Потпуно шифровање диска Виндовс Линук инсталираних система. Шифровано вишеструко покретање

Ажуриран сопствени водич за шифровање целог диска у РуНету В0.2.

Каубојска стратегија:

[А] Виндовс 7 системски блок шифровање инсталираног система;
[Б] Шифровање блокова ГНУ/Линук система (Дебиан) инсталиран систем (укључујући /боот);
[Ц] ГРУБ2 конфигурација, заштита покретача са дигиталним потписом/аутентификација/хеширање;
[Д] стриппинг—уништење нешифрованих података;
[Е] универзална резервна копија шифрованог ОС;
[Ф] напад <на ставку [Ц6]> циљ - ГРУБ2 боотлоадер;
[Г]корисна документација.

╭───Шема #соба 40# :
├──╼ Инсталиран Виндовс 7 - потпуна системска енкрипција, није скривена;
├──╼ ГНУ/Линук инсталиран (Дебиан и деривативне дистрибуције) — потпуна системска енкрипција, није скривена(/, укључујући /боот; замена);
├──╼ независни покретачки програми: ВераЦрипт боотлоадер је инсталиран у МБР, ГРУБ2 боотлоадер је инсталиран у проширеној партицији;
├──╼ није потребна инсталација/поновна инсталација ОС;
Коришћени └──╼криптографски софтвер: ВераЦрипт; Цриптсетуп; ГнуПГ; Морски коњиц; Хасхдееп; ГРУБ2 је бесплатан/бесплатан.

Горња шема делимично решава проблем „даљинског покретања на флеш диск“, омогућава вам да уживате у шифрованом ОС Виндовс/Линук и размењујете податке преко „шифрованог канала“ са једног ОС на други.

Редослед покретања рачунара (једна од опција):

• укључивање машине;
• учитавање ВераЦрипт покретачког програма (уношење исправне лозинке наставиће да покреће Виндовс 7);
• притиском на тастер "Есц" ће се учитати ГРУБ2 покретачки програм;
• ГРУБ2 покретач (изаберите дистрибуцију/ГНУ/Линук/ЦЛИ), захтеваће аутентификацију ГРУБ2 суперкорисника <логин/пассворд>;
• након успешне аутентификације и избора дистрибуције, мораћете да унесете приступну фразу да бисте откључали „/боот/инитрд.имг“;
• након уноса лозинки без грешака, ГРУБ2 ће "захтевати" унос лозинке (треће, лозинка за БИОС или лозинка за кориснички налог за ГНУ/Линук – не узимајте у обзир) за откључавање и покретање ГНУ/Линук ОС-а или аутоматску замену тајног кључа (две лозинке + кључ, или лозинка + кључ);
• спољни упад у ГРУБ2 конфигурацију ће замрзнути ГНУ/Линук процес покретања.

Мучан? Ок, идемо да аутоматизујемо процесе.

Приликом партиционисања чврстог диска (МБР табела) Рачунар не може имати више од 4 главне партиције, или 3 главне и једну проширену, као и недодељено подручје. Проширени одељак, за разлику од главног, може да садржи подсекције (логички дискови = проширена партиција). Другим речима, „проширена партиција“ на ХДД-у замењује ЛВМ за задатак који се налази: потпуно системско шифровање. Ако је ваш диск подељен на 4 главне партиције, потребно је да користите лвм, или трансформишите (са форматирањем) одељак од главног до напредног, или мудро користите сва четири одељка и оставите све како јесте да бисте добили жељени резултат. Чак и ако имате једну партицију на диску, Гпартед ће вам помоћи да партиционирате свој ХДД (за додатне одељке) без губитка података, али ипак са малом казном за такве радње.

Шема распореда чврстог диска, у односу на коју ће цео чланак бити вербализован, представљена је у табели испод.

Табела (бр. 1) партиција од 1ТБ.

И ти би требао имати нешто слично.
сда1 - главна партиција бр. 1 НТФС (шифровано);
сда2 - маркер проширеног пресека;
сда6 - логички диск (има инсталиран ГРУБ2 боотлоадер);
сда8 - замена (шифрована свап датотека/не увек);
сда9 - тест логичког диска;
сда5 - логички диск за радознале;
сда7 - ГНУ/Линук ОС (пренет ОС на шифровани логички диск);
сда3 - главна партиција бр. 2 са оперативним системом Виндовс 7 (шифровано);
сда4 - главна секција бр.3 (садржао је нешифровани ГНУ/Линук, коришћен за прављење резервних копија/не увек).

[А] Виндовс 7 системско блок шифровање

А1. ВераЦрипт

Преузми са званични сајт, или из огледала соурцефорге инсталациона верзија ВераЦрипт криптографског софтвера (у време објављивања чланка в1.24-Упдате3, преносива верзија ВераЦрипт-а није погодна за системско шифровање). Проверите контролни збир преузетог софтвера

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

и упоредите резултат са ЦС постављеним на веб локацији програмера ВераЦрипт.

