Aktualizovaný vlastný návod na šifrovanie celého disku v RuNet V0.2.
Kovbojská stratégia:
[A] Systémové blokové šifrovanie nainštalovaného systému Windows 7;
[B] Systémové blokové šifrovanie GNU/Linux (Debian) установленной системы (vrátane /boot);
[C] konfigurácia GRUB2, ochrana bootloaderu s digitálnym podpisom/overením/hashovaním;
[D] зачистка — уничтожение нешифрованных данных;
[E] универсальное резервное копирование зашифрованных ОС;
[F] útok <na položku [C6]> cieľ - zavádzač GRUB2;
[G]užitočná dokumentácia.
╭───Schéma #izby 40# :
├──╼ Nainštalovaný systém Windows 7 - úplné šifrovanie systému, nie skryté;
├──╼ GNU/Linux nainštalovaný (Debian a odvodené distribúcie) — úplné systémové šifrovanie, nie skryté(/ vrátane /boot; swap);
├──╼ nezávislé bootloadery: bootloader VeraCrypt je nainštalovaný v MBR, bootloader GRUB2 je nainštalovaný v rozšírenom oddiele;
├──╼nie je potrebná žiadna inštalácia/preinštalovanie OS;
└──╼použitý kryptografický softvér: VeraCrypt; Cryptsetup; GnuPG; Morský koník; Hashdeep; GRUB2 je zadarmo/zadarmo.
Vyššie uvedená schéma čiastočne rieši problém „vzdialeného zavádzania na flash disk“, umožňuje vám využívať šifrovaný operačný systém Windows/Linux a vymieňať si údaje prostredníctvom „šifrovaného kanála“ z jedného OS do druhého.
Порядок загрузки ПК (один из вариантов):
- zapnutie stroja;
- načítavanie zavádzača VeraCrypt (верный ввод пароля продолжит загрузку Windows 7);
- stlačením klávesu "Esc" sa načíta bootloader GRUB2;
- Zavádzač GRUB2 (vyberte distribúciu/GNU/Linux/CLI), bude vyžadovať autentifikáciu superužívateľa GRUB2 <login/password>;
- po úspešnej autentifikácii a výbere distribúcie budete musieť zadať prístupovú frázu na odomknutie súboru „/boot/initrd.img“;
- po zadaní bezchybných hesiel bude GRUB2 "vyžadovať" zadanie hesla (po tretie, heslo systému BIOS alebo heslo používateľského účtu GNU/Linux – neberie sa do úvahy) na odomknutie a spustenie operačného systému GNU/Linux alebo automatickú náhradu tajného kľúča (dve heslá + kľúč alebo heslo + kľúč);
- externý prienik do konfigurácie GRUB2 zmrazí proces zavádzania GNU/Linuxu.
Хлопотно? Ок, идём автоматизировать процессы.
Pri rozdeľovaní pevného disku (MBR tabuľka) ПК может иметь не более 4-х главных разделов, или 3-х главных и одного расширенного, а также не размеченную область. Расширенный раздел в отличие от главного может содержать подразделы (logické jednotky = rozšírený oddiel). Inými slovami, „rozšírený oddiel“ na pevnom disku nahrádza LVM pre danú úlohu: úplné systémové šifrovanie. Ak je váš disk rozdelený na 4 hlavné oddiely, musíte použiť lvm alebo transformáciu (s formátovaním) sekciu od hlavnej po pokročilú, alebo múdro použite všetky štyri sekcie a nechajte všetko tak, aby ste dosiahli požadovaný výsledok. Aj keď máte na disku jednu partíciu, Gparted vám pomôže rozdeliť váš HDD (pre ďalšie sekcie) bez straty dát, no stále s malým postihom za takéto počínanie.
Schéma rozloženia pevného disku, v súvislosti s ktorou bude celý článok verbalizovaný, je uvedená v tabuľke nižšie.
Tabuľka (č. 1) 1TB partícií.
Niečo podobné by ste mali mať aj vy.
sda1 - hlavný oddiel č. 1 NTFS (зашифрованный);
sda2 - značka rozšíreného úseku;
sda6 - logický disk (má nainštalovaný bootloader GRUB2);
sda8 — swap (зашифрованный файл подкачки/не всегда);
sda9 — тестовый логический диск;
sda5 - logický disk pre zvedavcov;
sda7 - OS GNU/Linux (prenesený OS na šifrovaný logický disk);
sda3 - hlavná partícia č.2 s OS Windows 7 (šifrované);
sda4 - hlavný úsek č.3 (obsahoval nešifrovaný GNU/Linux, používa sa na zálohovanie/nie vždy).
[A] Windows 7 System Block Encryption
A1. VeraCrypt
Stiahnuť z , alebo zo zrkadla inštalačnú verziu kryptografického softvéru VeraCrypt (v čase publikovania článku v1.24-Update3 nie je prenosná verzia VeraCrypt vhodná na systémové šifrovanie). Skontrolujte kontrolný súčet stiahnutého softvéru
$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256
a porovnajte výsledok s CS zverejneným na webovej stránke vývojárov VeraCrypt.
Ak je nainštalovaný softvér HashTab, je to ešte jednoduchšie: RMB (VeraCrypt Setup 1.24.exe)-properties - hash súčet súborov.
Na overenie podpisu programu musí byť v systéme nainštalovaný softvér a verejný pgp kľúč vývojára ; .
A2. Inštalácia/spustenie softvéru VeraCrypt s právami správcu
A3. Výber parametrov systémového šifrovania pre aktívny oddielVeraCrypt – Systém – Šifrovať systémový oddiel/disk – Normálny – Šifrovať systémový oddiel Windows – Viacnásobné spustenie – (upozornenie: „Neodporúčame používať túto metódu neskúseným používateľom“ a to je pravda, súhlasíme „Áno“). - Zavádzací disk („áno“, aj keď nie, stále „áno“) – Počet systémových diskov „2 alebo viac“ – Niekoľko systémov na jednom disku „Áno“ – Zavádzací systém mimo Windows „Nie“ (v skutočnosti „Áno“, ale zavádzače VeraCrypt/GRUB2 nebudú medzi sebou zdieľať MBR; presnejšie povedané, iba najmenšia časť kódu zavádzača je uložená v stope MBR/boot, jej hlavná časť je umiestnené v súborovom systéme) – Multiboot – Nastavenia šifrovania…
Ak sa odchýlite od vyššie uvedených krokov (схемы блочного системного шифрования), potom VeraCrypt vydá varovanie a nedovolí vám zašifrovať oddiel.
V ďalšom kroku k cielenej ochrane údajov vykonajte „Test“ a vyberte šifrovací algoritmus. Ak máte zastaraný procesor, s najväčšou pravdepodobnosťou bude najrýchlejším šifrovacím algoritmom Twofish. Ak je CPU výkonný, všimnete si rozdiel: šifrovanie AES bude podľa výsledkov testov niekoľkonásobne rýchlejšie ako jeho krypto konkurenti. AES je populárny šifrovací algoritmus; hardvér moderných CPU je špeciálne optimalizovaný pre „tajné“ aj „hackovacie“.
VeraCrypt podporuje možnosť šifrovania diskov v kaskáde AES(dve ryby)/a iné kombinácie. Na starom jadrovom CPU Intel spred desiatich rokov (bez hardvérovej podpory pre AES, A/T kaskádové šifrovanie) Pokles výkonu je v podstate nepostrehnuteľný. (pre procesory AMD rovnakej éry/~parametrov je výkon mierne znížený). ОС работает в динамике и потребление ресурсов на прозрачное шифрование – незаметное. В отличие, как например, заметное снижение производительности из-за установленного тестового нестабильного desktop environment Mate v1.20.1 (alebo v1.20.2 si presne nepamätám) v GNU/Linux, alebo kvôli prevádzke telemetrie vo Windows7↑. Skúsení používatelia zvyčajne vykonávajú testy výkonu hardvéru pred šifrovaním. Napríklad v Aida64/Sysbench/systemd-analyze sa vina porovnáva s výsledkami rovnakých testov po zašifrovaní systému, čím sa vyvracia samotný mýtus, že „šifrovanie systému je škodlivé“. Spomalenie stroja a nepríjemnosti sú viditeľné pri zálohovaní/obnove šifrovaných údajov, pretože samotná operácia „zálohovania systémových údajov“ sa nemeria v ms a pridávajú sa tie isté <dešifrovať/šifrovať za chodu>. V konečnom dôsledku každý používateľ, ktorému je dovolené vŕtať sa v kryptografii, vyvažuje šifrovací algoritmus so splnením úloh, ktoré má po ruke, úrovňou paranoje a jednoduchosťou použitia.
