🥇Criptografia completa de disco de sistemas Windows Linux instalados. Inicialização múltipla criptografada

Guia próprio atualizado para criptografia de disco completo no RuNet V0.2.

Estratégia de caubói:

[A] O sistema Windows 7 bloqueia a criptografia do sistema instalado;
[B] Criptografia de bloco do sistema GNU/Linux (Debian) sistema instalado (incluindo /inicialização);
[C] Configuração GRUB2, proteção de bootloader com assinatura/autenticação/hashing digital;
[D] remoção – destruição de dados não criptografados;
[E] backup universal de sistema operacional criptografado;
[F] ataque <no item [C6]> alvo - bootloader GRUB2;
[G]documentação útil.

╭───Esquema da #sala 40# :
├──╼ Windows 7 instalado - criptografia completa do sistema, não oculta;
├──╼ GNU/Linux instalado (Distribuições Debian e derivadas) — criptografia completa do sistema, não oculta(/, incluindo /boot; troca);
├──╼ bootloaders independentes: o bootloader VeraCrypt está instalado no MBR, o bootloader GRUB2 está instalado na partição estendida;
├──╼não é necessária instalação/reinstalação do sistema operacional;
└──╼software criptográfico utilizado: VeraCrypt; Configuração de criptografia; GnuPG; Cavalo marinho; Hash profundo; GRUB2 é gratuito/gratuito.

O esquema acima resolve parcialmente o problema de “inicialização remota em uma unidade flash”, permite que você aproveite o sistema operacional Windows/Linux criptografado e troque dados através de um “canal criptografado” de um sistema operacional para outro.

Ordem de inicialização do PC (uma das opções):

ligar a máquina;
carregando o bootloader VeraCrypt (inserir a senha correta continuará a inicializar o Windows 7);
pressionar a tecla "Esc" carregará o bootloader GRUB2;
Carregador de inicialização GRUB2 (selecione distribuição/GNU/Linux/CLI), exigirá autenticação do superusuário GRUB2 <login/senha>;
após autenticação bem-sucedida e seleção da distribuição, você precisará inserir uma senha para desbloquear “/boot/initrd.img”;
depois de inserir senhas sem erros, o GRUB2 "exigirá" uma entrada de senha (terceiro, senha do BIOS ou senha da conta de usuário GNU/Linux – não considerar) para desbloquear e inicializar o sistema operacional GNU/Linux ou substituição automática de uma chave secreta (duas senhas + chave ou senha + chave);
uma intrusão externa na configuração do GRUB2 irá congelar o processo de inicialização do GNU/Linux.

Problemático? Ok, vamos automatizar os processos.

Ao particionar um disco rígido (tabela MBR) Um PC não pode ter mais de 4 partições principais, ou 3 principais e uma estendida, bem como uma área não alocada. Uma seção estendida, diferentemente da principal, pode conter subseções (unidades lógicas=partição estendida). Em outras palavras, a “partição estendida” no HDD substitui o LVM para a tarefa em questão: criptografia completa do sistema. Se o seu disco estiver dividido em 4 partições principais, você precisará usar lvm ou transformar (com formatação) seção do principal ao avançado, ou use sabiamente todas as quatro seções e deixe tudo como está, obtendo o resultado desejado. Mesmo se você tiver uma partição em seu disco, o Gparted irá ajudá-lo a particionar seu HDD (para seções adicionais) sem perda de dados, mas ainda com uma pequena penalidade por tais ações.

O esquema de layout do disco rígido, em relação ao qual todo o artigo será verbalizado, é apresentado na tabela a seguir.

Tabela (nº 1) de partições de 1 TB.

Você deveria ter algo semelhante também.
sda1 - partição principal nº 1 NTFS (criptografado);
sda2 - marcador de seção estendida;
sda6 - disco lógico (tem o bootloader GRUB2 instalado);
sda8 - swap (arquivo de troca criptografado/nem sempre);
sda9 - teste de disco lógico;
sda5 - disco lógico para curiosos;
sda7 - SO GNU/Linux (sistema operacional transferido para um disco lógico criptografado);
sda3 - partição principal nº 2 com sistema operacional Windows 7 (criptografado);
sda4 - seção principal nº 3 (continha GNU/Linux não criptografado, usado para backup/nem sempre).

[A] Criptografia de bloco do sistema Windows 7

A1. VeraCrypt

Carregando de Site Oficial, ou do espelho sourceforge versão de instalação do software criptográfico VeraCrypt (no momento da publicação do artigo v1.24-Update3, a versão portátil do VeraCrypt não é adequada para criptografia do sistema). Verifique a soma de verificação do software baixado

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

e compare o resultado com o CS postado no site do desenvolvedor VeraCrypt.

Se o software HashTab estiver instalado, é ainda mais fácil: RMB (Configuração VeraCrypt 1.24.exe)-properties - soma hash de arquivos.

Para verificar a assinatura do programa, o software e a chave pgp pública do desenvolvedor devem estar instalados no sistema gnuPG; gpg4win.

A2. Instalando/executando o software VeraCrypt com direitos de administrador

A3. Selecionando parâmetros de criptografia do sistema para a partição ativaVeraCrypt – Sistema – Criptografar partição/disco do sistema – Normal – Criptografar partição do sistema Windows – Inicialização múltipla – (aviso: “Usuários inexperientes não são recomendados a usar este método” e isso é verdade, concordamos “Sim”) – Disco de inicialização (“sim”, mesmo que não, ainda assim “sim”) – Número de discos do sistema “2 ou mais” – Vários sistemas em um disco “Sim” – Carregador de inicialização não Windows “Não” (na verdade, “Sim”, mas os carregadores de inicialização VeraCrypt/GRUB2 não compartilharão o MBR entre si; mais precisamente, apenas a menor parte do código do carregador de inicialização é armazenada na trilha de inicialização/MBR, a parte principal dele é localizado no sistema de arquivos) – Inicialização múltipla – Configurações de criptografia…

Se você se desviar das etapas acima (bloquear esquemas de criptografia do sistema), o VeraCrypt emitirá um aviso e não permitirá que você criptografe a partição.

Na próxima etapa em direção à proteção de dados direcionada, realize um “teste” e selecione um algoritmo de criptografia. Se você tiver uma CPU desatualizada, provavelmente o algoritmo de criptografia mais rápido será o Twofish. Se a CPU for poderosa, você notará a diferença: a criptografia AES, de acordo com os resultados dos testes, será várias vezes mais rápida que seus concorrentes criptográficos. AES é um algoritmo de criptografia popular; o hardware das CPUs modernas é especialmente otimizado tanto para “secreto” quanto para “hacking”.

VeraCrypt suporta a capacidade de criptografar discos em uma cascata AES(Dois peixes)/e outras combinações. Em uma CPU Intel antiga de dez anos atrás (sem suporte de hardware para criptografia em cascata AES, A/T) A diminuição do desempenho é essencialmente imperceptível. (para CPUs AMD da mesma época/~parâmetros, o desempenho é ligeiramente reduzido). O sistema operacional funciona de forma dinâmica e o consumo de recursos para criptografia transparente é invisível. Em contraste, por exemplo, há uma diminuição notável no desempenho devido ao ambiente de desktop de teste instável instalado Mate v1.20.1 (ou v1.20.2 não me lembro exatamente) no GNU/Linux, ou devido ao funcionamento da rotina de telemetria no Windows7↑. Normalmente, usuários experientes realizam testes de desempenho de hardware antes da criptografia. Por exemplo, em Aida64/Sysbench/systemd-analyze a culpa é comparada com os resultados dos mesmos testes após a criptografia do sistema, refutando assim o mito de que “a criptografia do sistema é prejudicial”. A lentidão da máquina e os inconvenientes são perceptíveis ao fazer backup/restauração de dados criptografados, porque a operação de “backup de dados do sistema” em si não é medida em ms, e esses mesmos <descriptografar/criptografar em tempo real> são adicionados. Em última análise, cada usuário que tem permissão para mexer na criptografia equilibra o algoritmo de criptografia com a satisfação das tarefas em questão, seu nível de paranóia e facilidade de uso.