Ако је инсталиран софтвер ХасхТаб, још је лакше: РМБ (ВераЦрипт Сетуп 1.24.еке)-пропертиес - хеш збир датотека.

Да бисте проверили потпис програма, софтвер и јавни пгп кључ програмера морају бити инсталирани на систему гнуПГ; гпг4вин.

А2. Инсталирање/покретање ВераЦрипт софтвера са администраторским правима

А3. Избор параметара системског шифровања за активну партицијуВераЦрипт – Систем – Шифрујте системску партицију/диск – Нормално – Шифрујте Виндовс системску партицију – Вишеструко покретање – (упозорење: „Неискусним корисницима се не препоручује да користе овај метод“ и то је тачно, слажемо се са „Да“) – Диск за покретање („да“, чак и ако није тако, ипак „да“) – Број системских дискова „2 или више“ – Неколико система на једном диску „Да“ – Не-Виндовс покретачки програм „Не“ (у ствари, „Да“, али ВераЦрипт/ГРУБ2 покретачи неће делити МБР међу собом; тачније, само најмањи део кода покретачког програма се чува у МБР/боот трацк-у, његов главни део је налази у систему датотека) – Вишеструко покретање – Подешавања шифровања…

Ако одступите од горе наведених корака (блок системске шеме шифровања), онда ће ВераЦрипт издати упозорење и неће вам дозволити да шифрујете партицију.

У следећем кораку ка циљаној заштити података, извршите „Тест“ и изаберите алгоритам за шифровање. Ако имате застарели ЦПУ, онда ће највероватније најбржи алгоритам за шифровање бити Твофисх. Ако је ЦПУ моћан, приметићете разлику: АЕС енкрипција, према резултатима теста, биће неколико пута бржа од својих крипто конкурената. АЕС је популаран алгоритам за шифровање, хардвер модерних процесора је посебно оптимизован и за „тајно“ и за „хаковање“.

ВераЦрипт подржава могућност шифровања дискова у АЕС каскади(две рибе)/и друге комбинације. На старом Интел ЦПУ-у од пре десет година (без хардверске подршке за АЕС, А/Т каскадно шифровање) Смањење перформанси је у суштини неприметно. (за АМД ЦПУ исте ере/~параметара, перформансе су мало смањене). ОС ради динамички и потрошња ресурса за транспарентно шифровање је невидљива. Насупрот томе, на пример, приметно је смањење перформанси услед инсталираног нестабилног окружења за тестирање радне површине Мате в1.20.1 (или в1.20.2 не сећам се тачно) у ГНУ/Линук-у, или због рада рутине телеметрије у Виндовс7↑. Типично, искусни корисници спроводе тестове перформанси хардвера пре шифровања. На пример, у Аида64/Сисбенцх/системд-анализе кривица се пореди са резултатима истих тестова након шифровања система, чиме се побија мит да је „шифровање система штетно“. Успоравање машине и непријатност су приметни приликом прављења резервне копије/рестора шифрованих података, јер се сама операција „бацкуп системских података“ не мери у мс, а додају се те исте <дешифровање/шифровање у ходу>. На крају крајева, сваки корисник коме је дозвољено да се бави криптографијом балансира алгоритам шифровања са задовољством задатака који су пред њим, нивоом параноје и лакоћом коришћења.

Боље је оставити ПИМ параметар као подразумевани, тако да приликом учитавања ОС-а не морате сваки пут да уносите тачне вредности итерације. ВераЦрипт користи огроман број итерација да би направио заиста „спори хеш“. Напад на таквог „крипто пужа“ коришћењем методе бруталне силе/табела дуге има смисла само са кратком „једноставном“ шифром и списком личних знакова жртве. Цена коју треба платити за јачину лозинке је кашњење у уносу исправне лозинке приликом учитавања ОС-а. (монтажа ВераЦрипт волумена у ГНУ/Линук је знатно бржа).
Бесплатни софтвер за имплементацију напада грубом силом (издвоји приступну фразу из ВераЦрипт/ЛУКС заглавља диска) Хасхцат. Џон Трбосек не зна како да „разбије Верацрипт“, а када ради са ЛУКС-ом не разуме Твофисх криптографију.

Због криптографске снаге алгоритама за шифровање, незаустављиви шиферпанкери развијају софтвер са другачијим вектором напада. На пример, издвајање метаподатака/кључева из РАМ-а (хладно покретање/напад директног приступа меморији), За ове сврхе постоји специјализовани бесплатни и неслободни софтвер.

По завршетку подешавања/генерисања „јединствених метаподатака“ шифроване активне партиције, ВераЦрипт ће понудити да поново покрене рачунар и тестира функционалност свог покретачког програма. Након поновног покретања/покретања Виндовс-а, ВераЦрипт ће се учитати у режиму мировања, остаје само да потврдите процес шифровања - И.

