ਵਿੰਡੋਜ਼ ਲੀਨਕਸ ਸਥਾਪਿਤ ਸਿਸਟਮਾਂ ਦੀ ਪੂਰੀ ਡਿਸਕ ਇਨਕ੍ਰਿਪਸ਼ਨ। ਏਨਕ੍ਰਿਪਟਡ ਮਲਟੀ-ਬੂਟ

RuNet V0.2 ਵਿੱਚ ਪੂਰੀ-ਡਿਸਕ ਇਨਕ੍ਰਿਪਸ਼ਨ ਲਈ ਆਪਣੀ ਗਾਈਡ ਨੂੰ ਅੱਪਡੇਟ ਕੀਤਾ ਗਿਆ।

ਕਾਉਬੌਏ ਰਣਨੀਤੀ:

[ਏ] ਇੰਸਟਾਲ ਕੀਤੇ ਸਿਸਟਮ ਦੀ ਵਿੰਡੋਜ਼ 7 ਸਿਸਟਮ ਬਲਾਕ ਇਨਕ੍ਰਿਪਸ਼ਨ;
[B] GNU/Linux ਸਿਸਟਮ ਬਲਾਕ ਇਨਕ੍ਰਿਪਸ਼ਨ (ਡੇਬੀਅਨ) ਇੰਸਟਾਲ ਸਿਸਟਮ (/ਬੂਟ ਸਮੇਤ);
[C] GRUB2 ਸੰਰਚਨਾ, ਡਿਜੀਟਲ ਦਸਤਖਤ/ਪ੍ਰਮਾਣਿਕਤਾ/ਹੈਸ਼ਿੰਗ ਨਾਲ ਬੂਟਲੋਡਰ ਸੁਰੱਖਿਆ;
[ਡੀ] ਸਟ੍ਰਿਪਿੰਗ—ਅਨਕ੍ਰਿਪਟਡ ਡੇਟਾ ਦਾ ਵਿਨਾਸ਼;
ਏਨਕ੍ਰਿਪਟਡ OS ਦਾ ਯੂਨੀਵਰਸਲ ਬੈਕਅੱਪ;
[F] ਹਮਲਾ <ਤੇ ਆਈਟਮ [C6]> ਟੀਚਾ - GRUB2 ਬੂਟਲੋਡਰ;
[ਜੀ] ਮਦਦਗਾਰ ਦਸਤਾਵੇਜ਼।

╭───#ਰੂਮ 40# ਦੀ ਸਕੀਮ :
├──╼ ਵਿੰਡੋਜ਼ 7 ਸਥਾਪਿਤ - ਪੂਰਾ ਸਿਸਟਮ ਇਨਕ੍ਰਿਪਸ਼ਨ, ਲੁਕਿਆ ਨਹੀਂ;
├──╼ GNU/Linux ਸਥਾਪਿਤ (ਡੇਬੀਅਨ ਅਤੇ ਡੈਰੀਵੇਟਿਵ ਵੰਡ) — ਪੂਰਾ ਸਿਸਟਮ ਇਨਕ੍ਰਿਪਸ਼ਨ, ਲੁਕਿਆ ਨਹੀਂ(/, /ਬੂਟ ਸਮੇਤ; ਸਵੈਪ);
├──╼ ਸੁਤੰਤਰ ਬੂਟਲੋਡਰ: VeraCrypt ਬੂਟਲੋਡਰ MBR ਵਿੱਚ ਇੰਸਟਾਲ ਹੈ, GRUB2 ਬੂਟਲੋਡਰ ਵਿਸਤ੍ਰਿਤ ਭਾਗ ਵਿੱਚ ਇੰਸਟਾਲ ਹੈ;
├──╼ਕੋਈ OS ਸਥਾਪਨਾ/ਮੁੜ-ਇੰਸਟਾਲੇਸ਼ਨ ਦੀ ਲੋੜ ਨਹੀਂ;
└──╼ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਸਾਫਟਵੇਅਰ ਵਰਤੇ ਗਏ: VeraCrypt; ਕ੍ਰਿਪਟਸੈੱਟਅੱਪ; GnuPG; ਸਮੁੰਦਰੀ ਘੋੜਾ; ਹਸ਼ਦੀਪ; GRUB2 ਮੁਫ਼ਤ/ਮੁਫ਼ਤ ਹੈ।

ਉਪਰੋਕਤ ਸਕੀਮ "ਇੱਕ ਫਲੈਸ਼ ਡਰਾਈਵ 'ਤੇ ਰਿਮੋਟ ਬੂਟ" ਦੀ ਸਮੱਸਿਆ ਨੂੰ ਅੰਸ਼ਕ ਤੌਰ 'ਤੇ ਹੱਲ ਕਰਦੀ ਹੈ, ਤੁਹਾਨੂੰ ਐਨਕ੍ਰਿਪਟਡ OS ਵਿੰਡੋਜ਼/ਲੀਨਕਸ ਦਾ ਅਨੰਦ ਲੈਣ ਅਤੇ ਇੱਕ OS ਤੋਂ ਦੂਜੇ OS ਵਿੱਚ "ਏਨਕ੍ਰਿਪਟਡ ਚੈਨਲ" ਦੁਆਰਾ ਡੇਟਾ ਦਾ ਆਦਾਨ-ਪ੍ਰਦਾਨ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ।

ਪੀਸੀ ਬੂਟ ਆਰਡਰ (ਵਿਕਲਪਾਂ ਵਿੱਚੋਂ ਇੱਕ):

• ਮਸ਼ੀਨ ਨੂੰ ਚਾਲੂ ਕਰਨਾ;
• VeraCrypt ਬੂਟਲੋਡਰ ਲੋਡ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ (ਸਹੀ ਪਾਸਵਰਡ ਦਾਖਲ ਕਰਨ ਨਾਲ ਵਿੰਡੋਜ਼ 7 ਨੂੰ ਬੂਟ ਕਰਨਾ ਜਾਰੀ ਰਹੇਗਾ);
• "Esc" ਕੁੰਜੀ ਨੂੰ ਦਬਾਉਣ ਨਾਲ GRUB2 ਬੂਟਲੋਡਰ ਲੋਡ ਹੋ ਜਾਵੇਗਾ;
• GRUB2 ਬੂਟ ਲੋਡਰ (ਚੁਣੋ ਵੰਡ/GNU/Linux/CLI), ਨੂੰ GRUB2 ਸੁਪਰਯੂਜ਼ਰ <login/password> ਦੀ ਪ੍ਰਮਾਣਿਕਤਾ ਦੀ ਲੋੜ ਹੋਵੇਗੀ;
• ਸਫਲਤਾਪੂਰਵਕ ਪ੍ਰਮਾਣਿਕਤਾ ਅਤੇ ਵੰਡ ਦੀ ਚੋਣ ਤੋਂ ਬਾਅਦ, ਤੁਹਾਨੂੰ “/boot/initrd.img” ਨੂੰ ਅਨਲੌਕ ਕਰਨ ਲਈ ਇੱਕ ਗੁਪਤਕੋਡ ਦਰਜ ਕਰਨ ਦੀ ਲੋੜ ਹੋਵੇਗੀ;
• ਗਲਤੀ-ਮੁਕਤ ਪਾਸਵਰਡ ਦੇਣ ਤੋਂ ਬਾਅਦ, GRUB2 ਨੂੰ ਇੱਕ ਪਾਸਵਰਡ ਐਂਟਰੀ "ਲੋੜੀਂਦੀ" ਹੋਵੇਗੀ (ਤੀਜਾ, BIOS ਪਾਸਵਰਡ ਜਾਂ GNU/Linux ਉਪਭੋਗਤਾ ਖਾਤਾ ਪਾਸਵਰਡ - ਵਿਚਾਰ ਨਾ ਕਰੋ) GNU/Linux OS ਨੂੰ ਅਨਲੌਕ ਅਤੇ ਬੂਟ ਕਰਨ ਲਈ, ਜਾਂ ਇੱਕ ਗੁਪਤ ਕੁੰਜੀ ਦਾ ਆਟੋਮੈਟਿਕ ਬਦਲ (ਦੋ ਪਾਸਵਰਡ + ਕੁੰਜੀ, ਜਾਂ ਪਾਸਵਰਡ + ਕੁੰਜੀ);
• GRUB2 ਸੰਰਚਨਾ ਵਿੱਚ ਬਾਹਰੀ ਘੁਸਪੈਠ GNU/Linux ਬੂਟ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਫ੍ਰੀਜ਼ ਕਰ ਦੇਵੇਗਾ।

ਪਰੇਸ਼ਾਨੀ? ਠੀਕ ਹੈ, ਚਲੋ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਸਵੈਚਲਿਤ ਕਰੀਏ।

ਇੱਕ ਹਾਰਡ ਡਰਾਈਵ ਨੂੰ ਵੰਡਣ ਵੇਲੇ (MBR ਸਾਰਣੀ) ਇੱਕ PC ਵਿੱਚ 4 ਤੋਂ ਵੱਧ ਮੁੱਖ ਭਾਗ ਨਹੀਂ ਹੋ ਸਕਦੇ, ਜਾਂ 3 ਮੁੱਖ ਅਤੇ ਇੱਕ ਵਿਸਤ੍ਰਿਤ, ਅਤੇ ਨਾਲ ਹੀ ਇੱਕ ਅਣ-ਅਲੋਕੇਟਿਡ ਖੇਤਰ ਵੀ ਨਹੀਂ ਹੋ ਸਕਦਾ। ਇੱਕ ਵਿਸਤ੍ਰਿਤ ਭਾਗ, ਮੁੱਖ ਭਾਗ ਦੇ ਉਲਟ, ਉਪ-ਭਾਗ ਸ਼ਾਮਲ ਕਰ ਸਕਦਾ ਹੈ (ਲਾਜ਼ੀਕਲ ਡਰਾਈਵਾਂ = ਵਿਸਤ੍ਰਿਤ ਭਾਗ). ਦੂਜੇ ਸ਼ਬਦਾਂ ਵਿੱਚ, HDD ਉੱਤੇ “ਐਕਸਟੈਂਡਡ ਭਾਗ” ਹੱਥ ਵਿੱਚ ਕੰਮ ਲਈ LVM ਨੂੰ ਬਦਲਦਾ ਹੈ: ਪੂਰਾ ਸਿਸਟਮ ਇਨਕ੍ਰਿਪਸ਼ਨ। ਜੇਕਰ ਤੁਹਾਡੀ ਡਿਸਕ ਨੂੰ 4 ਮੁੱਖ ਭਾਗਾਂ ਵਿੱਚ ਵੰਡਿਆ ਗਿਆ ਹੈ, ਤਾਂ ਤੁਹਾਨੂੰ lvm, ਜਾਂ ਟ੍ਰਾਂਸਫਾਰਮ ਦੀ ਵਰਤੋਂ ਕਰਨੀ ਪਵੇਗੀ। (ਫਾਰਮੈਟਿੰਗ ਦੇ ਨਾਲ) ਮੁੱਖ ਤੋਂ ਉੱਨਤ ਤੱਕ ਭਾਗ, ਜਾਂ ਸਮਝਦਾਰੀ ਨਾਲ ਸਾਰੇ ਚਾਰ ਭਾਗਾਂ ਦੀ ਵਰਤੋਂ ਕਰੋ ਅਤੇ ਇੱਛਤ ਨਤੀਜਾ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਸਭ ਕੁਝ ਇਸ ਤਰ੍ਹਾਂ ਛੱਡੋ। ਭਾਵੇਂ ਤੁਹਾਡੀ ਡਿਸਕ 'ਤੇ ਇੱਕ ਭਾਗ ਹੈ, Gparted ਤੁਹਾਡੀ HDD ਨੂੰ ਵੰਡਣ ਵਿੱਚ ਤੁਹਾਡੀ ਮਦਦ ਕਰੇਗਾ (ਵਾਧੂ ਭਾਗਾਂ ਲਈ) ਡੇਟਾ ਦੇ ਨੁਕਸਾਨ ਤੋਂ ਬਿਨਾਂ, ਪਰ ਅਜੇ ਵੀ ਅਜਿਹੀਆਂ ਕਾਰਵਾਈਆਂ ਲਈ ਇੱਕ ਛੋਟੇ ਜੁਰਮਾਨੇ ਦੇ ਨਾਲ।

ਹਾਰਡ ਡਰਾਈਵ ਲੇਆਉਟ ਸਕੀਮ, ਜਿਸ ਦੇ ਸਬੰਧ ਵਿੱਚ ਪੂਰੇ ਲੇਖ ਨੂੰ ਜ਼ੁਬਾਨੀ ਰੂਪ ਦਿੱਤਾ ਜਾਵੇਗਾ, ਹੇਠਾਂ ਦਿੱਤੀ ਸਾਰਣੀ ਵਿੱਚ ਪੇਸ਼ ਕੀਤਾ ਗਿਆ ਹੈ।

1TB ਭਾਗਾਂ ਦੀ ਸਾਰਣੀ (ਨੰਬਰ 1)।

ਤੁਹਾਡੇ ਕੋਲ ਵੀ ਕੁਝ ਅਜਿਹਾ ਹੀ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ.
sda1 - ਮੁੱਖ ਭਾਗ ਨੰਬਰ 1 NTFS (ਏਨਕ੍ਰਿਪਟਡ);
sda2 - ਵਿਸਤ੍ਰਿਤ ਭਾਗ ਮਾਰਕਰ;
sda6 - ਲਾਜ਼ੀਕਲ ਡਿਸਕ (ਇਸ ਵਿੱਚ GRUB2 ਬੂਟਲੋਡਰ ਇੰਸਟਾਲ ਹੈ);
sda8 - ਸਵੈਪ (ਇਨਕ੍ਰਿਪਟਡ ਸਵੈਪ ਫਾਈਲ/ਹਮੇਸ਼ਾ ਨਹੀਂ);
sda9 - ਲਾਜ਼ੀਕਲ ਡਿਸਕ ਦੀ ਜਾਂਚ ਕਰੋ;
sda5 - ਉਤਸੁਕ ਲਈ ਲਾਜ਼ੀਕਲ ਡਿਸਕ;
sda7 - GNU/Linux OS (ਇੱਕ ਇਨਕ੍ਰਿਪਟਡ ਲਾਜ਼ੀਕਲ ਡਿਸਕ ਵਿੱਚ OS ਨੂੰ ਟ੍ਰਾਂਸਫਰ ਕੀਤਾ ਗਿਆ);
sda3 - ਵਿੰਡੋਜ਼ 2 OS ਦੇ ਨਾਲ ਮੁੱਖ ਭਾਗ ਨੰਬਰ 7 (ਏਨਕ੍ਰਿਪਟਡ);
sda4 - ਮੁੱਖ ਭਾਗ ਨੰ. 3 (ਇਸ ਵਿੱਚ ਗੈਰ-ਇਨਕ੍ਰਿਪਟਡ GNU/Linux ਹੈ, ਬੈਕਅੱਪ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ/ਹਮੇਸ਼ਾ ਨਹੀਂ).

[ਏ] ਵਿੰਡੋਜ਼ 7 ਸਿਸਟਮ ਬਲਾਕ ਇਨਕ੍ਰਿਪਸ਼ਨ

A1. VeraCrypt

ਤੋਂ ਡਾਊਨਲੋਡ ਕਰੋ ਅਧਿਕਾਰੀ ਨੇ ਸਾਈਟ, ਜਾਂ ਸ਼ੀਸ਼ੇ ਤੋਂ sourceforge VeraCrypt ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਸੌਫਟਵੇਅਰ ਦਾ ਇੰਸਟਾਲੇਸ਼ਨ ਸੰਸਕਰਣ (ਲੇਖ v1.24-Update3 ਦੇ ਪ੍ਰਕਾਸ਼ਨ ਦੇ ਸਮੇਂ, VeraCrypt ਦਾ ਪੋਰਟੇਬਲ ਸੰਸਕਰਣ ਸਿਸਟਮ ਇਨਕ੍ਰਿਪਸ਼ਨ ਲਈ ਢੁਕਵਾਂ ਨਹੀਂ ਹੈ). ਡਾਊਨਲੋਡ ਕੀਤੇ ਸੌਫਟਵੇਅਰ ਦੇ ਚੈਕਸਮ ਦੀ ਜਾਂਚ ਕਰੋ

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

ਅਤੇ ਨਤੀਜੇ ਦੀ ਤੁਲਨਾ VeraCrypt ਡਿਵੈਲਪਰ ਵੈੱਬਸਾਈਟ 'ਤੇ ਪੋਸਟ ਕੀਤੇ ਗਏ CS ਨਾਲ ਕਰੋ।

ਜੇਕਰ ਹੈਸ਼ਟੈਬ ਸੌਫਟਵੇਅਰ ਸਥਾਪਿਤ ਹੈ, ਤਾਂ ਇਹ ਹੋਰ ਵੀ ਆਸਾਨ ਹੈ: RMB (VeraCrypt ਸੈੱਟਅੱਪ 1.24.exe)- ਵਿਸ਼ੇਸ਼ਤਾ - ਫਾਈਲਾਂ ਦਾ ਹੈਸ਼ ਜੋੜ।

ਪ੍ਰੋਗਰਾਮ ਦੇ ਦਸਤਖਤ ਦੀ ਪੁਸ਼ਟੀ ਕਰਨ ਲਈ, ਸੌਫਟਵੇਅਰ ਅਤੇ ਡਿਵੈਲਪਰ ਦੀ ਜਨਤਕ pgp ਕੁੰਜੀ ਸਿਸਟਮ 'ਤੇ ਸਥਾਪਿਤ ਹੋਣੀ ਚਾਹੀਦੀ ਹੈ gnuPG; gpg4win.

A2. ਪ੍ਰਸ਼ਾਸਕ ਦੇ ਅਧਿਕਾਰਾਂ ਨਾਲ VeraCrypt ਸੌਫਟਵੇਅਰ ਨੂੰ ਸਥਾਪਿਤ / ਚਲਾਉਣਾ

A3. ਕਿਰਿਆਸ਼ੀਲ ਭਾਗ ਲਈ ਸਿਸਟਮ ਇਨਕ੍ਰਿਪਸ਼ਨ ਪੈਰਾਮੀਟਰ ਚੁਣਨਾVeraCrypt - ਸਿਸਟਮ - ਸਿਸਟਮ ਭਾਗ/ਡਿਸਕ ਨੂੰ ਐਨਕ੍ਰਿਪਟ ਕਰੋ - ਆਮ - ਵਿੰਡੋਜ਼ ਸਿਸਟਮ ਭਾਗ ਨੂੰ ਐਨਕ੍ਰਿਪਟ ਕਰੋ - ਮਲਟੀਬੂਟ - (ਚੇਤਾਵਨੀ: "ਭੋਲੇ-ਭਾਲੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਇਸ ਵਿਧੀ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਸਿਫਾਰਸ਼ ਨਹੀਂ ਕੀਤੀ ਜਾਂਦੀ" ਅਤੇ ਇਹ ਸੱਚ ਹੈ, ਅਸੀਂ "ਹਾਂ" ਨਾਲ ਸਹਿਮਤ ਹਾਂ) - ਬੂਟ ਡਿਸਕ ("ਹਾਂ", ਭਾਵੇਂ ਅਜਿਹਾ ਨਾ ਹੋਵੇ, ਫਿਰ ਵੀ "ਹਾਂ") - ਸਿਸਟਮ ਡਿਸਕਾਂ ਦੀ ਗਿਣਤੀ "2 ਜਾਂ ਵੱਧ" - ਇੱਕ ਡਿਸਕ 'ਤੇ ਕਈ ਸਿਸਟਮ "ਹਾਂ" - ਗੈਰ-ਵਿੰਡੋਜ਼ ਬੂਟ ਲੋਡਰ "ਨਹੀਂ" (ਅਸਲ ਵਿੱਚ, “ਹਾਂ”, ਪਰ VeraCrypt/GRUB2 ਬੂਟ ਲੋਡਰ ਆਪਸ ਵਿੱਚ MBR ਨੂੰ ਸਾਂਝਾ ਨਹੀਂ ਕਰਨਗੇ; ਵਧੇਰੇ ਸਪੱਸ਼ਟ ਤੌਰ 'ਤੇ, ਬੂਟ ਲੋਡਰ ਕੋਡ ਦਾ ਸਿਰਫ ਸਭ ਤੋਂ ਛੋਟਾ ਹਿੱਸਾ MBR/ਬੂਟ ਟਰੈਕ ਵਿੱਚ ਸਟੋਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਇਸਦਾ ਮੁੱਖ ਹਿੱਸਾ ਹੈ। ਫਾਈਲ ਸਿਸਟਮ ਦੇ ਅੰਦਰ ਸਥਿਤ) - ਮਲਟੀਬੂਟ - ਏਨਕ੍ਰਿਪਸ਼ਨ ਸੈਟਿੰਗਾਂ ...

ਜੇਕਰ ਤੁਸੀਂ ਉਪਰੋਕਤ ਕਦਮਾਂ ਤੋਂ ਭਟਕ ਜਾਂਦੇ ਹੋ (ਬਲਾਕ ਸਿਸਟਮ ਇਨਕ੍ਰਿਪਸ਼ਨ ਸਕੀਮਾਂ), ਫਿਰ VeraCrypt ਇੱਕ ਚੇਤਾਵਨੀ ਜਾਰੀ ਕਰੇਗਾ ਅਤੇ ਤੁਹਾਨੂੰ ਭਾਗ ਨੂੰ ਇਨਕ੍ਰਿਪਟ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਨਹੀਂ ਦੇਵੇਗਾ।

ਨਿਸ਼ਾਨਾ ਡੇਟਾ ਸੁਰੱਖਿਆ ਵੱਲ ਅਗਲੇ ਕਦਮ ਵਿੱਚ, ਇੱਕ "ਟੈਸਟ" ਕਰੋ ਅਤੇ ਇੱਕ ਏਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ ਚੁਣੋ। ਜੇਕਰ ਤੁਹਾਡੇ ਕੋਲ ਇੱਕ ਪੁਰਾਣਾ CPU ਹੈ, ਤਾਂ ਸਭ ਤੋਂ ਤੇਜ਼ ਏਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ ਟੂਫਿਸ਼ ਹੋਵੇਗਾ। ਜੇਕਰ CPU ਸ਼ਕਤੀਸ਼ਾਲੀ ਹੈ, ਤਾਂ ਤੁਸੀਂ ਫਰਕ ਵੇਖੋਗੇ: AES ਐਨਕ੍ਰਿਪਸ਼ਨ, ਟੈਸਟ ਦੇ ਨਤੀਜਿਆਂ ਦੇ ਅਨੁਸਾਰ, ਇਸਦੇ ਕ੍ਰਿਪਟੋ ਪ੍ਰਤੀਯੋਗੀਆਂ ਨਾਲੋਂ ਕਈ ਗੁਣਾ ਤੇਜ਼ ਹੋਵੇਗੀ। AES ਇੱਕ ਪ੍ਰਸਿੱਧ ਏਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ ਹੈ; ਆਧੁਨਿਕ CPUs ਦਾ ਹਾਰਡਵੇਅਰ ਵਿਸ਼ੇਸ਼ ਤੌਰ 'ਤੇ "ਗੁਪਤ" ਅਤੇ "ਹੈਕਿੰਗ" ਦੋਵਾਂ ਲਈ ਅਨੁਕੂਲਿਤ ਕੀਤਾ ਗਿਆ ਹੈ।

VeraCrypt ਇੱਕ AES ਕੈਸਕੇਡ ਵਿੱਚ ਡਿਸਕਾਂ ਨੂੰ ਐਨਕ੍ਰਿਪਟ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ(ਟੌਫਿਸ਼)/ਅਤੇ ਹੋਰ ਸੰਜੋਗ। ਦਸ ਸਾਲ ਪਹਿਲਾਂ ਦੇ ਇੱਕ ਪੁਰਾਣੇ ਕੋਰ Intel CPU 'ਤੇ (AES, A/T ਕੈਸਕੇਡ ਐਨਕ੍ਰਿਪਸ਼ਨ ਲਈ ਹਾਰਡਵੇਅਰ ਸਹਾਇਤਾ ਤੋਂ ਬਿਨਾਂ) ਕਾਰਗੁਜ਼ਾਰੀ ਵਿੱਚ ਕਮੀ ਜ਼ਰੂਰੀ ਤੌਰ 'ਤੇ ਅਦ੍ਰਿਸ਼ਟ ਹੈ. (ਉਸੇ ਯੁੱਗ ਦੇ AMD CPUs/~ਪੈਰਾਮੀਟਰਾਂ ਲਈ, ਪ੍ਰਦਰਸ਼ਨ ਥੋੜ੍ਹਾ ਘਟਾਇਆ ਗਿਆ ਹੈ). OS ਗਤੀਸ਼ੀਲ ਤੌਰ 'ਤੇ ਕੰਮ ਕਰਦਾ ਹੈ ਅਤੇ ਪਾਰਦਰਸ਼ੀ ਐਨਕ੍ਰਿਪਸ਼ਨ ਲਈ ਸਰੋਤ ਦੀ ਖਪਤ ਅਦਿੱਖ ਹੈ। ਇਸਦੇ ਉਲਟ, ਉਦਾਹਰਨ ਲਈ, ਸਥਾਪਤ ਅਸਥਿਰ ਟੈਸਟ ਡੈਸਕਟੌਪ ਵਾਤਾਵਰਣ ਮੇਟ v1.20.1 ਦੇ ਕਾਰਨ ਪ੍ਰਦਰਸ਼ਨ ਵਿੱਚ ਇੱਕ ਧਿਆਨ ਦੇਣ ਯੋਗ ਕਮੀ ਹੈ। (ਜਾਂ v1.20.2 ਮੈਨੂੰ ਬਿਲਕੁਲ ਯਾਦ ਨਹੀਂ ਹੈ) GNU/Linux ਵਿੱਚ, ਜਾਂ Windows7↑ ਵਿੱਚ ਟੈਲੀਮੈਟਰੀ ਰੁਟੀਨ ਦੇ ਸੰਚਾਲਨ ਦੇ ਕਾਰਨ। ਆਮ ਤੌਰ 'ਤੇ, ਤਜਰਬੇਕਾਰ ਉਪਭੋਗਤਾ ਏਨਕ੍ਰਿਪਸ਼ਨ ਤੋਂ ਪਹਿਲਾਂ ਹਾਰਡਵੇਅਰ ਪ੍ਰਦਰਸ਼ਨ ਟੈਸਟ ਕਰਵਾਉਂਦੇ ਹਨ। ਉਦਾਹਰਨ ਲਈ, Aida64/Sysbench/systemd-ਵਿਸ਼ਲੇਸ਼ਣ ਵਿੱਚ ਦੋਸ਼ ਦੀ ਤੁਲਨਾ ਸਿਸਟਮ ਨੂੰ ਏਨਕ੍ਰਿਪਟ ਕਰਨ ਤੋਂ ਬਾਅਦ ਉਸੇ ਟੈਸਟਾਂ ਦੇ ਨਤੀਜਿਆਂ ਨਾਲ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਇਸ ਤਰ੍ਹਾਂ ਆਪਣੇ ਲਈ ਮਿੱਥ ਦਾ ਖੰਡਨ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਕਿ "ਸਿਸਟਮ ਐਨਕ੍ਰਿਪਸ਼ਨ ਨੁਕਸਾਨਦੇਹ ਹੈ।" ਏਨਕ੍ਰਿਪਟਡ ਡੇਟਾ ਦਾ ਬੈਕਅੱਪ/ਬਹਾਲ ਕਰਨ ਵੇਲੇ ਮਸ਼ੀਨ ਦੀ ਸੁਸਤੀ ਅਤੇ ਅਸੁਵਿਧਾ ਨਜ਼ਰ ਆਉਂਦੀ ਹੈ, ਕਿਉਂਕਿ "ਸਿਸਟਮ ਡੇਟਾ ਬੈਕਅੱਪ" ਓਪਰੇਸ਼ਨ ਆਪਣੇ ਆਪ ਵਿੱਚ ms ਵਿੱਚ ਨਹੀਂ ਮਾਪਿਆ ਜਾਂਦਾ ਹੈ, ਅਤੇ ਉਹੀ <decrypt/encrypt on the fly> ਨੂੰ ਜੋੜਿਆ ਜਾਂਦਾ ਹੈ। ਅੰਤ ਵਿੱਚ, ਹਰੇਕ ਉਪਭੋਗਤਾ ਜਿਸਨੂੰ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫੀ ਨਾਲ ਟਿੰਕਰ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ, ਹੱਥ ਵਿੱਚ ਕੰਮ ਦੀ ਸੰਤੁਸ਼ਟੀ, ਉਹਨਾਂ ਦੇ ਪਾਗਲਪਨ ਦੇ ਪੱਧਰ, ਅਤੇ ਵਰਤੋਂ ਵਿੱਚ ਆਸਾਨੀ ਦੇ ਵਿਰੁੱਧ ਏਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ ਨੂੰ ਸੰਤੁਲਿਤ ਕਰਦਾ ਹੈ।

PIM ਪੈਰਾਮੀਟਰ ਨੂੰ ਡਿਫੌਲਟ ਦੇ ਤੌਰ 'ਤੇ ਛੱਡਣਾ ਬਿਹਤਰ ਹੈ, ਤਾਂ ਜੋ OS ਨੂੰ ਲੋਡ ਕਰਨ ਵੇਲੇ ਤੁਹਾਨੂੰ ਹਰ ਵਾਰ ਸਹੀ ਦੁਹਰਾਓ ਮੁੱਲ ਦਾਖਲ ਕਰਨ ਦੀ ਲੋੜ ਨਾ ਪਵੇ। VeraCrypt ਇੱਕ ਸੱਚਮੁੱਚ "ਹੌਲੀ ਹੈਸ਼" ਬਣਾਉਣ ਲਈ ਬਹੁਤ ਸਾਰੇ ਦੁਹਰਾਓ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ. ਬਰੂਟ ਫੋਰਸ/ਰੇਨਬੋ ਟੇਬਲ ਵਿਧੀ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਅਜਿਹੇ "ਕ੍ਰਿਪਟੋ ਸਨੇਲ" 'ਤੇ ਹਮਲਾ ਸਿਰਫ ਇੱਕ ਛੋਟੇ "ਸਧਾਰਨ" ਪਾਸਫ੍ਰੇਜ਼ ਅਤੇ ਪੀੜਤ ਦੀ ਨਿੱਜੀ ਅੱਖਰ-ਸੂਚੀ ਨਾਲ ਹੀ ਅਰਥ ਰੱਖਦਾ ਹੈ। ਪਾਸਵਰਡ ਦੀ ਤਾਕਤ ਲਈ ਭੁਗਤਾਨ ਕਰਨ ਦੀ ਕੀਮਤ OS ਨੂੰ ਲੋਡ ਕਰਨ ਵੇਲੇ ਸਹੀ ਪਾਸਵਰਡ ਦਾਖਲ ਕਰਨ ਵਿੱਚ ਦੇਰੀ ਹੈ। (GNU/Linux ਵਿੱਚ VeraCrypt ਵਾਲੀਅਮ ਨੂੰ ਮਾਊਂਟ ਕਰਨਾ ਕਾਫ਼ੀ ਤੇਜ਼ ਹੈ)।
ਵਹਿਸ਼ੀ ਬਲ ਦੇ ਹਮਲਿਆਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਮੁਫਤ ਸੌਫਟਵੇਅਰ (VeraCrypt/LUKS ਡਿਸਕ ਹੈਡਰ ਤੋਂ ਪਾਸਫਰੇਜ ਐਕਸਟਰੈਕਟ ਕਰੋ) ਹੈਸਕੈਟ. ਜੌਨ ਦ ਰਿਪਰ ਨਹੀਂ ਜਾਣਦਾ ਕਿ "ਵੇਰਾਕ੍ਰਿਪਟ ਨੂੰ ਕਿਵੇਂ ਤੋੜਨਾ ਹੈ", ਅਤੇ LUKS ਨਾਲ ਕੰਮ ਕਰਦੇ ਸਮੇਂ ਟੂਫਿਸ਼ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫੀ ਨੂੰ ਨਹੀਂ ਸਮਝਦਾ.

ਏਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ ਦੀ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਤਾਕਤ ਦੇ ਕਾਰਨ, ਨਾ ਰੁਕਣ ਵਾਲੇ ਸਾਈਫਰਪੰਕਸ ਇੱਕ ਵੱਖਰੇ ਅਟੈਕ ਵੈਕਟਰ ਨਾਲ ਸੌਫਟਵੇਅਰ ਵਿਕਸਿਤ ਕਰ ਰਹੇ ਹਨ। ਉਦਾਹਰਨ ਲਈ, RAM ਤੋਂ ਮੈਟਾਡੇਟਾ/ਕੁੰਜੀਆਂ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਨਾ (ਕੋਲਡ ਬੂਟ/ਡਾਇਰੈਕਟ ਮੈਮੋਰੀ ਐਕਸੈਸ ਅਟੈਕ), ਇਹਨਾਂ ਉਦੇਸ਼ਾਂ ਲਈ ਵਿਸ਼ੇਸ਼ ਮੁਫਤ ਅਤੇ ਗੈਰ-ਮੁਕਤ ਸਾਫਟਵੇਅਰ ਹਨ।

ਏਨਕ੍ਰਿਪਟ ਕੀਤੇ ਕਿਰਿਆਸ਼ੀਲ ਭਾਗ ਦੇ "ਵਿਲੱਖਣ ਮੈਟਾਡੇਟਾ" ਨੂੰ ਸੈੱਟਅੱਪ/ਜਨਰੇਟ ਕਰਨ ਦੇ ਪੂਰਾ ਹੋਣ 'ਤੇ, VeraCrypt PC ਨੂੰ ਰੀਸਟਾਰਟ ਕਰਨ ਅਤੇ ਇਸਦੇ ਬੂਟਲੋਡਰ ਦੀ ਕਾਰਜਕੁਸ਼ਲਤਾ ਦੀ ਜਾਂਚ ਕਰਨ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰੇਗਾ। ਵਿੰਡੋਜ਼ ਨੂੰ ਰੀਬੂਟ/ਸਟਾਰਟ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਵੇਰਾਕ੍ਰਿਪਟ ਸਟੈਂਡਬਾਏ ਮੋਡ ਵਿੱਚ ਲੋਡ ਹੋ ਜਾਵੇਗਾ, ਜੋ ਕੁਝ ਬਚਿਆ ਹੈ ਉਹ ਏਨਕ੍ਰਿਪਸ਼ਨ ਪ੍ਰਕਿਰਿਆ ਦੀ ਪੁਸ਼ਟੀ ਕਰਨਾ ਹੈ - Y.

ਸਿਸਟਮ ਇਨਕ੍ਰਿਪਸ਼ਨ ਦੇ ਅੰਤਮ ਪੜਾਅ 'ਤੇ, VeraCrypt "veracrypt Rescue disk.iso" ਦੇ ਰੂਪ ਵਿੱਚ ਕਿਰਿਆਸ਼ੀਲ ਐਨਕ੍ਰਿਪਟਡ ਭਾਗ ਦੇ ਸਿਰਲੇਖ ਦੀ ਇੱਕ ਬੈਕਅੱਪ ਕਾਪੀ ਬਣਾਉਣ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰੇਗਾ - ਇਹ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ - ਇਸ ਸੌਫਟਵੇਅਰ ਵਿੱਚ ਅਜਿਹੀ ਕਾਰਵਾਈ ਦੀ ਲੋੜ ਹੈ (LUKS ਵਿੱਚ, ਇੱਕ ਲੋੜ ਵਜੋਂ - ਇਹ ਬਦਕਿਸਮਤੀ ਨਾਲ ਛੱਡ ਦਿੱਤਾ ਗਿਆ ਹੈ, ਪਰ ਦਸਤਾਵੇਜ਼ ਵਿੱਚ ਜ਼ੋਰ ਦਿੱਤਾ ਗਿਆ ਹੈ). ਬਚਾਅ ਡਿਸਕ ਹਰ ਕਿਸੇ ਲਈ ਕੰਮ ਆਵੇਗੀ, ਅਤੇ ਕੁਝ ਇੱਕ ਤੋਂ ਵੱਧ ਵਾਰ ਲਈ। ਨੁਕਸਾਨ (ਸਿਰਲੇਖ/MBR ਮੁੜ ਲਿਖਣਾ) ਸਿਰਲੇਖ ਦੀ ਇੱਕ ਬੈਕਅੱਪ ਕਾਪੀ OS Windows ਦੇ ਨਾਲ ਡੀਕ੍ਰਿਪਟ ਕੀਤੇ ਭਾਗ ਤੱਕ ਪਹੁੰਚ ਨੂੰ ਪੱਕੇ ਤੌਰ 'ਤੇ ਅਸਵੀਕਾਰ ਕਰੇਗੀ।

A4. ਇੱਕ VeraCrypt ਬਚਾਅ USB/ਡਿਸਕ ਬਣਾਉਣਾਮੂਲ ਰੂਪ ਵਿੱਚ, VeraCrypt ਇੱਕ CD ਵਿੱਚ “~2-3MB ਮੈਟਾਡੇਟਾ” ਲਿਖਣ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰਦਾ ਹੈ, ਪਰ ਸਾਰੇ ਲੋਕਾਂ ਕੋਲ ਡਿਸਕਾਂ ਜਾਂ DWD-ROM ਡਰਾਈਵਾਂ ਨਹੀਂ ਹਨ, ਅਤੇ ਇੱਕ ਬੂਟ ਹੋਣ ਯੋਗ ਫਲੈਸ਼ ਡਰਾਈਵ “VeraCrypt Rescue disk” ਬਣਾਉਣਾ ਕੁਝ ਲਈ ਇੱਕ ਤਕਨੀਕੀ ਹੈਰਾਨੀ ਹੋਵੇਗੀ: Rufus /GUIdd-ROSA ImageWriter ਅਤੇ ਹੋਰ ਸਮਾਨ ਸੌਫਟਵੇਅਰ ਕੰਮ ਨਾਲ ਸਿੱਝਣ ਦੇ ਯੋਗ ਨਹੀਂ ਹੋਣਗੇ, ਕਿਉਂਕਿ ਇੱਕ ਬੂਟ ਹੋਣ ਯੋਗ ਫਲੈਸ਼ ਡਰਾਈਵ ਵਿੱਚ ਆਫਸੈੱਟ ਮੈਟਾਡੇਟਾ ਦੀ ਨਕਲ ਕਰਨ ਤੋਂ ਇਲਾਵਾ, ਤੁਹਾਨੂੰ USB ਡਰਾਈਵ ਦੇ ਫਾਈਲ ਸਿਸਟਮ ਦੇ ਬਾਹਰ ਚਿੱਤਰ ਨੂੰ ਕਾਪੀ/ਪੇਸਟ ਕਰਨ ਦੀ ਲੋੜ ਹੈ, ਸੰਖੇਪ ਵਿੱਚ, MBR/ਸੜਕ ਨੂੰ ਕੀਚੇਨ ਵਿੱਚ ਸਹੀ ਢੰਗ ਨਾਲ ਕਾਪੀ ਕਰੋ। ਤੁਸੀਂ GNU/Linux OS ਤੋਂ ਇੱਕ ਬੂਟ ਹੋਣ ਯੋਗ ਫਲੈਸ਼ ਡਰਾਈਵ ਬਣਾ ਸਕਦੇ ਹੋ, "dd" ਉਪਯੋਗਤਾ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, ਇਸ ਚਿੰਨ੍ਹ ਨੂੰ ਦੇਖਦੇ ਹੋਏ।

ਵਿੰਡੋਜ਼ ਵਾਤਾਵਰਣ ਵਿੱਚ ਇੱਕ ਬਚਾਅ ਡਿਸਕ ਬਣਾਉਣਾ ਵੱਖਰੀ ਹੈ। VeraCrypt ਦੇ ਡਿਵੈਲਪਰ ਨੇ ਅਧਿਕਾਰੀ ਵਿੱਚ ਇਸ ਸਮੱਸਿਆ ਦਾ ਹੱਲ ਸ਼ਾਮਲ ਨਹੀਂ ਕੀਤਾ ਦਸਤਾਵੇਜ਼ "ਬਚਾਅ ਡਿਸਕ" ਦੁਆਰਾ, ਪਰ ਇੱਕ ਵੱਖਰੇ ਤਰੀਕੇ ਨਾਲ ਇੱਕ ਹੱਲ ਪ੍ਰਸਤਾਵਿਤ ਕੀਤਾ: ਉਸਨੇ ਆਪਣੇ VeraCrypt ਫੋਰਮ 'ਤੇ ਮੁਫਤ ਪਹੁੰਚ ਲਈ ਇੱਕ "USB ਬਚਾਅ ਡਿਸਕ" ਬਣਾਉਣ ਲਈ ਵਾਧੂ ਸੌਫਟਵੇਅਰ ਪੋਸਟ ਕੀਤਾ। ਵਿੰਡੋਜ਼ ਲਈ ਇਸ ਸੌਫਟਵੇਅਰ ਦਾ ਪੁਰਾਲੇਖਕਰਤਾ "USB veracrypt ਸੰਕਟਕਾਲੀਨ ਡਿਸਕ ਬਣਾ ਰਿਹਾ ਹੈ"। ਸੰਕਟਕਾਲੀਨ disk.iso ਨੂੰ ਸੰਭਾਲਣ ਤੋਂ ਬਾਅਦ, ਸਰਗਰਮ ਭਾਗ ਦੇ ਬਲਾਕ ਸਿਸਟਮ ਇਨਕ੍ਰਿਪਸ਼ਨ ਦੀ ਪ੍ਰਕਿਰਿਆ ਸ਼ੁਰੂ ਹੋ ਜਾਵੇਗੀ। ਏਨਕ੍ਰਿਪਸ਼ਨ ਦੇ ਦੌਰਾਨ, OS ਦਾ ਕੰਮ ਨਹੀਂ ਰੁਕਦਾ; ਇੱਕ PC ਰੀਸਟਾਰਟ ਦੀ ਲੋੜ ਨਹੀਂ ਹੈ। ਇਨਕ੍ਰਿਪਸ਼ਨ ਕਾਰਵਾਈ ਦੇ ਪੂਰਾ ਹੋਣ 'ਤੇ, ਕਿਰਿਆਸ਼ੀਲ ਭਾਗ ਪੂਰੀ ਤਰ੍ਹਾਂ ਇਨਕ੍ਰਿਪਟਡ ਹੋ ਜਾਂਦਾ ਹੈ ਅਤੇ ਵਰਤਿਆ ਜਾ ਸਕਦਾ ਹੈ। ਜੇਕਰ ਵੇਰਾਕ੍ਰਿਪਟ ਬੂਟ ਲੋਡਰ ਤੁਹਾਡੇ ਪੀਸੀ ਨੂੰ ਚਾਲੂ ਕਰਨ ਵੇਲੇ ਦਿਖਾਈ ਨਹੀਂ ਦਿੰਦਾ ਹੈ, ਅਤੇ ਹੈਡਰ ਰਿਕਵਰੀ ਓਪਰੇਸ਼ਨ ਮਦਦ ਨਹੀਂ ਕਰਦਾ ਹੈ, ਤਾਂ "ਬੂਟ" ਫਲੈਗ ਦੀ ਜਾਂਚ ਕਰੋ, ਇਹ ਉਸ ਭਾਗ 'ਤੇ ਸੈੱਟ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ ਜਿੱਥੇ ਵਿੰਡੋਜ਼ ਮੌਜੂਦ ਹੈ। (ਏਨਕ੍ਰਿਪਸ਼ਨ ਅਤੇ ਹੋਰ OS ਦੀ ਪਰਵਾਹ ਕੀਤੇ ਬਿਨਾਂ, ਸਾਰਣੀ ਨੰ. 1 ਦੇਖੋ)।
ਇਹ ਵਿੰਡੋਜ਼ OS ਦੇ ਨਾਲ ਬਲਾਕ ਸਿਸਟਮ ਇਨਕ੍ਰਿਪਸ਼ਨ ਦੇ ਵਰਣਨ ਨੂੰ ਪੂਰਾ ਕਰਦਾ ਹੈ।

[B]LUKS. GNU/Linux ਇਨਕ੍ਰਿਪਸ਼ਨ (~ ਡੇਬੀਅਨ) ਇੰਸਟਾਲ OS. ਐਲਗੋਰਿਦਮ ਅਤੇ ਕਦਮ

ਇੱਕ ਸਥਾਪਿਤ ਡੇਬੀਅਨ/ਡੈਰੀਵੇਟਿਵ ਡਿਸਟ੍ਰੀਬਿਊਸ਼ਨ ਨੂੰ ਏਨਕ੍ਰਿਪਟ ਕਰਨ ਲਈ, ਤੁਹਾਨੂੰ ਤਿਆਰ ਕੀਤੇ ਭਾਗ ਨੂੰ ਇੱਕ ਵਰਚੁਅਲ ਬਲਾਕ ਡਿਵਾਈਸ ਨਾਲ ਮੈਪ ਕਰਨ ਦੀ ਲੋੜ ਹੈ, ਇਸਨੂੰ ਮੈਪ ਕੀਤੀ GNU/Linux ਡਿਸਕ ਵਿੱਚ ਟ੍ਰਾਂਸਫਰ ਕਰੋ, ਅਤੇ GRUB2 ਨੂੰ ਇੰਸਟਾਲ/ਸੰਰਚਨਾ ਕਰੋ। ਜੇਕਰ ਤੁਹਾਡੇ ਕੋਲ ਬੇਅਰ ਮੈਟਲ ਸਰਵਰ ਨਹੀਂ ਹੈ, ਅਤੇ ਤੁਸੀਂ ਆਪਣੇ ਸਮੇਂ ਦੀ ਕਦਰ ਕਰਦੇ ਹੋ, ਤਾਂ ਤੁਹਾਨੂੰ GUI ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਲੋੜ ਹੈ, ਅਤੇ ਹੇਠਾਂ ਦੱਸੇ ਗਏ ਜ਼ਿਆਦਾਤਰ ਟਰਮੀਨਲ ਕਮਾਂਡਾਂ "ਚੱਕ-ਨੌਰਿਸ ਮੋਡ" ਵਿੱਚ ਚਲਾਉਣ ਲਈ ਹਨ।

ਬੀ 1. ਲਾਈਵ USB GNU/Linux ਤੋਂ PC ਬੂਟ ਕਰਨਾ

"ਹਾਰਡਵੇਅਰ ਪ੍ਰਦਰਸ਼ਨ ਲਈ ਇੱਕ ਕ੍ਰਿਪਟੋ ਟੈਸਟ ਕਰੋ"

lscpu && сryptsetup benchmark

ਜੇਕਰ ਤੁਸੀਂ AES ਹਾਰਡਵੇਅਰ ਸਮਰਥਨ ਵਾਲੀ ਇੱਕ ਸ਼ਕਤੀਸ਼ਾਲੀ ਕਾਰ ਦੇ ਖੁਸ਼ ਮਾਲਕ ਹੋ, ਤਾਂ ਨੰਬਰ ਟਰਮੀਨਲ ਦੇ ਸੱਜੇ ਪਾਸੇ ਵਰਗੇ ਦਿਖਾਈ ਦੇਣਗੇ; ਜੇਕਰ ਤੁਸੀਂ ਇੱਕ ਖੁਸ਼ ਮਾਲਕ ਹੋ, ਪਰ ਐਂਟੀਕ ਹਾਰਡਵੇਅਰ ਦੇ ਨਾਲ, ਨੰਬਰ ਖੱਬੇ ਪਾਸੇ ਵਰਗੇ ਦਿਖਾਈ ਦੇਣਗੇ।

B2. ਡਿਸਕ ਵਿਭਾਗੀਕਰਨ. ਮਾਊਂਟਿੰਗ/ਫਾਰਮੈਟਿੰਗ fs ਲਾਜ਼ੀਕਲ ਡਿਸਕ HDD ਤੋਂ Ext4 (Gparted)

ਬੀ 2.1. ਇੱਕ ਇਨਕ੍ਰਿਪਟਡ sda7 ਭਾਗ ਸਿਰਲੇਖ ਬਣਾਉਣਾਮੈਂ ਭਾਗਾਂ ਦੇ ਨਾਵਾਂ ਦਾ ਵਰਣਨ ਕਰਾਂਗਾ, ਇੱਥੇ ਅਤੇ ਅੱਗੇ, ਉੱਪਰ ਪੋਸਟ ਕੀਤੀ ਮੇਰੀ ਭਾਗ ਸਾਰਣੀ ਦੇ ਅਨੁਸਾਰ। ਤੁਹਾਡੇ ਡਿਸਕ ਲੇਆਉਟ ਦੇ ਅਨੁਸਾਰ, ਤੁਹਾਨੂੰ ਆਪਣੇ ਭਾਗ ਦੇ ਨਾਂ ਬਦਲਣੇ ਚਾਹੀਦੇ ਹਨ।

ਲਾਜ਼ੀਕਲ ਡਰਾਈਵ ਐਨਕ੍ਰਿਪਸ਼ਨ ਮੈਪਿੰਗ (/dev/sda7 > /dev/mapper/sda7_crypt)।
# "LUKS-AES-XTS ਭਾਗ" ਦੀ ਆਸਾਨ ਰਚਨਾ

cryptsetup -v -y luksFormat /dev/sda7

ਵਿਕਲਪ:

* luksFormat - LUKS ਸਿਰਲੇਖ ਦੀ ਸ਼ੁਰੂਆਤ;
* -y -ਪਾਸਫਰੇਜ (ਕੁੰਜੀ/ਫਾਇਲ ਨਹੀਂ);
* -v -ਵਰਬਲਾਈਜ਼ੇਸ਼ਨ (ਟਰਮੀਨਲ ਵਿੱਚ ਜਾਣਕਾਰੀ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਨਾ);
* /dev/sda7 - ਵਿਸਤ੍ਰਿਤ ਭਾਗ ਤੋਂ ਤੁਹਾਡੀ ਲਾਜ਼ੀਕਲ ਡਿਸਕ (ਜਿੱਥੇ GNU/Linux ਨੂੰ ਟ੍ਰਾਂਸਫਰ/ਇਨਕ੍ਰਿਪਟ ਕਰਨ ਦੀ ਯੋਜਨਾ ਹੈ).

ਡਿਫੌਲਟ ਐਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ <LUKS1: aes-xts-plain64, ਕੁੰਜੀ: 256 ਬਿੱਟ, LUKS ਸਿਰਲੇਖ ਹੈਸ਼ਿੰਗ: sha256, RNG: /dev/urandom> (ਕ੍ਰਿਪਟਸੈੱਟਅੱਪ ਸੰਸਕਰਣ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ)।

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

ਜੇਕਰ CPU ਉੱਤੇ AES ਲਈ ਕੋਈ ਹਾਰਡਵੇਅਰ ਸਹਿਯੋਗ ਨਹੀਂ ਹੈ, ਤਾਂ ਸਭ ਤੋਂ ਵਧੀਆ ਵਿਕਲਪ ਇੱਕ ਵਿਸਤ੍ਰਿਤ “LUKS-Twofish-XTS-partition” ਬਣਾਉਣਾ ਹੋਵੇਗਾ।

ਬੀ 2.2. "LUKS-Twofish-XTS-ਪਾਰਟੀਸ਼ਨ" ਦੀ ਉੱਨਤ ਰਚਨਾ

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

ਵਿਕਲਪ:
* luksFormat - LUKS ਸਿਰਲੇਖ ਦੀ ਸ਼ੁਰੂਆਤ;
* /dev/sda7 ਤੁਹਾਡੀ ਭਵਿੱਖ ਦੀ ਇਨਕ੍ਰਿਪਟਡ ਲਾਜ਼ੀਕਲ ਡਿਸਕ ਹੈ;
* -v ਜ਼ੁਬਾਨੀਕਰਣ;
* -y ਗੁਪਤਕੋਡ;
* -c ਡਾਟਾ ਇਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ ਦੀ ਚੋਣ ਕਰੋ;
* -s ਇਨਕ੍ਰਿਪਸ਼ਨ ਕੁੰਜੀ ਦਾ ਆਕਾਰ;
* -h ਹੈਸ਼ਿੰਗ ਐਲਗੋਰਿਦਮ/ਕ੍ਰਿਪਟੋ ਫੰਕਸ਼ਨ, RNG ਵਰਤਿਆ ਗਿਆ (--ਵਰਤੋਂ-ਯੂਰੈਂਡਮ) ਲਾਜ਼ੀਕਲ ਡਿਸਕ ਹੈਡਰ ਲਈ ਇੱਕ ਵਿਲੱਖਣ ਇਨਕ੍ਰਿਪਸ਼ਨ/ਡਿਕ੍ਰਿਪਸ਼ਨ ਕੁੰਜੀ ਬਣਾਉਣ ਲਈ, ਇੱਕ ਸੈਕੰਡਰੀ ਹੈਡਰ ਕੁੰਜੀ (XTS); ਏਨਕ੍ਰਿਪਟਡ ਡਿਸਕ ਹੈਡਰ ਵਿੱਚ ਸਟੋਰ ਕੀਤੀ ਇੱਕ ਵਿਲੱਖਣ ਮਾਸਟਰ ਕੁੰਜੀ, ਇੱਕ ਸੈਕੰਡਰੀ XTS ਕੁੰਜੀ, ਇਹ ਸਾਰਾ ਮੈਟਾਡੇਟਾ ਅਤੇ ਇੱਕ ਐਨਕ੍ਰਿਪਸ਼ਨ ਰੁਟੀਨ ਜੋ ਕਿ, ਮਾਸਟਰ ਕੁੰਜੀ ਅਤੇ ਸੈਕੰਡਰੀ XTS ਕੁੰਜੀ ਦੀ ਵਰਤੋਂ ਕਰਕੇ, ਭਾਗ ਉੱਤੇ ਕਿਸੇ ਵੀ ਡੇਟਾ ਨੂੰ ਐਨਕ੍ਰਿਪਟ/ਡਿਕ੍ਰਿਪਟ ਕਰਦਾ ਹੈ। (ਸੈਕਸ਼ਨ ਸਿਰਲੇਖ ਨੂੰ ਛੱਡ ਕੇ) ਚੁਣੇ ਹੋਏ ਹਾਰਡ ਡਿਸਕ ਭਾਗ 'ਤੇ ~3MB ਵਿੱਚ ਸਟੋਰ ਕੀਤਾ ਗਿਆ।
* -i "ਰਾਤ" ਦੀ ਬਜਾਏ ਮਿਲੀਸਕਿੰਟ ਵਿੱਚ ਦੁਹਰਾਓ (ਪਾਸਫਰੇਜ਼ ਨੂੰ ਪ੍ਰੋਸੈਸ ਕਰਨ ਵੇਲੇ ਸਮੇਂ ਦੀ ਦੇਰੀ OS ਦੀ ਲੋਡਿੰਗ ਅਤੇ ਕੁੰਜੀਆਂ ਦੀ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਤਾਕਤ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਦੀ ਹੈ)। ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਤਾਕਤ ਦਾ ਸੰਤੁਲਨ ਬਣਾਈ ਰੱਖਣ ਲਈ, "ਰੂਸੀ" ਵਰਗੇ ਸਧਾਰਨ ਪਾਸਵਰਡ ਨਾਲ ਤੁਹਾਨੂੰ -(i) ਮੁੱਲ ਵਧਾਉਣ ਦੀ ਲੋੜ ਹੈ; "?8dƱob/øfh" ਵਰਗੇ ਗੁੰਝਲਦਾਰ ਪਾਸਵਰਡ ਨਾਲ ਮੁੱਲ ਨੂੰ ਘਟਾਇਆ ਜਾ ਸਕਦਾ ਹੈ।
* -ਯੂਰੈਂਡਮ ਬੇਤਰਤੀਬ ਨੰਬਰ ਜਨਰੇਟਰ ਦੀ ਵਰਤੋਂ ਕਰੋ, ਕੁੰਜੀਆਂ ਅਤੇ ਨਮਕ ਤਿਆਰ ਕਰੋ।

