پرو هوسٽر > بلاگ > انتظاميه > ونڊوز لينڪس انسٽال ٿيل سسٽم جي مڪمل ڊسڪ انڪرپشن. انڪرپٽ ٿيل ملٽي بوٽ

ونڊوز لينڪس انسٽال ٿيل سسٽم جي مڪمل ڊسڪ انڪرپشن. انڪرپٽ ٿيل ملٽي بوٽ

ونڊوز لينڪس انسٽال ٿيل سسٽم جي مڪمل ڊسڪ انڪرپشن. انڪرپٽ ٿيل ملٽي بوٽ
RuNet V0.2 ۾ مڪمل ڊسڪ انڪرپشن لاءِ پنهنجو گائيڊ اپڊيٽ ڪيو.

چرواه حڪمت عملي:

[الف] نصب ٿيل سسٽم جي ونڊوز 7 سسٽم بلاڪ انڪرپشن؛
[B] GNU/Linux سسٽم بلاڪ انڪرپشن (ڊيبين) نصب ٿيل نظام (بشمول /بوٽ);
[سي] GRUB2 ترتيب، بوٽ لوڊر تحفظ ڊجيٽل دستخط/تصديق/هيشنگ سان؛
[ڊي] اسٽريپنگ- اڻ ڳڻي ڊيٽا جي تباهي؛
انڪريپٽ ٿيل OS جو عالمي بيڪ اپ؛
[F] حملو ٽارگيٽ - GRUB6 بوٽ لوڊر؛
[جي] مددگار دستاويز.

╭───اسڪيم جو #ڪمري 40# :
├──╼ ونڊوز 7 انسٽال ٿيل - مڪمل سسٽم انڪرپشن، لڪيل نه؛
├──╼ GNU/Linux انسٽال ٿيل (ديبين ۽ نڪتل تقسيم) - مڪمل سسٽم انڪرپشن، لڪيل نه(/، بشمول /بوٽ؛ ادل بدل);
├──╼ آزاد بوٽ لوڊرز: VeraCrypt بوٽ لوڊر MBR ۾ نصب ٿيل آهي، GRUB2 بوٽ لوڊر وڌايل ورهاڱي ۾ نصب ٿيل آهي؛
├──╼ ڪا به او ايس تنصيب / ٻيهر انسٽاليشن جي ضرورت ناهي؛
└──╼cryptographic سافٽ ويئر استعمال ٿيل: VeraCrypt؛ Cryptsetup؛ GnuPG؛ سامونڊي گھوڙا؛ هشديپ؛ GRUB2 مفت/مفت آهي.

مٿي ڏنل اسڪيم جزوي طور ”ريموٽ بوٽ کي فليش ڊرائيو“ جي مسئلي کي حل ڪري ٿي، توهان کي اجازت ڏئي ٿي ته انڪريپٽ ٿيل او ايس ونڊوز/لينڪس مان لطف اندوز ٿي سگهي ٿو ۽ هڪ او ايس کان ٻئي تائين ”انڪريٽ ٿيل چينل“ ذريعي ڊيٽا مٽائي ٿو.

پي سي بوٽ آرڊر (اختيارن مان هڪ):

  • مشين کي چالو ڪرڻ؛
  • VeraCrypt بوٽ لوڊر لوڊ ڪندي (صحيح پاسورڊ داخل ڪرڻ سان ونڊوز 7 کي بوٽ ڪرڻ جاري رهندو);
  • "Esc" کي دٻائڻ سان GRUB2 بوٽ لوڊر لوڊ ٿيندو؛
  • GRUB2 بوٽ لوڊر (منتخب تقسيم/GNU/Linux/CLI), جي ضرورت پوندي GRUB2 سپر يوزر جي تصديق جي ؛
  • ڪامياب تصديق ۽ تقسيم جي چونڊ کان پوء، توهان کي ان لاڪ ڪرڻ لاءِ پاسفريج داخل ڪرڻو پوندو “/boot/initrd.img”؛
  • غلطي کان پاڪ پاسورڊ داخل ڪرڻ کان پوء، GRUB2 "گهربل" پاسورڊ داخل ڪندو (ٽيون، BIOS پاسورڊ يا GNU/Linux صارف اڪائونٽ پاسورڊ - غور نه ڪريو) GNU/Linux OS کي انلاڪ ڪرڻ ۽ بوٽ ڪرڻ لاءِ، يا ڳجهي چيڪ جي خودڪار متبادل (ٻه پاسورڊ + ڪي، يا پاسورڊ + ڪي);
  • GRUB2 ترتيب ۾ خارجي مداخلت GNU/Linux بوٽ پروسيس کي منجمد ڪري ڇڏيندو.

تڪليف ڏيندڙ؟ ٺيڪ، اچو ته عمل کي خودڪار ڪريون.

جڏهن هڪ هارڊ ڊرائيو ورهاڱي (ايم بي آر ٽيبل) هڪ PC ۾ 4 مکيه ورهاڱي کان وڌيڪ نه هوندا، يا 3 مکيه ۽ هڪ وڌايو ويو، انهي سان گڏ هڪ غير مختص ٿيل علائقو. وڌايل سيڪشن، بنيادي حصي جي برعڪس، ذيلي حصن تي مشتمل ٿي سگھي ٿو (منطقي ڊرائيو = توسيع ورهاڱي). ٻين لفظن ۾، HDD تي "وڌايو ويو ورهاڱي" هٿ ۾ ڪم لاء LVM کي تبديل ڪري ٿو: مڪمل سسٽم انڪريشن. جيڪڏهن توهان جي ڊسڪ 4 مکيه حصن ۾ ورهايل آهي، توهان کي استعمال ڪرڻ جي ضرورت آهي lvm، يا تبديل ڪريو (فارميٽنگ سان) مکيه کان ترقي يافته سيڪشن، يا عقلمندي سان سڀني چئن حصن کي استعمال ڪريو ۽ هر شيء کي ڇڏي ڏيو، گهربل نتيجو حاصل ڪرڻ. جيتوڻيڪ توهان وٽ توهان جي ڊسڪ تي هڪ ورهاڱي آهي، Gparted توهان جي HDD کي ورهاڱي ۾ مدد ڪندي (اضافي حصن لاءِ) ڊيٽا جي نقصان کان سواء، پر اڃا به اهڙي عملن لاء هڪ ننڍڙي سزا سان.

هارڊ ڊرائيو لي آئوٽ اسڪيم، جنهن جي حوالي سان سڄو مضمون لفظي طور تي بيان ڪيو ويندو، هيٺ ڏنل جدول ۾ پيش ڪيو ويو آهي.

ونڊوز لينڪس انسٽال ٿيل سسٽم جي مڪمل ڊسڪ انڪرپشن. انڪرپٽ ٿيل ملٽي بوٽ
ٽيبل (نمبر 1) جي 1TB ورهاڱي.

توهان وٽ پڻ ڪجهه ساڳيو هجڻ گهرجي.
sda1 - مکيه ورهاڱي نمبر 1 NTFS (انڪريٽ ٿيل);
sda2 - وڌايل سيڪشن مارڪر؛
sda6 - منطقي ڊسڪ (ان ۾ GRUB2 بوٽ لوڊر نصب ٿيل آهي)؛
sda8 - ادل (انڪريٽ ٿيل ادل فائل/ هميشه نه)؛
sda9 - ٽيسٽ منطقي ڊسڪ؛
sda5 - تجسس لاء منطقي ڊسڪ؛
sda7 - GNU/Linux OS (منتقلي ٿيل OS هڪ انڪرپٽ ٿيل منطقي ڊسڪ ڏانهن)؛
sda3 - مکيه ورهاڱي نمبر 2 ونڊوز 7 او ايس سان (انڪريٽ ٿيل);
sda4 - مکيه سيڪشن نمبر 3 (ان ۾ اڻ ڳڻي ٿيل GNU/Linux شامل آهي، بيڪ اپ لاءِ استعمال ٿيل/ هميشه نه).

[الف] ونڊوز 7 سسٽم بلاڪ انڪريپشن

A1. VeraCryptونڊوز لينڪس انسٽال ٿيل سسٽم جي مڪمل ڊسڪ انڪرپشن. انڪرپٽ ٿيل ملٽي بوٽ

تان ڊائونلوڊ ڪريو سرڪاري ويب سائيٽ، يا آئيني مان ذريعو VeraCrypt cryptographic سافٽ ويئر جي انسٽاليشن ورشن (آرٽيڪل v1.24-Update3 جي اشاعت جي وقت، VeraCrypt جو پورٽيبل ورزن سسٽم انڪرپشن لاءِ مناسب ناهي). ڊائون لوڊ ڪيل سافٽ ويئر جي چيڪسم چيڪ ڪريو

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

۽ نتيجن جو مقابلو ڪريو CS سان پوسٽ ڪيل VeraCrypt ڊولپر ويب سائيٽ تي.

جيڪڏهن HashTab سافٽ ويئر انسٽال ٿيل آهي، اهو اڃا به آسان آهي: RMB (VeraCrypt سيٽ اپ 1.24.exe)-پراپرٽيز - فائلن جو هيش مجموعو.

پروگرام جي دستخط جي تصديق ڪرڻ لاء، سافٽ ويئر ۽ ڊولپر جي پبلڪ پي جي پي ڪي کي سسٽم تي نصب ڪيو وڃي. gnuPG; gpg4win.

A2. منتظم جي حقن سان VeraCrypt سافٽ ويئر انسٽال ڪرڻ / هلائڻونڊوز لينڪس انسٽال ٿيل سسٽم جي مڪمل ڊسڪ انڪرپشن. انڪرپٽ ٿيل ملٽي بوٽ

A3. فعال ورهاڱي لاء سسٽم انڪرپشن پيٽرولر چونڊيوVeraCrypt - سسٽم - انڪرپٽ سسٽم ورهاڱي / ڊسڪ - عام - انڪرپٽ ونڊوز سسٽم ورهاڱي - ملٽي بوٽ - (خبردار: "غير تجربيڪار صارفين کي هي طريقو استعمال ڪرڻ جي سفارش نه ڪئي وئي آهي" ۽ اهو سچ آهي، اسان متفق آهيون "ها") - بوٽ ڊسڪ ("ها"، جيتوڻيڪ ائين نه هجي، تڏهن به "ها") - سسٽم ڊسڪ جو تعداد "2 يا وڌيڪ" - هڪ ڊسڪ تي ڪيترائي سسٽم "ها" - غير ونڊوز بوٽ لوڊر "نه" (حقيقت ۾، "ها،" پر VeraCrypt/GRUB2 بوٽ لوڊ ڪندڙ پاڻ ۾ MBR شيئر نه ڪندا؛ وڌيڪ واضح طور تي، صرف بوٽ لوڊر ڪوڊ جو ننڍڙو حصو MBR/بوٽ ٽريڪ ۾ ذخيرو ٿيل آهي، ان جو مکيه حصو آهي فائل سسٽم ۾ واقع) - ملٽي بوٽ - انڪرپشن سيٽنگون ...

جيڪڏهن توهان مٿين قدمن کان انحراف ڪيو (بلاڪ سسٽم انڪرپشن اسڪيمون)، پوءِ VeraCrypt هڪ ڊيڄاريندڙ جاري ڪندو ۽ توهان کي ورهاڱي کي انڪرپٽ ڪرڻ جي اجازت نه ڏيندو.

ھدف ٿيل ڊيٽا جي حفاظت لاءِ ايندڙ قدم ۾، ھڪ ”ٽيسٽ“ ڪريو ۽ ھڪ انڪرپشن الگورٿم چونڊيو. جيڪڏهن توهان وٽ هڪ پراڻو سي پي يو آهي، ته گهڻو ڪري ممڪن آهي ته تيز ترين انڪرپشن الگورٿم ٻه مڇي هوندي. جيڪڏهن سي پي يو طاقتور آهي، توهان فرق محسوس ڪندا: AES انڪرپشن، ٽيسٽ جي نتيجن مطابق، ان جي ڪرپٽو مقابلن کان ڪيترائي ڀيرا تيز ٿي ويندي. AES هڪ مشهور انڪرپشن الگورٿم آهي؛ جديد سي پي يوز جو هارڊويئر خاص طور تي ”راز“ ۽ ”هيڪنگ“ ٻنهي لاءِ بهتر ڪيو ويو آهي.

VeraCrypt هڪ AES cascade ۾ ڊسڪ کي انڪرپٽ ڪرڻ جي صلاحيت کي سپورٽ ڪري ٿو(ٻه مڇي)/ ۽ ٻيا مجموعا. ڏهه سال اڳ کان هڪ پراڻي ڪور Intel CPU تي (AES، A/T cascade encryption لاءِ هارڊويئر سپورٽ کان سواءِ) ڪارڪردگي ۾ گهٽتائي لازمي طور تي ناقابل قبول آهي. (ساڳئي دور جي AMD سي پي يوز لاءِ/ ~ پيٽرولر، ڪارڪردگي ٿوري گھٽجي وئي آهي). OS متحرڪ طور تي ڪم ڪري ٿو ۽ شفاف انڪرپشن لاءِ وسيلن جو استعمال پوشيده آهي. ان جي ابتڙ، مثال طور، نصب ٿيل غير مستحڪم ٽيسٽ ڊيسڪ ٽاپ ماحول Mate v1.20.1 جي ڪري ڪارڪردگي ۾ قابل ذڪر گهٽتائي آهي. (يا v1.20.2 مون کي بلڪل ياد ناهي) GNU/Linux ۾، يا Windows7↑ ۾ ٽيليميٽري روٽين جي آپريشن جي ڪري. عام طور تي، تجربا ڪندڙ استعمال ڪندڙ هارڊويئر ڪارڪردگي جا امتحان ڪن ٿا انڪرپشن کان اڳ. مثال طور، Aida64/Sysbench/systemd-analyze ۾ الزام جو مقابلو ڪيو ويو آهي ساڳين تجربن جي نتيجن سان سسٽم کي انڪرپٽ ڪرڻ کان پوءِ، انهيءَ ڪري پاڻ لاءِ هن افساني کي رد ڪري ٿو ته ”سسٽم انڪرپشن نقصانڪار آهي“. انڪريپٽ ٿيل ڊيٽا کي بيڪ اپ/بحال ڪرڻ وقت مشين جي سست رفتاري ۽ تڪليف قابل ذڪر آهي، ڇاڪاڻ ته "سسٽم ڊيٽا بيڪ اپ" آپريشن خود ms ۾ ماپ نه ڪيو ويو آهي، ۽ اهي ساڳيون شامل ڪيا ويا آهن. آخرڪار، هر صارف جنهن کي ڪرپٽوگرافيءَ سان ٽِڪر ڪرڻ جي اجازت ڏني وڃي ٿي، انڪريپشن الگورٿم کي هٿ ۾ رکي ڪمن جي اطمينان جي خلاف، انهن جي پروانيا جي سطح، ۽ استعمال جي آسانيءَ جي خلاف.