Je lepšie ponechať parameter PIM ako predvolený, aby ste pri načítaní OS nemuseli zakaždým zadávať presné hodnoty iterácie. VeraCrypt používa obrovské množstvo iterácií na vytvorenie skutočne „pomalého hashu“. Útok na takéhoto „krypto slimáka“ metódou Brute force/rainbow tables má zmysel len s krátkou „jednoduchou“ prístupovou frázou a zoznamom osobných znakov obete. Cenou za silu hesla je oneskorenie pri zadávaní správneho hesla pri načítaní OS. (pripojenie zväzkov VeraCrypt v GNU/Linux je výrazne rýchlejšie).
Bezplatný softvér na implementáciu útokov hrubou silou (extrahujte prístupovú frázu z hlavičky disku VeraCrypt/LUKS) Hashcat. John the Ripper nevie, ako „prelomiť Veracrypt“ a pri práci s LUKS nerozumie kryptografii Twofish.
Kvôli kryptografickej sile šifrovacích algoritmov vyvíjajú nezastaviteľní cypherpunkeri softvér s odlišným vektorom útoku. Napríklad extrahovanie metadát/kľúčov z RAM (атака холодным ботинком/прямым доступом к памяти), Na tieto účely existuje špecializovaný slobodný a neslobodný softvér.
Po dokončení nastavenia/generovania „jedinečných metadát“ zašifrovaného aktívneho oddielu VeraCrypt ponúkne reštart počítača a otestuje funkčnosť jeho bootloadera. Po reštarte/spustení systému Windows sa VeraCrypt načíta v pohotovostnom režime, zostáva už len potvrdiť proces šifrovania – Y.
V poslednom kroku systémového šifrovania VeraCrypt ponúkne vytvorenie záložnej kópie hlavičky aktívneho šifrovaného oddielu vo forme „veracrypt Rescue disk.iso“ - to je potrebné urobiť - v tomto softvéri je takáto operácia podmienkou (в LUKS, как требование – это к сожалению, опущено, но подчеркнуто в документации). Záchranný disk príde vhod každému a niekomu aj viackrát. Strata (prepis hlavičky/MBR) záložná kópia hlavičky natrvalo zakáže prístup k dešifrovanej oblasti s OS Windows.
А4. Создание спасательного usb/диска VeraCryptVeraCrypt štandardne ponúka napálenie „~2-3 MB metadát“ na CD, ale nie všetci ľudia majú disky alebo jednotky DWD-ROM a vytvorenie bootovacej jednotky flash „VeraCrypt Rescue disk“ bude pre niektorých technickým prekvapením: Rufus /GUIdd-ROSA ImageWriter a iný podobný softvér si s úlohou neporadí, pretože okrem skopírovania ofsetových metadát na zavádzaciu jednotku flash musíte skopírovať/prilepiť obrázok mimo súborový systém jednotky USB, skrátka správne skopírujte MBR/cestu do kľúčenky. Môžete vytvoriť zavádzaciu jednotku flash z operačného systému GNU/Linux pomocou nástroja „dd“ pri pohľade na tento znak.
Vytvorenie záchranného disku v prostredí Windows je iné. Vývojár VeraCrypt nezahrnul riešenie tohto problému do oficiálneho „záchranným diskom“, ale navrhol riešenie iným spôsobom: na svojom fóre VeraCrypt zverejnil dodatočný softvér na vytvorenie „záchranného disku usb“ na voľný prístup. Archivátor tohto softvéru pre Windows „vytvára záchranný disk usb veracrypt“. Po uložení záchranného disku.iso sa spustí proces blokového systémového šifrovania aktívneho oddielu. Počas šifrovania sa prevádzka OS nezastaví, nie je potrebný reštart PC. Po dokončení operácie šifrovania sa aktívny oddiel úplne zašifruje a možno ho použiť. Ak sa zavádzač VeraCrypt pri spustení počítača nezobrazí a operácia obnovenia hlavičky nepomôže, skontrolujte príznak „boot“, musí byť nastavený na oblasť, kde sa nachádza systém Windows (bez ohľadu na šifrovanie a iný OS, pozri tabuľku č. 1).
Týmto je popis blokového systémového šifrovania s OS Windows dokončený.
[B]LUKS. GNU/Linux šifrovanie (~Debian) nainštalovaný OS. Algoritmus a kroky
Aby ste mohli zašifrovať nainštalovanú distribúciu Debian/derivát, musíte namapovať pripravený oddiel na virtuálne blokové zariadenie, preniesť ho na mapovaný disk GNU/Linux a nainštalovať/nakonfigurovať GRUB2. Ak nemáte holý kovový server a ceníte si svoj čas, potom musíte použiť GUI a väčšina príkazov terminálu popísaných nižšie je určená na spustenie v „režime Chuck-Norris“.
B1. Bootovanie PC z live usb GNU/Linux
„Vykonajte kryptografický test výkonu hardvéru“
lscpu && сryptsetup benchmark
Ak ste šťastným majiteľom výkonného auta s podporou hardvéru AES, čísla budú vyzerať ako pravá strana terminálu, ak ste šťastný majiteľ, ale so starožitným hardvérom, čísla budú vyzerať ako ľavá strana.
B2. Rozdelenie disku. pripojenie/formátovanie logického disku fs HDD na Ext4 (Gparted)
B2.1. Vytvorenie šifrovanej hlavičky oddielu sda7Názvy oddielov popíšem tu a ďalej v súlade s mojou tabuľkou oddielov uverejnenou vyššie. Podľa rozloženia disku musíte nahradiť názvy oddielov.
Mapovanie šifrovania logickej jednotky (/dev/sda7 > /dev/mapper/sda7_crypt).
#Jednoduché vytvorenie oddielu „LUKS-AES-XTS“
cryptsetup -v -y luksFormat /dev/sda7Možnosti:
* luksFormat - inicializácia hlavičky LUKS;
* -y -prístupová fráza (nie kľúč/súbor);
* -v -verbalizácia (zobrazenie informácií v termináli);
* /dev/sda7 -ваш логический диск из расширенного раздела (kde sa plánuje prenos/šifrovanie GNU/Linux).
По умолчанию алгоритм шифрования <LUKS1: aes-xts-plain64, kľúč: 256 bitov, hash hlavičky LUKS: sha256, RNG: /dev/urandom> (závisí od verzie cryptsetup).
#Проверка default-алгоритма шифрования
cryptsetup --help #самая последняя строка в выводе терминала.Ak na CPU nie je hardvérová podpora pre AES, najlepšou voľbou by bolo vytvoriť rozšírenú oblasť „LUKS-Twofish-XTS“.
B2.2. Pokročilá tvorba „LUKS-Twofish-XTS-partition“
cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom
Možnosti:
* luksFormat - inicializácia hlavičky LUKS;
* /dev/sda7 je váš budúci šifrovaný logický disk;
* -v verbalizácia;
* -y парольная фраза;
* -c vyberte algoritmus šifrovania údajov;
* -s veľkosť šifrovacieho kľúča;
* -h hashovací algoritmus/kryptografická funkcia, použitý RNG (--use-urandom) na generovanie jedinečného šifrovacieho/dešifrovacieho kľúča pre hlavičku logického disku, sekundárneho kľúča hlavičky (XTS); jedinečný hlavný kľúč uložený v hlavičke zašifrovaného disku, sekundárny kľúč XTS, všetky tieto metadáta a rutina šifrovania, ktorá pomocou hlavného kľúča a sekundárneho kľúča XTS zašifruje/dešifruje všetky údaje na oddiele (okrem názvu sekcie) uložené vo veľkosti ~3 MB na vybranom oddiele pevného disku.
* -i iterácie v milisekundách namiesto "množstvo" (časové oneskorenie pri spracovaní prístupovej frázy ovplyvňuje načítanie OS a kryptografickú silu kľúčov). Ak chcete zachovať rovnováhu kryptografickej sily, s jednoduchým heslom, ako je „Russian“, musíte zvýšiť hodnotu -(i), so zložitým heslom ako „?8dƱob/øfh“ možno hodnotu znížiť.
* —použite generátor náhodných čísel, generuje kľúče a soľ.
Po namapovaní sekcie sda7 > sda7_crypt (operácia je rýchla, pretože je vytvorená šifrovaná hlavička s ~3 MB metadát a to je všetko), musíte naformátovať a pripojiť súborový systém sda7_crypt.
B2.3. Porovnanie
cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.
možnosti:
* otvorené - porovnajte sekciu „s názvom“;
* /dev/sda7 -logický disk;
* sda7_crypt - mapovanie názvu, ktoré sa používa na pripojenie šifrovaného oddielu alebo jeho inicializáciu pri zavádzaní operačného systému.