ਸੈਕਸ਼ਨ sda7 > sda7_crypt ਨੂੰ ਮੈਪ ਕਰਨ ਤੋਂ ਬਾਅਦ (ਓਪਰੇਸ਼ਨ ਤੇਜ਼ ਹੈ, ਕਿਉਂਕਿ ਇੱਕ ਐਨਕ੍ਰਿਪਟਡ ਸਿਰਲੇਖ ~ 3 MB ਮੈਟਾਡੇਟਾ ਨਾਲ ਬਣਾਇਆ ਗਿਆ ਹੈ ਅਤੇ ਇਹ ਸਭ ਕੁਝ ਹੈ), ਤੁਹਾਨੂੰ sda7_crypt ਫਾਈਲ ਸਿਸਟਮ ਨੂੰ ਫਾਰਮੈਟ ਅਤੇ ਮਾਊਂਟ ਕਰਨ ਦੀ ਲੋੜ ਹੈ।

B2.3. ਤੁਲਨਾ

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

ਵਿਕਲਪ:
* ਖੋਲ੍ਹੋ - "ਨਾਮ ਦੇ ਨਾਲ" ਭਾਗ ਨਾਲ ਮੇਲ ਕਰੋ;
* /dev/sda7 -ਲਾਜ਼ੀਕਲ ਡਿਸਕ;
* sda7_crypt - ਨਾਮ ਮੈਪਿੰਗ ਜੋ ਕਿ ਏਨਕ੍ਰਿਪਟ ਕੀਤੇ ਭਾਗ ਨੂੰ ਮਾਊਂਟ ਕਰਨ ਜਾਂ OS ਦੇ ਬੂਟ ਹੋਣ 'ਤੇ ਇਸ ਨੂੰ ਸ਼ੁਰੂ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ।

B2.4. sda7_crypt ਫਾਈਲ ਸਿਸਟਮ ਨੂੰ ext4 ਵਿੱਚ ਫਾਰਮੈਟ ਕਰਨਾ। OS ਵਿੱਚ ਇੱਕ ਡਿਸਕ ਨੂੰ ਮਾਊਂਟ ਕਰਨਾ(ਨੋਟ: ਤੁਸੀਂ Gparted ਵਿੱਚ ਇੱਕ ਐਨਕ੍ਰਿਪਟਡ ਭਾਗ ਨਾਲ ਕੰਮ ਕਰਨ ਦੇ ਯੋਗ ਨਹੀਂ ਹੋਵੋਗੇ)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt 

ਵਿਕਲਪ:
* -v -ਵਰਬਲਾਈਜ਼ੇਸ਼ਨ;
* -L - ਡਰਾਈਵ ਲੇਬਲ (ਜੋ ਕਿ ਹੋਰ ਡਰਾਈਵਾਂ ਵਿੱਚ ਐਕਸਪਲੋਰਰ ਵਿੱਚ ਪ੍ਰਦਰਸ਼ਿਤ ਹੁੰਦਾ ਹੈ)।

ਅੱਗੇ, ਤੁਹਾਨੂੰ ਸਿਸਟਮ ਉੱਤੇ ਵਰਚੁਅਲ-ਇਨਕ੍ਰਿਪਟਡ ਬਲਾਕ ਜੰਤਰ /dev/sda7_crypt ਨੂੰ ਮਾਊਂਟ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ।

mount /dev/mapper/sda7_crypt /mnt

/mnt ਫੋਲਡਰ ਵਿੱਚ ਫਾਈਲਾਂ ਨਾਲ ਕੰਮ ਕਰਨਾ sda7 ਵਿੱਚ ਡੇਟਾ ਨੂੰ ਆਪਣੇ ਆਪ ਐਨਕ੍ਰਿਪਟ/ਡਿਕ੍ਰਿਪਟ ਕਰੇਗਾ।

ਐਕਸਪਲੋਰਰ ਵਿੱਚ ਭਾਗ ਨੂੰ ਮੈਪ ਅਤੇ ਮਾਊਂਟ ਕਰਨਾ ਵਧੇਰੇ ਸੁਵਿਧਾਜਨਕ ਹੈ (ਨਟੀਲਸ/ਕਾਜਾ ਜੀਯੂਆਈ), ਭਾਗ ਪਹਿਲਾਂ ਹੀ ਡਿਸਕ ਚੋਣ ਸੂਚੀ ਵਿੱਚ ਹੋਵੇਗਾ, ਡਿਸਕ ਨੂੰ ਖੋਲ੍ਹਣ/ਡਿਕ੍ਰਿਪਟ ਕਰਨ ਲਈ ਸਿਰਫ਼ ਗੁਪਤ-ਕੋਡ ਦਾਖਲ ਕਰਨਾ ਬਾਕੀ ਹੈ। ਮੇਲ ਖਾਂਦਾ ਨਾਮ ਆਪਣੇ ਆਪ ਚੁਣਿਆ ਜਾਵੇਗਾ ਅਤੇ "sda7_crypt" ਨਹੀਂ, ਪਰ /dev/mapper/Luks-xx-xx...

B2.5. ਡਿਸਕ ਹੈਡਰ ਬੈਕਅੱਪ (~3MB ਮੈਟਾਡੇਟਾ)ਸਭ ਤੋਂ ਵੱਧ ਮਹੱਤਵਪੂਰਨ ਓਪਰੇਸ਼ਨ ਜੋ ਬਿਨਾਂ ਦੇਰੀ ਕੀਤੇ ਕੀਤੇ ਜਾਣ ਦੀ ਲੋੜ ਹੈ - “sda7_crypt” ਸਿਰਲੇਖ ਦੀ ਬੈਕਅੱਪ ਕਾਪੀ। ਜੇਕਰ ਤੁਸੀਂ ਸਿਰਲੇਖ ਨੂੰ ਓਵਰਰਾਈਟ/ਨੁਕਸਾਨ ਦਿੰਦੇ ਹੋ (ਉਦਾਹਰਨ ਲਈ, sda2 ਭਾਗ ਉੱਤੇ GRUB7 ਇੰਸਟਾਲ ਕਰਨਾ, ਆਦਿ), ਏਨਕ੍ਰਿਪਟਡ ਡੇਟਾ ਇਸ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਨ ਦੀ ਕਿਸੇ ਸੰਭਾਵਨਾ ਤੋਂ ਬਿਨਾਂ ਪੂਰੀ ਤਰ੍ਹਾਂ ਖਤਮ ਹੋ ਜਾਵੇਗਾ, ਕਿਉਂਕਿ ਉਹੀ ਕੁੰਜੀਆਂ ਨੂੰ ਦੁਬਾਰਾ ਬਣਾਉਣਾ ਅਸੰਭਵ ਹੋਵੇਗਾ; ਕੁੰਜੀਆਂ ਵਿਲੱਖਣ ਤੌਰ 'ਤੇ ਬਣਾਈਆਂ ਗਈਆਂ ਹਨ।

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7 

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

ਵਿਕਲਪ:
* luksHeaderBackup —header-backup-file -backup ਕਮਾਂਡ;
* luksHeaderRestore —header-backup-file -restore ਕਮਾਂਡ;
* ~/Backup_DebSHIFR - ਬੈਕਅੱਪ ਫਾਈਲ;
* /dev/sda7 - ਭਾਗ ਜਿਸ ਦੀ ਇਨਕ੍ਰਿਪਟਡ ਡਿਸਕ ਹੈਡਰ ਬੈਕਅੱਪ ਕਾਪੀ ਨੂੰ ਸੰਭਾਲਿਆ ਜਾਣਾ ਹੈ।
ਇਸ ਪੜਾਅ 'ਤੇ <ਇਨਕ੍ਰਿਪਟਡ ਭਾਗ ਬਣਾਉਣਾ ਅਤੇ ਸੋਧਣਾ> ਪੂਰਾ ਹੋ ਗਿਆ ਹੈ।

B3. GNU/Linux OS ਨੂੰ ਪੋਰਟ ਕਰਨਾ (sda4) ਇੱਕ ਇਨਕ੍ਰਿਪਟਡ ਭਾਗ ਨੂੰ (sda7)

ਇੱਕ ਫੋਲਡਰ ਬਣਾਓ /mnt2 (ਨੋਟ - ਅਸੀਂ ਅਜੇ ਵੀ ਲਾਈਵ USB ਨਾਲ ਕੰਮ ਕਰ ਰਹੇ ਹਾਂ, sda7_crypt ਨੂੰ /mnt 'ਤੇ ਮਾਊਂਟ ਕੀਤਾ ਗਿਆ ਹੈ), ਅਤੇ ਸਾਡੇ GNU/Linux ਨੂੰ /mnt2 ਵਿੱਚ ਮਾਊਂਟ ਕਰੋ, ਜਿਸਨੂੰ ਏਨਕ੍ਰਿਪਟ ਕਰਨ ਦੀ ਲੋੜ ਹੈ।

mkdir /mnt2
mount /dev/sda4 /mnt2

ਅਸੀਂ Rsync ਸੌਫਟਵੇਅਰ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਸਹੀ OS ਟ੍ਰਾਂਸਫਰ ਕਰਦੇ ਹਾਂ

rsync -avlxhHX --progress /mnt2/ /mnt

Rsync ਵਿਕਲਪਾਂ ਦਾ ਵਰਣਨ ਪੈਰਾ E1 ਵਿੱਚ ਕੀਤਾ ਗਿਆ ਹੈ।

ਅਗਲਾ, ਜ਼ਰੂਰੀ ਹੈ ਇੱਕ ਲਾਜ਼ੀਕਲ ਡਿਸਕ ਭਾਗ ਨੂੰ ਡੀਫ੍ਰੈਗਮੈਂਟ ਕਰੋ

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

ਇਸਨੂੰ ਇੱਕ ਨਿਯਮ ਬਣਾਓ: ਜੇਕਰ ਤੁਹਾਡੇ ਕੋਲ HDD ਹੈ ਤਾਂ ਸਮੇਂ-ਸਮੇਂ 'ਤੇ ਐਨਕ੍ਰਿਪਟਡ GNU/LInux 'ਤੇ e4defrag ਕਰੋ।
ਟ੍ਰਾਂਸਫਰ ਅਤੇ ਸਿੰਕ੍ਰੋਨਾਈਜ਼ੇਸ਼ਨ [GNU/Linux > GNU/Linux-encrypted] ਇਸ ਪੜਾਅ 'ਤੇ ਪੂਰਾ ਹੋ ਗਿਆ ਹੈ।

AT 4. ਇੱਕ ਐਨਕ੍ਰਿਪਟਡ sda7 ਭਾਗ ਉੱਤੇ GNU/Linux ਸੈਟ ਅਪ ਕਰਨਾ

OS /dev/sda4 > /dev/sda7 ਨੂੰ ਸਫਲਤਾਪੂਰਵਕ ਟ੍ਰਾਂਸਫਰ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਤੁਹਾਨੂੰ ਐਨਕ੍ਰਿਪਟ ਕੀਤੇ ਭਾਗ 'ਤੇ GNU/Linux ਵਿੱਚ ਲਾਗਇਨ ਕਰਨ ਅਤੇ ਹੋਰ ਸੰਰਚਨਾ ਕਰਨ ਦੀ ਲੋੜ ਹੈ। (ਪੀਸੀ ਰੀਬੂਟ ਕੀਤੇ ਬਿਨਾਂ) ਇੱਕ ਐਨਕ੍ਰਿਪਟਡ ਸਿਸਟਮ ਦੇ ਅਨੁਸਾਰੀ. ਯਾਨੀ, ਲਾਈਵ USB ਵਿੱਚ ਰਹੋ, ਪਰ "ਇਨਕ੍ਰਿਪਟਡ OS ਦੇ ਰੂਟ ਨਾਲ ਸੰਬੰਧਿਤ" ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਓ। "chroot" ਇੱਕ ਸਮਾਨ ਸਥਿਤੀ ਦੀ ਨਕਲ ਕਰੇਗਾ। ਫੌਰੀ ਤੌਰ 'ਤੇ ਜਾਣਕਾਰੀ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਕਿ ਤੁਸੀਂ ਇਸ ਸਮੇਂ ਕਿਸ OS ਨਾਲ ਕੰਮ ਕਰ ਰਹੇ ਹੋ (ਏਨਕ੍ਰਿਪਟਡ ਜਾਂ ਨਹੀਂ, ਕਿਉਂਕਿ sda4 ਅਤੇ sda7 ਵਿੱਚ ਡੇਟਾ ਸਮਕਾਲੀ ਹਨ), OS ਨੂੰ ਡੀਸਿੰਕ੍ਰੋਨਾਈਜ਼ ਕਰੋ। ਰੂਟ ਡਾਇਰੈਕਟਰੀਆਂ ਵਿੱਚ ਬਣਾਓ (sda4/sda7_crypt) ਖਾਲੀ ਮਾਰਕਰ ਫਾਈਲਾਂ, ਉਦਾਹਰਨ ਲਈ, /mnt/encryptedOS ਅਤੇ /mnt2/decryptedOS। ਤੁਰੰਤ ਜਾਂਚ ਕਰੋ ਕਿ ਤੁਸੀਂ ਕਿਸ OS 'ਤੇ ਹੋ (ਭਵਿੱਖ ਲਈ ਸਮੇਤ):

ls /<Tab-Tab>

ਬੀ 4.1. "ਇੱਕ ਐਨਕ੍ਰਿਪਟਡ OS ਵਿੱਚ ਲੌਗਇਨ ਕਰਨ ਦਾ ਸਿਮੂਲੇਸ਼ਨ"

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

ਬੀ 4.2. ਇਹ ਪੁਸ਼ਟੀ ਕਰਨਾ ਕਿ ਕੰਮ ਇੱਕ ਐਨਕ੍ਰਿਪਟਡ ਸਿਸਟਮ ਦੇ ਵਿਰੁੱਧ ਕੀਤਾ ਗਿਆ ਹੈ

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

ਬੀ 4.3. ਐਨਕ੍ਰਿਪਟਡ ਸਵੈਪ ਬਣਾਉਣਾ/ਸੰਰਚਨਾ ਕਰਨਾ, crypttab/fstab ਦਾ ਸੰਪਾਦਨ ਕਰਨਾਕਿਉਂਕਿ ਹਰ ਵਾਰ OS ਸ਼ੁਰੂ ਹੋਣ 'ਤੇ ਸਵੈਪ ਫਾਈਲ ਨੂੰ ਫਾਰਮੈਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਇਸ ਲਈ ਹੁਣ ਇੱਕ ਲਾਜ਼ੀਕਲ ਡਿਸਕ 'ਤੇ ਸਵੈਪ ਬਣਾਉਣ ਅਤੇ ਮੈਪ ਕਰਨ ਦਾ ਕੋਈ ਮਤਲਬ ਨਹੀਂ ਹੈ, ਅਤੇ ਪੈਰਾਗ੍ਰਾਫ B2.2 ਵਿੱਚ ਕਮਾਂਡਾਂ ਦਿਓ। ਸਵੈਪ ਲਈ, ਇਸਦੀਆਂ ਆਪਣੀਆਂ ਅਸਥਾਈ ਐਨਕ੍ਰਿਪਸ਼ਨ ਕੁੰਜੀਆਂ ਹਰ ਸ਼ੁਰੂਆਤ 'ਤੇ ਆਪਣੇ ਆਪ ਤਿਆਰ ਕੀਤੀਆਂ ਜਾਣਗੀਆਂ। ਸਵੈਪ ਕੁੰਜੀਆਂ ਦਾ ਜੀਵਨ ਚੱਕਰ: ਸਵੈਪ ਭਾਗ ਨੂੰ ਅਣਮਾਊਂਟ ਕਰਨਾ/ਅਨਮਾਊਂਟ ਕਰਨਾ (+ਰੈਮ ਦੀ ਸਫਾਈ); ਜਾਂ OS ਨੂੰ ਮੁੜ ਚਾਲੂ ਕਰੋ। ਸਵੈਪ ਸੈੱਟਅੱਪ ਕਰਨਾ, ਬਲਾਕ ਇਨਕ੍ਰਿਪਟਡ ਡਿਵਾਈਸਾਂ ਦੀ ਸੰਰਚਨਾ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਫਾਈਲ ਨੂੰ ਖੋਲ੍ਹਣਾ (ਇੱਕ fstab ਫਾਈਲ ਦੇ ਸਮਾਨ, ਪਰ ਕ੍ਰਿਪਟੋ ਲਈ ਜ਼ਿੰਮੇਵਾਰ)।

nano /etc/crypttab 

ਅਸੀਂ ਸੰਪਾਦਿਤ ਕਰਦੇ ਹਾਂ

#"ਟਾਰਗੇਟ ਨਾਮ" "ਸਰੋਤ ਡਿਵਾਈਸ" "ਕੁੰਜੀ ਫਾਈਲ" "ਵਿਕਲਪ"
ਸਵੈਪ /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512

ਚੋਣਾਂ
* ਸਵੈਪ - /dev/mapper/swap ਇਨਕ੍ਰਿਪਟ ਕਰਨ ਵੇਲੇ ਮੈਪ ਕੀਤਾ ਨਾਮ।
* /dev/sda8 - ਸਵੈਪ ਲਈ ਆਪਣੇ ਲਾਜ਼ੀਕਲ ਭਾਗ ਦੀ ਵਰਤੋਂ ਕਰੋ।
* /dev/urandom - ਸਵੈਪ ਲਈ ਬੇਤਰਤੀਬ ਐਨਕ੍ਰਿਪਸ਼ਨ ਕੁੰਜੀਆਂ ਦਾ ਜਨਰੇਟਰਹਰੇਕ ਨਵੇਂ OS ਬੂਟ ਦੇ ਨਾਲ, ਨਵੀਆਂ ਕੁੰਜੀਆਂ ਬਣਾਈਆਂ ਜਾਂਦੀਆਂ ਹਨ)। /dev/urandom ਜਨਰੇਟਰ /dev/random ਨਾਲੋਂ ਘੱਟ ਬੇਤਰਤੀਬ ਹੈ, ਸਭ ਤੋਂ ਬਾਅਦ /dev/random ਦੀ ਵਰਤੋਂ ਖ਼ਤਰਨਾਕ ਪਾਗਲ ਹਾਲਾਤਾਂ ਵਿੱਚ ਕੰਮ ਕਰਨ ਵੇਲੇ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। OS ਨੂੰ ਲੋਡ ਕਰਨ ਵੇਲੇ, /dev/random ਕਈ ± ਮਿੰਟਾਂ ਲਈ ਲੋਡਿੰਗ ਨੂੰ ਹੌਲੀ ਕਰ ਦਿੰਦਾ ਹੈ (ਸਿਸਟਮਡ-ਵਿਸ਼ਲੇਸ਼ਣ ਦੇਖੋ).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -ਭਾਗ ਜਾਣਦਾ ਹੈ ਕਿ ਇਹ ਸਵੈਪ ਹੈ ਅਤੇ "ਅਨੁਸਾਰ" ਫਾਰਮੈਟ ਕੀਤਾ ਗਿਆ ਹੈ; ਏਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ।

#Открываем и правим fstab
nano /etc/fstab

ਅਸੀਂ ਸੰਪਾਦਿਤ ਕਰਦੇ ਹਾਂ

ਇੰਸਟਾਲੇਸ਼ਨ ਦੌਰਾਨ # ਸਵੈਪ / dev / sda8 ਚਾਲੂ ਸੀ
/dev/mapper/swap ਕੋਈ ਨਹੀਂ ਸਵੈਪ sw 0 0

/dev/mapper/swap ਉਹ ਨਾਮ ਹੈ ਜੋ ਕ੍ਰਿਪਟਟੈਬ ਵਿੱਚ ਸੈੱਟ ਕੀਤਾ ਗਿਆ ਸੀ।

ਵਿਕਲਪਿਕ ਐਨਕ੍ਰਿਪਟਡ ਸਵੈਪ
ਜੇਕਰ ਕਿਸੇ ਕਾਰਨ ਕਰਕੇ ਤੁਸੀਂ ਸਵੈਪ ਫਾਈਲ ਲਈ ਇੱਕ ਪੂਰਾ ਭਾਗ ਨਹੀਂ ਛੱਡਣਾ ਚਾਹੁੰਦੇ ਹੋ, ਤਾਂ ਤੁਸੀਂ ਇੱਕ ਵਿਕਲਪਿਕ ਅਤੇ ਬਿਹਤਰ ਤਰੀਕੇ ਨਾਲ ਜਾ ਸਕਦੇ ਹੋ: OS ਨਾਲ ਇੱਕ ਇਨਕ੍ਰਿਪਟਡ ਭਾਗ 'ਤੇ ਇੱਕ ਫਾਈਲ ਵਿੱਚ ਸਵੈਪ ਫਾਈਲ ਬਣਾਉਣਾ।

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

ਸਵੈਪ ਭਾਗ ਸੈੱਟਅੱਪ ਪੂਰਾ ਹੋ ਗਿਆ ਹੈ।

B4.4. ਐਨਕ੍ਰਿਪਟਡ GNU/Linux ਸੈਟ ਅਪ ਕਰਨਾ (ਕ੍ਰਿਪਟਟੈਬ/fstab ਫਾਈਲਾਂ ਨੂੰ ਸੰਪਾਦਿਤ ਕਰਨਾ)/etc/crypttab ਫਾਇਲ, ਜਿਵੇਂ ਕਿ ਉੱਪਰ ਲਿਖੀ ਗਈ ਹੈ, ਇਨਕ੍ਰਿਪਟਡ ਬਲਾਕ ਜੰਤਰਾਂ ਬਾਰੇ ਦੱਸਦੀ ਹੈ ਜੋ ਸਿਸਟਮ ਬੂਟ ਦੌਰਾਨ ਸੰਰਚਿਤ ਹੁੰਦੇ ਹਨ।

#правим /etc/crypttab 
nano /etc/crypttab 

ਜੇਕਰ ਤੁਸੀਂ sda7>sda7_crypt ਭਾਗ ਨਾਲ ਮੇਲ ਖਾਂਦੇ ਹੋ ਜਿਵੇਂ ਕਿ ਪੈਰਾ B2.1 ਵਿੱਚ ਹੈ

# "ਟਾਰਗੇਟ ਨਾਮ" "ਸਰੋਤ ਡਿਵਾਈਸ" "ਕੁੰਜੀ ਫਾਈਲ" "ਵਿਕਲਪ"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

ਜੇਕਰ ਤੁਸੀਂ sda7>sda7_crypt ਭਾਗ ਨਾਲ ਮੇਲ ਖਾਂਦੇ ਹੋ ਜਿਵੇਂ ਕਿ ਪੈਰਾ B2.2 ਵਿੱਚ ਹੈ

# "ਟਾਰਗੇਟ ਨਾਮ" "ਸਰੋਤ ਡਿਵਾਈਸ" "ਕੁੰਜੀ ਫਾਈਲ" "ਵਿਕਲਪ"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

ਜੇਕਰ ਤੁਸੀਂ sda7>sda7_crypt ਭਾਗ ਨਾਲ ਮੇਲ ਖਾਂਦੇ ਹੋ ਜਿਵੇਂ ਕਿ ਪੈਰਾ B2.1 ਜਾਂ B2.2 ਵਿੱਚ, ਪਰ OS ਨੂੰ ਅਨਲੌਕ ਅਤੇ ਬੂਟ ਕਰਨ ਲਈ ਪਾਸਵਰਡ ਦੁਬਾਰਾ ਨਹੀਂ ਦੇਣਾ ਚਾਹੁੰਦੇ, ਤਾਂ ਪਾਸਵਰਡ ਦੀ ਬਜਾਏ ਤੁਸੀਂ ਇੱਕ ਗੁਪਤ ਕੁੰਜੀ/ਰੈਂਡਮ ਫਾਈਲ ਬਦਲ ਸਕਦੇ ਹੋ।

# "ਟਾਰਗੇਟ ਨਾਮ" "ਸਰੋਤ ਡਿਵਾਈਸ" "ਕੁੰਜੀ ਫਾਈਲ" "ਵਿਕਲਪ"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

ਵੇਰਵਾ
* ਕੋਈ ਨਹੀਂ - ਰਿਪੋਰਟ ਕਰਦਾ ਹੈ ਕਿ OS ਨੂੰ ਲੋਡ ਕਰਨ ਵੇਲੇ, ਰੂਟ ਨੂੰ ਅਨਲੌਕ ਕਰਨ ਲਈ ਇੱਕ ਗੁਪਤ ਗੁਪਤਕੋਡ ਦਾਖਲ ਕਰਨ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ।
* UUID - ਭਾਗ ਪਛਾਣਕਰਤਾ। ਆਪਣੀ ID ਦਾ ਪਤਾ ਲਗਾਉਣ ਲਈ, ਟਰਮੀਨਲ ਵਿੱਚ ਟਾਈਪ ਕਰੋ (ਯਾਦ ਕਰਵਾਓ ਕਿ ਇਸ ਸਮੇਂ ਤੋਂ ਅੱਗੇ, ਤੁਸੀਂ ਇੱਕ chroot ਵਾਤਾਵਰਣ ਵਿੱਚ ਇੱਕ ਟਰਮੀਨਲ ਵਿੱਚ ਕੰਮ ਕਰ ਰਹੇ ਹੋ, ਨਾ ਕਿ ਕਿਸੇ ਹੋਰ ਲਾਈਵ USB ਟਰਮੀਨਲ ਵਿੱਚ)।

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное 

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

ਇਹ ਲਾਈਨ sda7_crypt ਮਾਊਂਟ ਦੇ ਨਾਲ ਲਾਈਵ USB ਟਰਮੀਨਲ ਤੋਂ blkid ਦੀ ਬੇਨਤੀ ਕਰਨ ਵੇਲੇ ਦਿਖਾਈ ਦਿੰਦੀ ਹੈ।
ਤੁਸੀਂ ਆਪਣੇ sdaX ਤੋਂ UUID ਲੈਂਦੇ ਹੋ (sdaX_crypt ਨਹੀਂ!, UUID sdaX_crypt - grub.cfg ਸੰਰਚਨਾ ਬਣਾਉਣ ਵੇਲੇ ਆਪਣੇ ਆਪ ਹੀ ਛੱਡ ਦਿੱਤਾ ਜਾਵੇਗਾ)।
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks ਇਨਕ੍ਰਿਪਸ਼ਨ ਐਡਵਾਂਸ ਮੋਡ ਵਿੱਚ।
* /etc/skey - ਗੁਪਤ ਕੁੰਜੀ ਫਾਈਲ, ਜੋ OS ਬੂਟ ਨੂੰ ਅਨਲੌਕ ਕਰਨ ਲਈ ਆਪਣੇ ਆਪ ਪਾਈ ਜਾਂਦੀ ਹੈ (ਤੀਜਾ ਪਾਸਵਰਡ ਦਾਖਲ ਕਰਨ ਦੀ ਬਜਾਏ)। ਤੁਸੀਂ 8MB ਤੱਕ ਦੀ ਕੋਈ ਵੀ ਫਾਈਲ ਨਿਰਧਾਰਤ ਕਰ ਸਕਦੇ ਹੋ, ਪਰ ਡਾਟਾ <1MB ਪੜ੍ਹਿਆ ਜਾਵੇਗਾ।

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7 

ਇਹ ਕੁਝ ਇਸ ਤਰ੍ਹਾਂ ਦਿਖਾਈ ਦੇਵੇਗਾ:

(ਇਸ ਨੂੰ ਆਪਣੇ ਆਪ ਕਰੋ ਅਤੇ ਆਪਣੇ ਲਈ ਦੇਖੋ).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab ਵਿੱਚ ਵੱਖ-ਵੱਖ ਫਾਈਲ ਸਿਸਟਮਾਂ ਬਾਰੇ ਵਰਣਨਯੋਗ ਜਾਣਕਾਰੀ ਹੈ।

#Правим /etc/fstab
nano /etc/fstab

# "ਫਾਇਲ ਸਿਸਟਮ" "ਮਾਊਂਟ ਪੁਆਇੰਟ" "ਟਾਈਪ" "ਵਿਕਲਪ" "ਡੰਪ" "ਪਾਸ"
# ਇੰਸਟਾਲੇਸ਼ਨ ਦੇ ਦੌਰਾਨ / dev / sda7 ਤੇ ਸੀ
/dev/mapper/sda7_crypt/ext4 errors=remount-ro 0 1