É melhor deixar o parâmetro PIM como padrão, para que ao carregar o sistema operacional você não precise inserir os valores exatos da iteração todas as vezes. VeraCrypt usa um grande número de iterações para criar um “hash realmente lento”. Um ataque a um “caracol criptográfico” usando o método de força bruta/tabelas arco-íris só faz sentido com uma senha curta e “simples” e a lista de caracteres pessoais da vítima. O preço a pagar pela força da senha é o atraso na digitação da senha correta ao carregar o sistema operacional. (montar volumes VeraCrypt em GNU/Linux é significativamente mais rápido).
Software gratuito para implementação de ataques de força bruta (extraia a senha do cabeçalho do disco VeraCrypt/LUKS) Hashcat. John, o Estripador, não sabe como “quebrar o Veracrypt” e, ao trabalhar com LUKS, não entende a criptografia Twofish.

Devido à força criptográfica dos algoritmos de criptografia, cypherpunks imparáveis estão desenvolvendo software com um vetor de ataque diferente. Por exemplo, extraindo metadados/chaves da RAM (inicialização a frio/ataque de acesso direto à memória), Existem softwares gratuitos e não livres especializados para esses fins.

Após a conclusão da configuração/geração de “metadados exclusivos” da partição ativa criptografada, o VeraCrypt se oferecerá para reiniciar o PC e testar a funcionalidade de seu bootloader. Após reiniciar/iniciar o Windows, o VeraCrypt será carregado em modo standby, resta apenas confirmar o processo de criptografia - Y.

Na etapa final da criptografia do sistema, o VeraCrypt oferecerá a criação de uma cópia de backup do cabeçalho da partição criptografada ativa na forma de “veracrypt Rescue Disk.iso” - isso deve ser feito - neste software tal operação é um requisito (no LUKS, como requisito - infelizmente é omitido, mas é enfatizado na documentação). O disco de resgate será útil para todos, e para alguns mais de uma vez. Perda (reescrita de cabeçalho/MBR) uma cópia de backup do cabeçalho negará permanentemente o acesso à partição descriptografada com sistema operacional Windows.

A4. Criando um USB/disco de resgate VeraCryptPor padrão, o VeraCrypt oferece a gravação de “~2-3 MB de metadados” em um CD, mas nem todas as pessoas têm discos ou unidades DWD-ROM, e criar uma unidade flash inicializável “disco de resgate VeraCrypt” será uma surpresa técnica para alguns: Rufus /GUIDd-ROSA ImageWriter e outros softwares semelhantes não serão capazes de lidar com a tarefa, porque além de copiar metadados offset para uma unidade flash inicializável, você precisa copiar/colar a imagem fora do sistema de arquivos da unidade USB, resumindo, copie corretamente o MBR/road para o chaveiro. Você pode criar uma unidade flash inicializável a partir do sistema operacional GNU/Linux usando o utilitário “dd”, observando este sinal.

Criar um disco de recuperação em um ambiente Windows é diferente. O desenvolvedor do VeraCrypt não incluiu a solução para este problema no oficial documentação por “disco de resgate”, mas propôs uma solução de uma forma diferente: ele postou software adicional para criar um “disco de resgate usb” para acesso gratuito em seu fórum VeraCrypt. O arquivista deste software para Windows está “criando disco de recuperação usb veracrypt”. Depois de salvar o disco de recuperação.iso, o processo de criptografia do sistema de blocos da partição ativa será iniciado. Durante a criptografia, a operação do sistema operacional não para, não é necessário reiniciar o PC. Após a conclusão da operação de criptografia, a partição ativa fica totalmente criptografada e pode ser usada. Se o gerenciador de inicialização VeraCrypt não aparecer quando você iniciar o PC e a operação de recuperação de cabeçalho não ajudar, verifique o sinalizador “boot”, ele deve estar configurado para a partição onde o Windows está presente (independentemente da criptografia e outro sistema operacional, consulte a tabela nº 1).
Isso completa a descrição da criptografia do sistema de blocos com sistema operacional Windows.

[B]LUKS. Criptografia GNU/Linux (~Debian) sistema operacional instalado. Algoritmo e etapas

Para criptografar uma distribuição Debian/derivada instalada, você precisa mapear a partição preparada para um dispositivo de bloco virtual, transferi-la para o disco GNU/Linux mapeado e instalar/configurar o GRUB2. Se você não possui um servidor bare metal e valoriza seu tempo, então você precisa usar a GUI, e a maioria dos comandos de terminal descritos abaixo devem ser executados no “modo Chuck-Norris”.

B1. Inicializando o PC a partir do live usb GNU/Linux

“Conduza um teste criptográfico para desempenho de hardware”

lscpu && сryptsetup benchmark

Se você for o feliz proprietário de um carro potente com suporte de hardware AES, os números serão parecidos com o lado direito do terminal; se você for um feliz proprietário, mas com hardware antigo, os números serão parecidos com o lado esquerdo.

B2. Particionamento de disco. montagem / formatação de disco lógico fs HDD para Ext4 (Gparted)

B2.1. Criando um cabeçalho de partição sda7 criptografadoDescreverei os nomes das partições, aqui e mais adiante, de acordo com minha tabela de partições postada acima. De acordo com o layout do seu disco, você deve substituir os nomes das partições.

Mapeamento de criptografia de unidade lógica (/dev/sda7 > /dev/mapper/sda7_crypt).
#Fácil criação de uma “partição LUKS-AES-XTS”

cryptsetup -v -y luksFormat /dev/sda7

Opções:

* luksFormat - inicialização do cabeçalho LUKS;
* -y -passphrase (não chave/arquivo);
* -v -verbalização (exibição de informações no terminal);
* /dev/sda7 – seu disco lógico da partição estendida (onde está planejado transferir/criptografar GNU/Linux).

Algoritmo de criptografia padrão <LUKS1: aes-xts-plain64, Chave: 256 bits, hash de cabeçalho LUKS: sha256, RNG: /dev/urandom> (depende da versão do cryptsetup).

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

Se não houver suporte de hardware para AES na CPU, a melhor escolha seria criar uma “partição LUKS-Twofish-XTS” estendida.

B2.2. Criação avançada de “partição LUKS-Twofish-XTS”

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

Opções:
* luksFormat - inicialização do cabeçalho LUKS;
* /dev/sda7 é o seu futuro disco lógico criptografado;
* -v verbalização;
* -y senha;
* -c selecione algoritmo de criptografia de dados;
* -s tamanho da chave de criptografia;
* -h algoritmo de hash/função criptográfica, RNG usado (--use-urandom) para gerar uma chave de criptografia/descriptografia exclusiva para o cabeçalho do disco lógico, uma chave de cabeçalho secundária (XTS); uma chave mestra exclusiva armazenada no cabeçalho do disco criptografado, uma chave XTS secundária, todos esses metadados e uma rotina de criptografia que, usando a chave mestra e a chave XTS secundária, criptografa/descriptografa quaisquer dados na partição (exceto título da seção) armazenado em aproximadamente 3 MB na partição do disco rígido selecionada.
* -i iterações em milissegundos, em vez de "quantidade" (o atraso no processamento da senha afeta o carregamento do sistema operacional e a força criptográfica das chaves). Para manter um equilíbrio de força criptográfica, com uma senha simples como “Russo” você precisa aumentar o valor -(i); com uma senha complexa como “?8dƱob/øfh” o valor pode ser diminuído.
* —use-urandom gerador de números aleatórios, gera chaves e salt.

Após mapear a seção sda7 > sda7_crypt (a operação é rápida, pois um cabeçalho criptografado é criado com aproximadamente 3 MB de metadados e isso é tudo), será necessário formatar e montar o sistema de arquivos sda7_crypt.