اهو بهتر آهي ته PIM پيٽرولر کي ڊفالٽ طور ڇڏي ڏيو، انهي ڪري ته جڏهن OS لوڊ ڪري رهيا آهيو توهان کي هر دفعي صحيح ورجائي قدر داخل ڪرڻ جي ضرورت ناهي. VeraCrypt واقعي ”سست هيش“ ٺاهڻ لاءِ وڏي تعداد ۾ تکرار استعمال ڪري ٿو. اهڙي ”crypto snail“ تي حملو Brute force/ Rainbow Table Method کي استعمال ڪندي صرف هڪ مختصر ”سادو“ پاسفريس ۽ قرباني جي ذاتي چارسيٽ لسٽ سان سمجھ ۾ اچي ٿو. پاسورڊ جي طاقت لاءِ ادا ڪرڻ جي قيمت OS کي لوڊ ڪندي صحيح پاسورڊ داخل ڪرڻ ۾ دير آهي. (GNU/Linux ۾ VeraCrypt حجم کي وڌائڻ تمام تيز آھي).
برٽ فورس حملن کي لاڳو ڪرڻ لاء مفت سافٽ ويئر (VeraCrypt/LUKS ڊسڪ هيڊر مان پاسفريس ڪڍو) هاشڪيٽ. جان دي ريپر کي خبر ناهي ته ڪيئن ”ويراڪريپٽ“ کي ٽوڙيو وڃي، ۽ جڏهن LUKS سان ڪم ڪري رهيو آهي ته اهو نه ٿو سمجهي Twofish cryptography.

انڪريپشن الگورٿمز جي ڪرپٽوگرافڪ طاقت جي ڪري، نه روڪي سگهندڙ سائپرپنڪس هڪ مختلف حملي واري ویکٹر سان سافٽ ويئر ٺاهي رهيا آهن. مثال طور، RAM مان ميٽا ڊيٽا/ڪيز ڪڍڻ (ٿڌي بوٽ / سڌو ميموري رسائي جو حملو) انهن مقصدن لاءِ خاص مفت ۽ غير مفت سافٽ ويئر آهي.

انڪريپٽ ٿيل فعال ورهاڱي جي "منفرد ميٽا ڊيٽا" کي ترتيب ڏيڻ / پيدا ڪرڻ جي مڪمل ٿيڻ تي، VeraCrypt PC کي ٻيهر شروع ڪرڻ ۽ ان جي بوٽ لوڊر جي ڪارڪردگي کي جانچڻ جي آڇ ڪندو. ونڊوز کي ريبوٽ ڪرڻ/شروع ڪرڻ کان پوءِ، VeraCrypt اسٽينڊ بائي موڊ ۾ لوڊ ٿيندو، باقي اهو سڀ ڪجهه انڪريپشن جي عمل جي تصديق ڪرڻ آهي - Y.

سسٽم انڪرپشن جي آخري مرحلي تي، VeraCrypt پيش ڪندو ته "veracrypt Rescue disk.iso" جي صورت ۾ فعال انڪرپٽ ٿيل ورهاڱي جي هيڊر جي هڪ بيڪ اپ ڪاپي ٺاهي - اهو ٿيڻ گهرجي - هن سافٽ ويئر ۾ اهڙي آپريشن جي ضرورت آهي (LUKS ۾، ضرورت جي طور تي - اهو بدقسمتي سان ختم ڪيو ويو آهي، پر دستاويز ۾ زور ڏنو ويو آهي). ریسکيو ڊسڪ هر ڪنهن لاءِ ڪارائتو هوندو، ۽ ڪجهه وقت کان وڌيڪ. نقصان (هيڊر/MBR ٻيهر لکڻ) هيڊر جي هڪ بيڪ اپ ڪاپي مستقل طور تي او ايس ونڊوز سان ڊريڪٽ ٿيل ورهاڱي تائين رسائي کي رد ڪندي.

A4. هڪ VeraCrypt بچاء USB / ڊسڪ ٺاهڻڊفالٽ طور، VeraCrypt پيش ڪري ٿو "~ 2-3MB جي ميٽا ڊيٽا" کي ساڙڻ لاءِ سي ڊي، پر سڀني ماڻهن وٽ ڊسڪ يا DWD-ROM ڊرائيو ناهي، ۽ هڪ بوٽبل فليش ڊرائيو ٺاهڻ "VeraCrypt Rescue disk" ڪجهه لاءِ هڪ ٽيڪنيڪل تعجب هوندو: Rufus /GUIdd-ROSA ImageWriter ۽ ٻيا ساڳيا سافٽ ويئر ڪم کي منهن ڏيڻ جي قابل نه هوندا، ڇو ته بوٽبل فليش ڊرائيو تي آفسيٽ ميٽاداٽا کي نقل ڪرڻ کان علاوه، توهان کي USB ڊرائيو جي فائل سسٽم کان ٻاهر تصوير کي ڪاپي / پيسٽ ڪرڻ جي ضرورت آهي، مختصر ۾، صحيح طريقي سان نقل ڪريو MBR/road to keychain. توھان GNU/Linux OS مان بوٽبل فلي ڊرائيو ٺاھي سگھوٿا ”dd“ يوٽيليٽي استعمال ڪندي، ھن نشاني کي ڏسي.

ونڊوز لينڪس انسٽال ٿيل سسٽم جي مڪمل ڊسڪ انڪرپشن. انڪرپٽ ٿيل ملٽي بوٽ

ونڊوز ماحول ۾ بچاء واري ڊسڪ ٺاهڻ مختلف آهي. VeraCrypt جي ڊولپر هن مسئلي جو حل سرڪاري ۾ شامل نه ڪيو دستاويز "ريسڪيو ڊسڪ" طرفان، پر هڪ مختلف طريقي سان حل پيش ڪيو: هن پنهنجي VeraCrypt فورم تي مفت رسائي لاءِ "يو ايس بي ريسڪيو ڊسڪ" ٺاهڻ لاءِ اضافي سافٽ ويئر پوسٽ ڪيو. ونڊوز لاءِ هن سافٽ ويئر جو آرڪائيوسٽ آهي ”بنائي رهيو آهي يو ايس بي ويرڪريپ ريسڪيو ڊسڪ“. ریسکيو disk.iso کي محفوظ ڪرڻ کان پوء، فعال ورهاڱي جي بلاڪ سسٽم انڪرپشن جو عمل شروع ٿيندو. انڪرپشن دوران، او ايس جو آپريشن بند نٿو ٿئي؛ هڪ پي سي ٻيهر شروع ڪرڻ جي ضرورت ناهي. انڪريپشن آپريشن جي مڪمل ٿيڻ تي، فعال ورهاڱي مڪمل طور تي انڪوڊ ٿيل ۽ استعمال ڪري سگھجي ٿو. جيڪڏهن VeraCrypt بوٽ لوڊر ظاهر نٿو ٿئي جڏهن توهان PC کي شروع ڪندا آهيو، ۽ هيڊر وصولي آپريشن مدد نه ڪندو آهي، پوء "بوٽ" پرچم کي چيڪ ڪريو، اهو ضروري آهي ته ورهاڱي تي سيٽ ڪيو وڃي جتي ونڊوز موجود آهي. (انڪريپشن ۽ ٻين او ايس کان سواء، ٽيبل نمبر 1 ڏسو).
هي ونڊوز او ايس سان بلاڪ سسٽم انڪرپشن جي وضاحت کي مڪمل ڪري ٿو.

[ب] LUKS. GNU/Linux انڪرپشن (~ ديبين) نصب ٿيل OS. الگورتھم ۽ قدم

انسٽال ٿيل ڊيبين/ڊيريوٽيوٽ ڊسٽريبيوشن کي انڪرپٽ ڪرڻ لاءِ، توهان کي تيار ڪيل ورچوئل بلاڪ ڊيوائس تي نقشي ٺاهڻ جي ضرورت آهي، ان کي ميپ ٿيل GNU/Linux ڊسڪ ڏانهن منتقل ڪريو، ۽ GRUB2 انسٽال/ڪانفيگر ڪريو. جيڪڏهن توهان وٽ بيئر ميٽيل سرور نه آهي، ۽ توهان پنهنجي وقت جو قدر ڪريو ٿا، پوء توهان کي GUI استعمال ڪرڻ جي ضرورت آهي، ۽ هيٺ ڏنل بيان ڪيل اڪثر ٽرمينل حڪمن جو مطلب آهي "چڪ-نوريس موڊ" ۾ هلائڻ لاء.

ب1. لائيو USB GNU/Linux مان پي سي کي بوٽ ڪرڻ

"هارڊويئر ڪارڪردگي لاءِ هڪ crypto ٽيسٽ کي منظم ڪريو"

lscpu && сryptsetup benchmark

ونڊوز لينڪس انسٽال ٿيل سسٽم جي مڪمل ڊسڪ انڪرپشن. انڪرپٽ ٿيل ملٽي بوٽ

جيڪڏهن توهان AES هارڊويئر سپورٽ سان طاقتور ڪار جا خوش مالڪ آهيو، ته پوءِ انگ اکر ٽرمينل جي ساڄي پاسي وانگر نظر ايندا؛ جيڪڏهن توهان خوش مالڪ آهيو، پر پراڻين هارڊويئر سان، انگ اکر کاٻي پاسي وانگر نظر ايندا.

ب2. ڊسڪ ورهاڱي. Fs لاجيڪل ڊسڪ HDD کي Ext4 (Gparted) تي چڙهڻ/فارميٽ ڪرڻ

B2.1. هڪ اينڪريڊ ٿيل sda7 ورهاڱي جي هيڊر ٺاهينديمان ورهاڱي جا نالا بيان ڪندس، هتي ۽ اڳتي، مٿي ڏنل منهنجي ورهاڱي واري جدول جي مطابق. توهان جي ڊسڪ جي ترتيب جي مطابق، توهان کي توهان جي ورهاڱي جا نالا متبادل ڪرڻ گهرجن.

منطقي ڊرائيو انڪرپشن ميپنگ (/dev/sda7 > /dev/mapper/sda7_crypt).
# آسان تخليق "LUKS-AES-XTS ورهاڱي"

cryptsetup -v -y luksFormat /dev/sda7

اختيارن:

* luksFormat - LUKS هيڊر جي شروعات؛
* -y -پاسفراز (نه ڪي/فائل)؛
* -v -verbalization (ٽرمينل ۾ معلومات ڏيکاريندي)؛
* /dev/sda7 - وڌايل ورهاڱي مان توهان جي منطقي ڊسڪ (جتي اهو GNU/Linux کي منتقلي/انڪرپٽ ڪرڻ جو منصوبو آهي).

ڊفالٽ انڪرپشن الگورتھم <LUKS1: aes-xts-plain64, Key: 256 bits, LUKS header hashing: sha256, RNG: /dev/urandom> (cryptsetup ورجن تي منحصر آهي).

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

جيڪڏهن سي پي يو تي AES لاءِ هارڊويئر سپورٽ نه آهي، ته بهترين انتخاب هڪ وڌايل ”LUKS-Twofish-XTS-partition“ ٺاهڻ هوندو.

ب 2.2. LUKS-Twofish-XTS-partition جي ترقي يافته تخليق

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

اختيارن:
* luksFormat - LUKS هيڊر جي شروعات؛
* /dev/sda7 توهان جي مستقبل جي انڪرپٽ ٿيل منطقي ڊسڪ آهي.
* -v لفظي ڪرڻ؛
* -y پاسورڊ؛
* -c چونڊيو ڊيٽا انڪرپشن الگورٿم؛
* -s انڪرپشن ڪيڏي سائيز؛
* -h hashing algorithm/crypto function، RNG استعمال ٿيل (--استعمال- urandom) منطقي ڊسڪ هيڊر لاءِ هڪ منفرد انڪرپشن/ڊڪرپشن ڪيچ ٺاهڻ لاءِ، هڪ سيڪنڊري هيڊر ڪي (XTS)؛ انڪريپٽ ٿيل ڊسڪ هيڊر ۾ ذخيرو ٿيل هڪ منفرد ماسٽر ڪيئي، هڪ ثانوي XTS ڪيئي، هي سڀ ميٽا ڊيٽا ۽ هڪ انڪرپشن روٽين جيڪو، ماسٽر ڪي ۽ ثانوي XTS ڪيئي استعمال ڪندي، ورهاڱي تي ڪنهن به ڊيٽا کي انڪرپٽ/ڊيڪرپٽ ڪري ٿو. (سيڪشن جي عنوان کان سواء) منتخب ٿيل هارڊ ڊسڪ ورهاڱي تي ~ 3MB ۾ ذخيرو ٿيل.
* -i ٻيهر ملائي سيڪنڊن ۾، "رقم" جي بدران (وقت جي دير جڏهن پاسفريس کي پروسيس ڪندي OS جي لوڊشيڊنگ تي اثر انداز ٿئي ٿي ۽ ڪنجي جي ڪرپٽوگرافڪ طاقت). ڪرپٽوگرافڪ طاقت جي توازن کي برقرار رکڻ لاءِ، هڪ سادي پاسورڊ سان جيئن ”روسي“ توهان کي وڌائڻو پوندو -(i) قدر؛ هڪ پيچيده پاسورڊ سان جيئن ”؟8dƱob/øfh“ قدر گهٽجي سگهي ٿي.
* -استعمال ڪريو-Urandom بي ترتيب نمبر جنريٽر، چابيون ۽ لوڻ ٺاهي ٿو.

