇ ਹਾਂ

ਇੰਸਟਾਲੇਸ਼ਨ ਦੌਰਾਨ # ਸਵੈਪ / dev / sda8 ਚਾਲੂ ਸੀ
/dev/mapper/swap ਕੋਈ ਨਹੀਂ ਸਵੈਪ sw 0 0

/dev/mapper/swap ਉਹ ਨਾਮ ਹੈ ਜੋ ਕ੍ਰਿਪਟਟੈਬ ਵਿੱਚ ਸੈੱਟ ਕੀਤਾ ਗਿਆ ਸੀ।

ਵਿਕਲਪਿਕ ਐਨਕ੍ਰਿਪਟਡ ਸਵੈਪ
ਜੇਕਰ ਕਿਸੇ ਕਾਰਨ ਕਰਕੇ ਤੁਸੀਂ ਸਵੈਪ ਫਾਈਲ ਲਈ ਇੱਕ ਪੂਰਾ ਭਾਗ ਨਹੀਂ ਛੱਡਣਾ ਚਾਹੁੰਦੇ ਹੋ, ਤਾਂ ਤੁਸੀਂ ਇੱਕ ਵਿਕਲਪਿਕ ਅਤੇ ਬਿਹਤਰ ਤਰੀਕੇ ਨਾਲ ਜਾ ਸਕਦੇ ਹੋ: OS ਨਾਲ ਇੱਕ ਇਨਕ੍ਰਿਪਟਡ ਭਾਗ 'ਤੇ ਇੱਕ ਫਾਈਲ ਵਿੱਚ ਸਵੈਪ ਫਾਈਲ ਬਣਾਉਣਾ।

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

ਸਵੈਪ ਭਾਗ ਸੈੱਟਅੱਪ ਪੂਰਾ ਹੋ ਗਿਆ ਹੈ।

B4.4. ਇਨਕ੍ਰਿਪਟਡ GNU/ ਸੈੱਟਅੱਪ ਕਰਨਾLinux (crypttab/fstab ਫਾਈਲਾਂ ਨੂੰ ਸੰਪਾਦਿਤ ਕਰਨਾ)/etc/crypttab ਫਾਇਲ, ਜਿਵੇਂ ਕਿ ਉੱਪਰ ਲਿਖੀ ਗਈ ਹੈ, ਇਨਕ੍ਰਿਪਟਡ ਬਲਾਕ ਜੰਤਰਾਂ ਬਾਰੇ ਦੱਸਦੀ ਹੈ ਜੋ ਸਿਸਟਮ ਬੂਟ ਦੌਰਾਨ ਸੰਰਚਿਤ ਹੁੰਦੇ ਹਨ।

#правим /etc/crypttab 
nano /etc/crypttab 

ਜੇਕਰ ਤੁਸੀਂ sda7>sda7_crypt ਭਾਗ ਨਾਲ ਮੇਲ ਖਾਂਦੇ ਹੋ ਜਿਵੇਂ ਕਿ ਪੈਰਾ B2.1 ਵਿੱਚ ਹੈ

# "ਟਾਰਗੇਟ ਨਾਮ" "ਸਰੋਤ ਡਿਵਾਈਸ" "ਕੁੰਜੀ ਫਾਈਲ" "ਵਿਕਲਪ"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

ਜੇਕਰ ਤੁਸੀਂ sda7>sda7_crypt ਭਾਗ ਨਾਲ ਮੇਲ ਖਾਂਦੇ ਹੋ ਜਿਵੇਂ ਕਿ ਪੈਰਾ B2.2 ਵਿੱਚ ਹੈ

# "ਟਾਰਗੇਟ ਨਾਮ" "ਸਰੋਤ ਡਿਵਾਈਸ" "ਕੁੰਜੀ ਫਾਈਲ" "ਵਿਕਲਪ"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

ਜੇਕਰ ਤੁਸੀਂ sda7>sda7_crypt ਭਾਗ ਨਾਲ ਮੇਲ ਖਾਂਦੇ ਹੋ ਜਿਵੇਂ ਕਿ ਪੈਰਾ B2.1 ਜਾਂ B2.2 ਵਿੱਚ, ਪਰ OS ਨੂੰ ਅਨਲੌਕ ਅਤੇ ਬੂਟ ਕਰਨ ਲਈ ਪਾਸਵਰਡ ਦੁਬਾਰਾ ਨਹੀਂ ਦੇਣਾ ਚਾਹੁੰਦੇ, ਤਾਂ ਪਾਸਵਰਡ ਦੀ ਬਜਾਏ ਤੁਸੀਂ ਇੱਕ ਗੁਪਤ ਕੁੰਜੀ/ਰੈਂਡਮ ਫਾਈਲ ਬਦਲ ਸਕਦੇ ਹੋ।

# "ਟਾਰਗੇਟ ਨਾਮ" "ਸਰੋਤ ਡਿਵਾਈਸ" "ਕੁੰਜੀ ਫਾਈਲ" "ਵਿਕਲਪ"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

ਵੇਰਵਾ
* ਕੋਈ ਨਹੀਂ - ਰਿਪੋਰਟ ਕਰਦਾ ਹੈ ਕਿ OS ਨੂੰ ਲੋਡ ਕਰਨ ਵੇਲੇ, ਰੂਟ ਨੂੰ ਅਨਲੌਕ ਕਰਨ ਲਈ ਇੱਕ ਗੁਪਤ ਗੁਪਤਕੋਡ ਦਾਖਲ ਕਰਨ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ।
* UUID - ਭਾਗ ਪਛਾਣਕਰਤਾ। ਆਪਣੀ ID ਦਾ ਪਤਾ ਲਗਾਉਣ ਲਈ, ਟਰਮੀਨਲ ਵਿੱਚ ਟਾਈਪ ਕਰੋ (ਯਾਦ ਕਰਵਾਓ ਕਿ ਇਸ ਸਮੇਂ ਤੋਂ ਅੱਗੇ, ਤੁਸੀਂ ਇੱਕ chroot ਵਾਤਾਵਰਣ ਵਿੱਚ ਇੱਕ ਟਰਮੀਨਲ ਵਿੱਚ ਕੰਮ ਕਰ ਰਹੇ ਹੋ, ਨਾ ਕਿ ਕਿਸੇ ਹੋਰ ਲਾਈਵ USB ਟਰਮੀਨਲ ਵਿੱਚ)।

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное 

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

ਇਹ ਲਾਈਨ sda7_crypt ਮਾਊਂਟ ਦੇ ਨਾਲ ਲਾਈਵ USB ਟਰਮੀਨਲ ਤੋਂ blkid ਦੀ ਬੇਨਤੀ ਕਰਨ ਵੇਲੇ ਦਿਖਾਈ ਦਿੰਦੀ ਹੈ।
ਤੁਸੀਂ ਆਪਣੇ sdaX ਤੋਂ UUID ਲੈਂਦੇ ਹੋ (sdaX_crypt ਨਹੀਂ!, UUID sdaX_crypt - grub.cfg ਸੰਰਚਨਾ ਬਣਾਉਣ ਵੇਲੇ ਆਪਣੇ ਆਪ ਹੀ ਛੱਡ ਦਿੱਤਾ ਜਾਵੇਗਾ)।
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks ਇਨਕ੍ਰਿਪਸ਼ਨ ਐਡਵਾਂਸ ਮੋਡ ਵਿੱਚ।
* /etc/skey - ਗੁਪਤ ਕੁੰਜੀ ਫਾਈਲ, ਜੋ OS ਬੂਟ ਨੂੰ ਅਨਲੌਕ ਕਰਨ ਲਈ ਆਪਣੇ ਆਪ ਪਾਈ ਜਾਂਦੀ ਹੈ (ਤੀਜਾ ਪਾਸਵਰਡ ਦਾਖਲ ਕਰਨ ਦੀ ਬਜਾਏ)। ਤੁਸੀਂ 8MB ਤੱਕ ਦੀ ਕੋਈ ਵੀ ਫਾਈਲ ਨਿਰਧਾਰਤ ਕਰ ਸਕਦੇ ਹੋ, ਪਰ ਡਾਟਾ <1MB ਪੜ੍ਹਿਆ ਜਾਵੇਗਾ।

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7 

ਇਹ ਕੁਝ ਇਸ ਤਰ੍ਹਾਂ ਦਿਖਾਈ ਦੇਵੇਗਾ:

(ਇਸ ਨੂੰ ਆਪਣੇ ਆਪ ਕਰੋ ਅਤੇ ਆਪਣੇ ਲਈ ਦੇਖੋ).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab ਵਿੱਚ ਵੱਖ-ਵੱਖ ਫਾਈਲ ਸਿਸਟਮਾਂ ਬਾਰੇ ਵਰਣਨਯੋਗ ਜਾਣਕਾਰੀ ਹੈ।

#Правим /etc/fstab
nano /etc/fstab

# "ਫਾਇਲ ਸਿਸਟਮ" "ਮਾਊਂਟ ਪੁਆਇੰਟ" "ਟਾਈਪ" "ਵਿਕਲਪ" "ਡੰਪ" "ਪਾਸ"
# ਇੰਸਟਾਲੇਸ਼ਨ ਦੇ ਦੌਰਾਨ / dev / sda7 ਤੇ ਸੀ
/dev/mapper/sda7_crypt/ext4 errors=remount-ro 0 1

ਚੋਣ
* /dev/mapper/sda7_crypt - sda7>sda7_crypt ਮੈਪਿੰਗ ਦਾ ਨਾਮ, ਜੋ /etc/crypttab ਫਾਈਲ ਵਿੱਚ ਦਿੱਤਾ ਗਿਆ ਹੈ।
crypttab/fstab ਸੈੱਟਅੱਪ ਪੂਰਾ ਹੋ ਗਿਆ ਹੈ।

B4.5. ਸੰਰਚਨਾ ਫਾਇਲਾਂ ਦਾ ਸੰਪਾਦਨ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ। ਮੁੱਖ ਪਲਬੀ 4.5.1. ਸੰਰਚਨਾ ਨੂੰ ਸੋਧਣਾ /etc/initramfs-tools/conf.d/resume

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

ਅਤੇ ਟਿੱਪਣੀ ਕਰੋ (ਜੇ ਮੌਜੂਦ ਹੈ) "#" ਲਾਈਨ "ਰਿਜ਼ਿਊਮ" ਫਾਈਲ ਪੂਰੀ ਤਰ੍ਹਾਂ ਖਾਲੀ ਹੋਣੀ ਚਾਹੀਦੀ ਹੈ।

ਬੀ 4.5.2. ਸੰਰਚਨਾ ਨੂੰ ਸੋਧਣਾ /etc/initramfs-tools/conf.d/cryptsetup

nano /etc/initramfs-tools/conf.d/cryptsetup

ਮੇਲ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=ਹਾਂ
CRYPTSETUP ਨਿਰਯਾਤ ਕਰੋ

ਬੀ 4.5.3. /etc/default/grub ਸੰਰਚਨਾ ਨੂੰ ਸੋਧਣਾ (ਇਹ ਸੰਰਚਨਾ encrypted /boot ਨਾਲ ਕੰਮ ਕਰਨ ਵੇਲੇ grub.cfg ਬਣਾਉਣ ਦੀ ਯੋਗਤਾ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੈ)

nano /etc/default/grub

ਲਾਈਨ ਜੋੜੋ “GRUB_ENABLE_CRYPTODISK=y”
ਮੁੱਲ 'y', grub-mkconfig ਅਤੇ grub-install ਇਨਕ੍ਰਿਪਟਡ ਡਰਾਈਵਾਂ ਦੀ ਜਾਂਚ ਕਰੇਗਾ ਅਤੇ ਬੂਟ ਸਮੇਂ ਉਹਨਾਂ ਨੂੰ ਐਕਸੈਸ ਕਰਨ ਲਈ ਲੋੜੀਂਦੀਆਂ ਵਾਧੂ ਕਮਾਂਡਾਂ ਤਿਆਰ ਕਰੇਗਾ। (insmods ).
ਇੱਕ ਸਮਾਨਤਾ ਹੋਣੀ ਚਾਹੀਦੀ ਹੈ

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || ਈਕੋ Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=ਵਿਕਰੇਤਾ"
GRUB_CMDLINE_LINUX="ਸ਼ਾਂਤ ਸਪਲੈਸ਼ ਨੋਆਟੋਮਾਊਂਟ"
GRUB_ENABLE_CRYPTODISK=y

ਬੀ 4.5.4. ਸੰਰਚਨਾ ਨੂੰ ਸੋਧਣਾ /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

ਲਾਈਨ ਹੈ, ਜੋ ਕਿ ਚੈੱਕ ਕਰੋ ਟਿੱਪਣੀ ਕੀਤੀ <#>।
ਭਵਿੱਖ ਵਿੱਚ (ਅਤੇ ਹੁਣ ਵੀ, ਇਸ ਪੈਰਾਮੀਟਰ ਦਾ ਕੋਈ ਅਰਥ ਨਹੀਂ ਹੋਵੇਗਾ, ਪਰ ਕਈ ਵਾਰ ਇਹ initrd.img ਚਿੱਤਰ ਨੂੰ ਅੱਪਡੇਟ ਕਰਨ ਵਿੱਚ ਦਖ਼ਲ ਦਿੰਦਾ ਹੈ)।

ਬੀ 4.5.5. ਸੰਰਚਨਾ ਨੂੰ ਸੋਧਣਾ /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

ਜੋੜਨਾ

KEYFILE_PATTERN="/etc/skey"
UMASK=0077

ਇਹ ਗੁਪਤ ਕੁੰਜੀ "ਸਕਾਈ" ਨੂੰ initrd.img ਵਿੱਚ ਪੈਕ ਕਰ ਦੇਵੇਗਾ, ਜਦੋਂ OS ਬੂਟ ਹੁੰਦਾ ਹੈ ਤਾਂ ਰੂਟ ਨੂੰ ਅਨਲੌਕ ਕਰਨ ਲਈ ਕੁੰਜੀ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ। (ਜੇਕਰ ਤੁਸੀਂ ਦੁਬਾਰਾ ਪਾਸਵਰਡ ਦਾਖਲ ਨਹੀਂ ਕਰਨਾ ਚਾਹੁੰਦੇ ਹੋ, ਤਾਂ "ਸਕਾਈ" ਕੁੰਜੀ ਕਾਰ ਲਈ ਬਦਲ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ)।

B4.6. ਅੱਪਡੇਟ /boot/initrd.img [ਵਰਜਨ]ਗੁਪਤ ਕੁੰਜੀ ਨੂੰ initrd.img ਵਿੱਚ ਪੈਕ ਕਰਨ ਅਤੇ ਕ੍ਰਿਪਟਸੈੱਟਅੱਪ ਫਿਕਸ ਲਾਗੂ ਕਰਨ ਲਈ, ਚਿੱਤਰ ਨੂੰ ਅੱਪਡੇਟ ਕਰੋ

update-initramfs -u -k all

initrd.img ਨੂੰ ਅੱਪਡੇਟ ਕਰਨ ਵੇਲੇ (ਜਿਵੇਂ ਕਿ ਉਹ ਕਹਿੰਦੇ ਹਨ "ਇਹ ਸੰਭਵ ਹੈ, ਪਰ ਇਹ ਨਿਸ਼ਚਿਤ ਨਹੀਂ ਹੈ") ਕ੍ਰਿਪਟਸੈੱਟਅੱਪ ਨਾਲ ਸਬੰਧਤ ਚੇਤਾਵਨੀਆਂ ਦਿਖਾਈ ਦੇਣਗੀਆਂ, ਜਾਂ, ਉਦਾਹਰਨ ਲਈ, Nvidia ਮੋਡੀਊਲ ਦੇ ਨੁਕਸਾਨ ਬਾਰੇ ਇੱਕ ਸੂਚਨਾ - ਇਹ ਆਮ ਹੈ। ਫਾਈਲ ਨੂੰ ਅਪਡੇਟ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਜਾਂਚ ਕਰੋ ਕਿ ਇਹ ਅਸਲ ਵਿੱਚ ਅਪਡੇਟ ਕੀਤੀ ਗਈ ਹੈ, ਸਮਾਂ ਵੇਖੋ (chroot ਵਾਤਾਵਰਣ ਨਾਲ ਸੰਬੰਧਿਤ./boot/initrd.img)। ਸਾਵਧਾਨ [update-initramfs -u -k all] ਤੋਂ ਪਹਿਲਾਂ ਇਹ ਜਾਂਚ ਕਰਨਾ ਯਕੀਨੀ ਬਣਾਓ ਕਿ ਕ੍ਰਿਪਟਸੈੱਟਅੱਪ ਖੁੱਲ੍ਹਾ ਹੈ /dev/sda7 sda7_crypt - ਇਹ ਉਹ ਨਾਮ ਹੈ ਜੋ /etc/crypttab ਵਿੱਚ ਦਿਖਾਈ ਦਿੰਦਾ ਹੈ, ਨਹੀਂ ਤਾਂ ਰੀਬੂਟ ਕਰਨ ਤੋਂ ਬਾਅਦ ਇੱਕ ਬਿਜ਼ੀਬਾਕਸ ਗਲਤੀ ਹੋਵੇਗੀ)
ਇਸ ਪੜਾਅ 'ਤੇ, ਸੰਰਚਨਾ ਫਾਈਲਾਂ ਦੀ ਸਥਾਪਨਾ ਪੂਰੀ ਹੋ ਗਈ ਹੈ.

