Criptare completă a discului Windows Linux sisteme instalate. Multi-boot criptat

Ghid propriu actualizat pentru criptarea întregului disc în RuNet V0.2.

Strategia de cowboy:

Cifrul sistemului bloc [Un] Windows 7 sisteme instalate;
[B] Cifrul sistemului de blocuri GNU/Linux (Debian) sistem instalat (inclusiv /boot);
[C] Configurare GRUB2, protecție bootloader cu semnătură digitală/autentificare/hashing;
[D] stripping—distrugerea datelor necriptate;
[E] copie de rezervă universală a sistemului de operare criptat;
[F] atac target - GRUB6 bootloader;
[G]documentație utilă.

╭───Schema #camera 40# :
├──╼ Windows 7 instalate - criptare completă a sistemului, nu ascunsă;
├──╼ GNU/Linux stabilit (Debian și distribuții derivate) — criptare completă a sistemului, nu ascunsă(/, inclusiv /boot; swap);
├──╼ bootloader independente: VeraCrypt bootloader este instalat în MBR, GRUB2 bootloader este instalat în partiția extinsă;
├──╼nu este necesară instalarea/reinstalarea sistemului de operare;
└──╼software criptografic utilizat: VeraCrypt; Cryptsetup; GnuPG; Calut de mare; Hashdeep; GRUB2 este gratuit/gratuit.

Schema descrisă mai sus rezolvă parțial problema „pornirii de la distanță pe o unitate flash” și vă permite să vă bucurați de un sistem de operare criptat. Windows/Linux și schimbă date printr-un „canal criptat” de la un sistem de operare la altul.

Ordinea de pornire a computerului (una dintre opțiuni):

• pornirea mașinii;
• încărcarea bootloader-ului VeraCrypt (introducerea parolei corecte va continua descărcarea) Windows 7);
• apăsarea tastei „Esc” va încărca încărcătorul de boot GRUB2;
• Încărcătorul de pornire GRUB2 (alegerea unei distribuții/ GNU/Linux/CLI), va necesita autentificarea superutilizatorului GRUB2 ;
• după autentificarea și selectarea cu succes a distribuției, va trebui să introduceți o expresie de acces pentru a debloca „/boot/initrd.img”;
• după introducerea parolelor fără erori, GRUB2 va „solicita” o introducere a parolei (a treia la rând, parola BIOS sau parola contului de utilizator GNU/Linux – nu se ia în considerare) pentru a debloca și a porni GNU/OSLinux, sau înlocuirea automată a cheii secrete (două parole + cheie sau parolă + cheie);
• Intruziunea externă în configurația GRUB2 va bloca GNU/Linux.

Deranjant? Ok, să automatizăm procesele.

Când partiționați un hard disk (tabel MBR) Un PC nu poate avea mai mult de 4 partiții principale, sau 3 principale și una extinsă, precum și o zonă nealocată. O secțiune extinsă, spre deosebire de cea principală, poate conține subsecțiuni (unități logice=partiție extinsă). Cu alte cuvinte, „partiția extinsă” de pe HDD înlocuiește LVM pentru sarcina în cauză: criptarea completă a sistemului. Dacă discul tău este împărțit în 4 partiții principale, trebuie să folosești lvm sau transform (cu formatare) secțiunea de la principal la avansat, sau folosiți cu înțelepciune toate cele patru secțiuni și lăsați totul așa cum este, obținând rezultatul dorit. Chiar dacă aveți o partiție pe disc, Gparted vă va ajuta să partizionați HDD-ul (pentru secțiuni suplimentare) fără pierderi de date, dar totuși cu o mică penalizare pentru astfel de acțiuni.

Schema de aspect al hard diskului, în raport cu care va fi verbalizat întregul articol, este prezentată în tabelul de mai jos.

Tabelul (nr. 1) cu partiții de 1TB.

Ar trebui sa ai si tu ceva asemanator.
sda1 - partiția principală nr. 1 NTFS (criptat);
sda2 - marcator de secțiune extinsă;
sda6 - disc logic (are instalat bootloader-ul GRUB2);
sda8 - swap (fișier swap criptat/nu întotdeauna);
sda9 - testul discului logic;
sda5 - disc logic pentru curioși;
sda7 — Sistem de operare GNU/Linux (sistem de operare transferat pe un disc logic criptat);
sda3 — partiția principală #2 cu sistemul de operare Windows 7 (criptat);
sda4 - secțiunea principală nr. 3 (conținea GNU/ necriptatLinux, folosit pentru backup/nu întotdeauna).

[A] Blocarea criptării sistemului Windows 7

A1. VeraCrypt

Se încarcă din site-ul oficial, sau din oglindă SourceForge versiunea de instalare a software-ului criptografic VeraCrypt (la momentul publicării articolului v1.24-Update3, versiunea portabilă a VeraCrypt nu este potrivită pentru criptarea sistemului). Verificați suma de verificare a software-ului descărcat

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

și comparați rezultatul cu CS postat pe site-ul web al dezvoltatorului VeraCrypt.

Dacă software-ul HashTab este instalat, este și mai ușor: RMB (VeraCrypt Setup 1.24.exe)-properties - suma hash de fișiere.

Pentru a verifica semnătura programului, software-ul și cheia publică pgp a dezvoltatorului trebuie să fie instalate pe sistem gnuPG; gpg4win.

A2. Instalarea/rularea software-ului VeraCrypt cu drepturi de administrator

A3. Selectarea parametrilor de criptare a sistemului pentru partiția activăVeraCrypt – Sistem – Criptare partiție/unitate sistem – Normal – Criptare partiție sistem Windows – Încărcare multiplă – (avertisment: „Nu se recomandă utilizatorilor fără experiență să folosească această metodă” și acest lucru este adevărat, suntem de acord cu „Da”) – Disc de pornire („da”, chiar dacă nu, totuși „da”) – Număr de discuri de sistem „2 sau mai multe” – Mai multe sisteme pe un singur disc „Da” – Nu Windows bootloader-ul „Nu” (de fapt, „Da”, dar încărcătoarele de pornire VeraCrypt/GRUB2 nu vor partaja MBR-ul între ele; mai precis, doar cea mai mică parte a codului încărctorului de pornire este stocată în pista MBR/boot, partea principală a acestuia este situat în sistemul de fișiere) – Multiboot – Setări de criptare…

Dacă devii de la pașii de mai sus (blocați schemele de criptare a sistemului), atunci VeraCrypt va emite un avertisment și nu vă va permite să criptați partiția.

În următorul pas către protecția direcționată a datelor, efectuați un „Test” și selectați un algoritm de criptare. Dacă aveți un procesor învechit, cel mai probabil cel mai rapid algoritm de criptare va fi Twofish. Dacă procesorul este puternic, vei observa diferența: criptarea AES, conform rezultatelor testelor, va fi de câteva ori mai rapidă decât concurenții săi cripto. AES este un algoritm de criptare popular; hardware-ul procesoarelor moderne este optimizat special atât pentru „secret”, cât și pentru „hacking”.

VeraCrypt acceptă capacitatea de a cripta discuri într-o cascadă AES(Doi pești)/si alte combinatii. Pe un procesor Intel de bază vechi de acum zece ani (fără suport hardware pentru AES, criptare în cascadă A/T) Scăderea performanței este în esență imperceptibilă. (pentru procesoarele AMD din aceeași epocă/~parametri, performanța este ușor redusă). Sistemul de operare funcționează dinamic, iar consumul de resurse pentru criptarea transparentă este invizibil. În contrast, de exemplu, există o scădere vizibilă a performanței din cauza mediului desktop de testare instabil instalat Mate v1.20.1 (sau v1.20.2 nu-mi amintesc exact) în GNU/Linux, sau datorită funcționării subrutinei de telemetrie din Windows7↑. Utilizatorii experimentați efectuează de obicei teste de performanță hardware înainte de criptare. De exemplu, în Aida64/Sysbench/systemd-analyze, aceștia compară rezultatele cu aceleași teste după criptarea sistemului, infirmând astfel mitul conform căruia „criptarea sistemului este dăunătoare”. Încetinirea și inconvenientele mașinii sunt observabile la copierea de rezervă/restaurarea datelor criptate, deoarece operațiunea de „copiere de rezervă a datelor sistemului” în sine nu este măsurată în milisecunde și sunt adăugate aceleași operațiuni de „decriptare/criptare din mers”. În cele din urmă, fiecare utilizator căruia i se permite să joace cu criptografia echilibrează algoritmul de criptare între nevoile sale, nivelul său de paranoia și ușurința în utilizare.