B2.3. Comparação

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

opções:
* abrir - corresponde à seção “com nome”;
* /dev/sda7 -disco lógico;
* sda7_crypt – mapeamento de nome usado para montar a partição criptografada ou inicializá-la quando o sistema operacional inicializa.

B2.4. Formatando o sistema de arquivos sda7_crypt para ext4. Montando um disco no sistema operacional(Nota: você não poderá trabalhar com uma partição criptografada no Gparted)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt

opções:
* -v -verbalização;
* -L - rótulo da unidade (que é exibido no Explorer entre outras unidades).

Em seguida, você deve montar o dispositivo de bloco criptografado virtual /dev/sda7_crypt no sistema

mount /dev/mapper/sda7_crypt /mnt

Trabalhar com arquivos na pasta /mnt criptografará/descriptografará automaticamente os dados em sda7.

É mais conveniente mapear e montar a partição no Explorer (GUI nautilus/caja), a partição já estará na lista de seleção de disco, tudo o que resta é inserir a senha para abrir/descriptografar o disco. O nome correspondente será selecionado automaticamente e não “sda7_crypt”, mas algo como /dev/mapper/Luks-xx-xx...

B2.5. Backup do cabeçalho do disco (cerca de 3 MB de metadados)Um dos mais importante operações que precisam ser feitas sem demora - uma cópia de backup do cabeçalho “sda7_crypt”. Se você substituir/danificar o cabeçalho (por exemplo, instalando GRUB2 na partição sda7, etc.), os dados criptografados serão completamente perdidos sem qualquer possibilidade de recuperá-los, pois será impossível gerar novamente as mesmas chaves; as chaves são criadas de forma única.

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

opções:
* luksHeaderBackup — comando header-backup-file -backup;
* luksHeaderRestore —comando header-backup-file -restore;
* ~/Backup_DebSHIFR – arquivo de backup;
* /dev/sda7 - partição cuja cópia de backup do cabeçalho de disco criptografado deve ser salva.
Nesta etapa, a <criação e edição da partição criptografada> está concluída.

B3. Portando o sistema operacional GNU/Linux (sda4) para uma partição criptografada (sda7)

Crie uma pasta /mnt2 (Nota - ainda estamos trabalhando com live usb, sda7_crypt está montado em /mnt), e monte nosso GNU/Linux em /mnt2, que precisa ser criptografado.

mkdir /mnt2
mount /dev/sda4 /mnt2

Realizamos a transferência correta do sistema operacional usando o software Rsync

rsync -avlxhHX --progress /mnt2/ /mnt

As opções de Rsync estão descritas no parágrafo E1.

Além disso, necessário desfragmentar uma partição de disco lógico

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

Estabeleça uma regra: faça e4defrag no GNU/LInux criptografado de vez em quando se você tiver um HDD.
A transferência e sincronização [GNU/Linux > GNU/Linux-encrypted] são concluídas nesta etapa.

ÀS 4. Configurando GNU/Linux em uma partição sda7 criptografada

Depois de transferir com sucesso o sistema operacional /dev/sda4 > /dev/sda7, você precisa fazer login no GNU/Linux na partição criptografada e realizar configurações adicionais (sem reiniciar o PC) em relação a um sistema criptografado. Ou seja, esteja em live usb, mas execute comandos “relativos à raiz do sistema operacional criptografado”. “chroot” irá simular uma situação semelhante. Para receber rapidamente informações sobre qual sistema operacional você está trabalhando atualmente (criptografado ou não, pois os dados em sda4 e sda7 estão sincronizados), dessincronize o sistema operacional. Crie em diretórios raiz (sda4/sda7_crypt) arquivos de marcadores vazios, por exemplo, /mnt/encryptedOS e /mnt2/decryptedOS. Verifique rapidamente em qual sistema operacional você está (inclusive para o futuro):

ls /<Tab-Tab>

B4.1. “Simulação de login em um sistema operacional criptografado”

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. Verificando se o trabalho é realizado em um sistema criptografado

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. Criando/configurando swap criptografado, editando crypttab/fstabComo o arquivo de troca é formatado toda vez que o sistema operacional é iniciado, não faz sentido criar e mapear a troca para um disco lógico agora e digitar comandos como no parágrafo B2.2. Para Swap, suas próprias chaves de criptografia temporárias serão geradas automaticamente a cada inicialização. Ciclo de vida das chaves swap: desmontagem/desmontagem da partição swap (+limpeza de RAM); ou reinicie o sistema operacional. Configurando swap, abrindo o arquivo responsável pela configuração dos dispositivos criptografados em bloco (análogo a um arquivo fstab, mas responsável pela criptografia).

nano /etc/crypttab

nós editamos

#"nome do destino" "dispositivo de origem" "arquivo de chave" "opções"
troca /dev/sda8 /dev/urandom troca,cipher=twofish-xts-plain64,size=512,hash=sha512

Opções
* swap - nome mapeado ao criptografar /dev/mapper/swap.
* /dev/sda8 - use sua partição lógica para swap.
* /dev/urandom - gerador de chaves de criptografia aleatórias para swap (a cada nova inicialização do sistema operacional, novas chaves são criadas). O gerador /dev/urandom é menos aleatório que /dev/random, afinal /dev/random é usado ao trabalhar em circunstâncias paranóicas perigosas. Ao carregar o sistema operacional, /dev/random retarda o carregamento por vários ± minutos (veja análise do systemd).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -a partição sabe que é swap e está formatada “de acordo”; Algoritmo de criptografia.

#Открываем и правим fstab
nano /etc/fstab

nós editamos

# swap estava em / dev / sda8 durante a instalação
/dev/mapper/swap nenhum swap sw 0 0

/dev/mapper/swap é o nome que foi definido no crypttab.

Troca criptografada alternativa
Se por algum motivo você não quiser desistir de uma partição inteira por um arquivo de troca, você pode seguir um caminho alternativo e melhor: criar um arquivo de troca em um arquivo em uma partição criptografada com o sistema operacional.

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

A configuração da partição swap está concluída.

B4.4. Configurando GNU/Linux criptografado (editando arquivos crypttab/fstab)O arquivo /etc/crypttab, conforme escrito acima, descreve dispositivos de bloco criptografados que são configurados durante a inicialização do sistema.

#правим /etc/crypttab 
nano /etc/crypttab

se você correspondeu à seção sda7>sda7_crypt como no parágrafo B2.1

# "nome do destino" "dispositivo de origem" "arquivo de chave" "opções"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

se você correspondeu à seção sda7>sda7_crypt como no parágrafo B2.2

# "nome do destino" "dispositivo de origem" "arquivo de chave" "opções"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

se você correspondeu à seção sda7>sda7_crypt como no parágrafo B2.1 ou B2.2, mas não deseja inserir novamente a senha para desbloquear e inicializar o sistema operacional, então em vez da senha você pode substituir uma chave secreta/arquivo aleatório

# "nome do destino" "dispositivo de origem" "arquivo de chave" "opções"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

descrição
* nenhum - informa que ao carregar o sistema operacional, é necessário inserir uma senha secreta para desbloquear o root.
* UUID - identificador de partição. Para descobrir seu ID, digite no terminal (lembre-se de que, a partir de agora, você estará trabalhando em um terminal em um ambiente chroot, e não em outro terminal USB ativo).

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

esta linha é visível ao solicitar blkid do terminal USB ativo com sda7_crypt montado).
Você pega o UUID do seu sdaX (não sdaX_crypt!, UUID sdaX_crypt - será deixado automaticamente ao gerar a configuração grub.cfg).
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks criptografia no modo avançado.
* /etc/skey - arquivo de chave secreta, que é inserido automaticamente para desbloquear a inicialização do sistema operacional (em vez de inserir a terceira senha). Você pode especificar qualquer arquivo de até 8 MB, mas os dados serão lidos <1 MB.

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7

Vai parecer algo assim:

(faça você mesmo e veja por si mesmo).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab contém informações descritivas sobre vários sistemas de arquivos.