[C] GRUB2/ਪ੍ਰੋਟੈਕਸ਼ਨ ਨੂੰ ਸਥਾਪਿਤ ਅਤੇ ਸੰਰਚਿਤ ਕਰਨਾ

C1. ਜੇ ਜਰੂਰੀ ਹੋਵੇ, ਬੂਟਲੋਡਰ ਲਈ ਸਮਰਪਿਤ ਭਾਗ ਨੂੰ ਫਾਰਮੈਟ ਕਰੋ (ਇੱਕ ਭਾਗ ਨੂੰ ਘੱਟੋ-ਘੱਟ 20MB ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. ਮਾਊਂਟ /dev/sda6 ਤੋਂ /mntਇਸ ਲਈ ਅਸੀਂ chroot ਵਿੱਚ ਕੰਮ ਕਰਦੇ ਹਾਂ, ਫਿਰ ਰੂਟ ਵਿੱਚ ਕੋਈ /mnt2 ਡਾਇਰੈਕਟਰੀ ਨਹੀਂ ਹੋਵੇਗੀ, ਅਤੇ /mnt ਫੋਲਡਰ ਖਾਲੀ ਹੋਵੇਗਾ।
GRUB2 ਭਾਗ ਮਾਊਂਟ ਕਰੋ

mount /dev/sda6 /mnt

ਜੇਕਰ ਤੁਹਾਡੇ ਕੋਲ GRUB2 ਦਾ ਪੁਰਾਣਾ ਸੰਸਕਰਣ ਇੰਸਟਾਲ ਹੈ, ਤਾਂ /mnt/boot/grub/i-386-pc ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ (ਹੋਰ ਪਲੇਟਫਾਰਮ ਸੰਭਵ ਹੈ, ਉਦਾਹਰਨ ਲਈ, “i386-pc” ਨਹੀਂ) ਕੋਈ ਕ੍ਰਿਪਟੋ ਮੋਡੀਊਲ ਨਹੀਂ (ਛੋਟੇ ਰੂਪ ਵਿੱਚ, ਫੋਲਡਰ ਵਿੱਚ ਇਹ .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod) ਸਮੇਤ ਮੋਡੀਊਲ ਹੋਣੇ ਚਾਹੀਦੇ ਹਨ, ਇਸ ਸਥਿਤੀ ਵਿੱਚ, GRUB2 ਨੂੰ ਹਿਲਾਏ ਜਾਣ ਦੀ ਲੋੜ ਹੈ।

apt-get update
apt-get install grub2 

ਮਹੱਤਵਪੂਰਨ! ਰਿਪੋਜ਼ਟਰੀ ਤੋਂ GRUB2 ਪੈਕੇਜ ਨੂੰ ਅੱਪਡੇਟ ਕਰਦੇ ਸਮੇਂ, ਜਦੋਂ ਬੂਟਲੋਡਰ ਨੂੰ "ਚੁਣਨ ਬਾਰੇ" ਪੁੱਛਿਆ ਗਿਆ, ਤਾਂ ਤੁਹਾਨੂੰ ਇੰਸਟਾਲੇਸ਼ਨ ਤੋਂ ਇਨਕਾਰ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ। (ਕਾਰਨ - GRUB2 ਨੂੰ ਇੰਸਟਾਲ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ - "MBR" ਵਿੱਚ ਜਾਂ ਲਾਈਵ USB 'ਤੇ). ਨਹੀਂ ਤਾਂ ਤੁਸੀਂ VeraCrypt ਸਿਰਲੇਖ/ਲੋਡਰ ਨੂੰ ਨੁਕਸਾਨ ਪਹੁੰਚਾਓਗੇ। GRUB2 ਪੈਕੇਜ ਅੱਪਡੇਟ ਕਰਨ ਅਤੇ ਇੰਸਟਾਲੇਸ਼ਨ ਰੱਦ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਬੂਟ ਲੋਡਰ ਨੂੰ ਲਾਜ਼ੀਕਲ ਡਿਸਕ ਉੱਤੇ ਦਸਤੀ ਇੰਸਟਾਲ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ, ਨਾ ਕਿ MBR ਵਿੱਚ। ਜੇਕਰ ਤੁਹਾਡੀ ਰਿਪੋਜ਼ਟਰੀ ਵਿੱਚ GRUB2 ਦਾ ਪੁਰਾਣਾ ਸੰਸਕਰਣ ਹੈ, ਤਾਂ ਕੋਸ਼ਿਸ਼ ਕਰੋ ਅੱਪਡੇਟ ਇਹ ਅਧਿਕਾਰਤ ਵੈੱਬਸਾਈਟ ਤੋਂ ਹੈ - ਇਸਦੀ ਜਾਂਚ ਨਹੀਂ ਕੀਤੀ ਹੈ (ਨਵੀਨਤਮ GRUB 2.02 ~BetaX ਬੂਟਲੋਡਰਾਂ ਨਾਲ ਕੰਮ ਕੀਤਾ)।

C3. ਇੱਕ ਵਿਸਤ੍ਰਿਤ ਭਾਗ [sda2] ਵਿੱਚ GRUB6 ਨੂੰ ਇੰਸਟਾਲ ਕਰਨਾਤੁਹਾਡੇ ਕੋਲ ਇੱਕ ਮਾਊਂਟ ਕੀਤਾ ਭਾਗ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ [ਆਈਟਮ C.2]

grub-install --force --root-directory=/mnt /dev/sda6

ਚੋਣਾਂ
* —ਫੋਰਸ - ਬੂਟਲੋਡਰ ਦੀ ਸਥਾਪਨਾ, ਸਾਰੀਆਂ ਚੇਤਾਵਨੀਆਂ ਨੂੰ ਛੱਡ ਕੇ ਜੋ ਲਗਭਗ ਹਮੇਸ਼ਾ ਮੌਜੂਦ ਹਨ ਅਤੇ ਇੰਸਟਾਲੇਸ਼ਨ ਨੂੰ ਰੋਕਦੇ ਹਨ (ਲੋੜੀਂਦਾ ਝੰਡਾ)
* --ਰੂਟ-ਡਾਇਰੈਕਟਰੀ - ਡਾਇਰੈਕਟਰੀ ਇੰਸਟਾਲੇਸ਼ਨ sda6 ਦੀ ਜੜ੍ਹ ਤੱਕ.
* /dev/sda6 - ਤੁਹਾਡਾ sdaХ ਭਾਗ ( /mnt /dev/sda6 ਵਿਚਕਾਰ <space> ਨੂੰ ਨਾ ਛੱਡੋ)।

C4. ਇੱਕ ਸੰਰਚਨਾ ਫਾਇਲ ਬਣਾਉਣਾ [grub.cfg]"update-grub2" ਕਮਾਂਡ ਨੂੰ ਭੁੱਲ ਜਾਓ, ਅਤੇ ਪੂਰੀ ਸੰਰਚਨਾ ਫਾਇਲ ਜਨਰੇਸ਼ਨ ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰੋ

grub-mkconfig -o /mnt/boot/grub/grub.cfg

grub.cfg ਫਾਈਲ ਦੀ ਜਨਰੇਸ਼ਨ/ਅੱਪਡੇਟ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਆਉਟਪੁੱਟ ਟਰਮੀਨਲ ਵਿੱਚ ਡਿਸਕ ਉੱਤੇ ਪਾਏ ਗਏ OS ਦੇ ਨਾਲ ਲਾਈਨਾਂ ਹੋਣੀਆਂ ਚਾਹੀਦੀਆਂ ਹਨ। (ਜੇਕਰ ਤੁਹਾਡੇ ਕੋਲ ਮਲਟੀਬੂਟ ਫਲੈਸ਼ ਡਰਾਈਵ ਹੈ ਤਾਂ grub-mkconfig ਇੱਕ ਲਾਈਵ USB ਤੋਂ OS ਲੱਭ ਅਤੇ ਲੋਡ ਕਰ ਸਕਦਾ ਹੈ Windows 10 ਅਤੇ ਲਾਈਵ ਡਿਸਟ੍ਰੀਬਿਊਸ਼ਨਾਂ ਦਾ ਇੱਕ ਸਮੂਹ - ਇਹ ਆਮ ਗੱਲ ਹੈ)। ਜੇਕਰ ਟਰਮੀਨਲ "ਖਾਲੀ" ਹੈ ਅਤੇ "grub.cfg" ਫਾਈਲ ਤਿਆਰ ਨਹੀਂ ਕੀਤੀ ਗਈ ਹੈ, ਤਾਂ ਇਹ ਉਹੀ ਸਥਿਤੀ ਹੈ ਜਦੋਂ ਸਿਸਟਮ ਵਿੱਚ GRUB ਬੱਗ ਹੁੰਦੇ ਹਨ। (ਅਤੇ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਰਿਪੋਜ਼ਟਰੀ ਦੀ ਟੈਸਟ ਸ਼ਾਖਾ ਤੋਂ ਲੋਡਰ), ਭਰੋਸੇਯੋਗ ਸਰੋਤਾਂ ਤੋਂ GRUB2 ਨੂੰ ਮੁੜ ਸਥਾਪਿਤ ਕਰੋ।
"ਸਧਾਰਨ ਸੰਰਚਨਾ" ਇੰਸਟਾਲੇਸ਼ਨ ਅਤੇ GRUB2 ਸੈੱਟਅੱਪ ਪੂਰਾ ਹੋ ਗਿਆ ਹੈ।

C5. ਇਨਕ੍ਰਿਪਟਡ GNU OS/ ਦਾ ਸਬੂਤ-ਜਾਂਚLinuxਕ੍ਰਿਪਟੋ ਮਿਸ਼ਨ ਨੂੰ ਸਹੀ ਢੰਗ ਨਾਲ ਪੂਰਾ ਕਰਨਾ। ਏਨਕ੍ਰਿਪਟਡ GNU/ ਤੋਂ ਧਿਆਨ ਨਾਲ ਬਾਹਰ ਨਿਕਲੋ।Linux (Chroot ਵਾਤਾਵਰਣ ਤੋਂ ਬਾਹਰ ਨਿਕਲੋ)।

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

PC ਨੂੰ ਰੀਬੂਟ ਕਰਨ ਤੋਂ ਬਾਅਦ, VeraCrypt ਬੂਟਲੋਡਰ ਲੋਡ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ।


*ਸਰਗਰਮ ਭਾਗ ਲਈ ਪਾਸਵਰਡ ਦਰਜ ਕਰੋ - OS ਲੋਡ ਹੋਣਾ ਸ਼ੁਰੂ ਹੋ ਜਾਵੇਗਾ। Windows.
*"Esc" ਕੁੰਜੀ ਦਬਾਉਣ ਨਾਲ ਇਨਕ੍ਰਿਪਟਡ GNU/ ਦੀ ਚੋਣ ਕਰਦੇ ਸਮੇਂ ਕੰਟਰੋਲ GRUB2 ਵਿੱਚ ਤਬਦੀਲ ਹੋ ਜਾਵੇਗਾ।Linux - ਤੁਹਾਨੂੰ /boot/initrd.img ਨੂੰ ਅਨਲੌਕ ਕਰਨ ਲਈ ਇੱਕ ਪਾਸਵਰਡ (sda7_crypt) ਦੀ ਲੋੜ ਪਵੇਗੀ (ਜੇਕਰ grub2 uuid "not found" ਲਿਖਦਾ ਹੈ - ਇਹ grub2 ਬੂਟਲੋਡਰ ਨਾਲ ਇੱਕ ਸਮੱਸਿਆ ਹੈ, ਇਸਨੂੰ ਦੁਬਾਰਾ ਸਥਾਪਿਤ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ, ਉਦਾਹਰਨ ਲਈ, ਟੈਸਟਿੰਗ ਬ੍ਰਾਂਚ/ਸਟੇਬਲ ਅਤੇ pd ਤੋਂ)।


*ਇਸ ਉੱਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹੋਏ ਕਿ ਤੁਸੀਂ ਸਿਸਟਮ ਨੂੰ ਕਿਵੇਂ ਸੰਰਚਿਤ ਕੀਤਾ ਹੈ (ਪੈਰਾ B4.4/4.5 ਦੇਖੋ), /boot/initrd.img ਚਿੱਤਰ ਨੂੰ ਅਨਲੌਕ ਕਰਨ ਲਈ ਸਹੀ ਪਾਸਵਰਡ ਦੇਣ ਤੋਂ ਬਾਅਦ, ਤੁਹਾਨੂੰ OS ਕਰਨਲ/ਰੂਟ, ਜਾਂ ਗੁਪਤ ਲੋਡ ਕਰਨ ਲਈ ਇੱਕ ਪਾਸਵਰਡ ਦੀ ਲੋੜ ਪਵੇਗੀ। ਕੁੰਜੀ ਨੂੰ ਸਵੈਚਲਿਤ ਤੌਰ 'ਤੇ "ਸਕਾਈ" ਬਦਲ ਦਿੱਤਾ ਜਾਵੇਗਾ, ਜਿਸ ਨਾਲ ਗੁਪਤਕੋਡ ਨੂੰ ਮੁੜ-ਦਾਖਲ ਕਰਨ ਦੀ ਲੋੜ ਖਤਮ ਹੋ ਜਾਵੇਗੀ।

(ਸਕਰੀਨ “ਇੱਕ ਗੁਪਤ ਕੁੰਜੀ ਦਾ ਆਟੋਮੈਟਿਕ ਬਦਲ”)।

*ਫਿਰ ਜਾਣੀ-ਪਛਾਣੀ GNU ਬੂਟ ਪ੍ਰਕਿਰਿਆ ਸ਼ੁਰੂ ਹੋ ਜਾਵੇਗੀ।Linux ਉਪਭੋਗਤਾ ਖਾਤਾ ਪ੍ਰਮਾਣੀਕਰਨ ਦੇ ਨਾਲ।


*ਉਪਭੋਗਤਾ ਅਧਿਕਾਰ ਅਤੇ OS ਵਿੱਚ ਲਾਗਇਨ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਤੁਹਾਨੂੰ /boot/initrd.img ਨੂੰ ਦੁਬਾਰਾ ਅਪਡੇਟ ਕਰਨ ਦੀ ਲੋੜ ਹੈ। (ਵੇਖੋ B4.6)।

update-initramfs -u -k all

ਅਤੇ GRUB2 ਮੀਨੂ ਵਿੱਚ ਵਾਧੂ ਲਾਈਨਾਂ ਦੇ ਮਾਮਲੇ ਵਿੱਚ (ਲਾਈਵ USB ਨਾਲ OS-m ਪਿਕਅੱਪ ਤੋਂ) ਉਹਨਾਂ ਤੋਂ ਛੁਟਕਾਰਾ ਪਾਓ

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

GNU ਸਿਸਟਮ ਇਨਕ੍ਰਿਪਸ਼ਨ ਦਾ ਸੰਖੇਪ ਸਾਰLinux:

• ਜੀਐਨਯੂ/Linuxinux ਪੂਰੀ ਤਰ੍ਹਾਂ ਇਨਕ੍ਰਿਪਟਡ ਹੈ, ਜਿਸ ਵਿੱਚ /boot/kernel ਅਤੇ initrd ਸ਼ਾਮਲ ਹਨ;
• ਗੁਪਤ ਕੁੰਜੀ initrd.img ਵਿੱਚ ਪੈਕ ਕੀਤੀ ਗਈ ਹੈ;
• ਮੌਜੂਦਾ ਅਧਿਕਾਰ ਯੋਜਨਾ (initrd ਨੂੰ ਅਨਲੌਕ ਕਰਨ ਲਈ ਪਾਸਵਰਡ ਦਰਜ ਕਰੋ; OS ਬੂਟ ਕਰਨ ਲਈ ਪਾਸਵਰਡ/ਕੁੰਜੀ; ਖਾਤਾ ਅਧਿਕਾਰ ਪਾਸਵਰਡ Linux).

ਬਲਾਕ ਭਾਗ ਦੀ "ਸਧਾਰਨ GRUB2 ਸੰਰਚਨਾ" ਸਿਸਟਮ ਇਨਕ੍ਰਿਪਸ਼ਨ ਮੁਕੰਮਲ ਹੋ ਗਈ ਹੈ।

C6. ਉੱਨਤ GRUB2 ਸੰਰਚਨਾ। ਡਿਜੀਟਲ ਦਸਤਖਤ + ਪ੍ਰਮਾਣੀਕਰਨ ਸੁਰੱਖਿਆ ਨਾਲ ਬੂਟਲੋਡਰ ਸੁਰੱਖਿਆਜੀਐਨਯੂ/Linux ਬੂਟਲੋਡਰ ਪੂਰੀ ਤਰ੍ਹਾਂ ਏਨਕ੍ਰਿਪਟ ਕੀਤਾ ਗਿਆ ਹੈ, ਪਰ ਬੂਟਲੋਡਰ ਨੂੰ ਏਨਕ੍ਰਿਪਟ ਨਹੀਂ ਕੀਤਾ ਜਾ ਸਕਦਾ—ਇਹ ਇੱਕ BIOS ਲੋੜ ਹੈ। ਇਸ ਕਾਰਨ ਕਰਕੇ, GRUB2 ਦੀ ਚੇਨਡ ਇਨਕ੍ਰਿਪਟਡ ਬੂਟਿੰਗ ਅਸੰਭਵ ਹੈ, ਪਰ ਸਧਾਰਨ ਚੇਨਡ ਬੂਟਿੰਗ ਸੰਭਵ/ਉਪਲਬਧ ਹੈ। ਸੁਰੱਖਿਆ ਦ੍ਰਿਸ਼ਟੀਕੋਣ ਤੋਂ, ਇਹ ਜ਼ਰੂਰੀ ਨਹੀਂ ਹੈ [ਭਾਗ F ਵੇਖੋ]।
"ਕਮਜ਼ੋਰ" GRUB2 ਲਈ, ਡਿਵੈਲਪਰਾਂ ਨੇ "ਦਸਤਖਤ/ਪ੍ਰਮਾਣਿਕਤਾ" ਬੂਟਲੋਡਰ ਸੁਰੱਖਿਆ ਐਲਗੋਰਿਦਮ ਲਾਗੂ ਕੀਤਾ ਹੈ।

• ਜਦੋਂ ਬੂਟਲੋਡਰ ਨੂੰ "ਇਸਦੇ ਆਪਣੇ ਡਿਜ਼ੀਟਲ ਹਸਤਾਖਰ" ਦੁਆਰਾ ਸੁਰੱਖਿਅਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਫਾਈਲਾਂ ਦੀ ਬਾਹਰੀ ਸੋਧ, ਜਾਂ ਇਸ ਬੂਟਲੋਡਰ ਵਿੱਚ ਵਾਧੂ ਮੋਡੀਊਲ ਲੋਡ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼, ਬੂਟ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਬਲੌਕ ਕਰਨ ਦੀ ਅਗਵਾਈ ਕਰੇਗੀ।
• ਬੂਟਲੋਡਰ ਨੂੰ ਪ੍ਰਮਾਣਿਕਤਾ ਨਾਲ ਸੁਰੱਖਿਅਤ ਕਰਦੇ ਸਮੇਂ, ਡਿਸਟਰੀਬਿਊਸ਼ਨ ਲੋਡ ਕਰਨ ਦੀ ਚੋਣ ਕਰਨ ਲਈ, ਜਾਂ CLI ਵਿੱਚ ਵਾਧੂ ਕਮਾਂਡਾਂ ਦਾਖਲ ਕਰਨ ਲਈ, ਤੁਹਾਨੂੰ ਸੁਪਰਯੂਜ਼ਰ-GRUB2 ਦਾ ਲਾਗਇਨ ਅਤੇ ਪਾਸਵਰਡ ਦਰਜ ਕਰਨ ਦੀ ਲੋੜ ਹੋਵੇਗੀ।

C6.1. ਬੂਟਲੋਡਰ ਪ੍ਰਮਾਣਿਕਤਾ ਸੁਰੱਖਿਆਜਾਂਚ ਕਰੋ ਕਿ ਤੁਸੀਂ ਇੱਕ ਇਨਕ੍ਰਿਪਟਡ OS 'ਤੇ ਟਰਮੀਨਲ ਵਿੱਚ ਕੰਮ ਕਰ ਰਹੇ ਹੋ

ls /<Tab-Tab> #обнаружить файл-маркер

GRUB2 ਵਿੱਚ ਪ੍ਰਮਾਣਿਕਤਾ ਲਈ ਇੱਕ ਸੁਪਰਯੂਜ਼ਰ ਪਾਸਵਰਡ ਬਣਾਓ

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. 