سيڪشن کي ميپ ڪرڻ کان پوء sda7 > sda7_crypt (آپريشن تيز آهي، ڇاڪاڻ ته هڪ انڪرپٽ ٿيل هيڊر ٺاهيو ويو آهي ~ 3 MB ميٽا ڊيٽا سان ۽ اهو ئي آهي)، توهان کي فارميٽ ڪرڻ جي ضرورت آهي ۽ sda7_crypt فائل سسٽم کي نصب ڪرڻ جي ضرورت آهي.

B2.3. نسبت

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

اختيارن:
* کوليو - سيڪشن سان ملائي "نالو سان"؛
* /dev/sda7 - منطقي ڊسڪ؛
* sda7_crypt - نالو ميپنگ جيڪو انڪريپٽ ٿيل ورهاڱي کي نصب ڪرڻ يا ان کي شروع ڪرڻ لاء استعمال ڪيو ويندو آهي جڏهن او ايس بوٽن.

B2.4. sda7_crypt فائل سسٽم کي فارميٽ ڪرڻ ext4. او ايس ۾ ڊسڪ کي نصب ڪرڻ(نوٽ: توهان Gparted ۾ هڪ انڪرپٽ ٿيل ورهاڱي سان ڪم ڪرڻ جي قابل نه هوندا)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt

اختيارن:
* -v -فعل ڪرڻ؛
* -L - ڊرائيو ليبل (جيڪو ٻين ڊرائيو جي وچ ۾ ايڪسپلورر ۾ ڏيکاريل آهي).

اڳيون، توهان کي نصب ڪرڻ گهرجي مجازي-انڪريڊ ٿيل بلاڪ ڊوائيس /dev/sda7_crypt سسٽم ڏانهن

mount /dev/mapper/sda7_crypt /mnt

/mnt فولڊر ۾ فائلن سان ڪم ڪرڻ خودڪار طريقي سان sda7 ۾ ڊيٽا کي انڪرپٽ/ڊيڪرپٽ ڪندو.

اهو Explorer ۾ ورهاڱي کي نقشي ۽ نصب ڪرڻ لاء وڌيڪ آسان آهي (nautilus/caja GUI), ورهاڱو اڳ ۾ ئي ڊسڪ جي چونڊ فهرست ۾ هوندو، باقي اهو آهي ته ڊسڪ کي کولڻ/ڊڪرپٽ ڪرڻ لاءِ پاسفريس داخل ڪرڻ لاءِ. ملندڙ نالو خودڪار طريقي سان چونڊيو ويندو ۽ "sda7_crypt" نه، پر ڪجهه جهڙو /dev/mapper/Luks-xx-xx...

B2.5. ڊسڪ هيڊر بيڪ اپ (~ 3MB ميٽا ڊيٽا)سڀ کان وڌيڪ اهم آپريشن جيڪي بغير دير ڪرڻ جي ضرورت آھي - "sda7_crypt" ھيڊر جي بيڪ اپ ڪاپي. جيڪڏهن توهان مٿي لکو/سر کي نقصان پهچايو (مثال طور، sda2 ورهاڱي تي GRUB7 انسٽال ڪرڻ وغيره.), انڪريپٽ ٿيل ڊيٽا مڪمل طور تي گم ٿي ويندي ان کي ٻيهر حاصل ڪرڻ جي ڪنهن به امڪان کان سواء، ڇاڪاڻ ته اهو ساڳيو چابيون ٻيهر پيدا ڪرڻ ناممڪن آهي؛ چابيون منفرد طور تي ٺاهيا ويا آهن.

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7 


#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

اختيارن:
* luksHeaderBackup -header-backup-file -backup command؛
* luksHeaderRestore -header-backup-file -restore command؛
* ~/Backup_DebSHIFR - بيڪ اپ فائل؛
* /dev/sda7 - ورهاڱو جنهن جي انڪريپٽ ٿيل ڊسڪ هيڊر جي بيڪ اپ ڪاپي کي محفوظ ڪيو وڃي.
هن قدم تي مڪمل ٿي چڪو آهي.

ب3. پورٽنگ GNU/Linux OS (sda4) هڪ انڪرپٽ ٿيل ورهاڱي ڏانهن (sda7)

فولڊر ٺاهيو /mnt2 (نوٽ - اسان اڃا تائين لائيو يو ايس بي سان ڪم ڪري رهيا آهيون، sda7_crypt /mnt تي نصب ٿيل آهي)، ۽ اسان جي GNU/Linux کي /mnt2 ۾ نصب ڪريو، جنهن کي انڪرپٽ ٿيڻ جي ضرورت آهي.

mkdir /mnt2
mount /dev/sda4 /mnt2

اسان Rsync سافٽ ويئر استعمال ڪندي صحيح OS منتقلي ڪندا آهيون

rsync -avlxhHX --progress /mnt2/ /mnt

Rsync اختيارن کي پيراگراف E1 ۾ بيان ڪيو ويو آھي.

وڌيڪ، ضروري آهي هڪ منطقي ڊسڪ ورهاڱي کي ختم ڪريو

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

ان کي هڪ قاعدو ٺاهيو: E4defrag انڪريپٽ ٿيل GNU/Linux تي وقت بوقت ڪريو جيڪڏهن توهان وٽ HDD آهي.
منتقلي ۽ هم وقت سازي [GNU/Linux> GNU/Linux-encrypted] هن قدم تي مڪمل ڪئي وئي آهي.

اي ٽي 4. GNU/Linux کي ترتيب ڏيڻ هڪ اينڪريڊ ٿيل sda7 ورهاڱي تي

OS /dev/sda4 > /dev/sda7 کي ڪاميابيءَ سان منتقل ڪرڻ کان پوءِ، توهان کي انڪرپٽ ٿيل ورهاڱي تي GNU/Linux ۾ لاگ ان ٿيڻو پوندو ۽ وڌيڪ ترتيب ڏيڻ جي ضرورت پوندي. (پي سي کي ريبوٽ ڪرڻ کان سواء) هڪ انڪوڊ ٿيل سسٽم سان لاڳاپيل. اهو آهي، لائيو يو ايس بي ۾، پر حڪمن تي عمل ڪريو "انڪريپٽ ٿيل او ايس جي روٽ سان لاڳاپيل." "chroot" ساڳي صورتحال کي نقل ڪندو. جلدي معلومات حاصل ڪرڻ لاءِ جنهن OS تي توهان هن وقت ڪم ڪري رهيا آهيو (انڪريپ ٿيل يا نه، ڇو ته sda4 ۽ sda7 ۾ ڊيٽا هم وقت سازي ڪئي وئي آهي)، او ايس کي ختم ڪريو. روٽ ڊائريڪٽرن ۾ ٺاهيو (sda4/sda7_crypt) خالي مارڪر فائلون، مثال طور، /mnt/encryptedOS ۽ /mnt2/decryptedOS. جلدي چيڪ ڪريو توهان ڪهڙي OS تي آهيو (بشمول مستقبل لاء):

ls /<Tab-Tab>

B4.1. "هڪ اينڪرپٽ ٿيل او ايس ۾ لاگ ان ٿيڻ جي تخليق"

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. تصديق ڪري ٿو ته ڪم هڪ انڪوڊ ٿيل سسٽم جي خلاف ڪيو ويو آهي

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"


history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. ٺاھڻ/ترتيب ڪرڻ انڪريپٽ ٿيل ادل، ايڊيٽنگ crypttab/fstabجيئن ته ادل واري فائل کي فارميٽ ڪيو ويندو آهي هر دفعي OS شروع ٿئي ٿو، اهو هاڻي هڪ منطقي ڊسڪ کي تبديل ڪرڻ ۽ نقشي ٺاهڻ جو ڪو به مطلب ناهي، ۽ حڪمن کي ٽائپ ڪريو جيئن پيراگراف B2.2 ۾. ادل بدلڻ لاءِ، ان جون پنهنجون عارضي انڪرپشن ڪيز پاڻمرادو ٺاهيا ويندا هر شروعات ۾. ادل بدلي چاٻين جو لائف چڪر: اُن ماؤنٽنگ/ اَن ماؤنٽنگ ادل بدلڻ (+صفائي رام)؛ يا OS کي ٻيهر شروع ڪريو. ادل بدلائڻ، بلاڪ اينڪرپٽ ٿيل ڊوائيسز جي ترتيب لاءِ ذميوار فائل کولڻ (هڪ fstab فائل جي برابر، پر crypto لاء ذميوار).

nano /etc/crypttab

اسان ترميم ڪريون ٿا

# "هدف جو نالو" "ذريعو ڊيوائس" "ڪي فائل" "اختيارن"
ادل بدل /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512

اختيارين
* ادل - نقشو ٿيل نالو جڏهن انڪرپٽ ڪيو وڃي /dev/mapper/swap.
* /dev/sda8 - استعمال ڪريو پنھنجي منطقي ورهاڱي لاءِ.
* /dev/urandom - ادل بدلڻ لاءِ بي ترتيب انڪرپشن ڪنجين جو جنريٽر (هر نئين او ايس بوٽ سان، نيون چابيون ٺاهي وينديون آهن). /dev/urandom جنريٽر /dev/random کان گهٽ بي ترتيب آهي، سڀ کان پوءِ /dev/random استعمال ڪيو ويندو آهي جڏهن خطرناڪ غير معمولي حالتن ۾ ڪم ڪيو وڃي. جڏهن او ايس لوڊ ڪندي، /dev/random ڪيترن ئي ± منٽن لاءِ لوڊشيڊنگ کي سست ڪري ٿو (ڏسو سسٽم ڊي-تجزيو).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -The partition knows that it is swap ۽ فارميٽ ڪيو ويو آهي "مطابق"؛ انڪرپشن الگورتھم.

#Открываем и правим fstab
nano /etc/fstab

اسان ترميم ڪريون ٿا

انسٽاليشن دوران # ادلگي تي / dev / sda8 ٿي
/dev/mapper/swap ڪو به نه ادل sw 0 0

/dev/mapper/swap اهو نالو آهي جيڪو crypttab ۾ مقرر ڪيو ويو آهي.

متبادل انڪوڊ ٿيل ادل
جيڪڏهن ڪنهن سبب جي ڪري توهان ادل بدلي فائل لاءِ پوري ورهاڱي کي ڇڏي ڏيڻ نٿا چاهيو، ته پوءِ توهان هڪ متبادل ۽ بهتر طريقو اختيار ڪري سگهو ٿا: OS سان گڏ انڪريپٽ ٿيل ورهاڱي تي فائل ۾ ادل بدلي فائل ٺاهي.

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

ادل بدلي ورهاڱي جي سيٽ اپ مڪمل آهي.

B4.4. اينڪرپٽ ٿيل GNU/Linux ترتيب ڏيڻ (crypttab/fstab فائلن کي تبديل ڪرڻ)/etc/crypttab فائل، جيئن مٿي لکيو ويو آهي، بيان ڪري ٿو اينڪرپٽ ٿيل بلاڪ ڊوائيسز جيڪي سسٽم بوٽ دوران ترتيب ڏنل آهن.

#правим /etc/crypttab 
nano /etc/crypttab

جيڪڏهن توهان sda7>sda7_crypt سيڪشن سان ملايو جيئن پيراگراف B2.1 ۾

# "هدف جو نالو" "ذريعو ڊوائيس" "ڪي فائل" "اختيارن"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

جيڪڏهن توهان sda7>sda7_crypt سيڪشن سان ملايو جيئن پيراگراف B2.2 ۾

# "هدف جو نالو" "ذريعو ڊوائيس" "ڪي فائل" "اختيارن"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

جيڪڏهن توهان sda7>sda7_crypt سيڪشن سان ملايو آهي جيئن پيراگراف B2.1 يا B2.2 ۾، پر او ايس کي ان لاڪ ۽ بوٽ ڪرڻ لاءِ پاسورڊ ٻيهر داخل ڪرڻ نٿا چاهيو، ته پوءِ پاسورڊ جي بدران توهان هڪ ڳجهي ڪي/بي ترتيب واري فائل کي متبادل ڪري سگهو ٿا.

# "هدف جو نالو" "ذريعو ڊوائيس" "ڪي فائل" "اختيارن"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

بيان
* ڪو به نه - رپورٽ ڪري ٿو ته جڏهن او ايس لوڊ ڪندي، روٽ کي انلاڪ ڪرڻ لاء هڪ ڳجهي پاسفريس داخل ڪرڻ جي ضرورت آهي.
* UUID - ورهاڱي جي سڃاڻپ ڪندڙ. توھان جي سڃاڻپ کي ڳولڻ لاء، ٽرمينل ۾ ٽائپ ڪريو (ياد ڏياريو ته هن وقت کان اڳتي، توهان هڪ ٽرمينل ۾ ڪم ڪري رهيا آهيو ڪروٽ ماحول ۾، ۽ نه ڪنهن ٻئي لائيو يو ايس بي ٽرمينل ۾).

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

هي لڪير تڏهن نظر اچي ٿي جڏهن blkid کي لائيو يو ايس بي ٽرمينل مان sda7_crypt mounted سان گذارش ڪجي ٿي).
توھان وٺو UUID پنھنجي sdaX مان (نه sdaX_crypt!، UUID sdaX_crypt - خود بخود ڇڏي ويندو جڏهن grub.cfg ترتيب ٺاهيندي).
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks انڪريپشن ايڊوانس موڊ ۾.
* /etc/skey - ڳجهي ڪي فائل، جيڪا خودڪار طور تي داخل ڪئي وئي آهي او ايس بوٽ کي ان لاڪ ڪرڻ لاءِ (3rd پاسورڊ داخل ڪرڻ جي بدران). توھان 8MB تائين ڪا به فائل بيان ڪري سگھو ٿا، پر ڊيٽا پڙھي ويندي <1MB.

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey


#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7

اهو ڪجهه هن طرح نظر ايندو:

(اهو پاڻ ڪريو ۽ پاڻ لاء ڏسو).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab مختلف فائل سسٽم بابت وضاحتي معلومات تي مشتمل آهي.