B2.4. Formátovanie súborového systému sda7_crypt na ext4. Montáž disku v OS(Poznámka: v Gparted nebudete môcť pracovať so šifrovaným oddielom)
#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt
možnosti:
* -v -verbalizácia;
* -L - štítok jednotky (ktorý sa zobrazuje v Prieskumníkovi medzi ostatnými jednotkami).
Ďalej by ste mali do systému pripojiť virtuálne šifrované blokové zariadenie /dev/sda7_crypt
mount /dev/mapper/sda7_crypt /mntPráca so súbormi v priečinku /mnt automaticky zašifruje/dešifruje údaje v sda7.
Je pohodlnejšie namapovať a pripojiť oddiel v Prieskumníkovi (grafické rozhranie nautilus/caja), partícia už bude v zozname na výber disku, ostáva už len zadať prístupovú frázu na otvorenie/dešifrovanie disku. Zhodný názov sa vyberie automaticky a nie „sda7_crypt“, ale niečo ako /dev/mapper/Luks-xx-xx...
B2.5. Záloha hlavičky disku (~3 MB metadát)Jeden z najviac dôležité operácie, ktoré je potrebné vykonať bezodkladne - záložná kópia hlavičky „sda7_crypt“. Ak prepíšete/poškodíte hlavičku (napríklad inštalácia GRUB2 na oddiel sda7 atď.), зашифрованные данные будут потеряны окончательно без какой-либо возможности их восстановить, потому что невозможно будет повторно сгенерировать одинаковые ключи, ключи создаются уникальные.
#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7
#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>
možnosti:
* luksHeaderBackup —header-backup-file -backup command;
* luksHeaderRestore —header-backup-file-restore command;
* ~/Backup_DebSHIFR - záložný súbor;
* /dev/sda7 -раздел, чью резервную копия шифрованного заголовка диска требуется сохранить.
V tomto kroku je dokončené <vytváranie a úprava šifrovaného oddielu>.
B3. Portovanie OS GNU/Linux (sda4) do šifrovaného oddielu (sda7)
Vytvorte priečinok /mnt2 (Примечание — мы все еще работаем с live usb, в точку /mnt смонтирован sda7_crypt)a pripojte náš GNU/Linux do /mnt2, ktorý musí byť zašifrovaný.
mkdir /mnt2
mount /dev/sda4 /mnt2
Správny prenos OS vykonáme pomocou softvéru Rsync
rsync -avlxhHX --progress /mnt2/ /mntMožnosti Rsync sú popísané v odseku E1.
Ďalej, mušt defragmentujte logický diskový oddiel
e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux
Urobte z toho pravidlo: z času na čas urobte e4defrag na zašifrovanom GNU/Linuxe, ak máte HDD.
V tomto kroku je dokončený prenos a synchronizácia [GNU/Linux > GNU/Linux-encrypted].
AT 4. Nastavenie GNU/Linuxu na šifrovanom oddiele sda7
Po úspešnom prenose OS /dev/sda4 > /dev/sda7 sa musíte prihlásiť do GNU/Linux na šifrovanom oddiele a vykonať ďalšiu konfiguráciu (bez reštartu PC) vzhľadom na šifrovaný systém. To znamená, že musíte byť v živom usb, ale vykonávať príkazy „vo vzťahu ku koreňu šifrovaného operačného systému“. „chroot“ bude simulovať podobnú situáciu. Ak chcete rýchlo získať informácie o tom, s ktorým OS práve pracujete (в шифрованной или нет, так как данные в sda4 и sda7 синхронизированы), desynchronizujte OS. Vytvorte v koreňových adresároch (sda4/sda7_crypt) prázdne súbory značiek, napríklad /mnt/encryptedOS a /mnt2/decryptedOS. Rýchlo skontrolujte, aký operačný systém používate (aj pre budúcnosť):
ls /<Tab-Tab>B4.1. «Симуляция входа в зашифрованную ОС»
mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt
B4.2. Проверка, что работа осуществляется относительно зашифрованной системы
ls /mnt<Tab-Tab>
#и видим файл "/шифрованнаяОС"
history
#в выводе терминала должна появиться история команд su рабочей ОС.B4.3. Vytvorenie/konfigurácia šifrovaného swapu, úprava crypttab/fstabKeďže odkladací súbor je formátovaný pri každom spustení OS, nemá zmysel vytvárať a mapovať swap na logický disk a zadávať príkazy ako v odseku B2.2. Pre Swap sa pri každom spustení automaticky vygenerujú jeho vlastné dočasné šifrovacie kľúče. Životný cyklus odkladacích kľúčov: odpojenie/odpojenie odkladacieho oddielu (+čistenie RAM); alebo reštartujte OS. Nastavenie swapu, otvorenie súboru zodpovedného za konfiguráciu blokovo šifrovaných zariadení (analogicky k súboru fstab, ale zodpovedný za krypto).
nano /etc/crypttab upravujeme
#"cieľový názov" "zdrojové zariadenie" "súbor kľúča" "možnosti"
swap /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512
Možnosti
* swap - namapované meno pri šifrovaní /dev/mapper/swap.
* /dev/sda8 - použite svoj logický oddiel na swap.
* /dev/urandom - generátor náhodných šifrovacích kľúčov pre swap (pri každom novom zavedení OS sa vytvoria nové kľúče). Generátor /dev/urandom je menej náhodný ako /dev/random, koniec koncov /dev/random sa používa pri práci v nebezpečných paranoidných podmienkach. Pri zavádzaní OS /dev/random spomalí načítanie na niekoľko ± minút (pozri systemd-analýzu).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -oddiel vie, že je swap a je naformátovaný “podľa toho”; šifrovací algoritmus.
#Открываем и правим fstab
nano /etc/fstab
upravujeme
# swap bol počas inštalácie zapnutý / dev / sda8
/dev/mapper/swap žiadne swap sw 0 0
/dev/mapper/swap -имя , которое задали в crypttab.
Alternatívna šifrovaná výmena
Ak sa z nejakého dôvodu nechcete vzdať celého oddielu pre odkladací súbor, môžete ísť alternatívnym a lepším spôsobom: vytvorením odkladacieho súboru v súbore na zašifrovanom oddiele s OS.
fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянныйNastavenie swapového oddielu je dokončené.
B4.4. Настройка зашифрованной GNU/Linux (правка файлов crypttab/fstab)Súbor /etc/crypttab, ako je napísané vyššie, popisuje šifrované blokové zariadenia, ktoré sa konfigurujú počas zavádzania systému.
#правим /etc/crypttab
nano /etc/crypttab
ak ste porovnali sekciu sda7>sda7_crypt ako v odseku B2.1
# "cieľový názov" "zdrojové zariadenie" "súbor kľúča" "možnosti"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks
ak ste porovnali sekciu sda7>sda7_crypt ako v odseku B2.2
# "cieľový názov" "zdrojové zariadenie" "súbor kľúča" "možnosti"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512
ak ste zhodovali časť sda7>sda7_crypt ako v odseku B2.1 alebo B2.2, ale nechcete znova zadávať heslo na odomknutie a spustenie operačného systému, potom namiesto hesla môžete nahradiť tajný kľúč/náhodný súbor
# "cieľový názov" "zdrojové zariadenie" "súbor kľúča" "možnosti"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks
Popis
* none - hlási, že pri načítaní OS je na odomknutie rootu potrebné zadať tajnú prístupovú frázu.
* UUID - identifikátor oddielu. Ak chcete zistiť svoje ID, zadajte do terminálu (pripomeňme, že od tejto chvíle pracujete v termináli v chrootovom prostredí a nie v inom živom usb termináli).
fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное
/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»
tento riadok je viditeľný pri vyžiadaní blkid z živého usb terminálu s pripojeným sda7_crypt).
Prevezmete UUID zo svojho sdaX (nie sdaX_crypt!, UUID sdaX_crypt – bude automaticky ponechaný pri generovaní konfigurácie grub.cfg).
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks šifrovanie v pokročilom režime.
* /etc/skey - súbor tajného kľúča, ktorý sa automaticky vloží na odomknutie zavádzania operačného systému (namiesto zadania 3. hesla). Môžete zadať ľubovoľný súbor do veľkosti 8 MB, ale údaje sa budú čítať < 1 MB.
#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey
#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7
Bude to vyzerať asi takto:
(urobte to sami a presvedčte sa sami).
cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота/etc/fstab obsahuje popisné informácie o rôznych súborových systémoch.