ਚੋਣ
* /dev/mapper/sda7_crypt - sda7>sda7_crypt ਮੈਪਿੰਗ ਦਾ ਨਾਮ, ਜੋ /etc/crypttab ਫਾਈਲ ਵਿੱਚ ਦਿੱਤਾ ਗਿਆ ਹੈ।
crypttab/fstab ਸੈੱਟਅੱਪ ਪੂਰਾ ਹੋ ਗਿਆ ਹੈ।

B4.5. ਸੰਰਚਨਾ ਫਾਇਲਾਂ ਦਾ ਸੰਪਾਦਨ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ। ਮੁੱਖ ਪਲਬੀ 4.5.1. ਸੰਰਚਨਾ ਨੂੰ ਸੋਧਣਾ /etc/initramfs-tools/conf.d/resume

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

ਅਤੇ ਟਿੱਪਣੀ ਕਰੋ (ਜੇ ਮੌਜੂਦ ਹੈ) "#" ਲਾਈਨ "ਰਿਜ਼ਿਊਮ" ਫਾਈਲ ਪੂਰੀ ਤਰ੍ਹਾਂ ਖਾਲੀ ਹੋਣੀ ਚਾਹੀਦੀ ਹੈ।

ਬੀ 4.5.2. ਸੰਰਚਨਾ ਨੂੰ ਸੋਧਣਾ /etc/initramfs-tools/conf.d/cryptsetup

nano /etc/initramfs-tools/conf.d/cryptsetup

ਮੇਲ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=ਹਾਂ
CRYPTSETUP ਨਿਰਯਾਤ ਕਰੋ

ਬੀ 4.5.3. /etc/default/grub ਸੰਰਚਨਾ ਨੂੰ ਸੋਧਣਾ (ਇਹ ਸੰਰਚਨਾ encrypted /boot ਨਾਲ ਕੰਮ ਕਰਨ ਵੇਲੇ grub.cfg ਬਣਾਉਣ ਦੀ ਯੋਗਤਾ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੈ)

nano /etc/default/grub

ਲਾਈਨ ਜੋੜੋ “GRUB_ENABLE_CRYPTODISK=y”
ਮੁੱਲ 'y', grub-mkconfig ਅਤੇ grub-install ਇਨਕ੍ਰਿਪਟਡ ਡਰਾਈਵਾਂ ਦੀ ਜਾਂਚ ਕਰੇਗਾ ਅਤੇ ਬੂਟ ਸਮੇਂ ਉਹਨਾਂ ਨੂੰ ਐਕਸੈਸ ਕਰਨ ਲਈ ਲੋੜੀਂਦੀਆਂ ਵਾਧੂ ਕਮਾਂਡਾਂ ਤਿਆਰ ਕਰੇਗਾ। (insmods ).
ਇੱਕ ਸਮਾਨਤਾ ਹੋਣੀ ਚਾਹੀਦੀ ਹੈ

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || ਈਕੋ ਡੇਬੀਅਨ`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=ਵਿਕਰੇਤਾ"
GRUB_CMDLINE_LINUX="ਸ਼ਾਂਤ ਸਪਲੈਸ਼ ਨੋਆਟੋਮਾਊਂਟ"
GRUB_ENABLE_CRYPTODISK=y

ਬੀ 4.5.4. ਸੰਰਚਨਾ ਨੂੰ ਸੋਧਣਾ /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

ਲਾਈਨ ਹੈ, ਜੋ ਕਿ ਚੈੱਕ ਕਰੋ ਟਿੱਪਣੀ ਕੀਤੀ <#>।
ਭਵਿੱਖ ਵਿੱਚ (ਅਤੇ ਹੁਣ ਵੀ, ਇਸ ਪੈਰਾਮੀਟਰ ਦਾ ਕੋਈ ਅਰਥ ਨਹੀਂ ਹੋਵੇਗਾ, ਪਰ ਕਈ ਵਾਰ ਇਹ initrd.img ਚਿੱਤਰ ਨੂੰ ਅੱਪਡੇਟ ਕਰਨ ਵਿੱਚ ਦਖ਼ਲ ਦਿੰਦਾ ਹੈ)।

ਬੀ 4.5.5. ਸੰਰਚਨਾ ਨੂੰ ਸੋਧਣਾ /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

ਜੋੜਨਾ

KEYFILE_PATTERN="/etc/skey"
UMASK=0077

ਇਹ ਗੁਪਤ ਕੁੰਜੀ "ਸਕਾਈ" ਨੂੰ initrd.img ਵਿੱਚ ਪੈਕ ਕਰ ਦੇਵੇਗਾ, ਜਦੋਂ OS ਬੂਟ ਹੁੰਦਾ ਹੈ ਤਾਂ ਰੂਟ ਨੂੰ ਅਨਲੌਕ ਕਰਨ ਲਈ ਕੁੰਜੀ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ। (ਜੇਕਰ ਤੁਸੀਂ ਦੁਬਾਰਾ ਪਾਸਵਰਡ ਦਾਖਲ ਨਹੀਂ ਕਰਨਾ ਚਾਹੁੰਦੇ ਹੋ, ਤਾਂ "ਸਕਾਈ" ਕੁੰਜੀ ਕਾਰ ਲਈ ਬਦਲ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ)।

B4.6. ਅੱਪਡੇਟ /boot/initrd.img [ਵਰਜਨ]ਗੁਪਤ ਕੁੰਜੀ ਨੂੰ initrd.img ਵਿੱਚ ਪੈਕ ਕਰਨ ਅਤੇ ਕ੍ਰਿਪਟਸੈੱਟਅੱਪ ਫਿਕਸ ਲਾਗੂ ਕਰਨ ਲਈ, ਚਿੱਤਰ ਨੂੰ ਅੱਪਡੇਟ ਕਰੋ

update-initramfs -u -k all

initrd.img ਨੂੰ ਅੱਪਡੇਟ ਕਰਨ ਵੇਲੇ (ਜਿਵੇਂ ਕਿ ਉਹ ਕਹਿੰਦੇ ਹਨ "ਇਹ ਸੰਭਵ ਹੈ, ਪਰ ਇਹ ਨਿਸ਼ਚਿਤ ਨਹੀਂ ਹੈ") ਕ੍ਰਿਪਟਸੈੱਟਅੱਪ ਨਾਲ ਸਬੰਧਤ ਚੇਤਾਵਨੀਆਂ ਦਿਖਾਈ ਦੇਣਗੀਆਂ, ਜਾਂ, ਉਦਾਹਰਨ ਲਈ, Nvidia ਮੋਡੀਊਲ ਦੇ ਨੁਕਸਾਨ ਬਾਰੇ ਇੱਕ ਸੂਚਨਾ - ਇਹ ਆਮ ਹੈ। ਫਾਈਲ ਨੂੰ ਅਪਡੇਟ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਜਾਂਚ ਕਰੋ ਕਿ ਇਹ ਅਸਲ ਵਿੱਚ ਅਪਡੇਟ ਕੀਤੀ ਗਈ ਹੈ, ਸਮਾਂ ਵੇਖੋ (chroot ਵਾਤਾਵਰਣ ਨਾਲ ਸੰਬੰਧਿਤ./boot/initrd.img)। ਸਾਵਧਾਨ [update-initramfs -u -k all] ਤੋਂ ਪਹਿਲਾਂ ਇਹ ਜਾਂਚ ਕਰਨਾ ਯਕੀਨੀ ਬਣਾਓ ਕਿ ਕ੍ਰਿਪਟਸੈੱਟਅੱਪ ਖੁੱਲ੍ਹਾ ਹੈ /dev/sda7 sda7_crypt - ਇਹ ਉਹ ਨਾਮ ਹੈ ਜੋ /etc/crypttab ਵਿੱਚ ਦਿਖਾਈ ਦਿੰਦਾ ਹੈ, ਨਹੀਂ ਤਾਂ ਰੀਬੂਟ ਕਰਨ ਤੋਂ ਬਾਅਦ ਇੱਕ ਬਿਜ਼ੀਬਾਕਸ ਗਲਤੀ ਹੋਵੇਗੀ)
ਇਸ ਪੜਾਅ 'ਤੇ, ਸੰਰਚਨਾ ਫਾਈਲਾਂ ਦੀ ਸਥਾਪਨਾ ਪੂਰੀ ਹੋ ਗਈ ਹੈ.

[C] GRUB2/ਪ੍ਰੋਟੈਕਸ਼ਨ ਨੂੰ ਸਥਾਪਿਤ ਅਤੇ ਸੰਰਚਿਤ ਕਰਨਾ

C1. ਜੇ ਜਰੂਰੀ ਹੋਵੇ, ਬੂਟਲੋਡਰ ਲਈ ਸਮਰਪਿਤ ਭਾਗ ਨੂੰ ਫਾਰਮੈਟ ਕਰੋ (ਇੱਕ ਭਾਗ ਨੂੰ ਘੱਟੋ-ਘੱਟ 20MB ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. ਮਾਊਂਟ /dev/sda6 ਤੋਂ /mntਇਸ ਲਈ ਅਸੀਂ chroot ਵਿੱਚ ਕੰਮ ਕਰਦੇ ਹਾਂ, ਫਿਰ ਰੂਟ ਵਿੱਚ ਕੋਈ /mnt2 ਡਾਇਰੈਕਟਰੀ ਨਹੀਂ ਹੋਵੇਗੀ, ਅਤੇ /mnt ਫੋਲਡਰ ਖਾਲੀ ਹੋਵੇਗਾ।
GRUB2 ਭਾਗ ਮਾਊਂਟ ਕਰੋ

mount /dev/sda6 /mnt

ਜੇਕਰ ਤੁਹਾਡੇ ਕੋਲ GRUB2 ਦਾ ਪੁਰਾਣਾ ਸੰਸਕਰਣ ਇੰਸਟਾਲ ਹੈ, ਤਾਂ /mnt/boot/grub/i-386-pc ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ (ਹੋਰ ਪਲੇਟਫਾਰਮ ਸੰਭਵ ਹੈ, ਉਦਾਹਰਨ ਲਈ, “i386-pc” ਨਹੀਂ) ਕੋਈ ਕ੍ਰਿਪਟੋ ਮੋਡੀਊਲ ਨਹੀਂ (ਛੋਟੇ ਰੂਪ ਵਿੱਚ, ਫੋਲਡਰ ਵਿੱਚ ਇਹ .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod) ਸਮੇਤ ਮੋਡੀਊਲ ਹੋਣੇ ਚਾਹੀਦੇ ਹਨ, ਇਸ ਸਥਿਤੀ ਵਿੱਚ, GRUB2 ਨੂੰ ਹਿਲਾਏ ਜਾਣ ਦੀ ਲੋੜ ਹੈ।

apt-get update
apt-get install grub2 

ਮਹੱਤਵਪੂਰਨ! ਰਿਪੋਜ਼ਟਰੀ ਤੋਂ GRUB2 ਪੈਕੇਜ ਨੂੰ ਅੱਪਡੇਟ ਕਰਦੇ ਸਮੇਂ, ਜਦੋਂ ਬੂਟਲੋਡਰ ਨੂੰ "ਚੁਣਨ ਬਾਰੇ" ਪੁੱਛਿਆ ਗਿਆ, ਤਾਂ ਤੁਹਾਨੂੰ ਇੰਸਟਾਲੇਸ਼ਨ ਤੋਂ ਇਨਕਾਰ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ। (ਕਾਰਨ - GRUB2 ਨੂੰ ਇੰਸਟਾਲ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ - "MBR" ਵਿੱਚ ਜਾਂ ਲਾਈਵ USB 'ਤੇ). ਨਹੀਂ ਤਾਂ ਤੁਸੀਂ VeraCrypt ਸਿਰਲੇਖ/ਲੋਡਰ ਨੂੰ ਨੁਕਸਾਨ ਪਹੁੰਚਾਓਗੇ। GRUB2 ਪੈਕੇਜ ਅੱਪਡੇਟ ਕਰਨ ਅਤੇ ਇੰਸਟਾਲੇਸ਼ਨ ਰੱਦ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਬੂਟ ਲੋਡਰ ਨੂੰ ਲਾਜ਼ੀਕਲ ਡਿਸਕ ਉੱਤੇ ਦਸਤੀ ਇੰਸਟਾਲ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ, ਨਾ ਕਿ MBR ਵਿੱਚ। ਜੇਕਰ ਤੁਹਾਡੀ ਰਿਪੋਜ਼ਟਰੀ ਵਿੱਚ GRUB2 ਦਾ ਪੁਰਾਣਾ ਸੰਸਕਰਣ ਹੈ, ਤਾਂ ਕੋਸ਼ਿਸ਼ ਕਰੋ ਅੱਪਡੇਟ ਇਹ ਅਧਿਕਾਰਤ ਵੈੱਬਸਾਈਟ ਤੋਂ ਹੈ - ਇਸਦੀ ਜਾਂਚ ਨਹੀਂ ਕੀਤੀ ਹੈ (ਨਵੀਨਤਮ GRUB 2.02 ~BetaX ਬੂਟਲੋਡਰਾਂ ਨਾਲ ਕੰਮ ਕੀਤਾ)।

C3. ਇੱਕ ਵਿਸਤ੍ਰਿਤ ਭਾਗ [sda2] ਵਿੱਚ GRUB6 ਨੂੰ ਇੰਸਟਾਲ ਕਰਨਾਤੁਹਾਡੇ ਕੋਲ ਇੱਕ ਮਾਊਂਟ ਕੀਤਾ ਭਾਗ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ [ਆਈਟਮ C.2]

grub-install --force --root-directory=/mnt /dev/sda6

ਚੋਣਾਂ
* —ਫੋਰਸ - ਬੂਟਲੋਡਰ ਦੀ ਸਥਾਪਨਾ, ਸਾਰੀਆਂ ਚੇਤਾਵਨੀਆਂ ਨੂੰ ਛੱਡ ਕੇ ਜੋ ਲਗਭਗ ਹਮੇਸ਼ਾ ਮੌਜੂਦ ਹਨ ਅਤੇ ਇੰਸਟਾਲੇਸ਼ਨ ਨੂੰ ਰੋਕਦੇ ਹਨ (ਲੋੜੀਂਦਾ ਝੰਡਾ)
* --ਰੂਟ-ਡਾਇਰੈਕਟਰੀ - ਡਾਇਰੈਕਟਰੀ ਇੰਸਟਾਲੇਸ਼ਨ sda6 ਦੀ ਜੜ੍ਹ ਤੱਕ.
* /dev/sda6 - ਤੁਹਾਡਾ sdaХ ਭਾਗ ( /mnt /dev/sda6 ਵਿਚਕਾਰ <space> ਨੂੰ ਨਾ ਛੱਡੋ)।

C4. ਇੱਕ ਸੰਰਚਨਾ ਫਾਇਲ ਬਣਾਉਣਾ [grub.cfg]"update-grub2" ਕਮਾਂਡ ਨੂੰ ਭੁੱਲ ਜਾਓ, ਅਤੇ ਪੂਰੀ ਸੰਰਚਨਾ ਫਾਇਲ ਜਨਰੇਸ਼ਨ ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰੋ

grub-mkconfig -o /mnt/boot/grub/grub.cfg

grub.cfg ਫਾਈਲ ਦੀ ਜਨਰੇਸ਼ਨ/ਅੱਪਡੇਟ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਆਉਟਪੁੱਟ ਟਰਮੀਨਲ ਵਿੱਚ ਡਿਸਕ ਉੱਤੇ ਪਾਏ ਗਏ OS ਦੇ ਨਾਲ ਲਾਈਨਾਂ ਹੋਣੀਆਂ ਚਾਹੀਦੀਆਂ ਹਨ। (“grub-mkconfig” ਸੰਭਵ ਤੌਰ 'ਤੇ ਲਾਈਵ USB ਤੋਂ OS ਲੱਭੇਗਾ ਅਤੇ ਚੁੱਕ ਲਵੇਗਾ, ਜੇਕਰ ਤੁਹਾਡੇ ਕੋਲ ਵਿੰਡੋਜ਼ 10 ਨਾਲ ਮਲਟੀਬੂਟ ਫਲੈਸ਼ ਡਰਾਈਵ ਹੈ ਅਤੇ ਲਾਈਵ ਡਿਸਟਰੀਬਿਊਸ਼ਨਾਂ ਦਾ ਇੱਕ ਸਮੂਹ ਹੈ - ਇਹ ਆਮ ਗੱਲ ਹੈ)। ਜੇਕਰ ਟਰਮੀਨਲ "ਖਾਲੀ" ਹੈ ਅਤੇ "grub.cfg" ਫਾਈਲ ਤਿਆਰ ਨਹੀਂ ਕੀਤੀ ਗਈ ਹੈ, ਤਾਂ ਇਹ ਉਹੀ ਸਥਿਤੀ ਹੈ ਜਦੋਂ ਸਿਸਟਮ ਵਿੱਚ GRUB ਬੱਗ ਹੁੰਦੇ ਹਨ। (ਅਤੇ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਰਿਪੋਜ਼ਟਰੀ ਦੀ ਟੈਸਟ ਸ਼ਾਖਾ ਤੋਂ ਲੋਡਰ), ਭਰੋਸੇਯੋਗ ਸਰੋਤਾਂ ਤੋਂ GRUB2 ਨੂੰ ਮੁੜ ਸਥਾਪਿਤ ਕਰੋ।
"ਸਧਾਰਨ ਸੰਰਚਨਾ" ਇੰਸਟਾਲੇਸ਼ਨ ਅਤੇ GRUB2 ਸੈੱਟਅੱਪ ਪੂਰਾ ਹੋ ਗਿਆ ਹੈ।

C5. ਐਨਕ੍ਰਿਪਟਡ GNU/Linux OS ਦਾ ਸਬੂਤ-ਟੈਸਟਅਸੀਂ ਕ੍ਰਿਪਟੋ ਮਿਸ਼ਨ ਨੂੰ ਸਹੀ ਢੰਗ ਨਾਲ ਪੂਰਾ ਕਰਦੇ ਹਾਂ। ਐਨਕ੍ਰਿਪਟਡ GNU/Linux ਨੂੰ ਧਿਆਨ ਨਾਲ ਛੱਡਣਾ (Chroot ਵਾਤਾਵਰਣ ਤੋਂ ਬਾਹਰ ਨਿਕਲੋ)।

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

PC ਨੂੰ ਰੀਬੂਟ ਕਰਨ ਤੋਂ ਬਾਅਦ, VeraCrypt ਬੂਟਲੋਡਰ ਲੋਡ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ।


*ਸਰਗਰਮ ਭਾਗ ਲਈ ਪਾਸਵਰਡ ਦਰਜ ਕਰਨ ਨਾਲ ਵਿੰਡੋਜ਼ ਲੋਡ ਹੋਣਾ ਸ਼ੁਰੂ ਹੋ ਜਾਵੇਗਾ।
*"Esc" ਕੁੰਜੀ ਨੂੰ ਦਬਾਉਣ ਨਾਲ ਕੰਟਰੋਲ GRUB2 ਵਿੱਚ ਤਬਦੀਲ ਹੋ ਜਾਵੇਗਾ, ਜੇਕਰ ਤੁਸੀਂ ਐਨਕ੍ਰਿਪਟਡ GNU/Linux ਦੀ ਚੋਣ ਕਰਦੇ ਹੋ - ਇੱਕ ਪਾਸਵਰਡ (sda7_crypt) /boot/initrd.img ਨੂੰ ਅਨਲੌਕ ਕਰਨ ਲਈ ਲੋੜੀਂਦਾ ਹੋਵੇਗਾ (ਜੇ grub2 ਲਿਖਦਾ ਹੈ uuid "ਨਹੀਂ ਲੱਭਿਆ" - ਇਹ ਇੱਕ ਹੈ grub2 ਬੂਟਲੋਡਰ ਨਾਲ ਸਮੱਸਿਆ ਹੈ, ਇਸ ਨੂੰ ਮੁੜ ਸਥਾਪਿਤ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ, ਜਿਵੇਂ ਕਿ, ਟੈਸਟ ਸ਼ਾਖਾ/ਸਥਿਰ ਆਦਿ ਤੋਂ)।


*ਇਸ ਉੱਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹੋਏ ਕਿ ਤੁਸੀਂ ਸਿਸਟਮ ਨੂੰ ਕਿਵੇਂ ਸੰਰਚਿਤ ਕੀਤਾ ਹੈ (ਪੈਰਾ B4.4/4.5 ਦੇਖੋ), /boot/initrd.img ਚਿੱਤਰ ਨੂੰ ਅਨਲੌਕ ਕਰਨ ਲਈ ਸਹੀ ਪਾਸਵਰਡ ਦੇਣ ਤੋਂ ਬਾਅਦ, ਤੁਹਾਨੂੰ OS ਕਰਨਲ/ਰੂਟ, ਜਾਂ ਗੁਪਤ ਲੋਡ ਕਰਨ ਲਈ ਇੱਕ ਪਾਸਵਰਡ ਦੀ ਲੋੜ ਪਵੇਗੀ। ਕੁੰਜੀ ਨੂੰ ਸਵੈਚਲਿਤ ਤੌਰ 'ਤੇ "ਸਕਾਈ" ਬਦਲ ਦਿੱਤਾ ਜਾਵੇਗਾ, ਜਿਸ ਨਾਲ ਗੁਪਤਕੋਡ ਨੂੰ ਮੁੜ-ਦਾਖਲ ਕਰਨ ਦੀ ਲੋੜ ਖਤਮ ਹੋ ਜਾਵੇਗੀ।

(ਸਕਰੀਨ “ਇੱਕ ਗੁਪਤ ਕੁੰਜੀ ਦਾ ਆਟੋਮੈਟਿਕ ਬਦਲ”)।

*ਅਗਲਾ ਉਪਭੋਗਤਾ ਖਾਤਾ ਪ੍ਰਮਾਣਿਕਤਾ ਨਾਲ GNU/Linux ਲੋਡ ਕਰਨ ਦੀ ਜਾਣੀ-ਪਛਾਣੀ ਪ੍ਰਕਿਰਿਆ ਹੋਵੇਗੀ।


*ਉਪਭੋਗਤਾ ਅਧਿਕਾਰ ਅਤੇ OS ਵਿੱਚ ਲਾਗਇਨ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਤੁਹਾਨੂੰ /boot/initrd.img ਨੂੰ ਦੁਬਾਰਾ ਅਪਡੇਟ ਕਰਨ ਦੀ ਲੋੜ ਹੈ। (ਵੇਖੋ B4.6)।

update-initramfs -u -k all

ਅਤੇ GRUB2 ਮੀਨੂ ਵਿੱਚ ਵਾਧੂ ਲਾਈਨਾਂ ਦੇ ਮਾਮਲੇ ਵਿੱਚ (ਲਾਈਵ USB ਨਾਲ OS-m ਪਿਕਅੱਪ ਤੋਂ) ਉਹਨਾਂ ਤੋਂ ਛੁਟਕਾਰਾ ਪਾਓ

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

GNU/Linux ਸਿਸਟਮ ਐਨਕ੍ਰਿਪਸ਼ਨ ਦਾ ਇੱਕ ਤੇਜ਼ ਸੰਖੇਪ:

• GNU/Linuxinux ਪੂਰੀ ਤਰ੍ਹਾਂ ਇਨਕ੍ਰਿਪਟਡ ਹੈ, ਜਿਸ ਵਿੱਚ /boot/kernel ਅਤੇ initrd;
• ਗੁਪਤ ਕੁੰਜੀ initrd.img ਵਿੱਚ ਪੈਕ ਕੀਤੀ ਗਈ ਹੈ;
• ਮੌਜੂਦਾ ਅਧਿਕਾਰ ਯੋਜਨਾ (initrd ਨੂੰ ਅਨਲੌਕ ਕਰਨ ਲਈ ਪਾਸਵਰਡ ਦੇਣਾ; OS ਨੂੰ ਬੂਟ ਕਰਨ ਲਈ ਪਾਸਵਰਡ/ਕੁੰਜੀ; ਲੀਨਕਸ ਖਾਤੇ ਨੂੰ ਅਧਿਕਾਰਤ ਕਰਨ ਲਈ ਪਾਸਵਰਡ).

ਬਲਾਕ ਭਾਗ ਦੀ "ਸਧਾਰਨ GRUB2 ਸੰਰਚਨਾ" ਸਿਸਟਮ ਇਨਕ੍ਰਿਪਸ਼ਨ ਮੁਕੰਮਲ ਹੋ ਗਈ ਹੈ।

C6. ਉੱਨਤ GRUB2 ਸੰਰਚਨਾ। ਡਿਜੀਟਲ ਦਸਤਖਤ + ਪ੍ਰਮਾਣੀਕਰਨ ਸੁਰੱਖਿਆ ਨਾਲ ਬੂਟਲੋਡਰ ਸੁਰੱਖਿਆGNU/Linux ਪੂਰੀ ਤਰ੍ਹਾਂ ਐਨਕ੍ਰਿਪਟਡ ਹੈ, ਪਰ ਬੂਟਲੋਡਰ ਨੂੰ ਐਨਕ੍ਰਿਪਟ ਨਹੀਂ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ - ਇਹ ਸਥਿਤੀ BIOS ਦੁਆਰਾ ਨਿਰਧਾਰਤ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਇਸ ਕਾਰਨ ਕਰਕੇ, GRUB2 ਦਾ ਇੱਕ ਚੇਨਡ ਇਨਕ੍ਰਿਪਟਡ ਬੂਟ ਸੰਭਵ ਨਹੀਂ ਹੈ, ਪਰ ਇੱਕ ਸਧਾਰਨ ਜੰਜੀਰ ਵਾਲਾ ਬੂਟ ਸੰਭਵ/ਉਪਲਬਧ ਹੈ, ਪਰ ਸੁਰੱਖਿਆ ਦ੍ਰਿਸ਼ਟੀਕੋਣ ਤੋਂ ਇਹ ਜ਼ਰੂਰੀ ਨਹੀਂ ਹੈ [ਵੇਖੋ] P. F].
"ਕਮਜ਼ੋਰ" GRUB2 ਲਈ, ਡਿਵੈਲਪਰਾਂ ਨੇ "ਦਸਤਖਤ/ਪ੍ਰਮਾਣਿਕਤਾ" ਬੂਟਲੋਡਰ ਸੁਰੱਖਿਆ ਐਲਗੋਰਿਦਮ ਲਾਗੂ ਕੀਤਾ ਹੈ।

• ਜਦੋਂ ਬੂਟਲੋਡਰ ਨੂੰ "ਇਸਦੇ ਆਪਣੇ ਡਿਜ਼ੀਟਲ ਹਸਤਾਖਰ" ਦੁਆਰਾ ਸੁਰੱਖਿਅਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਫਾਈਲਾਂ ਦੀ ਬਾਹਰੀ ਸੋਧ, ਜਾਂ ਇਸ ਬੂਟਲੋਡਰ ਵਿੱਚ ਵਾਧੂ ਮੋਡੀਊਲ ਲੋਡ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼, ਬੂਟ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਬਲੌਕ ਕਰਨ ਦੀ ਅਗਵਾਈ ਕਰੇਗੀ।
• ਬੂਟਲੋਡਰ ਨੂੰ ਪ੍ਰਮਾਣਿਕਤਾ ਨਾਲ ਸੁਰੱਖਿਅਤ ਕਰਦੇ ਸਮੇਂ, ਡਿਸਟਰੀਬਿਊਸ਼ਨ ਲੋਡ ਕਰਨ ਦੀ ਚੋਣ ਕਰਨ ਲਈ, ਜਾਂ CLI ਵਿੱਚ ਵਾਧੂ ਕਮਾਂਡਾਂ ਦਾਖਲ ਕਰਨ ਲਈ, ਤੁਹਾਨੂੰ ਸੁਪਰਯੂਜ਼ਰ-GRUB2 ਦਾ ਲਾਗਇਨ ਅਤੇ ਪਾਸਵਰਡ ਦਰਜ ਕਰਨ ਦੀ ਲੋੜ ਹੋਵੇਗੀ।

C6.1. ਬੂਟਲੋਡਰ ਪ੍ਰਮਾਣਿਕਤਾ ਸੁਰੱਖਿਆਜਾਂਚ ਕਰੋ ਕਿ ਤੁਸੀਂ ਇੱਕ ਇਨਕ੍ਰਿਪਟਡ OS 'ਤੇ ਟਰਮੀਨਲ ਵਿੱਚ ਕੰਮ ਕਰ ਰਹੇ ਹੋ

ls /<Tab-Tab> #обнаружить файл-маркер

GRUB2 ਵਿੱਚ ਪ੍ਰਮਾਣਿਕਤਾ ਲਈ ਇੱਕ ਸੁਪਰਯੂਜ਼ਰ ਪਾਸਵਰਡ ਬਣਾਓ

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. 