У завршном кораку шифровања система, ВераЦрипт ће понудити да креира резервну копију заглавља активне шифроване партиције у облику „верацрипт ресцуе диск.исо“ - то се мора урадити - у овом софтверу таква операција је услов (у ЛУКС-у, као услов - ово је нажалост изостављено, али је наглашено у документацији). Спасилачки диск ће свима добро доћи, а некима и више пута. Губитак (заглавље/преписивање МБР-а) резервна копија заглавља ће трајно ускратити приступ дешифрованој партицији са ОС Виндовс.

А4. Креирање ВераЦрипт УСБ/диска за спасавањеВераЦрипт подразумевано нуди нарезивање „~2-3МБ метаподатака“ на ЦД, али немају сви људи дискове или ДВД-РОМ уређаје, а креирање флеш диска за покретање „ВераЦрипт Ресцуе диск“ ће за неке бити техничко изненађење: Руфус /ГУИДд-РОСА ИмагеВритер и други слични софтвери неће моћи да се носе са задатком, јер поред копирања метаподатака офсета на флеш диск за покретање, потребно је да копирате/залепите слику ван система датотека усб диска , укратко, исправно копирајте МБР/пут у привезак за кључеве. Можете креирати флеш диск за покретање из ГНУ/Линук ОС-а користећи услужни програм „дд“, гледајући овај знак.

Прављење диска за спасавање у Виндовс окружењу је другачије. Програмер ВераЦрипт-а није укључио решење овог проблема у званичном документација под „спасилачким диском“, али је предложио решење на другачији начин: поставио је додатни софтвер за креирање „усб диска за спасавање“ за слободан приступ на свом ВераЦрипт форуму. Архивиста овог софтвера за Виндовс „креира усб верацрипт диск за спасавање“. Након што сачувате ресцуе диск.исо, процес блок системске енкрипције активне партиције ће почети. Током шифровања, рад ОС-а се не зауставља; По завршетку операције шифровања, активна партиција постаје потпуно шифрована и може се користити. Ако се ВераЦрипт покретач не појави када покренете рачунар, а операција опоравка заглавља не помогне, онда проверите заставицу „боот“, она мора бити подешена на партицију на којој је присутан Виндовс (без обзира на шифровање и други ОС, видети табелу бр. 1).
Овим се завршава опис шифровања блок система са Виндовс ОС-ом.

[Б]ЛУКС. ГНУ/Линук шифровање (~Дебиан) инсталиран ОС. Алгоритам и кораци

Да бисте шифровали инсталирану дистрибуцију Дебиан/деривата, потребно је да мапирате припремљену партицију на виртуелни блок уређај, да је пренесете на мапирани ГНУ/Линук диск и да инсталирате/конфигуришете ГРУБ2. Ако немате голи сервер, а цените своје време, онда морате да користите ГУИ, а већина терминалних команди описаних у наставку треба да се покреће у „Цхуцк-Норрис режиму“.

Б1. Покретање рачунара са живог усб ГНУ/Линук-а

„Спроведите крипто тест за перформансе хардвера“

lscpu && сryptsetup benchmark

Ако сте срећни власник моћног аутомобила са АЕС хардверском подршком, онда ће бројеви изгледати као десна страна терминала, ако сте срећни власник, али са старинским хардвером, бројеви ће изгледати као лева страна.

Б2. Партиционисање диска. монтирање/форматирање фс логичког диска ХДД на Ект4 (Гпартед)

Б2.1. Креирање шифрованог заглавља сда7 партицијеОписаћу називе партиција, овде и даље, у складу са мојом табелом партиција која је постављена изнад. У складу са распоредом вашег диска, морате да замените имена партиција.

Мапирање шифровања логичког диска (/дев/сда7 > /дев/маппер/сда7_црипт).
#Лако креирање „ЛУКС-АЕС-КСТС партиције“

cryptsetup -v -y luksFormat /dev/sda7

Опције:

* луксФормат - иницијализација ЛУКС заглавља;
* -и -пасспхрасе (не кључ/фајл);
* -в -вербализација (приказивање информација у терминалу);
* /дев/сда7 - ваш логички диск са проширене партиције (где је планирано да се пренесе/шифрује ГНУ/Линук).

Подразумевани алгоритам шифровања <ЛУКС1: аес-ктс-плаин64, кључ: 256 бита, хеширање ЛУКС заглавља: ​​сха256, РНГ: /дев/урандом> (зависи од верзије цриптсетуп).

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

Ако не постоји хардверска подршка за АЕС на ЦПУ-у, најбољи избор би био да направите проширену „ЛУКС-Твофисх-КСТС-партицију“.