#Правим /etc/fstab
nano /etc/fstab

# "sistema de arquivos" "ponto de montagem" "tipo" "opções" "dump" "passar"
# / estava em / dev / sda7 durante a instalação
/dev/mapper/sda7_crypt / erros ext4=remount-ro 0 1

opção
* /dev/mapper/sda7_crypt - o nome do mapeamento sda7>sda7_crypt, que é especificado no arquivo /etc/crypttab.
A configuração do crypttab/fstab está concluída.

B4.5. Editando arquivos de configuração. Momento chaveB4.5.1. Editando a configuração /etc/initramfs-tools/conf.d/resume

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

e comente (se existir) "#" linha "currículo". O arquivo deve estar completamente vazio.

B4.5.2. Editando a configuração /etc/initramfs-tools/conf.d/cryptsetup

nano /etc/initramfs-tools/conf.d/cryptsetup

deve combinar

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=sim
exportar CRYPTSETUP

B4.5.3. Editando a configuração do /etc/default/grub (esta configuração é responsável pela capacidade de gerar grub.cfg ao trabalhar com /boot criptografado)

nano /etc/default/grub

adicione a linha “GRUB_ENABLE_CRYPTODISK=y”
valor 'y', grub-mkconfig e grub-install verificarão unidades criptografadas e gerarão comandos adicionais necessários para acessá-los no momento da inicialização (insmods ).
deve haver uma semelhança

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || eco Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=fornecedor"
GRUB_CMDLINE_LINUX = "quiet splash noautomount"
GRUB_ENABLE_CRYPTODISK=y

B4.5.4. Editando a configuração /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

verifique se a linha comentou <#>.
No futuro (e mesmo agora este parâmetro não terá nenhum significado, mas às vezes interfere na atualização da imagem initrd.img).

B4.5.5. Editando a configuração /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

adicionar

KEYFILE_PATTERN=”/etc/skey”
UMASK=0077

Isto irá empacotar a chave secreta "skey" em initrd.img, a chave é necessária para desbloquear a raiz quando o sistema operacional inicializa (caso não queira digitar a senha novamente, a chave “skey” é substituída pelo carro).

B4.6. Atualizar /boot/initrd.img [versão]Para empacotar a chave secreta em initrd.img e aplicar correções de cryptsetup, atualize a imagem

update-initramfs -u -k all

ao atualizar initrd.img (como dizem “É possível, mas não é certo”) aparecerão avisos relacionados ao cryptsetup ou, por exemplo, uma notificação sobre a perda de módulos Nvidia - isso é normal. Após atualizar o arquivo, verifique se ele realmente foi atualizado, veja a hora (em relação ao ambiente chroot./boot/initrd.img). Atenção! antes de [update-initramfs -u -k all] certifique-se de verificar se o cryptsetup está aberto /dev/sda7 sda7_crypt - este é o nome que aparece em /etc/crypttab, caso contrário, após a reinicialização, ocorrerá um erro de busybox)
Nesta etapa, a configuração dos arquivos de configuração está concluída.

[C] Instalando e configurando GRUB2/Proteção

C1. Se necessário, formate a partição dedicada para o bootloader (uma partição precisa de pelo menos 20 MB)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. Monte /dev/sda6 em /mntEntão trabalhamos em chroot, então não haverá diretório /mnt2 na raiz e a pasta /mnt estará vazia.
monte a partição GRUB2

mount /dev/sda6 /mnt

Se você tiver uma versão mais antiga do GRUB2 instalada, no diretório /mnt/boot/grub/i-386-pc (outra plataforma é possível, por exemplo, não “i386-pc”) sem módulos criptográficos (resumindo, a pasta deve conter módulos, incluindo estes .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; subscription_test.mod), neste caso, o GRUB2 precisa ser agitado.

apt-get update
apt-get install grub2

Importante! Ao atualizar o pacote GRUB2 do repositório, quando questionado “sobre como escolher” onde instalar o bootloader, você deve recusar a instalação (motivo - tentativa de instalar o GRUB2 - em “MBR” ou em live usb). Caso contrário, você danificará o cabeçalho/carregador do VeraCrypt. Após atualizar os pacotes GRUB2 e cancelar a instalação, o carregador de boot deve ser instalado manualmente no disco lógico e não no MBR. Se o seu repositório tiver uma versão desatualizada do GRUB2, tente atualizar é do site oficial - não verifiquei (funcionou com os bootloaders GRUB 2.02 ~BetaX mais recentes).

C3. Instalando GRUB2 em uma partição estendida [sda6]Você deve ter uma partição montada [item C.2]

grub-install --force --root-directory=/mnt /dev/sda6

opções
* —force - instalação do bootloader, ignorando todos os avisos que quase sempre existem e bloqueando a instalação (sinalizador obrigatório).
* --root-directory - instalação do diretório para a raiz do sda6.
* /dev/sda6 - sua partição sdaХ (não perca o <espaço> entre /mnt /dev/sda6).

C4. Criando um arquivo de configuração [grub.cfg]Esqueça o comando "update-grub2" e use o comando completo de geração de arquivo de configuração

grub-mkconfig -o /mnt/boot/grub/grub.cfg

após concluir a geração/atualização do arquivo grub.cfg, o terminal de saída deve conter linha(s) com o sistema operacional encontrado no disco (“grub-mkconfig” provavelmente encontrará e selecionará o sistema operacional de um USB ativo, se você tiver uma unidade flash de inicialização múltipla com Windows 10 e um monte de distribuições ativas - isso é normal). Se o terminal estiver “vazio” e o arquivo “grub.cfg” não for gerado, então este é o mesmo caso quando há bugs GRUB no sistema (e provavelmente o carregador do branch de teste do repositório), reinstale o GRUB2 de fontes confiáveis.
A instalação da "configuração simples" e a configuração do GRUB2 estão concluídas.

C5. Teste de prova do sistema operacional GNU/Linux criptografadoConcluímos a missão criptográfica corretamente. Deixando com cuidado o GNU/Linux criptografado (sair do ambiente chroot).

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

Após reiniciar o PC, o bootloader VeraCrypt deve carregar.

*Inserir a senha da partição ativa iniciará o carregamento do Windows.
*Pressionar a tecla "Esc" transferirá o controle para o GRUB2, se você selecionar GNU/Linux criptografado - uma senha (sda7_crypt) será necessária para desbloquear /boot/initrd.img (se o grub2 escrever uuid "não encontrado" - este é um problema com o bootloader grub2, ele deve ser reinstalado, por exemplo, do branch/estável de teste etc.).

*Dependendo de como você configurou o sistema (ver parágrafo B4.4/4.5), após inserir a senha correta para desbloquear a imagem /boot/initrd.img, você precisará de uma senha para carregar o kernel/root do SO, ou o segredo a chave será automaticamente substituída por "skey", eliminando a necessidade de inserir novamente a senha.

(tela “substituição automática de chave secreta”).

*Em seguida, seguirá o processo familiar de carregar o GNU/Linux com autenticação de conta de usuário.

*Após autorização do usuário e login no sistema operacional, você precisa atualizar /boot/initrd.img novamente (ver B4.6).

update-initramfs -u -k all

E no caso de linhas extras no menu GRUB2 (da captação OS-m com live usb) livrar-se deles

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

Um rápido resumo da criptografia do sistema GNU/Linux:

GNU/Linuxinux é totalmente criptografado, incluindo /boot/kernel e initrd;
a chave secreta está empacotada em initrd.img;
esquema de autorização atual (inserindo a senha para desbloquear o initrd; senha/chave para inicializar o sistema operacional; senha para autorizar a conta Linux).

A criptografia do sistema "Configuração simples do GRUB2" da partição do bloco está concluída.