ਪਾਸਵਰਡ ਹੈਸ਼ ਪ੍ਰਾਪਤ ਕਰੋ. ਕੁਝ ਇਸ ਤਰ੍ਹਾਂ

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

GRUB ਭਾਗ ਮਾਊਂਟ ਕਰੋ

mount /dev/sda6 /mnt 

ਸੰਰਚਨਾ ਨੂੰ ਸੋਧੋ

nano -$ /mnt/boot/grub/grub.cfg 

ਫਾਈਲ ਖੋਜ ਦੀ ਜਾਂਚ ਕਰੋ ਕਿ "grub.cfg" ("-ਅਨਿਯੰਤ੍ਰਿਤ" "-ਉਪਭੋਗਤਾ" ਵਿੱਚ ਕਿਤੇ ਵੀ ਕੋਈ ਫਲੈਗ ਨਹੀਂ ਹਨ,
ਬਹੁਤ ਹੀ ਅੰਤ 'ਤੇ ਸ਼ਾਮਿਲ ਕਰੋ (ਲਾਈਨ ### END ਤੋਂ ਪਹਿਲਾਂ /etc/grub.d/41_custom ###)
"ਸੈਟ ਸੁਪਰ ਯੂਜ਼ਰ = "ਰੂਟ"
password_pbkdf2 ਰੂਟ ਹੈਸ਼।"

ਇਹ ਕੁਝ ਇਸ ਤਰ੍ਹਾਂ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ

# ਇਹ ਫਾਈਲ ਕਸਟਮ ਮੀਨੂ ਐਂਟਰੀਆਂ ਨੂੰ ਜੋੜਨ ਦਾ ਇੱਕ ਆਸਾਨ ਤਰੀਕਾ ਪ੍ਰਦਾਨ ਕਰਦੀ ਹੈ। ਬਸ ਟਾਈਪ ਕਰੋ
# ਮੀਨੂ ਐਂਟਰੀਆਂ ਜੋ ਤੁਸੀਂ ਇਸ ਟਿੱਪਣੀ ਤੋਂ ਬਾਅਦ ਸ਼ਾਮਲ ਕਰਨਾ ਚਾਹੁੰਦੇ ਹੋ। ਨਾ ਬਦਲਣ ਲਈ ਸਾਵਧਾਨ ਰਹੋ
# ਉੱਪਰਲੀ ਕਾਰਜਕਾਰੀ ਪੂਛ ਲਾਈਨ.
### ਅੰਤ /etc/grub.d/40_custom ###

### BEGIN /etc/grub.d/41_custom ###
ਜੇਕਰ [ -f ${config_directory}/custom.cfg]; ਫਿਰ
ਸਰੋਤ ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; ਫਿਰ
ਸਰੋਤ $prefix/custom.cfg;
fi
ਸੁਪਰ ਉਪਭੋਗਤਾ = "ਰੂਟ" ਸੈੱਟ ਕਰੋ
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### ਅੰਤ /etc/grub.d/41_custom ###
#

ਜੇਕਰ ਤੁਸੀਂ ਅਕਸਰ "grub-mkconfig -o /mnt/boot/grub/grub.cfg" ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋ ਅਤੇ ਹਰ ਵਾਰ grub.cfg ਵਿੱਚ ਤਬਦੀਲੀਆਂ ਨਹੀਂ ਕਰਨਾ ਚਾਹੁੰਦੇ ਹੋ, ਤਾਂ ਉਪਰੋਕਤ ਲਾਈਨਾਂ ਦਾਖਲ ਕਰੋ। (ਲੌਗਇਨ: ਪਾਸਵਰਡ) ਬਹੁਤ ਹੇਠਾਂ GRUB ਉਪਭੋਗਤਾ ਸਕ੍ਰਿਪਟ ਵਿੱਚ

nano /etc/grub.d/41_custom 

ਬਿੱਲੀ <<EOF
ਸੁਪਰ ਉਪਭੋਗਤਾ = "ਰੂਟ" ਸੈੱਟ ਕਰੋ
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

ਜਦੋਂ ਸੰਰਚਨਾ “grub-mkconfig -o /mnt/boot/grub/grub.cfg” ਤਿਆਰ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਤਾਂ ਪ੍ਰਮਾਣਿਕਤਾ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਲਾਈਨਾਂ grub.cfg ਵਿੱਚ ਆਟੋਮੈਟਿਕ ਹੀ ਜੋੜ ਦਿੱਤੀਆਂ ਜਾਣਗੀਆਂ।
ਇਹ ਪਗ GRUB2 ਪ੍ਰਮਾਣਿਕਤਾ ਸੈੱਟਅੱਪ ਨੂੰ ਪੂਰਾ ਕਰਦਾ ਹੈ।

C6.2. ਡਿਜੀਟਲ ਦਸਤਖਤ ਦੇ ਨਾਲ ਬੂਟਲੋਡਰ ਸੁਰੱਖਿਆਇਹ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ ਕਿ ਤੁਹਾਡੇ ਕੋਲ ਪਹਿਲਾਂ ਹੀ ਤੁਹਾਡੀ ਨਿੱਜੀ pgp ਐਨਕ੍ਰਿਪਸ਼ਨ ਕੁੰਜੀ ਹੈ (ਜਾਂ ਅਜਿਹੀ ਕੁੰਜੀ ਬਣਾਓ)। ਸਿਸਟਮ ਵਿੱਚ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਸਾਫਟਵੇਅਰ ਇੰਸਟਾਲ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ: gnuPG; ਕਲੀਓਪੈਟਰਾ/ਜੀਪੀਏ; ਸਮੁੰਦਰੀ ਘੋੜਾ. ਅਜਿਹੇ ਸਾਰੇ ਮਾਮਲਿਆਂ ਵਿੱਚ ਕ੍ਰਿਪਟੋ ਸੌਫਟਵੇਅਰ ਤੁਹਾਡੀ ਜ਼ਿੰਦਗੀ ਨੂੰ ਬਹੁਤ ਸੌਖਾ ਬਣਾ ਦੇਵੇਗਾ। Seahorse - ਪੈਕੇਜ 3.14.0 ਦਾ ਸਥਿਰ ਸੰਸਕਰਣ (ਉੱਚੇ ਸੰਸਕਰਣ, ਉਦਾਹਰਨ ਲਈ, V3.20, ਨੁਕਸਦਾਰ ਹਨ ਅਤੇ ਮਹੱਤਵਪੂਰਨ ਬੱਗ ਹਨ)।

PGP ਕੁੰਜੀ ਨੂੰ ਸਿਰਫ਼ su ਵਾਤਾਵਰਣ ਵਿੱਚ ਤਿਆਰ/ਲਾਂਚ/ਜੋੜਨ ਦੀ ਲੋੜ ਹੈ!

ਨਿੱਜੀ ਇਨਕ੍ਰਿਪਸ਼ਨ ਕੁੰਜੀ ਤਿਆਰ ਕਰੋ

gpg - -gen-key

ਆਪਣੀ ਕੁੰਜੀ ਨਿਰਯਾਤ ਕਰੋ

gpg --export -o ~/perskey

OS ਵਿੱਚ ਲਾਜ਼ੀਕਲ ਡਿਸਕ ਨੂੰ ਮਾਊਂਟ ਕਰੋ ਜੇਕਰ ਇਹ ਪਹਿਲਾਂ ਤੋਂ ਮਾਊਂਟ ਨਹੀਂ ਹੈ

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

GRUB2 ਭਾਗ ਸਾਫ਼ ਕਰੋ

rm -rf /mnt/

GRUB2 ਨੂੰ sda6 ਵਿੱਚ ਇੰਸਟਾਲ ਕਰੋ, ਮੁੱਖ GRUB ਚਿੱਤਰ "core.img" ਵਿੱਚ ਆਪਣੀ ਨਿੱਜੀ ਕੁੰਜੀ ਪਾਓ।

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

ਚੋਣਾਂ
* --force - ਬੂਟਲੋਡਰ ਨੂੰ ਇੰਸਟਾਲ ਕਰੋ, ਹਮੇਸ਼ਾ ਮੌਜੂਦ ਸਾਰੀਆਂ ਚੇਤਾਵਨੀਆਂ ਨੂੰ ਛੱਡ ਕੇ (ਲੋੜੀਂਦਾ ਝੰਡਾ)
* —modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - PC ਦੇ ਚਾਲੂ ਹੋਣ 'ਤੇ GRUB2 ਨੂੰ ਲੋੜੀਂਦੇ ਮੋਡੀਊਲ ਨੂੰ ਪ੍ਰੀਲੋਡ ਕਰਨ ਲਈ ਨਿਰਦੇਸ਼ ਦਿੰਦਾ ਹੈ।
* -k ~/perskey -“PGP ਕੁੰਜੀ” ਦਾ ਮਾਰਗ (ਚਿੱਤਰ ਵਿੱਚ ਕੁੰਜੀ ਪੈਕ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਇਸਨੂੰ ਮਿਟਾ ਦਿੱਤਾ ਜਾ ਸਕਦਾ ਹੈ)।
* --root-directory -ਬੂਟ ਡਾਇਰੈਕਟਰੀ ਨੂੰ sda6 ਦੇ ਰੂਟ 'ਤੇ ਸੈੱਟ ਕਰੋ
/dev/sda6 - ਤੁਹਾਡਾ sdaX ਭਾਗ।

grub.cfg ਤਿਆਰ/ਅੱਪਡੇਟ ਕਰਨਾ

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

"grub.cfg" ਫਾਈਲ ਦੇ ਅੰਤ ਵਿੱਚ "trust /boot/grub/perskey" ਲਾਈਨ ਜੋੜੋ। (pgp ਕੁੰਜੀ ਦੀ ਜ਼ਬਰਦਸਤੀ ਵਰਤੋਂ।) ਕਿਉਂਕਿ ਅਸੀਂ GRUB2 ਨੂੰ ਮੈਡਿਊਲਾਂ ਦੇ ਇੱਕ ਸੈੱਟ ਨਾਲ ਸਥਾਪਿਤ ਕੀਤਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਦਸਤਖਤ ਮੋਡੀਊਲ “signature_test.mod” ਵੀ ਸ਼ਾਮਲ ਹੈ, ਇਹ ਸੰਰਚਨਾ ਵਿੱਚ “set check_signatures=enforce” ਵਰਗੀਆਂ ਕਮਾਂਡਾਂ ਨੂੰ ਜੋੜਨ ਦੀ ਲੋੜ ਨੂੰ ਖਤਮ ਕਰਦਾ ਹੈ।

ਇਹ ਇਸ ਤਰ੍ਹਾਂ ਕੁਝ ਦਿਖਾਈ ਦੇਣਾ ਚਾਹੀਦਾ ਹੈ (grub.cfg ਫਾਈਲ ਵਿੱਚ ਅੰਤ ਦੀਆਂ ਲਾਈਨਾਂ)

### BEGIN /etc/grub.d/41_custom ###
ਜੇਕਰ [ -f ${config_directory}/custom.cfg]; ਫਿਰ
ਸਰੋਤ ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; ਫਿਰ
ਸਰੋਤ $prefix/custom.cfg;
fi
ਭਰੋਸਾ /boot/grub/perskey
ਸੁਪਰ ਉਪਭੋਗਤਾ = "ਰੂਟ" ਸੈੱਟ ਕਰੋ
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### ਅੰਤ /etc/grub.d/41_custom ###
#

“/boot/grub/perskey” ਦੇ ਮਾਰਗ ਨੂੰ ਕਿਸੇ ਖਾਸ ਡਿਸਕ ਭਾਗ ਵੱਲ ਸੰਕੇਤ ਕਰਨ ਦੀ ਲੋੜ ਨਹੀਂ ਹੈ, ਉਦਾਹਰਨ ਲਈ hd0,6; ਬੂਟਲੋਡਰ ਲਈ, “root” ਭਾਗ ਦਾ ਮੂਲ ਮਾਰਗ ਹੈ ਜਿਸ ਉੱਤੇ GRUB2 ਇੰਸਟਾਲ ਹੈ। (ਦੇਖੋ ਸੈੱਟ ਰੋਟ=...)।

GRUB2 'ਤੇ ਦਸਤਖਤ ਕੀਤੇ ਜਾ ਰਹੇ ਹਨ (ਸਾਰੀਆਂ /GRUB ਡਾਇਰੈਕਟਰੀਆਂ ਵਿੱਚ ਸਾਰੀਆਂ ਫਾਈਲਾਂ) ਤੁਹਾਡੀ ਕੁੰਜੀ "ਪਰਸਕੀ" ਨਾਲ।
ਦਸਤਖਤ ਕਰਨ ਦੇ ਤਰੀਕੇ ਬਾਰੇ ਇੱਕ ਸਧਾਰਨ ਹੱਲ (ਨਟੀਲਸ/ਕਾਜਾ ਐਕਸਪਲੋਰਰ ਲਈ): ਰਿਪੋਜ਼ਟਰੀ ਤੋਂ ਐਕਸਪਲੋਰਰ ਲਈ "ਸਮੁੰਦਰੀ ਘੋੜੇ" ਐਕਸਟੈਂਸ਼ਨ ਨੂੰ ਸਥਾਪਿਤ ਕਰੋ। ਤੁਹਾਡੀ ਕੁੰਜੀ ਨੂੰ su ਵਾਤਾਵਰਣ ਵਿੱਚ ਜੋੜਿਆ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ।
ਸੂਡੋ “/mnt/boot” – RMB – ਚਿੰਨ੍ਹ ਨਾਲ ਐਕਸਪਲੋਰਰ ਖੋਲ੍ਹੋ। ਸਕਰੀਨ 'ਤੇ ਇਹ ਇਸ ਤਰ੍ਹਾਂ ਦਿਖਾਈ ਦਿੰਦਾ ਹੈ

ਕੁੰਜੀ ਆਪਣੇ ਆਪ "/mnt/boot/grub/perskey" ਹੈ (ਗਰਬ ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ ਕਾਪੀ) ਤੁਹਾਡੇ ਆਪਣੇ ਦਸਤਖਤ ਨਾਲ ਵੀ ਦਸਤਖਤ ਕੀਤੇ ਜਾਣੇ ਚਾਹੀਦੇ ਹਨ। ਜਾਂਚ ਕਰੋ ਕਿ [*.sig] ਫਾਈਲ ਦੇ ਦਸਤਖਤ ਡਾਇਰੈਕਟਰੀ/ਸਬ-ਡਾਇਰੈਕਟਰੀਆਂ ਵਿੱਚ ਦਿਖਾਈ ਦਿੰਦੇ ਹਨ।
ਉੱਪਰ ਦੱਸੇ ਢੰਗ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, "/boot" 'ਤੇ ਦਸਤਖਤ ਕਰੋ (ਸਾਡਾ ਕਰਨਲ, initrd)। ਜੇ ਤੁਹਾਡੇ ਸਮੇਂ ਦੀ ਕੋਈ ਕੀਮਤ ਹੈ, ਤਾਂ ਇਹ ਵਿਧੀ "ਬਹੁਤ ਸਾਰੀਆਂ ਫਾਈਲਾਂ" 'ਤੇ ਦਸਤਖਤ ਕਰਨ ਲਈ ਬੈਸ਼ ਸਕ੍ਰਿਪਟ ਲਿਖਣ ਦੀ ਜ਼ਰੂਰਤ ਨੂੰ ਖਤਮ ਕਰ ਦਿੰਦੀ ਹੈ।

ਸਾਰੇ ਬੂਟਲੋਡਰ ਦਸਤਖਤਾਂ ਨੂੰ ਹਟਾਉਣ ਲਈ (ਜੇਕਰ ਕੁਝ ਗਲਤ ਹੋਇਆ ਹੈ)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

ਸਿਸਟਮ ਨੂੰ ਅੱਪਡੇਟ ਕਰਨ ਤੋਂ ਬਾਅਦ ਬੂਟਲੋਡਰ 'ਤੇ ਦਸਤਖਤ ਨਾ ਕਰਨ ਲਈ, ਅਸੀਂ GRUB2 ਨਾਲ ਸਬੰਧਤ ਸਾਰੇ ਅੱਪਡੇਟ ਪੈਕੇਜਾਂ ਨੂੰ ਫ੍ਰੀਜ਼ ਕਰ ਦਿੰਦੇ ਹਾਂ।

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

ਇਸ ਪੜਾਅ 'ਤੇ <ਡਿਜ਼ੀਟਲ ਦਸਤਖਤ ਨਾਲ ਬੂਟਲੋਡਰ ਦੀ ਰੱਖਿਆ ਕਰੋ> GRUB2 ਦੀ ਉੱਨਤ ਸੰਰਚਨਾ ਪੂਰੀ ਹੋ ਗਈ ਹੈ।

C6.3. GRUB2 ਬੂਟਲੋਡਰ ਦਾ ਸਬੂਤ-ਟੈਸਟ, ਡਿਜੀਟਲ ਦਸਤਖਤ ਅਤੇ ਪ੍ਰਮਾਣਿਕਤਾ ਦੁਆਰਾ ਸੁਰੱਖਿਅਤGRUB2. ਕਿਸੇ ਵੀ GNU/Linux ਵੰਡ ਦੀ ਚੋਣ ਕਰਦੇ ਸਮੇਂ ਜਾਂ CLI ਦਾਖਲ ਕਰਦੇ ਸਮੇਂ (ਕਮਾਂਡ ਲਾਈਨ) ਸੁਪਰ ਉਪਭੋਗਤਾ ਅਧਿਕਾਰ ਦੀ ਲੋੜ ਹੋਵੇਗੀ। ਸਹੀ ਯੂਜ਼ਰਨੇਮ/ਪਾਸਵਰਡ ਦਰਜ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਤੁਹਾਨੂੰ initrd ਪਾਸਵਰਡ ਦੀ ਲੋੜ ਪਵੇਗੀ

GRUB2 ਸੁਪਰਯੂਜ਼ਰ ਦੀ ਸਫਲ ਪ੍ਰਮਾਣਿਕਤਾ ਦਾ ਸਕਰੀਨਸ਼ਾਟ।

ਜੇਕਰ ਤੁਸੀਂ ਕਿਸੇ ਵੀ GRUB2 ਫਾਈਲਾਂ ਨਾਲ ਛੇੜਛਾੜ ਕਰਦੇ ਹੋ/ grub.cfg ਵਿੱਚ ਬਦਲਾਅ ਕਰਦੇ ਹੋ, ਜਾਂ ਫਾਈਲ/ਦਸਤਖਤ ਨੂੰ ਮਿਟਾਉਂਦੇ ਹੋ, ਜਾਂ ਇੱਕ ਖਤਰਨਾਕ module.mod ਲੋਡ ਕਰਦੇ ਹੋ, ਤਾਂ ਇੱਕ ਅਨੁਸਾਰੀ ਚੇਤਾਵਨੀ ਦਿਖਾਈ ਦੇਵੇਗੀ। GRUB2 ਲੋਡਿੰਗ ਨੂੰ ਰੋਕ ਦੇਵੇਗਾ।

ਸਕਰੀਨਸ਼ਾਟ, "ਬਾਹਰੋਂ" GRUB2 ਵਿੱਚ ਦਖਲ ਦੇਣ ਦੀ ਕੋਸ਼ਿਸ਼।

"ਸਾਧਾਰਨ" ਬੂਟਿੰਗ ਦੌਰਾਨ "ਘੁਸਪੈਠ ਤੋਂ ਬਿਨਾਂ", ਸਿਸਟਮ ਐਗਜ਼ਿਟ ਕੋਡ ਸਥਿਤੀ "0" ਹੈ। ਇਸ ਲਈ, ਇਹ ਅਣਜਾਣ ਹੈ ਕਿ ਸੁਰੱਖਿਆ ਕੰਮ ਕਰਦੀ ਹੈ ਜਾਂ ਨਹੀਂ (ਅਰਥਾਤ, "ਬੂਟਲੋਡਰ ਦਸਤਖਤ ਸੁਰੱਖਿਆ ਦੇ ਨਾਲ ਜਾਂ ਬਿਨਾਂ" ਆਮ ਲੋਡਿੰਗ ਦੌਰਾਨ ਸਥਿਤੀ ਉਹੀ "0" ਹੁੰਦੀ ਹੈ - ਇਹ ਬੁਰਾ ਹੈ)।

ਡਿਜੀਟਲ ਦਸਤਖਤ ਸੁਰੱਖਿਆ ਦੀ ਜਾਂਚ ਕਿਵੇਂ ਕਰੀਏ?

ਜਾਂਚ ਕਰਨ ਦਾ ਇੱਕ ਅਸੁਵਿਧਾਜਨਕ ਤਰੀਕਾ: GRUB2 ਦੁਆਰਾ ਵਰਤੇ ਗਏ ਇੱਕ ਮੋਡੀਊਲ ਨੂੰ ਜਾਅਲੀ/ਹਟਾਓ, ਉਦਾਹਰਨ ਲਈ, ਹਸਤਾਖਰ luks.mod.sig ਨੂੰ ਹਟਾਓ ਅਤੇ ਇੱਕ ਗਲਤੀ ਪ੍ਰਾਪਤ ਕਰੋ।

ਸਹੀ ਤਰੀਕਾ: ਬੂਟਲੋਡਰ CLI 'ਤੇ ਜਾਓ ਅਤੇ ਕਮਾਂਡ ਟਾਈਪ ਕਰੋ

trust_list

ਜਵਾਬ ਵਿੱਚ, ਤੁਹਾਨੂੰ ਇੱਕ "ਪਰਸਕੀ" ਫਿੰਗਰਪ੍ਰਿੰਟ ਪ੍ਰਾਪਤ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ; ਜੇਕਰ ਸਥਿਤੀ "0" ਹੈ, ਤਾਂ ਦਸਤਖਤ ਸੁਰੱਖਿਆ ਕੰਮ ਨਹੀਂ ਕਰਦੀ, ਪੈਰਾ C6.2 ਦੀ ਦੋ ਵਾਰ ਜਾਂਚ ਕਰੋ।
ਇਸ ਪੜਾਅ 'ਤੇ, ਉੱਨਤ ਸੰਰਚਨਾ "ਡਿਜੀਟਲ ਦਸਤਖਤ ਅਤੇ ਪ੍ਰਮਾਣਿਕਤਾ ਨਾਲ GRUB2 ਦੀ ਸੁਰੱਖਿਆ" ਪੂਰੀ ਹੋ ਗਈ ਹੈ।

C7 ਹੈਸ਼ਿੰਗ ਦੀ ਵਰਤੋਂ ਕਰਕੇ GRUB2 ਬੂਟਲੋਡਰ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਦਾ ਵਿਕਲਪਿਕ ਤਰੀਕਾਉੱਪਰ ਦੱਸਿਆ ਗਿਆ "CPU ਬੂਟ ਲੋਡਰ ਪ੍ਰੋਟੈਕਸ਼ਨ/ਪ੍ਰਮਾਣਿਕਤਾ" ਵਿਧੀ ਇੱਕ ਕਲਾਸਿਕ ਹੈ। GRUB2 ਦੀਆਂ ਅਪੂਰਣਤਾਵਾਂ ਦੇ ਕਾਰਨ, ਪਾਗਲ ਹਾਲਤਾਂ ਵਿੱਚ ਇਹ ਇੱਕ ਅਸਲ ਹਮਲੇ ਲਈ ਸੰਵੇਦਨਸ਼ੀਲ ਹੈ, ਜੋ ਮੈਂ ਹੇਠਾਂ ਪੈਰਾ [F] ਵਿੱਚ ਦੇਵਾਂਗਾ। ਇਸ ਤੋਂ ਇਲਾਵਾ, OS/ਕਰਨਲ ਨੂੰ ਅੱਪਡੇਟ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਬੂਟਲੋਡਰ ਨੂੰ ਦੁਬਾਰਾ ਸਾਈਨ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ।

ਹੈਸ਼ਿੰਗ ਦੀ ਵਰਤੋਂ ਕਰਕੇ GRUB2 ਬੂਟਲੋਡਰ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨਾ

ਕਲਾਸਿਕ ਨਾਲੋਂ ਫਾਇਦੇ:

• ਭਰੋਸੇਯੋਗਤਾ ਦੇ ਉੱਚ ਪੱਧਰ (ਹੈਸ਼ਿੰਗ/ਤਸਦੀਕ ਸਿਰਫ ਇੱਕ ਏਨਕ੍ਰਿਪਟ ਕੀਤੇ ਸਥਾਨਕ ਸਰੋਤ ਤੋਂ ਹੁੰਦੀ ਹੈ। GRUB2 ਦੇ ਅਧੀਨ ਪੂਰਾ ਨਿਰਧਾਰਤ ਭਾਗ ਕਿਸੇ ਵੀ ਤਬਦੀਲੀ ਲਈ ਨਿਯੰਤਰਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਅਤੇ ਬਾਕੀ ਸਭ ਕੁਝ ਏਨਕ੍ਰਿਪਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ; CPU ਲੋਡਰ ਸੁਰੱਖਿਆ/ਪ੍ਰਮਾਣੀਕਰਨ ਵਾਲੀ ਕਲਾਸਿਕ ਸਕੀਮ ਵਿੱਚ, ਸਿਰਫ ਫਾਈਲਾਂ ਨੂੰ ਨਿਯੰਤਰਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਪਰ ਮੁਫਤ ਨਹੀਂ। ਸਪੇਸ, ਜਿਸ ਵਿੱਚ "ਕੁਝ" ਕੁਝ ਭਿਆਨਕ" ਜੋੜਿਆ ਜਾ ਸਕਦਾ ਹੈ)।
• ਐਨਕ੍ਰਿਪਟਡ ਲੌਗਿੰਗ (ਇੱਕ ਮਨੁੱਖੀ-ਪੜ੍ਹਨਯੋਗ ਨਿੱਜੀ ਐਨਕ੍ਰਿਪਟਡ ਲੌਗ ਸਕੀਮ ਵਿੱਚ ਸ਼ਾਮਲ ਕੀਤਾ ਗਿਆ ਹੈ)।
• ਸਪੀਡ (GRUB2 ਲਈ ਨਿਰਧਾਰਤ ਕੀਤੇ ਪੂਰੇ ਭਾਗ ਦੀ ਸੁਰੱਖਿਆ/ਤਸਦੀਕ ਲਗਭਗ ਤੁਰੰਤ ਹੁੰਦੀ ਹੈ)।
• ਸਾਰੀਆਂ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਪ੍ਰਕਿਰਿਆਵਾਂ ਦਾ ਸਵੈਚਾਲਨ।

ਕਲਾਸਿਕ ਉੱਤੇ ਨੁਕਸਾਨ.