Б2.2. Напредно креирање “ЛУКС-Твофисх-КСТС-партиције”

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

Опције:
* луксФормат - иницијализација ЛУКС заглавља;
* /дев/сда7 је ваш будући шифровани логички диск;
* -в вербализација;
* -и приступна фраза;
* -ц изаберите алгоритам за шифровање података;
* -с величина кључа за шифровање;
* -х алгоритам хеширања/крипто функција, коришћен РНГ (--усе-урандом) да генерише јединствени кључ за шифровање/дешифровање за заглавље логичког диска, секундарни кључ заглавља (КСТС); јединствени главни кључ ускладиштен у заглављу шифрованог диска, секундарни КСТС кључ, све ове метаподатке и рутину шифровања која, користећи главни кључ и секундарни КСТС кључ, шифрује/дешифрује све податке на партицији (осим наслова одељка) ускладиштено у ~3МБ на изабраној партицији чврстог диска.
* -и итерације у милисекундама, уместо "количина" (временско кашњење приликом обраде приступне фразе утиче на учитавање ОС-а и криптографску снагу кључева). Да бисте одржали равнотежу криптографске снаге, са једноставном лозинком као што је „руски“ морате повећати вредност -(и) са сложеном лозинком као што је „?8дƱоб/øфх“ вредност може да се смањи.
* —користите-урандом генератор случајних бројева, генерише кључеве и со.

Након мапирања одељка сда7 > сда7_црипт (операција је брза, пошто се креира шифровано заглавље са ~3 МБ метаподатака и то је све), потребно је да форматирате и монтирате систем датотека сда7_црипт.

Б2.3. Поређење

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

Опције:
* отвори - подударање са одељком „са именом“;
* /дев/сда7 -логички диск;
* сда7_црипт - мапирање имена које се користи за монтирање шифроване партиције или иницијализацију када се ОС покрене.

Б2.4. Форматирање система датотека сда7_црипт у ект4. Монтирање диска у ОС(Напомена: нећете моћи да радите са шифрованом партицијом у Гпартед-у)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt 

Опције:
* -в -вербализација;
* -Л - ознака диск јединице (која се приказује у Екплорер-у међу осталим дисковима).

Затим би требало да монтирате виртуелно шифровани блок уређај /дев/сда7_црипт на систем

mount /dev/mapper/sda7_crypt /mnt

Рад са датотекама у фасцикли /мнт аутоматски ће шифровати/дешифровати податке у сда7.

Погодније је мапирати и монтирати партицију у Екплореру (наутилус/цаја ГУИ), партиција ће већ бити на листи за избор диска, остаје само да унесете приступну фразу за отварање/дешифровање диска. Подударно име ће бити изабрано аутоматски и не „сда7_црипт“, већ нешто попут /дев/маппер/Лукс-кк-кк...

Б2.5. Резервна копија заглавља диска (~3МБ метаподатака)Једна од већине важно операције које треба обавити без одлагања - резервна копија заглавља „сда7_црипт“. Ако препишете/оштетите заглавље (на пример, инсталирање ГРУБ2 на сда7 партицију, итд.), шифровани подаци ће бити потпуно изгубљени без икакве могућности опоравка, јер ће бити немогуће поново генерисати исте кључеве који су креирани на јединствен начин.

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7 

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

Опције:
* луксХеадерБацкуп —наредба хеадер-бацкуп-филе -бацкуп;
* луксХеадерРесторе —наредба хеадер-бацкуп-филе -ресторе;
* ~/Бацкуп_ДебСХИФР - резервна датотека;
* /дев/сда7 - партиција чија резервна копија шифрованог заглавља диска треба да се сачува.
На овом кораку <креирање и уређивање шифроване партиције> је завршено.

Б3. Пренос ГНУ/Линук ОС-а (сда4) на шифровану партицију (сда7)

Направите фасциклу /мнт2 (Напомена - још увек радимо са живим усб-ом, сда7_црипт је монтиран на /мнт), и монтирати наш ГНУ/Линук у /мнт2, који треба да буде шифрован.

mkdir /mnt2
mount /dev/sda4 /mnt2

Вршимо исправан пренос ОС помоћу софтвера Рсинц

rsync -avlxhHX --progress /mnt2/ /mnt

Опције Рсинц описане су у параграфу Е1.

Следеће морати дефрагментирати логичку партицију диска

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

Нека буде правило: урадите е4дефраг на шифрованом ГНУ/ЛИнук-у с времена на време ако имате ХДД.
Пренос и синхронизација [ГНУ/Линук > ГНУ/Линук-шифровани] су завршени у овом кораку.

У 4. Подешавање ГНУ/Линук-а на шифрованој сда7 партицији

Након успешног преноса ОС /дев/сда4 > /дев/сда7, потребно је да се пријавите на ГНУ/Линук на шифрованој партицији и извршите даљу конфигурацију (без поновног покретања рачунара) у односу на шифровани систем. Односно, будите у живом УСБ-у, али извршавајте команде „у односу на корен шифрованог ОС-а“. „цхроот“ ће симулирати сличну ситуацију. Да бисте брзо добили информације о томе са којим ОС тренутно радите (шифровано или не, пошто су подаци у сда4 и сда7 синхронизовани), десинхронизујте ОС. Креирајте у основним директоријумима (сда4/сда7_црипт) празне датотеке маркера, на пример, /мнт/енцриптедОС и /мнт2/децриптедОС. Брзо проверите који ОС користите (укључујући и за будућност):