C6. Configuração avançada do GRUB2. Proteção de bootloader com assinatura digital + proteção de autenticaçãoGNU/Linux é completamente criptografado, mas o bootloader não pode ser criptografado - esta condição é ditada pelo BIOS. Por esta razão, uma inicialização criptografada encadeada do GRUB2 não é possível, mas uma inicialização encadeada simples é possível/disponível, mas do ponto de vista da segurança não é necessária [veja P. F].
Para o GRUB2 “vulnerável”, os desenvolvedores implementaram um algoritmo de proteção do bootloader de “assinatura/autenticação”.

Quando o bootloader é protegido por “sua própria assinatura digital”, a modificação externa de arquivos ou uma tentativa de carregar módulos adicionais neste bootloader fará com que o processo de inicialização seja bloqueado.
Ao proteger o bootloader com autenticação, para selecionar o carregamento de uma distribuição ou inserir comandos adicionais na CLI, você precisará inserir o login e a senha do superusuário GRUB2.

C6.1. Proteção de autenticação do bootloaderVerifique se você está trabalhando em um terminal em um sistema operacional criptografado

ls /<Tab-Tab> #обнаружить файл-маркер

crie uma senha de superusuário para autorização no GRUB2

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя.

Obtenha o hash da senha. Algo assim

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

monte a partição GRUB

mount /dev/sda6 /mnt

edite a configuração

nano -$ /mnt/boot/grub/grub.cfg

verifique na pesquisa de arquivos se não há sinalizadores em nenhum lugar em “grub.cfg” (“-unrestricted” “-user”,
adicione no final (antes da linha ### END /etc/grub.d/41_custom ###)
"definir superusuários = "root"
hash raiz password_pbkdf2."

Deveria ser algo assim

# Este arquivo fornece uma maneira fácil de adicionar entradas de menu personalizadas. Basta digitar o
# entradas de menu que você deseja adicionar após este comentário. Tenha cuidado para não mudar
# a linha 'exec tail' acima.
### END /etc/grub.d/40_custom ###

### COMEÇAR /etc/grub.d/41_custom ###
if [ -f ${diretório_config}/custom.cfg]; então
fonte ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; então
fonte $prefixo/custom.cfg;
fi
definir superusuários = "root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

Se você costuma usar o comando “grub-mkconfig -o /mnt/boot/grub/grub.cfg” e não deseja fazer alterações no grub.cfg todas as vezes, insira as linhas acima (Senha de login) no script do usuário GRUB na parte inferior

nano /etc/grub.d/41_custom

gato <<EOF
definir superusuários = "root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

Ao gerar a configuração “grub-mkconfig -o /mnt/boot/grub/grub.cfg”, as linhas responsáveis pela autenticação serão adicionadas automaticamente ao grub.cfg.
Esta etapa conclui a configuração da autenticação GRUB2.

C6.2. Proteção de bootloader com assinatura digitalPresume-se que você já tenha sua chave de criptografia pgp pessoal (ou crie essa chave). O sistema deverá possuir software criptográfico instalado: gnuPG; Cleópatra/GPA; Cavalo marinho. O software Crypto tornará sua vida muito mais fácil em todos esses assuntos. Seahorse - versão estável do pacote 3.14.0 (versões superiores, por exemplo, V3.20, estão com defeito e apresentam bugs significativos).

A chave PGP precisa ser gerada/iniciada/adicionada apenas no ambiente su!

Gerar chave de criptografia pessoal

gpg - -gen-key

Exporte sua chave

gpg --export -o ~/perskey

Monte o disco lógico no sistema operacional se ainda não estiver montado

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

limpe a partição GRUB2

rm -rf /mnt/

Instale o GRUB2 no sda6, colocando sua chave privada na imagem principal do GRUB “core.img”

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

opções
* --force - instala o bootloader, ignorando todos os avisos que sempre existem (sinalizador obrigatório).
* —modules="gcry_sha256 gcry_sha512 subscription_test gcry_dsa gcry_rsa" - instrui o GRUB2 a pré-carregar os módulos necessários quando o PC for inicializado.
* -k ~/perskey -caminho para a “chave PGP” (depois de colocar a chave na imagem, ela pode ser excluída).
* --root-directory -define o diretório de inicialização para a raiz do sda6
/dev/sda6 - sua partição sdaX.

Gerando/atualizando grub.cfg

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

Adicione a linha “trust /boot/grub/perskey” ao final do arquivo “grub.cfg” (forçar o uso da chave pgp.) Como instalamos o GRUB2 com um conjunto de módulos, incluindo o módulo de assinatura “signature_test.mod”, isso elimina a necessidade de adicionar comandos como “set check_signatures=enforce” à configuração.

Deveria ser algo assim (linhas finais no arquivo grub.cfg)

### COMEÇAR /etc/grub.d/41_custom ###
if [ -f ${diretório_config}/custom.cfg]; então
fonte ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; então
fonte $prefixo/custom.cfg;
fi
confiar em /boot/grub/perskey
definir superusuários = "root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

O caminho para “/boot/grub/perskey” não precisa ser apontado para uma partição de disco específica, por exemplo hd0,6; para o próprio bootloader, “root” é o caminho padrão da partição na qual o GRUB2 está instalado (veja definir podridão=..).

Assinando GRUB2 (todos os arquivos em todos os diretórios /GRUB) com sua chave “perskey”.
Uma solução simples sobre como assinar (para explorador nautilus/caja): instale a extensão “seahorse” para Explorer do repositório. Sua chave deve ser adicionada ao ambiente su.
Abra o Explorer com sudo “/mnt/boot” – RMB – sinal. Na tela fica assim

A chave em si é “/mnt/boot/grub/perskey” (copiar para o diretório grub) também deve ser assinado com sua própria assinatura. Verifique se as assinaturas do arquivo [*.sig] aparecem no diretório/subdiretórios.
Usando o método descrito acima, assine “/boot” (nosso kernel, initrd). Se o seu tempo vale alguma coisa, esse método elimina a necessidade de escrever um script bash para assinar “muitos arquivos”.

Para remover todas as assinaturas do bootloader (se algo deu errado)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

Para não assinar o bootloader após atualizar o sistema, congelamos todos os pacotes de atualização relacionados ao GRUB2.

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

Nesta etapa <proteger bootloader com assinatura digital> a configuração avançada do GRUB2 é concluída.

C6.3. Teste de prova do bootloader GRUB2, protegido por assinatura digital e autenticaçãoGRUB2. Ao selecionar qualquer distribuição GNU/Linux ou entrar na CLI (linha de comando) Será necessária autorização de superusuário. Depois de inserir o nome de usuário/senha corretos, você precisará da senha do initrd

Captura de tela da autenticação bem-sucedida do superusuário GRUB2.

Se você adulterar qualquer um dos arquivos GRUB2/fazer alterações no grub.cfg, ou excluir o arquivo/assinatura, ou carregar um module.mod malicioso, um aviso correspondente aparecerá. GRUB2 pausará o carregamento.

Captura de tela, uma tentativa de interferir no GRUB2 “de fora”.

Durante a inicialização "normal" "sem intrusão", o status do código de saída do sistema é "0". Portanto, não se sabe se a proteção funciona ou não (ou seja, “com ou sem proteção de assinatura do bootloader” durante o carregamento normal, o status é o mesmo “0” - isso é ruim).

Como verificar a proteção da assinatura digital?

Uma maneira inconveniente de verificar: falsificar/remover um módulo usado pelo GRUB2, por exemplo, remover a assinatura luks.mod.sig e obter um erro.

A maneira correta: vá para a CLI do bootloader e digite o comando

trust_list

Em resposta, você deverá receber uma impressão digital “perskey”; se o status for “0”, então a proteção de assinatura não funciona, verifique novamente o parágrafo C6.2.
Nesta etapa, a configuração avançada “Protegendo o GRUB2 com assinatura digital e autenticação” é concluída.

C7 Método alternativo de proteção do bootloader GRUB2 usando hashO método "Proteção/Autenticação do carregador de inicialização da CPU" descrito acima é um clássico. Devido às imperfeições do GRUB2, em condições paranóicas ele é suscetível a um ataque real, que darei a seguir no parágrafo [F]. Além disso, após atualizar o sistema operacional/kernel, o bootloader deve ser assinado novamente.