Este mai bine să lăsați parametrul PIM ca implicit, astfel încât atunci când încărcați sistemul de operare, nu trebuie să introduceți valorile exacte de iterație de fiecare dată. VeraCrypt folosește un număr mare de iterații pentru a crea un „hash lent”. Un atac asupra unui astfel de „melc criptografic” folosind metoda tabelelor de forță brută/curcubeu are sens numai cu o scurtă expresie de acces „simplu” și lista personală a seturilor de caractere a victimei. Prețul de plătit pentru puterea parolei este o întârziere în introducerea parolei corecte la încărcarea sistemului de operare. (montarea volumelor VeraCrypt în GNU/Linux — semnificativ mai rapid).
Software gratuit pentru implementarea atacurilor de forță brută (extrageți fraza de acces din antetul discului VeraCrypt/LUKS) Hashcat. John the Ripper nu știe cum să „sparge Veracrypt”, iar când lucrează cu LUKS nu înțelege criptografia Twofish.

Datorită puterii criptografice a algoritmilor de criptare, cypherpunks de neoprit dezvoltă software cu un vector de atac diferit. De exemplu, extragerea metadatelor/cheilor din RAM (atac de pornire la rece/acces direct la memorie), Există software specializat gratuit și non-gratuit în aceste scopuri.

După ce VeraCrypt a finalizat configurarea/generarea „metadatelor unice” pentru partiția activă criptată, vi se va solicita să reporniți PC-ul și să testați funcționalitatea bootloader-ului său. După repornire/pornire Windows, VeraCrypt se va încărca în modul standby, tot ce rămâne de făcut este să confirmați procesul de criptare - Y.

La pasul final al criptării sistemului, VeraCrypt va oferi să creeze o copie de rezervă a antetului partiției criptate active sub forma „veracrypt rescue disk.iso” - acest lucru trebuie făcut - în acest software o astfel de operație este o cerință (în LUKS, ca cerință - acest lucru este omis, din păcate, dar este subliniat în documentație). Discul de salvare va fi util pentru toată lumea și pentru unii de mai multe ori. Pierderi (antet/rescriere MBR) O copie de rezervă a antetului va refuza permanent accesul la partiția decriptată cu sistemul de operare. Windows.

A4. Crearea unui USB/disc de salvare VeraCryptÎn mod implicit, VeraCrypt oferă posibilitatea de a inscripționa „~2-3 MB de metadate” pe un CD, dar nu toată lumea are unități CD sau DVD-ROM, iar crearea unei unități flash bootabile „VeraCrypt Rescue Disk” va fi o surpriză tehnică pentru unii: Rufus/GUIdd-ROSA ImageWriter și alte programe similare nu vor putea gestiona această sarcină, deoarece pe lângă copierea metadatelor mutate pe unitatea flash bootabilă, trebuie să copiați/lipiți imaginea în afara sistemului de fișiere al unității USB - pe scurt, trebuie să copiați corect MBR-ul/calea pe unitatea flash. De sub sistemul de operare GNU/LinuxLinux Puteți crea o unitate flash bootabilă folosind utilitarul „dd”, consultând acest tabel.

Crearea unui disc de salvare în mediu Windows — altfel. Dezvoltatorul VeraCrypt nu a inclus soluția la această problemă în versiunea oficială documentație pe „discul de salvare”, dar a oferit o soluție diferită: a pus la dispoziție gratuit pe forumul său VeraCrypt un software suplimentar pentru crearea unui „disc de salvare USB”. Arhivistul acestui software Windows – „Creează disc de salvare USB Veracrypt”. După salvarea fișierului de salvare disk.iso, va începe procesul de criptare a sistemului bloc al partiției active. Sistemul de operare nu se oprește în timpul criptării și nu este necesară repornirea PC-ului. Odată ce procesul de criptare este finalizat, partiția activă este complet criptată și gata de utilizare. Dacă bootloader-ul VeraCrypt nu apare când porniți PC-ul și operațiunea de recuperare a antetului nu ajută, verificați indicatorul „boot”; acesta ar trebui să fie setat pe partiția care conține fișierul. Windows (indiferent de criptare și alte sisteme de operare, vezi tabelul nr. 1).
Aceasta este o descriere a criptării sistemului de blocuri cu sistemul de operare Windows terminat.

[B] LUKS. Criptare GNU/Linux (~Debian) OS instalat. Algoritm și pași

Pentru a cripta instalatul Debian/distribuție derivată, necesită maparea partiției pregătite la un dispozitiv bloc virtual și transferul acesteia pe discul GNU mapat/Linuxși instalați/configurați GRUB2. Dacă nu aveți un server barebone și vă prețuiți timpul, ar trebui să utilizați interfața grafică, iar majoritatea comenzilor de terminal descrise mai jos sunt destinate a fi introduse în „modul Chuck Norris”.

B1. Pornirea PC-ului de pe USB-ul live GNU/Linux

„Efectuați un test cripto pentru performanța hardware-ului”

lscpu && сryptsetup benchmark

Dacă sunteți fericitul proprietar al unei mașini puternice cu suport hardware AES, atunci numerele vor arăta ca partea dreaptă a terminalului; dacă sunteți un proprietar fericit, dar cu hardware antic, numerele vor arăta ca partea stângă.

B2. Partiționarea discului. montarea/formatarea discului logic fs HDD pe Ext4 (Gparted)

B2.1. Crearea unui antet de partiție sda7 criptatVoi descrie numele partițiilor, aici și mai departe, în conformitate cu tabelul meu de partiții postat mai sus. În funcție de aspectul discului, trebuie să înlocuiți numele partițiilor.

Maparea criptării unității logice (/dev/sda7 > /dev/mapper/sda7_crypt).
# Creare ușoară a unei „partiții LUKS-AES-XTS”

cryptsetup -v -y luksFormat /dev/sda7

Opțiuni:

* luksFormat - inițializarea antetului LUKS;
* -y -parola (nu cheie/fișier);
* -v -verbalizare (afisarea informatiilor in terminal);
* /dev/sda7 - discul dvs. logic din partiția extinsă (unde se preconizează transferul/criptarea/Linux).

Algoritm de criptare implicit <LUKS1: aes-xts-plain64, cheie: 256 de biți, hashing antet LUKS: sha256, RNG: /dev/urandom> (depinde de versiunea cryptsetup).

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

Dacă nu există suport hardware pentru AES pe CPU, cea mai bună alegere ar fi să creați o „partiție LUKS-Twofish-XTS” extinsă.

B2.2. Crearea avansată a „LUKS-Twofish-XTS-partition”

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

Opțiuni:
* luksFormat - inițializarea antetului LUKS;
* /dev/sda7 este viitorul tău disc logic criptat;
* -v verbalizare;
* expresie de acces -y;
* -c selectează algoritmul de criptare a datelor;
* -s dimensiunea cheii de criptare;
* -h algoritm de hashing/funcție cripto, RNG folosit (--use-urandom) pentru a genera o cheie unică de criptare/decriptare pentru antetul discului logic, o cheie de antet secundară (XTS); o cheie principală unică stocată în antetul discului criptat, o cheie XTS secundară, toate aceste metadate și o rutină de criptare care, folosind cheia principală și cheia secundară XTS, criptează/decriptează orice date de pe partiție (cu excepția titlului secțiunii) stocat în ~3MB pe partiția de hard disk selectată.
* -i iterații în milisecunde, în loc de „cantitate” (întârzierea la procesarea frazei de acces afectează încărcarea sistemului de operare și puterea criptografică a cheilor). Pentru a menține un echilibru al puterii criptografice, cu o parolă simplă precum „rusă” trebuie să creșteți valoarea -(i), cu o parolă complexă precum „?8dƱob/øfh” valoarea poate fi scăzută.
* —utilizați generatorul de numere aleatoare aleatoare, generează chei și sare.

După maparea secțiunii sda7 > sda7_crypt (operația este rapidă, deoarece un antet criptat este creat cu ~3 MB de metadate și atât), trebuie să formatați și să montați sistemul de fișiere sda7_crypt.