ਪਾਸਵਰਡ ਹੈਸ਼ ਪ੍ਰਾਪਤ ਕਰੋ. ਕੁਝ ਇਸ ਤਰ੍ਹਾਂ

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

GRUB ਭਾਗ ਮਾਊਂਟ ਕਰੋ

mount /dev/sda6 /mnt 

ਸੰਰਚਨਾ ਨੂੰ ਸੋਧੋ

nano -$ /mnt/boot/grub/grub.cfg 

ਫਾਈਲ ਖੋਜ ਦੀ ਜਾਂਚ ਕਰੋ ਕਿ "grub.cfg" ("-ਅਨਿਯੰਤ੍ਰਿਤ" "-ਉਪਭੋਗਤਾ" ਵਿੱਚ ਕਿਤੇ ਵੀ ਕੋਈ ਫਲੈਗ ਨਹੀਂ ਹਨ,
ਬਹੁਤ ਹੀ ਅੰਤ 'ਤੇ ਸ਼ਾਮਿਲ ਕਰੋ (ਲਾਈਨ ### END ਤੋਂ ਪਹਿਲਾਂ /etc/grub.d/41_custom ###)
"ਸੈਟ ਸੁਪਰ ਯੂਜ਼ਰ = "ਰੂਟ"
password_pbkdf2 ਰੂਟ ਹੈਸ਼।"

ਇਹ ਕੁਝ ਇਸ ਤਰ੍ਹਾਂ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ

# ਇਹ ਫਾਈਲ ਕਸਟਮ ਮੀਨੂ ਐਂਟਰੀਆਂ ਨੂੰ ਜੋੜਨ ਦਾ ਇੱਕ ਆਸਾਨ ਤਰੀਕਾ ਪ੍ਰਦਾਨ ਕਰਦੀ ਹੈ। ਬਸ ਟਾਈਪ ਕਰੋ
# ਮੀਨੂ ਐਂਟਰੀਆਂ ਜੋ ਤੁਸੀਂ ਇਸ ਟਿੱਪਣੀ ਤੋਂ ਬਾਅਦ ਸ਼ਾਮਲ ਕਰਨਾ ਚਾਹੁੰਦੇ ਹੋ। ਨਾ ਬਦਲਣ ਲਈ ਸਾਵਧਾਨ ਰਹੋ
# ਉੱਪਰਲੀ ਕਾਰਜਕਾਰੀ ਪੂਛ ਲਾਈਨ.
### ਅੰਤ /etc/grub.d/40_custom ###

### BEGIN /etc/grub.d/41_custom ###
ਜੇਕਰ [ -f ${config_directory}/custom.cfg]; ਫਿਰ
ਸਰੋਤ ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; ਫਿਰ
ਸਰੋਤ $prefix/custom.cfg;
fi
ਸੁਪਰ ਉਪਭੋਗਤਾ = "ਰੂਟ" ਸੈੱਟ ਕਰੋ
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### ਅੰਤ /etc/grub.d/41_custom ###
#

ਜੇਕਰ ਤੁਸੀਂ ਅਕਸਰ "grub-mkconfig -o /mnt/boot/grub/grub.cfg" ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋ ਅਤੇ ਹਰ ਵਾਰ grub.cfg ਵਿੱਚ ਤਬਦੀਲੀਆਂ ਨਹੀਂ ਕਰਨਾ ਚਾਹੁੰਦੇ ਹੋ, ਤਾਂ ਉਪਰੋਕਤ ਲਾਈਨਾਂ ਦਾਖਲ ਕਰੋ। (ਲੌਗਇਨ: ਪਾਸਵਰਡ) ਬਹੁਤ ਹੇਠਾਂ GRUB ਉਪਭੋਗਤਾ ਸਕ੍ਰਿਪਟ ਵਿੱਚ

nano /etc/grub.d/41_custom 

ਬਿੱਲੀ <<EOF
ਸੁਪਰ ਉਪਭੋਗਤਾ = "ਰੂਟ" ਸੈੱਟ ਕਰੋ
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

ਜਦੋਂ ਸੰਰਚਨਾ “grub-mkconfig -o /mnt/boot/grub/grub.cfg” ਤਿਆਰ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਤਾਂ ਪ੍ਰਮਾਣਿਕਤਾ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਲਾਈਨਾਂ grub.cfg ਵਿੱਚ ਆਟੋਮੈਟਿਕ ਹੀ ਜੋੜ ਦਿੱਤੀਆਂ ਜਾਣਗੀਆਂ।
ਇਹ ਪਗ GRUB2 ਪ੍ਰਮਾਣਿਕਤਾ ਸੈੱਟਅੱਪ ਨੂੰ ਪੂਰਾ ਕਰਦਾ ਹੈ।

C6.2. ਡਿਜੀਟਲ ਦਸਤਖਤ ਦੇ ਨਾਲ ਬੂਟਲੋਡਰ ਸੁਰੱਖਿਆਇਹ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ ਕਿ ਤੁਹਾਡੇ ਕੋਲ ਪਹਿਲਾਂ ਹੀ ਤੁਹਾਡੀ ਨਿੱਜੀ pgp ਐਨਕ੍ਰਿਪਸ਼ਨ ਕੁੰਜੀ ਹੈ (ਜਾਂ ਅਜਿਹੀ ਕੁੰਜੀ ਬਣਾਓ)। ਸਿਸਟਮ ਵਿੱਚ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਸਾਫਟਵੇਅਰ ਇੰਸਟਾਲ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ: gnuPG; ਕਲੀਓਪੈਟਰਾ/ਜੀਪੀਏ; ਸਮੁੰਦਰੀ ਘੋੜਾ. ਅਜਿਹੇ ਸਾਰੇ ਮਾਮਲਿਆਂ ਵਿੱਚ ਕ੍ਰਿਪਟੋ ਸੌਫਟਵੇਅਰ ਤੁਹਾਡੀ ਜ਼ਿੰਦਗੀ ਨੂੰ ਬਹੁਤ ਸੌਖਾ ਬਣਾ ਦੇਵੇਗਾ। Seahorse - ਪੈਕੇਜ 3.14.0 ਦਾ ਸਥਿਰ ਸੰਸਕਰਣ (ਉੱਚੇ ਸੰਸਕਰਣ, ਉਦਾਹਰਨ ਲਈ, V3.20, ਨੁਕਸਦਾਰ ਹਨ ਅਤੇ ਮਹੱਤਵਪੂਰਨ ਬੱਗ ਹਨ)।

PGP ਕੁੰਜੀ ਨੂੰ ਸਿਰਫ਼ su ਵਾਤਾਵਰਣ ਵਿੱਚ ਤਿਆਰ/ਲਾਂਚ/ਜੋੜਨ ਦੀ ਲੋੜ ਹੈ!

ਨਿੱਜੀ ਇਨਕ੍ਰਿਪਸ਼ਨ ਕੁੰਜੀ ਤਿਆਰ ਕਰੋ

gpg - -gen-key

ਆਪਣੀ ਕੁੰਜੀ ਨਿਰਯਾਤ ਕਰੋ

gpg --export -o ~/perskey

OS ਵਿੱਚ ਲਾਜ਼ੀਕਲ ਡਿਸਕ ਨੂੰ ਮਾਊਂਟ ਕਰੋ ਜੇਕਰ ਇਹ ਪਹਿਲਾਂ ਤੋਂ ਮਾਊਂਟ ਨਹੀਂ ਹੈ

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

GRUB2 ਭਾਗ ਸਾਫ਼ ਕਰੋ

rm -rf /mnt/

GRUB2 ਨੂੰ sda6 ਵਿੱਚ ਇੰਸਟਾਲ ਕਰੋ, ਮੁੱਖ GRUB ਚਿੱਤਰ "core.img" ਵਿੱਚ ਆਪਣੀ ਨਿੱਜੀ ਕੁੰਜੀ ਪਾਓ।

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

ਚੋਣਾਂ
* --force - ਬੂਟਲੋਡਰ ਨੂੰ ਇੰਸਟਾਲ ਕਰੋ, ਹਮੇਸ਼ਾ ਮੌਜੂਦ ਸਾਰੀਆਂ ਚੇਤਾਵਨੀਆਂ ਨੂੰ ਛੱਡ ਕੇ (ਲੋੜੀਂਦਾ ਝੰਡਾ)
* —modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - PC ਦੇ ਚਾਲੂ ਹੋਣ 'ਤੇ GRUB2 ਨੂੰ ਲੋੜੀਂਦੇ ਮੋਡੀਊਲ ਨੂੰ ਪ੍ਰੀਲੋਡ ਕਰਨ ਲਈ ਨਿਰਦੇਸ਼ ਦਿੰਦਾ ਹੈ।
* -k ~/perskey -“PGP ਕੁੰਜੀ” ਦਾ ਮਾਰਗ (ਚਿੱਤਰ ਵਿੱਚ ਕੁੰਜੀ ਪੈਕ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਇਸਨੂੰ ਮਿਟਾ ਦਿੱਤਾ ਜਾ ਸਕਦਾ ਹੈ)।
* --root-directory -ਬੂਟ ਡਾਇਰੈਕਟਰੀ ਨੂੰ sda6 ਦੇ ਰੂਟ 'ਤੇ ਸੈੱਟ ਕਰੋ
/dev/sda6 - ਤੁਹਾਡਾ sdaX ਭਾਗ।

grub.cfg ਤਿਆਰ/ਅੱਪਡੇਟ ਕਰਨਾ

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

"grub.cfg" ਫਾਈਲ ਦੇ ਅੰਤ ਵਿੱਚ "trust /boot/grub/perskey" ਲਾਈਨ ਜੋੜੋ। (pgp ਕੁੰਜੀ ਦੀ ਜ਼ਬਰਦਸਤੀ ਵਰਤੋਂ।) ਕਿਉਂਕਿ ਅਸੀਂ GRUB2 ਨੂੰ ਮੈਡਿਊਲਾਂ ਦੇ ਇੱਕ ਸੈੱਟ ਨਾਲ ਸਥਾਪਿਤ ਕੀਤਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਦਸਤਖਤ ਮੋਡੀਊਲ “signature_test.mod” ਵੀ ਸ਼ਾਮਲ ਹੈ, ਇਹ ਸੰਰਚਨਾ ਵਿੱਚ “set check_signatures=enforce” ਵਰਗੀਆਂ ਕਮਾਂਡਾਂ ਨੂੰ ਜੋੜਨ ਦੀ ਲੋੜ ਨੂੰ ਖਤਮ ਕਰਦਾ ਹੈ।

ਇਹ ਇਸ ਤਰ੍ਹਾਂ ਕੁਝ ਦਿਖਾਈ ਦੇਣਾ ਚਾਹੀਦਾ ਹੈ (grub.cfg ਫਾਈਲ ਵਿੱਚ ਅੰਤ ਦੀਆਂ ਲਾਈਨਾਂ)

### BEGIN /etc/grub.d/41_custom ###
ਜੇਕਰ [ -f ${config_directory}/custom.cfg]; ਫਿਰ
ਸਰੋਤ ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; ਫਿਰ
ਸਰੋਤ $prefix/custom.cfg;
fi
ਭਰੋਸਾ /boot/grub/perskey
ਸੁਪਰ ਉਪਭੋਗਤਾ = "ਰੂਟ" ਸੈੱਟ ਕਰੋ
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### ਅੰਤ /etc/grub.d/41_custom ###
#

“/boot/grub/perskey” ਦੇ ਮਾਰਗ ਨੂੰ ਕਿਸੇ ਖਾਸ ਡਿਸਕ ਭਾਗ ਵੱਲ ਸੰਕੇਤ ਕਰਨ ਦੀ ਲੋੜ ਨਹੀਂ ਹੈ, ਉਦਾਹਰਨ ਲਈ hd0,6; ਬੂਟਲੋਡਰ ਲਈ, “root” ਭਾਗ ਦਾ ਮੂਲ ਮਾਰਗ ਹੈ ਜਿਸ ਉੱਤੇ GRUB2 ਇੰਸਟਾਲ ਹੈ। (ਦੇਖੋ ਸੈੱਟ ਰੋਟ=...)।

GRUB2 'ਤੇ ਦਸਤਖਤ ਕੀਤੇ ਜਾ ਰਹੇ ਹਨ (ਸਾਰੀਆਂ /GRUB ਡਾਇਰੈਕਟਰੀਆਂ ਵਿੱਚ ਸਾਰੀਆਂ ਫਾਈਲਾਂ) ਤੁਹਾਡੀ ਕੁੰਜੀ "ਪਰਸਕੀ" ਨਾਲ।
ਦਸਤਖਤ ਕਰਨ ਦੇ ਤਰੀਕੇ ਬਾਰੇ ਇੱਕ ਸਧਾਰਨ ਹੱਲ (ਨਟੀਲਸ/ਕਾਜਾ ਐਕਸਪਲੋਰਰ ਲਈ): ਰਿਪੋਜ਼ਟਰੀ ਤੋਂ ਐਕਸਪਲੋਰਰ ਲਈ "ਸਮੁੰਦਰੀ ਘੋੜੇ" ਐਕਸਟੈਂਸ਼ਨ ਨੂੰ ਸਥਾਪਿਤ ਕਰੋ। ਤੁਹਾਡੀ ਕੁੰਜੀ ਨੂੰ su ਵਾਤਾਵਰਣ ਵਿੱਚ ਜੋੜਿਆ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ।
ਸੂਡੋ “/mnt/boot” – RMB – ਚਿੰਨ੍ਹ ਨਾਲ ਐਕਸਪਲੋਰਰ ਖੋਲ੍ਹੋ। ਸਕਰੀਨ 'ਤੇ ਇਹ ਇਸ ਤਰ੍ਹਾਂ ਦਿਖਾਈ ਦਿੰਦਾ ਹੈ

ਕੁੰਜੀ ਆਪਣੇ ਆਪ "/mnt/boot/grub/perskey" ਹੈ (ਗਰਬ ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ ਕਾਪੀ) ਤੁਹਾਡੇ ਆਪਣੇ ਦਸਤਖਤ ਨਾਲ ਵੀ ਦਸਤਖਤ ਕੀਤੇ ਜਾਣੇ ਚਾਹੀਦੇ ਹਨ। ਜਾਂਚ ਕਰੋ ਕਿ [*.sig] ਫਾਈਲ ਦੇ ਦਸਤਖਤ ਡਾਇਰੈਕਟਰੀ/ਸਬ-ਡਾਇਰੈਕਟਰੀਆਂ ਵਿੱਚ ਦਿਖਾਈ ਦਿੰਦੇ ਹਨ।
ਉੱਪਰ ਦੱਸੇ ਢੰਗ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, "/boot" 'ਤੇ ਦਸਤਖਤ ਕਰੋ (ਸਾਡਾ ਕਰਨਲ, initrd)। ਜੇ ਤੁਹਾਡੇ ਸਮੇਂ ਦੀ ਕੋਈ ਕੀਮਤ ਹੈ, ਤਾਂ ਇਹ ਵਿਧੀ "ਬਹੁਤ ਸਾਰੀਆਂ ਫਾਈਲਾਂ" 'ਤੇ ਦਸਤਖਤ ਕਰਨ ਲਈ ਬੈਸ਼ ਸਕ੍ਰਿਪਟ ਲਿਖਣ ਦੀ ਜ਼ਰੂਰਤ ਨੂੰ ਖਤਮ ਕਰ ਦਿੰਦੀ ਹੈ।

ਸਾਰੇ ਬੂਟਲੋਡਰ ਦਸਤਖਤਾਂ ਨੂੰ ਹਟਾਉਣ ਲਈ (ਜੇਕਰ ਕੁਝ ਗਲਤ ਹੋਇਆ ਹੈ)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

ਸਿਸਟਮ ਨੂੰ ਅੱਪਡੇਟ ਕਰਨ ਤੋਂ ਬਾਅਦ ਬੂਟਲੋਡਰ 'ਤੇ ਦਸਤਖਤ ਨਾ ਕਰਨ ਲਈ, ਅਸੀਂ GRUB2 ਨਾਲ ਸਬੰਧਤ ਸਾਰੇ ਅੱਪਡੇਟ ਪੈਕੇਜਾਂ ਨੂੰ ਫ੍ਰੀਜ਼ ਕਰ ਦਿੰਦੇ ਹਾਂ।

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

ਇਸ ਪੜਾਅ 'ਤੇ <ਡਿਜ਼ੀਟਲ ਦਸਤਖਤ ਨਾਲ ਬੂਟਲੋਡਰ ਦੀ ਰੱਖਿਆ ਕਰੋ> GRUB2 ਦੀ ਉੱਨਤ ਸੰਰਚਨਾ ਪੂਰੀ ਹੋ ਗਈ ਹੈ।

C6.3. GRUB2 ਬੂਟਲੋਡਰ ਦਾ ਸਬੂਤ-ਟੈਸਟ, ਡਿਜੀਟਲ ਦਸਤਖਤ ਅਤੇ ਪ੍ਰਮਾਣਿਕਤਾ ਦੁਆਰਾ ਸੁਰੱਖਿਅਤGRUB2. ਕੋਈ ਵੀ GNU/ ਚੁਣਦੇ ਸਮੇਂLinux ਜਾਂ CLI ਦਰਜ ਕਰੋ (ਕਮਾਂਡ ਲਾਈਨ) ਸੁਪਰ ਉਪਭੋਗਤਾ ਅਧਿਕਾਰ ਦੀ ਲੋੜ ਹੋਵੇਗੀ। ਸਹੀ ਯੂਜ਼ਰਨੇਮ/ਪਾਸਵਰਡ ਦਰਜ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਤੁਹਾਨੂੰ initrd ਪਾਸਵਰਡ ਦੀ ਲੋੜ ਪਵੇਗੀ

GRUB2 ਸੁਪਰਯੂਜ਼ਰ ਦੀ ਸਫਲ ਪ੍ਰਮਾਣਿਕਤਾ ਦਾ ਸਕਰੀਨਸ਼ਾਟ।

ਜੇਕਰ ਤੁਸੀਂ ਕਿਸੇ ਵੀ GRUB2 ਫਾਈਲਾਂ ਨਾਲ ਛੇੜਛਾੜ ਕਰਦੇ ਹੋ/ grub.cfg ਵਿੱਚ ਬਦਲਾਅ ਕਰਦੇ ਹੋ, ਜਾਂ ਫਾਈਲ/ਦਸਤਖਤ ਨੂੰ ਮਿਟਾਉਂਦੇ ਹੋ, ਜਾਂ ਇੱਕ ਖਤਰਨਾਕ module.mod ਲੋਡ ਕਰਦੇ ਹੋ, ਤਾਂ ਇੱਕ ਅਨੁਸਾਰੀ ਚੇਤਾਵਨੀ ਦਿਖਾਈ ਦੇਵੇਗੀ। GRUB2 ਲੋਡਿੰਗ ਨੂੰ ਰੋਕ ਦੇਵੇਗਾ।

ਸਕਰੀਨਸ਼ਾਟ, "ਬਾਹਰੋਂ" GRUB2 ਵਿੱਚ ਦਖਲ ਦੇਣ ਦੀ ਕੋਸ਼ਿਸ਼।

"ਸਾਧਾਰਨ" ਬੂਟਿੰਗ ਦੌਰਾਨ "ਘੁਸਪੈਠ ਤੋਂ ਬਿਨਾਂ", ਸਿਸਟਮ ਐਗਜ਼ਿਟ ਕੋਡ ਸਥਿਤੀ "0" ਹੈ। ਇਸ ਲਈ, ਇਹ ਅਣਜਾਣ ਹੈ ਕਿ ਸੁਰੱਖਿਆ ਕੰਮ ਕਰਦੀ ਹੈ ਜਾਂ ਨਹੀਂ (ਅਰਥਾਤ, "ਬੂਟਲੋਡਰ ਦਸਤਖਤ ਸੁਰੱਖਿਆ ਦੇ ਨਾਲ ਜਾਂ ਬਿਨਾਂ" ਆਮ ਲੋਡਿੰਗ ਦੌਰਾਨ ਸਥਿਤੀ ਉਹੀ "0" ਹੁੰਦੀ ਹੈ - ਇਹ ਬੁਰਾ ਹੈ)।

ਡਿਜੀਟਲ ਦਸਤਖਤ ਸੁਰੱਖਿਆ ਦੀ ਜਾਂਚ ਕਿਵੇਂ ਕਰੀਏ?