#Правим /etc/fstab
nano /etc/fstab

# "فائل سسٽم" "ماؤنٽ پوائنٽ" "قسم" "اختيارن" "ڊمپ" "پاس"
انسٽاليشن دوران # / تي / dev / sda7 ٿي
/dev/mapper/sda7_crypt/ext4 errors=remount-ro 0 1

اختيار
* /dev/mapper/sda7_crypt - sda7>sda7_crypt ميپنگ جو نالو، جيڪو /etc/crypttab فائل ۾ بيان ڪيو ويو آهي.
crypttab/fstab سيٽ اپ مڪمل آهي.

B4.5. ترتيب ڏيڻ واري فائلن کي تبديل ڪرڻ. اهم لمحوB4.5.1. config /etc/initramfs-tools/conf.d/resume کي تبديل ڪندي

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

۽ تبصرو ڪيو (جيڪڏهن موجود هجي) "#" لائن "ٻيهر شروع ڪريو". فائل مڪمل طور تي خالي هجڻ گهرجي.

B4.5.2. ترتيب کي تبديل ڪندي /etc/initramfs-tools/conf.d/cryptsetup

nano /etc/initramfs-tools/conf.d/cryptsetup

ملائڻ گهرجي

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=ها
CRYPTSETUP برآمد ڪريو

B4.5.3. تبديل ڪندي /etc/default/grub config (هي ترتيب grub.cfg پيدا ڪرڻ جي صلاحيت لاءِ ذميوار آهي جڏهن انڪرپٽ ٿيل /بوٽ سان ڪم ڪري رهيو آهي)

nano /etc/default/grub

لائن شامل ڪريو "GRUB_ENABLE_CRYPTODISK=y"
قدر 'y'، grub-mkconfig ۽ grub-install انڪرپٽ ٿيل ڊرائيوز جي چڪاس ڪندا ۽ بوٽ وقت تي انھن تائين رسائي لاءِ گهربل اضافي ڪمانڊ ٺاھيندا. (insmods ).
هڪجهڙائي هجڻ گهرجي

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=Vendor"
GRUB_CMDLINE_LINUX="خاموش اسپلش نوآٽوماؤنٽ"
GRUB_ENABLE_CRYPTODISK=y

B4.5.4. config /etc/cryptsetup-initramfs/conf-hook کي تبديل ڪندي

nano /etc/cryptsetup-initramfs/conf-hook

چيڪ ڪريو ته لائين تبصرو ڪيو ويو آهي .
مستقبل ۾ (۽ اڃا به، هن پيٽرولر جو ڪو به مطلب نه هوندو، پر ڪڏهن ڪڏهن اهو initrd.img تصوير کي اپڊيٽ ڪرڻ ۾ مداخلت ڪندو آهي).

B4.5.5. config /etc/cryptsetup-initramfs/conf-hook کي تبديل ڪندي

nano /etc/cryptsetup-initramfs/conf-hook

شامل ڪيو

KEYFILE_PATTERN="/etc/skey"
UMASK=0077

هي ڳجهي چيڪ ”اسڪي“ کي initrd.img ۾ پيڪ ڪري ڇڏيندو، جڏهن او ايس بوٽ ٿئي ٿي ته روٽ کي ان لاڪ ڪرڻ لاءِ ڪنجي جي ضرورت پوندي. (جيڪڏهن توهان ٻيهر پاسورڊ داخل ڪرڻ نٿا چاهيو، ته "اسڪي" چيڪ ڪار لاء متبادل آهي).

B4.6. تازه ڪاري /boot/initrd.img [نسخ]ڳجهي چيڪ کي initrd.img ۾ پيڪ ڪرڻ ۽ cryptsetup fixes لاڳو ڪرڻ لاءِ، تصوير کي اپڊيٽ ڪريو

update-initramfs -u -k all

initrd.img کي اپڊيٽ ڪرڻ وقت (جيئن چون ٿا ته "اهو ممڪن آهي، پر اهو يقين نه آهي") cryptsetup سان لاڳاپيل ڊيڄاريندڙ ظاهر ٿيندا، يا، مثال طور، Nvidia ماڊلز جي نقصان بابت نوٽيفڪيشن - اهو عام آهي. فائل کي اپڊيٽ ڪرڻ کان پوء، چيڪ ڪريو ته اهو اصل ۾ اپڊيٽ ڪيو ويو آهي، وقت ڏسو (ڪروٽ ماحول سان لاڳاپيل./boot/initrd.img). مهرباني ڪري ڏسو! کان اڳ [update-initramfs -u -k all] پڪ ڪريو ته cryptsetup کليل آهي /dev/sda7 sda7_crypt - هي اهو نالو آهي جيڪو ظاهر ٿئي ٿو /etc/crypttab، ٻي صورت ۾ ريبوٽ کان پوء اتي هڪ busybox غلطي هوندي)
هن قدم تي، ترتيب ڏيڻ واري فائلن کي ترتيب ڏيڻ مڪمل آهي.

[سي] انسٽال ڪرڻ ۽ ترتيب ڏيڻ GRUB2/Protection

سي1. جيڪڏهن ضروري هجي ته، بوٽ لوڊر لاء وقف ورهاڱي کي فارميٽ ڪريو (هڪ ورهاڱي گهٽ ۾ گهٽ 20MB جي ضرورت آهي)

mkfs.ext4 -v -L GRUB2 /dev/sda6

سي2. Mount /dev/sda6 کان /mntتنهنڪري اسان chroot ۾ ڪم ڪريون ٿا، پوء روٽ ۾ /mnt2 ڊاريڪٽري نه هوندي، ۽ /mnt فولڊر خالي هوندو.
GRUB2 ورهاڱي کي نصب ڪريو

mount /dev/sda6 /mnt

جيڪڏهن توهان وٽ GRUB2 جو پراڻو ورزن انسٽال ٿيل آهي، /mnt/boot/grub/i-386-pc ڊاريڪٽري ۾ (ٻيو پليٽ فارم ممڪن آهي، مثال طور، نه "i386-pc") نه crypto ماڊلز (مختصر ۾، فولڊر ۾ ماڊل شامل آهن، جن ۾ شامل آهن .mod: cryptodisk؛ luks؛ gcry_twofish؛ gcry_sha512؛ signature_test.mod) هن حالت ۾، GRUB2 کي ڇڪڻ جي ضرورت آهي. 

apt-get update
apt-get install grub2

اهم! جڏهن GRUB2 پيڪيج کي ريپوزٽري مان تازه ڪاري ڪري رهيا آهيو، جڏهن پڇيو ويو "چونڊڻ جي باري ۾" جتي بوٽ لوڊر کي نصب ڪرڻ لاء، توهان کي انسٽاليشن کي رد ڪرڻ گهرجي (سبب - GRUB2 انسٽال ڪرڻ جي ڪوشش - "MBR" ۾ يا لائيو يو ايس بي تي). ٻي صورت ۾ توهان کي نقصان ٿيندو VeraCrypt هيڊر/لوڊر. GRUB2 پيڪيجز کي اپڊيٽ ڪرڻ ۽ انسٽاليشن کي منسوخ ڪرڻ کان پوء، بوٽ لوڊر کي لازمي طور تي نصب ڪيو وڃي دستي طور تي منطقي ڊسڪ تي، ۽ نه MBR ۾. جيڪڏهن توهان جي مخزن ۾ GRUB2 جو پراڻو نسخو آهي، ڪوشش ڪريو تازه ڪاري اهو سرڪاري ويب سائيٽ تان آهي - ان کي چيڪ نه ڪيو آهي (تازو GRUB 2.02 ~ BetaX بوٽ لوڊ ڪندڙن سان ڪم ڪيو).

سي3. GRUB2 کي وڌايل ورهاڱي ۾ انسٽال ڪرڻ [sda6]توهان وٽ هڪ نصب ٿيل ورهاڱي هجڻ گهرجي [آئٽم C.2] 

grub-install --force --root-directory=/mnt /dev/sda6

اختيارات
* -force - بوٽ لوڊر جي تنصيب، سڀني ڊيڄاريندڙن کي نظرانداز ڪندي جيڪي تقريبا هميشه موجود آهن ۽ تنصيب کي بلاڪ ڪريو (گهربل پرچم).
* --root-directory - ڊاريڪٽري کي sda6 جي روٽ تي سيٽ ڪري ٿو.
* /dev/sda6 - توهان جو sdaХ ورهاڱو (نه وڃايو جي وچ ۾ /mnt /dev/sda6).

ج4. ٺاھ جوڙ جي فائيل [grub.cfg]"update-grub2" ڪمانڊ جي باري ۾ وساريو، ۽ استعمال ڪريو مڪمل ڪنفيگريشن فائل جنريشن ڪمانڊ

grub-mkconfig -o /mnt/boot/grub/grub.cfg

grub.cfg فائل جي نسل/اپڊيٽنگ مڪمل ڪرڻ کان پوءِ، آئوٽ پٽ ٽرمينل ۾ ڊسڪ تي مليل OS سان گڏ لائن (لائن) هجڻ گهرجي. ("grub-mkconfig" شايد ڳولهيندو ۽ OS کي لائيو يو ايس بي مان چونڊيندو، جيڪڏهن توهان وٽ ملٽي بوٽ فليش ڊرائيو آهي Windows 10 ۽ لائيو تقسيم جو هڪ گروپ - اهو عام آهي). جيڪڏهن ٽرمينل "خالي" آهي ۽ "grub.cfg" فائل ٺاهيل نه آهي، پوء اهو ساڳيو معاملو آهي جڏهن سسٽم ۾ GRUB بگ موجود آهن. (۽ گهڻو ڪري لوڊ ڪندڙ مخزن جي ٽيسٽ شاخ مان) قابل اعتماد ذريعن مان GRUB2 ٻيهر انسٽال ڪريو.
"سادو ترتيب" جي انسٽاليشن ۽ GRUB2 سيٽ اپ مڪمل ٿي چڪو آهي.

سي5. انڪرپٽ ٿيل GNU/Linux OS جو پروف ٽيسٽاسان مڪمل ڪيو crypto مشن صحيح طرح. انڪريپٽ ٿيل GNU/Linux کي احتياط سان ڇڏي ڏيو (چونڊ ماحول مان نڪرڻ).

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

پي سي کي ريبوٽ ڪرڻ کان پوء، VeraCrypt بوٽ لوڊر کي لوڊ ڪرڻ گهرجي.
ونڊوز لينڪس انسٽال ٿيل سسٽم جي مڪمل ڊسڪ انڪرپشن. انڪرپٽ ٿيل ملٽي بوٽ

* فعال ورهاڱي لاءِ پاسورڊ داخل ڪرڻ سان ونڊوز لوڊ ٿيڻ شروع ٿي ويندي.
*"Esc" کي دٻائڻ سان ڪنٽرول GRUB2 ڏانهن منتقل ٿي ويندو، جيڪڏهن توهان انڪرپٽ ٿيل GNU/Linux چونڊيو ٿا - هڪ پاسورڊ (sda7_crypt) جي ضرورت پوندي ان لاڪ ڪرڻ لاءِ /boot/initrd.img (جيڪڏهن grub2 لکندو ته uuid "not found" - هي هڪ آهي مسئلو grub2 بوٽ لوڊر سان، ان کي ٻيهر انسٽال ڪيو وڃي، مثال طور، ٽيسٽ برانچ/مستحڪم وغيره).
ونڊوز لينڪس انسٽال ٿيل سسٽم جي مڪمل ڊسڪ انڪرپشن. انڪرپٽ ٿيل ملٽي بوٽ

*ان تي منحصر آهي ته توهان سسٽم کي ڪيئن ترتيب ڏنو آهي (پيراگراف B4.4/4.5 ڏسو)، /boot/initrd.img تصوير کي انلاڪ ڪرڻ لاءِ صحيح پاسورڊ داخل ڪرڻ کان پوءِ، توهان کي OS ڪرنل/روٽ، يا راز کي لوڊ ڪرڻ لاءِ پاسورڊ جي ضرورت پوندي. key خودڪار طريقي سان متبادل ٿي ويندي "sky"، پاسفريج کي ٻيهر داخل ڪرڻ جي ضرورت کي ختم ڪندي.
ونڊوز لينڪس انسٽال ٿيل سسٽم جي مڪمل ڊسڪ انڪرپشن. انڪرپٽ ٿيل ملٽي بوٽ
(اسڪرين "ڳجهي چاٻي جو خودڪار متبادل").

*پوءِ استعمال ڪندڙ اڪائونٽ جي تصديق سان GNU/Linux لوڊ ڪرڻ جو واقف عمل پيروي ڪندو.
ونڊوز لينڪس انسٽال ٿيل سسٽم جي مڪمل ڊسڪ انڪرپشن. انڪرپٽ ٿيل ملٽي بوٽ

*استعمال ڪندڙ جي اجازت ۽ او ايس ۾ لاگ ان ٿيڻ کان پوءِ، توهان کي ٻيهر اپڊيٽ ڪرڻ جي ضرورت آهي /boot/initrd.img (ڏسو B4.6).

update-initramfs -u -k all

۽ GRUB2 مينيو ۾ اضافي لائينن جي صورت ۾ (او ايس ايم پي اپ کان لائيو يو ايس بي سان) انهن مان نجات حاصل ڪريو

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

GNU/Linux سسٽم انڪرپشن جو تڪڙو خلاصو:

  • GNU/Linuxinux مڪمل طور تي انڪريپٽ ٿيل آهي، بشمول /boot/kernel ۽ initrd؛
  • ڳجهي چيڪ initrd.img ۾ پيڪ ٿيل آهي؛
  • موجوده اختيار جي اسڪيم (initrd کي انلاڪ ڪرڻ لاءِ پاسورڊ داخل ڪرڻ؛ او ايس کي بوٽ ڪرڻ لاءِ پاسورڊ/ڪي؛ لينڪس اڪائونٽ کي اختيار ڏيڻ لاءِ پاسورڊ).

"Simple GRUB2 Configuration" سسٽم انڪرپشن جو بلاڪ ورهاڱو مڪمل ٿيو.