#Правим /etc/fstab
nano /etc/fstab
# "súborový systém" "prípojný bod" "typ" "možnosti" "výpis" "prechod"
# / bolo počas inštalácie v / dev / sda7
/dev/mapper/sda7_crypt / chyby ext4=remount-ro 0 1
možnosť
* /dev/mapper/sda7_crypt – názov mapovania sda7>sda7_crypt, ktorý je uvedený v súbore /etc/crypttab.
Nastavenie crypttab/fstab je dokončené.
B4.5. Úprava konfiguračných súborov. Kľúčový momentB4.5.1. Úprava konfigurácie /etc/initramfs-tools/conf.d/resume
#Если у вас ранее был активирован swap раздел, отключите его.
nano /etc/initramfs-tools/conf.d/resume
a komentovať (если существует) "#" riadok "obnoviť". Súbor musí byť úplne prázdny.
B4.5.2. Úprava konfigurácie /etc/initramfs-tools/conf.d/cryptsetup
nano /etc/initramfs-tools/conf.d/cryptsetupby sa mali zhodovať
# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=áno
exportovať CRYPTSETUP
B4.5.3. Úprava konfigurácie /etc/default/grub (táto konfigurácia je zodpovedná za schopnosť generovať grub.cfg pri práci so šifrovaným /boot)
nano /etc/default/grub
pridajte riadok „GRUB_ENABLE_CRYPTODISK=y“
hodnota 'y', grub-mkconfig a grub-install skontrolujú šifrované disky a vygenerujú ďalšie príkazy potrebné na prístup k nim pri štarte (insmod-ы <cryptomount/set root>).
musí tam byť podobnosť
GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian“.
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=vendor"
GRUB_CMDLINE_LINUX="tiché splash noautomount"
GRUB_ENABLE_CRYPTODISK=y
B4.5.4. Úprava konfigurácie /etc/cryptsetup-initramfs/conf-hook
nano /etc/cryptsetup-initramfs/conf-hook
skontrolujte, či je čiara komentoval <#>.
Nabudúce (a ani teraz tento parameter nebude mať žiadny význam, ale niekedy narúša aktualizáciu obrazu initrd.img).
B4.5.5. Úprava konfigurácie /etc/cryptsetup-initramfs/conf-hook
nano /etc/cryptsetup-initramfs/conf-hookpridanie
KEYFILE_PATTERN=”/etc/skey”
UMASK=0077
Toto zabalí tajný kľúč „key“ do initrd.img, kľúč je potrebný na odomknutie koreňového adresára pri zavádzaní OS (ak nechcete znova zadávať heslo, nahradí sa kľúč „kľúč“ pre auto).
B4.6. Aktualizovať /boot/initrd.img [verzia]Ak chcete zabaliť tajný kľúč do initrd.img a použiť opravy cryptsetup, aktualizujte obrázok
update-initramfs -u -k all
pri aktualizácii initrd.img (ako sa hovorí „je to možné, ale nie je to isté“) objavia sa varovania súvisiace s cryptsetupom, alebo napríklad upozornenie o strate modulov Nvidia – to je normálne. Po aktualizácii súboru skontrolujte, či bol skutočne aktualizovaný, pozri čas (vzhľadom na prostredie chroot./boot/initrd.img). Varovanie! pred [update-initramfs -u -k all] nezabudnite skontrolovať, či je cryptsetup otvorený /dev/sda7 sda7_crypt - toto je názov, ktorý sa objaví v /etc/crypttab, inak po reštarte nastane chyba busybox)
V tomto kroku je nastavenie konfiguračných súborov dokončené.
[C] Inštalácia a konfigurácia GRUB2/Protection
C1. V prípade potreby naformátujte vyhradený oddiel pre zavádzač (oddiel potrebuje aspoň 20 MB)
mkfs.ext4 -v -L GRUB2 /dev/sda6C2. Pripojte /dev/sda6 na /mntTakže pracujeme v chroote, potom v koreňovom adresári nebude žiadny adresár /mnt2 a priečinok /mnt bude prázdny.
монтируем раздел GRUB2
mount /dev/sda6 /mntAk máte nainštalovanú staršiu verziu GRUB2, v adresári /mnt/boot/grub/i-386-pc (возможна другая платформа, например, не «i386-pc») отсутствуют криптомодули (v skratke, priečinok by mal obsahovať moduly vrátane týchto .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), v tomto prípade je potrebné GRUB2 pretrepať.
apt-get update
apt-get install grub2
Dôležité! Pri aktualizácii balíka GRUB2 z úložiska na otázku „o výbere“ kam nainštalovať bootloader, musíte inštaláciu odmietnuť (dôvod - pokus o inštaláciu GRUB2 - v „MBR“ alebo na live usb). V opačnom prípade poškodíte hlavičku/načítač VeraCrypt. Po aktualizácii balíkov GRUB2 a zrušení inštalácie musí byť zavádzač nainštalovaný manuálne na logický disk, a nie do MBR. Ak má váš repozitár zastaranú verziu GRUB2, skúste je to z oficiálnej stránky - nekontrolovali sme to (pracoval s najnovšími zavádzačmi GRUB 2.02 ~BetaX).
C3. Inštalácia GRUB2 do rozšíreného oddielu [sda6]Musíte mať pripojený oddiel [položka C.2]
grub-install --force --root-directory=/mnt /dev/sda6
možnosti
* —force -установка загрузчика, минуя все предупреждения, которые практически всегда существуют и блокируют установку (обязательный флаг).
* --root-directory - inštalácia adresára ku koreňu sda6.
* /dev/sda6 - váš oddiel sdaХ (nenechajte si ujsť <medzeru> medzi /mnt /dev/sda6).
C4. Vytvorenie konfiguračného súboru [grub.cfg]Zabudnite na príkaz „update-grub2“ a použite príkaz na generovanie úplného konfiguračného súboru
grub-mkconfig -o /mnt/boot/grub/grub.cfg
po dokončení generovania/aktualizácie súboru grub.cfg by výstupný terminál mal obsahovať riadky s OS nájdeným na disku („grub-mkconfig“ pravdepodobne nájde a prevezme OS z živého USB, ak máte multibootový flash disk so systémom Windows 10 a veľa živých distribúcií - je to normálne). Ak je terminál „prázdny“ a súbor „grub.cfg“ nie je vygenerovaný, potom je to rovnaký prípad, keď sú v systéme chyby GRUB (и скорее всего загрузчик из тестовой ветки репозитория), preinštalujte GRUB2 z dôveryhodných zdrojov.
Установка «простая конфигурация» и настройка GRUB2 завершена.
C5. Dôkazný test šifrovaného OS GNU/LinuxKrypto misiu dokončíme správne. Opatrne opustite zašifrovaný GNU/Linux (ukončiť chroot prostredie).
umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot
Po reštarte počítača by sa mal načítať bootloader VeraCrypt.
*Zadaním hesla pre aktívny oddiel sa spustí načítanie systému Windows.
*Нажатие клавиши «Esc» передаст управление GRUB2, при выборе зашифрованной GNU/Linux – потребуется пароль (sda7_crypt) для разблокировки /boot/initrd.img (если grub2 пишет uuid «не найден» — это проблема загрузчика grub2, его следует переустановить, например, с тестовой ветки/стабильный и пд).
*V závislosti od toho, ako ste nakonfigurovali systém (pozri odsek B4.4/4.5), po zadaní správneho hesla na odomknutie obrazu /boot/initrd.img budete potrebovať heslo na načítanie jadra/korena OS alebo tajomstva kľúč bude automaticky nahradený „key“, čím sa eliminuje potreba opätovného zadávania prístupovej frázy.
(obrazovka „automatické nahradenie tajného kľúča“).
*Potom bude nasledovať známy proces načítania GNU/Linuxu s overením používateľského účtu.
*Po autorizácii používateľa a prihlásení do OS musíte znova aktualizovať súbor /boot/initrd.img (см В4.6).
update-initramfs -u -k allA v prípade extra riadkov v menu GRUB2 (z vyzdvihnutia OS-m s live usb) zbav sa ich
mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg
Stručné zhrnutie systémového šifrovania GNU/Linux:
- GNU/Linuxinux je plne šifrovaný, vrátane /boot/kernel a initrd;
- tajný kľúč je zabalený v initrd.img;
- súčasná autorizačná schéma (zadanie hesla na odomknutie initrd; heslo/kľúč na spustenie OS; heslo na autorizáciu účtu Linux).
Systémové šifrovanie blokového oddielu „Simple GRUB2 Configuration“ je dokončené.