Protegendo o bootloader GRUB2 usando hash

Vantagens sobre os clássicos:

Maior nível de confiabilidade (o hash/verificação ocorre apenas a partir de um recurso local criptografado. Toda a partição alocada no GRUB2 é controlada para quaisquer alterações e todo o resto é criptografado; no esquema clássico com proteção/autenticação do carregador de CPU, apenas os arquivos são controlados, mas não gratuitos espaço, no qual “algo” algo sinistro” pode ser adicionado).
Registro criptografado (um log criptografado pessoal legível é adicionado ao esquema).
velocidade (a proteção/verificação de uma partição inteira alocada para GRUB2 ocorre quase instantaneamente).
Automação de todos os processos criptográficos.

Desvantagens sobre os clássicos.

Falsificação de assinatura (teoricamente, é possível encontrar uma determinada colisão de função hash).
Aumento do nível de dificuldade (em comparação com o clássico, são necessárias um pouco mais de habilidades no sistema operacional GNU/Linux).

Como funciona a ideia de hashing GRUB2/partição

A partição GRUB2 é “assinada”; quando o sistema operacional é inicializado, a partição do carregador de boot é verificada quanto à imutabilidade, seguida pelo login em um ambiente seguro (criptografado). Se o bootloader ou sua partição estiver comprometido, além do log de intrusão, será iniciado o seguinte:

Coisa.

Uma verificação semelhante ocorre quatro vezes ao dia, o que não carrega recursos do sistema.
Usando o comando “-$ check_GRUB”, uma verificação instantânea ocorre a qualquer momento sem registro, mas com saída de informações para a CLI.
Usando o comando “-$ sudo subscription_GRUB”, o carregador/partição de boot GRUB2 é instantaneamente assinado novamente e seu log atualizado (necessário após a atualização do sistema operacional/inicialização) e a vida continua.

Implementação de um método hash para o bootloader e sua seção

0) Vamos assinar o bootloader/partição GRUB montando-o primeiro em /media/username

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) Criamos um script sem extensão na raiz do sistema operacional criptografado ~/podpis, aplicamos a ele os direitos de segurança 744 necessários e proteção infalível.

Preenchendo seu conteúdo

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

Execute o script de su, o hash da partição GRUB e seu bootloader serão verificados, salve o log.

Vamos criar ou copiar, por exemplo, um “arquivo malicioso” [virus.mod] para a partição GRUB2 e executar uma verificação/teste temporário:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

A CLI deve ver uma invasão da nossa -cidadela-#Log cortado na CLI

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

#Como você pode ver, “Arquivos movidos: 1 e auditoria falhou” aparece, o que significa que a verificação falhou.
Devido à natureza da partição que está sendo testada, em vez de “Novos arquivos encontrados” > “Arquivos movidos”

2) Coloque o gif aqui > ~/warning.gif, defina as permissões para 744.

3) Configurando o fstab para montar automaticamente a partição GRUB na inicialização

-$ sudo nano /etc/fstab

LABEL=GRUB /media/nomedeusuário/GRUB ext4 padrões 0 0

4) Girando o registro

-$ sudo nano /etc/logrotate.d/podpis

/var/log/podpis.txt {
diariamente
girar 50
tamanho 5M
próxima data
comprimir
compressão retardada
diretório antigo /var/log/antigo
}

/var/log/vtorjenie.txt {
mensal
girar 5
tamanho 5M
próxima data
diretório antigo /var/log/antigo
}

5) Adicione um trabalho ao cron

-$ sudo crontab -e

reinicialização '/inscrição'
0 */6 * * * '/podpis

6) Criando aliases permanentes

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

Após atualização do sistema operacional -$ apt-get upgrade assinar novamente nossa partição GRUB
-$ подпись_GRUB
Neste ponto, a proteção hash da partição GRUB está completa.

[D] Limpeza - destruição de dados não criptografados

Exclua seus arquivos pessoais tão completamente que “nem mesmo Deus possa lê-los”, segundo o porta-voz da Carolina do Sul, Trey Gowdy.

Como sempre, existem vários “mitos e lendas", sobre como restaurar dados após terem sido excluídos de um disco rígido. Se você acredita em feitiçaria cibernética ou é membro da comunidade Dr web e nunca tentou a recuperação de dados depois de terem sido excluídos/substituídos (por exemplo, recuperação usando R-studio), então é improvável que o método proposto seja adequado para você, use o que estiver mais próximo de você.

Após a transferência bem-sucedida do GNU/Linux para uma partição criptografada, a cópia antiga deve ser excluída sem a possibilidade de recuperação de dados. Método de limpeza universal: software para Windows/Linux software GUI gratuito BleachBit.
Быстро formatar a seção, cujos dados precisam ser destruídos (via Gparted) inicie o BleachBit, selecione “Limpar espaço livre” - selecione a partição (seu sdaX com uma cópia anterior do GNU/Linux), o processo de remoção será iniciado. BleachBit - limpa o disco de uma só vez - é disso que “precisamos”, mas! Isso só funciona em teoria se você formatou o disco e o limpou no software BB v2.0.

Atenção! BB limpa o disco, deixando metadados; nomes de arquivos são preservados quando os dados são eliminados (Ccleaner - não deixa metadados).

E o mito sobre a possibilidade de recuperação de dados não é inteiramente um mito.Bleachbit V2.0-2 antigo pacote Debian de sistema operacional instável (e qualquer outro software semelhante: sfill; limpe-Nautilus - também foram notados neste negócio sujo) na verdade, tinha um bug crítico: a função de "limpeza de espaço livre" funciona incorretamente em unidades HDD/Flash (ntfs/ext4). Softwares desse tipo, ao liberar espaço livre, não sobrescrevem todo o disco, como muitos usuários pensam. E alguns (Muito de) dados excluídos O SO/software considera esses dados como dados não excluídos/do usuário e, ao limpar o “OSP”, ignora esses arquivos. O problema é que depois de tanto tempo limpar o disco "arquivos excluídos" podem ser recuperados mesmo depois de mais de 3 passagens de limpeza do disco.
No GNU/Linux em Bleachbit 2.0-2 As funções de exclusão permanente de arquivos e diretórios funcionam de forma confiável, mas não liberam espaço livre. Para efeito de comparação: no Windows no CCleaner a função “OSP para NTFS” funciona corretamente e Deus realmente não será capaz de ler os dados excluídos.

E assim, para remover completamente "comprometedor" dados antigos não criptografados, Bleachbit precisa de acesso direto a esses dados, então, use a função “excluir arquivos/diretórios permanentemente”.
Para remover “arquivos excluídos usando ferramentas padrão do sistema operacional” no Windows, use CCleaner/BB com a função “OSP”. No GNU/Linux sobre este problema (excluir arquivos excluídos) você precisa praticar sozinho (exclusão de dados + uma tentativa independente de restaurá-los e você não deve confiar na versão do software (se não for um marcador, então um bug)), somente neste caso você será capaz de entender o mecanismo desse problema e se livrar completamente dos dados excluídos.

Não testei o Bleachbit v3.0, o problema pode já ter sido corrigido.
Bleachbit v2.0 funciona honestamente.

Nesta etapa, a limpeza do disco está concluída.

[E] Backup universal de sistema operacional criptografado

Cada usuário tem seu próprio método de backup de dados, mas os dados criptografados do sistema operacional exigem uma abordagem um pouco diferente para a tarefa. Softwares unificados, como Clonezilla e softwares similares, não podem funcionar diretamente com dados criptografados.

Declaração do problema de backup de dispositivos de bloco criptografados:

universalidade - o mesmo algoritmo/software de backup para Windows/Linux;
a capacidade de trabalhar no console com qualquer live usb GNU/Linux sem a necessidade de downloads de software adicionais (mas ainda recomendo GUI);
segurança das cópias de segurança - as “imagens” armazenadas devem ser criptografadas/protegidas por senha;
o tamanho dos dados criptografados deve corresponder ao tamanho dos dados reais que estão sendo copiados;
extração conveniente dos arquivos necessários de uma cópia de backup (não há necessidade de descriptografar a seção inteira primeiro).