B2.3. Comparaţie

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

Opțiuni:
* deschide - potriviți secțiunea „cu nume”;
* /dev/sda7 -disc logic;
* sda7_crypt - maparea numelui care este utilizată pentru a monta partiția criptată sau pentru a o inițializa atunci când sistemul de operare pornește.

B2.4. Formatarea sistemului de fișiere sda7_crypt la ext4. Montarea unui disc în sistemul de operare(Notă: nu veți putea lucra cu o partiție criptată în Gparted)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt 

Opțiuni:
* -v -verbalizare;
* -L - eticheta unității (care este afișată în Explorer printre alte unități).

Apoi, ar trebui să montați dispozitivul bloc criptat virtual /dev/sda7_crypt pe sistem

mount /dev/mapper/sda7_crypt /mnt

Lucrul cu fișierele din folderul /mnt va cripta/decripta automat datele în sda7.

Este mai convenabil să mapați și să montați partiția în Explorer (nautilus/caja GUI), partiția va fi deja în lista de selecție a discului, tot ce rămâne este să introduceți fraza de acces pentru a deschide/decripta discul. Numele potrivit va fi selectat automat și nu „sda7_crypt”, ci ceva de genul /dev/mapper/Luks-xx-xx...

B2.5. Backup antet disc (~3MB metadate)Una dintre cele mai multe important operațiuni care trebuie făcute fără întârziere - o copie de rezervă a antetului „sda7_crypt”. Dacă suprascrieți/deteriorați antetul (de exemplu, instalarea GRUB2 pe partiția sda7 etc.), datele criptate se vor pierde complet fără nicio posibilitate de recuperare, deoarece va fi imposibil să se regenereze aceleași chei; cheile sunt create unic.

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7 

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

Opțiuni:
* luksHeaderBackup —comanda header-backup-file -backup;
* luksHeaderRestore —comanda header-backup-file -restore;
* ~/Backup_DebSHIFR - fișier de rezervă;
* /dev/sda7 - partiția a cărei copie de rezervă a antetului discului criptat urmează să fie salvată.
La acest pas, este finalizată.

B3. Portarea sistemului de operare GNU/Linux (sda4) la o partiție criptată (sda7)

Creați un folder /mnt2 (Notă - încă lucrăm cu usb live, sda7_crypt este montat la /mnt), și montăm GNU/-ul nostruLinux către /mnt2, care trebuie criptat.

mkdir /mnt2
mount /dev/sda4 /mnt2

Efectuăm transferul corect al sistemului de operare folosind software-ul Rsync

rsync -avlxhHX --progress /mnt2/ /mnt

Opțiunile Rsync sunt descrise în paragraful E1.

Mai mult, must defragmentați o partiție de disc logic

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

Faceți din aceasta o regulă: faceți e4defrag pe GNU/LINux criptat din când în când dacă aveți un HDD.
Transfer și sincronizare [GNU/Linux > GNU/Linux-criptat] la acest pas sunt finalizate.

B4. Configurarea GNU/Linux pe partiția criptată sda7

După transferul cu succes al sistemului de operare /dev/sda4 > /dev/sda7, trebuie să introduceți comanda GNU/Linux pe partiția criptată și efectuați configurații suplimentare (fara a reporni computerul) raportat la un sistem criptat. Adică, fiți în usb live, dar executați comenzi „față de rădăcina sistemului de operare criptat”. „chroot” va simula o situație similară. Pentru a primi rapid informații despre sistemul de operare cu care lucrați în prezent (criptat sau nu, deoarece datele din sda4 și sda7 sunt sincronizate), desincronizați sistemul de operare. Creați în directoare rădăcină (sda4/sda7_crypt) fișiere de marcare goale, de exemplu, /mnt/encryptedOS și /mnt2/decryptedOS. Verificați rapid pe ce sistem de operare vă aflați (inclusiv pentru viitor):

ls /<Tab-Tab>

B4.1. „Simularea conectării la un sistem de operare criptat”

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. Verificarea faptului că munca este efectuată pe un sistem criptat

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. Crearea/configurarea schimbului criptat, editarea crypttab/fstabDeoarece fișierul de swap este formatat de fiecare dată când sistemul de operare pornește, nu are sens să creați și să mapați schimbul pe un disc logic acum și să introduceți comenzi ca în paragraful B2.2. Pentru Swap, propriile chei de criptare temporare vor fi generate automat la fiecare pornire. Ciclul de viață al cheilor de schimb: demontarea/demontarea partiției de schimb (+curățare RAM); sau reporniți sistemul de operare. Configurarea schimbului, deschiderea fișierului responsabil pentru configurarea dispozitivelor criptate bloc (analog cu un fișier fstab, dar responsabil pentru cripto).

nano /etc/crypttab 

edităm

#"nume țintă" "dispozitiv sursă" "fișier cheie" "opțiuni"
swap /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512

Opțiuni
* swap - numele mapat la criptarea /dev/mapper/swap.
* /dev/sda8 - utilizați partiția logică pentru schimb.
* /dev/urandom - generator de chei de criptare aleatoare pentru schimb (cu fiecare pornire nouă a sistemului de operare, sunt create chei noi). Generatorul /dev/urandom este mai puțin aleatoriu decât /dev/random, după toate acestea /dev/random este folosit atunci când se lucrează în circumstanțe paranoice periculoase. La încărcarea sistemului de operare, /dev/random încetinește încărcarea timp de câteva ± minute (vezi systemd-analyse).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -partiția știe că este swap și este formatată „în consecință”; algoritm de criptare.

#Открываем и правим fstab
nano /etc/fstab

edităm

# swap a fost activat / dev / sda8 în timpul instalării
/dev/mapper/swap niciunul swap sw 0 0

/dev/mapper/swap este numele care a fost setat în crypttab.

Schimb alternativ criptat
Dacă dintr-un motiv oarecare nu doriți să renunțați la o întreagă partiție pentru un fișier de schimb, atunci puteți alege o cale alternativă și mai bună: crearea unui fișier de schimb într-un fișier pe o partiție criptată cu sistemul de operare.

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

Configurarea partiției de schimb este completă.

B4.4. Configurarea GNU/ criptatLinux (editarea fișierelor crypttab/fstab)Fișierul /etc/crypttab, așa cum este scris mai sus, descrie dispozitivele bloc criptate care sunt configurate în timpul pornirii sistemului.

#правим /etc/crypttab 
nano /etc/crypttab 

dacă ați potrivit secțiunea sda7>sda7_crypt ca în paragraful B2.1

# „nume țintă” „dispozitiv sursă” „fișier cheie” „opțiuni”
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

dacă ați potrivit secțiunea sda7>sda7_crypt ca în paragraful B2.2

# „nume țintă” „dispozitiv sursă” „fișier cheie” „opțiuni”
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

dacă ați potrivit secțiunea sda7>sda7_crypt ca în paragraful B2.1 sau B2.2, dar nu doriți să reintroduceți parola pentru a debloca și a porni sistemul de operare, atunci în loc de parolă puteți înlocui o cheie secretă/un fișier aleatoriu

# „nume țintă” „dispozitiv sursă” „fișier cheie” „opțiuni”
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

Descriere
* niciunul - raportează că la încărcarea sistemului de operare, este necesară introducerea unei fraze de acces secrete pentru a debloca rădăcina.
* UUID - identificatorul partiției. Pentru a vă afla ID-ul, introduceți în terminal (remintiți-vă că, de acum înainte, lucrați într-un terminal într-un mediu chroot, și nu într-un alt terminal USB live).

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное 

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

această linie este vizibilă când se solicită blkid de la terminalul USB live cu sda7_crypt montat).
Luați UUID-ul de pe sdaX-ul dvs (nu sdaX_crypt!, UUID sdaX_crypt - va fi lăsat automat când se generează configurația grub.cfg).
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks criptare în modul avansat.
* /etc/skey - fișier cheie secretă, care este inserat automat pentru a debloca pornirea sistemului de operare (în loc să introduceți a treia parolă). Puteți specifica orice fișier de până la 8MB, dar datele vor fi citite <1MB.

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7 

Va arata cam asa:

(fă-o singur și vezi singur).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab conține informații descriptive despre diferite sisteme de fișiere.