سي6. ترقي يافته GRUB2 ترتيب. ڊجيٽل دستخط سان بوٽ لوڊر تحفظ + تصديق جي حفاظتGNU/Linux مڪمل طور تي انڪريپٽ ٿيل آهي، پر بوٽ لوڊر کي انڪريپٽ نه ٿو ڪري سگھجي - اها حالت BIOS پاران ترتيب ڏنل آهي. ان لاءِ، GRUB2 جو هڪ زنجير بند ٿيل بوٽ ممڪن ناهي، پر هڪ سادي زنجير ٿيل بوٽ ممڪن آهي/دستياب آهي، پر حفاظتي نقطي نظر کان اهو ضروري ناهي [ڏسو] پ. ف].
"حاصل" GRUB2 لاءِ، ڊولپرز لاڳو ڪيو "دستخط/تصديق" بوٽ لوڊر تحفظ الورورٿم.

  • جڏهن بوٽ لوڊر محفوظ آهي "پنهنجي ڊجيٽل دستخط"، فائلن جي خارجي ترميم، يا هن بوٽ لوڊر ۾ اضافي ماڊل لوڊ ڪرڻ جي ڪوشش، بوٽ جي عمل کي بلاڪ ڪيو ويندو.
  • جڏهن بوٽ لوڊر کي تصديق سان محفوظ ڪيو وڃي، هڪ تقسيم لوڊ ڪرڻ کي چونڊڻ لاء، يا CLI ۾ اضافي حڪم داخل ڪرڻ لاء، توهان کي لاگ ان ۽ پاسورڊ داخل ڪرڻ جي ضرورت پوندي سپر يوزر-GRUB2.

سي 6.1. بوٽ لوڊر جي تصديق جي حفاظتچيڪ ڪريو ته توھان ڪم ڪري رھيا آھيو ٽرمينل ۾ ھڪڙي اينڪريٽ ٿيل OS تي

ls /<Tab-Tab> #обнаружить файл-маркер

GRUB2 ۾ اختيار ڏيڻ لاءِ سپر يوزر پاسورڊ ٺاهيو 

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя.

پاسورڊ هيش حاصل ڪريو. ڪجهه هن طرح

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

GRUB ورهاڱي کي نصب ڪريو

mount /dev/sda6 /mnt

config ۾ ترميم ڪريو

nano -$ /mnt/boot/grub/grub.cfg

فائل جي ڳولا کي چيڪ ڪريو ته "grub.cfg" ("-unrestricted" "-user" ۾ ڪٿي به پرچم نه آهن،
آخر ۾ شامل ڪريو (ليڪ کان اڳ ### END /etc/grub.d/41_custom ###)
"سيٽ سپر يوزر = روٽ"
password_pbkdf2 روٽ هيش."

اهو ڪجهه هن طرح هجڻ گهرجي

# ھي فائل ڪسٽم مينيو داخل ڪرڻ لاء ھڪڙو آسان رستو مهيا ڪري ٿو. بس ٽائيپ ڪريو
# مينيو داخلون جيڪي توھان شامل ڪرڻ چاھيو ٿا ھن تبصري کان پوءِ. محتاط رکو ته تبديل نه ڪريو
# مٿي exاڻايل 'exec tail' لائن
### END /etc/grub.d/40_custom ###

### BEGIN /etc/grub.d/41_custom ###
جيڪڏهن [ -f ${config_directory}/custom.cfg]؛ پوءِ
ذريعو ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg]؛ پوءِ
ذريعو $prefix/custom.cfg؛
fi
مقرر ڪريو سپر استعمال ڪندڙ = "روٽ"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

جيڪڏهن توهان اڪثر استعمال ڪندا آهيو "grub-mkconfig -o /mnt/boot/grub/grub.cfg" ۽ هر ڀيري grub.cfg ۾ تبديليون ڪرڻ نٿا چاهيون، مٿين لائين داخل ڪريو (لاگ ان: پاسورڊ) GRUB استعمال ڪندڙ اسڪرپٽ ۾ تمام تري ۾ 

nano /etc/grub.d/41_custom

ٻلي <<EOF
مقرر ڪريو سپر استعمال ڪندڙ = "روٽ"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

جڏهن ترتيب ٺاهيندي "grub-mkconfig -o /mnt/boot/grub/grub.cfg"، تصديق لاءِ ذميوار لائينون پاڻمرادو grub.cfg ۾ شامل ڪيون وينديون.
هي قدم مڪمل ڪري ٿو GRUB2 تصديق سيٽ اپ.

سي 6.2. ڊجيٽل دستخط سان بوٽ لوڊر تحفظاهو فرض ڪيو ويو آهي ته توهان وٽ اڳ ۾ ئي توهان جي ذاتي pgp انڪرپشن ڪيچي آهي (يا اهڙي ڪيڏي ٺاهيو). سسٽم کي لازمي طور تي cryptographic سافٽ ويئر نصب ڪيو وڃي: gnuPG؛ ڪلوپيٽرا / جي پي اي؛ سامونڊي گھوڙا. Crypto سافٽ ويئر توهان جي زندگي کي تمام آسان بڻائي ڇڏيندو اهڙن سڀني معاملن ۾. Seahorse - پيڪيج جو مستحڪم نسخو 3.14.0 (ورجن اعلي، مثال طور، V3.20، ناقص آهن ۽ اهم ڪيڙا آهن).

PGP ڪيئي کي صرف su ماحول ۾ پيدا ڪرڻ/لانچ ڪرڻ/شامل ڪرڻ جي ضرورت آهي!

ذاتي انڪرپشن چيڪ ٺاھيو

gpg - -gen-key

پنھنجي چاٻي ٻاھر ڪريو

gpg --export -o ~/perskey

OS ۾ منطقي ڊسڪ کي نصب ڪريو جيڪڏھن اھو اڳ ۾ ئي نصب ٿيل نه آھي

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

GRUB2 ورهاڱي کي صاف ڪريو

rm -rf /mnt/

sda2 ۾ GRUB6 انسٽال ڪريو، پنھنجي خانگي ڪيئي کي مکيه GRUB تصوير "core.img" ۾ رکو.

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

اختيارات
* --force - بوٽ لوڊر کي انسٽال ڪريو، سڀني ڊيڄاريندڙن کي نظرانداز ڪندي جيڪي هميشه موجود آهن (گهربل پرچم).
* —modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - GRUB2 کي هدايت ڪري ٿو ته ضروري ماڊل اڳ لوڊ ڪرڻ لاءِ جڏهن PC شروع ٿئي.
* -k ~/perskey "PGP چاٻي" ڏانهن رستو (تصوير ۾ چيڪ پيڪ ڪرڻ کان پوء، ان کي ختم ڪري سگهجي ٿو).
* --root-directory - بوٽ ڊاريڪٽري کي سيٽ ڪريو sda6 جي روٽ تي
/dev/sda6 - توهان جي sdaX ورهاڱي.

grub.cfg پيدا ڪرڻ/اپڊيٽ ڪرڻ

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

"grub.cfg" فائل جي آخر ۾ "trust/boot/grub/perskey" لائن شامل ڪريو (pgp key جو زبردستي استعمال.) جيئن ته اسان GRUB2 کي ماڊلز جي هڪ سيٽ سان انسٽال ڪيو، بشمول دستخطي ماڊل “signature_test.mod”، هي ڪمانڊ شامل ڪرڻ جي ضرورت کي ختم ڪري ٿو جهڙوڪ “set check_signatures=enforce” ترتيب ۾.

اهو ڪجهه هن طرح ڏسڻ گهرجي (grub.cfg فائل ۾ آخري لائينون)

### BEGIN /etc/grub.d/41_custom ###
جيڪڏهن [ -f ${config_directory}/custom.cfg]؛ پوءِ
ذريعو ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg]؛ پوءِ
ذريعو $prefix/custom.cfg؛
fi
ڀروسو /boot/grub/perskey
مقرر ڪريو سپر استعمال ڪندڙ = "روٽ"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

"/boot/grub/perskey" ڏانهن رستو ڪنهن مخصوص ڊسڪ ورهاڱي ڏانهن اشارو ڪرڻ جي ضرورت ناهي، مثال طور hd0,6؛ خود بوٽ لوڊر لاء، "روٽ" ورهاڱي جو ڊفالٽ رستو آهي جنهن تي GRUB2 نصب ٿيل آهي. (ڏسو سيٽ روٽ = ...).

دستخط ڪرڻ GRUB2 (سڀني فائلون سڀني /GRUB ڊاريڪٽري ۾) توهان جي اهم "perskey" سان.
ڪيئن سائن ان ڪرڻ تي هڪ سادي حل (ناٽيلس/ڪجا ايڪسپلورر لاءِ): انسٽال ڪريو "سمنڊ هارس" ايڪسپلورر لاءِ ايڪسٽينشن ريپوزٽري مان. توھان جي چاٻي کي su ماحول ۾ شامل ڪيو وڃي.
اوپن ايڪسپلورر سان سوڊو “/ mnt/boot” – RMB – سائن. اسڪرين تي اهو هن وانگر ڏسڻ ۾ اچي ٿو

ونڊوز لينڪس انسٽال ٿيل سسٽم جي مڪمل ڊسڪ انڪرپشن. انڪرپٽ ٿيل ملٽي بوٽ

ڪنجي پاڻ آهي “/ mnt/boot/grub/perskey” (ڪپي ڊاريڪٽري ۾ گرب) توهان جي پنهنجي دستخط سان پڻ دستخط ٿيڻ گهرجي. چيڪ ڪريو ته [*.sig] فائل جا دستخط ڊاريڪٽري/سب ڊاريڪٽريز ۾ ظاهر ٿين ٿا.
مٿي بيان ڪيل طريقي کي استعمال ڪندي، سائن "/ بوٽ" (اسان جو ڪرنل، initrd). جيڪڏهن توهان جو وقت ڪنهن به شيءِ جي لائق آهي، ته پوءِ هي طريقو ”ڪيتريون فائلون“ سائن ڪرڻ لاءِ بش اسڪرپٽ لکڻ جي ضرورت کي ختم ڪري ٿو.

سڀني بوٽ لوڊر جي دستخط کي هٽائڻ لاء (جيڪڏهن ڪجهه غلط ٿي ويو آهي)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

سسٽم کي اپڊيٽ ڪرڻ کان پوءِ بوٽ لوڊر کي سائن نه ڪرڻ لاءِ، اسان GRUB2 سان لاڳاپيل سڀ اپڊيٽ پيڪيجز منجمد ڪريون ٿا.

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

هن قدم تي GRUB2 جي ترقي يافته ترتيب مڪمل ڪئي وئي آهي.

سي 6.3. GRUB2 بوٽ لوڊر جو پروف-ٽيسٽ، ڊجيٽل دستخط ۽ تصديق سان محفوظGRUB2. جڏهن ڪنهن به GNU/Linux تقسيم کي چونڊيو يا CLI داخل ڪيو وڃي (ڪمانڊ لائن) Superuser اختيار جي ضرورت پوندي. صحيح يوزرنيم/پاسورڊ داخل ڪرڻ کان پوء، توهان کي initrd پاسورڊ جي ضرورت پوندي

ونڊوز لينڪس انسٽال ٿيل سسٽم جي مڪمل ڊسڪ انڪرپشن. انڪرپٽ ٿيل ملٽي بوٽ
GRUB2 سپر يوزر جي ڪامياب تصديق جو اسڪرين شاٽ.

جيڪڏهن توهان ڪنهن به GRUB2 فائلن سان ڇڪتاڻ ڪريو ٿا/ grub.cfg ۾ تبديليون ڪريو، يا فائل/ دستخط کي حذف ڪريو، يا خراب module.mod لوڊ ڪريو، هڪ لاڳاپيل ڊيڄاريندڙ ظاهر ٿيندو. GRUB2 لوڊشيڊنگ کي روڪيندو.

ونڊوز لينڪس انسٽال ٿيل سسٽم جي مڪمل ڊسڪ انڪرپشن. انڪرپٽ ٿيل ملٽي بوٽ
اسڪرين شاٽ، "ٻاهر کان" GRUB2 سان مداخلت ڪرڻ جي ڪوشش.

"عام" بوٽنگ "بغير مداخلت" دوران، سسٽم نڪرڻ واري ڪوڊ جي حيثيت "0" آهي. تنهن ڪري، اهو معلوم ناهي ته تحفظ ڪم ڪري ٿو يا نه (جيڪو آهي، "بوٽ لوڊر جي دستخط جي حفاظت سان يا بغير" عام لوڊ ڪرڻ دوران حالت ساڳي آهي "0" - اهو خراب آهي).

ڊجيٽل دستخط جي حفاظت کي ڪيئن چيڪ ڪجي؟

چيڪ ڪرڻ جو هڪ مشڪل طريقو: GRUB2 پاران استعمال ٿيل ماڊل جعلي/هٽايو، مثال طور، دستخط هٽايو luks.mod.sig ۽ غلطي حاصل ڪريو.

صحيح رستو: بوٽ لوڊر CLI ڏانھن وڃو ۽ حڪم ٽائپ ڪريو

trust_list

جواب ۾، توهان کي هڪ "پرسڪ" فنگر پرنٽ حاصل ڪرڻ گهرجي؛ جيڪڏهن اسٽيٽس "0" آهي، پوء دستخط تحفظ ڪم نٿو ڪري، پيراگراف C6.2 کي ٻه ڀيرا چيڪ ڪريو.
هن قدم تي، ترقي يافته ترتيب "ڊيجيٽل دستخط ۽ تصديق سان GRUB2 جي حفاظت" مڪمل ٿي وئي آهي.

C7 هيشنگ استعمال ڪندي GRUB2 بوٽ لوڊر کي بچائڻ جو متبادل طريقومٿي بيان ڪيل "سي پي يو بوٽ لوڊر تحفظ/تصديق" جو طريقو هڪ شاندار آهي. GRUB2 جي خرابين جي ڪري، غير معمولي حالتن ۾ اهو حقيقي حملي لاء حساس آهي، جنهن کي آئون هيٺ پيراگراف [F] ۾ ڏيندس. اضافي طور تي، OS/kernel کي اپڊيٽ ڪرڻ کان پوء، بوٽ لوڊ ڪندڙ کي ٻيهر سائن ان ٿيڻ گهرجي.