C6. Pokročilá konfigurácia GRUB2. Ochrana bootloaderu s digitálnym podpisom + ochrana autentifikácieGNU/Linux je úplne zašifrovaný, ale bootloader sa nedá zašifrovať – túto podmienku diktuje BIOS. Z tohto dôvodu nie je možné reťazené zakódované spustenie GRUB2, ale jednoduché reťazené spustenie je možné/dostupné, ale z bezpečnostného hľadiska nie je potrebné [pozri P. F].
Pre „zraniteľný“ GRUB2 vývojári implementovali ochranný algoritmus bootloaderu „podpis/autentifikácia“.
- Keď je bootloader chránený „vlastným digitálnym podpisom“, externá úprava súborov alebo pokus o načítanie ďalších modulov do tohto bootloadera povedie k zablokovaniu procesu zavádzania.
- Pri ochrane bootloadera pomocou autentifikácie, aby ste mohli vybrať načítanie distribúcie alebo zadať ďalšie príkazy do CLI, budete musieť zadať prihlasovacie meno a heslo superuser-GRUB2.
C6.1. Ochrana autentifikácie zavádzačaSkontrolujte, či pracujete v termináli so šifrovaným operačným systémom
ls /<Tab-Tab> #обнаружить файл-маркерvytvorte heslo superužívateľa na autorizáciu v GRUB2
grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. Získajte hash hesla. Niečo také
grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
pripojte oddiel GRUB
mount /dev/sda6 /mnt upraviť konfiguráciu
nano -$ /mnt/boot/grub/grub.cfg
skontrolujte vyhľadávanie súborov, že nikde v „grub.cfg“ nie sú žiadne príznaky („-unrestricted“ „-user“,
pridať na úplný koniec (pred riadkom ### END /etc/grub.d/41_custom ###)
"set superusers="root"
heslo_pbkdf2 root hash."
Malo by to byť niečo takéto
# Tento súbor poskytuje jednoduchý spôsob pridávania vlastných položiek ponuky. Jednoducho zadajte
# položky ponuky, ktoré chcete pridať za tento komentár. Pozor na zmenu
# riadok „chvost exec“ vyššie.
### KONIEC /etc/grub.d/40_custom ###### BEGIN /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; potom
zdroj ${config_directory}/custom.cfg
elif [ -z «${config_directory}» -a -f $prefix/custom.cfg ]; then
zdroj $prefix/custom.cfg;
fi
nastaviť superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### KONIEC /etc/grub.d/41_custom ###
#
Ak často používate príkaz „grub-mkconfig -o /mnt/boot/grub/grub.cfg“ a nechcete zakaždým vykonávať zmeny v súbore grub.cfg, zadajte vyššie uvedené riadky (Prihlasovacie heslo) v užívateľskom skripte GRUB úplne dole
nano /etc/grub.d/41_custom mačka <<EOF
nastaviť superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF
Pri generovaní konfigurácie „grub-mkconfig -o /mnt/boot/grub/grub.cfg“ budú riadky zodpovedné za autentifikáciu automaticky pridané do grub.cfg.
Tento krok dokončí nastavenie autentifikácie GRUB2.
С6.2. Защита загрузчика цифровой подписьюPredpokladá sa, že už máte svoj osobný šifrovací kľúč pgp (alebo vytvorte takýto kľúč). Systém musí mať nainštalovaný kryptografický softvér: gnuPG; kleopatra/GPA; Morský koník. Krypto softvér vám vo všetkých takýchto záležitostiach výrazne uľahčí život. Seahorse - stabilná verzia balíka 3.14.0 (vyššie verzie, napr. V3.20, sú chybné a majú značné chyby).
PGP kľúč je potrebné vygenerovať/spustiť/pridať iba v prostredí su!
Vygenerujte osobný šifrovací kľúč
gpg - -gen-keyExportujte svoj kľúč
gpg --export -o ~/perskeyPripojte logický disk v OS, ak ešte nie je pripojený
mount /dev/sda6 /mnt #sda6 – раздел GRUB2очистите раздел GRUB2
rm -rf /mnt/Nainštalujte GRUB2 do sda6 a vložte svoj súkromný kľúč do hlavného obrazu GRUB "core.img"
grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6
možnosti
* --force - nainštaluje bootloader a obíde všetky varovania, ktoré vždy existujú (обязательный флаг).
* —modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - inštruuje GRUB2, aby prednahral potrebné moduly pri štarte PC.
* -k ~/perkey -cesta ku kľúču PGP (po zbalení kľúča do obrázku je možné ho vymazať).
* --root-directory -nastaví zavádzací adresár na koreňový adresár sda6
/dev/sda6 - váš oddiel sdaX.
Generuje sa/aktualizuje grub.cfg
grub-mkconfig -o /mnt/boot/grub/grub.cfgPridajte riadok „trust /boot/grub/perskey“ na koniec súboru „grub.cfg“ (vynútiť použitie kľúča pgp.) Keďže sme nainštalovali GRUB2 so sadou modulov, vrátane podpisového modulu „signature_test.mod“, eliminuje to potrebu pridávať do konfigurácie príkazy ako „set check_signatures=enforce“.
Выглядеть должно примерно так (koniec riadkov v súbore grub.cfg)
### BEGIN /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; potom
zdroj ${config_directory}/custom.cfg
elif [ -z «${config_directory}» -a -f $prefix/custom.cfg ]; then
zdroj $prefix/custom.cfg;
fi
trust /boot/grub/perskey
nastaviť superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### KONIEC /etc/grub.d/41_custom ###
#
Cesta k „/boot/grub/perskey“ nemusí smerovať na konkrétny diskový oddiel, napríklad hd0,6; pre samotný bootloader je „root“ predvolenou cestou oddielu, na ktorom je nainštalovaný GRUB2. (pozri set rot=..).
Podpis GRUB2 (všetky súbory vo všetkých adresároch /GRUB) своим ключом «perskey».
Простое решение, как подписать (pre nautilus/caja explorer): nainštalujte rozšírenie „seahorse“ pre Explorer z úložiska. Váš kľúč musí byť pridaný do prostredia su.
Otvorte Prieskumníka pomocou sudo „/mnt/boot“ – RMB – znak. Na obrazovke to vyzerá takto
Samotný kľúč je „/mnt/boot/grub/perskey“ (skopírujte do adresára grub) musí byť tiež podpísaný vlastným podpisom. Skontrolujte, či sa podpisy súborov [*.sig] nachádzajú v adresári/podadresároch.
Pomocou vyššie opísanej metódy podpíšte „/boot“ (naše jadro, initrd). Ak váš čas stojí za niečo, potom táto metóda eliminuje potrebu písať bash skript na podpísanie „veľa súborov“.
Ak chcete odstrániť všetky podpisy zavádzača (если что-то пошло не так)
rm -f $(find /mnt/boot/grub -type f -name '*.sig')Aby sa po aktualizácii systému nepodpísal bootloader, zmrazujeme všetky aktualizačné balíčky súvisiace s GRUB2.
apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-commonV tomto kroku <chrániť bootloader digitálnym podpisom> je dokončená pokročilá konfigurácia GRUB2.
C6.3. Dôkazný test bootloadera GRUB2, chránený digitálnym podpisom a autentifikáciouGRUB2. Pri výbere akejkoľvek distribúcie GNU/Linux alebo zadávaní CLI (príkazový riadok) Vyžaduje sa autorizácia superužívateľa. Po zadaní správneho používateľského mena/hesla budete potrebovať initrd heslo
Snímka obrazovky úspešnej autentifikácie superužívateľa GRUB2.
Ak manipulujete s niektorým zo súborov GRUB2/vykonávate zmeny v grub.cfg, alebo vymažete súbor/podpis alebo načítate škodlivý modul.mod, zobrazí sa príslušné varovanie. GRUB2 pozastaví načítavanie.
Snímka obrazovky, pokus o zasahovanie do GRUB2 „zvonku“.
Počas „normálneho“ zavádzania „bez narušenia“ je stav ukončovacieho kódu systému „0“. Preto nie je známe, či ochrana funguje alebo nie (to znamená, že „s ochranou podpisu zavádzača alebo bez neho“ počas normálneho načítania je stav rovnaký „0“ - to je zlé).
Ako skontrolovať ochranu digitálneho podpisu?
Nepohodlný spôsob kontroly: sfalšujte/odstráňte modul používaný napríklad GRUB2, odstráňte podpis luks.mod.sig a dostanete chybu.
Správny spôsob: prejdite do CLI zavádzača a zadajte príkaz
trust_list
Ako odpoveď by ste mali dostať odtlačok prsta „perkey“; ak je stav „0“, potom ochrana podpisu nefunguje, znova skontrolujte odsek C6.2.
V tomto kroku je dokončená rozšírená konfigurácia „Ochrana GRUB2 digitálnym podpisom a autentifikáciou“.