• ਦਸਤਖਤ ਦੀ ਜਾਅਲੀ (ਸਿਧਾਂਤਕ ਤੌਰ 'ਤੇ, ਦਿੱਤੇ ਗਏ ਹੈਸ਼ ਫੰਕਸ਼ਨ ਟੱਕਰ ਨੂੰ ਲੱਭਣਾ ਸੰਭਵ ਹੈ)।
• ਵਧੀ ਹੋਈ ਮੁਸ਼ਕਲ ਦਾ ਪੱਧਰ (ਕਲਾਸਿਕ ਦੇ ਮੁਕਾਬਲੇ, GNU/Linux OS ਵਿੱਚ ਥੋੜੇ ਹੋਰ ਹੁਨਰ ਦੀ ਲੋੜ ਹੈ)।

GRUB2/ਪਾਰਟੀਸ਼ਨ ਹੈਸ਼ਿੰਗ ਆਈਡੀਆ ਕਿਵੇਂ ਕੰਮ ਕਰਦਾ ਹੈ

GRUB2 ਭਾਗ "ਦਸਤਖਤ" ਹੁੰਦਾ ਹੈ; ਜਦੋਂ OS ਬੂਟ ਹੁੰਦਾ ਹੈ, ਬੂਟ ਲੋਡਰ ਭਾਗ ਨੂੰ ਅਟੱਲਤਾ ਲਈ ਜਾਂਚਿਆ ਜਾਂਦਾ ਹੈ, ਇਸ ਤੋਂ ਬਾਅਦ ਇੱਕ ਸੁਰੱਖਿਅਤ (ਇਨਕ੍ਰਿਪਟਡ) ਵਾਤਾਵਰਣ ਵਿੱਚ ਲਾਗਇਨ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਜੇਕਰ ਬੂਟਲੋਡਰ ਜਾਂ ਇਸਦੇ ਭਾਗ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ ਹੈ, ਤਾਂ ਘੁਸਪੈਠ ਲੌਗ ਤੋਂ ਇਲਾਵਾ, ਹੇਠਾਂ ਦਿੱਤਾ ਗਿਆ ਹੈ:

ਗੱਲ.

ਇੱਕ ਸਮਾਨ ਜਾਂਚ ਦਿਨ ਵਿੱਚ ਚਾਰ ਵਾਰ ਹੁੰਦੀ ਹੈ, ਜੋ ਸਿਸਟਮ ਸਰੋਤਾਂ ਨੂੰ ਲੋਡ ਨਹੀਂ ਕਰਦੀ ਹੈ।
“-$ check_GRUB” ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, ਕਿਸੇ ਵੀ ਸਮੇਂ ਬਿਨਾਂ ਲੌਗਿੰਗ ਦੇ, ਪਰ CLI ਨੂੰ ਜਾਣਕਾਰੀ ਆਉਟਪੁੱਟ ਦੇ ਨਾਲ ਤੁਰੰਤ ਜਾਂਚ ਹੁੰਦੀ ਹੈ।
ਕਮਾਂਡ “-$ sudo signature_GRUB” ਦੀ ਵਰਤੋਂ ਕਰਕੇ, GRUB2 ਬੂਟ ਲੋਡਰ/ਭਾਗ ਨੂੰ ਤੁਰੰਤ ਮੁੜ-ਦਸਤਖਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਅਤੇ ਇਸਦੀ ਅੱਪਡੇਟ ਕੀਤੀ ਲਾਗਿੰਗ। (OS/ਬੂਟ ਅੱਪਡੇਟ ਤੋਂ ਬਾਅਦ ਜ਼ਰੂਰੀ), ਅਤੇ ਜੀਵਨ ਜਾਰੀ ਰਹਿੰਦਾ ਹੈ।

ਬੂਟਲੋਡਰ ਅਤੇ ਇਸਦੇ ਭਾਗ ਲਈ ਹੈਸ਼ਿੰਗ ਵਿਧੀ ਨੂੰ ਲਾਗੂ ਕਰਨਾ

0) ਆਉ ਪਹਿਲਾਂ ਇਸਨੂੰ /media/username ਵਿੱਚ ਮਾਊਂਟ ਕਰਕੇ GRUB ਬੂਟਲੋਡਰ/ਭਾਗ ਉੱਤੇ ਦਸਤਖਤ ਕਰੀਏ।

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) ਅਸੀਂ ਏਨਕ੍ਰਿਪਟਡ OS ~/podpis ਦੇ ਰੂਟ ਵਿੱਚ ਇੱਕ ਐਕਸਟੈਂਸ਼ਨ ਦੇ ਬਿਨਾਂ ਇੱਕ ਸਕ੍ਰਿਪਟ ਬਣਾਉਂਦੇ ਹਾਂ, ਇਸ 'ਤੇ ਲੋੜੀਂਦੇ 744 ਸੁਰੱਖਿਆ ਅਧਿਕਾਰਾਂ ਅਤੇ ਫੂਲਪਰੂਫ ਸੁਰੱਖਿਆ ਨੂੰ ਲਾਗੂ ਕਰਦੇ ਹਾਂ।

ਇਸ ਦੀ ਸਮੱਗਰੀ ਨੂੰ ਭਰਨਾ

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

ਤੋਂ ਸਕ੍ਰਿਪਟ ਚਲਾਓ su, GRUB ਭਾਗ ਅਤੇ ਇਸਦੇ ਬੂਟਲੋਡਰ ਦੀ ਹੈਸ਼ਿੰਗ ਦੀ ਜਾਂਚ ਕੀਤੀ ਜਾਵੇਗੀ, ਲਾਗ ਨੂੰ ਸੰਭਾਲੋ।

ਚਲੋ, ਉਦਾਹਰਨ ਲਈ, GRUB2 ਭਾਗ ਵਿੱਚ ਇੱਕ “ਖਰਾਬ ਫਾਈਲ” [virus.mod] ਬਣਾਉ ਜਾਂ ਕਾਪੀ ਕਰੀਏ ਅਤੇ ਇੱਕ ਅਸਥਾਈ ਸਕੈਨ/ਟੈਸਟ ਚਲਾਓ:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

ਸੀ.ਐਲ.ਆਈ. ਨੂੰ ਸਾਡੇ ਗੜ੍ਹ 'ਤੇ ਹਮਲਾ ਦੇਖਣਾ ਚਾਹੀਦਾ ਹੈ-# CLI ਵਿੱਚ ਟ੍ਰਿਮਡ ਲੌਗ

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

#ਜਿਵੇਂ ਕਿ ਤੁਸੀਂ ਦੇਖ ਸਕਦੇ ਹੋ, "ਫਾਇਲਾਂ ਨੂੰ ਮੂਵ ਕੀਤਾ ਗਿਆ: 1 ਅਤੇ ਆਡਿਟ ਅਸਫਲ" ਦਿਖਾਈ ਦਿੰਦਾ ਹੈ, ਜਿਸਦਾ ਮਤਲਬ ਹੈ ਕਿ ਜਾਂਚ ਅਸਫਲ ਰਹੀ।
ਭਾਗ ਦੀ ਜਾਂਚ ਕੀਤੀ ਜਾ ਰਹੀ ਪ੍ਰਕਿਰਤੀ ਦੇ ਕਾਰਨ, “ਨਵੀਆਂ ਫਾਈਲਾਂ ਲੱਭੀਆਂ” > “ਫਾਇਲਾਂ ਤਬਦੀਲ ਕੀਤੀਆਂ” ਦੀ ਬਜਾਏ

2) GIF ਨੂੰ ਇੱਥੇ ਰੱਖੋ > ~/warning.gif, ਅਨੁਮਤੀਆਂ ਨੂੰ 744 'ਤੇ ਸੈੱਟ ਕਰੋ।

3) ਬੂਟ ਹੋਣ 'ਤੇ GRUB ਭਾਗ ਨੂੰ ਆਟੋਮਾਊਂਟ ਕਰਨ ਲਈ fstab ਦੀ ਸੰਰਚਨਾ ਕੀਤੀ ਜਾ ਰਹੀ ਹੈ

-$ sudo nano /etc/fstab

LABEL=GRUB /media/username/GRUB ext4 ਡਿਫਾਲਟ 0 0

4) ਲਾਗ ਨੂੰ ਘੁੰਮਾਇਆ ਜਾ ਰਿਹਾ ਹੈ

-$ sudo nano /etc/logrotate.d/podpis 

/var/log/podpis.txt {
ਰੋਜ਼ਾਨਾ ਦੀ
ਘੁੰਮਾਓ 50
ਅਕਾਰ 5 ਐਮ
ਤਾਰੀਖ
ਕੰਪਰੈੱਸ ਕਰੋ
ਦੇਰੀ ਕੰਪ੍ਰੈਸ
olddir /var/log/old
}

/var/log/vtorjenie.txt {
ਮਾਸਿਕ
ਘੁੰਮਾਓ 5
ਅਕਾਰ 5 ਐਮ
ਤਾਰੀਖ
olddir /var/log/old
}

5) ਕ੍ਰੋਨ ਵਿੱਚ ਇੱਕ ਨੌਕਰੀ ਸ਼ਾਮਲ ਕਰੋ

-$ sudo crontab -e

ਮੁੜ - ਚਾਲੂ '/ ਗਾਹਕੀ'
0 */6 * * * '/podpis

6) ਸਥਾਈ ਉਪਨਾਮ ਬਣਾਉਣਾ

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

OS ਅੱਪਡੇਟ ਦੇ ਬਾਅਦ -$ apt-get upgrade ਸਾਡੇ GRUB ਭਾਗ ਨੂੰ ਦੁਬਾਰਾ ਸਾਈਨ ਕਰੋ
-$ подпись_GRUB
ਇਸ ਸਮੇਂ, GRUB ਭਾਗ ਦੀ ਹੈਸ਼ਿੰਗ ਸੁਰੱਖਿਆ ਪੂਰੀ ਹੋ ਗਈ ਹੈ।

[ਡੀ] ਪੂੰਝਣਾ - ਅਣਏਨਕ੍ਰਿਪਟਡ ਡੇਟਾ ਦਾ ਵਿਨਾਸ਼

ਸਾਊਥ ਕੈਰੋਲੀਨਾ ਦੇ ਬੁਲਾਰੇ ਟ੍ਰੇ ਗੌਡੀ ਦੇ ਅਨੁਸਾਰ, ਆਪਣੀਆਂ ਨਿੱਜੀ ਫਾਈਲਾਂ ਨੂੰ ਪੂਰੀ ਤਰ੍ਹਾਂ ਮਿਟਾਓ ਤਾਂ ਕਿ "ਰੱਬ ਵੀ ਉਨ੍ਹਾਂ ਨੂੰ ਪੜ੍ਹ ਨਾ ਸਕੇ."

ਆਮ ਵਾਂਗ, ਇੱਥੇ ਵੱਖ-ਵੱਖ "ਮਿਥਿਹਾਸ ਅਤੇ ਦੰਤਕਥਾਵਾਂ", ਹਾਰਡ ਡਰਾਈਵ ਤੋਂ ਮਿਟਾਏ ਜਾਣ ਤੋਂ ਬਾਅਦ ਡਾਟਾ ਰੀਸਟੋਰ ਕਰਨ ਬਾਰੇ। ਜੇਕਰ ਤੁਸੀਂ ਸਾਈਬਰਵਿਚਕ੍ਰਾਫਟ ਵਿੱਚ ਵਿਸ਼ਵਾਸ ਕਰਦੇ ਹੋ, ਜਾਂ ਡਾਕਟਰ ਵੈੱਬ ਕਮਿਊਨਿਟੀ ਦੇ ਮੈਂਬਰ ਹੋ ਅਤੇ ਇਸਨੂੰ ਮਿਟਾਉਣ/ਓਵਰਰਾਈਟ ਕੀਤੇ ਜਾਣ ਤੋਂ ਬਾਅਦ ਕਦੇ ਵੀ ਡਾਟਾ ਰਿਕਵਰੀ ਦੀ ਕੋਸ਼ਿਸ਼ ਨਹੀਂ ਕੀਤੀ ਹੈ। (ਉਦਾਹਰਨ ਲਈ, ਆਰ-ਸਟੂਡੀਓ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਰਿਕਵਰੀ), ਫਿਰ ਪ੍ਰਸਤਾਵਿਤ ਵਿਧੀ ਤੁਹਾਡੇ ਅਨੁਕੂਲ ਹੋਣ ਦੀ ਸੰਭਾਵਨਾ ਨਹੀਂ ਹੈ, ਉਹ ਵਰਤੋ ਜੋ ਤੁਹਾਡੇ ਸਭ ਤੋਂ ਨੇੜੇ ਹੈ।

GNU/Linux ਨੂੰ ਇੱਕ ਇਨਕ੍ਰਿਪਟਡ ਭਾਗ ਵਿੱਚ ਸਫਲਤਾਪੂਰਵਕ ਟ੍ਰਾਂਸਫਰ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਪੁਰਾਣੀ ਕਾਪੀ ਨੂੰ ਡਾਟਾ ਰਿਕਵਰੀ ਦੀ ਸੰਭਾਵਨਾ ਤੋਂ ਬਿਨਾਂ ਮਿਟਾ ਦਿੱਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ। ਯੂਨੀਵਰਸਲ ਸਫਾਈ ਵਿਧੀ: ਵਿੰਡੋਜ਼/ਲੀਨਕਸ ਮੁਫਤ GUI ਸੌਫਟਵੇਅਰ ਲਈ ਸਾਫਟਵੇਅਰ ਬਲੀਚਬਿੱਟ.
ਤੇਜ਼ ਭਾਗ ਨੂੰ ਫਾਰਮੈਟ ਕਰੋ, ਜਿਸ 'ਤੇ ਡਾਟਾ ਨਸ਼ਟ ਕਰਨ ਦੀ ਲੋੜ ਹੈ (Gparted ਦੁਆਰਾ) ਬਲੀਚਬਿਟ ਨੂੰ ਲਾਂਚ ਕਰੋ, "ਖਾਲੀ ਥਾਂ ਸਾਫ਼ ਕਰੋ" ਚੁਣੋ - ਭਾਗ ਚੁਣੋ (GNU/Linux ਦੀ ਪਿਛਲੀ ਕਾਪੀ ਦੇ ਨਾਲ ਤੁਹਾਡਾ sdaX), ਉਤਾਰਨ ਦੀ ਪ੍ਰਕਿਰਿਆ ਸ਼ੁਰੂ ਹੋ ਜਾਵੇਗੀ। ਬਲੀਚਬਿਟ - ਇੱਕ ਪਾਸ ਵਿੱਚ ਡਿਸਕ ਨੂੰ ਪੂੰਝਦਾ ਹੈ - ਇਹ ਉਹ ਹੈ ਜੋ "ਸਾਨੂੰ ਚਾਹੀਦਾ ਹੈ", ਪਰ! ਇਹ ਕੇਵਲ ਸਿਧਾਂਤ ਵਿੱਚ ਕੰਮ ਕਰਦਾ ਹੈ ਜੇਕਰ ਤੁਸੀਂ ਡਿਸਕ ਨੂੰ ਫਾਰਮੈਟ ਕੀਤਾ ਹੈ ਅਤੇ ਇਸਨੂੰ BB v2.0 ਸੌਫਟਵੇਅਰ ਵਿੱਚ ਸਾਫ਼ ਕੀਤਾ ਹੈ।

ਧਿਆਨ ਦਿਓ! BB ਡਿਸਕ ਨੂੰ ਪੂੰਝਦਾ ਹੈ, ਮੈਟਾਡੇਟਾ ਛੱਡਦਾ ਹੈ; ਜਦੋਂ ਡਾਟਾ ਖਤਮ ਹੋ ਜਾਂਦਾ ਹੈ ਤਾਂ ਫਾਈਲ ਨਾਮ ਸੁਰੱਖਿਅਤ ਹੁੰਦੇ ਹਨ (Ccleaner - ਮੈਟਾਡੇਟਾ ਨਹੀਂ ਛੱਡਦਾ).

ਅਤੇ ਡੇਟਾ ਰਿਕਵਰੀ ਦੀ ਸੰਭਾਵਨਾ ਬਾਰੇ ਮਿੱਥ ਪੂਰੀ ਤਰ੍ਹਾਂ ਇੱਕ ਮਿੱਥ ਨਹੀਂ ਹੈ.Bleachbit V2.0-2 ਸਾਬਕਾ ਅਸਥਿਰ OS ਡੇਬੀਅਨ ਪੈਕੇਜ (ਅਤੇ ਕੋਈ ਹੋਰ ਸਮਾਨ ਸਾਫਟਵੇਅਰ: sfill; wipe-Nautilus - ਵੀ ਇਸ ਗੰਦੇ ਕਾਰੋਬਾਰ ਵਿੱਚ ਦੇਖਿਆ ਗਿਆ ਸੀ) ਅਸਲ ਵਿੱਚ ਇੱਕ ਗੰਭੀਰ ਬੱਗ ਸੀ: "ਫ੍ਰੀ ਸਪੇਸ ਕਲੀਅਰਿੰਗ" ਫੰਕਸ਼ਨ ਇਹ ਗਲਤ ਕੰਮ ਕਰਦਾ ਹੈ HDD/ਫਲੈਸ਼ ਡਰਾਈਵਾਂ 'ਤੇ (ntfs/ext4). ਇਸ ਕਿਸਮ ਦਾ ਸੌਫਟਵੇਅਰ, ਖਾਲੀ ਥਾਂ ਨੂੰ ਸਾਫ਼ ਕਰਨ ਵੇਲੇ, ਪੂਰੀ ਡਿਸਕ ਨੂੰ ਓਵਰਰਾਈਟ ਨਹੀਂ ਕਰਦਾ, ਜਿਵੇਂ ਕਿ ਬਹੁਤ ਸਾਰੇ ਉਪਭੋਗਤਾ ਸੋਚਦੇ ਹਨ। ਅਤੇ ਕੁਝ (ਬਹੁਤ ਸਾਰੇ) ਮਿਟਾਏ ਗਏ ਡੇਟਾ OS/ਸਾਫਟਵੇਅਰ ਇਸ ਡੇਟਾ ਨੂੰ ਗੈਰ-ਹਟਾਏ/ਉਪਭੋਗਤਾ ਡੇਟਾ ਦੇ ਤੌਰ ਤੇ ਮੰਨਦੇ ਹਨ ਅਤੇ "OSP" ਨੂੰ ਸਾਫ਼ ਕਰਦੇ ਸਮੇਂ ਇਹ ਇਹਨਾਂ ਫਾਈਲਾਂ ਨੂੰ ਛੱਡ ਦਿੰਦੇ ਹਨ। ਸਮੱਸਿਆ ਇਹ ਹੈ ਕਿ ਇੰਨੇ ਲੰਬੇ ਸਮੇਂ ਬਾਅਦ, ਡਿਸਕ ਨੂੰ ਸਾਫ਼ ਕਰਨਾ "ਮਿਟਾਈਆਂ ਗਈਆਂ ਫਾਈਲਾਂ" ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ ਡਿਸਕ ਨੂੰ ਪੂੰਝਣ ਦੇ 3+ ਪਾਸ ਹੋਣ ਤੋਂ ਬਾਅਦ ਵੀ।
ਬਲੀਚਬਿਟ 'ਤੇ GNU/Linux 'ਤੇ 2.0-2 ਫਾਈਲਾਂ ਅਤੇ ਡਾਇਰੈਕਟਰੀਆਂ ਨੂੰ ਸਥਾਈ ਤੌਰ 'ਤੇ ਮਿਟਾਉਣ ਦੇ ਫੰਕਸ਼ਨ ਭਰੋਸੇਯੋਗ ਢੰਗ ਨਾਲ ਕੰਮ ਕਰਦੇ ਹਨ, ਪਰ ਖਾਲੀ ਥਾਂ ਨੂੰ ਸਾਫ਼ ਨਹੀਂ ਕਰਦੇ। ਤੁਲਨਾ ਲਈ: CCleaner ਵਿੱਚ ਵਿੰਡੋਜ਼ ਉੱਤੇ "NTFs ਲਈ OSP" ਫੰਕਸ਼ਨ ਸਹੀ ਢੰਗ ਨਾਲ ਕੰਮ ਕਰਦਾ ਹੈ, ਅਤੇ ਰੱਬ ਅਸਲ ਵਿੱਚ ਮਿਟਾਏ ਗਏ ਡੇਟਾ ਨੂੰ ਪੜ੍ਹਨ ਦੇ ਯੋਗ ਨਹੀਂ ਹੋਵੇਗਾ।

ਅਤੇ ਇਸ ਲਈ, ਚੰਗੀ ਤਰ੍ਹਾਂ ਹਟਾਉਣ ਲਈ "ਸਮਝੌਤਾ" ਪੁਰਾਣਾ ਐਨਕ੍ਰਿਪਟਡ ਡੇਟਾ, ਬਲੀਚਬਿਟ ਨੂੰ ਇਸ ਡੇਟਾ ਤੱਕ ਸਿੱਧੀ ਪਹੁੰਚ ਦੀ ਲੋੜ ਹੈ, ਫਿਰ, "ਫਾਇਲਾਂ/ਡਾਇਰੈਕਟਰੀਆਂ ਨੂੰ ਸਥਾਈ ਤੌਰ 'ਤੇ ਮਿਟਾਓ" ਫੰਕਸ਼ਨ ਦੀ ਵਰਤੋਂ ਕਰੋ।
ਵਿੰਡੋਜ਼ ਵਿੱਚ "ਸਟੈਂਡਰਡ OS ਟੂਲਸ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਮਿਟਾਈਆਂ ਗਈਆਂ ਫਾਈਲਾਂ" ਨੂੰ ਹਟਾਉਣ ਲਈ, "OSP" ਫੰਕਸ਼ਨ ਨਾਲ CCleaner/BB ਦੀ ਵਰਤੋਂ ਕਰੋ। GNU/Linux ਵਿੱਚ ਇਸ ਸਮੱਸਿਆ ਉੱਤੇ (ਮਿਟਾਈਆਂ ਗਈਆਂ ਫਾਈਲਾਂ ਨੂੰ ਮਿਟਾਓ) ਤੁਹਾਨੂੰ ਆਪਣੇ ਆਪ ਅਭਿਆਸ ਕਰਨ ਦੀ ਲੋੜ ਹੈ (ਡੇਟਾ ਮਿਟਾਉਣਾ + ਇਸਨੂੰ ਰੀਸਟੋਰ ਕਰਨ ਦੀ ਇੱਕ ਸੁਤੰਤਰ ਕੋਸ਼ਿਸ਼ ਅਤੇ ਤੁਹਾਨੂੰ ਸੌਫਟਵੇਅਰ ਸੰਸਕਰਣ 'ਤੇ ਭਰੋਸਾ ਨਹੀਂ ਕਰਨਾ ਚਾਹੀਦਾ (ਜੇਕਰ ਬੁੱਕਮਾਰਕ ਨਹੀਂ, ਤਾਂ ਇੱਕ ਬੱਗ)), ਸਿਰਫ ਇਸ ਸਥਿਤੀ ਵਿੱਚ ਤੁਸੀਂ ਇਸ ਸਮੱਸਿਆ ਦੀ ਵਿਧੀ ਨੂੰ ਸਮਝਣ ਦੇ ਯੋਗ ਹੋਵੋਗੇ ਅਤੇ ਮਿਟਾਏ ਗਏ ਡੇਟਾ ਤੋਂ ਪੂਰੀ ਤਰ੍ਹਾਂ ਛੁਟਕਾਰਾ ਪਾ ਸਕੋਗੇ।

ਮੈਂ ਬਲੀਚਬਿਟ v3.0 ਦੀ ਜਾਂਚ ਨਹੀਂ ਕੀਤੀ ਹੈ, ਹੋ ਸਕਦਾ ਹੈ ਕਿ ਸਮੱਸਿਆ ਪਹਿਲਾਂ ਹੀ ਹੱਲ ਹੋ ਗਈ ਹੋਵੇ।
ਬਲੀਚਬਿਟ v2.0 ਇਮਾਨਦਾਰੀ ਨਾਲ ਕੰਮ ਕਰਦਾ ਹੈ।

ਇਸ ਪੜਾਅ 'ਤੇ, ਡਿਸਕ ਪੂੰਝਣਾ ਪੂਰਾ ਹੋ ਗਿਆ ਹੈ।

[E] ਐਨਕ੍ਰਿਪਟਡ OS ਦਾ ਯੂਨੀਵਰਸਲ ਬੈਕਅੱਪ

ਹਰੇਕ ਉਪਭੋਗਤਾ ਕੋਲ ਡੇਟਾ ਦਾ ਬੈਕਅੱਪ ਲੈਣ ਦਾ ਆਪਣਾ ਤਰੀਕਾ ਹੁੰਦਾ ਹੈ, ਪਰ ਏਨਕ੍ਰਿਪਟਡ ਸਿਸਟਮ OS ਡੇਟਾ ਨੂੰ ਕੰਮ ਲਈ ਥੋੜਾ ਵੱਖਰਾ ਤਰੀਕਾ ਚਾਹੀਦਾ ਹੈ। ਯੂਨੀਫਾਈਡ ਸੌਫਟਵੇਅਰ, ਜਿਵੇਂ ਕਿ ਕਲੋਨਜ਼ਿਲਾ ਅਤੇ ਸਮਾਨ ਸੌਫਟਵੇਅਰ, ਐਨਕ੍ਰਿਪਟਡ ਡੇਟਾ ਨਾਲ ਸਿੱਧੇ ਕੰਮ ਨਹੀਂ ਕਰ ਸਕਦੇ ਹਨ।

ਏਨਕ੍ਰਿਪਟਡ ਬਲਾਕ ਡਿਵਾਈਸਾਂ ਦਾ ਬੈਕਅੱਪ ਲੈਣ ਦੀ ਸਮੱਸਿਆ ਦਾ ਬਿਆਨ:

1. ਯੂਨੀਵਰਸਲਿਟੀ - ਵਿੰਡੋਜ਼/ਲੀਨਕਸ ਲਈ ਉਹੀ ਬੈਕਅੱਪ ਐਲਗੋਰਿਦਮ/ਸਾਫਟਵੇਅਰ;
2. ਵਾਧੂ ਸੌਫਟਵੇਅਰ ਡਾਊਨਲੋਡਾਂ ਦੀ ਲੋੜ ਤੋਂ ਬਿਨਾਂ ਕਿਸੇ ਵੀ ਲਾਈਵ USB GNU/Linux ਨਾਲ ਕੰਸੋਲ ਵਿੱਚ ਕੰਮ ਕਰਨ ਦੀ ਯੋਗਤਾ (ਪਰ ਫਿਰ ਵੀ GUI ਦੀ ਸਿਫ਼ਾਰਸ਼ ਕਰੋ);
3. ਬੈਕਅੱਪ ਕਾਪੀਆਂ ਦੀ ਸੁਰੱਖਿਆ - ਸਟੋਰ ਕੀਤੀਆਂ "ਚਿੱਤਰਾਂ" ਨੂੰ ਐਨਕ੍ਰਿਪਟਡ/ਪਾਸਵਰਡ-ਸੁਰੱਖਿਅਤ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ;
4. ਐਨਕ੍ਰਿਪਟਡ ਡੇਟਾ ਦਾ ਆਕਾਰ ਕਾਪੀ ਕੀਤੇ ਜਾ ਰਹੇ ਅਸਲ ਡੇਟਾ ਦੇ ਆਕਾਰ ਨਾਲ ਮੇਲ ਖਾਂਦਾ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ;
5. ਇੱਕ ਬੈਕਅੱਪ ਕਾਪੀ ਤੋਂ ਲੋੜੀਂਦੀਆਂ ਫਾਈਲਾਂ ਦੀ ਸੁਵਿਧਾਜਨਕ ਐਕਸਟਰੈਕਸ਼ਨ (ਪਹਿਲਾਂ ਪੂਰੇ ਭਾਗ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਕਰਨ ਦੀ ਕੋਈ ਲੋੜ ਨਹੀਂ)

ਉਦਾਹਰਨ ਲਈ, “dd” ਉਪਯੋਗਤਾ ਦੁਆਰਾ ਬੈਕਅੱਪ/ਰੀਸਟੋਰ ਕਰੋ

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

ਇਹ ਕੰਮ ਦੇ ਲਗਭਗ ਸਾਰੇ ਬਿੰਦੂਆਂ ਨਾਲ ਮੇਲ ਖਾਂਦਾ ਹੈ, ਪਰ ਬਿੰਦੂ 4 ਦੇ ਅਨੁਸਾਰ ਇਹ ਆਲੋਚਨਾ ਦਾ ਸਾਹਮਣਾ ਨਹੀਂ ਕਰਦਾ, ਕਿਉਂਕਿ ਇਹ ਖਾਲੀ ਥਾਂ ਸਮੇਤ ਪੂਰੇ ਡਿਸਕ ਭਾਗ ਦੀ ਨਕਲ ਕਰਦਾ ਹੈ - ਦਿਲਚਸਪ ਨਹੀਂ ਹੈ।

ਉਦਾਹਰਨ ਲਈ, ਆਰਕਾਈਵਰ [tar" | ਦੁਆਰਾ ਇੱਕ GNU/Linux ਬੈਕਅੱਪ gpg] ਸੁਵਿਧਾਜਨਕ ਹੈ, ਪਰ ਵਿੰਡੋਜ਼ ਬੈਕਅੱਪ ਲਈ ਤੁਹਾਨੂੰ ਕੋਈ ਹੋਰ ਹੱਲ ਲੱਭਣ ਦੀ ਲੋੜ ਹੈ - ਇਹ ਦਿਲਚਸਪ ਨਹੀਂ ਹੈ।

E1. ਯੂਨੀਵਰਸਲ ਵਿੰਡੋਜ਼/ਲੀਨਕਸ ਬੈਕਅੱਪ। ਲਿੰਕ rsync (Grsync)+VeraCrypt ਵਾਲੀਅਮਬੈਕਅੱਪ ਕਾਪੀ ਬਣਾਉਣ ਲਈ ਐਲਗੋਰਿਦਮ:

1. ਇੱਕ ਇਨਕ੍ਰਿਪਟਡ ਕੰਟੇਨਰ ਬਣਾਉਣਾ (ਵਾਲੀਅਮ/ਫਾਈਲ) OS ਲਈ VeraCrypt;
2. VeraCrypt ਕ੍ਰਿਪਟੋ ਕੰਟੇਨਰ ਵਿੱਚ Rsync ਸੌਫਟਵੇਅਰ ਦੀ ਵਰਤੋਂ ਕਰਕੇ OS ਨੂੰ ਟ੍ਰਾਂਸਫਰ/ਸਿੰਕਰੋਨਾਈਜ਼ ਕਰੋ;
3. ਜੇਕਰ ਲੋੜ ਹੋਵੇ, ਤਾਂ VeraCrypt ਵਾਲੀਅਮ ਨੂੰ www 'ਤੇ ਅੱਪਲੋਡ ਕਰਨਾ।

ਇੱਕ ਐਨਕ੍ਰਿਪਟਡ VeraCrypt ਕੰਟੇਨਰ ਬਣਾਉਣ ਦੀਆਂ ਆਪਣੀਆਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਹਨ:
ਇੱਕ ਗਤੀਸ਼ੀਲ ਵਾਲੀਅਮ ਬਣਾਉਣਾ (DT ਦੀ ਰਚਨਾ ਸਿਰਫ ਵਿੰਡੋਜ਼ ਵਿੱਚ ਉਪਲਬਧ ਹੈ, GNU/Linux ਵਿੱਚ ਵੀ ਵਰਤੀ ਜਾ ਸਕਦੀ ਹੈ);
ਇੱਕ ਨਿਯਮਤ ਵਾਲੀਅਮ ਬਣਾਉਣਾ, ਪਰ ਇੱਕ "ਪੈਰਾਨੋਇਡ ਅੱਖਰ" ਦੀ ਲੋੜ ਹੈ (ਡਿਵੈਲਪਰ ਦੇ ਅਨੁਸਾਰ) - ਕੰਟੇਨਰ ਫਾਰਮੈਟਿੰਗ.