هيشنگ استعمال ڪندي GRUB2 بوٽ لوڊر کي تحفظ ڏيڻ

کلاسي جي ڀيٽ ۾ فائدا:

  • اعتماد جي اعلي سطح (هيشنگ/تصديق صرف انڪريپٽ ٿيل مقامي وسيلا مان ٿيندي آهي. GRUB2 جي تحت مختص ڪيل سڄو ورهاڱي ڪنهن به تبديلي لاءِ ڪنٽرول ڪيو ويندو آهي، ۽ باقي سڀ ڪجهه انڪريپٽ ٿيل آهي؛ CPU لوڊر تحفظ/تصديق سان گڏ کلاسک اسڪيم ۾، صرف فائلون ڪنٽرول ٿيل آهن، پر مفت نه آهن. خلا، جنهن ۾ "ڪجهه" ڪجهه خراب" شامل ڪري سگهجي ٿو).
  • انڪوڊ ٿيل لاگنگ (هڪ انساني پڙهڻ جي قابل ذاتي انڪوڊ ٿيل لاگ اسڪيم ۾ شامل ڪيو ويو آهي).
  • اسپيڊ (GRUB2 لاءِ مختص ڪيل پوري ورهاڱي جي تحفظ/تصديق لڳ ڀڳ فوري طور تي ٿيندي آهي).
  • سڀ cryptographic عمل جي خودڪار.

ڪلاسن جي مٿان نقصان.

  • دستخط جي جعلسازي (نظرياتي طور تي، اهو ممڪن آهي ته هڪ ڏنل هش فنڪشن ٽڪر کي ڳولڻ لاء).
  • مشڪلات جي سطح وڌايو (ڪلاسڪ جي مقابلي ۾، GNU/Linux OS ۾ ٿوري وڌيڪ صلاحيتن جي ضرورت آهي).

GRUB2/پارٽيشن هيشنگ خيال ڪيئن ڪم ڪندو آهي

GRUB2 ورهاڱو "دستخط ٿيل" آهي؛ جڏهن OS بوٽ ٿئي ٿو، بوٽ لوڊر ورهاڱي کي غير متحرڪ لاء چيڪ ڪيو ويندو آهي، ان کان پوء محفوظ (انڪريپ ٿيل) ماحول ۾ لاگ ان ٿيڻ کان پوء. جيڪڏهن بوٽ لوڊر يا ان جي ورهاڱي سان ٺهڪندڙ آهي، ان کان علاوه مداخلت لاگ ان کان علاوه، هيٺيون شروع ڪيو ويو آهي:

شيءِ.ونڊوز لينڪس انسٽال ٿيل سسٽم جي مڪمل ڊسڪ انڪرپشن. انڪرپٽ ٿيل ملٽي بوٽ

ساڳئي چيڪ هڪ ڏينهن ۾ چار ڀيرا ٿئي ٿي، جيڪو سسٽم وسيلن کي لوڊ نٿو ڪري.
استعمال ڪندي "-$ check_GRUB" حڪم، هڪ فوري چيڪ ڪنهن به وقت لاگنگ کان سواء ٿئي ٿو، پر معلومات جي پيداوار سان CLI ڏانهن.
ڪمانڊ استعمال ڪندي ”-$ sudo signature_GRUB“، GRUB2 بوٽ لوڊر/پارٽيشن کي فوري طور تي ٻيهر سائن ڪيو ويو آهي ۽ ان جي تازه ڪاري لاگنگ (او ايس / بوٽ اپڊيٽ کان پوء ضروري آهي)، ۽ زندگي هلي ٿي.

بوٽ لوڊر ۽ ان جي سيڪشن لاءِ هاشنگ جو طريقو لاڳو ڪرڻ

0) اچو ته سائن ان ڪريون GRUB بوٽ لوڊر/پارٽيشن کي پھريون ان کي /media/username ۾ لڳايو

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) اسان انڪريپٽ ٿيل OS ~/podpis جي روٽ ۾ بغير ڪنهن واڌ جي هڪ اسڪرپٽ ٺاهي، ان تي ضروري 744 حفاظتي حق ۽ فول پروف تحفظ لاڳو ڪريو.

ان جي مواد کي ڀرڻ

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

کان اسڪرپٽ هلايو su, GRUB ورهاڱي جي هشنگ ۽ ان جي بوٽ لوڊر کي چيڪ ڪيو ويندو، لاگ محفوظ ڪريو.

اچو ته ٺاهي يا نقل ڪريون، مثال طور، GRUB2 ورهاڱي لاءِ ”بدڪاري واري فائل“ [virus.mod] ۽ هڪ عارضي اسڪين/ٽيسٽ هلائي:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

CLI اسان جي قلعي جي حملي کي ڏسڻ گهرجي.# CLI ۾ ٽرم ٿيل لاگ

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

# جيئن توهان ڏسي سگهو ٿا، "فائل منتقل ٿي ويا: 1 ۽ آڊٽ ناڪام" ظاهر ٿئي ٿو، جنهن جو مطلب آهي ته چيڪ ناڪام ٿيو.
ورهاڱي جي نوعيت جي جاچ ڪئي پئي وڃي، بدران ”نئون فائلون مليون“ > ”فائلون منتقل ٿي ويون“

2) هتي gif رکو> ~/warning.gif، 744 تي اجازتون سيٽ ڪريو.

3) بوٽ تي GRUB ورهاڱي کي خودڪار ڪرڻ لاء fstab ترتيب ڏيڻ

-$ sudo nano /etc/fstab

LABEL=GRUB /media/username/GRUB ext4 ڊفالٽ 0 0

4) لاگ کي گھمائڻ

-$ sudo nano /etc/logrotate.d/podpis

/var/log/podpis.txt {
روزاني
50 XNUMXڻو
ماپ 5M
تاريخ جو خاڪو
دٻايو
دير سان
olddir /var/log/old
}

/var/log/vtorjenie.txt {
وارو
5 XNUMXڻو
ماپ 5M
تاريخ جو خاڪو
olddir /var/log/old
}

5) ڪرون ۾ نوڪري شامل ڪريو

-$ sudo crontab -e

ريبوٽ '/ رڪنيت'
0 */6 * * * '/podpis

6) مستقل عرف ٺاھڻ 

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

OS تازه ڪاري کان پوء -$ apt-get upgrade اسان جي GRUB ورهاڱي کي ٻيهر سائن ان ڪريو
-$ подпись_GRUB
هن نقطي تي، GRUB ورهاڱي جو تحفظ مڪمل ڪيو ويو آهي.

[ڊي] وائپنگ - اڻ ڳڻي ڊيٽا جي تباهي

پنهنجون ذاتي فائلون مڪمل طور تي حذف ڪريو ته ”نه خدا به انهن کي پڙهي سگهي ٿو ،“ ڏکڻ ڪيرولينا جي ترجمان ٽري گوڊي جي مطابق.

هميشه وانگر، اتي مختلف آهن "افسانو ۽ ڏند ڪٿا"، هارڊ ڊرائيو مان حذف ٿيڻ کان پوء ڊيٽا کي بحال ڪرڻ بابت. جيڪڏهن توهان سائبر وِچ ڪرافٽ تي يقين رکو ٿا، يا ڊاڪٽر ويب ڪميونٽي جا ميمبر آهيو ۽ توهان ڪڏهن به ڊيٽا جي بحالي جي ڪوشش نه ڪئي آهي ان کان پوءِ ڊليٽ ٿيڻ/اوور رائٽ ٿيڻ کان پوءِ (مثال طور، R-studio استعمال ڪندي وصولي)، پوءِ تجويز ڪيل طريقو ممڪن ناهي ته توهان کي مناسب هجي، استعمال ڪريو جيڪو توهان جي ويجهو آهي.

GNU/Linux کي ڪاميابيءَ سان منتقل ڪرڻ کان پوءِ انڪريپٽ ٿيل ورهاڱي ۾، پراڻي ڪاپي کي حذف ڪيو وڃي بغير ڊيٽا جي بحالي جي امڪان جي. يونيورسل صفائي جو طريقو: ونڊوز/لينڪس مفت GUI سافٽ ويئر لاءِ سافٽ ويئر بلبل بيٽ.
فاسٽ سيڪشن کي فارميٽ ڪريو، جنهن تي ڊيٽا کي تباهه ڪرڻ جي ضرورت آهي (Gparted ذريعي) BleachBit لانچ ڪريو، "خالي جاء صاف ڪريو" چونڊيو - ورهاڱي کي چونڊيو (توهان جو sdaX GNU/Linux جي پوئين ڪاپي سان)، پٽي ڪرڻ وارو عمل شروع ٿيندو. BleachBit - ھڪڙي پاس ۾ ڊسڪ کي مسح ڪري ٿو - اھو اھو آھي جيڪو "اسان کي ضرورت آھي"، پر! اهو صرف نظريي ۾ ڪم ڪري ٿو جيڪڏهن توهان ڊسڪ کي فارميٽ ڪيو ۽ ان کي BB v2.0 سافٽ ويئر ۾ صاف ڪيو.

ڄاڻ! بي بي ڊسڪ کي مسح ڪري ٿو، ميٽا ڊيٽا کي ڇڏيندي؛ فائل جا نالا محفوظ آهن جڏهن ڊيٽا ختم ٿي ويندي آهي (Ccleaner - ميٽاداٽا نه ڇڏيندو آهي).

۽ ڊيٽا جي وصولي جي امڪان جي باري ۾ افسانو مڪمل طور تي هڪ افسانو نه آهي.Bleachbit V2.0-2 اڳوڻي غير مستحڪم او ايس ڊيبين پيڪيج (۽ ڪو ٻيو ساڳيو سافٽ ويئر: sfill؛ وائپ-ناٽيلس - پڻ هن گندي ڪاروبار ۾ محسوس ڪيو ويو) اصل ۾ هڪ نازڪ بگ هو: ”مفت اسپيس صاف ڪرڻ“ فنڪشن اهو غلط ڪم ڪري ٿو HDD/فليش ڊرائيو تي (ntfs/ext4). هن قسم جو سافٽ ويئر، جڏهن خالي جاء صاف ڪري ٿي، سڄي ڊسڪ کي مٿي نه لکندو آهي، جيئن ڪيترن ئي صارفين سوچيو. ۽ ڪجهه (تمام گهڻو) حذف ٿيل ڊيٽا OS/software هن ڊيٽا کي غير حذف ٿيل/يوزر ڊيٽا سمجهي ٿو ۽ جڏهن ”OSP“ کي صاف ڪري ٿو ته اهو انهن فائلن کي ڇڏي ٿو. مسئلو اهو آهي ته اهڙي ڊگهي وقت کان پوء، ڊسڪ کي صاف ڪرڻ "حذف ٿيل فائلون" بحال ڪري سگھجن ٿيون جيتوڻيڪ ڊسڪ کي صاف ڪرڻ جي 3+ پاسن کان پوءِ.
GNU/Linux تي Bleachbit تي 2.0-2 مستقل طور تي فائلن ۽ ڊائريڪٽرن کي حذف ڪرڻ جا ڪم معتبر طور تي ڪم ڪن ٿا، پر خالي جاءِ کي صاف نه ڪرڻ. مقابلي لاءِ: ونڊوز تي CCleaner ۾ "OSP for ntfs" فنڪشن صحيح ڪم ڪري ٿو، ۽ خدا واقعي حذف ٿيل ڊيٽا کي پڙهڻ جي قابل نه هوندو.

۽ پوء، چڱي طرح ختم ڪرڻ لاء "سمجھوڻ وارو" پراڻي اڻ ڳڻي ڊيٽا، Bleachbit هن ڊيٽا تائين سڌو رسائي جي ضرورت آهي، پوءِ، استعمال ڪريو "مستقل طور تي حذف فائلون/ڊائريڪٽريز" فنڪشن.
ونڊوز ۾ "معياري OS اوزار استعمال ڪندي ختم ٿيل فائلون" کي هٽائڻ لاء، "OSP" فنڪشن سان CCleaner/BB استعمال ڪريو. GNU/Linux ۾ هن مسئلي تي (ڊليٽ ٿيل فائلن کي ختم ڪريو) توهان کي پنهنجي پاڻ تي مشق حاصل ڪرڻ جي ضرورت آهي (ڊيٽا کي حذف ڪرڻ + ان کي بحال ڪرڻ جي هڪ آزاد ڪوشش ۽ توهان کي سافٽ ويئر ورزن تي ڀروسو نه ڪرڻ گهرجي (جيڪڏهن بک مارڪ نه هجي، پوء هڪ بگ))صرف هن صورت ۾ توهان هن مسئلي جي ميکانيزم کي سمجهڻ ۽ ختم ٿيل ڊيٽا کي مڪمل طور تي ختم ڪرڻ جي قابل هوندا.

مون Bleachbit v3.0 جي آزمائش نه ڪئي آهي، مسئلو اڳ ۾ ئي طئي ٿي چڪو آهي.
Bleachbit v2.0 ايمانداري سان ڪم ڪري ٿو.

هن قدم تي، ڊسڪ وائپنگ مڪمل آهي.

[E] انڪريپٽ ٿيل OS جو يونيورسل بيڪ اپ

هر صارف وٽ ڊيٽا کي بيڪ اپ ڪرڻ جو پنهنجو طريقو آهي، پر انڪريپٽ ٿيل سسٽم OS ڊيٽا کي ڪم لاء ٿورو مختلف انداز جي ضرورت آهي. گڏيل سافٽ ويئر، جهڙوڪ ڪلونزيلا ۽ ساڳيا سافٽ ويئر، سڌو سنئون انڪرپٽ ٿيل ڊيٽا سان ڪم نٿا ڪري سگهن.