ls /<Tab-Tab>

Б4.1. „Симулација пријављивања у шифровани ОС“

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

Б4.2. Провера да се рад обавља на шифрованом систему

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

Б4.3. Креирање/конфигурисање шифроване размене, уређивање црипттаб/фстабПошто се свап датотека форматира сваки пут када се ОС покрене, нема смисла сада креирати и мапирати свап на логички диск и куцати команде као у параграфу Б2.2. За Свап, сопствени привремени кључеви за шифровање ће се аутоматски генерисати при сваком покретању. Животни циклус свап кључева: демонтажа/демонтажа свап партиције (+чишћење РАМ-а); или поново покрените ОС. Подешавање свап-а, отварање датотеке одговорне за конфигурацију блок шифрованих уређаја (аналогно фстаб датотеци, али је одговоран за крипто).

nano /etc/crypttab 

ми уређујемо

#"циљно име" "изворни уређај" "датотека кључа" "опције"
свап /дев/сда8 /дев/урандом свап,ципхер=твофисх-ктс-плаин64,сизе=512,хасх=сха512

Опције
* свап - мапирано име приликом шифровања /дев/маппер/свап.
* /дев/сда8 - користите своју логичку партицију за размену.
* /дев/урандом - генератор насумичних кључева за шифровање за размену (са сваким новим покретањем ОС-а креирају се нови кључеви). /дев/урандом генератор је мање насумичан од /дев/рандом, на крају крајева, /дев/рандом се користи када се ради у опасним параноидним околностима. Приликом учитавања ОС-а, /дев/рандом успорава учитавање на неколико ± минута (погледајте системд-анализе).
* свап,ципхер=твофисх-ктс-плаин64,сизе=512,хасх=сха512: -партиција зна да је свап и форматирана је „према томе“; алгоритам за шифровање.

#Открываем и правим fstab
nano /etc/fstab

ми уређујемо

# свап је био на / дев / сда8 током инсталације
/дев/маппер/свап ноне заменити св 0 0

/дев/маппер/свап је име које је постављено у црипттаб.

Алтернативна шифрована замена
Ако из неког разлога не желите да одустанете од целе партиције за свап датотеку, онда можете ићи на алтернативни и бољи начин: креирање свап датотеке у датотеци на шифрованој партицији са ОС-ом.

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

Подешавање свап партиције је завршено.

Б4.4. Подешавање шифрованог ГНУ/Линук-а (уређивање црипттаб/фстаб датотека)Датотека /етц/црипттаб, као што је горе написано, описује шифроване блок уређаје који су конфигурисани током покретања система.

#правим /etc/crypttab 
nano /etc/crypttab 

ако сте ускладили одељак сда7>сда7_црипт као у параграфу Б2.1

# „име циља“ „изворни уређај“ „датотека кључа“ „опције“
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

ако сте ускладили одељак сда7>сда7_црипт као у параграфу Б2.2

# „име циља“ „изворни уређај“ „датотека кључа“ „опције“
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

ако сте ускладили сда7>сда7_црипт одељак као у параграфу Б2.1 или Б2.2, али не желите да поново унесете лозинку да бисте откључали и покренули ОС, онда уместо лозинке можете да замените тајни кључ/случајну датотеку

# „име циља“ „изворни уређај“ „датотека кључа“ „опције“
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

Опис
* ноне - јавља да је приликом учитавања ОС-а потребно унети тајну приступну фразу за откључавање роот-а.
* УУИД - идентификатор партиције. Да бисте сазнали свој ИД, унесите терминал (подсетимо да од овог тренутка па надаље радите у терминалу у цхроот окружењу, а не у другом живом усб терминалу).

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное 

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

ова линија је видљива када се захтева блкид са живог усб терминала са монтираним сда7_црипт).
Узимате УУИД из вашег сдаКс-а (не сдаКс_црипт!, УУИД сдаКс_црипт - биће аутоматски остављен приликом генерисања груб.цфг конфигурације).
* ципхер=твофисх-ктс-плаин64,сизе=512,хасх=сха512 -лукс шифровање у напредном режиму.
* /етц/скеи - фајл тајног кључа, који се аутоматски убацује за откључавање покретања ОС-а (уместо да унесете 3. лозинку). Можете навести било коју датотеку до 8МБ, али подаци ће бити прочитани <1МБ.

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7 

Изгледаће отприлике овако:

(урадите сами и уверите се сами).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/етц/фстаб садржи описне информације о различитим системима датотека.

#Правим /etc/fstab
nano /etc/fstab

# "систем датотека" "тачка монтирања" "тип" "опције" "думп" "пролаз"
# / је био на / дев / сда7 током инсталације
/дев/маппер/сда7_црипт / ект4 еррорс=ремоунт-ро 0 1

опција
* /дев/маппер/сда7_црипт - име мапирања сда7>сда7_црипт, које је наведено у датотеци /етц/црипттаб.
Подешавање црипттаб/фстаб је завршено.