ਜਾਂਚ ਕਰਨ ਦਾ ਇੱਕ ਅਸੁਵਿਧਾਜਨਕ ਤਰੀਕਾ: GRUB2 ਦੁਆਰਾ ਵਰਤੇ ਗਏ ਇੱਕ ਮੋਡੀਊਲ ਨੂੰ ਜਾਅਲੀ/ਹਟਾਓ, ਉਦਾਹਰਨ ਲਈ, ਹਸਤਾਖਰ luks.mod.sig ਨੂੰ ਹਟਾਓ ਅਤੇ ਇੱਕ ਗਲਤੀ ਪ੍ਰਾਪਤ ਕਰੋ।

ਸਹੀ ਤਰੀਕਾ: ਬੂਟਲੋਡਰ CLI 'ਤੇ ਜਾਓ ਅਤੇ ਕਮਾਂਡ ਟਾਈਪ ਕਰੋ

trust_list

ਜਵਾਬ ਵਿੱਚ, ਤੁਹਾਨੂੰ ਇੱਕ "ਪਰਸਕੀ" ਫਿੰਗਰਪ੍ਰਿੰਟ ਪ੍ਰਾਪਤ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ; ਜੇਕਰ ਸਥਿਤੀ "0" ਹੈ, ਤਾਂ ਦਸਤਖਤ ਸੁਰੱਖਿਆ ਕੰਮ ਨਹੀਂ ਕਰਦੀ, ਪੈਰਾ C6.2 ਦੀ ਦੋ ਵਾਰ ਜਾਂਚ ਕਰੋ।
ਇਸ ਪੜਾਅ 'ਤੇ, ਉੱਨਤ ਸੰਰਚਨਾ "ਡਿਜੀਟਲ ਦਸਤਖਤ ਅਤੇ ਪ੍ਰਮਾਣਿਕਤਾ ਨਾਲ GRUB2 ਦੀ ਸੁਰੱਖਿਆ" ਪੂਰੀ ਹੋ ਗਈ ਹੈ।

C7 ਹੈਸ਼ਿੰਗ ਦੀ ਵਰਤੋਂ ਕਰਕੇ GRUB2 ਬੂਟਲੋਡਰ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਦਾ ਵਿਕਲਪਿਕ ਤਰੀਕਾਉੱਪਰ ਦੱਸਿਆ ਗਿਆ "CPU ਬੂਟ ਲੋਡਰ ਪ੍ਰੋਟੈਕਸ਼ਨ/ਪ੍ਰਮਾਣਿਕਤਾ" ਵਿਧੀ ਇੱਕ ਕਲਾਸਿਕ ਹੈ। GRUB2 ਦੀਆਂ ਅਪੂਰਣਤਾਵਾਂ ਦੇ ਕਾਰਨ, ਪਾਗਲ ਹਾਲਤਾਂ ਵਿੱਚ ਇਹ ਇੱਕ ਅਸਲ ਹਮਲੇ ਲਈ ਸੰਵੇਦਨਸ਼ੀਲ ਹੈ, ਜੋ ਮੈਂ ਹੇਠਾਂ ਪੈਰਾ [F] ਵਿੱਚ ਦੇਵਾਂਗਾ। ਇਸ ਤੋਂ ਇਲਾਵਾ, OS/ਕਰਨਲ ਨੂੰ ਅੱਪਡੇਟ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਬੂਟਲੋਡਰ ਨੂੰ ਦੁਬਾਰਾ ਸਾਈਨ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ।

ਹੈਸ਼ਿੰਗ ਦੀ ਵਰਤੋਂ ਕਰਕੇ GRUB2 ਬੂਟਲੋਡਰ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨਾ

ਕਲਾਸਿਕ ਨਾਲੋਂ ਫਾਇਦੇ:

• ਭਰੋਸੇਯੋਗਤਾ ਦੇ ਉੱਚ ਪੱਧਰ (ਹੈਸ਼ਿੰਗ/ਤਸਦੀਕ ਸਿਰਫ ਇੱਕ ਏਨਕ੍ਰਿਪਟ ਕੀਤੇ ਸਥਾਨਕ ਸਰੋਤ ਤੋਂ ਹੁੰਦੀ ਹੈ। GRUB2 ਦੇ ਅਧੀਨ ਪੂਰਾ ਨਿਰਧਾਰਤ ਭਾਗ ਕਿਸੇ ਵੀ ਤਬਦੀਲੀ ਲਈ ਨਿਯੰਤਰਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਅਤੇ ਬਾਕੀ ਸਭ ਕੁਝ ਏਨਕ੍ਰਿਪਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ; CPU ਲੋਡਰ ਸੁਰੱਖਿਆ/ਪ੍ਰਮਾਣੀਕਰਨ ਵਾਲੀ ਕਲਾਸਿਕ ਸਕੀਮ ਵਿੱਚ, ਸਿਰਫ ਫਾਈਲਾਂ ਨੂੰ ਨਿਯੰਤਰਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਪਰ ਮੁਫਤ ਨਹੀਂ। ਸਪੇਸ, ਜਿਸ ਵਿੱਚ "ਕੁਝ" ਕੁਝ ਭਿਆਨਕ" ਜੋੜਿਆ ਜਾ ਸਕਦਾ ਹੈ)।
• ਐਨਕ੍ਰਿਪਟਡ ਲੌਗਿੰਗ (ਇੱਕ ਮਨੁੱਖੀ-ਪੜ੍ਹਨਯੋਗ ਨਿੱਜੀ ਐਨਕ੍ਰਿਪਟਡ ਲੌਗ ਸਕੀਮ ਵਿੱਚ ਸ਼ਾਮਲ ਕੀਤਾ ਗਿਆ ਹੈ)।
• ਸਪੀਡ (GRUB2 ਲਈ ਨਿਰਧਾਰਤ ਕੀਤੇ ਪੂਰੇ ਭਾਗ ਦੀ ਸੁਰੱਖਿਆ/ਤਸਦੀਕ ਲਗਭਗ ਤੁਰੰਤ ਹੁੰਦੀ ਹੈ)।
• ਸਾਰੀਆਂ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਪ੍ਰਕਿਰਿਆਵਾਂ ਦਾ ਸਵੈਚਾਲਨ।

ਕਲਾਸਿਕ ਉੱਤੇ ਨੁਕਸਾਨ.

• ਦਸਤਖਤ ਦੀ ਜਾਅਲੀ (ਸਿਧਾਂਤਕ ਤੌਰ 'ਤੇ, ਦਿੱਤੇ ਗਏ ਹੈਸ਼ ਫੰਕਸ਼ਨ ਟੱਕਰ ਨੂੰ ਲੱਭਣਾ ਸੰਭਵ ਹੈ)।
• ਵਧੀ ਹੋਈ ਮੁਸ਼ਕਲ ਦਾ ਪੱਧਰ (ਕਲਾਸਿਕ ਦੇ ਮੁਕਾਬਲੇ, ਇਸਨੂੰ GNU OS ਵਿੱਚ ਥੋੜ੍ਹਾ ਹੋਰ ਹੁਨਰ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ/Linux).

GRUB2/ਪਾਰਟੀਸ਼ਨ ਹੈਸ਼ਿੰਗ ਆਈਡੀਆ ਕਿਵੇਂ ਕੰਮ ਕਰਦਾ ਹੈ

GRUB2 ਭਾਗ "ਦਸਤਖਤ" ਹੁੰਦਾ ਹੈ; ਜਦੋਂ OS ਬੂਟ ਹੁੰਦਾ ਹੈ, ਬੂਟ ਲੋਡਰ ਭਾਗ ਨੂੰ ਅਟੱਲਤਾ ਲਈ ਜਾਂਚਿਆ ਜਾਂਦਾ ਹੈ, ਇਸ ਤੋਂ ਬਾਅਦ ਇੱਕ ਸੁਰੱਖਿਅਤ (ਇਨਕ੍ਰਿਪਟਡ) ਵਾਤਾਵਰਣ ਵਿੱਚ ਲਾਗਇਨ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਜੇਕਰ ਬੂਟਲੋਡਰ ਜਾਂ ਇਸਦੇ ਭਾਗ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ ਹੈ, ਤਾਂ ਘੁਸਪੈਠ ਲੌਗ ਤੋਂ ਇਲਾਵਾ, ਹੇਠਾਂ ਦਿੱਤਾ ਗਿਆ ਹੈ:

ਗੱਲ.

ਇੱਕ ਸਮਾਨ ਜਾਂਚ ਦਿਨ ਵਿੱਚ ਚਾਰ ਵਾਰ ਹੁੰਦੀ ਹੈ, ਜੋ ਸਿਸਟਮ ਸਰੋਤਾਂ ਨੂੰ ਲੋਡ ਨਹੀਂ ਕਰਦੀ ਹੈ।
“-$ check_GRUB” ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, ਕਿਸੇ ਵੀ ਸਮੇਂ ਬਿਨਾਂ ਲੌਗਿੰਗ ਦੇ, ਪਰ CLI ਨੂੰ ਜਾਣਕਾਰੀ ਆਉਟਪੁੱਟ ਦੇ ਨਾਲ ਤੁਰੰਤ ਜਾਂਚ ਹੁੰਦੀ ਹੈ।
ਕਮਾਂਡ “-$ sudo signature_GRUB” ਦੀ ਵਰਤੋਂ ਕਰਕੇ, GRUB2 ਬੂਟ ਲੋਡਰ/ਭਾਗ ਨੂੰ ਤੁਰੰਤ ਮੁੜ-ਦਸਤਖਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਅਤੇ ਇਸਦੀ ਅੱਪਡੇਟ ਕੀਤੀ ਲਾਗਿੰਗ। (OS/ਬੂਟ ਅੱਪਡੇਟ ਤੋਂ ਬਾਅਦ ਜ਼ਰੂਰੀ), ਅਤੇ ਜੀਵਨ ਜਾਰੀ ਰਹਿੰਦਾ ਹੈ।

ਬੂਟਲੋਡਰ ਅਤੇ ਇਸਦੇ ਭਾਗ ਲਈ ਹੈਸ਼ਿੰਗ ਵਿਧੀ ਨੂੰ ਲਾਗੂ ਕਰਨਾ

0) ਆਉ ਪਹਿਲਾਂ ਇਸਨੂੰ /media/username ਵਿੱਚ ਮਾਊਂਟ ਕਰਕੇ GRUB ਬੂਟਲੋਡਰ/ਭਾਗ ਉੱਤੇ ਦਸਤਖਤ ਕਰੀਏ।

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) ਅਸੀਂ ਏਨਕ੍ਰਿਪਟਡ OS ~/podpis ਦੇ ਰੂਟ ਵਿੱਚ ਇੱਕ ਐਕਸਟੈਂਸ਼ਨ ਦੇ ਬਿਨਾਂ ਇੱਕ ਸਕ੍ਰਿਪਟ ਬਣਾਉਂਦੇ ਹਾਂ, ਇਸ 'ਤੇ ਲੋੜੀਂਦੇ 744 ਸੁਰੱਖਿਆ ਅਧਿਕਾਰਾਂ ਅਤੇ ਫੂਲਪਰੂਫ ਸੁਰੱਖਿਆ ਨੂੰ ਲਾਗੂ ਕਰਦੇ ਹਾਂ।

ਇਸ ਦੀ ਸਮੱਗਰੀ ਨੂੰ ਭਰਨਾ

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

ਤੋਂ ਸਕ੍ਰਿਪਟ ਚਲਾਓ su, GRUB ਭਾਗ ਅਤੇ ਇਸਦੇ ਬੂਟਲੋਡਰ ਦੀ ਹੈਸ਼ਿੰਗ ਦੀ ਜਾਂਚ ਕੀਤੀ ਜਾਵੇਗੀ, ਲਾਗ ਨੂੰ ਸੰਭਾਲੋ।

ਚਲੋ, ਉਦਾਹਰਨ ਲਈ, GRUB2 ਭਾਗ ਵਿੱਚ ਇੱਕ “ਖਰਾਬ ਫਾਈਲ” [virus.mod] ਬਣਾਉ ਜਾਂ ਕਾਪੀ ਕਰੀਏ ਅਤੇ ਇੱਕ ਅਸਥਾਈ ਸਕੈਨ/ਟੈਸਟ ਚਲਾਓ:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

ਸੀ.ਐਲ.ਆਈ. ਨੂੰ ਸਾਡੇ ਗੜ੍ਹ 'ਤੇ ਹਮਲਾ ਦੇਖਣਾ ਚਾਹੀਦਾ ਹੈ-# CLI ਵਿੱਚ ਟ੍ਰਿਮਡ ਲੌਗ

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

#ਜਿਵੇਂ ਕਿ ਤੁਸੀਂ ਦੇਖ ਸਕਦੇ ਹੋ, "ਫਾਇਲਾਂ ਨੂੰ ਮੂਵ ਕੀਤਾ ਗਿਆ: 1 ਅਤੇ ਆਡਿਟ ਅਸਫਲ" ਦਿਖਾਈ ਦਿੰਦਾ ਹੈ, ਜਿਸਦਾ ਮਤਲਬ ਹੈ ਕਿ ਜਾਂਚ ਅਸਫਲ ਰਹੀ।
ਭਾਗ ਦੀ ਜਾਂਚ ਕੀਤੀ ਜਾ ਰਹੀ ਪ੍ਰਕਿਰਤੀ ਦੇ ਕਾਰਨ, “ਨਵੀਆਂ ਫਾਈਲਾਂ ਲੱਭੀਆਂ” > “ਫਾਇਲਾਂ ਤਬਦੀਲ ਕੀਤੀਆਂ” ਦੀ ਬਜਾਏ

2) GIF ਨੂੰ ਇੱਥੇ ਰੱਖੋ > ~/warning.gif, ਅਨੁਮਤੀਆਂ ਨੂੰ 744 'ਤੇ ਸੈੱਟ ਕਰੋ।

3) ਬੂਟ ਹੋਣ 'ਤੇ GRUB ਭਾਗ ਨੂੰ ਆਟੋਮਾਊਂਟ ਕਰਨ ਲਈ fstab ਦੀ ਸੰਰਚਨਾ ਕੀਤੀ ਜਾ ਰਹੀ ਹੈ

-$ sudo nano /etc/fstab

LABEL=GRUB /media/username/GRUB ext4 ਡਿਫਾਲਟ 0 0

4) ਲਾਗ ਨੂੰ ਘੁੰਮਾਇਆ ਜਾ ਰਿਹਾ ਹੈ

-$ sudo nano /etc/logrotate.d/podpis 

/var/log/podpis.txt {
ਰੋਜ਼ਾਨਾ ਦੀ
ਘੁੰਮਾਓ 50
ਅਕਾਰ 5 ਐਮ
ਤਾਰੀਖ
ਕੰਪਰੈੱਸ ਕਰੋ
ਦੇਰੀ ਕੰਪ੍ਰੈਸ
olddir /var/log/old
}

/var/log/vtorjenie.txt {
ਮਾਸਿਕ
ਘੁੰਮਾਓ 5
ਅਕਾਰ 5 ਐਮ
ਤਾਰੀਖ
olddir /var/log/old
}

5) ਕ੍ਰੋਨ ਵਿੱਚ ਇੱਕ ਨੌਕਰੀ ਸ਼ਾਮਲ ਕਰੋ

-$ sudo crontab -e

ਮੁੜ - ਚਾਲੂ '/ ਗਾਹਕੀ'
0 */6 * * * '/podpis

6) ਸਥਾਈ ਉਪਨਾਮ ਬਣਾਉਣਾ

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

OS ਅੱਪਡੇਟ ਦੇ ਬਾਅਦ -$ apt-get upgrade ਸਾਡੇ GRUB ਭਾਗ ਨੂੰ ਦੁਬਾਰਾ ਸਾਈਨ ਕਰੋ
-$ подпись_GRUB
ਇਸ ਸਮੇਂ, GRUB ਭਾਗ ਦੀ ਹੈਸ਼ਿੰਗ ਸੁਰੱਖਿਆ ਪੂਰੀ ਹੋ ਗਈ ਹੈ।

[ਡੀ] ਪੂੰਝਣਾ - ਅਣਏਨਕ੍ਰਿਪਟਡ ਡੇਟਾ ਦਾ ਵਿਨਾਸ਼

ਸਾਊਥ ਕੈਰੋਲੀਨਾ ਦੇ ਬੁਲਾਰੇ ਟ੍ਰੇ ਗੌਡੀ ਦੇ ਅਨੁਸਾਰ, ਆਪਣੀਆਂ ਨਿੱਜੀ ਫਾਈਲਾਂ ਨੂੰ ਪੂਰੀ ਤਰ੍ਹਾਂ ਮਿਟਾਓ ਤਾਂ ਕਿ "ਰੱਬ ਵੀ ਉਨ੍ਹਾਂ ਨੂੰ ਪੜ੍ਹ ਨਾ ਸਕੇ."