#Правим /etc/fstab
nano /etc/fstab

# „sistem de fișiere” „punct de montare” „tip” „opțiuni” „dump” „trecere”
# / a fost activat / dev / sda7 în timpul instalării
/dev/mapper/sda7_crypt / ext4 errors=remount-ro 0 1

opțiune
* /dev/mapper/sda7_crypt - numele mapării sda7>sda7_crypt, care este specificat în fișierul /etc/crypttab.
Configurarea crypttab/fstab este completă.

B4.5. Editarea fișierelor de configurare. Moment cheieB4.5.1. Editarea configurației /etc/initramfs-tools/conf.d/resume

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

și comentați (daca exista) „#” rând „reluare”. Fișierul trebuie să fie complet gol.

B4.5.2. Editarea configurației /etc/initramfs-tools/conf.d/cryptsetup

nano /etc/initramfs-tools/conf.d/cryptsetup

ar trebui să se potrivească

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=da
exportați CRYPTSETUP

B4.5.3. Editarea /etc/default/grub config (această configurație este responsabilă pentru capacitatea de a genera grub.cfg atunci când lucrați cu /boot criptat)

nano /etc/default/grub

adăugați linia „GRUB_ENABLE_CRYPTODISK=y”
valoarea „y”, grub-mkconfig și grub-install vor verifica dacă există unități criptate și vor genera comenzi suplimentare necesare pentru a le accesa la pornire (insmods ).
trebuie să existe o asemănare

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=furnizor"
GRUB_CMDLINE_LINUX="Quiet Splash noautomount"
GRUB_ENABLE_CRYPTODISK=a

B4.5.4. Editarea configurației /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

verificați dacă linia este comentată .
În viitor (și chiar și acum, acest parametru nu va avea nicio semnificație, dar uneori interferează cu actualizarea imaginii initrd.img).

B4.5.5. Editarea configurației /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

adăuga

KEYFILE_PATTERN="/etc/skey”
UMASK=0077

Aceasta va împacheta cheia secretă „skey” în initrd.img, cheia este necesară pentru a debloca rădăcina atunci când sistemul de operare pornește (dacă nu doriți să introduceți parola din nou, cheia „skey” este înlocuită cu mașina).

B4.6. Actualizați /boot/initrd.img [versiunea]Pentru a împacheta cheia secretă în initrd.img și a aplica remedieri cryptsetup, actualizați imaginea

update-initramfs -u -k all

la actualizarea initrd.img (cum se spune „Este posibil, dar nu este sigur”) vor apărea avertismente legate de cryptsetup sau, de exemplu, o notificare despre pierderea modulelor Nvidia - acest lucru este normal. După actualizarea fișierului, verificați dacă acesta a fost actualizat, vedeți ora (față de mediul chroot./boot/initrd.img). Atenție! înainte de [update-initramfs -u -k all] asigurați-vă că verificați dacă cryptsetup este deschis /dev/sda7 sda7_crypt - acesta este numele care apare în /etc/crypttab, altfel după repornire va apărea o eroare busybox)
La acest pas, configurarea fișierelor de configurare este completă.

[C] Instalarea și configurarea GRUB2/Protection

C1. Dacă este necesar, formatați partiția dedicată pentru bootloader (o partiție are nevoie de cel puțin 20 MB)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. Montați /dev/sda6 pe /mntDeci lucrăm în chroot, atunci nu va exista nici un director /mnt2 în rădăcină, iar folderul /mnt va fi gol.
montați partiția GRUB2

mount /dev/sda6 /mnt

Dacă aveți instalată o versiune mai veche de GRUB2, în directorul /mnt/boot/grub/i-386-pc (este posibilă altă platformă, de exemplu, nu „i386-pc”) fără module criptografice (pe scurt, folderul ar trebui să conțină module, inclusiv aceste .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), în acest caz, GRUB2 trebuie agitat.

apt-get update
apt-get install grub2 

Important! Când actualizați pachetul GRUB2 din depozit, când ați întrebat „despre alegerea” unde să instalați bootloader-ul, trebuie să refuzați instalarea (motiv - încercați să instalați GRUB2 - în „MBR” sau pe usb live). În caz contrar, veți deteriora antetul/încărcătorul VeraCrypt. După actualizarea pachetelor GRUB2 și anularea instalării, încărcătorul de pornire trebuie instalat manual pe discul logic, și nu în MBR. Dacă depozitul dvs. are o versiune învechită de GRUB2, încercați Actualizați este de pe site-ul oficial - nu l-am verificat (a lucrat cu cele mai recente încărcătoare de boot GRUB 2.02 ~BetaX).

C3. Instalarea GRUB2 într-o partiție extinsă [sda6]Trebuie să aveți o partiție montată [articolul C.2]

grub-install --force --root-directory=/mnt /dev/sda6

opțiuni
* —force - instalarea bootloader-ului, ocolind toate avertismentele care există aproape întotdeauna și blochează instalarea (steagul obligatoriu).
* --root-directory - setează directorul la rădăcina sda6.
* /dev/sda6 - partiția ta sdaХ (nu rata dintre /mnt /dev/sda6).

C4. Crearea unui fișier de configurare [grub.cfg]Uitați de comanda „update-grub2” și utilizați comanda completă de generare a fișierului de configurare

grub-mkconfig -o /mnt/boot/grub/grub.cfg

după finalizarea generării/actualizării fișierului grub.cfg, terminalul de ieșire ar trebui să conțină linii(e) cu sistemul de operare găsit pe disc (grub-mkconfig poate găsi și încărca sistemul de operare de pe un USB activ dacă aveți o unitate flash multiboot cu Windows 10 și o grămadă de distribuții live - asta e normal). Dacă terminalul este „gol” și fișierul „grub.cfg” nu este generat, atunci acesta este același caz când există erori GRUB în sistem (și cel mai probabil încărcătorul din ramura de testare a depozitului), reinstalați GRUB2 din surse de încredere.
Instalarea „configurației simple” și configurarea GRUB2 sunt finalizate.

C5. Testarea sistemului de operare GNU criptat/LinuxFinalizarea corectă a misiunii cripto. Ieșiți cu grijă din GNU/ criptat.Linux (ieșire din mediul chroot).

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

După repornirea computerului, ar trebui să se încarce bootloader-ul VeraCrypt.


Introduceți parola pentru partiția activă - sistemul de operare va începe încărcarea Windows.
Apăsarea tastei „Esc” va transfera controlul către GRUB2 la selectarea GNU/ criptatLinux – veți avea nevoie de o parolă (sda7_crypt) pentru a debloca /boot/initrd.img (dacă grub2 scrie uuid „not found” - aceasta este o problemă cu bootloader-ul grub2, acesta ar trebui reinstalat, de exemplu, din ramura testing/stable și pd).


*În funcție de modul în care ați configurat sistemul (vezi paragraful B4.4/4.5), după ce ați introdus parola corectă pentru a debloca imaginea /boot/initrd.img, veți avea nevoie de o parolă pentru a încărca kernel-ul/rădăcină OS, sau secretul cheia va fi înlocuită automat cu „skey”, eliminând nevoia de a reintroduce fraza de acces.

(ecran „înlocuirea automată a unei chei secrete”).

*Va începe apoi procesul de bootare familiar GNU.Linux cu autentificarea contului de utilizator.


*După autorizarea utilizatorului și autentificarea la sistemul de operare, trebuie să actualizați din nou /boot/initrd.img (vezi B4.6).

update-initramfs -u -k all

Și în cazul unor linii suplimentare în meniul GRUB2 (de la OS-m pickup cu usb live) scapă de ei

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

Un scurt rezumat al criptării sistemului GNULinux:

• GNU/Linuxinux este complet criptat, inclusiv /boot/kernel și initrd;
• cheia secretă este ambalată în initrd.img;
• schema de autorizare actuală (introduceți parola pentru a debloca initrd; parola/cheia pentru a porni sistemul de operare; parola de autorizare a contului) Linux).

Criptarea sistemului „Configurare simplă GRUB2” a partiției bloc este completă.

C6. Configurare avansată GRUB2. Protectie bootloader cu semnatura digitala + protectie de autentificareGNU/Linux Bootloader-ul este criptat în întregime, dar nu poate fi criptat - aceasta este o cerință a BIOS-ului. Din acest motiv, bootarea criptată în lanț a GRUB2 este imposibilă, dar bootarea în lanț simplă este posibilă/disponibilă. Din punct de vedere al securității, acest lucru nu este necesar [consultați Secțiunea F].
Pentru GRUB2 „vulnerabil”, dezvoltatorii au implementat un algoritm de protecție pentru bootloader „semnătură/autentificare”.