Б4.5. Уређивање конфигурационих датотека. Кључни тренутакБ4.5.1. Уређивање конфигурације /етц/инитрамфс-тоолс/цонф.д/ресуме

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

и коментарисати (ако постоји) „#“ ред „настави“. Датотека мора бити потпуно празна.

Б4.5.2. Уређивање конфигурације /етц/инитрамфс-тоолс/цонф.д/цриптсетуп

nano /etc/initramfs-tools/conf.d/cryptsetup

треба да се поклапа

# /етц/инитрамфс-тоолс/цонф.д/цриптсетуп
ЦРИПТСЕТУП=да
извоз ЦРИПТСЕТУП

Б4.5.3. Уређивање /етц/дефаулт/груб конфигурације (ова конфигурација је одговорна за могућност генерисања груб.цфг када радите са шифрованим /боот)

nano /etc/default/grub

додајте ред „ГРУБ_ЕНАБЛЕ_ЦРИПТОДИСК=и“
вредност 'и', груб-мкцонфиг и груб-инсталл ће проверити да ли има шифрованих дискова и генерисати додатне команде потребне за приступ у време покретања (инсмодс ).
мора постојати сличност

ГРУБ_ДЕФАУЛТ = 0
ГРУБ_ТИМЕОУТ = 1
ГРУБ_ДИСТРИБУТОР=`лсб_релеасе -и -с 2> /дев/нулл || ецхо Дебиан`
ГРУБ_ЦМДЛИНЕ_ЛИНУКС_ДЕФАУЛТ="ацпи_бацклигхт=вендор"
ГРУБ_ЦМДЛИНЕ_ЛИНУКС="Тихо прскање ноаутомоунт"
ГРУБ_ЕНАБЛЕ_ЦРИПТОДИСК=и

Б4.5.4. Уређивање конфигурације /етц/цриптсетуп-инитрамфс/цонф-хоок

nano /etc/cryptsetup-initramfs/conf-hook

проверите да ли је линија коментарисао <#>.
У будућности (па чак и сада, овај параметар неће имати никакво значење, али понекад омета ажурирање инитрд.имг слике).

Б4.5.5. Уређивање конфигурације /етц/цриптсетуп-инитрамфс/цонф-хоок

nano /etc/cryptsetup-initramfs/conf-hook

додати

КЕИФИЛЕ_ПАТТЕРН=”/етц/скеи”
УМАСК=0077

Ово ће спаковати тајни кључ "кључ" у инитрд.имг, кључ је потребан за откључавање роот-а када се ОС покрене (ако не желите поново да унесете лозинку, тастер „кључ“ замењује аутомобил).

Б4.6. Ажурирајте /боот/инитрд.имг [верзија]Да бисте спаковали тајни кључ у инитрд.имг и применили исправке криптосетуп, ажурирајте слику

update-initramfs -u -k all

приликом ажурирања инитрд.имг (како кажу "Могуће је, али није сигурно") Појавит ће се упозорења везана за цриптсетуп, или, на пример, обавештење о губитку Нвидиа модула - то је нормално. Након ажурирања датотеке, проверите да ли је заиста ажурирана, погледајте време (у односу на цхроот окружење./боот/инитрд.имг). Упозорење! пре [упдате-инитрамфс -у -к алл] обавезно проверите да ли је цриптсетуп отворен /дев/сда7 сда7_црипт - ово је име које се појављује у /етц/црипттаб, иначе ће након поновног покретања доћи до грешке бусибок)
У овом кораку, подешавање конфигурационих датотека је завршено.

[Ц] Инсталирање и конфигурисање ГРУБ2/Протецтион

Ц1. Ако је потребно, форматирајте наменску партицију за покретач (партицији је потребно најмање 20 МБ)

mkfs.ext4 -v -L GRUB2 /dev/sda6

Ц2. Монтирајте /дев/сда6 на /мнтДакле, радимо у цхроот-у, тада неће бити директоријума /мнт2 у корену, а директоријум /мнт ће бити празан.
монтирајте ГРУБ2 партицију

mount /dev/sda6 /mnt

Ако имате инсталирану старију верзију ГРУБ2, у директоријуму /мнт/боот/груб/и-386-пц (могућа је друга платформа, на пример, не „и386-пц“) нема крипто модула (укратко, фасцикла треба да садржи модуле, укључујући ове .мод: цриптодиск; лукс; гцри_твофисх; гцри_сха512; сигнатуре_тест.мод), у овом случају, ГРУБ2 треба протрести.

apt-get update
apt-get install grub2 

Важно! Када ажурирате ГРУБ2 пакет из спремишта, на питање „о избору“ где да инсталирате покретач, морате одбити инсталацију (разлог - покушај инсталирања ГРУБ2 - у „МБР“ или на ливе усб). У супротном ћете оштетити ВераЦрипт заглавље/учитавач. Након ажурирања ГРУБ2 пакета и отказивања инсталације, покретач мора бити инсталиран ручно на логички диск, а не у МБР. Ако ваше спремиште има застарелу верзију ГРУБ2, покушајте ажурирање то је са званичног сајта - нисам га проверио (радио са најновијим ГРУБ 2.02 ~БетаКс покретачима).