C7 Alternatívny spôsob ochrany bootloadera GRUB2 pomocou hashovaniaVyššie opísaná metóda „Ochrana zavádzača CPU/Autentifikácia“ je klasická. Kvôli nedokonalostiam GRUB2 je v paranoidných podmienkach náchylný na skutočný útok, ktorý uvediem nižšie v odseku [F]. Navyše, po aktualizácii OS/kernelu musí byť bootloader znovu podpísaný.
Ochrana bootloadera GRUB2 pomocou hashovania
Výhody oproti klasike:
- Vyššia úroveň spoľahlivosti (hašovanie/overovanie prebieha len zo šifrovaného lokálneho zdroja. Celý alokovaný oddiel pod GRUB2 je kontrolovaný pre akékoľvek zmeny a všetko ostatné je šifrované; v klasickej schéme s ochranou CPU loader/Autentifikáciou sú kontrolované iba súbory, ale nie zadarmo priestor, do ktorého možno pridať „niečo“ niečo zlovestné).
- Šifrované protokolovanie (в схему добавляется удобочитаемый персональный шифрованный лог).
- Rýchlosť (ochrana/overenie celého oddielu alokovaného pre GRUB2 prebieha takmer okamžite).
- Automatizácia všetkých kryptografických procesov.
Nevýhody oproti klasike.
- Falšovanie podpisu (teoreticky je možné nájsť kolíziu danej hašovacej funkcie).
- Zvýšená úroveň obtiažnosti (v porovnaní s klasikou je potrebná trochu väčšia znalosť OS GNU/Linux).
Ako funguje nápad hashovania GRUB2/partície
«Подписывается» раздел GRUB2, при загрузке ОС происходит проверка неизменности раздела загрузчика с последующим логированием в безопасной среде (зашифрованной). В случае компрометации загрузчика, либо его раздела, в дополнение к логу вторжения запускается такая
Vec.
Podobná kontrola prebieha štyrikrát denne, čo nezaťažuje systémové prostriedky.
Pomocou príkazu „-$ check_GRUB“ sa kedykoľvek vykoná okamžitá kontrola bez protokolovania, ale s výstupom informácií do CLI.
Pomocou príkazu „-$ sudo signature_GRUB“ sa zavádzač/oddiel GRUB2 okamžite znova podpíše a aktualizuje sa jeho protokolovanie (potrebné po aktualizácii OS/bootu) a život ide ďalej.
Implementácia hašovacej metódy pre bootloader a jeho sekciu
0) Podpíšme zavádzač/oddiel GRUB tak, že ho najskôr pripojíme do /media/username
-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt1) Vytvárame skript bez prípony v koreňovom adresári šifrovaného OS ~/podpis, aplikujeme naň potrebné bezpečnostné práva 744 a spoľahlivú ochranu.
Naplnenie jeho obsahu
#!/bin/bash
#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux.
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'
a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!!
b="hashdeep: Audit failed"
#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]]
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif'
fiЗапускаем скрипт от su, произойдет проверка хэширования раздела GRUB и его загрузчика, save лог.
Vytvorme alebo skopírujeme napríklad „škodlivý súbor“ [virus.mod] na partíciu GRUB2 a spustíme dočasnú kontrolu/test:
-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUBCLI musí vidieť inváziu do našej -citadely-#Orezané prihlásenie do CLI
Ср янв 2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
Input files examined: 0
Known files expecting: 0
Files matched: 325
Files partially matched: 0
Files moved: 1
New files found: 0
Known files not found: 0
#как видим появилось «Files moved: 1 и Audit failed» означает, что проверка не прошла.
Vzhľadom na povahu testovaného oddielu namiesto „Našli sa nové súbory“ > „Súbory presunuté“
2) Vložte gif sem > ~/warning.gif, nastavte povolenia na 744.
3) Настраиваем fstab на автомонтирование раздела GRUB при загрузке
-$ sudo nano /etc/fstabLABEL=GRUB /media/username/GRUB ext4 defaults 0 0
4) Проводим ротацию лога
-$ sudo nano /etc/logrotate.d/podpis /var/log/podpis.txt {
denne
otočiť 50
veľkosť 5M
dátum
komprimovať
delaycompress
olddir /var/log/old
}/var/log/vtorjenie.txt {
mesačne
otočiť 5
veľkosť 5M
dátum
olddir /var/log/old
}
5) Pridajte úlohu do cronu
-$ sudo crontab -e'/subscription'
0 */6 * * * '/podpis
6) Vytváranie trvalých aliasov
-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash
Po aktualizácii OS -$ apt-get upgrade znova podpíšte náš oddiel GRUB
-$ подпись_GRUB
V tomto bode je hashovacia ochrana oddielu GRUB dokončená.
[D] Vymazanie – zničenie nešifrovaných dát
Podľa hovorcu Južnej Karolíny Treya Gowdyho vymažte svoje osobné súbory tak úplne, že „ani Boh ich nedokáže prečítať“.
Ako to už býva, existujú rôzne „mýty a », о восстановлении данных после их удаления с жесткого диска. Если вы верите в киберколдоство, или являетесь прихожанином Dr web сообщества и никогда не пробовали восстановление данных после их удаления/перезаписи (napríklad obnova pomocou R-studio), potom je nepravdepodobné, že by vám navrhovaná metóda vyhovovala, použite to, čo je vám najbližšie.
Po úspešnom prenose GNU/Linuxu na zašifrovanú partíciu treba starú kópiu vymazať bez možnosti obnovy dát. Univerzálna metóda čistenia: softvér pre bezplatný softvér GUI pre Windows/Linux .
rýchlo naformátujte sekciu, údaje o ktorých je potrebné zlikvidovať (cez Gparted) spustite BleachBit, vyberte „Vyčistiť voľné miesto“ - vyberte oddiel (váš sdaX s predchádzajúcou kópiou GNU/Linuxu), spustí sa proces odizolovania. BleachBit - vymaže disk jedným prechodom - to je to, čo „potrebujeme“, ale! Toto funguje len teoreticky, ak ste disk naformátovali a vyčistili v softvéri BB v2.0.
Pozor! BB протирает диск, оставляя метаданные, имена файлов при ликвидации данных сохраняются (Ccleaner - nezanecháva metadáta).
A mýtus o možnosti obnovy dát nie je celkom mýtus.Bleachbit V2.0-2 bývalý nestabilný balík OS Debian (a akýkoľvek iný podobný softvér: sfill; Wire-Nautilus - boli tiež zaznamenané v tomto špinavom obchode) v skutočnosti mal kritickú chybu: funkciu "vyčistenie voľného miesta". funguje to nesprávne na HDD/Flash disky (ntfs/ext4). Softvér tohto druhu pri čistení voľného miesta neprepíše celý disk, ako si mnohí používatelia myslia. A nejaké (veľa) vymazané údaje OS/softvér považuje tieto údaje za nevymazané/používateľské údaje a pri čistení „OSP“ tieto súbory preskočí. Problém je v tom, že po takom dlhom čase, čistenie disku "vymazané súbory" je možné obnoviť aj po 3+ prechodoch stierania disku.
Na GNU/Linux na Bleachbit 2.0-2 Funkcie trvalého vymazania súborov a adresárov fungujú spoľahlivo, ale neuvoľňujú voľné miesto. Pre porovnanie: v systéme Windows v CCleaner funguje funkcia „OSP pre ntfs“ správne a Boh skutočne nebude môcť čítať zmazané údaje.
A tak dôkladne odstrániť "kompromisný" staré nešifrované dáta, Bleachbit potrebuje priamy prístup k týmto údajom, potom použite funkciu „trvalé vymazanie súborov/adresárov“.
Na odstránenie „zmazaných súborov pomocou štandardných nástrojov OS“ v systéme Windows použite CCleaner/BB s funkciou „OSP“. V GNU/Linux nad týmto problémom (vymazať zmazané súbory) musíte získať prax sami (vymazanie údajov + nezávislý pokus o ich obnovenie a nemali by ste sa spoliehať na verziu softvéru (ak nie záložka, tak chyba)), iba v tomto prípade budete schopní pochopiť mechanizmus tohto problému a úplne sa zbaviť vymazaných údajov.
Bleachbit v3.0 som netestoval, problém už mohol byť odstránený.
Bleachbit v2.0 funguje poctivo.
V tomto kroku je čistenie disku dokončené.
[E] Универсальное резервное копирование зашифрованных ОС
У каждого пользователя свой метод резервного копирования данных, но зашифрованные данные «Системных ОС» требуют чуть иной подход к задаче. Унифицированное ПО, как например «Clonezilla» и подобный софт не могут работать напрямую с зашифрованными данными.