ਵਿੰਡੋਜ਼ ਵਿੱਚ ਇੱਕ ਡਾਇਨਾਮਿਕ ਵਾਲੀਅਮ ਲਗਭਗ ਤੁਰੰਤ ਬਣਾਇਆ ਜਾਂਦਾ ਹੈ, ਪਰ ਜਦੋਂ GNU/Linux > VeraCrypt DT ਤੋਂ ਡੇਟਾ ਦੀ ਨਕਲ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਤਾਂ ਬੈਕਅੱਪ ਓਪਰੇਸ਼ਨ ਦੀ ਸਮੁੱਚੀ ਕਾਰਗੁਜ਼ਾਰੀ ਮਹੱਤਵਪੂਰਨ ਤੌਰ 'ਤੇ ਘੱਟ ਜਾਂਦੀ ਹੈ।

ਇੱਕ ਨਿਯਮਤ 70 GB Twofish ਵਾਲੀਅਮ ਬਣਾਇਆ ਗਿਆ ਹੈ (ਆਓ ਬਸ ਕਹੀਏ, ਔਸਤ ਪੀਸੀ ਪਾਵਰ 'ਤੇ) ਅੱਧੇ ਘੰਟੇ ਵਿੱਚ HDD ਤੱਕ (ਇੱਕ ਪਾਸ ਵਿੱਚ ਪੁਰਾਣੇ ਕੰਟੇਨਰ ਡੇਟਾ ਨੂੰ ਓਵਰਰਾਈਟ ਕਰਨਾ ਸੁਰੱਖਿਆ ਲੋੜਾਂ ਦੇ ਕਾਰਨ ਹੈ)। ਵੌਲਯੂਮ ਨੂੰ ਬਣਾਉਣ ਵੇਲੇ ਤੇਜ਼ੀ ਨਾਲ ਫਾਰਮੈਟ ਕਰਨ ਦੇ ਕਾਰਜ ਨੂੰ VeraCrypt ਵਿੰਡੋਜ਼/ਲੀਨਕਸ ਤੋਂ ਹਟਾ ਦਿੱਤਾ ਗਿਆ ਹੈ, ਇਸਲਈ ਇੱਕ ਕੰਟੇਨਰ ਬਣਾਉਣਾ ਸਿਰਫ "ਵਨ-ਪਾਸ ਰੀਰਾਈਟਿੰਗ" ਜਾਂ ਘੱਟ-ਪ੍ਰਦਰਸ਼ਨ ਵਾਲੀ ਗਤੀਸ਼ੀਲ ਵਾਲੀਅਮ ਬਣਾਉਣ ਦੁਆਰਾ ਹੀ ਸੰਭਵ ਹੈ।

ਇੱਕ ਨਿਯਮਤ VeraCrypt ਵਾਲੀਅਮ ਬਣਾਓ (ਗਤੀਸ਼ੀਲ/ntfs ਨਹੀਂ), ਕੋਈ ਸਮੱਸਿਆ ਨਹੀਂ ਹੋਣੀ ਚਾਹੀਦੀ।

VeraCrypt GUI> GNU/Linux ਲਾਈਵ USB ਵਿੱਚ ਇੱਕ ਕੰਟੇਨਰ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰੋ/ਬਣਾਓ/ਖੋਲੋ (ਵਾਲੀਅਮ ਨੂੰ /media/veracrypt2 ਤੇ ਆਟੋਮਾਊਂਟ ਕੀਤਾ ਜਾਵੇਗਾ, ਵਿੰਡੋਜ਼ OS ਵਾਲੀਅਮ ਨੂੰ /media/veracrypt1 ਤੇ ਮਾਊਂਟ ਕੀਤਾ ਜਾਵੇਗਾ)। GUI rsync ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ Windows OS ਦਾ ਇੱਕ ਐਨਕ੍ਰਿਪਟਡ ਬੈਕਅੱਪ ਬਣਾਉਣਾ (grsync)ਬਕਸਿਆਂ ਦੀ ਜਾਂਚ ਕਰਕੇ।

ਪ੍ਰਕਿਰਿਆ ਦੇ ਪੂਰਾ ਹੋਣ ਦੀ ਉਡੀਕ ਕਰੋ। ਇੱਕ ਵਾਰ ਬੈਕਅੱਪ ਪੂਰਾ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਸਾਡੇ ਕੋਲ ਇੱਕ ਐਨਕ੍ਰਿਪਟਡ ਫਾਈਲ ਹੋਵੇਗੀ।

ਇਸੇ ਤਰ੍ਹਾਂ, rsync GUI ਵਿੱਚ “Windows ਅਨੁਕੂਲਤਾ” ਚੈਕਬਾਕਸ ਨੂੰ ਅਣਚੈਕ ਕਰਕੇ GNU/Linux OS ਦੀ ਇੱਕ ਬੈਕਅੱਪ ਕਾਪੀ ਬਣਾਓ।

ਧਿਆਨ ਦਿਓ! ਫਾਇਲ ਸਿਸਟਮ ਵਿੱਚ “GNU/Linux ਬੈਕਅੱਪ” ਲਈ ਇੱਕ Veracrypt ਕੰਟੇਨਰ ਬਣਾਓ ext4. ਜੇਕਰ ਤੁਸੀਂ ਇੱਕ ntfs ਕੰਟੇਨਰ ਵਿੱਚ ਬੈਕਅੱਪ ਬਣਾਉਂਦੇ ਹੋ, ਤਾਂ ਜਦੋਂ ਤੁਸੀਂ ਅਜਿਹੀ ਕਾਪੀ ਨੂੰ ਰੀਸਟੋਰ ਕਰਦੇ ਹੋ, ਤਾਂ ਤੁਸੀਂ ਆਪਣੇ ਸਾਰੇ ਡੇਟਾ ਦੇ ਸਾਰੇ ਅਧਿਕਾਰ/ਸਮੂਹ ਗੁਆ ਬੈਠੋਗੇ।

ਤੁਸੀਂ ਟਰਮੀਨਲ ਵਿੱਚ ਸਾਰੀਆਂ ਕਾਰਵਾਈਆਂ ਕਰ ਸਕਦੇ ਹੋ। rsync ਲਈ ਬੁਨਿਆਦੀ ਵਿਕਲਪ:
* -ਜੀ -ਸੇਵ ਗਰੁੱਪ;
* -ਪੀ —ਪ੍ਰਗਤੀ — ਫਾਈਲ 'ਤੇ ਕੰਮ ਕਰਨ ਵਿਚ ਬਿਤਾਏ ਸਮੇਂ ਦੀ ਸਥਿਤੀ;
* -H - ਹਾਰਡਲਿੰਕਸ ਦੀ ਨਕਲ ਜਿਵੇਂ ਹੈ;
* -a -ਪੁਰਾਲੇਖ ਮੋਡ (ਮਲਟੀਪਲ rlptgoD ਫਲੈਗ);
* -v -ਵਰਬਲਾਈਜ਼ੇਸ਼ਨ।

ਜੇਕਰ ਤੁਸੀਂ ਕ੍ਰਿਪਟਸੈੱਟਅਪ ਸੌਫਟਵੇਅਰ ਵਿੱਚ ਕੰਸੋਲ ਰਾਹੀਂ “Windows VeraCrypt ਵਾਲੀਅਮ” ਨੂੰ ਮਾਊਂਟ ਕਰਨਾ ਚਾਹੁੰਦੇ ਹੋ, ਤਾਂ ਤੁਸੀਂ ਇੱਕ ਉਪਨਾਮ (su) ਬਣਾ ਸਕਦੇ ਹੋ।

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

ਹੁਣ “veramount ਤਸਵੀਰ” ਕਮਾਂਡ ਤੁਹਾਨੂੰ ਇੱਕ ਗੁਪਤਕੋਡ ਦਰਜ ਕਰਨ ਲਈ ਕਹੇਗੀ, ਅਤੇ ਐਨਕ੍ਰਿਪਟਡ ਵਿੰਡੋਜ਼ ਸਿਸਟਮ ਵਾਲੀਅਮ ਨੂੰ OS ਵਿੱਚ ਮਾਊਂਟ ਕੀਤਾ ਜਾਵੇਗਾ।

ਕ੍ਰਿਪਟਸੈੱਟਅੱਪ ਕਮਾਂਡ ਵਿੱਚ ਮੈਪ/ਮਾਊਂਟ VeraCrypt ਸਿਸਟਮ ਵਾਲੀਅਮ

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

ਕ੍ਰਿਪਟਸੈੱਟਅੱਪ ਕਮਾਂਡ ਵਿੱਚ ਮੈਪ/ਮਾਊਂਟ VeraCrypt ਭਾਗ/ਕੰਟੇਨਰ

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

ਉਪਨਾਮ ਦੀ ਬਜਾਏ, ਅਸੀਂ ਵਿੰਡੋਜ਼ OS ਦੇ ਨਾਲ ਇੱਕ ਸਿਸਟਮ ਵਾਲੀਅਮ (ਸਟਾਰਟਅੱਪ ਲਈ ਇੱਕ ਸਕ੍ਰਿਪਟ) ਅਤੇ ਇੱਕ ਲਾਜ਼ੀਕਲ ਐਨਕ੍ਰਿਪਟਡ ntfs ਡਿਸਕ ਨੂੰ GNU/Linux ਸਟਾਰਟਅੱਪ ਵਿੱਚ ਜੋੜਾਂਗੇ।

ਇੱਕ ਸਕ੍ਰਿਪਟ ਬਣਾਓ ਅਤੇ ਇਸਨੂੰ ~/VeraOpen.sh ਵਿੱਚ ਸੇਵ ਕਰੋ

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

ਅਸੀਂ "ਸਹੀ" ਅਧਿਕਾਰਾਂ ਨੂੰ ਵੰਡਦੇ ਹਾਂ:

sudo chmod 100 /VeraOpen.sh

/etc/rc.local ਅਤੇ ~/etc/init.d/rc.local ਵਿੱਚ ਦੋ ਇੱਕੋ ਜਿਹੀਆਂ ਫਾਈਲਾਂ (ਇੱਕੋ ਨਾਮ!) ਬਣਾਓ
ਫਾਈਲਾਂ ਨੂੰ ਭਰਨਾ

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

ਅਸੀਂ "ਸਹੀ" ਅਧਿਕਾਰਾਂ ਨੂੰ ਵੰਡਦੇ ਹਾਂ:

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local 

ਬੱਸ, ਹੁਣ ਜਦੋਂ GNU/Linux ਨੂੰ ਲੋਡ ਕਰਦੇ ਹੋਏ ਸਾਨੂੰ ਐਨਕ੍ਰਿਪਟਡ ntfs ਡਿਸਕਾਂ ਨੂੰ ਮਾਊਂਟ ਕਰਨ ਲਈ ਪਾਸਵਰਡ ਦਾਖਲ ਕਰਨ ਦੀ ਲੋੜ ਨਹੀਂ ਹੈ, ਡਿਸਕਾਂ ਆਪਣੇ ਆਪ ਮਾਊਂਟ ਹੋ ਜਾਂਦੀਆਂ ਹਨ।

ਕਦਮ-ਦਰ-ਕਦਮ ਪੈਰੇ E1 ਵਿੱਚ ਉੱਪਰ ਦੱਸੇ ਗਏ ਬਾਰੇ ਸੰਖੇਪ ਵਿੱਚ ਇੱਕ ਨੋਟ (ਪਰ ਹੁਣ OS GNU/Linux ਲਈ)
1) Veracrypt [Cryptbox] ਵਿੱਚ fs ext4 > 4gb (ਫਾਈਲ ਲਈ) ਲੀਨਕਸ ਵਿੱਚ ਇੱਕ ਵਾਲੀਅਮ ਬਣਾਓ।
2) ਲਾਈਵ USB ਲਈ ਰੀਬੂਟ ਕਰੋ।
3) ~$ cryptsetup open /dev/sda7 Lunux #mapping ਐਨਕ੍ਰਿਪਟਡ ਭਾਗ।
4) ~$ mount /dev/mapper/Linux /mnt #ਇਨਕ੍ਰਿਪਟ ਕੀਤੇ ਭਾਗ ਨੂੰ /mnt 'ਤੇ ਮਾਊਂਟ ਕਰੋ।
5) ~$ mkdir mnt2 # ਭਵਿੱਖ ਦੇ ਬੈਕਅੱਪ ਲਈ ਡਾਇਰੈਕਟਰੀ ਬਣਾ ਰਿਹਾ ਹੈ।
6) ~$ ਕ੍ਰਿਪਟਸੈੱਟਅੱਪ ਓਪਨ —veracrypt —ਟਾਈਪ tcrypt ~/CryptoBox CryptoBox && mount /dev/mapper/CryptoBox /mnt2 # “CryptoBox” ਨਾਮਕ ਇੱਕ Veracrypt ਵਾਲੀਅਮ ਦਾ ਨਕਸ਼ਾ ਬਣਾਓ ਅਤੇ CryptoBox ਨੂੰ /mnt2 ਤੇ ਮਾਊਂਟ ਕਰੋ।
7) ~$ rsync -avlxhHX —ਪ੍ਰਗਤੀ /mnt /mnt2/ ਇੱਕ ਐਨਕ੍ਰਿਪਟਡ ਵੇਰਾਕ੍ਰਿਪਟ ਵਾਲੀਅਮ ਲਈ ਇੱਕ ਏਨਕ੍ਰਿਪਟ ਕੀਤੇ ਭਾਗ ਦਾ ਬੈਕਅੱਪ ਓਪਰੇਸ਼ਨ।

(p/s/ ਧਿਆਨ ਦਿਓ! ਜੇਕਰ ਤੁਸੀਂ ਏਨਕ੍ਰਿਪਟਡ GNU/Linux ਨੂੰ ਇੱਕ ਆਰਕੀਟੈਕਚਰ/ਮਸ਼ੀਨ ਤੋਂ ਦੂਜੀ ਵਿੱਚ ਟ੍ਰਾਂਸਫਰ ਕਰ ਰਹੇ ਹੋ, ਉਦਾਹਰਨ ਲਈ, Intel > AMD (ਭਾਵ, ਇੱਕ ਇਨਕ੍ਰਿਪਟਡ ਭਾਗ ਤੋਂ ਦੂਜੇ ਐਨਕ੍ਰਿਪਟਡ Intel > AMD ਭਾਗ ਵਿੱਚ ਬੈਕਅੱਪ ਲਗਾਉਣਾ), ਨਾ ਭੁੱਲੋ ਐਨਕ੍ਰਿਪਟਡ OS ਨੂੰ ਟ੍ਰਾਂਸਫਰ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਪਾਸਵਰਡ ਦੀ ਬਜਾਏ ਗੁਪਤ ਬਦਲੀ ਕੁੰਜੀ ਨੂੰ ਸੰਪਾਦਿਤ ਕਰੋ, ਹੋ ਸਕਦਾ ਹੈ। ਪਿਛਲੀ ਕੁੰਜੀ ~/etc/skey - ਹੁਣ ਕਿਸੇ ਹੋਰ ਇਨਕ੍ਰਿਪਟਡ ਭਾਗ ਨੂੰ ਫਿੱਟ ਨਹੀਂ ਕਰੇਗੀ, ਅਤੇ ਕ੍ਰੋਟ ਦੇ ਹੇਠਾਂ ਤੋਂ ਇੱਕ ਨਵੀਂ ਕੁੰਜੀ “cryptsetup luksAddKey” ਬਣਾਉਣ ਦੀ ਸਲਾਹ ਨਹੀਂ ਦਿੱਤੀ ਜਾਂਦੀ - ਇੱਕ ਗੜਬੜ ਸੰਭਵ ਹੈ, ਸਿਰਫ਼ ~/etc/crypttab ਵਿੱਚ ਇਸ ਦੀ ਬਜਾਏ ਨਿਰਧਾਰਤ ਕਰੋ "/etc/skey" ਅਸਥਾਈ ਤੌਰ 'ਤੇ "ਕੋਈ ਨਹੀਂ" ", ਰੀਬੋਟ ਕਰਨ ਅਤੇ OS ਵਿੱਚ ਲੌਗਇਨ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਆਪਣੀ ਗੁਪਤ ਵਾਈਲਡਕਾਰਡ ਕੁੰਜੀ ਨੂੰ ਦੁਬਾਰਾ ਬਣਾਓ)।

IT ਵੈਟਰਨਜ਼ ਦੇ ਤੌਰ 'ਤੇ, ਏਨਕ੍ਰਿਪਟ ਕੀਤੇ Windows/Linux OS ਭਾਗਾਂ ਦੇ ਸਿਰਲੇਖਾਂ ਦਾ ਵੱਖਰੇ ਤੌਰ 'ਤੇ ਬੈਕਅੱਪ ਬਣਾਉਣਾ ਯਾਦ ਰੱਖੋ, ਨਹੀਂ ਤਾਂ ਇਨਕ੍ਰਿਪਸ਼ਨ ਤੁਹਾਡੇ ਵਿਰੁੱਧ ਹੋ ਜਾਵੇਗੀ।
ਇਸ ਪੜਾਅ 'ਤੇ, ਐਨਕ੍ਰਿਪਟਡ OS ਦਾ ਬੈਕਅੱਪ ਪੂਰਾ ਹੋ ਗਿਆ ਹੈ।

[F] GRUB2 ਬੂਟਲੋਡਰ 'ਤੇ ਹਮਲਾ

ਵੇਰਵੇ ਵੇਖੋਜੇਕਰ ਤੁਸੀਂ ਆਪਣੇ ਬੂਟਲੋਡਰ ਨੂੰ ਡਿਜੀਟਲ ਦਸਤਖਤ ਅਤੇ/ਜਾਂ ਪ੍ਰਮਾਣਿਕਤਾ ਨਾਲ ਸੁਰੱਖਿਅਤ ਕੀਤਾ ਹੈ (ਪੁਆਇੰਟ C6 ਦੇਖੋ।), ਤਾਂ ਇਹ ਭੌਤਿਕ ਪਹੁੰਚ ਤੋਂ ਸੁਰੱਖਿਆ ਨਹੀਂ ਕਰੇਗਾ। ਐਨਕ੍ਰਿਪਟਡ ਡੇਟਾ ਅਜੇ ਵੀ ਪਹੁੰਚਯੋਗ ਨਹੀਂ ਹੋਵੇਗਾ, ਪਰ ਸੁਰੱਖਿਆ ਨੂੰ ਬਾਈਪਾਸ ਕੀਤਾ ਜਾਵੇਗਾ (ਡਿਜ਼ੀਟਲ ਹਸਤਾਖਰ ਸੁਰੱਖਿਆ ਨੂੰ ਰੀਸੈਟ ਕਰੋ) GRUB2 ਇੱਕ ਸਾਈਬਰ-ਖਲਨਾਇਕ ਨੂੰ ਬਿਨਾਂ ਸ਼ੱਕ ਦੇ ਬੂਟਲੋਡਰ ਵਿੱਚ ਆਪਣਾ ਕੋਡ ਇੰਜੈਕਟ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ (ਜਦੋਂ ਤੱਕ ਉਪਭੋਗਤਾ ਬੂਟਲੋਡਰ ਸਥਿਤੀ ਦੀ ਦਸਤੀ ਨਿਗਰਾਨੀ ਨਹੀਂ ਕਰਦਾ, ਜਾਂ grub.cfg ਲਈ ਆਪਣੇ ਖੁਦ ਦੇ ਆਰਬਿਟਰਰੀ-ਸਕ੍ਰਿਪਟ ਕੋਡ ਨਾਲ ਨਹੀਂ ਆਉਂਦਾ ਹੈ)।

ਹਮਲਾ ਐਲਗੋਰਿਦਮ। ਘੁਸਪੈਠੀਏ

* ਲਾਈਵ USB ਤੋਂ PC ਬੂਟ ਕਰਦਾ ਹੈ। ਕੋਈ ਵੀ ਤਬਦੀਲੀ (ਉਲੰਘਣਾ ਕਰਨ ਵਾਲਾ) ਫਾਈਲਾਂ ਪੀਸੀ ਦੇ ਅਸਲ ਮਾਲਕ ਨੂੰ ਬੂਟਲੋਡਰ ਵਿੱਚ ਘੁਸਪੈਠ ਬਾਰੇ ਸੂਚਿਤ ਕਰਨਗੀਆਂ। ਪਰ GRUB2 ਦੀ ਇੱਕ ਸਧਾਰਨ ਰੀਇੰਸਟਾਲੇਸ਼ਨ grub.cfg ਨੂੰ ਰੱਖਦੇ ਹੋਏ (ਅਤੇ ਇਸ ਨੂੰ ਸੰਪਾਦਿਤ ਕਰਨ ਦੀ ਬਾਅਦ ਦੀ ਯੋਗਤਾ) ਹਮਲਾਵਰ ਨੂੰ ਕਿਸੇ ਵੀ ਫਾਈਲਾਂ ਨੂੰ ਸੰਪਾਦਿਤ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦੇਵੇਗਾ (ਇਸ ਸਥਿਤੀ ਵਿੱਚ, GRUB2 ਨੂੰ ਲੋਡ ਕਰਨ ਵੇਲੇ, ਅਸਲ ਉਪਭੋਗਤਾ ਨੂੰ ਸੂਚਿਤ ਨਹੀਂ ਕੀਤਾ ਜਾਵੇਗਾ। ਸਥਿਤੀ ਉਹੀ ਹੈ <0>)
* ਇੱਕ ਅਣਇੰਕ੍ਰਿਪਟਡ ਭਾਗ ਮਾਊਂਟ ਕਰਦਾ ਹੈ, ਸਟੋਰ ਕਰਦਾ ਹੈ “/mnt/boot/grub/grub.cfg”।
* ਬੂਟਲੋਡਰ ਨੂੰ ਮੁੜ ਸਥਾਪਿਤ ਕਰਦਾ ਹੈ (core.img ਚਿੱਤਰ ਤੋਂ "ਪਰਸਕੀ" ਨੂੰ ਹਟਾਉਣਾ)

grub-install --force --root-directory=/mnt /dev/sda6

* “grub.cfg” > “/mnt/boot/grub/grub.cfg” ਵਾਪਸ ਕਰਦਾ ਹੈ, ਲੋੜ ਪੈਣ 'ਤੇ ਇਸ ਨੂੰ ਸੰਪਾਦਿਤ ਕਰਦਾ ਹੈ, ਉਦਾਹਰਨ ਲਈ, “grub.cfg” ਵਿੱਚ ਲੋਡਰ ਮੋਡੀਊਲ ਵਾਲੇ ਫੋਲਡਰ ਵਿੱਚ ਆਪਣੇ ਮੋਡੀਊਲ “keylogger.mod” ਨੂੰ ਜੋੜਨਾ। > ਲਾਈਨ "insmod keylogger"। ਜਾਂ, ਉਦਾਹਰਨ ਲਈ, ਜੇ ਦੁਸ਼ਮਣ ਚਲਾਕ ਹੈ, ਤਾਂ GRUB2 ਨੂੰ ਮੁੜ ਸਥਾਪਿਤ ਕਰਨ ਤੋਂ ਬਾਅਦ (ਸਾਰੇ ਦਸਤਖਤ ਆਪਣੀ ਥਾਂ 'ਤੇ ਰਹਿੰਦੇ ਹਨ) ਇਹ "ਵਿਕਲਪ (-c) ਨਾਲ grub-mkimage" ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਮੁੱਖ GRUB2 ਚਿੱਤਰ ਬਣਾਉਂਦਾ ਹੈ। “-c” ਵਿਕਲਪ ਤੁਹਾਨੂੰ ਮੁੱਖ “grub.cfg” ਨੂੰ ਲੋਡ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਆਪਣੀ ਸੰਰਚਨਾ ਨੂੰ ਲੋਡ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦੇਵੇਗਾ। ਸੰਰਚਨਾ ਵਿੱਚ ਸਿਰਫ਼ ਇੱਕ ਲਾਈਨ ਸ਼ਾਮਲ ਹੋ ਸਕਦੀ ਹੈ: ਕਿਸੇ ਵੀ “modern.cfg” ਲਈ ਰੀਡਾਇਰੈਕਸ਼ਨ, ਮਿਕਸਡ, ਉਦਾਹਰਨ ਲਈ, ~400 ਫਾਈਲਾਂ ਨਾਲ (ਮੌਡਿਊਲ+ਦਸਤਖਤ) ਫੋਲਡਰ ਵਿੱਚ "/boot/grub/i386-pc"। ਇਸ ਸਥਿਤੀ ਵਿੱਚ, ਇੱਕ ਹਮਲਾਵਰ "/boot/grub/grub.cfg" ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕੀਤੇ ਬਿਨਾਂ ਆਰਬਿਟਰਰੀ ਕੋਡ ਅਤੇ ਲੋਡ ਮੋਡੀਊਲ ਪਾ ਸਕਦਾ ਹੈ, ਭਾਵੇਂ ਉਪਭੋਗਤਾ ਨੇ ਫਾਈਲ ਵਿੱਚ "ਹੈਸ਼ਸਮ" ਲਾਗੂ ਕੀਤਾ ਹੋਵੇ ਅਤੇ ਇਸਨੂੰ ਅਸਥਾਈ ਤੌਰ 'ਤੇ ਸਕ੍ਰੀਨ 'ਤੇ ਪ੍ਰਦਰਸ਼ਿਤ ਕੀਤਾ ਹੋਵੇ।
ਇੱਕ ਹਮਲਾਵਰ ਨੂੰ GRUB2 ਸੁਪਰਯੂਜ਼ਰ ਲੌਗਇਨ/ਪਾਸਵਰਡ ਹੈਕ ਕਰਨ ਦੀ ਲੋੜ ਨਹੀਂ ਹੋਵੇਗੀ; ਉਸਨੂੰ ਸਿਰਫ਼ ਲਾਈਨਾਂ ਦੀ ਨਕਲ ਕਰਨ ਦੀ ਲੋੜ ਹੋਵੇਗੀ (ਪ੍ਰਮਾਣਿਕਤਾ ਲਈ ਜ਼ਿੰਮੇਵਾਰ) ਤੁਹਾਡੇ "modern.cfg" ਲਈ "/boot/grub/grub.cfg"