• Când bootloader-ul este protejat de „propria semnătură digitală”, modificarea externă a fișierelor sau încercarea de a încărca module suplimentare în acest bootloader va duce la blocarea procesului de pornire.
• Când protejați bootloader-ul cu autentificare, pentru a selecta încărcarea unei distribuții sau pentru a introduce comenzi suplimentare în CLI, va trebui să introduceți login-ul și parola superutilizatorului-GRUB2.

C6.1. Protecție de autentificare bootloaderVerificați dacă lucrați într-un terminal pe un sistem de operare criptat

ls /<Tab-Tab> #обнаружить файл-маркер

creați o parolă de superutilizator pentru autorizare în GRUB2

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. 

Obțineți hash-ul parolei. Ceva de genul

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

montați partiția GRUB

mount /dev/sda6 /mnt 

editați configurația

nano -$ /mnt/boot/grub/grub.cfg 

verificați căutarea de fișiere că nu există semne nicăieri în „grub.cfg” (“-unrestricted” „-user”,
adauga la sfarsit (înainte de linia ### END /etc/grub.d/41_custom ###)
"set superusers="root"
password_pbkdf2 hash root."

Ar trebui să fie așa ceva

# Acest fișier oferă o modalitate ușoară de a adăuga intrări personalizate în meniu. Pur și simplu tastați
# intrări de meniu pe care doriți să le adăugați după acest comentariu. Ai grijă să nu te schimbi
# linia „coadă execut” de mai sus.
### END /etc/grub.d/40_custom ###

### BEGIN /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; apoi
sursă ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; apoi
sursă $prefix/custom.cfg;
fi
setați superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

Dacă folosiți adesea comanda „grub-mkconfig -o /mnt/boot/grub/grub.cfg” și nu doriți să faceți modificări la grub.cfg de fiecare dată, introduceți rândurile de mai sus (Parola de logare) în scriptul utilizatorului GRUB din partea de jos

nano /etc/grub.d/41_custom 

pisica << EOF
setați superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

Când se generează configurația „grub-mkconfig -o /mnt/boot/grub/grub.cfg”, liniile responsabile pentru autentificare vor fi adăugate automat la grub.cfg.
Acest pas finalizează configurarea autentificării GRUB2.

C6.2. Protectie bootloader cu semnatura digitalaSe presupune că aveți deja cheia personală de criptare pgp (sau creați o astfel de cheie). Sistemul trebuie să aibă instalat software criptografic: gnuPG; kleopatra/GPA; Calut de mare. Software-ul cripto îți va face viața mult mai ușoară în toate aceste chestiuni. Seahorse - versiunea stabilă a pachetului 3.14.0 (versiunile superioare, de exemplu, V3.20, sunt defecte și au erori semnificative).

Cheia PGP trebuie generată/lansată/adăugată numai în mediul su!

Generați cheia personală de criptare

gpg - -gen-key

Exportați cheia dvs

gpg --export -o ~/perskey

Montați discul logic în sistemul de operare dacă nu este deja montat

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

curățați partiția GRUB2

rm -rf /mnt/

Instalați GRUB2 în sda6, punând cheia privată în imaginea principală GRUB „core.img”

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

opțiuni
* --force - instalează bootloader-ul, ocolind toate avertismentele care există întotdeauna (steagul obligatoriu).
* —modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - instruiește GRUB2 să preîncarce modulele necesare când pornește computerul.
* -k ~/perskey -calea către „cheia PGP” (după împachetarea cheii în imagine, aceasta poate fi ștearsă).
* --root-directory -setează directorul de boot la rădăcina sda6
/dev/sda6 - partiția dvs. sdaX.

Se generează/actualizează grub.cfg

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

Adăugați linia „trust /boot/grub/perskey” la sfârșitul fișierului „grub.cfg” (forțați utilizarea tastei pgp.) Deoarece am instalat GRUB2 cu un set de module, inclusiv modulul de semnătură „signature_test.mod”, acest lucru elimină necesitatea de a adăuga comenzi precum „set check_signatures=enforce” la configurație.

Ar trebui să arate cam așa (liniile de sfârșit în fișierul grub.cfg)

### BEGIN /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; apoi
sursă ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; apoi
sursă $prefix/custom.cfg;
fi
încredere în /boot/grub/perskey
setați superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

Calea către „/boot/grub/perskey” nu trebuie să fie indicată către o anumită partiție de disc, de exemplu hd0,6; pentru bootloader-ul în sine, „root” este calea implicită a partiției pe care este instalat GRUB2 (vezi putregaiul set=..).

Semnează GRUB2 (toate fișierele din toate directoarele /GRUB) cu cheia ta „perskey”.
O soluție simplă despre cum să semnezi (pentru nautilus/caja explorer): instalați extensia „seahorse” pentru Explorer din depozit. Cheia dvs. trebuie adăugată în mediul su.
Deschideți Explorer cu semnul sudo „/mnt/boot” – RMB. Pe ecran arată așa

Cheia în sine este „/mnt/boot/grub/perskey” (copiați în directorul grub) trebuie semnat și cu propria dumneavoastră semnătură. Verificați dacă semnăturile fișierului [*.sig] apar în director/subdirectoare.
Folosind metoda descrisă mai sus, semnați „/boot” (nucleul nostru, initrd). Dacă timpul tău valorează ceva, atunci această metodă elimină necesitatea de a scrie un script bash pentru a semna „o mulțime de fișiere”.

Pentru a elimina toate semnăturile bootloader-ului (daca ceva a mers prost)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

Pentru a nu semna bootloader-ul după actualizarea sistemului, înghețăm toate pachetele de actualizare legate de GRUB2.

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

La acest pas configurația avansată a GRUB2 este finalizată.

C6.3. Proof-test al bootloader-ului GRUB2, protejat prin semnătură digitală și autentificareGRUB2. Când alegeți orice GNU/Linux sau intrați în CLI (Linie de comanda) Va fi necesară autorizarea superutilizatorului. După ce ați introdus numele de utilizator/parola corecte, veți avea nevoie de parola initrd

Captură de ecran a autentificării cu succes a superutilizatorului GRUB2.

Dacă modificați oricare dintre fișierele GRUB2/faceți modificări la grub.cfg sau ștergeți fișierul/semnătura sau încărcați un module.mod rău intenționat, va apărea un avertisment corespunzător. GRUB2 va întrerupe încărcarea.

Captură de ecran, o încercare de a interfera cu GRUB2 „din exterior”.

În timpul pornirii „normale” „fără intruziune”, starea codului de ieșire a sistemului este „0”. Prin urmare, nu se știe dacă protecția funcționează sau nu (adică „cu sau fără protecție de semnătură a bootloaderului” în timpul încărcării normale, starea este aceeași „0” - aceasta este proastă).

Cum se verifică protecția semnăturii digitale?

O modalitate incomod de a verifica: falsificare/eliminare un modul folosit de GRUB2, de exemplu, eliminați semnătura luks.mod.sig și obțineți o eroare.

Modul corect: accesați CLI-ul bootloaderului și tastați comanda

trust_list

Ca răspuns, ar trebui să primiți o amprentă „perskey”; dacă starea este „0”, atunci protecția semnăturii nu funcționează, verificați din nou punctul C6.2.
La acest pas, configurația avansată „Protejarea GRUB2 cu semnătură digitală și autentificare” este finalizată.

C7 Metodă alternativă de protecție a bootloader-ului GRUB2 folosind hashingMetoda „CPU Boot Loader Protection/Authentication” descrisă mai sus este o metodă clasică. Datorită imperfecțiunilor GRUB2, în condiții paranoide este susceptibil la un atac real, pe care îl voi reda mai jos în paragraful [F]. În plus, după actualizarea sistemului de operare/kernel, bootloader-ul trebuie resemnat.