ਆਮ ਵਾਂਗ, ਇੱਥੇ ਵੱਖ-ਵੱਖ "ਮਿਥਿਹਾਸ ਅਤੇ ਦੰਤਕਥਾਵਾਂ", ਹਾਰਡ ਡਰਾਈਵ ਤੋਂ ਮਿਟਾਏ ਜਾਣ ਤੋਂ ਬਾਅਦ ਡਾਟਾ ਰੀਸਟੋਰ ਕਰਨ ਬਾਰੇ। ਜੇਕਰ ਤੁਸੀਂ ਸਾਈਬਰਵਿਚਕ੍ਰਾਫਟ ਵਿੱਚ ਵਿਸ਼ਵਾਸ ਕਰਦੇ ਹੋ, ਜਾਂ ਡਾਕਟਰ ਵੈੱਬ ਕਮਿਊਨਿਟੀ ਦੇ ਮੈਂਬਰ ਹੋ ਅਤੇ ਇਸਨੂੰ ਮਿਟਾਉਣ/ਓਵਰਰਾਈਟ ਕੀਤੇ ਜਾਣ ਤੋਂ ਬਾਅਦ ਕਦੇ ਵੀ ਡਾਟਾ ਰਿਕਵਰੀ ਦੀ ਕੋਸ਼ਿਸ਼ ਨਹੀਂ ਕੀਤੀ ਹੈ। (ਉਦਾਹਰਨ ਲਈ, ਆਰ-ਸਟੂਡੀਓ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਰਿਕਵਰੀ), ਫਿਰ ਪ੍ਰਸਤਾਵਿਤ ਵਿਧੀ ਤੁਹਾਡੇ ਅਨੁਕੂਲ ਹੋਣ ਦੀ ਸੰਭਾਵਨਾ ਨਹੀਂ ਹੈ, ਉਹ ਵਰਤੋ ਜੋ ਤੁਹਾਡੇ ਸਭ ਤੋਂ ਨੇੜੇ ਹੈ।

GNU/ ਦੇ ਸਫਲ ਪੋਰਟ ਤੋਂ ਬਾਅਦLinux ਇੱਕ ਇਨਕ੍ਰਿਪਟਡ ਭਾਗ ਵਿੱਚ, ਪੁਰਾਣੀ ਕਾਪੀ ਨੂੰ ਡਾਟਾ ਰਿਕਵਰੀ ਦੀ ਸੰਭਾਵਨਾ ਤੋਂ ਬਿਨਾਂ ਮਿਟਾਉਣਾ ਚਾਹੀਦਾ ਹੈ। ਯੂਨੀਵਰਸਲ ਸਫਾਈ ਵਿਧੀ: ਲਈ ਸਾਫਟਵੇਅਰ Windows/Linux ਮੁਫ਼ਤ GUI ਸਾਫਟਵੇਅਰ ਬਲੀਚਬਿੱਟ.
ਤੇਜ਼ ਭਾਗ ਨੂੰ ਫਾਰਮੈਟ ਕਰੋ, ਜਿਸ 'ਤੇ ਡਾਟਾ ਨਸ਼ਟ ਕਰਨ ਦੀ ਲੋੜ ਹੈ (Gparted ਦੁਆਰਾ) ਬਲੀਚਬਿਟ ਨੂੰ ਲਾਂਚ ਕਰੋ, "ਖਾਲੀ ਥਾਂ ਸਾਫ਼ ਕਰੋ" ਚੁਣੋ - ਭਾਗ ਚੁਣੋ (ਤੁਹਾਡਾ sdaX, GNU/ ਦੀ ਪਿਛਲੀ ਕਾਪੀ ਦੇ ਨਾਲ)Linux), ਉਤਾਰਨ ਦੀ ਪ੍ਰਕਿਰਿਆ ਸ਼ੁਰੂ ਹੋ ਜਾਵੇਗੀ। ਬਲੀਚਬਿਟ - ਇੱਕ ਪਾਸ ਵਿੱਚ ਡਿਸਕ ਨੂੰ ਪੂੰਝਦਾ ਹੈ - ਇਹ ਉਹ ਹੈ ਜੋ "ਸਾਨੂੰ ਚਾਹੀਦਾ ਹੈ", ਪਰ! ਇਹ ਕੇਵਲ ਸਿਧਾਂਤ ਵਿੱਚ ਕੰਮ ਕਰਦਾ ਹੈ ਜੇਕਰ ਤੁਸੀਂ ਡਿਸਕ ਨੂੰ ਫਾਰਮੈਟ ਕੀਤਾ ਹੈ ਅਤੇ ਇਸਨੂੰ BB v2.0 ਸੌਫਟਵੇਅਰ ਵਿੱਚ ਸਾਫ਼ ਕੀਤਾ ਹੈ।

ਧਿਆਨ ਦਿਓ! BB ਡਿਸਕ ਨੂੰ ਪੂੰਝਦਾ ਹੈ, ਮੈਟਾਡੇਟਾ ਛੱਡਦਾ ਹੈ; ਜਦੋਂ ਡਾਟਾ ਖਤਮ ਹੋ ਜਾਂਦਾ ਹੈ ਤਾਂ ਫਾਈਲ ਨਾਮ ਸੁਰੱਖਿਅਤ ਹੁੰਦੇ ਹਨ (Ccleaner - ਮੈਟਾਡੇਟਾ ਨਹੀਂ ਛੱਡਦਾ).

ਅਤੇ ਡੇਟਾ ਰਿਕਵਰੀ ਦੀ ਸੰਭਾਵਨਾ ਬਾਰੇ ਮਿੱਥ ਪੂਰੀ ਤਰ੍ਹਾਂ ਇੱਕ ਮਿੱਥ ਨਹੀਂ ਹੈ.ਬਲੀਚਬਿਟ V2.0-2 ਸਾਬਕਾ ਅਸਥਿਰ OS ਪੈਕੇਜ Debian (ਅਤੇ ਕੋਈ ਹੋਰ ਸਮਾਨ ਸਾਫਟਵੇਅਰ: sfill; wipe-Nautilus - ਵੀ ਇਸ ਗੰਦੇ ਕਾਰੋਬਾਰ ਵਿੱਚ ਦੇਖਿਆ ਗਿਆ ਸੀ) ਅਸਲ ਵਿੱਚ ਇੱਕ ਗੰਭੀਰ ਬੱਗ ਸੀ: "ਫ੍ਰੀ ਸਪੇਸ ਕਲੀਅਰਿੰਗ" ਫੰਕਸ਼ਨ ਇਹ ਗਲਤ ਕੰਮ ਕਰਦਾ ਹੈ HDD/ਫਲੈਸ਼ ਡਰਾਈਵਾਂ 'ਤੇ (ntfs/ext4). ਇਸ ਕਿਸਮ ਦਾ ਸੌਫਟਵੇਅਰ, ਖਾਲੀ ਥਾਂ ਨੂੰ ਸਾਫ਼ ਕਰਨ ਵੇਲੇ, ਪੂਰੀ ਡਿਸਕ ਨੂੰ ਓਵਰਰਾਈਟ ਨਹੀਂ ਕਰਦਾ, ਜਿਵੇਂ ਕਿ ਬਹੁਤ ਸਾਰੇ ਉਪਭੋਗਤਾ ਸੋਚਦੇ ਹਨ। ਅਤੇ ਕੁਝ (ਬਹੁਤ ਸਾਰੇ) ਮਿਟਾਏ ਗਏ ਡੇਟਾ OS/ਸਾਫਟਵੇਅਰ ਇਸ ਡੇਟਾ ਨੂੰ ਗੈਰ-ਹਟਾਏ/ਉਪਭੋਗਤਾ ਡੇਟਾ ਦੇ ਤੌਰ ਤੇ ਮੰਨਦੇ ਹਨ ਅਤੇ "OSP" ਨੂੰ ਸਾਫ਼ ਕਰਦੇ ਸਮੇਂ ਇਹ ਇਹਨਾਂ ਫਾਈਲਾਂ ਨੂੰ ਛੱਡ ਦਿੰਦੇ ਹਨ। ਸਮੱਸਿਆ ਇਹ ਹੈ ਕਿ ਇੰਨੇ ਲੰਬੇ ਸਮੇਂ ਬਾਅਦ, ਡਿਸਕ ਨੂੰ ਸਾਫ਼ ਕਰਨਾ "ਮਿਟਾਈਆਂ ਗਈਆਂ ਫਾਈਲਾਂ" ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ ਡਿਸਕ ਨੂੰ ਪੂੰਝਣ ਦੇ 3+ ਪਾਸ ਹੋਣ ਤੋਂ ਬਾਅਦ ਵੀ।
GNU/ ਤੇLinux ਬਲੀਚਬਿਟ ਵਿੱਚ 2.0-2 ਫਾਈਲਾਂ ਅਤੇ ਡਾਇਰੈਕਟਰੀਆਂ ਨੂੰ ਸਥਾਈ ਤੌਰ 'ਤੇ ਮਿਟਾਉਣ ਦੇ ਫੰਕਸ਼ਨ ਭਰੋਸੇਯੋਗ ਢੰਗ ਨਾਲ ਕੰਮ ਕਰਦੇ ਹਨ, ਪਰ ਖਾਲੀ ਥਾਂ ਦੀ ਸਫਾਈ ਨਹੀਂ ਕਰਦੀ। ਤੁਲਨਾ ਲਈ: Windows CCleaner ਵਿੱਚ, "OSP for NTFS" ਫੰਕਸ਼ਨ ਸਹੀ ਢੰਗ ਨਾਲ ਕੰਮ ਕਰਦਾ ਹੈ, ਅਤੇ ਰੱਬ ਅਸਲ ਵਿੱਚ ਮਿਟਾਏ ਗਏ ਡੇਟਾ ਨੂੰ ਪੜ੍ਹਨ ਦੇ ਯੋਗ ਨਹੀਂ ਹੋਵੇਗਾ।

ਅਤੇ ਇਸ ਲਈ, ਚੰਗੀ ਤਰ੍ਹਾਂ ਹਟਾਉਣ ਲਈ "ਸਮਝੌਤਾ" ਪੁਰਾਣਾ ਐਨਕ੍ਰਿਪਟਡ ਡੇਟਾ, ਬਲੀਚਬਿਟ ਨੂੰ ਇਸ ਡੇਟਾ ਤੱਕ ਸਿੱਧੀ ਪਹੁੰਚ ਦੀ ਲੋੜ ਹੈ, ਫਿਰ, "ਫਾਇਲਾਂ/ਡਾਇਰੈਕਟਰੀਆਂ ਨੂੰ ਸਥਾਈ ਤੌਰ 'ਤੇ ਮਿਟਾਓ" ਫੰਕਸ਼ਨ ਦੀ ਵਰਤੋਂ ਕਰੋ।
"ਸਟੈਂਡਰਡ ਓਐਸ ਟੂਲਸ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਡਿਲੀਟ ਕੀਤੀਆਂ ਫਾਈਲਾਂ" ਨੂੰ ਮਿਟਾਉਣ ਲਈ Windows "OSP" ਵਿਸ਼ੇਸ਼ਤਾ ਦੇ ਨਾਲ CCleaner/BB ਦੀ ਵਰਤੋਂ ਕਰੋ। GNU/ ਵਿੱਚLinux ਇਸ ਸਮੱਸਿਆ ਉੱਤੇ (ਮਿਟਾਈਆਂ ਗਈਆਂ ਫਾਈਲਾਂ ਨੂੰ ਮਿਟਾਓ) ਤੁਹਾਨੂੰ ਆਪਣੇ ਆਪ ਅਭਿਆਸ ਕਰਨ ਦੀ ਲੋੜ ਹੈ (ਡੇਟਾ ਮਿਟਾਉਣਾ + ਇਸਨੂੰ ਰੀਸਟੋਰ ਕਰਨ ਦੀ ਇੱਕ ਸੁਤੰਤਰ ਕੋਸ਼ਿਸ਼ ਅਤੇ ਤੁਹਾਨੂੰ ਸੌਫਟਵੇਅਰ ਸੰਸਕਰਣ 'ਤੇ ਭਰੋਸਾ ਨਹੀਂ ਕਰਨਾ ਚਾਹੀਦਾ (ਜੇਕਰ ਬੁੱਕਮਾਰਕ ਨਹੀਂ, ਤਾਂ ਇੱਕ ਬੱਗ)), ਸਿਰਫ ਇਸ ਸਥਿਤੀ ਵਿੱਚ ਤੁਸੀਂ ਇਸ ਸਮੱਸਿਆ ਦੀ ਵਿਧੀ ਨੂੰ ਸਮਝਣ ਦੇ ਯੋਗ ਹੋਵੋਗੇ ਅਤੇ ਮਿਟਾਏ ਗਏ ਡੇਟਾ ਤੋਂ ਪੂਰੀ ਤਰ੍ਹਾਂ ਛੁਟਕਾਰਾ ਪਾ ਸਕੋਗੇ।

ਮੈਂ ਬਲੀਚਬਿਟ v3.0 ਦੀ ਜਾਂਚ ਨਹੀਂ ਕੀਤੀ ਹੈ, ਹੋ ਸਕਦਾ ਹੈ ਕਿ ਸਮੱਸਿਆ ਪਹਿਲਾਂ ਹੀ ਹੱਲ ਹੋ ਗਈ ਹੋਵੇ।
ਬਲੀਚਬਿਟ v2.0 ਇਮਾਨਦਾਰੀ ਨਾਲ ਕੰਮ ਕਰਦਾ ਹੈ।

ਇਸ ਪੜਾਅ 'ਤੇ, ਡਿਸਕ ਪੂੰਝਣਾ ਪੂਰਾ ਹੋ ਗਿਆ ਹੈ।

[E] ਐਨਕ੍ਰਿਪਟਡ OS ਦਾ ਯੂਨੀਵਰਸਲ ਬੈਕਅੱਪ

ਹਰੇਕ ਉਪਭੋਗਤਾ ਕੋਲ ਡੇਟਾ ਦਾ ਬੈਕਅੱਪ ਲੈਣ ਦਾ ਆਪਣਾ ਤਰੀਕਾ ਹੁੰਦਾ ਹੈ, ਪਰ ਏਨਕ੍ਰਿਪਟਡ ਸਿਸਟਮ OS ਡੇਟਾ ਨੂੰ ਕੰਮ ਲਈ ਥੋੜਾ ਵੱਖਰਾ ਤਰੀਕਾ ਚਾਹੀਦਾ ਹੈ। ਯੂਨੀਫਾਈਡ ਸੌਫਟਵੇਅਰ, ਜਿਵੇਂ ਕਿ ਕਲੋਨਜ਼ਿਲਾ ਅਤੇ ਸਮਾਨ ਸੌਫਟਵੇਅਰ, ਐਨਕ੍ਰਿਪਟਡ ਡੇਟਾ ਨਾਲ ਸਿੱਧੇ ਕੰਮ ਨਹੀਂ ਕਰ ਸਕਦੇ ਹਨ।

ਏਨਕ੍ਰਿਪਟਡ ਬਲਾਕ ਡਿਵਾਈਸਾਂ ਦਾ ਬੈਕਅੱਪ ਲੈਣ ਦੀ ਸਮੱਸਿਆ ਦਾ ਬਿਆਨ:

1. ਸਰਵਵਿਆਪਕਤਾ - ਲਈ ਉਹੀ ਬੈਕਅੱਪ ਐਲਗੋਰਿਦਮ/ਸਾਫਟਵੇਅਰ Windows/Linux;
2. ਕਿਸੇ ਵੀ GNU ਲਾਈਵ USB ਨਾਲ ਕੰਸੋਲ ਵਿੱਚ ਕੰਮ ਕਰਨ ਦੀ ਸਮਰੱਥਾ/Linux ਵਾਧੂ ਸਾਫਟਵੇਅਰ ਡਾਊਨਲੋਡ ਕਰਨ ਦੀ ਲੋੜ ਤੋਂ ਬਿਨਾਂ (ਪਰ ਫਿਰ ਵੀ GUI ਦੀ ਸਿਫ਼ਾਰਸ਼ ਕਰੋ);
3. ਬੈਕਅੱਪ ਕਾਪੀਆਂ ਦੀ ਸੁਰੱਖਿਆ - ਸਟੋਰ ਕੀਤੀਆਂ "ਚਿੱਤਰਾਂ" ਨੂੰ ਐਨਕ੍ਰਿਪਟਡ/ਪਾਸਵਰਡ-ਸੁਰੱਖਿਅਤ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ;
4. ਐਨਕ੍ਰਿਪਟਡ ਡੇਟਾ ਦਾ ਆਕਾਰ ਕਾਪੀ ਕੀਤੇ ਜਾ ਰਹੇ ਅਸਲ ਡੇਟਾ ਦੇ ਆਕਾਰ ਨਾਲ ਮੇਲ ਖਾਂਦਾ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ;
5. ਇੱਕ ਬੈਕਅੱਪ ਕਾਪੀ ਤੋਂ ਲੋੜੀਂਦੀਆਂ ਫਾਈਲਾਂ ਦੀ ਸੁਵਿਧਾਜਨਕ ਐਕਸਟਰੈਕਸ਼ਨ (ਪਹਿਲਾਂ ਪੂਰੇ ਭਾਗ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਕਰਨ ਦੀ ਕੋਈ ਲੋੜ ਨਹੀਂ)

ਉਦਾਹਰਨ ਲਈ, “dd” ਉਪਯੋਗਤਾ ਦੁਆਰਾ ਬੈਕਅੱਪ/ਰੀਸਟੋਰ ਕਰੋ

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

ਇਹ ਕੰਮ ਦੇ ਲਗਭਗ ਸਾਰੇ ਬਿੰਦੂਆਂ ਨਾਲ ਮੇਲ ਖਾਂਦਾ ਹੈ, ਪਰ ਬਿੰਦੂ 4 ਦੇ ਅਨੁਸਾਰ ਇਹ ਆਲੋਚਨਾ ਦਾ ਸਾਹਮਣਾ ਨਹੀਂ ਕਰਦਾ, ਕਿਉਂਕਿ ਇਹ ਖਾਲੀ ਥਾਂ ਸਮੇਤ ਪੂਰੇ ਡਿਸਕ ਭਾਗ ਦੀ ਨਕਲ ਕਰਦਾ ਹੈ - ਦਿਲਚਸਪ ਨਹੀਂ ਹੈ।