Ц3. Инсталирање ГРУБ2 у проширену партицију [сда6]Морате имати монтирану партицију [ставка Ц.2]

grub-install --force --root-directory=/mnt /dev/sda6

Опције
* —форце - инсталација покретача, заобилазећи сва упозорења која скоро увек постоје и блокирају инсталацију (обавезна застава).
* --роот-дирецтори - инсталација директоријума до корена сда6.
* /дев/сда6 - ваша сдаХ партиција (не пропустите <размак> између /мнт /дев/сда6).

Ц4. Креирање конфигурационе датотеке [груб.цфг]Заборавите на команду "упдате-груб2" и користите команду за генерисање комплетне конфигурационе датотеке

grub-mkconfig -o /mnt/boot/grub/grub.cfg

након завршетка генерисања/ажурирања датотеке груб.цфг, излазни терминал треба да садржи ред(ове) са ОС који се налази на диску („груб-мкцонфиг“ ће вероватно пронаћи и преузети ОС са живог УСБ-а, ако имате флеш диск за више покретања са Виндовс 10 и гомилу дистрибуција уживо - то је нормално). Ако је терминал „празан“ и датотека „груб.цфг“ није генерисана, онда је то исти случај када у систему постоје ГРУБ грешке (и највероватније учитавач из пробне гране спремишта), поново инсталирајте ГРУБ2 из поузданих извора.
Инсталација "једноставне конфигурације" и подешавање ГРУБ2 је завршена.

Ц5. Пробни тест шифрованог ГНУ/Линук ОС-аИсправно смо завршили крипто мисију. Пажљиво остављајући шифровани ГНУ/Линук (излаз из цхроот окружења).

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

Након поновног покретања рачунара, ВераЦрипт боотлоадер би требало да се учита.


*Уношењем лозинке за активну партицију ће почети да се учитава Виндовс.
*Притиском на тастер "Есц" пренећете контролу на ГРУБ2, ако изаберете шифровани ГНУ/Линук - биће потребна лозинка (сда7_црипт) за откључавање /боот/инитрд.имг (ако груб2 напише ууид "није пронађен" - ово је проблем са груб2 боотлоадером, требало би га поново инсталирати, нпр. из тестне гране/стабилне итд.).


*У зависности од тога како сте конфигурисали систем (погледајте параграф Б4.4/4.5), након што унесете исправну лозинку за откључавање /боот/инитрд.имг слике, биће вам потребна лозинка за учитавање кернела/роот оперативног система или тајна кључ ће бити аутоматски замењен "кључ", елиминишући потребу за поновним уносом приступне фразе.

(екран „аутоматска замена тајног кључа“).

*Тада ће уследити познати процес учитавања ГНУ/Линук-а са аутентификацијом корисничког налога.


*Након ауторизације корисника и пријављивања на ОС, потребно је поново да ажурирате /боот/инитрд.имг (видети Б4.6).

update-initramfs -u -k all

И у случају додатних линија у менију ГРУБ2 (са ОС-м пицкуп-а са живим УСБ-ом) их се отарасим

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

Кратак резиме шифровања ГНУ/Линук система:

• ГНУ/Линукинук је потпуно шифрован, укључујући /боот/кернел и инитрд;
• тајни кључ је упакован у инитрд.имг;
• тренутна шема ауторизације (уношење лозинке за откључавање инитрд-а; лозинка/кључ за покретање оперативног система; лозинка за ауторизацију Линук налога).

Системско шифровање блок партиције „Једноставна ГРУБ2 конфигурација“ је завршено.

Ц6. Напредна ГРУБ2 конфигурација. Заштита покретача са дигиталним потписом + заштита аутентификацијеГНУ/Линук је потпуно шифрован, али покретач не може да се шифрује - овај услов диктира БИОС. Из тог разлога, ланчано шифровано покретање ГРУБ2 није могуће, али једноставно уланчано покретање је могуће/доступно, али са безбедносне тачке гледишта није неопходно [видети П. Ф].
За „рањиви“ ГРУБ2, програмери су имплементирали алгоритам за заштиту покретачког покретача „потпис/аутентификација“.

• Када је покретачки програм заштићен „сопственим дигиталним потписом“, екстерна модификација датотека или покушај учитавања додатних модула у овај покретач ће довести до блокирања процеса покретања.
• Када штитите боотлоадер аутентификацијом, да бисте изабрали учитавање дистрибуције или унели додатне команде у ЦЛИ, мораћете да унесете логин и лозинку суперкорисника-ГРУБ2.

Ц6.1. Заштита аутентификације покретачаПроверите да ли радите у терминалу на шифрованом ОС-у

ls /<Tab-Tab> #обнаружить файл-маркер

креирајте лозинку суперкорисника за ауторизацију у ГРУБ2

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. 