انڪرپٽ ٿيل بلاڪ ڊوائيسز جي بيڪ اپ جي مسئلي جو بيان:

  1. آفاقيت - ساڳيو بيڪ اپ الگورٿم/سافٽ ويئر ونڊوز/لينڪس لاءِ؛
  2. ڪنهن به لائيو USB GNU/Linux سان ڪنسول ۾ ڪم ڪرڻ جي صلاحيت بغير اضافي سافٽ ويئر ڊائون لوڊ ڪرڻ جي (پر اڃا تائين GUI جي سفارش ڪريو);
  3. بيڪ اپ ڪاپيز جي حفاظت - محفوظ ٿيل "تصويرون" لازمي طور تي انڪرپٽ ٿيل/پاسورڊ-محفوظ هجڻ گهرجن؛
  4. انڪرپٽ ٿيل ڊيٽا جي سائيز کي اصل ڊيٽا جي ماپ سان ملندڙ هجڻ گهرجي، جيڪا نقل ڪئي پئي وڃي؛
  5. هڪ بيڪ اپ ڪاپي مان ضروري فائلن جو آسان ڪڍڻ (سڄي سيڪشن کي پهرين ڊڪرپٽ ڪرڻ جي ڪا ضرورت ناهي).

مثال طور، "dd" افاديت ذريعي بيڪ اپ / بحال ڪريو

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

اهو ڪم جي لڳ ڀڳ سڀني نقطن سان ملندو آهي، پر نقطي 4 جي مطابق اهو تنقيد کي برداشت نٿو ڪري، ڇاڪاڻ ته اهو مڪمل ڊسڪ ورهاڱي کي نقل ڪري ٿو، بشمول مفت جاء - دلچسپ ناهي.

مثال طور، هڪ GNU/Linux بيڪ اپ آرڪيور ذريعي [tar" | gpg] آسان آهي، پر ونڊوز بيڪ اپ لاءِ توهان کي ٻيو حل ڳولڻو پوندو - اهو دلچسپ ناهي.

E1. يونيورسل ونڊوز / لينڪس بيڪ اپ. لنڪ rsync (Grsync) + VeraCrypt حجمهڪ بيڪ اپ ڪاپي ٺاهڻ لاء الگورتھم:

  1. هڪ انڪرپٽ ٿيل ڪنٽينر ٺاهڻ (حجم/فائل) OS لاءِ VeraCrypt؛
  2. OS کي منتقلي/ هم وقت سازي ڪريو Rsync سافٽ ويئر استعمال ڪندي VeraCrypt crypto ڪنٽينر ۾؛
  3. جيڪڏهن ضروري هجي ته، VeraCrypt حجم کي www تي اپ لوڊ ڪندي.

هڪ اينڪرپٽ ٿيل VeraCrypt ڪنٽينر ٺاهڻ جون پنهنجون خاصيتون آهن:
هڪ متحرڪ حجم ٺاهڻ (DT جي تخليق صرف ونڊوز ۾ موجود آهي، GNU/Linux ۾ پڻ استعمال ڪري سگهجي ٿي);
هڪ باقاعده حجم ٺاهڻ، پر اتي هڪ ضرورت آهي "پارانائيڊ ڪردار" (ڊولپر جي مطابق) - ڪنٽينر فارميٽ.

هڪ متحرڪ حجم تقريبا فوري طور تي ونڊوز ۾ ٺاهي وئي آهي، پر جڏهن GNU/Linux> VeraCrypt DT مان ڊيٽا کي نقل ڪندي، بيڪ اپ آپريشن جي مجموعي ڪارڪردگي خاص طور تي گهٽجي ويندي آهي.

ھڪڙو باقاعده 70 GB Twofish حجم ٺاھيو ويو آھي (اچو ته چئو، اوسط PC پاور تي) اڌ ڪلاڪ ۾ HDD ~ تائين (اڳوڻي ڪنٽينر ڊيٽا کي هڪ پاس ۾ اوور رائٽ ڪرڻ سيڪيورٽي گهرجن جي ڪري آهي). حجم کي جلدي فارميٽ ڪرڻ جو ڪم جڏهن ان کي ٺاهيو ويو آهي VeraCrypt ونڊوز / لينڪس مان هٽايو ويو آهي، تنهنڪري هڪ ڪنٽينر ٺاهڻ صرف ممڪن آهي "ون پاس ري رائيٽنگ" ذريعي يا گهٽ ڪارڪردگي واري متحرڪ حجم ٺاهي.

هڪ باقاعده VeraCrypt حجم ٺاهيو (نه متحرڪ/ntfs)، ڪو به مسئلو نه هجڻ گهرجي.

VeraCrypt GUI> GNU/Linux live usb ۾ ڪنٽينر ٺاھيو/ ٺاھيو/ کوليو (حجم خودڪار ڪيو ويندو /media/veracrypt2 تي، ونڊوز او ايس حجم کي /media/veracrypt1 تي نصب ڪيو ويندو). GUI rsync استعمال ڪندي ونڊوز OS جو هڪ انڪريپٽ ٿيل بيڪ اپ ٺاهيو (grsync)باڪس چيڪ ڪندي.

ونڊوز لينڪس انسٽال ٿيل سسٽم جي مڪمل ڊسڪ انڪرپشن. انڪرپٽ ٿيل ملٽي بوٽ

عمل جي مڪمل ٿيڻ لاء انتظار ڪريو. هڪ دفعو بيڪ اپ مڪمل ٿي ويندو، اسان وٽ هڪ اينڪريڊ ٿيل فائل هوندي.

اهڙي طرح، rsync GUI ۾ ”ونڊوز مطابقت“ چيڪ بڪس کي چيڪ ڪرڻ سان GNU/Linux OS جي بيڪ اپ ڪاپي ٺاهيو.

ڄاڻ! فائيل سسٽم ۾ ”GNU/Linux بيڪ اپ“ لاءِ هڪ Veracrypt ڪنٽينر ٺاهيو ext4. جيڪڏهن توهان هڪ ntfs ڪنٽينر ۾ بيڪ اپ ٺاهيو ٿا، ته پوءِ جڏهن توهان اهڙي ڪاپي بحال ڪندا، ته توهان پنهنجي ڊيٽا جا سمورا حق/گروپ وڃائي ويهندا.

سڀ آپريشن ٽرمينل ۾ ڪري سگهجي ٿو. rsync لاءِ بنيادي آپشن:
* -g - گروپن کي بچايو؛
* -P -progress - فائل تي ڪم ڪندي گذاريل وقت جي حالت؛
* -H - ڪاپي هارڊ لنڪس جيئن آهي؛
* -a -آرڪائيو موڊ (ڪيترائي rlptgoD جھنڊا);
* -v -فعل ڪرڻ.

جيڪڏھن توھان چاھيو ٿا "ونڊوز VeraCrypt حجم" کي ڪنسول ذريعي cryptsetup سافٽ ويئر ۾، توھان ٺاھي سگھو ٿا ھڪڙو عرف (su)

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

ھاڻي "veramount تصويرون" حڪم توھان کي پاسفريس داخل ڪرڻ لاءِ چيو ويندو، ۽ انڪريپٽ ٿيل ونڊوز سسٽم حجم او ايس ۾ نصب ڪيو ويندو.

نقشو/مائونٽ VeraCrypt سسٽم حجم cryptsetup ڪمانڊ ۾

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

نقشو/ماؤنٽ VeraCrypt ورهاڱي/ڪنٽينر cryptsetup ڪمانڊ ۾

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

عرف جي بدران، اسان شامل ڪنداسين (شروع ڪرڻ لاء هڪ اسڪرپٽ) هڪ سسٽم حجم ونڊوز OS سان ۽ هڪ منطقي انڪرپٽ ٿيل ntfs ڊسڪ کي GNU/Linux جي شروعات ۾

هڪ اسڪرپٽ ٺاهيو ۽ ان کي محفوظ ڪريو ~/VeraOpen.sh

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

اسان "درست" حقن کي ورهايو ٿا: 

sudo chmod 100 /VeraOpen.sh

/etc/rc.local ۽ ~/etc/init.d/rc.local ۾ ٻه هڪجهڙا فائلون ٺاهيو (ساڳئي نالو!)
فائلن کي ڀرڻ 

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

اسان "درست" حقن کي ورهايو ٿا: 

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local

اهو ئي آهي، هاڻي جڏهن GNU/Linux لوڊ ڪري رهيا آهيون اسان کي انڪرپٽ ٿيل ntfs ڊسڪ کي مائونٽ ڪرڻ لاءِ پاسورڊ داخل ڪرڻ جي ضرورت ناهي، ڊسڪ خودڪار طريقي سان لڳل آهن.

هڪ نوٽ مختصر طور تي مٿي بيان ڪيل پيراگراف E1 ۾ قدم قدم سان (پر هاڻي OS GNU/Linux لاءِ)
1) هڪ حجم ٺاهيو fs ext4 > 4gb (فائل لاءِ) لينڪس ۾ Veracrypt [Cryptbox].
2) ريبوٽ لائيو يو ايس بي.
3) ~$ cryptsetup open /dev/sda7 Lunux #mapping encrypted partition.
4) ~$ mount /dev/mapper/Linux /mnt #ماؤنٽ انڪرپٽ ٿيل ورهاڱي کي /mnt ڏانهن.
5) ~$ mkdir mnt2 #creating a Directory for a future backup.
6) ~$ cryptsetup open —veracrypt —type tcrypt ~/CryptoBox CryptoBox && mount /dev/mapper/CryptoBox /mnt2 #Map a Veracrypt حجم جو نالو “CryptoBox” ۽ CryptoBox کي /mnt2 تي مائونٽ ڪريو.
7) ~$ rsync -avlxhHX —progress /mnt /mnt2/ #backup آپريشن هڪ اينڪريٽ ٿيل ورهاڱي جي هڪ اينڪريٽ ٿيل Veracrypt حجم تائين.

(p/s/ ڄاڻ! جيڪڏهن توهان انڪريپٽ ٿيل GNU/Linux کي هڪ آرڪيٽيڪچر/مشين کان ٻئي ڏانهن منتقل ڪري رهيا آهيو، مثال طور، Intel> AMD (يعني، هڪ انڪريپٽ ٿيل ورهاڱي کان ٻئي انڪريپٽ ٿيل Intel> AMD ورهاڱي تي بيڪ اپ کي ترتيب ڏيڻ)، نه وساريو انڪريپٽ ٿيل OS کي منتقل ڪرڻ کان پوء، پاسورڊ جي بدران ڳجهي متبادل چيڪ کي تبديل ڪريو، ٿي سگهي ٿو. پوئين ڪيچ ~/etc/skey - هاڻي ٻي انڪريپٽ ٿيل ورهاڱي کي مناسب نه ڪندي، ۽ اهو مشورو نه آهي ته نئين ڪيچ “cryptsetup luksAddKey” کي ڪروٽ جي هيٺان ٺاهيو وڃي - هڪ خرابي ممڪن آهي، صرف ~/etc/crypttab ۾ وضاحت ڪريو بدران "/etc/skey" عارضي طور تي "ڪو به نه" "، ريبوٽ ڪرڻ ۽ او ايس ۾ لاگ ان ٿيڻ کان پوء، پنهنجي ڳجهي وائلڊ ڪارڊ ڪيٻي کي ٻيهر ٺاهيو).

IT ويٽرنس جي طور تي، ياد رکو ته الڳ الڳ انڪريپٽ ٿيل Windows/Linux OS پارٽيشنز جي هيڊرز جو بيڪ اپ ٺاهيو، يا انڪريپشن توهان جي خلاف ٿي ويندي.
هن قدم تي، انڪوڊ ٿيل OS جو بيڪ اپ مڪمل ڪيو ويو آهي.

[F] GRUB2 بوٽ لوڊر تي حملو

تفصيل ڏسوجيڪڏهن توهان پنهنجي بوٽ لوڊر کي ڊجيٽل دستخط ۽/يا تصديق سان محفوظ ڪيو آهي (ڏسو پوائنٽ C6.)، پوءِ هي جسماني رسائي جي خلاف حفاظت نه ڪندو. انڪريپٽ ٿيل ڊيٽا اڃا تائين رسائي لائق نه هوندي، پر تحفظ کي نظرانداز ڪيو ويندو (ڊجيٽل دستخط تحفظ ري سيٽ ڪريو) GRUB2 هڪ سائبر ولن کي اجازت ڏئي ٿو ته هو پنهنجي ڪوڊ کي بوٽ لوڊر ۾ داخل ڪري بغير شڪ جي (جيستائين صارف دستي طور تي بوٽ لوڊر جي حالت مانيٽر ڪري ٿو، يا grub.cfg لاءِ پنهنجو مضبوط صوابديدي اسڪرپٽ ڪوڊ کڻي اچي ٿو).

حملو الگورتھم. مداخلت ڪندڙ

* پي سي کي لائيو يو ايس بي مان بوٽ ڪريو. ڪا به تبديلي (خلاف ورزی ڪندڙ) فائلون پي سي جي حقيقي مالڪ کي بوٽ لوڊر ۾ مداخلت جي باري ۾ مطلع ڪنديون. پر GRUB2 جي هڪ سادي انسٽاليشن grub.cfg رکندي (۽ بعد ۾ ان کي تبديل ڪرڻ جي صلاحيت) هڪ حملي ڪندڙ کي ڪنهن به فائلن کي تبديل ڪرڻ جي اجازت ڏيندو (هن صورتحال ۾، جڏهن GRUB2 لوڊ ڪندي، حقيقي صارف کي اطلاع نه ڏنو ويندو. حالت ساڳي آهي )
* هڪ اڻ ڳڻي ورهاڱي کي مائونٽ ڪري ٿو، اسٽور "/mnt/boot/grub/grub.cfg".
* بوٽ لوڊر کي ٻيهر انسٽال ڪري ٿو (core.img تصوير مان "perskey" کي هٽائڻ)

grub-install --force --root-directory=/mnt /dev/sda6

* واپسي “grub.cfg” > “/mnt/boot/grub/grub.cfg”، ان کي ايڊٽ ڪري ٿو جيڪڏهن ضروري هجي ته، مثال طور، پنهنجي ماڊل “keylogger.mod” کي فولڊر ۾ لوڊر ماڊلز سان شامل ڪرڻ، “grub.cfg” ۾ > لائن "insmod keylogger". يا، مثال طور، جيڪڏهن دشمن چالاڪ آهي، پوء GRUB2 ٻيهر انسٽال ڪرڻ کان پوء (سڀئي دستخط پنهنجي جاءِ تي آهن) اهو "grub-mkimage with option (-c)" استعمال ڪندي مکيه GRUB2 تصوير ٺاهي ٿو. "-c" اختيار توهان کي اجازت ڏيندو ته توهان جي ترتيب کي لوڊ ڪرڻ کان پهريان مکيه "grub.cfg" لوڊ ڪرڻ کان اڳ. ترتيب صرف ھڪڙي لائن تي مشتمل ٿي سگھي ٿو: ڪنھن به "modern.cfg" ڏانھن ريڊائريڪشن، مخلوط، مثال طور، ~ 400 فائلن سان (ماڊيول + دستخط) فولڊر ۾ "/boot/grub/i386-pc". انهي صورت ۾، هڪ حملو ڪندڙ "/boot/grub/grub.cfg" کي متاثر ڪرڻ کان سواءِ صوابديدي ڪوڊ ۽ لوڊ ماڊلز داخل ڪري سگهي ٿو، جيتوڻيڪ صارف فائل تي "هيشسم" لاڳو ڪيو ۽ عارضي طور تي اسڪرين تي ڏيکاري ٿو.
هڪ حملي آور کي GRUB2 سپر يوزر لاگ ان/پاسورڊ هيڪ ڪرڻ جي ضرورت نه پوندي؛ هن کي صرف لائنن کي نقل ڪرڻ جي ضرورت پوندي. (تصديق لاء ذميوار) توهان جي "modern.cfg" ڏانهن "/boot/grub/grub.cfg"

مقرر ڪريو سپر استعمال ڪندڙ = "روٽ"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

۽ PC مالڪ اڃا تائين تصديق ڪئي ويندي GRUB2 سپر يوزر طور.