ਉਦਾਹਰਣ ਵਜੋਂ, GNU/ ਬੈਕਅੱਪLinux ਆਰਚੀਵਰ [tar» | gpg] ਰਾਹੀਂ ਸੁਵਿਧਾਜਨਕ ਹੈ, ਪਰ ਬੈਕਅੱਪ ਲਈ Windows ਸਾਨੂੰ ਕੋਈ ਹੋਰ ਹੱਲ ਲੱਭਣ ਦੀ ਲੋੜ ਹੈ - ਇਹ ਦਿਲਚਸਪ ਨਹੀਂ ਹੈ।

E1. ਯੂਨੀਵਰਸਲ ਬੈਕਅੱਪ Windows/Linuxrsync (Grsync) + VeraCrypt ਵਾਲੀਅਮ ਸੁਮੇਲਬੈਕਅੱਪ ਕਾਪੀ ਬਣਾਉਣ ਲਈ ਐਲਗੋਰਿਦਮ:

1. ਇੱਕ ਇਨਕ੍ਰਿਪਟਡ ਕੰਟੇਨਰ ਬਣਾਉਣਾ (ਵਾਲੀਅਮ/ਫਾਈਲ) OS ਲਈ VeraCrypt;
2. VeraCrypt ਕ੍ਰਿਪਟੋ ਕੰਟੇਨਰ ਵਿੱਚ Rsync ਸੌਫਟਵੇਅਰ ਦੀ ਵਰਤੋਂ ਕਰਕੇ OS ਨੂੰ ਟ੍ਰਾਂਸਫਰ/ਸਿੰਕਰੋਨਾਈਜ਼ ਕਰੋ;
3. ਜੇਕਰ ਲੋੜ ਹੋਵੇ, ਤਾਂ VeraCrypt ਵਾਲੀਅਮ ਨੂੰ www 'ਤੇ ਅੱਪਲੋਡ ਕਰਨਾ।

ਇੱਕ ਐਨਕ੍ਰਿਪਟਡ VeraCrypt ਕੰਟੇਨਰ ਬਣਾਉਣ ਦੀਆਂ ਆਪਣੀਆਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਹਨ:
ਇੱਕ ਗਤੀਸ਼ੀਲ ਵਾਲੀਅਮ ਬਣਾਉਣਾ (ਡੀਟੀ ਦੀ ਸਿਰਜਣਾ ਸਿਰਫ਼ ਇਸ ਵਿੱਚ ਉਪਲਬਧ ਹੈ Windows, ਨੂੰ GNU/ ਵਿੱਚ ਵੀ ਵਰਤਿਆ ਜਾ ਸਕਦਾ ਹੈLinux);
ਇੱਕ ਨਿਯਮਤ ਵਾਲੀਅਮ ਬਣਾਉਣਾ, ਪਰ ਇੱਕ "ਪੈਰਾਨੋਇਡ ਅੱਖਰ" ਦੀ ਲੋੜ ਹੈ (ਡਿਵੈਲਪਰ ਦੇ ਅਨੁਸਾਰ) - ਕੰਟੇਨਰ ਫਾਰਮੈਟਿੰਗ.

ਓਐਸ ਵਿੱਚ ਇੱਕ ਗਤੀਸ਼ੀਲ ਵਾਲੀਅਮ ਲਗਭਗ ਤੁਰੰਤ ਬਣ ਜਾਂਦਾ ਹੈ। Windows, ਪਰ ਜਦੋਂ GNU OS/ ਤੋਂ ਡਾਟਾ ਕਾਪੀ ਕੀਤਾ ਜਾਂਦਾ ਹੈLinux > VeraCrypt DT, ਆਮ ਤੌਰ 'ਤੇ, ਬੈਕਅੱਪ ਓਪਰੇਸ਼ਨ ਦੀ ਕਾਰਗੁਜ਼ਾਰੀ ਕਾਫ਼ੀ ਘੱਟ ਜਾਂਦੀ ਹੈ।

ਇੱਕ ਨਿਯਮਤ 70 GB Twofish ਵਾਲੀਅਮ ਬਣਾਇਆ ਗਿਆ ਹੈ (ਆਓ ਬਸ ਕਹੀਏ, ਔਸਤ ਪੀਸੀ ਪਾਵਰ 'ਤੇ) ਅੱਧੇ ਘੰਟੇ ਵਿੱਚ HDD ਤੱਕ (ਇੱਕ ਪਾਸ ਵਿੱਚ ਪੁਰਾਣੇ ਕੰਟੇਨਰ ਡੇਟਾ ਨੂੰ ਓਵਰਰਾਈਟ ਕਰਨਾ ਸੁਰੱਖਿਆ ਲੋੜਾਂ ਦੇ ਕਾਰਨ ਹੈ)। ਵੇਰਾਕ੍ਰਿਪਟ ਤੋਂ Windows/Linux ਇੱਕ ਵਾਲੀਅਮ ਬਣਾਉਣ ਦੌਰਾਨ ਇਸਦੀ ਤੇਜ਼ ਫਾਰਮੈਟਿੰਗ ਵਿਸ਼ੇਸ਼ਤਾ ਨੂੰ ਹਟਾ ਦਿੱਤਾ ਗਿਆ ਹੈ, ਇਸ ਲਈ ਕੰਟੇਨਰ ਬਣਾਉਣਾ ਸਿਰਫ "ਸਿੰਗਲ-ਪਾਸ ਓਵਰਰਾਈਟ" ਜਾਂ ਘੱਟ-ਪ੍ਰਦਰਸ਼ਨ ਵਾਲੇ ਡਾਇਨਾਮਿਕ ਵਾਲੀਅਮ ਦੀ ਸਿਰਜਣਾ ਦੁਆਰਾ ਹੀ ਸੰਭਵ ਹੈ।

ਇੱਕ ਨਿਯਮਤ VeraCrypt ਵਾਲੀਅਮ ਬਣਾਓ (ਗਤੀਸ਼ੀਲ/ntfs ਨਹੀਂ), ਕੋਈ ਸਮੱਸਿਆ ਨਹੀਂ ਹੋਣੀ ਚਾਹੀਦੀ।

VeraCrypt GUI> GNU/ ਵਿੱਚ ਇੱਕ ਕੰਟੇਨਰ ਨੂੰ ਕੌਂਫਿਗਰ/ਬਣਾਓ/ਖੋਲੋLinux ਲਾਈਵ USB (ਵਾਲੀਅਮ ਨੂੰ /media/veracrypt2, OS ਵਾਲੀਅਮ ਤੇ ਆਟੋਮੈਟਿਕਲੀ ਮਾਊਂਟ ਕੀਤਾ ਜਾਵੇਗਾ) Windows /media/veracrypt1 ਵਿੱਚ ਮਾਊਂਟ ਕੀਤਾ ਗਿਆ ਹੈ)। OS ਦਾ ਇੱਕ ਇਨਕ੍ਰਿਪਟਡ ਬੈਕਅੱਪ ਬਣਾਓ Windows rsync GUI ਦੀ ਵਰਤੋਂ ਕਰਕੇ (grsync)ਬਕਸਿਆਂ ਦੀ ਜਾਂਚ ਕਰਕੇ।

ਪ੍ਰਕਿਰਿਆ ਦੇ ਪੂਰਾ ਹੋਣ ਦੀ ਉਡੀਕ ਕਰੋ। ਇੱਕ ਵਾਰ ਬੈਕਅੱਪ ਪੂਰਾ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਸਾਡੇ ਕੋਲ ਇੱਕ ਐਨਕ੍ਰਿਪਟਡ ਫਾਈਲ ਹੋਵੇਗੀ।

ਇਸੇ ਤਰ੍ਹਾਂ, GNU/OS ਦੀ ਬੈਕਅੱਪ ਕਾਪੀ ਬਣਾਓLinux, GUI rsync “ਅਨੁਕੂਲਤਾ ਨਾਲ” ਨੂੰ ਅਨਚੈਕ ਕਰਨਾ Windows".

ਧਿਆਨ ਦਿਓ! "GNU ਬੈਕਅੱਪ/" ਲਈ ਵੇਰਾਕ੍ਰਿਪਟ ਕੰਟੇਨਰLinux» ਫਾਈਲ ਸਿਸਟਮ ਵਿੱਚ ਬਣਾਓ ext4. ਜੇਕਰ ਤੁਸੀਂ ਇੱਕ ntfs ਕੰਟੇਨਰ ਵਿੱਚ ਬੈਕਅੱਪ ਬਣਾਉਂਦੇ ਹੋ, ਤਾਂ ਜਦੋਂ ਤੁਸੀਂ ਅਜਿਹੀ ਕਾਪੀ ਨੂੰ ਰੀਸਟੋਰ ਕਰਦੇ ਹੋ, ਤਾਂ ਤੁਸੀਂ ਆਪਣੇ ਸਾਰੇ ਡੇਟਾ ਦੇ ਸਾਰੇ ਅਧਿਕਾਰ/ਸਮੂਹ ਗੁਆ ਬੈਠੋਗੇ।

ਤੁਸੀਂ ਟਰਮੀਨਲ ਵਿੱਚ ਸਾਰੀਆਂ ਕਾਰਵਾਈਆਂ ਕਰ ਸਕਦੇ ਹੋ। rsync ਲਈ ਬੁਨਿਆਦੀ ਵਿਕਲਪ:
* -ਜੀ -ਸੇਵ ਗਰੁੱਪ;
* -ਪੀ —ਪ੍ਰਗਤੀ — ਫਾਈਲ 'ਤੇ ਕੰਮ ਕਰਨ ਵਿਚ ਬਿਤਾਏ ਸਮੇਂ ਦੀ ਸਥਿਤੀ;
* -H - ਹਾਰਡਲਿੰਕਸ ਦੀ ਨਕਲ ਜਿਵੇਂ ਹੈ;
* -a -ਪੁਰਾਲੇਖ ਮੋਡ (ਮਲਟੀਪਲ rlptgoD ਫਲੈਗ);
* -v -ਵਰਬਲਾਈਜ਼ੇਸ਼ਨ।

ਜੇਕਰ ਤੁਸੀਂ ਇੱਕ ਵਾਲੀਅਮ ਮਾਊਂਟ ਕਰਨਾ ਚਾਹੁੰਦੇ ਹੋ Windows ਕ੍ਰਿਪਟਸੈੱਟਅੱਪ ਸੌਫਟਵੇਅਰ ਵਿੱਚ ਕੰਸੋਲ ਰਾਹੀਂ" VeraCrypt", ਤੁਸੀਂ ਇੱਕ ਉਪਨਾਮ (su) ਬਣਾ ਸਕਦੇ ਹੋ।

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

ਹੁਣ, "veramount pictures" ਕਮਾਂਡ 'ਤੇ, ਇੱਕ ਪਾਸਫ੍ਰੇਜ਼ ਦਰਜ ਕਰਨ ਦੀ ਬੇਨਤੀ ਦਿਖਾਈ ਦੇਵੇਗੀ, ਅਤੇ ਏਨਕ੍ਰਿਪਟਡ ਸਿਸਟਮ ਵਾਲੀਅਮ ਨੂੰ OS ਵਿੱਚ ਮਾਊਂਟ ਕੀਤਾ ਜਾਵੇਗਾ। Windows.

ਕ੍ਰਿਪਟਸੈੱਟਅੱਪ ਕਮਾਂਡ ਵਿੱਚ ਮੈਪ/ਮਾਊਂਟ VeraCrypt ਸਿਸਟਮ ਵਾਲੀਅਮ

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

ਕ੍ਰਿਪਟਸੈੱਟਅੱਪ ਕਮਾਂਡ ਵਿੱਚ ਮੈਪ/ਮਾਊਂਟ VeraCrypt ਭਾਗ/ਕੰਟੇਨਰ

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

ਉਪਨਾਮ ਦੀ ਬਜਾਏ, ਅਸੀਂ OS ਨਾਲ ਸਿਸਟਮ ਵਾਲੀਅਮ (ਸਟਾਰਟਅੱਪ ਲਈ ਸਕ੍ਰਿਪਟ) ਜੋੜਾਂਗੇ। Windows ਅਤੇ GNU/ ਵਿੱਚ ਇੱਕ ਲਾਜ਼ੀਕਲ ਇਨਕ੍ਰਿਪਟਡ ntfs ਡਿਸਕLinux

ਇੱਕ ਸਕ੍ਰਿਪਟ ਬਣਾਓ ਅਤੇ ਇਸਨੂੰ ~/VeraOpen.sh ਵਿੱਚ ਸੇਵ ਕਰੋ

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

ਅਸੀਂ "ਸਹੀ" ਅਧਿਕਾਰਾਂ ਨੂੰ ਵੰਡਦੇ ਹਾਂ:

sudo chmod 100 /VeraOpen.sh

/etc/rc.local ਅਤੇ ~/etc/init.d/rc.local ਵਿੱਚ ਦੋ ਇੱਕੋ ਜਿਹੀਆਂ ਫਾਈਲਾਂ (ਇੱਕੋ ਨਾਮ!) ਬਣਾਓ
ਫਾਈਲਾਂ ਨੂੰ ਭਰਨਾ

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

ਅਸੀਂ "ਸਹੀ" ਅਧਿਕਾਰਾਂ ਨੂੰ ਵੰਡਦੇ ਹਾਂ:

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local 

ਬੱਸ, ਹੁਣ ਜਦੋਂ ਤੁਸੀਂ GNU/ ਨੂੰ ਬੂਟ ਕਰਦੇ ਹੋLinux ਸਾਨੂੰ ਐਨਕ੍ਰਿਪਟਡ NTFS ਡਿਸਕਾਂ ਨੂੰ ਮਾਊਂਟ ਕਰਨ ਲਈ ਪਾਸਵਰਡ ਦਰਜ ਕਰਨ ਦੀ ਲੋੜ ਨਹੀਂ ਹੈ; ਡਿਸਕਾਂ ਆਪਣੇ ਆਪ ਮਾਊਂਟ ਹੋ ਜਾਂਦੀਆਂ ਹਨ।

ਉੱਪਰ ਪੈਰੇ E1 ਵਿੱਚ ਕਦਮ-ਦਰ-ਕਦਮ ਕੀ ਦੱਸਿਆ ਗਿਆ ਹੈ, ਇਸ ਬਾਰੇ ਇੱਕ ਸੰਖੇਪ ਨੋਟ (ਪਰ ਹੁਣ OS GNU/ ਲਈLinux)
1) (ਫਾਈਲ ਲਈ) ext4 fs > 4gb ਵਿੱਚ ਇੱਕ ਵਾਲੀਅਮ ਬਣਾਓ। Linux ਵੇਰਾਕ੍ਰਿਪਟ [ਕ੍ਰਿਪਟੋਬਾਕਸ] ਵਿੱਚ।
2) ਲਾਈਵ USB ਲਈ ਰੀਬੂਟ ਕਰੋ।
3) ~$ cryptsetup open /dev/sda7 Lunux #mapping ਐਨਕ੍ਰਿਪਟਡ ਭਾਗ।
4) ~$ ਮਾਊਂਟ /dev/mapper/Linux /mnt #ਇਨਕ੍ਰਿਪਟਡ ਭਾਗ ਨੂੰ /mnt ਵਿੱਚ ਮਾਊਂਟ ਕਰਨਾ।
5) ~$ mkdir mnt2 # ਭਵਿੱਖ ਦੇ ਬੈਕਅੱਪ ਲਈ ਡਾਇਰੈਕਟਰੀ ਬਣਾ ਰਿਹਾ ਹੈ।
6) ~$ ਕ੍ਰਿਪਟਸੈੱਟਅੱਪ ਓਪਨ —veracrypt —ਟਾਈਪ tcrypt ~/CryptoBox CryptoBox && mount /dev/mapper/CryptoBox /mnt2 # “CryptoBox” ਨਾਮਕ ਇੱਕ Veracrypt ਵਾਲੀਅਮ ਦਾ ਨਕਸ਼ਾ ਬਣਾਓ ਅਤੇ CryptoBox ਨੂੰ /mnt2 ਤੇ ਮਾਊਂਟ ਕਰੋ।
7) ~$ rsync -avlxhHX —ਪ੍ਰਗਤੀ /mnt /mnt2/ ਇੱਕ ਐਨਕ੍ਰਿਪਟਡ ਵੇਰਾਕ੍ਰਿਪਟ ਵਾਲੀਅਮ ਲਈ ਇੱਕ ਏਨਕ੍ਰਿਪਟ ਕੀਤੇ ਭਾਗ ਦਾ ਬੈਕਅੱਪ ਓਪਰੇਸ਼ਨ।

(p/s/ ਧਿਆਨ ਦਿਓ! ਜੇਕਰ ਤੁਸੀਂ ਇਨਕ੍ਰਿਪਟਡ GNU/ ਨੂੰ ਪੋਰਟ ਕਰ ਰਹੇ ਹੋLinux ਇੱਕ ਆਰਕੀਟੈਕਚਰ/ਮਸ਼ੀਨ ਤੋਂ ਦੂਜੀ ਤੱਕ, ਉਦਾਹਰਣ ਵਜੋਂ, Intel > AMD (ਭਾਵ, ਤੁਸੀਂ ਇੱਕ ਇਨਕ੍ਰਿਪਟਡ ਭਾਗ ਤੋਂ ਦੂਜੇ ਇਨਕ੍ਰਿਪਟਡ ਭਾਗ Intel > AMD ਤੇ ਬੈਕਅੱਪ ਤੈਨਾਤ ਕਰਦੇ ਹੋ), ਨਾ ਭੁੱਲੋ ਐਨਕ੍ਰਿਪਟਡ OS ਨੂੰ ਟ੍ਰਾਂਸਫਰ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਪਾਸਵਰਡ ਦੀ ਬਜਾਏ ਗੁਪਤ ਬਦਲੀ ਕੁੰਜੀ ਨੂੰ ਸੰਪਾਦਿਤ ਕਰੋ, ਹੋ ਸਕਦਾ ਹੈ। ਪਿਛਲੀ ਕੁੰਜੀ ~/etc/skey - ਹੁਣ ਕਿਸੇ ਹੋਰ ਇਨਕ੍ਰਿਪਟਡ ਭਾਗ ਨੂੰ ਫਿੱਟ ਨਹੀਂ ਕਰੇਗੀ, ਅਤੇ ਕ੍ਰੋਟ ਦੇ ਹੇਠਾਂ ਤੋਂ ਇੱਕ ਨਵੀਂ ਕੁੰਜੀ “cryptsetup luksAddKey” ਬਣਾਉਣ ਦੀ ਸਲਾਹ ਨਹੀਂ ਦਿੱਤੀ ਜਾਂਦੀ - ਇੱਕ ਗੜਬੜ ਸੰਭਵ ਹੈ, ਸਿਰਫ਼ ~/etc/crypttab ਵਿੱਚ ਇਸ ਦੀ ਬਜਾਏ ਨਿਰਧਾਰਤ ਕਰੋ "/etc/skey" ਅਸਥਾਈ ਤੌਰ 'ਤੇ "ਕੋਈ ਨਹੀਂ" ", ਰੀਬੋਟ ਕਰਨ ਅਤੇ OS ਵਿੱਚ ਲੌਗਇਨ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਆਪਣੀ ਗੁਪਤ ਵਾਈਲਡਕਾਰਡ ਕੁੰਜੀ ਨੂੰ ਦੁਬਾਰਾ ਬਣਾਓ)।