Protejarea bootloader-ului GRUB2 folosind hashing

Avantaje față de clasice:

• Nivel mai ridicat de fiabilitate (hashing/verificare are loc numai dintr-o resursă locală criptată. Întreaga partiție alocată sub GRUB2 este controlată pentru orice modificări, iar orice altceva este criptat; în schema clasică cu protecție/Autentificare CPU loader, doar fișierele sunt controlate, dar nu gratuit spațiu, în care se poate adăuga „ceva” ceva sinistru”).
• Înregistrare criptată (la schemă este adăugat un jurnal personal criptat care poate fi citit de om).
• Viteză (protecția/verificarea unei partiții întregi alocate pentru GRUB2 are loc aproape instantaneu).
• Automatizarea tuturor proceselor criptografice.

Dezavantaje față de clasici.

• Falsificarea semnăturii (teoretic, este posibil să găsim o anumită coliziune a funcției hash).
• Nivel de dificultate crescut (comparativ cu versiunea clasică, necesită puțin mai multe cunoștințe în GNU OS/Linux).

Cum funcționează ideea de hashing GRUB2/partiție

Partiția GRUB2 este „semnată”; atunci când sistemul de operare pornește, partiția bootloader-ului este verificată pentru imuabilitate, urmată de conectarea într-un mediu securizat (criptat). Dacă bootloader-ul sau partiția sa este compromisă, pe lângă jurnalul de intruziune, se lansează următoarele:

Lucru.

O verificare similară are loc de patru ori pe zi, care nu încarcă resurse de sistem.
Folosind comanda „-$ check_GRUB”, o verificare instantanee are loc în orice moment, fără înregistrare, dar cu informații furnizate către CLI.
Folosind comanda „-$ sudo signature_GRUB”, încărcătorul/partiția GRUB2 este resemnat instantaneu și înregistrarea sa actualizată (necesar după actualizarea sistemului de operare/boot), iar viața continuă.

Implementarea unei metode de hashing pentru bootloader și secțiunea acestuia

0) Să semnăm bootloader-ul/partiția GRUB instalându-l mai întâi în /media/username

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) Creăm un script fără extensie în rădăcina sistemului de operare criptat ~/podpis, îi aplicăm drepturile de securitate 744 necesare și o protecție sigură.

Umplerea conținutului acestuia

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

Rulați scriptul de la su, va fi verificată hashing-ul partiției GRUB și bootloader-ul acesteia, salvați jurnalul.

Să creăm sau să copiem, de exemplu, un „fișier rău intenționat” [virus.mod] în partiția GRUB2 și să rulăm o scanare/test temporar:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

CLI trebuie să vadă o invazie a -cetății- noastre#Trimmed log în CLI

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

# După cum puteți vedea, apare „Fișiere mutate: 1 și auditul eșuat”, ceea ce înseamnă că verificarea a eșuat.
Datorită naturii partiției testate, în loc de „Fișiere noi găsite” > „Fișiere mutate”

2) Puneți gif-ul aici > ~/warning.gif, setați permisiunile la 744.

3) Configurarea fstab pentru a monta automat partiția GRUB la pornire

-$ sudo nano /etc/fstab

LABEL=GRUB /media/nume utilizator/GRUB ext4 implicit 0 0

4) Rotirea jurnalului

-$ sudo nano /etc/logrotate.d/podpis 

/var/log/podpis.txt {
zilnic
rotiți 50
dimensiunea 5M
dateext
comprima
delaycompress
olddir /var/log/old
}

/var/log/vtorjenie.txt {
lunar
rotiți 5
dimensiunea 5M
dateext
olddir /var/log/old
}

5) Adăugați un job la cron

-$ sudo crontab -e

reporniți '/abonament'
0 */6 * * * '/podpis

6) Crearea de aliasuri permanente

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

După actualizarea sistemului de operare -$ apt-get upgrade resemnați partiția noastră GRUB
-$ подпись_GRUB
În acest moment, protecția hashing a partiției GRUB este completă.

[D] Ștergere - distrugerea datelor necriptate

Ștergeți-vă fișierele personale atât de complet încât „nici măcar Dumnezeu nu le poate citi”, potrivit purtătorului de cuvânt al Carolina de Sud, Trey Gowdy.

Ca de obicei, există diverse „mituri și legende", despre restaurarea datelor după ce au fost șterse de pe un hard disk. Dacă credeți în vrăjitorie cibernetică sau sunteți membru al comunității web Dr și nu ați încercat niciodată recuperarea datelor după ce au fost șterse/suprascrise (de exemplu, recuperare folosind R-studio), atunci este puțin probabil ca metoda propusă să ți se potrivească, folosește ceea ce este mai aproape de tine.

După portarea cu succes a GNU/Linux pe o partiție criptată, vechea copie trebuie ștearsă fără posibilitatea recuperării datelor. Metodă universală de curățare: software pentru Windows/Linux software gratuit GUI BleachBit.
repede formatați secțiunea, datele asupra cărora trebuie distruse (prin Gparted) lansați BleachBit, selectați „Curățați spațiul liber” - selectați partiția (sdaX-ul dumneavoastră cu o copie anterioară de GNU/Linux), procesul de stripare va începe. BleachBit - șterge discul dintr-o singură trecere - de asta „avem nevoie”, Dar! Acest lucru funcționează doar în teorie dacă ați formatat discul și l-ați curățat în software-ul BB v2.0.

Atenție! BB șterge discul, lăsând metadate; numele fișierelor sunt păstrate atunci când datele sunt eliminate (Ccleaner - nu lasă metadate).

Iar mitul despre posibilitatea recuperării datelor nu este în întregime un mit.Pachet de sistem de operare instabil anterior Bleachbit V2.0-2 Debian (și orice alt software similar: sfill; wipe-Nautilus - au fost observate și în această afacere murdară) a avut de fapt o eroare critică: funcția „de golire a spațiului liber”. functioneaza incorect pe HDD/unități flash (ntfs/ext4). Software-ul de acest fel, atunci când eliberează spațiul liber, nu suprascrie întregul disc, așa cum cred mulți utilizatori. Si ceva (mulți) Datele șterse OS/software-ul consideră aceste date ca fiind neșterse/date de utilizator și atunci când curățează „OSP” omite aceste fișiere. Problema este că după atât de mult timp, curățarea discului „Fișierele șterse” pot fi recuperate chiar și după 3+ treceri de ștergere a discului.
Pe GNU/Linux în Bleachbit 2.0-2 Funcțiile pentru ștergerea definitivă a fișierelor și directoarelor funcționează în mod fiabil, dar curățarea spațiului liber nu. Pentru comparație: Windows În CCleaner, funcția „OSP for NTFS” funcționează corect și Dumnezeu chiar nu va putea citi datele șterse.

Și așa, pentru a elimina complet "compromitent" date vechi necriptate, Bleachbit are nevoie de acces direct la aceste date, apoi, utilizați funcția „Ștergeți definitiv fișierele/directoarele”.
Pentru a șterge „fișierele șterse folosind instrumentele standard ale sistemului de operare” în Windows Folosește CCleaner/BB cu funcția „OSP”. În GNU/Linux peste această problemă (șterge fișierele șterse) trebuie să te antrenezi pe cont propriu (Ștergerea datelor + o încercare independentă de a le restaura și nu ar trebui să vă bazați pe versiunea software (dacă nu este un marcaj, atunci o eroare)), numai în acest caz veți putea înțelege mecanismul acestei probleme și veți scăpa complet de datele șterse.

Nu am testat Bleachbit v3.0, este posibil ca problema să fi fost deja remediată.
Bleachbit v2.0 funcționează sincer.

La acest pas, ștergerea discului este completă.

[E] Backup universal al sistemului de operare criptat

Fiecare utilizator are propria sa metodă de copiere de rezervă a datelor, dar datele criptate ale sistemului de operare necesită o abordare ușor diferită a sarcinii. Software-ul unificat, cum ar fi Clonezilla și software similar, nu poate funcționa direct cu date criptate.

Declarație a problemei de backup pentru dispozitivele bloc criptate:

1. universalitate - același algoritm/software de backup pentru Windows/Linux;
2. capacitatea de a lucra în consolă cu orice GNU live USB/Linux fără a fi nevoie să descărcați software suplimentar (dar tot recomand GUI);
3. securitatea copiilor de rezervă - „imaginile” stocate trebuie să fie criptate/protejate cu parolă;
4. dimensiunea datelor criptate trebuie să corespundă cu dimensiunea datelor efective copiate;
5. extragerea convenabilă a fișierelor necesare dintr-o copie de rezervă (nu este nevoie să decriptați mai întâi întreaga secțiune).