Por exemplo, backup/restauração através do utilitário “dd”

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

Corresponde a quase todos os pontos da tarefa, mas de acordo com o ponto 4 não resiste a críticas, pois copia toda a partição do disco, inclusive o espaço livre - não é interessante.

Por exemplo, um backup GNU/Linux através do arquivador [tar" | gpg] é conveniente, mas para backup do Windows você precisa procurar outra solução - não é interessante.

E1. Backup universal para Windows/Linux. Link rsync (Grsync)+volume VeraCryptAlgoritmo para criar uma cópia de backup:

criando um contêiner criptografado (volume/arquivo) VeraCrypt para sistema operacional;
transferir/sincronizar o sistema operacional usando o software Rsync para o contêiner criptográfico VeraCrypt;
se necessário, enviando o volume VeraCrypt para www.

A criação de um contêiner VeraCrypt criptografado tem suas próprias características:
criando um volume dinâmico (a criação de DT está disponível apenas em Windows, também pode ser usada em GNU/Linux);
criando um volume regular, mas há a exigência de um “caráter paranóico” (de acordo com o desenvolvedor) – formatação de contêiner.

Um volume dinâmico é criado quase instantaneamente no Windows, mas ao copiar dados de GNU/Linux > VeraCrypt DT, o desempenho geral da operação de backup diminui significativamente.

Um volume Twofish normal de 70 GB é criado (digamos apenas, na potência média do PC) para HDD ~ em meia hora (a substituição dos dados do contêiner anterior em uma única passagem ocorre devido a requisitos de segurança). A função de formatar rapidamente um volume ao criá-lo foi removida do VeraCrypt Windows/Linux, portanto, a criação de um contêiner só é possível através de “reescrita em uma passagem” ou criação de um volume dinâmico de baixo desempenho.

Crie um volume VeraCrypt regular (não dinâmico/ntfs), não deve haver problemas.

Configure/crie/abra um contêiner na GUI VeraCrypt> GNU/Linux live usb (o volume será montado automaticamente em /media/veracrypt2, o volume do sistema operacional Windows será montado em /media/veracrypt1). Criando um backup criptografado do sistema operacional Windows usando GUI rsync (grsync)marcando as caixas.

Aguarde a conclusão do processo. Assim que o backup for concluído, teremos um arquivo criptografado.

Da mesma forma, crie uma cópia de backup do sistema operacional GNU/Linux desmarcando a caixa de seleção “Compatibilidade do Windows” na GUI do rsync.

Atenção! crie um contêiner Veracrypt para “backup GNU/Linux” no sistema de arquivos ext4. Se você fizer um backup em um contêiner NTFS, ao restaurar essa cópia, perderá todos os direitos/grupos de todos os seus dados.

Todas as operações podem ser realizadas no terminal. Opções básicas para rsync:
* -g -salvar grupos;
* -P —progress — status do tempo gasto trabalhando no arquivo;
* -H - copia hardlinks como estão;
* -a -modo de arquivo (vários sinalizadores rlptgoD);
* -v -verbalização.

Se você deseja montar um “volume Windows VeraCrypt” através do console no software cryptsetup, você pode criar um alias (su)

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

Agora, o comando “veramount images” solicitará que você insira uma senha e o volume criptografado do sistema Windows será montado no sistema operacional.

Mapear/montar o volume do sistema VeraCrypt no comando cryptsetup

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

Mapear/montar partição/contêiner VeraCrypt no comando cryptsetup

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

Em vez do alias, adicionaremos (um script para inicialização) um volume de sistema com sistema operacional Windows e um disco NTFS lógico criptografado para inicialização do GNU/Linux

Crie um script e salve-o em ~/VeraOpen.sh

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

Distribuímos os direitos “corretos”:

sudo chmod 100 /VeraOpen.sh

Crie dois arquivos idênticos (mesmo nome!) em /etc/rc.local e ~/etc/init.d/rc.local
Preenchendo os arquivos

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

Distribuímos os direitos “corretos”:

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local

É isso, agora ao carregar o GNU/Linux não precisamos inserir senhas para montar discos NTFS criptografados, os discos são montados automaticamente.

Uma breve nota sobre o que está descrito acima no parágrafo E1 passo a passo (mas agora para SO GNU/Linux)
1) Crie um volume em fs ext4 > 4gb (para arquivo) Linux em Veracrypt [Cryptbox].
2) Reinicie para USB ativo.
3) ~$ cryptsetup open /dev/sda7 Lunux #mapping partição criptografada.
4) ~$ mount /dev/mapper/Linux /mnt #monta a partição criptografada em /mnt.
5) ~$ mkdir mnt2 #criando um diretório para um backup futuro.
6) ~$ cryptsetup open —veracrypt —type tcrypt ~/CryptoBox CryptoBox && mount /dev/mapper/CryptoBox /mnt2 #Mapeie um volume Veracrypt chamado “CryptoBox” e monte o CryptoBox em /mnt2.
7) ~$ rsync -avlxhHX —progress /mnt /mnt2/ #operação de backup de uma partição criptografada para um volume Veracrypt criptografado.

(p/s/ Atenção! Se você estiver transferindo GNU/Linux criptografado de uma arquitetura/máquina para outra, por exemplo, Intel > AMD (ou seja, implantando um backup de uma partição criptografada para outra partição Intel > AMD criptografada), não esqueça Depois de transferir o sistema operacional criptografado, edite a chave substituta secreta em vez da senha, talvez. a chave anterior ~/etc/skey - não caberá mais em outra partição criptografada, e não é aconselhável criar uma nova chave “cryptsetup luksAddKey” em chroot - uma falha é possível, apenas em ~/etc/crypttab especifique em vez de “/etc/skey” temporariamente “none” ", após rebotar e fazer login no sistema operacional, recrie sua chave curinga secreta novamente).

Como veteranos de TI, lembrem-se de fazer backups separadamente dos cabeçalhos das partições criptografadas do sistema operacional Windows/Linux, ou a criptografia se voltará contra você.
Nesta etapa, o backup do sistema operacional criptografado é concluído.

[F] Ataque ao bootloader GRUB2

detalhesSe você protegeu seu bootloader com uma assinatura digital e/ou autenticação (ver ponto C6.), isso não protegerá contra acesso físico. Os dados criptografados ainda estarão inacessíveis, mas a proteção será ignorada (redefinir proteção de assinatura digital) GRUB2 permite que um cibervilão injete seu código no bootloader sem levantar suspeitas (a menos que o usuário monitore manualmente o estado do bootloader ou crie seu próprio código de script arbitrário robusto para grub.cfg).

Algoritmo de ataque. Intruso

* Inicializa o PC a partir do live usb. Qualquer mudança (infrator) arquivos notificarão o verdadeiro proprietário do PC sobre a intrusão no bootloader. Mas uma simples reinstalação do GRUB2 mantendo o grub.cfg (e a capacidade subsequente de editá-lo) permitirá que um invasor edite qualquer arquivo (nesta situação, ao carregar o GRUB2, o usuário real não será notificado. O status é o mesmo <0>)
* Monta uma partição não criptografada, armazena “/mnt/boot/grub/grub.cfg”.
*Reinstala o bootloader (removendo "perskey" da imagem core.img)

grub-install --force --root-directory=/mnt /dev/sda6

* Retorna “grub.cfg” > “/mnt/boot/grub/grub.cfg”, edita se necessário, por exemplo, adicionando seu módulo “keylogger.mod” à pasta com módulos do carregador, em “grub.cfg” > linha "insmod keylogger". Ou, por exemplo, se o inimigo for astuto, depois de reinstalar o GRUB2 (todas as assinaturas permanecem no lugar) ele constrói a imagem principal do GRUB2 usando "grub-mkimage com opção (-c)." A opção “-c” permitirá que você carregue sua configuração antes de carregar o “grub.cfg” principal. A configuração pode consistir em apenas uma linha: redirecionamento para qualquer “modern.cfg”, misturado, por exemplo, com ~400 arquivos (módulos+assinaturas) na pasta "/boot/grub/i386-pc". Nesse caso, um invasor pode inserir código arbitrário e carregar módulos sem afetar “/boot/grub/grub.cfg”, mesmo que o usuário tenha aplicado “hashsum” ao arquivo e o exibido temporariamente na tela.
Um invasor não precisará hackear o login/senha do superusuário GRUB2; ele apenas precisará copiar as linhas (responsável pela autenticação) "/boot/grub/grub.cfg" para o seu "modern.cfg"

definir superusuários = "root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

E o proprietário do PC ainda será autenticado como superusuário GRUB2.