ਆਈਟੀ ਵੈਟਰਨਜ਼ ਐਨਕ੍ਰਿਪਟਡ OS ਪਾਰਟੀਸ਼ਨ ਹੈੱਡਰਾਂ ਦੇ ਵੱਖਰੇ ਬੈਕਅੱਪ ਬਣਾਉਣਾ ਕਿਵੇਂ ਯਾਦ ਰੱਖਦੇ ਹਨ Windows/Linux, ਨਹੀਂ ਤਾਂ ਇਨਕ੍ਰਿਪਸ਼ਨ ਤੁਹਾਡੇ ਵਿਰੁੱਧ ਹੋ ਜਾਵੇਗੀ।
ਇਸ ਪੜਾਅ 'ਤੇ, ਐਨਕ੍ਰਿਪਟਡ OS ਦਾ ਬੈਕਅੱਪ ਪੂਰਾ ਹੋ ਗਿਆ ਹੈ।

[F] GRUB2 ਬੂਟਲੋਡਰ 'ਤੇ ਹਮਲਾ

ਵੇਰਵੇ ਵੇਖੋਜੇਕਰ ਤੁਸੀਂ ਆਪਣੇ ਬੂਟਲੋਡਰ ਨੂੰ ਡਿਜੀਟਲ ਦਸਤਖਤ ਅਤੇ/ਜਾਂ ਪ੍ਰਮਾਣਿਕਤਾ ਨਾਲ ਸੁਰੱਖਿਅਤ ਕੀਤਾ ਹੈ (ਪੁਆਇੰਟ C6 ਦੇਖੋ।), ਤਾਂ ਇਹ ਭੌਤਿਕ ਪਹੁੰਚ ਤੋਂ ਸੁਰੱਖਿਆ ਨਹੀਂ ਕਰੇਗਾ। ਐਨਕ੍ਰਿਪਟਡ ਡੇਟਾ ਅਜੇ ਵੀ ਪਹੁੰਚਯੋਗ ਨਹੀਂ ਹੋਵੇਗਾ, ਪਰ ਸੁਰੱਖਿਆ ਨੂੰ ਬਾਈਪਾਸ ਕੀਤਾ ਜਾਵੇਗਾ (ਡਿਜ਼ੀਟਲ ਹਸਤਾਖਰ ਸੁਰੱਖਿਆ ਨੂੰ ਰੀਸੈਟ ਕਰੋ) GRUB2 ਇੱਕ ਸਾਈਬਰ-ਖਲਨਾਇਕ ਨੂੰ ਬਿਨਾਂ ਸ਼ੱਕ ਦੇ ਬੂਟਲੋਡਰ ਵਿੱਚ ਆਪਣਾ ਕੋਡ ਇੰਜੈਕਟ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ (ਜਦੋਂ ਤੱਕ ਉਪਭੋਗਤਾ ਬੂਟਲੋਡਰ ਸਥਿਤੀ ਦੀ ਦਸਤੀ ਨਿਗਰਾਨੀ ਨਹੀਂ ਕਰਦਾ, ਜਾਂ grub.cfg ਲਈ ਆਪਣੇ ਖੁਦ ਦੇ ਆਰਬਿਟਰਰੀ-ਸਕ੍ਰਿਪਟ ਕੋਡ ਨਾਲ ਨਹੀਂ ਆਉਂਦਾ ਹੈ)।

ਹਮਲਾ ਐਲਗੋਰਿਦਮ। ਘੁਸਪੈਠੀਏ

* ਲਾਈਵ USB ਤੋਂ PC ਬੂਟ ਕਰਦਾ ਹੈ। ਕੋਈ ਵੀ ਤਬਦੀਲੀ (ਉਲੰਘਣਾ ਕਰਨ ਵਾਲਾ) ਫਾਈਲਾਂ ਪੀਸੀ ਦੇ ਅਸਲ ਮਾਲਕ ਨੂੰ ਬੂਟਲੋਡਰ ਵਿੱਚ ਘੁਸਪੈਠ ਬਾਰੇ ਸੂਚਿਤ ਕਰਨਗੀਆਂ। ਪਰ GRUB2 ਦੀ ਇੱਕ ਸਧਾਰਨ ਰੀਇੰਸਟਾਲੇਸ਼ਨ grub.cfg ਨੂੰ ਰੱਖਦੇ ਹੋਏ (ਅਤੇ ਇਸ ਨੂੰ ਸੰਪਾਦਿਤ ਕਰਨ ਦੀ ਬਾਅਦ ਦੀ ਯੋਗਤਾ) ਹਮਲਾਵਰ ਨੂੰ ਕਿਸੇ ਵੀ ਫਾਈਲਾਂ ਨੂੰ ਸੰਪਾਦਿਤ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦੇਵੇਗਾ (ਇਸ ਸਥਿਤੀ ਵਿੱਚ, GRUB2 ਨੂੰ ਲੋਡ ਕਰਨ ਵੇਲੇ, ਅਸਲ ਉਪਭੋਗਤਾ ਨੂੰ ਸੂਚਿਤ ਨਹੀਂ ਕੀਤਾ ਜਾਵੇਗਾ। ਸਥਿਤੀ ਉਹੀ ਹੈ <0>)
* ਇੱਕ ਅਣਇੰਕ੍ਰਿਪਟਡ ਭਾਗ ਮਾਊਂਟ ਕਰਦਾ ਹੈ, ਸਟੋਰ ਕਰਦਾ ਹੈ “/mnt/boot/grub/grub.cfg”।
* ਬੂਟਲੋਡਰ ਨੂੰ ਮੁੜ ਸਥਾਪਿਤ ਕਰਦਾ ਹੈ (core.img ਚਿੱਤਰ ਤੋਂ "ਪਰਸਕੀ" ਨੂੰ ਹਟਾਉਣਾ)

grub-install --force --root-directory=/mnt /dev/sda6

* “grub.cfg” > “/mnt/boot/grub/grub.cfg” ਵਾਪਸ ਕਰਦਾ ਹੈ, ਲੋੜ ਪੈਣ 'ਤੇ ਇਸ ਨੂੰ ਸੰਪਾਦਿਤ ਕਰਦਾ ਹੈ, ਉਦਾਹਰਨ ਲਈ, “grub.cfg” ਵਿੱਚ ਲੋਡਰ ਮੋਡੀਊਲ ਵਾਲੇ ਫੋਲਡਰ ਵਿੱਚ ਆਪਣੇ ਮੋਡੀਊਲ “keylogger.mod” ਨੂੰ ਜੋੜਨਾ। > ਲਾਈਨ "insmod keylogger"। ਜਾਂ, ਉਦਾਹਰਨ ਲਈ, ਜੇ ਦੁਸ਼ਮਣ ਚਲਾਕ ਹੈ, ਤਾਂ GRUB2 ਨੂੰ ਮੁੜ ਸਥਾਪਿਤ ਕਰਨ ਤੋਂ ਬਾਅਦ (ਸਾਰੇ ਦਸਤਖਤ ਆਪਣੀ ਥਾਂ 'ਤੇ ਰਹਿੰਦੇ ਹਨ) ਇਹ "ਵਿਕਲਪ (-c) ਨਾਲ grub-mkimage" ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਮੁੱਖ GRUB2 ਚਿੱਤਰ ਬਣਾਉਂਦਾ ਹੈ। “-c” ਵਿਕਲਪ ਤੁਹਾਨੂੰ ਮੁੱਖ “grub.cfg” ਨੂੰ ਲੋਡ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਆਪਣੀ ਸੰਰਚਨਾ ਨੂੰ ਲੋਡ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦੇਵੇਗਾ। ਸੰਰਚਨਾ ਵਿੱਚ ਸਿਰਫ਼ ਇੱਕ ਲਾਈਨ ਸ਼ਾਮਲ ਹੋ ਸਕਦੀ ਹੈ: ਕਿਸੇ ਵੀ “modern.cfg” ਲਈ ਰੀਡਾਇਰੈਕਸ਼ਨ, ਮਿਕਸਡ, ਉਦਾਹਰਨ ਲਈ, ~400 ਫਾਈਲਾਂ ਨਾਲ (ਮੌਡਿਊਲ+ਦਸਤਖਤ) ਫੋਲਡਰ ਵਿੱਚ "/boot/grub/i386-pc"। ਇਸ ਸਥਿਤੀ ਵਿੱਚ, ਇੱਕ ਹਮਲਾਵਰ "/boot/grub/grub.cfg" ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕੀਤੇ ਬਿਨਾਂ ਆਰਬਿਟਰਰੀ ਕੋਡ ਅਤੇ ਲੋਡ ਮੋਡੀਊਲ ਪਾ ਸਕਦਾ ਹੈ, ਭਾਵੇਂ ਉਪਭੋਗਤਾ ਨੇ ਫਾਈਲ ਵਿੱਚ "ਹੈਸ਼ਸਮ" ਲਾਗੂ ਕੀਤਾ ਹੋਵੇ ਅਤੇ ਇਸਨੂੰ ਅਸਥਾਈ ਤੌਰ 'ਤੇ ਸਕ੍ਰੀਨ 'ਤੇ ਪ੍ਰਦਰਸ਼ਿਤ ਕੀਤਾ ਹੋਵੇ।
ਇੱਕ ਹਮਲਾਵਰ ਨੂੰ GRUB2 ਸੁਪਰਯੂਜ਼ਰ ਲੌਗਇਨ/ਪਾਸਵਰਡ ਹੈਕ ਕਰਨ ਦੀ ਲੋੜ ਨਹੀਂ ਹੋਵੇਗੀ; ਉਸਨੂੰ ਸਿਰਫ਼ ਲਾਈਨਾਂ ਦੀ ਨਕਲ ਕਰਨ ਦੀ ਲੋੜ ਹੋਵੇਗੀ (ਪ੍ਰਮਾਣਿਕਤਾ ਲਈ ਜ਼ਿੰਮੇਵਾਰ) ਤੁਹਾਡੇ "modern.cfg" ਲਈ "/boot/grub/grub.cfg"

ਸੁਪਰ ਉਪਭੋਗਤਾ = "ਰੂਟ" ਸੈੱਟ ਕਰੋ
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

ਅਤੇ PC ਮਾਲਕ ਨੂੰ ਅਜੇ ਵੀ GRUB2 ਸੁਪਰਯੂਜ਼ਰ ਵਜੋਂ ਪ੍ਰਮਾਣਿਤ ਕੀਤਾ ਜਾਵੇਗਾ।

ਚੇਨ ਲੋਡਿੰਗ (ਬੂਟਲੋਡਰ ਇੱਕ ਹੋਰ ਬੂਟਲੋਡਰ ਲੋਡ ਕਰਦਾ ਹੈ), ਜਿਵੇਂ ਕਿ ਮੈਂ ਉੱਪਰ ਲਿਖਿਆ ਹੈ, ਇਸਦਾ ਕੋਈ ਮਤਲਬ ਨਹੀਂ ਹੈ (ਇਹ ਇੱਕ ਵੱਖਰੇ ਉਦੇਸ਼ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ). ਐਨਕ੍ਰਿਪਟਡ ਬੂਟਲੋਡਰ BIOS ਦੇ ਕਾਰਨ ਲੋਡ ਨਹੀਂ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ (ਚੇਨ ਬੂਟ GRUB2 ਨੂੰ ਮੁੜ ਚਾਲੂ ਕਰਦਾ ਹੈ > ਏਨਕ੍ਰਿਪਟਡ GRUB2, ਗਲਤੀ!). ਹਾਲਾਂਕਿ, ਜੇਕਰ ਤੁਸੀਂ ਅਜੇ ਵੀ ਚੇਨ ਲੋਡਿੰਗ ਦੇ ਵਿਚਾਰ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋ, ਤਾਂ ਤੁਸੀਂ ਨਿਸ਼ਚਤ ਹੋ ਸਕਦੇ ਹੋ ਕਿ ਇਹ ਐਨਕ੍ਰਿਪਟਡ ਹੈ ਜੋ ਲੋਡ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ। (ਆਧੁਨਿਕ ਨਹੀਂ) "grub.cfg" ਇਨਕ੍ਰਿਪਟ ਕੀਤੇ ਭਾਗ ਤੋਂ। ਅਤੇ ਇਹ ਸੁਰੱਖਿਆ ਦੀ ਇੱਕ ਗਲਤ ਭਾਵਨਾ ਵੀ ਹੈ, ਕਿਉਂਕਿ ਹਰ ਚੀਜ਼ ਜੋ ਐਨਕ੍ਰਿਪਟਡ "grub.cfg" ਵਿੱਚ ਦਰਸਾਈ ਗਈ ਹੈ। (ਮੋਡਿਊਲ ਲੋਡਿੰਗ) ਉਹਨਾਂ ਮੌਡਿਊਲਾਂ ਨੂੰ ਜੋੜਦਾ ਹੈ ਜੋ ਗੈਰ-ਇਨਕ੍ਰਿਪਟਡ GRUB2 ਤੋਂ ਲੋਡ ਕੀਤੇ ਜਾਂਦੇ ਹਨ।

ਜੇਕਰ ਤੁਸੀਂ ਇਸਦੀ ਜਾਂਚ ਕਰਨਾ ਚਾਹੁੰਦੇ ਹੋ, ਤਾਂ ਇੱਕ ਹੋਰ ਭਾਗ sdaY ਨਿਰਧਾਰਤ/ਇਨਕ੍ਰਿਪਟ ਕਰੋ, GRUB2 ਨੂੰ ਇਸ ਵਿੱਚ ਕਾਪੀ ਕਰੋ (ਇੱਕ ਐਨਕ੍ਰਿਪਟਡ ਭਾਗ 'ਤੇ ਗਰਬ-ਇੰਸਟਾਲ ਓਪਰੇਸ਼ਨ ਸੰਭਵ ਨਹੀਂ ਹੈ) ਅਤੇ "grub.cfg" ਵਿੱਚ (ਅਨਕ੍ਰਿਪਟਡ ਸੰਰਚਨਾ) ਇਸ ਤਰ੍ਹਾਂ ਦੀਆਂ ਲਾਈਨਾਂ ਬਦਲੋ

ਮੇਨੂਐਂਟਰੀ 'GRUBx2' --class parrot --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
ਲੋਡ_ਵੀਡੀਓ
insmod gzio
ਜੇਕਰ [ x$grub_platform = xxen ]; ਫਿਰ insmod xzio; insmod lzopio; fi
insmod part_msdos
insmod cryptodisk
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
ਇਨਸਮੋਡ ਐਕਸਟ 2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
ਆਮ /boot/grub/grub.cfg
}

ਲਾਈਨਾਂ
* insmod - ਇੱਕ ਐਨਕ੍ਰਿਪਟਡ ਡਿਸਕ ਨਾਲ ਕੰਮ ਕਰਨ ਲਈ ਲੋੜੀਂਦੇ ਮੋਡੀਊਲ ਲੋਡ ਕਰਨਾ;
* GRUBx2 - GRUB2 ਬੂਟ ਮੇਨੂ ਵਿੱਚ ਪ੍ਰਦਰਸ਼ਿਤ ਲਾਈਨ ਦਾ ਨਾਮ;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -ਦੇਖੋ। fdisk -l (sda9);
* ਸੈਟ ਰੂਟ - ਰੂਟ ਸਥਾਪਿਤ ਕਰੋ;
* ਸਧਾਰਨ /boot/grub/grub.cfg - ਇੱਕ ਇਨਕ੍ਰਿਪਟਡ ਭਾਗ ਉੱਤੇ ਚੱਲਣਯੋਗ ਸੰਰਚਨਾ ਫਾਇਲ।

ਭਰੋਸਾ ਹੈ ਕਿ ਇਹ ਇਨਕ੍ਰਿਪਟਡ "grub.cfg" ਹੈ ਜੋ ਲੋਡ ਕੀਤਾ ਗਿਆ ਹੈ, GRUB ਮੀਨੂ ਵਿੱਚ ਲਾਈਨ "GRUBx2" ਦੀ ਚੋਣ ਕਰਦੇ ਸਮੇਂ ਪਾਸਵਰਡ ਦਰਜ ਕਰਨ/ਅਨਲਾਕ ਕਰਨ ਲਈ "sdaY" ਲਈ ਇੱਕ ਸਕਾਰਾਤਮਕ ਜਵਾਬ ਹੈ।

CLI ਵਿੱਚ ਕੰਮ ਕਰਦੇ ਸਮੇਂ, ਤਾਂ ਕਿ ਉਲਝਣ ਵਿੱਚ ਨਾ ਪਵੇ (ਅਤੇ ਜਾਂਚ ਕਰੋ ਕਿ ਕੀ "ਸੈੱਟ ਰੂਟ" ਵਾਤਾਵਰਣ ਵੇਰੀਏਬਲ ਕੰਮ ਕਰਦਾ ਹੈ), ਖਾਲੀ ਟੋਕਨ ਫਾਈਲਾਂ ਬਣਾਓ, ਉਦਾਹਰਨ ਲਈ, ਇਨਕ੍ਰਿਪਟਡ ਸੈਕਸ਼ਨ “/shifr_grub” ਵਿੱਚ, ਅਣ-ਇਨਕ੍ਰਿਪਟਡ ਭਾਗ “/noshifr_grub” ਵਿੱਚ। CLI ਵਿੱਚ ਜਾਂਚ ਕੀਤੀ ਜਾ ਰਹੀ ਹੈ

cat /Tab-Tab

ਜਿਵੇਂ ਕਿ ਉੱਪਰ ਦੱਸਿਆ ਗਿਆ ਹੈ, ਇਹ ਖਤਰਨਾਕ ਮੋਡੀਊਲ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਦੇ ਵਿਰੁੱਧ ਮਦਦ ਨਹੀਂ ਕਰੇਗਾ ਜੇਕਰ ਅਜਿਹੇ ਮੋਡੀਊਲ ਤੁਹਾਡੇ PC 'ਤੇ ਖਤਮ ਹੁੰਦੇ ਹਨ। ਉਦਾਹਰਨ ਲਈ, ਇੱਕ ਕੀਲੌਗਰ ਜੋ ਇੱਕ ਫਾਈਲ ਵਿੱਚ ਕੀਸਟ੍ਰੋਕ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਦੇ ਯੋਗ ਹੋਵੇਗਾ ਅਤੇ ਇਸਨੂੰ "~/i386" ਵਿੱਚ ਦੂਜੀਆਂ ਫਾਈਲਾਂ ਨਾਲ ਮਿਲਾਉਣ ਦੇ ਯੋਗ ਹੋਵੇਗਾ ਜਦੋਂ ਤੱਕ ਇਸਨੂੰ PC ਤੱਕ ਭੌਤਿਕ ਪਹੁੰਚ ਵਾਲੇ ਹਮਲਾਵਰ ਦੁਆਰਾ ਡਾਊਨਲੋਡ ਨਹੀਂ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।