Vyhlásenie o probléme zálohovania šifrovaných blokových zariadení:
- univerzálnosť - rovnaký zálohovací algoritmus/softvér pre Windows/Linux;
- возможность работать в консоли с любой live usb GNU/Linux без необходимости дополнительного скачивания ПО (ale stále odporúčame GUI);
- bezpečnosť záložných kópií – uložené „obrázky“ musia byť šifrované/chránené heslom;
- veľkosť šifrovaných údajov musí zodpovedať veľkosti skutočných kopírovaných údajov;
- pohodlné extrahovanie potrebných súborov zo záložnej kópie (nie je potrebné najprv dešifrovať celú sekciu).
Napríklad zálohovanie/obnovenie pomocou pomôcky „dd“.
dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerrorZodpovedá takmer všetkým bodom úlohy, ale podľa bodu 4 kritike neobstojí, keďže kopíruje celý diskový oddiel vrátane voľného miesta - nie je zaujímavé.
Napríklad záloha GNU/Linux cez archivátor [tar" | gpg] je pohodlné, ale pre zálohovanie systému Windows musíte hľadať iné riešenie - nie je to zaujímavé.
E1. Univerzálna záloha Windows/Linux. Prepojiť rsync (Grsync) + zväzok VeraCryptAlgoritmus na vytvorenie záložnej kópie:
- vytvorenie šifrovaného kontajnera (zväzok/súbor) VeraCrypt pre OS;
- preniesť/synchronizovať OS pomocou softvéru Rsync do krypto kontajnera VeraCrypt;
- v prípade potreby odovzdaním zväzku VeraCrypt na www.
Vytvorenie šifrovaného kontajnera VeraCrypt má svoje vlastné charakteristiky:
vytvorenie dynamického objemu (доступно создание ДТ только в Windows, использовать можно и в GNU/Linux);
vytvorenie pravidelného objemu, ale existuje požiadavka „paranoidnej povahy“ (podľa vývojára) – форматирование контейнера.
Dynamický zväzok sa v systéme Windows vytvorí takmer okamžite, ale pri kopírovaní údajov z GNU/Linux > VeraCrypt DT sa celkový výkon operácie zálohovania výrazne zníži.
Обычный том Twofish в 70 Гб создается (povedzme, že priemerný výkon počítača) на HDD ~ за полчаса (prepísanie údajov bývalého kontajnera jedným prechodom je spôsobené bezpečnostnými požiadavkami). Funkcia rýchleho formátovania zväzku pri jeho vytváraní bola z VeraCrypt Windows/Linux odstránená, takže vytvorenie kontajnera je možné len prostredníctvom „jednopriechodového prepisovania“ alebo vytvorením nízkovýkonného dynamického zväzku.
Vytvorte bežný zväzok VeraCrypt (nie dynamické/ntfs), nemali by byť žiadne problémy.
Nakonfigurujte/vytvorte/otvorte kontajner v GUI VeraCrypt> GNU/Linux live usb (zväzok bude automaticky pripojený k /media/veracrypt2, zväzok operačného systému Windows bude pripojený k /media/veracrypt1). Vytvorenie šifrovanej zálohy operačného systému Windows pomocou GUI rsync (grsync)zaškrtnutím políčok.
Počkajte na dokončenie procesu. Po dokončení zálohovania budeme mať jeden zašifrovaný súbor.
Podobne vytvorte záložnú kópiu operačného systému GNU/Linux zrušením začiarknutia políčka „Kompatibilita systému Windows“ v grafickom používateľskom rozhraní rsync.
Pozor! vytvorte kontajner Veracrypt pre „zálohovanie GNU/Linux“ v systéme súborov ext4. Ak si urobíte zálohu do ntfs kontajnera, tak pri obnove takejto kópie stratíte všetky práva/skupiny na všetky svoje dáta.
Všetky operácie môžete vykonávať v termináli. Základné možnosti pre rsync:
* -g -uložiť skupiny;
* -P —progress — stav času stráveného prácou na súbore;
* -H - skopírujte pevné odkazy tak, ako sú;
* -a -režim archivácie (viaceré príznaky rlptgoD);
* -v -вербализация.
Ak chcete pripojiť „zväzok Windows VeraCrypt“ cez konzolu v softvéri cryptsetup, môžete vytvoriť alias (su)
echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash
Teraz vás príkaz „veramount pictures“ vyzve na zadanie prístupovej frázy a zašifrovaný systémový zväzok Windows sa pripojí do operačného systému.
Mapovať/pripájať systémový zväzok VeraCrypt v príkaze cryptsetup
cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mntMapujte/pripojte oddiel/kontajner VeraCrypt v príkaze cryptsetup
cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mntВместо alias-а добавим (скрипт в автозагрузку) системный том с ОС Windows и логический криптованный диск ntfs в автозагрузку GNU/Linux
Vytvorte skript a uložte ho do ~/VeraOpen.sh
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.
Rozdávame „správne“ práva:
sudo chmod 100 /VeraOpen.shVytvorte dva identické súbory (rovnaký názov!) v /etc/rc.local a ~/etc/init.d/rc.local
Plnenie súborov
#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0Rozdávame „správne“ práva:
sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local To je všetko, teraz pri načítaní GNU/Linuxu nepotrebujeme zadávať heslá na pripojenie šifrovaných diskov ntfs, disky sa pripájajú automaticky.
Stručná poznámka o tom, čo je opísané vyššie v odseku E1 krok za krokom (ale teraz pre OS GNU/Linux)
1) Vytvorte zväzok vo fs ext4 > 4 GB (pre súbor) Linux vo Veracrypt [Cryptbox].
2) Reštartujte na živé usb.
3) ~$ cryptsetup open /dev/sda7 Lunux #mapping šifrovaný oddiel.
4) ~$ pripojte /dev/mapper/Linux /mnt #pripojte šifrovaný oddiel do /mnt.
5) ~$ mkdir mnt2 #vytvorenie adresára pre budúcu zálohu.
6) ~$ cryptsetup open —veracrypt —type tcrypt ~/CryptoBox CryptoBox && pripojte /dev/mapper/CryptoBox /mnt2 #Namapujte zväzok Veracrypt s názvom „CryptoBox“ a pripojte CryptoBox k /mnt2.
7) ~$ rsync -avlxhHX —progress /mnt /mnt2/ #zálohovanie operácie šifrovaného oddielu na šifrovaný zväzok Veracrypt.
(p/s/ Pozor! Ak prenášate šifrovaný GNU/Linux z jednej architektúry/počítača na druhý, napríklad Intel > AMD (to znamená nasadenie zálohy z jedného šifrovaného oddielu na iný šifrovaný oddiel Intel > AMD), Nezabudni Po prenose šifrovaného operačného systému možno namiesto hesla upravte tajný náhradný kľúč. predchádzajúci kľúč ~/etc/skey - už sa nezmestí na inú šifrovanú oblasť a nie je vhodné vytvárať nový kľúč „cryptsetup luksAddKey“ pod chrootom - je možná chyba, stačí v ~/etc/crypttab zadať namiesto "/etc/skey" dočasne "žiadne" ", po reštarte a prihlásení do operačného systému znova vytvorte svoj tajný zástupný kľúč).
Как ветераны IT незабываем отдельно делать бэкапы заголовков зашифрованных разделов ОС Windows/Linux, или шифрование обернется против Вас самих.
V tomto kroku je záloha zašifrovaného OS dokončená.
[F] Útok na zavádzač GRUB2
PodrobnostiAk ste svoj bootloader ochránili digitálnym podpisom a/alebo autentifikáciou (pozri bod C6.), potom to nebude chrániť pred fyzickým prístupom. Šifrované dáta budú stále nedostupné, ale ochrana bude obídená (resetovať ochranu digitálneho podpisu) GRUB2 umožňuje kybernetickému zloduchovi vložiť svoj kód do bootloadera bez vzbudenia podozrenia (если только пользователь вручную не отслеживает состояние загрузчика, или не придумает свой прочный произвольный-скрипт-код для grub.cfg).
Algoritmus útoku. Votrelec
* Bootuje PC zo živého USB. Akákoľvek zmena (porušovateľ) súborov upozorní skutočného vlastníka PC na prienik do bootloadera. Ale jednoduchá reinštalácia GRUB2 pri zachovaní grub.cfg (a následná možnosť jeho úpravy) umožní útočníkovi upravovať akékoľvek súbory (v tejto situácii pri načítaní GRUB2 nebude skutočný používateľ upozornený. Stav je rovnaký <0>)
* Pripojí nezašifrovaný oddiel, uloží „/mnt/boot/grub/grub.cfg“.