De exemplu, backup/restaurare prin utilitarul „dd”.

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

Corespunde aproape tuturor punctelor sarcinii, dar conform punctului 4 nu rezistă criticilor, deoarece copiază întreaga partiție a discului, inclusiv spațiul liber - nu este interesant.

De exemplu, GNU/backupLinux prin intermediul arhivatorului [tar» | gpg] este convenabil, dar pentru backup Windows Trebuie să căutăm o altă soluție - nu este interesantă.

E1. Copiere de rezervă universală Windows/Linuxcombinație de volume rsync (Grsync) + VeraCryptAlgoritm pentru crearea unei copii de rezervă:

1. crearea unui container criptat (volum/fișier) VeraCrypt pentru OS;
2. transferați/sincronizați sistemul de operare folosind software-ul Rsync în containerul criptografic VeraCrypt;
3. dacă este necesar, încărcarea volumului VeraCrypt pe www.

Crearea unui container VeraCrypt criptat are propriile sale caracteristici:
crearea unui volum dinamic (crearea DT este disponibilă numai în Windows, poate fi folosit și în GNU/Linux);
crearea unui volum obișnuit, dar există o cerință a unui „personaj paranoic” (conform dezvoltatorului) – formatarea containerului.

Un volum dinamic este creat aproape instantaneu în sistemul de operare Windows, dar când se copiază date din sistemul de operare GNU/Linux > În general, în cazul VeraCrypt DT, performanța operațiunii de backup este redusă semnificativ.

Este creat un volum obișnuit Twofish de 70 GB (să spunem că, în medie, puterea PC-ului) pe HDD ~ într-o jumătate de oră (suprascrierea datelor din fostul container într-o singură trecere se datorează cerințelor de securitate). De la VeraCrypt Windows/Linux Funcția de formatare rapidă a unui volum în timpul creării sale a fost eliminată, astfel încât crearea containerelor este posibilă doar printr-o „suprascriere cu o singură trecere” sau prin crearea unui volum dinamic cu performanțe reduse.

Creați un volum VeraCrypt obișnuit (nu este dinamic/ntfs), nu ar trebui să fie probleme.

Configurați/creați/deschideți un container în interfața grafică VeraCrypt> GNU/Linux USB live (volumul va fi montat automat pe /media/veracrypt2, volumul sistemului de operare Windows montat în /media/veracrypt1). Creați o copie de rezervă criptată a sistemului de operare Windows folosind interfața grafică rsync (grsync)prin bifarea casetelor.

Așteptați finalizarea procesului. Odată ce backup-ul este complet, vom avea un fișier criptat.

În mod similar, creați o copie de rezervă a sistemului de operare GNU/OSLinux, debifând opțiunea GUI rsync „compatibil cu Windows".

AtențieContainer Veracrypt pentru „copie de rezervă GNU/Linux» creați în sistemul de fișiere ext4. Dacă faceți o copie de rezervă într-un container ntfs, atunci când restaurați o astfel de copie, veți pierde toate drepturile/grupurile pentru toate datele dumneavoastră.

Toate operațiunile pot fi efectuate în terminal. Opțiuni de bază pentru rsync:
* -g -salvare grupuri;
* -P —progres — starea timpului petrecut lucrând la dosar;
* -H - copiați hardlink-urile așa cum sunt;
* -a -mod arhivare (mai multe steaguri rlptgoD);
* -v -verbalizare.

Dacă vrei să montezi un volum Windows VeraCrypt" prin consola din software-ul de configurare a criptării, puteți crea un alias (su)

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

Acum, la comanda „veramount pictures”, va apărea o solicitare de introducere a unei parole, iar volumul de sistem criptat va fi montat în sistemul de operare. Windows.

Hartați/montați volumul sistemului VeraCrypt în comanda cryptsetup

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

Hartă/montează partiția/containerul VeraCrypt în comanda cryptsetup

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

În loc de alias, vom adăuga (scriptul la pornire) volumul sistemului cu sistemul de operare Windows și un disc ntfs criptat logic în GNU/Linux

Creați un script și salvați-l în ~/VeraOpen.sh

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

Distribuim drepturile „corecte”:

sudo chmod 100 /VeraOpen.sh

Creați două fișiere identice (același nume!) în /etc/rc.local și ~/etc/init.d/rc.local
Umplerea dosarelor

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

Distribuim drepturile „corecte”:

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local 

Asta e tot, acum când pornești GNU/Linux Nu trebuie să introducem parole pentru a monta discuri NTFS criptate; discurile sunt montate automat.

O scurtă notă despre ceea ce este descris mai sus în paragraful E1 pas cu pas (dar acum pentru sistemul de operare GNU/Linux)
1) Creați un volum în ext4 fs > 4gb (pentru fișierul) Linux în Veracrypt [Cryptobox].
2) Reporniți la usb live.
3) ~$ cryptsetup deschide /dev/sda7 Lunux #mapping partiția criptată.
4) ~$ mount /dev/mapper/Linux /mnt #montarea partiției criptate pe /mnt.
5) ~$ mkdir mnt2 #crearea unui director pentru o copie de rezervă viitoare.
6) ~$ cryptsetup open —veracrypt —type tcrypt ~/CryptoBox CryptoBox && mount /dev/mapper/CryptoBox /mnt2 #Map un volum Veracrypt numit „CryptoBox” și montați CryptoBox pe /mnt2.
7) ~$ rsync -avlxhHX —progress /mnt /mnt2/ #operație de backup a unei partiții criptate pe un volum Veracrypt criptat.

(p/s/ AtențieDacă portați fișiere GNU/ criptateLinux de la o arhitectură/mașină la alta, de exemplu, Intel > AMD (adică, implementați o copie de rezervă de la o partiție criptată la o altă partiție criptată Intel > AMD), nu uita După transferul sistemului de operare criptat, poate edita cheia de înlocuire secretă în loc de parolă. cheia anterioară ~/etc/skey - nu se va mai potrivi cu altă partiție criptată și nu este recomandabil să creați o cheie nouă „cryptsetup luksAddKey” de sub chroot - este posibilă o eroare, doar în ~/etc/crypttab specificați în loc de „/etc/skey” temporar „none” „, după rebot și conectarea la sistemul de operare, recreați din nou cheia wildcard secretă).

Cum își amintesc veteranii IT să facă copii de rezervă separate ale antetelor de partiție criptate ale sistemului de operare Windows/Linux, sau criptarea se va întoarce împotriva ta.
La acest pas, backup-ul sistemului de operare criptat este finalizat.

[F] Atacul la bootloader-ul GRUB2

detaliiDacă v-ați protejat bootloader-ul cu o semnătură digitală și/sau autentificare (vezi punctul C6.), atunci acest lucru nu va proteja împotriva accesului fizic. Datele criptate vor fi în continuare inaccesibile, dar protecția va fi ocolită (resetează protecția semnăturii digitale) GRUB2 permite unui criminal cibernetic să-și injecteze codul în bootloader fără a ridica suspiciuni (cu excepția cazului în care utilizatorul monitorizează manual starea bootloader-ului sau vine cu propriul cod robust de script arbitrar pentru grub.cfg).

Algoritm de atac. Intrus

* Pornește computerul de pe usb live. Vreo schimbare (violator) fișierele vor notifica proprietarul real al PC-ului despre intruziunea în bootloader. Dar o simplă reinstalare a GRUB2 păstrând grub.cfg (și capacitatea ulterioară de a-l edita) va permite unui atacator să editeze orice fișiere (în această situație, la încărcarea GRUB2, utilizatorul real nu va fi notificat. Starea este aceeași )
* Montează o partiție necriptată, stochează „/mnt/boot/grub/grub.cfg”.
* Reinstalează bootloader-ul (eliminarea „perskey” din imaginea core.img)

grub-install --force --root-directory=/mnt /dev/sda6

* Returnează „grub.cfg” > „/mnt/boot/grub/grub.cfg”, îl editează dacă este necesar, de exemplu, adăugând modulul „keylogger.mod” în folderul cu module de încărcare, în „grub.cfg” > linia „insmod keylogger”. Sau, de exemplu, dacă inamicul este viclean, atunci după reinstalarea GRUB2 (toate semnăturile rămân pe loc) construiește imaginea principală GRUB2 folosind „grub-mkimage cu opțiunea (-c).” Opțiunea „-c” vă va permite să vă încărcați configurația înainte de a încărca principalul „grub.cfg”. Configurația poate consta dintr-o singură linie: redirecționare către orice „modern.cfg”, amestecat, de exemplu, cu ~400 de fișiere (module+semnături) în folderul „/boot/grub/i386-pc”. În acest caz, un atacator poate introduce cod arbitrar și încărca module fără a afecta „/boot/grub/grub.cfg”, chiar dacă utilizatorul a aplicat „hashsum” fișierului și l-a afișat temporar pe ecran.
Un atacator nu va trebui să pirateze autentificarea/parola superutilizatorului GRUB2; va trebui doar să copieze liniile (responsabil pentru autentificare) „/boot/grub/grub.cfg” la „modern.cfg”

setați superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

Și proprietarul PC-ului va fi în continuare autentificat ca superutilizator GRUB2.