ਇਹ ਪੁਸ਼ਟੀ ਕਰਨ ਦਾ ਸਭ ਤੋਂ ਆਸਾਨ ਤਰੀਕਾ ਹੈ ਕਿ ਡਿਜੀਟਲ ਦਸਤਖਤ ਸੁਰੱਖਿਆ ਸਰਗਰਮੀ ਨਾਲ ਕੰਮ ਕਰ ਰਹੀ ਹੈ (ਰੀਸੈਟ ਨਹੀਂ), ਅਤੇ ਕਿਸੇ ਨੇ ਬੂਟਲੋਡਰ 'ਤੇ ਹਮਲਾ ਨਹੀਂ ਕੀਤਾ ਹੈ, CLI ਵਿੱਚ ਕਮਾਂਡ ਦਿਓ

list_trusted

ਜਵਾਬ ਵਿੱਚ ਸਾਨੂੰ ਸਾਡੇ "ਪਰਸਕੀ" ਦੀ ਇੱਕ ਕਾਪੀ ਮਿਲਦੀ ਹੈ, ਜਾਂ ਜੇਕਰ ਸਾਡੇ 'ਤੇ ਹਮਲਾ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਤਾਂ ਸਾਨੂੰ ਕੁਝ ਨਹੀਂ ਮਿਲਦਾ (ਤੁਹਾਨੂੰ "ਸੈੱਟ ਚੈਕ_ਸਿਗਨੇਚਰ=ਇਨਫੋਰਸ" ਦੀ ਵੀ ਜਾਂਚ ਕਰਨ ਦੀ ਲੋੜ ਹੈ).
ਇਸ ਪਗ ਦਾ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਨੁਕਸਾਨ ਹੱਥੀਂ ਕਮਾਂਡਾਂ ਦਾਖਲ ਕਰਨਾ ਹੈ। ਜੇਕਰ ਤੁਸੀਂ ਇਸ ਕਮਾਂਡ ਨੂੰ “grub.cfg” ਵਿੱਚ ਜੋੜਦੇ ਹੋ ਅਤੇ ਡਿਜ਼ੀਟਲ ਦਸਤਖਤ ਨਾਲ ਸੰਰਚਨਾ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਦੇ ਹੋ, ਤਾਂ ਸਕਰੀਨ ਉੱਤੇ ਕੁੰਜੀ ਸਨੈਪਸ਼ਾਟ ਦੀ ਸ਼ੁਰੂਆਤੀ ਆਉਟਪੁੱਟ ਸਮੇਂ ਵਿੱਚ ਬਹੁਤ ਘੱਟ ਹੈ, ਅਤੇ ਤੁਹਾਡੇ ਕੋਲ GRUB2 ਲੋਡ ਕਰਨ ਤੋਂ ਬਾਅਦ ਆਉਟਪੁੱਟ ਦੇਖਣ ਲਈ ਸਮਾਂ ਨਹੀਂ ਹੋ ਸਕਦਾ ਹੈ। .
ਦਾਅਵਾ ਕਰਨ ਲਈ ਖਾਸ ਤੌਰ 'ਤੇ ਕੋਈ ਨਹੀਂ ਹੈ: ਉਸ ਵਿੱਚ ਡਿਵੈਲਪਰ ਦਸਤਾਵੇਜ਼ ਧਾਰਾ 18.2 ਅਧਿਕਾਰਤ ਤੌਰ 'ਤੇ ਘੋਸ਼ਣਾ ਕਰਦੀ ਹੈ

“ਧਿਆਨ ਦਿਓ ਕਿ GRUB ਪਾਸਵਰਡ ਸੁਰੱਖਿਆ ਦੇ ਨਾਲ ਵੀ, GRUB ਖੁਦ ਮਸ਼ੀਨ ਤੱਕ ਭੌਤਿਕ ਪਹੁੰਚ ਵਾਲੇ ਕਿਸੇ ਵਿਅਕਤੀ ਨੂੰ ਉਸ ਮਸ਼ੀਨ ਦੇ ਫਰਮਵੇਅਰ (ਜਿਵੇਂ, Coreboot ਜਾਂ BIOS) ਸੰਰਚਨਾ ਨੂੰ ਬਦਲਣ ਤੋਂ ਨਹੀਂ ਰੋਕ ਸਕਦਾ ਹੈ ਤਾਂ ਜੋ ਮਸ਼ੀਨ ਨੂੰ ਇੱਕ ਵੱਖਰੇ (ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ) ਡਿਵਾਈਸ ਤੋਂ ਬੂਟ ਕੀਤਾ ਜਾ ਸਕੇ। GRUB ਇੱਕ ਸੁਰੱਖਿਅਤ ਬੂਟ ਚੇਨ ਵਿੱਚ ਸਭ ਤੋਂ ਵਧੀਆ ਸਿਰਫ਼ ਇੱਕ ਲਿੰਕ ਹੈ।"

GRUB2 ਅਜਿਹੀਆਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਨਾਲ ਭਰਿਆ ਹੋਇਆ ਹੈ ਜੋ ਸੁਰੱਖਿਆ ਦੀ ਗਲਤ ਭਾਵਨਾ ਦੇ ਸਕਦੀਆਂ ਹਨ, ਅਤੇ ਇਸਦਾ ਵਿਕਾਸ ਪਹਿਲਾਂ ਹੀ MS-DOS ਦੀ ਕਾਰਜਸ਼ੀਲਤਾ ਨੂੰ ਪਛਾੜ ਚੁੱਕਾ ਹੈ, ਭਾਵੇਂ ਇਹ ਸਿਰਫ਼ ਇੱਕ ਬੂਟਲੋਡਰ ਹੈ। ਇਹ ਵਿਡੰਬਨਾ ਹੈ ਕਿ GRUB2 "ਕੱਲ੍ਹ" OS ਬਣ ਸਕਦਾ ਹੈ, ਜਦੋਂ ਕਿ ਬੂਟ ਹੋਣ ਯੋਗ GNU/Linux ਇਸਦੇ ਲਈ ਵਰਚੁਅਲ ਮਸ਼ੀਨਾਂ।

ਮੈਂ GRUB2 ਡਿਜ਼ੀਟਲ ਹਸਤਾਖਰ ਸੁਰੱਖਿਆ ਨੂੰ ਕਿਵੇਂ ਰੀਸੈਟ ਕਰਦਾ ਹਾਂ ਅਤੇ ਇੱਕ ਅਸਲੀ ਉਪਭੋਗਤਾ ਨੂੰ ਆਪਣੀ ਘੁਸਪੈਠ ਦੀ ਘੋਸ਼ਣਾ ਕਰਦਾ ਹਾਂ ਇਸ ਬਾਰੇ ਇੱਕ ਛੋਟਾ ਵੀਡੀਓ (ਮੈਂ ਤੁਹਾਨੂੰ ਡਰਾਇਆ, ਪਰ ਵੀਡੀਓ ਵਿੱਚ ਜੋ ਦਿਖਾਇਆ ਗਿਆ ਹੈ ਉਸ ਦੀ ਬਜਾਏ, ਤੁਸੀਂ ਗੈਰ-ਨੁਕਸਾਨ ਰਹਿਤ ਆਰਬਿਟਰੇਰੀ ਕੋਡ/.mod ਲਿਖ ਸਕਦੇ ਹੋ).

ਸਿੱਟਾ:

1) ਲਈ ਸਿਸਟਮ ਇਨਕ੍ਰਿਪਸ਼ਨ ਨੂੰ ਬਲੌਕ ਕਰੋ Windows — ਇਸਨੂੰ ਲਾਗੂ ਕਰਨਾ ਸੌਖਾ ਹੈ, ਅਤੇ GNU ਬਲਾਕ ਸਿਸਟਮ ਇਨਕ੍ਰਿਪਸ਼ਨ ਵਿੱਚ ਕਈ ਪਾਸਵਰਡਾਂ ਨਾਲ ਸੁਰੱਖਿਆ ਨਾਲੋਂ ਇੱਕ ਪਾਸਵਰਡ ਨਾਲ ਸੁਰੱਖਿਆ ਵਧੇਰੇ ਸੁਵਿਧਾਜਨਕ ਹੈ/Linux, ਨਿਰਪੱਖ ਹੋਣ ਲਈ: ਬਾਅਦ ਵਾਲਾ ਸਵੈਚਾਲਿਤ ਹੈ।

2) ਮੈਂ ਲੇਖ ਨੂੰ ਢੁਕਵਾਂ ਅਤੇ ਵਿਸਤ੍ਰਿਤ ਲਿਖਿਆ ਹੈ ਆਸਾਨ ਇੱਕ ਸਿੰਗਲ ਮਸ਼ੀਨ 'ਤੇ VeraCrypt/LUKS ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਪੂਰੀ-ਡਿਸਕ ਇਨਕ੍ਰਿਪਸ਼ਨ ਲਈ ਇੱਕ ਗਾਈਡ, ਜੋ ਕਿ ਵਰਤਮਾਨ ਵਿੱਚ RuNet (IMHO) 'ਤੇ ਸਭ ਤੋਂ ਵਧੀਆ ਹੈ। ਇਹ ਗਾਈਡ 50 ਅੱਖਰਾਂ ਤੋਂ ਵੱਧ ਲੰਬੀ ਹੈ, ਇਸ ਲਈ ਇਸ ਵਿੱਚ ਕੁਝ ਦਿਲਚਸਪ ਅਧਿਆਇ ਸ਼ਾਮਲ ਨਹੀਂ ਹਨ: ਕ੍ਰਿਪਟੋਗ੍ਰਾਫ਼ਰਾਂ ਬਾਰੇ ਜੋ ਅਲੋਪ ਹੋ ਜਾਂਦੇ ਹਨ/ਘੱਟ ਪ੍ਰੋਫਾਈਲ ਰੱਖਦੇ ਹਨ; ਵੱਖ-ਵੱਖ GNU/GNU ਕਿਤਾਬਾਂ ਵਿੱਚ ਕੀ ਹੈ ਬਾਰੇ।Linux ਉਹ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫੀ ਬਾਰੇ ਬਹੁਤ ਘੱਟ/ਕੁਝ ਨਹੀਂ ਲਿਖਦੇ; ਰੂਸੀ ਸੰਘ ਦੇ ਸੰਵਿਧਾਨ ਦੇ ਆਰਟੀਕਲ 51 ਬਾਰੇ; ਬਾਰੇ ਲਾਇਸੰਸਿੰਗ/ ਪਾਬੰਦੀ ਰਸ਼ੀਅਨ ਫੈਡਰੇਸ਼ਨ ਵਿੱਚ ਏਨਕ੍ਰਿਪਸ਼ਨ, ਤੁਹਾਨੂੰ "ਰੂਟ/ਬੂਟ" ਨੂੰ ਐਨਕ੍ਰਿਪਟ ਕਰਨ ਦੀ ਲੋੜ ਕਿਉਂ ਹੈ। ਗਾਈਡ ਕਾਫ਼ੀ ਵਿਆਪਕ ਹੈ, ਪਰ ਵਿਸਤ੍ਰਿਤ ਹੈ. (ਸਾਧਾਰਨ ਕਦਮਾਂ ਦਾ ਵਰਣਨ ਕਰਨਾ), ਬਦਲੇ ਵਿੱਚ, ਇਹ ਤੁਹਾਡਾ ਬਹੁਤ ਸਾਰਾ ਸਮਾਂ ਬਚਾਏਗਾ ਜਦੋਂ ਤੁਸੀਂ "ਅਸਲ ਇਨਕ੍ਰਿਪਸ਼ਨ" 'ਤੇ ਪਹੁੰਚ ਜਾਂਦੇ ਹੋ।

3) ਪੂਰੀ ਡਿਸਕ ਇਨਕ੍ਰਿਪਸ਼ਨ ਇਸ 'ਤੇ ਕੀਤੀ ਗਈ ਸੀ Windows 7 64; ਜੀਐਨਯੂ/Linux ਤੋਤਾ 4x; GNU/Debian 9.0 / 9.5.

4) 'ਤੇ ਸਫਲ ਹਮਲਾ ਕੀਤਾ ਉਸ ਦੇ GRUB2 ਬੂਟਲੋਡਰ।

5) ਟਿਊਟੋਰਿਅਲ ਨੂੰ CIS ਵਿੱਚ ਸਾਰੇ ਪਾਗਲ ਲੋਕਾਂ ਦੀ ਮਦਦ ਕਰਨ ਲਈ ਬਣਾਇਆ ਗਿਆ ਸੀ, ਜਿੱਥੇ ਵਿਧਾਨਿਕ ਪੱਧਰ 'ਤੇ ਐਨਕ੍ਰਿਪਸ਼ਨ ਨਾਲ ਕੰਮ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਹੈ। ਅਤੇ ਮੁੱਖ ਤੌਰ 'ਤੇ ਉਹਨਾਂ ਲਈ ਜੋ ਆਪਣੇ ਕੌਂਫਿਗਰ ਕੀਤੇ ਸਿਸਟਮਾਂ ਨੂੰ ਨਸ਼ਟ ਕੀਤੇ ਬਿਨਾਂ ਪੂਰੀ-ਡਿਸਕ ਇਨਕ੍ਰਿਪਸ਼ਨ ਨੂੰ ਰੋਲ ਆਊਟ ਕਰਨਾ ਚਾਹੁੰਦੇ ਹਨ।

6) ਮੇਰੇ ਮੈਨੂਅਲ ਨੂੰ ਦੁਬਾਰਾ ਕੰਮ ਕੀਤਾ ਅਤੇ ਅਪਡੇਟ ਕੀਤਾ, ਜੋ ਕਿ 2020 ਵਿੱਚ ਢੁਕਵਾਂ ਹੈ।

[ਜੀ] ਉਪਯੋਗੀ ਦਸਤਾਵੇਜ਼

1. TrueCrypt ਯੂਜ਼ਰ ਗਾਈਡ (ਫਰਵਰੀ 2012 RU)
2. VeraCrypt ਦਸਤਾਵੇਜ਼
3. /usr/share/doc/cryptsetup(-run) [ਸਥਾਨਕ ਸਰੋਤ] (GNU ਇਨਕ੍ਰਿਪਸ਼ਨ ਸਥਾਪਤ ਕਰਨ ਬਾਰੇ ਅਧਿਕਾਰਤ ਵਿਸਤ੍ਰਿਤ ਦਸਤਾਵੇਜ਼/Linux ਕ੍ਰਿਪਟਸੈੱਟਅੱਪ ਦੀ ਵਰਤੋਂ ਕਰਕੇ)
4. ਅਧਿਕਾਰਤ FAQ ਕ੍ਰਿਪਟਸੈੱਟਅਪ (GNU ਇਨਕ੍ਰਿਪਸ਼ਨ ਸਥਾਪਤ ਕਰਨ ਬਾਰੇ ਸੰਖੇਪ ਦਸਤਾਵੇਜ਼/Linux ਕ੍ਰਿਪਟਸੈੱਟਅੱਪ ਦੀ ਵਰਤੋਂ ਕਰਕੇ)
5. LUKS ਡਿਵਾਈਸ ਇਨਕ੍ਰਿਪਸ਼ਨ (archlinux ਦਸਤਾਵੇਜ਼)
6. ਕ੍ਰਿਪਟਸੈੱਟਅੱਪ ਸੰਟੈਕਸ ਦਾ ਵਿਸਤ੍ਰਿਤ ਵੇਰਵਾ (arch man page)
7. ਕ੍ਰਿਪਟਟੈਬ ਦਾ ਵਿਸਤ੍ਰਿਤ ਵੇਰਵਾ (arch man page)
8. ਅਧਿਕਾਰਤ GRUB2 ਦਸਤਾਵੇਜ਼.

ਟੈਗਸ: ਪੂਰੀ ਡਿਸਕ ਇਨਕ੍ਰਿਪਸ਼ਨ, ਪਾਰਟੀਸ਼ਨ ਇਨਕ੍ਰਿਪਸ਼ਨ, ਪੂਰੀ ਡਿਸਕ ਇਨਕ੍ਰਿਪਸ਼ਨ Linux, ਪੂਰਾ ਸਿਸਟਮ ਇਨਕ੍ਰਿਪਸ਼ਨ LUKS1।

ਸਿਰਫ਼ ਰਜਿਸਟਰਡ ਉਪਭੋਗਤਾ ਹੀ ਸਰਵੇਖਣ ਵਿੱਚ ਹਿੱਸਾ ਲੈ ਸਕਦੇ ਹਨ। ਸਾਈਨ - ਇਨ, ਤੁਹਾਡਾ ਸੁਆਗਤ ਹੈ.

ਕੀ ਤੁਸੀਂ ਐਨਕ੍ਰਿਪਟ ਕਰ ਰਹੇ ਹੋ?

• 17,1%ਮੈਂ ਉਹ ਸਭ ਕੁਝ ਐਨਕ੍ਰਿਪਟ ਕਰਦਾ ਹਾਂ ਜੋ ਮੈਂ ਕਰ ਸਕਦਾ ਹਾਂ। ਮੈਂ ਪਾਗਲ ਹਾਂ ।੧੪

• 34,2%ਮੈਂ ਸਿਰਫ਼ ਮਹੱਤਵਪੂਰਨ ਡੇਟਾ ਨੂੰ ਐਨਕ੍ਰਿਪਟ ਕਰਦਾ ਹਾਂ।28

• 14,6%ਕਦੇ ਮੈਂ ਐਨਕ੍ਰਿਪਟ ਕਰਦਾ ਹਾਂ, ਕਦੇ ਮੈਂ ਭੁੱਲ ਜਾਂਦਾ ਹਾਂ।12

• 34,2%ਨਹੀਂ, ਮੈਂ ਐਨਕ੍ਰਿਪਟ ਨਹੀਂ ਕਰਦਾ, ਇਹ ਅਸੁਵਿਧਾਜਨਕ ਅਤੇ ਮਹਿੰਗਾ ਹੈ।28

82 ਉਪਭੋਗਤਾਵਾਂ ਨੇ ਵੋਟ ਕੀਤਾ। 22 ਉਪਭੋਗਤਾ ਬਚੇ।

ਸਰੋਤ: www.habr.com