* Preinštaluje bootloader (odstránenie "perkey" z obrázku core.img)
grub-install --force --root-directory=/mnt /dev/sda6
* Возвращает «grub.cfg» > «/mnt/boot/grub/grub.cfg», при необходимости его редактирует, например, добавляя свой модуль «keylogger.mod» в папку с модулями загрузчика, в «grub.cfg» > строчку «insmod keylogger». Или, например, если враг коварен, то после переустановки GRUB2 (všetky podpisy zostávajú na svojom mieste) он собирает основной образ GRUB2, используя «grub-mkimage с опцией (-с).» Опция «-с» позволит загружать свой конфиг до загрузки основного «grub.cfg». Конфиг может состоять всего лишь из одной строчки: перенаправление на любой «modern.cfg», смешанный, например, с ~400 файлами (moduly+podpisy) v priečinku "/boot/grub/i386-pc". V tomto prípade môže útočník vložiť ľubovoľný kód a načítať moduly bez ovplyvnenia súboru „/boot/grub/grub.cfg“, aj keď používateľ na súbor použil „hashsum“ a dočasne ho zobrazil na obrazovke.
Útočník nebude musieť hacknúť prihlasovacie meno/heslo superužívateľa GRUB2; bude musieť iba skopírovať riadky (zodpovedný za autentifikáciu) «/boot/grub/grub.cfg» в свой «modern.cfg»
nastaviť superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
A vlastník PC bude stále overený ako superužívateľ GRUB2.
Цепочная загрузка (bootloader načíta ďalší bootloader), ako som písal vyššie, nedáva zmysel (je určený na iný účel). Šifrovaný bootloader nie je možné načítať kvôli BIOSu (zavádzanie reťazca reštartuje GRUB2 > zašifrovaný GRUB2, chyba!). Ak však stále používate myšlienku reťazového načítania, môžete si byť istí, že sa načítava šifrovaný. (nemodernizované) "grub.cfg" zo šifrovaného oddielu. A to je tiež falošný pocit bezpečia, pretože všetko, čo je uvedené v zašifrovanom „grub.cfg“ (načítanie modulov) sčítava moduly, ktoré sú načítané z nešifrovaného GRUB2.
Ak to chcete skontrolovať, potom prideľte/zašifrujte ďalší oddiel sdaY, skopírujte naň GRUB2 (операция grub-install на зашифрованный раздел невозможна) a v "grub.cfg" (nešifrovaná konfigurácia) zmeniť riadky ako tieto
menuentry 'GRUBx2' --class papagáj --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
načítať_video
insmod gzio
if [ x$grub_platform = xxen ]; potom insmod xzio; insmod lzopio; fi
insmod part_msdos
kryptodisk insmod
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
normálny /boot/grub/grub.cfg
}
čiary
* insmod - načítanie potrebných modulov pre prácu so šifrovaným diskom;
* GRUBx2 - názov riadku zobrazený v zavádzacom menu GRUB2;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -pozri. fdisk -l (sda9);
* nastaviť root - nainštalovať root;
* normal /boot/grub/grub.cfg - spustiteľný konfiguračný súbor na zašifrovanom oddiele.
Уверенность в том, что загружается именно зашифрованный «grub.cfg» — это положительный отклик на ввод пароля/разблокировка «sdaY» при выборе строчки «GRUBx2» в меню GRUB.
Pri práci v CLI, aby ste sa nezamotali (a skontrolujte, či premenná prostredia „set root“ fungovala), vytvorte prázdne súbory tokenov, napríklad v zašifrovanej sekcii „/shifr_grub“, v nezašifrovanej sekcii „/noshifr_grub“. Kontrola v CLI
cat /Tab-TabAko je uvedené vyššie, nepomôže to proti sťahovaniu škodlivých modulov, ak takéto moduly skončia vo vašom PC. Napríklad keylogger, ktorý bude schopný ukladať stlačenia klávesov do súboru a miešať ho s inými súbormi v „~/i386“, kým ho nestiahne útočník s fyzickým prístupom k PC.
Najjednoduchší spôsob, ako overiť, či ochrana digitálnych podpisov aktívne funguje (neresetovať)a nikto nenapadol bootloader, zadajte príkaz do CLI
list_trusted
в ответ получаем слепок нашего «perskey», или ничего не получаем, если нас атаковали (musíte tiež skontrolovať "set check_signatures=enforce").
Významnou nevýhodou tohto kroku je manuálne zadávanie príkazov. Ak pridáte tento príkaz do „grub.cfg“ a ochránite konfiguráciu digitálnym podpisom, potom je predbežný výstup snímky kľúča na obrazovke príliš krátky a po načítaní GRUB2 možno nebudete mať čas vidieť výstup. .
Neexistuje nikto konkrétny, kto by si mohol robiť nároky: vývojár v jeho bod 18.2 oficiálne vyhlasuje
„Všimnite si, že aj s ochranou heslom GRUB, samotný GRUB nemôže zabrániť tomu, aby niekto s fyzickým prístupom k stroju zmenil konfiguráciu firmvéru tohto stroja (napr. Coreboot alebo BIOS), aby sa stroj spustil z iného (útočníkom ovládaného) zariadenia. GRUB je prinajlepšom len jeden článok v zabezpečenej reťazi topánok."
GRUB2 je príliš presýtený funkciami, ktoré môžu vzbudzovať pocit falošného bezpečia a jeho vývoj už predbehol MS-DOS z hľadiska funkčnosti, no je to len bootloader. Je smiešne, že GRUB2 - "zajtra" sa môže stať OS a bootovateľné virtuálne stroje GNU/Linux.
Krátke video o tom, ako som resetoval ochranu digitálneho podpisu GRUB2 a deklaroval svoje narušenie skutočnému používateľovi (Vystrašil som vás, ale namiesto toho, čo je zobrazené vo videu, môžete napísať neškodný ľubovoľný kód/.mod).
Závery:
1) Šifrovanie blokového systému pre Windows je jednoduchšie na implementáciu a ochrana jedným heslom je pohodlnejšia ako ochrana niekoľkými heslami pomocou blokového systémového šifrovania GNU/Linux, aby som bol spravodlivý: druhé heslo je automatizované.
2) Статью написал, как релевантное, подробное prostý sprievodca šifrovaním celého disku VeraCrypt/LUKS na jednom domácom počítači, ktorý je zďaleka najlepší v RuNet (IMHO). Sprievodca má viac ako 50 51 znakov, takže nepokrýva niektoré zaujímavé kapitoly: kryptografov, ktorí miznú/držia sa v tieni; o tom, že v rôznych GNU/Linux knihách sa málo/nepíše o kryptografii; o článku XNUMX Ústavy Ruskej federácie; O /zákaz , o tom, prečo potrebujete šifrovať „root/boot“. Sprievodca sa ukázal byť pomerne rozsiahly, ale podrobný. (popisuje aj jednoduché kroky), to vám zase ušetrí veľa času, keď sa dostanete k „skutočnému šifrovaniu“.
3) V systéme Windows 7 64 bolo vykonané úplné šifrovanie disku; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.
4) Realizoval úspešný útok na jeho bootloader GRUB2.
5) Tutoriál bol vytvorený na pomoc všetkým paranoidným ľuďom v SNŠ, kde je práca so šifrovaním povolená na legislatívnej úrovni. A predovšetkým pre tých, ktorí chcú zaviesť šifrovanie celého disku bez demolácie svojich nakonfigurovaných systémov.
6) Prepracoval som a aktualizoval svoj manuál, ktorý je relevantný v roku 2020.
[G] Užitočná dokumentácia
- (február 2012 RU)
- /usr/share/doc/cryptsetup(-run) [miestny zdroj] (oficiálna podrobná dokumentácia o nastavení GNU/Linux šifrovania pomocou cryptsetup)
- (stručná dokumentácia o nastavení šifrovania GNU/Linux pomocou cryptsetup)
- (dokumentácia k archlinuxu)
- (arch manuálová stránka)
- (arch manuálová stránka)
- .
Tagy: šifrovanie celého disku, šifrovanie oddielov, šifrovanie celého disku Linux, šifrovanie celého systému LUKS1.
Do prieskumu sa môžu zapojiť iba registrovaní užívatelia. Prosím.
Šifrujete?
-
17,1%Šifrujem všetko, čo sa dá. Som paranoidná.14
-
34,2%Šifrujem len dôležité dáta.28
-
14,6%Niekedy šifrujem, niekedy zabúdam.12
-
34,2%Нет, не шифрую, это неудобно и затратно.28
Hlasovali 82 používatelia. 22 používatelia sa zdržali hlasovania.
Zdroj: hab.com