ਸੁਪਰ ਉਪਭੋਗਤਾ = "ਰੂਟ" ਸੈੱਟ ਕਰੋ
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

ਅਤੇ PC ਮਾਲਕ ਨੂੰ ਅਜੇ ਵੀ GRUB2 ਸੁਪਰਯੂਜ਼ਰ ਵਜੋਂ ਪ੍ਰਮਾਣਿਤ ਕੀਤਾ ਜਾਵੇਗਾ।

ਚੇਨ ਲੋਡਿੰਗ (ਬੂਟਲੋਡਰ ਇੱਕ ਹੋਰ ਬੂਟਲੋਡਰ ਲੋਡ ਕਰਦਾ ਹੈ), ਜਿਵੇਂ ਕਿ ਮੈਂ ਉੱਪਰ ਲਿਖਿਆ ਹੈ, ਇਸਦਾ ਕੋਈ ਮਤਲਬ ਨਹੀਂ ਹੈ (ਇਹ ਇੱਕ ਵੱਖਰੇ ਉਦੇਸ਼ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ). ਐਨਕ੍ਰਿਪਟਡ ਬੂਟਲੋਡਰ BIOS ਦੇ ਕਾਰਨ ਲੋਡ ਨਹੀਂ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ (ਚੇਨ ਬੂਟ GRUB2 ਨੂੰ ਮੁੜ ਚਾਲੂ ਕਰਦਾ ਹੈ > ਏਨਕ੍ਰਿਪਟਡ GRUB2, ਗਲਤੀ!). ਹਾਲਾਂਕਿ, ਜੇਕਰ ਤੁਸੀਂ ਅਜੇ ਵੀ ਚੇਨ ਲੋਡਿੰਗ ਦੇ ਵਿਚਾਰ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋ, ਤਾਂ ਤੁਸੀਂ ਨਿਸ਼ਚਤ ਹੋ ਸਕਦੇ ਹੋ ਕਿ ਇਹ ਐਨਕ੍ਰਿਪਟਡ ਹੈ ਜੋ ਲੋਡ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ। (ਆਧੁਨਿਕ ਨਹੀਂ) "grub.cfg" ਇਨਕ੍ਰਿਪਟ ਕੀਤੇ ਭਾਗ ਤੋਂ। ਅਤੇ ਇਹ ਸੁਰੱਖਿਆ ਦੀ ਇੱਕ ਗਲਤ ਭਾਵਨਾ ਵੀ ਹੈ, ਕਿਉਂਕਿ ਹਰ ਚੀਜ਼ ਜੋ ਐਨਕ੍ਰਿਪਟਡ "grub.cfg" ਵਿੱਚ ਦਰਸਾਈ ਗਈ ਹੈ। (ਮੋਡਿਊਲ ਲੋਡਿੰਗ) ਉਹਨਾਂ ਮੌਡਿਊਲਾਂ ਨੂੰ ਜੋੜਦਾ ਹੈ ਜੋ ਗੈਰ-ਇਨਕ੍ਰਿਪਟਡ GRUB2 ਤੋਂ ਲੋਡ ਕੀਤੇ ਜਾਂਦੇ ਹਨ।

ਜੇਕਰ ਤੁਸੀਂ ਇਸਦੀ ਜਾਂਚ ਕਰਨਾ ਚਾਹੁੰਦੇ ਹੋ, ਤਾਂ ਇੱਕ ਹੋਰ ਭਾਗ sdaY ਨਿਰਧਾਰਤ/ਇਨਕ੍ਰਿਪਟ ਕਰੋ, GRUB2 ਨੂੰ ਇਸ ਵਿੱਚ ਕਾਪੀ ਕਰੋ (ਇੱਕ ਐਨਕ੍ਰਿਪਟਡ ਭਾਗ 'ਤੇ ਗਰਬ-ਇੰਸਟਾਲ ਓਪਰੇਸ਼ਨ ਸੰਭਵ ਨਹੀਂ ਹੈ) ਅਤੇ "grub.cfg" ਵਿੱਚ (ਅਨਕ੍ਰਿਪਟਡ ਸੰਰਚਨਾ) ਇਸ ਤਰ੍ਹਾਂ ਦੀਆਂ ਲਾਈਨਾਂ ਬਦਲੋ

ਮੇਨੂਐਂਟਰੀ 'GRUBx2' --class parrot --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
load_video
insmod gzio
ਜੇਕਰ [ x$grub_platform = xxen ]; ਫਿਰ insmod xzio; insmod lzopio; fi
insmod part_msdos
insmod cryptodisk
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
ਇਨਸਮੋਡ ਐਕਸਟ 2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
ਆਮ /boot/grub/grub.cfg
}

ਲਾਈਨਾਂ
* insmod - ਇੱਕ ਐਨਕ੍ਰਿਪਟਡ ਡਿਸਕ ਨਾਲ ਕੰਮ ਕਰਨ ਲਈ ਲੋੜੀਂਦੇ ਮੋਡੀਊਲ ਲੋਡ ਕਰਨਾ;
* GRUBx2 - GRUB2 ਬੂਟ ਮੇਨੂ ਵਿੱਚ ਪ੍ਰਦਰਸ਼ਿਤ ਲਾਈਨ ਦਾ ਨਾਮ;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -ਦੇਖੋ। fdisk -l (sda9);
* ਸੈਟ ਰੂਟ - ਰੂਟ ਸਥਾਪਿਤ ਕਰੋ;
* ਸਧਾਰਨ /boot/grub/grub.cfg - ਇੱਕ ਇਨਕ੍ਰਿਪਟਡ ਭਾਗ ਉੱਤੇ ਚੱਲਣਯੋਗ ਸੰਰਚਨਾ ਫਾਇਲ।

ਭਰੋਸਾ ਹੈ ਕਿ ਇਹ ਇਨਕ੍ਰਿਪਟਡ "grub.cfg" ਹੈ ਜੋ ਲੋਡ ਕੀਤਾ ਗਿਆ ਹੈ, GRUB ਮੀਨੂ ਵਿੱਚ ਲਾਈਨ "GRUBx2" ਦੀ ਚੋਣ ਕਰਦੇ ਸਮੇਂ ਪਾਸਵਰਡ ਦਰਜ ਕਰਨ/ਅਨਲਾਕ ਕਰਨ ਲਈ "sdaY" ਲਈ ਇੱਕ ਸਕਾਰਾਤਮਕ ਜਵਾਬ ਹੈ।

CLI ਵਿੱਚ ਕੰਮ ਕਰਦੇ ਸਮੇਂ, ਤਾਂ ਕਿ ਉਲਝਣ ਵਿੱਚ ਨਾ ਪਵੇ (ਅਤੇ ਜਾਂਚ ਕਰੋ ਕਿ ਕੀ "ਸੈੱਟ ਰੂਟ" ਵਾਤਾਵਰਣ ਵੇਰੀਏਬਲ ਕੰਮ ਕਰਦਾ ਹੈ), ਖਾਲੀ ਟੋਕਨ ਫਾਈਲਾਂ ਬਣਾਓ, ਉਦਾਹਰਨ ਲਈ, ਇਨਕ੍ਰਿਪਟਡ ਸੈਕਸ਼ਨ “/shifr_grub” ਵਿੱਚ, ਅਣ-ਇਨਕ੍ਰਿਪਟਡ ਭਾਗ “/noshifr_grub” ਵਿੱਚ। CLI ਵਿੱਚ ਜਾਂਚ ਕੀਤੀ ਜਾ ਰਹੀ ਹੈ

cat /Tab-Tab

ਜਿਵੇਂ ਕਿ ਉੱਪਰ ਦੱਸਿਆ ਗਿਆ ਹੈ, ਇਹ ਖਤਰਨਾਕ ਮੋਡੀਊਲ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਦੇ ਵਿਰੁੱਧ ਮਦਦ ਨਹੀਂ ਕਰੇਗਾ ਜੇਕਰ ਅਜਿਹੇ ਮੋਡੀਊਲ ਤੁਹਾਡੇ PC 'ਤੇ ਖਤਮ ਹੁੰਦੇ ਹਨ। ਉਦਾਹਰਨ ਲਈ, ਇੱਕ ਕੀਲੌਗਰ ਜੋ ਇੱਕ ਫਾਈਲ ਵਿੱਚ ਕੀਸਟ੍ਰੋਕ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਦੇ ਯੋਗ ਹੋਵੇਗਾ ਅਤੇ ਇਸਨੂੰ "~/i386" ਵਿੱਚ ਦੂਜੀਆਂ ਫਾਈਲਾਂ ਨਾਲ ਮਿਲਾਉਣ ਦੇ ਯੋਗ ਹੋਵੇਗਾ ਜਦੋਂ ਤੱਕ ਇਸਨੂੰ PC ਤੱਕ ਭੌਤਿਕ ਪਹੁੰਚ ਵਾਲੇ ਹਮਲਾਵਰ ਦੁਆਰਾ ਡਾਊਨਲੋਡ ਨਹੀਂ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।

ਇਹ ਪੁਸ਼ਟੀ ਕਰਨ ਦਾ ਸਭ ਤੋਂ ਆਸਾਨ ਤਰੀਕਾ ਹੈ ਕਿ ਡਿਜੀਟਲ ਦਸਤਖਤ ਸੁਰੱਖਿਆ ਸਰਗਰਮੀ ਨਾਲ ਕੰਮ ਕਰ ਰਹੀ ਹੈ (ਰੀਸੈਟ ਨਹੀਂ), ਅਤੇ ਕਿਸੇ ਨੇ ਬੂਟਲੋਡਰ 'ਤੇ ਹਮਲਾ ਨਹੀਂ ਕੀਤਾ ਹੈ, CLI ਵਿੱਚ ਕਮਾਂਡ ਦਿਓ

list_trusted

ਜਵਾਬ ਵਿੱਚ ਸਾਨੂੰ ਸਾਡੇ "ਪਰਸਕੀ" ਦੀ ਇੱਕ ਕਾਪੀ ਮਿਲਦੀ ਹੈ, ਜਾਂ ਜੇਕਰ ਸਾਡੇ 'ਤੇ ਹਮਲਾ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਤਾਂ ਸਾਨੂੰ ਕੁਝ ਨਹੀਂ ਮਿਲਦਾ (ਤੁਹਾਨੂੰ "ਸੈੱਟ ਚੈਕ_ਸਿਗਨੇਚਰ=ਇਨਫੋਰਸ" ਦੀ ਵੀ ਜਾਂਚ ਕਰਨ ਦੀ ਲੋੜ ਹੈ).
ਇਸ ਪਗ ਦਾ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਨੁਕਸਾਨ ਹੱਥੀਂ ਕਮਾਂਡਾਂ ਦਾਖਲ ਕਰਨਾ ਹੈ। ਜੇਕਰ ਤੁਸੀਂ ਇਸ ਕਮਾਂਡ ਨੂੰ “grub.cfg” ਵਿੱਚ ਜੋੜਦੇ ਹੋ ਅਤੇ ਡਿਜ਼ੀਟਲ ਦਸਤਖਤ ਨਾਲ ਸੰਰਚਨਾ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਦੇ ਹੋ, ਤਾਂ ਸਕਰੀਨ ਉੱਤੇ ਕੁੰਜੀ ਸਨੈਪਸ਼ਾਟ ਦੀ ਸ਼ੁਰੂਆਤੀ ਆਉਟਪੁੱਟ ਸਮੇਂ ਵਿੱਚ ਬਹੁਤ ਘੱਟ ਹੈ, ਅਤੇ ਤੁਹਾਡੇ ਕੋਲ GRUB2 ਲੋਡ ਕਰਨ ਤੋਂ ਬਾਅਦ ਆਉਟਪੁੱਟ ਦੇਖਣ ਲਈ ਸਮਾਂ ਨਹੀਂ ਹੋ ਸਕਦਾ ਹੈ। .
ਦਾਅਵਾ ਕਰਨ ਲਈ ਖਾਸ ਤੌਰ 'ਤੇ ਕੋਈ ਨਹੀਂ ਹੈ: ਉਸ ਵਿੱਚ ਡਿਵੈਲਪਰ ਦਸਤਾਵੇਜ਼ ਧਾਰਾ 18.2 ਅਧਿਕਾਰਤ ਤੌਰ 'ਤੇ ਘੋਸ਼ਣਾ ਕਰਦੀ ਹੈ

“ਧਿਆਨ ਦਿਓ ਕਿ GRUB ਪਾਸਵਰਡ ਸੁਰੱਖਿਆ ਦੇ ਨਾਲ ਵੀ, GRUB ਖੁਦ ਮਸ਼ੀਨ ਤੱਕ ਭੌਤਿਕ ਪਹੁੰਚ ਵਾਲੇ ਕਿਸੇ ਵਿਅਕਤੀ ਨੂੰ ਉਸ ਮਸ਼ੀਨ ਦੇ ਫਰਮਵੇਅਰ (ਜਿਵੇਂ, Coreboot ਜਾਂ BIOS) ਸੰਰਚਨਾ ਨੂੰ ਬਦਲਣ ਤੋਂ ਨਹੀਂ ਰੋਕ ਸਕਦਾ ਹੈ ਤਾਂ ਜੋ ਮਸ਼ੀਨ ਨੂੰ ਇੱਕ ਵੱਖਰੇ (ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ) ਡਿਵਾਈਸ ਤੋਂ ਬੂਟ ਕੀਤਾ ਜਾ ਸਕੇ। GRUB ਇੱਕ ਸੁਰੱਖਿਅਤ ਬੂਟ ਚੇਨ ਵਿੱਚ ਸਭ ਤੋਂ ਵਧੀਆ ਸਿਰਫ਼ ਇੱਕ ਲਿੰਕ ਹੈ।"

GRUB2 ਫੰਕਸ਼ਨਾਂ ਨਾਲ ਬਹੁਤ ਜ਼ਿਆਦਾ ਭਰਿਆ ਹੋਇਆ ਹੈ ਜੋ ਗਲਤ ਸੁਰੱਖਿਆ ਦੀ ਭਾਵਨਾ ਦੇ ਸਕਦਾ ਹੈ, ਅਤੇ ਇਸਦਾ ਵਿਕਾਸ ਪਹਿਲਾਂ ਹੀ ਕਾਰਜਸ਼ੀਲਤਾ ਦੇ ਮਾਮਲੇ ਵਿੱਚ MS-DOS ਨੂੰ ਪਛਾੜ ਚੁੱਕਾ ਹੈ, ਪਰ ਇਹ ਸਿਰਫ ਇੱਕ ਬੂਟਲੋਡਰ ਹੈ। ਇਹ ਮਜ਼ਾਕੀਆ ਗੱਲ ਹੈ ਕਿ GRUB2 - "ਕੱਲ੍ਹ" OS ਬਣ ਸਕਦਾ ਹੈ, ਅਤੇ ਇਸਦੇ ਲਈ ਬੂਟ ਹੋਣ ਯੋਗ GNU/Linux ਵਰਚੁਅਲ ਮਸ਼ੀਨਾਂ।

ਮੈਂ GRUB2 ਡਿਜ਼ੀਟਲ ਹਸਤਾਖਰ ਸੁਰੱਖਿਆ ਨੂੰ ਕਿਵੇਂ ਰੀਸੈਟ ਕਰਦਾ ਹਾਂ ਅਤੇ ਇੱਕ ਅਸਲੀ ਉਪਭੋਗਤਾ ਨੂੰ ਆਪਣੀ ਘੁਸਪੈਠ ਦੀ ਘੋਸ਼ਣਾ ਕਰਦਾ ਹਾਂ ਇਸ ਬਾਰੇ ਇੱਕ ਛੋਟਾ ਵੀਡੀਓ (ਮੈਂ ਤੁਹਾਨੂੰ ਡਰਾਇਆ, ਪਰ ਵੀਡੀਓ ਵਿੱਚ ਜੋ ਦਿਖਾਇਆ ਗਿਆ ਹੈ ਉਸ ਦੀ ਬਜਾਏ, ਤੁਸੀਂ ਗੈਰ-ਨੁਕਸਾਨ ਰਹਿਤ ਆਰਬਿਟਰੇਰੀ ਕੋਡ/.mod ਲਿਖ ਸਕਦੇ ਹੋ).

ਸਿੱਟਾ:

1) ਵਿੰਡੋਜ਼ ਲਈ ਬਲਾਕ ਸਿਸਟਮ ਐਨਕ੍ਰਿਪਸ਼ਨ ਨੂੰ ਲਾਗੂ ਕਰਨਾ ਆਸਾਨ ਹੈ, ਅਤੇ ਇੱਕ ਪਾਸਵਰਡ ਨਾਲ ਸੁਰੱਖਿਆ GNU/Linux ਬਲਾਕ ਸਿਸਟਮ ਐਨਕ੍ਰਿਪਸ਼ਨ ਦੇ ਨਾਲ ਕਈ ਪਾਸਵਰਡਾਂ ਨਾਲ ਸੁਰੱਖਿਆ ਨਾਲੋਂ ਵਧੇਰੇ ਸੁਵਿਧਾਜਨਕ ਹੈ, ਨਿਰਪੱਖ ਹੋਣ ਲਈ: ਬਾਅਦ ਵਾਲਾ ਸਵੈਚਾਲਤ ਹੈ।

2) ਮੈਂ ਲੇਖ ਨੂੰ ਢੁਕਵਾਂ ਅਤੇ ਵਿਸਤ੍ਰਿਤ ਲਿਖਿਆ ਹੈ ਆਸਾਨ ਇੱਕ ਘਰ ਦੀ ਮਸ਼ੀਨ 'ਤੇ ਫੁੱਲ-ਡਿਸਕ ਐਨਕ੍ਰਿਪਸ਼ਨ VeraCrypt/LUKS ਲਈ ਇੱਕ ਗਾਈਡ, ਜੋ ਕਿ RuNet (IMHO) ਵਿੱਚ ਹੁਣ ਤੱਕ ਸਭ ਤੋਂ ਵਧੀਆ ਹੈ। ਗਾਈਡ > 50k ਅੱਖਰ ਲੰਮੀ ਹੈ, ਇਸਲਈ ਇਸ ਵਿੱਚ ਕੁਝ ਦਿਲਚਸਪ ਅਧਿਆਵਾਂ ਸ਼ਾਮਲ ਨਹੀਂ ਹਨ: ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਰ ਜੋ ਅਲੋਪ ਹੋ ਜਾਂਦੇ ਹਨ/ਪਰਛਾਵੇਂ ਵਿੱਚ ਰੱਖਦੇ ਹਨ; ਇਸ ਤੱਥ ਬਾਰੇ ਕਿ ਵੱਖ-ਵੱਖ GNU/Linux ਕਿਤਾਬਾਂ ਵਿੱਚ ਉਹ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫੀ ਬਾਰੇ ਬਹੁਤ ਘੱਟ ਲਿਖਦੇ ਹਨ/ਨਹੀਂ ਲਿਖਦੇ ਹਨ; ਰਸ਼ੀਅਨ ਫੈਡਰੇਸ਼ਨ ਦੇ ਸੰਵਿਧਾਨ ਦੇ ਆਰਟੀਕਲ 51 ਬਾਰੇ; ਓ ਲਾਇਸੰਸਿੰਗ/ ਪਾਬੰਦੀ ਰਸ਼ੀਅਨ ਫੈਡਰੇਸ਼ਨ ਵਿੱਚ ਏਨਕ੍ਰਿਪਸ਼ਨ, ਤੁਹਾਨੂੰ "ਰੂਟ/ਬੂਟ" ਨੂੰ ਐਨਕ੍ਰਿਪਟ ਕਰਨ ਦੀ ਲੋੜ ਕਿਉਂ ਹੈ। ਗਾਈਡ ਕਾਫ਼ੀ ਵਿਆਪਕ ਹੈ, ਪਰ ਵਿਸਤ੍ਰਿਤ ਹੈ. (ਸਾਧਾਰਨ ਕਦਮਾਂ ਦਾ ਵਰਣਨ ਕਰਨਾ), ਬਦਲੇ ਵਿੱਚ, ਇਹ ਤੁਹਾਡਾ ਬਹੁਤ ਸਾਰਾ ਸਮਾਂ ਬਚਾਏਗਾ ਜਦੋਂ ਤੁਸੀਂ "ਅਸਲ ਇਨਕ੍ਰਿਪਸ਼ਨ" 'ਤੇ ਪਹੁੰਚ ਜਾਂਦੇ ਹੋ।

3) ਵਿੰਡੋਜ਼ 7 64 'ਤੇ ਪੂਰੀ ਡਿਸਕ ਐਨਕ੍ਰਿਪਸ਼ਨ ਕੀਤੀ ਗਈ ਸੀ; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.

4) 'ਤੇ ਸਫਲ ਹਮਲਾ ਕੀਤਾ ਉਸ ਦੇ GRUB2 ਬੂਟਲੋਡਰ।

5) ਟਿਊਟੋਰਿਅਲ ਨੂੰ CIS ਵਿੱਚ ਸਾਰੇ ਪਾਗਲ ਲੋਕਾਂ ਦੀ ਮਦਦ ਕਰਨ ਲਈ ਬਣਾਇਆ ਗਿਆ ਸੀ, ਜਿੱਥੇ ਵਿਧਾਨਿਕ ਪੱਧਰ 'ਤੇ ਐਨਕ੍ਰਿਪਸ਼ਨ ਨਾਲ ਕੰਮ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਹੈ। ਅਤੇ ਮੁੱਖ ਤੌਰ 'ਤੇ ਉਹਨਾਂ ਲਈ ਜੋ ਆਪਣੇ ਕੌਂਫਿਗਰ ਕੀਤੇ ਸਿਸਟਮਾਂ ਨੂੰ ਨਸ਼ਟ ਕੀਤੇ ਬਿਨਾਂ ਪੂਰੀ-ਡਿਸਕ ਇਨਕ੍ਰਿਪਸ਼ਨ ਨੂੰ ਰੋਲ ਆਊਟ ਕਰਨਾ ਚਾਹੁੰਦੇ ਹਨ।

6) ਮੇਰੇ ਮੈਨੂਅਲ ਨੂੰ ਦੁਬਾਰਾ ਕੰਮ ਕੀਤਾ ਅਤੇ ਅਪਡੇਟ ਕੀਤਾ, ਜੋ ਕਿ 2020 ਵਿੱਚ ਢੁਕਵਾਂ ਹੈ।

[ਜੀ] ਉਪਯੋਗੀ ਦਸਤਾਵੇਜ਼

1. TrueCrypt ਯੂਜ਼ਰ ਗਾਈਡ (ਫਰਵਰੀ 2012 RU)
2. VeraCrypt ਦਸਤਾਵੇਜ਼
3. /usr/share/doc/cryptsetup(-run) [ਸਥਾਨਕ ਸਰੋਤ] (ਕ੍ਰਿਪਟਸੈੱਟਅਪ ਦੀ ਵਰਤੋਂ ਕਰਕੇ GNU/Linux ਇਨਕ੍ਰਿਪਸ਼ਨ ਸਥਾਪਤ ਕਰਨ ਬਾਰੇ ਅਧਿਕਾਰਤ ਵਿਸਤ੍ਰਿਤ ਦਸਤਾਵੇਜ਼)
4. ਅਧਿਕਾਰਤ FAQ ਕ੍ਰਿਪਟਸੈੱਟਅਪ (ਕ੍ਰਿਪਟਸੈੱਟਅਪ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ GNU/Linux ਇਨਕ੍ਰਿਪਸ਼ਨ ਸਥਾਪਤ ਕਰਨ ਬਾਰੇ ਸੰਖੇਪ ਦਸਤਾਵੇਜ਼)
5. LUKS ਡਿਵਾਈਸ ਇਨਕ੍ਰਿਪਸ਼ਨ (archlinux ਦਸਤਾਵੇਜ਼)
6. ਕ੍ਰਿਪਟਸੈੱਟਅੱਪ ਸੰਟੈਕਸ ਦਾ ਵਿਸਤ੍ਰਿਤ ਵੇਰਵਾ (arch man page)
7. ਕ੍ਰਿਪਟਟੈਬ ਦਾ ਵਿਸਤ੍ਰਿਤ ਵੇਰਵਾ (arch man page)
8. ਅਧਿਕਾਰਤ GRUB2 ਦਸਤਾਵੇਜ਼.

ਟੈਗਸ: ਪੂਰੀ ਡਿਸਕ ਐਨਕ੍ਰਿਪਸ਼ਨ, ਭਾਗ ਐਨਕ੍ਰਿਪਸ਼ਨ, ਲੀਨਕਸ ਪੂਰੀ ਡਿਸਕ ਐਨਕ੍ਰਿਪਸ਼ਨ, LUKS1 ਪੂਰੀ ਸਿਸਟਮ ਇਨਕ੍ਰਿਪਸ਼ਨ।

ਸਿਰਫ਼ ਰਜਿਸਟਰਡ ਉਪਭੋਗਤਾ ਹੀ ਸਰਵੇਖਣ ਵਿੱਚ ਹਿੱਸਾ ਲੈ ਸਕਦੇ ਹਨ। ਸਾਈਨ - ਇਨ, ਤੁਹਾਡਾ ਸੁਆਗਤ ਹੈ.

ਕੀ ਤੁਸੀਂ ਐਨਕ੍ਰਿਪਟ ਕਰ ਰਹੇ ਹੋ?

• 17,1%ਮੈਂ ਉਹ ਸਭ ਕੁਝ ਐਨਕ੍ਰਿਪਟ ਕਰਦਾ ਹਾਂ ਜੋ ਮੈਂ ਕਰ ਸਕਦਾ ਹਾਂ। ਮੈਂ ਪਾਗਲ ਹਾਂ ।੧੪

• 34,2%ਮੈਂ ਸਿਰਫ਼ ਮਹੱਤਵਪੂਰਨ ਡੇਟਾ ਨੂੰ ਐਨਕ੍ਰਿਪਟ ਕਰਦਾ ਹਾਂ।28

• 14,6%ਕਦੇ ਮੈਂ ਐਨਕ੍ਰਿਪਟ ਕਰਦਾ ਹਾਂ, ਕਦੇ ਮੈਂ ਭੁੱਲ ਜਾਂਦਾ ਹਾਂ।12

• 34,2%ਨਹੀਂ, ਮੈਂ ਐਨਕ੍ਰਿਪਟ ਨਹੀਂ ਕਰਦਾ, ਇਹ ਅਸੁਵਿਧਾਜਨਕ ਅਤੇ ਮਹਿੰਗਾ ਹੈ।28

82 ਉਪਭੋਗਤਾਵਾਂ ਨੇ ਵੋਟ ਕੀਤਾ। 22 ਉਪਭੋਗਤਾ ਬਚੇ।

ਸਰੋਤ: www.habr.com