Încărcare în lanț (bootloader-ul încarcă un alt bootloader), așa cum am scris mai sus, nu are sens (este destinat unui alt scop). Bootloader-ul criptat nu poate fi încărcat din cauza BIOS-ului (pornirea în lanț repornește GRUB2 > GRUB2 criptat, eroare!). Cu toate acestea, dacă încă folosiți ideea încărcării în lanț, puteți fi sigur că este cel criptat cel care se încarcă. (nemodernizat) „grub.cfg” din partiția criptată. Și acesta este, de asemenea, un fals sentiment de securitate, deoarece tot ceea ce este indicat în „grub.cfg” criptat (încărcarea modulelor) se adaugă modulelor care sunt încărcate din GRUB2 necriptat.

Dacă doriți să verificați acest lucru, atunci alocați/criptați o altă partiție sdaY, copiați GRUB2 pe ea (operația grub-install pe o partiție criptată nu este posibilă) și în „grub.cfg” (configurație necriptată) schimba linii ca acestea

menuentry 'GRUBx2' --class parrot --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
încărcare_video
insmod gzio
if [ x$grub_platform = xxen ]; apoi insmod xzio; insmod lzopio; fi
insmod part_msdos
insmod criptodisc
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
normal /boot/grub/grub.cfg
}

linii
* insmod - încărcarea modulelor necesare pentru lucrul cu un disc criptat;
* GRUBx2 - numele liniei afișate în meniul de boot GRUB2;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -vezi. fdisk -l (sda9);
* set root - instalează root;
* normal /boot/grub/grub.cfg - fișier de configurare executabil pe o partiție criptată.

Încrederea că „grub.cfg” criptat este încărcat este un răspuns pozitiv la introducerea parolei/deblocarea „sdaY” atunci când selectați linia „GRUBx2” în meniul GRUB.

Când lucrați în CLI, pentru a nu vă încurca (și verificați dacă variabila de mediu „set root” a funcționat), creați fișiere token goale, de exemplu, în secțiunea criptată „/shifr_grub”, în secțiunea necriptată „/noshifr_grub”. Verificarea în CLI

cat /Tab-Tab

După cum sa menționat mai sus, acest lucru nu va ajuta la descărcarea modulelor rău intenționate dacă astfel de module ajung pe computer. De exemplu, un keylogger care va putea salva apăsările de taste într-un fișier și îl va amesteca cu alte fișiere în „~/i386” până când este descărcat de un atacator cu acces fizic la computer.

Cel mai simplu mod de a verifica dacă protecția semnăturii digitale funcționează activ (nu resetat), și nimeni nu a invadat bootloader-ul, introduceți comanda în CLI

list_trusted

ca răspuns primim o copie a „perskey”-ului nostru sau nu primim nimic dacă suntem atacați (de asemenea, trebuie să bifați „set check_signatures=enforce”).
Un dezavantaj semnificativ al acestui pas este introducerea manuală a comenzilor. Dacă adăugați această comandă la „grub.cfg” și protejați configurația cu o semnătură digitală, atunci ieșirea preliminară a instantaneului cheii de pe ecran este prea scurtă în timp și este posibil să nu aveți timp să vedeți rezultatul după încărcarea GRUB2 .
Nu există nimeni în special căruia să-i facă pretenții: dezvoltatorul în a lui documentație clauza 18.2 declară oficial

„Rețineți că, chiar și cu protecția cu parolă GRUB, GRUB în sine nu poate împiedica pe cineva cu acces fizic la mașină să modifice configurația firmware-ului acelei mașini (de exemplu, Coreboot sau BIOS) pentru a determina pornirea mașinii de pe un dispozitiv diferit (controlat de atacator). GRUB este în cel mai bun caz doar o verigă dintr-un lanț de pornire securizat.”

GRUB2 este supraîncărcat cu funcții care pot da un fals sentiment de securitate, iar dezvoltarea sa a depășit deja funcționalitatea MS-DOS, în ciuda faptului că este doar un bootloader. Este ironic faptul că GRUB2 ar putea deveni sistemul de operare „mâine”, în timp ce GNU/Linux mașini virtuale pentru aceasta.

Un scurt videoclip despre cum am resetat protecția pentru semnătura digitală GRUB2 și am declarat intruziunea mea unui utilizator real (Te-am speriat, dar în loc de ceea ce se arată în videoclip, poți scrie cod arbitrar/.mod inofensiv).

Concluzii:

1) Blocați criptarea sistemului pentru Windows — este mai ușor de implementat, iar protecția cu o singură parolă este mai convenabilă decât protecția cu mai multe parole în sistemul de criptare/blocare GNULinux, ca să fiu corect: acesta din urmă este automatizat.

2) Am scris articolul ca fiind relevant și detaliat simplu Un ghid pentru criptarea completă a discului folosind VeraCrypt/LUKS pe o singură mașină, care este în prezent cel mai bun de pe RuNet (în opinia mea umilă). Ghidul are peste 50 de caractere, așa că nu a acoperit câteva capitole interesante: despre criptografi care dispar/mențin un profil discret; despre ce se găsește în diverse cărți GNU/GNU.Linux Ei scriu puțin/nimic despre criptografie; despre articolul 51 din Constituția Federației Ruse; despre licențiere/interzice criptare în Federația Rusă, despre de ce trebuie să criptați „root/boot”. Ghidul s-a dovedit a fi destul de extins, dar detaliat. (descriind chiar și pași simpli), la rândul său, acest lucru vă va economisi mult timp când ajungeți la „criptarea reală”.

3) Criptarea completă a discului a fost efectuată pe Windows 7 64; GNU/Linux Parrot 4x; GNU/Debian 9.0 / 9.5.

4) A implementat un atac cu succes asupra lui Bootloader GRUB2.

5) Tutorialul a fost creat pentru a ajuta toți oamenii paranoici din CSI, unde lucrul cu criptare este permis la nivel legislativ. Și în primul rând pentru cei care doresc să lanseze criptarea completă a discului fără a-și demola sistemele configurate.

6) Mi-am refăcut și actualizat manualul, care este relevant în 2020.

[G] Documentație utilă

1. Ghidul utilizatorului TrueCrypt (februarie 2012 RU)
2. Documentația VeraCrypt
3. /usr/share/doc/cryptsetup(-run) [resursă locală] (documentație oficială detaliată despre configurarea criptării GNU/Linux folosind cryptsetup)
4. Întrebări frecvente oficiale cryptsetup (scurtă documentație despre configurarea criptării GNU/Linux folosind cryptsetup)
5. Criptarea dispozitivului LUKS (documentația archlinux)
6. Descrierea detaliată a sintaxei cryptsetup (pagina de manual arch)
7. Descriere detaliată a crypttab (pagina de manual arch)
8. Documentație oficială GRUB2.

Etichete: criptare completă a discului, criptare partiție, criptare completă a discului Linux, criptare completă a sistemului LUKS1.

Numai utilizatorii înregistrați pot participa la sondaj. Loghează-te, Vă rog.

criptezi?

• 17,1%Cript tot ce pot. sunt paranoic.14

• 34,2%Eu doar criptez datele importante.28

• 14,6%Uneori criptez, alteori uit.12

• 34,2%Nu, nu criptez, este incomod și scump.28

Au votat 82 de utilizatori. 22 de utilizatori s-au abținut.

Sursa: www.habr.com