Carregamento em cadeia (bootloader carrega outro bootloader), como escrevi acima, não faz sentido (destina-se a uma finalidade diferente). O bootloader criptografado não pode ser carregado devido ao BIOS (inicialização em cadeia reinicia GRUB2 > GRUB2 criptografado, erro!). Porém, se você ainda usa a ideia de carregamento em cadeia, pode ter certeza de que é o criptografado que está sendo carregado. (não modernizado) "grub.cfg" da partição criptografada. E isso também é uma falsa sensação de segurança, pois tudo o que está indicado no “grub.cfg” criptografado (carregamento do módulo) soma-se aos módulos que são carregados do GRUB2 não criptografado.

Se você quiser verificar isso, aloque/criptografe outra partição sdaY, copie GRUB2 para ela (a operação grub-install em uma partição criptografada não é possível) e em "grub.cfg" (configuração não criptografada) mudar linhas como estas

menuentry 'GRUBx2' --class parrot --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
carregar_vídeo
insmod gzio
se [ x$grub_platform = xxen ]; então insmod xzio; insmod lzopio; fi
insmod part_msdos
disco criptográfico insmod
luxo insmod
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
normal /boot/grub/grub.cfg
}

linhas
* insmod - carregando os módulos necessários para trabalhar com um disco criptografado;
* GRUBx2 - nome da linha exibida no menu de boot do GRUB2;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -veja. fdisk -l(sda9);
* definir root - instalar root;
* normal /boot/grub/grub.cfg - arquivo de configuração executável em uma partição criptografada.

A confiança de que é o “grub.cfg” criptografado que está carregado é uma resposta positiva à inserção da senha/desbloqueio “sdaY” ao selecionar a linha “GRUBx2” no menu GRUB.

Ao trabalhar na CLI, para não se confundir (e verifique se a variável de ambiente “set root” funcionou), crie arquivos de token vazios, por exemplo, na seção criptografada “/shifr_grub”, na seção não criptografada “/noshifr_grub”. Verificando na CLI

cat /Tab-Tab

Conforme observado acima, isso não ajudará no download de módulos maliciosos se tais módulos acabarem no seu PC. Por exemplo, um keylogger que será capaz de salvar as teclas digitadas em um arquivo e misturá-lo com outros arquivos em “~/i386” até que seja baixado por um invasor com acesso físico ao PC.

A maneira mais fácil de verificar se a proteção de assinatura digital está funcionando ativamente (não redefinido), e ninguém invadiu o bootloader, digite o comando na CLI

list_trusted

em resposta recebemos uma cópia do nosso “perskey”, ou não recebemos nada se formos atacados (você também precisa marcar "set check_signatures=enforce").
Uma desvantagem significativa desta etapa é inserir comandos manualmente. Se você adicionar este comando ao “grub.cfg” e proteger a configuração com uma assinatura digital, a saída preliminar do instantâneo da chave na tela terá um tempo muito curto e você poderá não ter tempo de ver a saída após carregar o GRUB2 .
Não há ninguém em particular a quem fazer reivindicações: o desenvolvedor em sua documentação a cláusula 18.2 declara oficialmente

“Observe que mesmo com a proteção por senha do GRUB, o próprio GRUB não pode impedir que alguém com acesso físico à máquina altere a configuração do firmware da máquina (por exemplo, Coreboot ou BIOS) para fazer com que a máquina inicialize a partir de um dispositivo diferente (controlado pelo invasor). GRUB é, na melhor das hipóteses, apenas um elo em uma cadeia de inicialização segura."

GRUB2 está muito sobrecarregado com funções que podem dar uma sensação de falsa segurança, e seu desenvolvimento já ultrapassou o MS-DOS em termos de funcionalidade, mas é apenas um gerenciador de inicialização. É engraçado que GRUB2 - "amanhã" possa se tornar o sistema operacional e máquinas virtuais GNU/Linux inicializáveis para ele.

Um breve vídeo sobre como redefini a proteção de assinatura digital do GRUB2 e declarei minha intrusão a um usuário real (Eu te assustei, mas em vez do que é mostrado no vídeo, você pode escrever um código arbitrário inofensivo/.mod).

Conclusões:

1) A criptografia do sistema de blocos para Windows é mais fácil de implementar, e a proteção com uma senha é mais conveniente do que a proteção com várias senhas com criptografia do sistema de blocos GNU/Linux, para ser justo: a última é automatizada.

2) Escrevi o artigo tão relevante e detalhado simples um guia para criptografia de disco completo VeraCrypt/LUKS em uma casa, a máquina, que é de longe a melhor em RuNet (IMHO). O guia tem mais de 50 mil caracteres, por isso não cobriu alguns capítulos interessantes: criptógrafos que desaparecem/mantêm-se nas sombras; sobre o fato de que em vários livros sobre GNU/Linux eles escrevem pouco/não escrevem sobre criptografia; sobre o Artigo 51 da Constituição da Federação Russa; Ó licenciamento/banimento criptografia na Federação Russa, sobre por que você precisa criptografar “root/boot”. O guia acabou sendo bastante extenso, mas detalhado. (descrevendo até mesmo etapas simples), por sua vez, isso economizará muito tempo quando você chegar à “criptografia real”.

3) A criptografia completa do disco foi realizada no Windows 7 64; Papagaio GNU/Linux 4x; GNU/Debian 9.0/9.5.

4) Implementou um ataque bem-sucedido em sua Carregador de inicialização GRUB2.

5) O tutorial foi criado para ajudar todos os paranóicos do CIS, onde trabalhar com criptografia é permitido em nível legislativo. E principalmente para aqueles que desejam implementar a criptografia completa de disco sem demolir seus sistemas configurados.

6) Reformulei e atualizei meu manual, que é relevante em 2020.

[G] Documentação útil

Guia do usuário TrueCrypt (Fevereiro de 2012 RU)
Documentação VeraCrypt
/usr/share/doc/cryptsetup(-run) [recurso local] (documentação oficial detalhada sobre como configurar a criptografia GNU/Linux usando cryptsetup)
FAQ oficial sobre configuração de criptografia (breve documentação sobre como configurar a criptografia GNU/Linux usando cryptsetup)
Criptografia de dispositivo LUKS (documentação do archlinux)
Descrição detalhada da sintaxe do cryptsetup (página de manual do arco)
Descrição detalhada do crypttab (página de manual do arco)
Documentação oficial do GRUB2.

Tags: criptografia completa de disco, criptografia de partição, criptografia completa de disco Linux, criptografia completa do sistema LUKS1.

Apenas usuários registrados podem participar da pesquisa. Entrarpor favor

Você está criptografando?

17,1%Criptografo tudo que posso. Estou paranóico.14
34,2%Eu criptografo apenas dados importantes.28
14,6%Às vezes criptografo, às vezes esqueço.12
34,2%Não, eu não criptografo, é inconveniente e caro.28

82 usuários votaram. 22 usuários se abstiveram.

Fonte: habr.com

Criptografia completa de disco de sistemas instalados Windows Linux. Inicialização múltipla criptografada