زنجير لوڊشيڊنگ (بوٽ لوڊ ڪندڙ ٻيو بوٽ لوڊر لوڊ ڪري ٿو)، جيئن مون مٿي لکيو آهي، مطلب ناهي (اهو هڪ مختلف مقصد لاء آهي). اينڪرپٽ ٿيل بوٽ لوڊر لوڊ نه ٿي ڪري سگھجي BIOS جي ڪري (زنجيرن بوٽ ٻيهر شروع ٿئي ٿو GRUB2> انڪرپٽ ٿيل GRUB2، غلطي!). بهرحال، جيڪڏهن توهان اڃا تائين زنجير لوڊ ڪرڻ جو خيال استعمال ڪيو ٿا، توهان پڪ ڪري سگهو ٿا ته اهو انڪوڊ ٿيل آهي جيڪو لوڊ ٿي رهيو آهي. (جديد نه ٿيل) "grub.cfg" انڪرپٽ ٿيل ورهاڱي مان. ۽ اهو پڻ سيڪيورٽي جو غلط احساس آهي، ڇاڪاڻ ته هر شي جيڪا ظاهر ڪئي وئي آهي انڪوڊ ٿيل "grub.cfg" ۾. (ماڊيول لوڊ ڪرڻ) انهن ماڊيولن ۾ اضافو ڪري ٿو جيڪي اڻ ڳڻي ٿيل GRUB2 مان لوڊ ڪيا ويا آهن.

جيڪڏھن توھان چاھيو ٿا ھن کي چيڪ ڪريو، پوءِ مختص ڪريو/انڪريپ ڪريو ٻيو ورهاڱو sdaY، ان کي نقل ڪريو GRUB2 (انڪريٽ ٿيل ورهاڱي تي گرب-انسٽال آپريشن ممڪن ناهي) ۽ "grub.cfg" ۾ (اڻ ڳجهي ترتيب) اهڙيون لائينون تبديل ڪريو

مينيو انٽري 'GRUBx2' --class parrot --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
لوڊ_وڊيو
insmod gzio
جيڪڏهن [x$grub_platform = xxen]؛ پوء insmod xzio؛ insmod lzopio؛ fi
داخلا حصو_msdos
insmod cryptodisk
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
انڪوڊ ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
عام /boot/grub/grub.cfg
}

پودا
* insmod - انڪوڊ ٿيل ڊسڪ سان ڪم ڪرڻ لاءِ ضروري ماڊل لوڊ ڪرڻ؛
* GRUBx2 - GRUB2 بوٽ مينيو ۾ ڏيکاريل لائن جو نالو؛
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -ڏسو. fdisk -l (sda9)؛
* سيٽ روٽ - روٽ انسٽال ڪريو؛
* عام /boot/grub/grub.cfg - هڪ اينڪريپٽ ٿيل ورهاڱي تي قابل عمل ترتيب واري فائيل.

يقين رکو ته اهو انڪرپٽ ٿيل “grub.cfg” آهي جيڪو لوڊ ڪيو ويو آهي پاسورڊ داخل ڪرڻ لاءِ هڪ مثبت جواب آهي “sdaY” کي ان لاڪ ڪرڻ جڏهن GRUB مينيو ۾ “GRUBx2” لائن کي چونڊيو.

جڏهن CLI ۾ ڪم ڪري رهيا آهيو، ته جيئن پريشان نه ٿئي (۽ چيڪ ڪريو ته ڇا "سيٽ روٽ" ماحوليات متغير ڪم ڪيو)، خالي ٽوڪن فائلون ٺاھيو، مثال طور، انڪريپٽ ٿيل سيڪشن ۾ “/shifr_grub”، unencrypted سيڪشن “/noshifr_grub” ۾. CLI ۾ چيڪ ڪريو 

cat /Tab-Tab

جيئن مٿي بيان ڪيو ويو آهي، اهو بدسلوڪي ماڊلز کي ڊائون لوڊ ڪرڻ جي خلاف مدد نه ڪندو جيڪڏهن اهڙا ماڊل توهان جي PC تي ختم ٿي وڃن. مثال طور، هڪ keylogger جيڪو هڪ فائل ۾ ڪي اسٽروڪ محفوظ ڪرڻ جي قابل هوندو ۽ ان کي ٻين فائلن سان ملايو ويندو “~/i386” ۾ جيستائين اهو حملو ڪندڙ طرفان ڊائون لوڊ نه ڪيو وڃي PC تائين جسماني رسائي سان.

تصديق ڪرڻ جو آسان طريقو آهي ته ڊجيٽل دستخط تحفظ فعال طور تي ڪم ڪري رهيو آهي (ٻيهر نه ٿيو)، ۽ ڪنهن به بوٽ لوڊر تي حملو نه ڪيو آهي، CLI ۾ حڪم داخل ڪريو

list_trusted

جواب ۾ اسان کي اسان جي "پرسڪي" جي ڪاپي ملي ٿي، يا اسان کي ڪجھ به نه ملي ٿو جيڪڏهن اسان تي حملو ڪيو وڃي (توهان کي پڻ چيڪ ڪرڻ جي ضرورت آهي "سيٽ check_signatures = enforce").
هن قدم جو هڪ اهم نقصان دستي طور تي حڪم داخل ڪرڻ آهي. جيڪڏهن توهان هن حڪم کي "grub.cfg" ۾ شامل ڪيو ۽ ترتيب کي ڊجيٽل دستخط سان محفوظ ڪيو، ته پوءِ اسڪرين تي اهم سنيپ شاٽ جي ابتدائي آئوٽ ٽائمنگ ۾ تمام ننڍو آهي، ۽ توهان وٽ GRUB2 لوڊ ڪرڻ کان پوءِ آئوٽ پٽ ڏسڻ لاءِ وقت نه هوندو. .
ڪو به خاص طور تي دعويٰ ڪرڻ وارو ناهي: ڊولپر هن ۾ دستاويز شق 18.2 سرڪاري طور تي اعلان ڪري ٿو

”ياد رهي ته GRUB پاسورڊ جي حفاظت سان به، GRUB پاڻ ڪنهن کي به نه ٿو روڪي سگهي مشين تائين جسماني پهچ رکندڙ ڪنهن کي مشين جي فرم ویئر (مثال طور، Coreboot يا BIOS) جي ترتيب ۾ ڦيرڦار ڪرڻ کان ته جيئن مشين کي مختلف (حملو ڪندڙ-ڪنٽرول ٿيل) ڊيوائس مان بوٽ ڪري. GRUB بهترين طور تي هڪ محفوظ بوٽ زنجير ۾ صرف هڪ لنڪ آهي.

GRUB2 ڪمن سان تمام گهڻو اوورلوڊ ٿيل آهي جيڪو غلط سيڪيورٽي جو احساس ڏئي سگهي ٿو، ۽ ان جي ترقي اڳ ۾ ئي ڪارڪردگي جي لحاظ کان MS-DOS کي ختم ڪري ڇڏيو آهي، پر اهو صرف هڪ بوٽ لوڊر آهي. اها عجيب ڳالهه آهي ته GRUB2 - "سڀاڻي" OS ٿي سگهي ٿو، ۽ ان لاءِ بوٽبل GNU/Linux ورچوئل مشينون.

هڪ مختصر وڊيو بابت ڪيئن مون GRUB2 ڊجيٽل دستخط تحفظ کي ري سيٽ ڪيو ۽ منهنجي مداخلت جو اعلان ڪيو حقيقي صارف ڏانهن (مون توهان کي خوفزده ڪيو، پر ان جي بدران جيڪو وڊيو ۾ ڏيکاريل آهي، توهان لکي سگهو ٿا غير بي ضرر آرڊرري ڪوڊ/. موڊ).

نتيجو:

1) ونڊوز لاءِ بلاڪ سسٽم انڪرپشن کي لاڳو ڪرڻ آسان آهي، ۽ هڪ پاسورڊ سان تحفظ GNU/Linux بلاڪ سسٽم انڪريپشن سان ڪيترن ئي پاسورڊ سان تحفظ کان وڌيڪ آسان آهي، منصفانه ٿيڻ لاءِ: بعد ۾ خودڪار آهي.

2) مون مضمون لکيو جيئن لاڳاپيل ۽ تفصيلي سادو ھدايت ڪرڻ لاءِ مڪمل-ڊسڪ انڪرپشن VeraCrypt/LUKS ھڪڙي گھر جي مشين تي، جيڪا RuNet (IMHO) ۾ تمام بھترين آھي. ھدايت آھي> 50k اکر ڊگھي آھي، تنھنڪري اھو ڪجھ دلچسپ بابن کي ڍڪي نه ٿو ڏئي: cryptographers جيڪي غائب ٿي ويندا آھن / ڇانو ۾ رکندا آھن؛ حقيقت جي باري ۾ ته مختلف GNU/Linux ڪتابن ۾ اهي ٿورا لکن ٿا/نه لکن ٿا cryptography بابت؛ روسي فيڊريشن جي آئين جي آرٽيڪل 51 بابت؛ او لائسنس ڏيڻ/ پابندي روسي فيڊريشن ۾ انڪرپشن، ڇو ته توهان کي ”روٽ/بوٽ“ انڪرپٽ ڪرڻ جي ضرورت آهي. ھدايت بلڪل وسيع ٿي، پر تفصيلي. (هڪ سادو قدم بيان ڪرڻ), موڙ ۾، اهو توهان کي تمام گهڻو وقت بچائيندو جڏهن توهان حاصل ڪندا “حقيقي انڪرپشن”.

3) مڪمل ڊسڪ انڪرپشن ونڊوز 7 64 تي ڪيو ويو؛ GNU/Linux Parrot 4x؛ GNU/Debian 9.0/9.5.

4) تي ڪامياب حملو ڪيو هن جي GRUB2 بوٽ لوڊر.

5) سبق سي آءِ ايس ۾ سڀني بيوقوف ماڻهن جي مدد لاءِ ٺاهيو ويو، جتي قانون سازي جي سطح تي انڪرپشن سان ڪم ڪرڻ جي اجازت آهي. ۽ بنيادي طور تي انھن لاءِ جيڪي پنھنجي ترتيب ڏنل سسٽم کي ڊاھڻ کان سواءِ مڪمل ڊسڪ انڪرپشن کي رول آئوٽ ڪرڻ چاھين ٿا.

6) ٻيهر ڪم ڪيو ۽ منهنجي دستياب کي اپڊيٽ ڪيو، جيڪو 2020 ۾ لاڳاپيل آهي.

[ج] مفيد دستاويز

  1. TrueCrypt يوزر گائيڊ (فيبروري 2012 RU)
  2. VeraCrypt دستاويز
  3. /usr/share/doc/cryptsetup(-رن) [مقامي وسيلن] (cryptsetup استعمال ڪندي GNU/Linux انڪريپشن کي ترتيب ڏيڻ تي سرڪاري تفصيلي دستاويز)
  4. سرڪاري FAQ cryptsetup (Cryptsetup استعمال ڪندي GNU/Linux انڪرپشن کي ترتيب ڏيڻ تي مختصر دستاويز)
  5. LUKS ڊوائيس انڪرپشن (archlinux دستاويز)
  6. تفصيلي وضاحت cryptsetup نحو (آرچ مين صفحو)
  7. تفصيلي وضاحت crypttab (آرچ مين صفحو)
  8. سرڪاري GRUB2 دستاويز.

ٽيگ: مڪمل ڊسڪ انڪريپشن، ورهاڱي جي انڪرپشن، لينڪس مڪمل ڊسڪ انڪريپشن، LUKS1 مڪمل سسٽم انڪريپشن.

صرف رجسٽرڊ استعمال ڪندڙ سروي ۾ حصو وٺي سگهن ٿا. سائن ان ڪريو، توهان جي مهرباني.

ڇا توهان انڪرپٽ ڪري رهيا آهيو؟

  • 17,1٪مان هر شي کي انڪوڊ ڪريان ٿو جيڪو مان ڪري سگهان ٿو. مان بيوقوف آهيان.14

  • 34,2٪مان صرف اهم ڊيٽا انڪرپٽ ڪريان ٿو.28

  • 14,6٪ڪڏھن ڪڏھن ڪڏھن ڳجھارت ڪندو آھيان، ڪڏھن وساريندو آھيان.12

  • 34,2٪نه، مان انڪرپٽ نه ٿو ڪريان، اهو مشڪل ۽ مهانگو آهي.28

82 صارفين ووٽ ڪيو. 22 استعمال ڪندڙن کي روڪيو ويو.

جو ذريعو: www.habr.com

تبصرو شامل ڪريو