Узмите хеш лозинке. Овако нешто

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

монтирајте ГРУБ партицију

mount /dev/sda6 /mnt 

уредите конфигурацију

nano -$ /mnt/boot/grub/grub.cfg 

проверите претрагу датотека да нигде нема заставица у „груб.цфг“ (“-неограничено“ „-усер“,
додати на самом крају (пре реда ### ЕНД /етц/груб.д/41_цустом ###)
"сет суперусерс="роот"
пассворд_пбкдф2 роот хеш."

Требало би да буде овако нешто

# Ова датотека пружа једноставан начин за додавање прилагођених уноса у мени. Једноставно укуцајте
# ставке менија које желите да додате после овог коментара. Пазите да се не промените
# горња линија 'екец таил'.
### КРАЈ /етц/груб.д/40_цустом ###

### БЕГИН /етц/груб.д/41_цустом ###
иф [ -ф ${цонфиг_дирецтори}/цустом.цфг]; онда
извор ${цонфиг_дирецтори}/цустом.цфг
елиф [ -з "${цонфиг_дирецтори}" -а -ф $префик/цустом.цфг ]; онда
извор $префик/цустом.цфг;
fi
поставити суперусерс="роот"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### КРАЈ /етц/груб.д/41_цустом ###
#

Ако често користите команду „груб-мкцонфиг -о /мнт/боот/груб/груб.цфг“ и не желите да уносите промене у груб.цфг сваки пут, унесите горње редове (Пријава: Лозинка) у корисничкој скрипти ГРУБ на самом дну

nano /etc/grub.d/41_custom 

мачка <<ЕОФ
поставити суперусерс="роот"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
ЕОФ

Када генеришете конфигурацију “груб-мкцонфиг -о /мнт/боот/груб/груб.цфг”, линије одговорне за аутентификацију биће аутоматски додате у груб.цфг.
Овим кораком се завршава подешавање ГРУБ2 аутентификације.

Ц6.2. Заштита покретача са дигиталним потписомПретпоставља се да већ имате свој лични пгп кључ за шифровање (или креирајте такав кључ). Систем мора имати инсталиран криптографски софтвер: гнуПГ; клеопатра/ГПА; Морски коњиц. Крипто софтвер ће вам олакшати живот у свим таквим стварима. Сеахорсе - стабилна верзија пакета 3.14.0 (више верзије, на пример, В3.20, су неисправне и имају значајне грешке).

ПГП кључ треба генерисати/покренути/додати само у су окружењу!

Генеришите лични кључ за шифровање

gpg - -gen-key

Извезите свој кључ

gpg --export -o ~/perskey

Монтирајте логички диск у ОС ако већ није монтиран

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

очистите ГРУБ2 партицију

rm -rf /mnt/

Инсталирајте ГРУБ2 у сда6, стављајући свој приватни кључ у главну ГРУБ слику "цоре.имг"

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

Опције
* --форце - инсталирајте боотлоадер, заобилазећи сва упозорења која увек постоје (обавезна застава).
* —модулес="гцри_сха256 гцри_сха512 сигнатуре_тест гцри_дса гцри_рса" - налаже ГРУБ2 да унапред учита потребне модуле када се рачунар покрене.
* -к ~/перскеи -пут до „ПГП кључа“ (након паковања кључа у слику, може се избрисати).
* --роот-дирецтори -подесите директоријум за покретање на корен сда6
/дев/сда6 - ваша сдаКс партиција.

Генерисање/ажурирање груб.цфг

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

Додајте ред „труст /боот/груб/перскеи“ на крај „груб.цфг“ датотеке (присилно коришћење пгп кључа.) Пошто смо инсталирали ГРУБ2 са скупом модула, укључујући модул потписа „сигнатуре_тест.мод“, ово елиминише потребу за додавањем команди попут „сет цхецк_сигнатурес=енфорце“ у конфигурацију.

Требало би да изгледа отприлике овако (крајњи редови у датотеци груб.цфг)

### БЕГИН /етц/груб.д/41_цустом ###
иф [ -ф ${цонфиг_дирецтори}/цустом.цфг]; онда
извор ${цонфиг_дирецтори}/цустом.цфг
елиф [ -з "${цонфиг_дирецтори}" -а -ф $префик/цустом.цфг ]; онда
извор $префик/цустом.цфг;
fi
труст /боот/груб/перскеи
поставити суперусерс="роот"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### КРАЈ /етц/груб.д/41_цустом ###
#

Путања до “/боот/груб/перскеи” не мора да буде усмерена на одређену партицију диска, на пример хд0,6 за сам боотлоадер, “роот” је подразумевана путања партиције на којој је инсталиран ГРУБ2; (види сет рот=..).

Потписивање ГРУБ2 (све датотеке у свим /ГРУБ директоријумима) са вашим кључем „перскеи“.
Једноставно решење за потписивање (за наутилус/цаја екплорер): инсталирајте екстензију "сеахорсе" за Екплорер из спремишта. Ваш кључ мора бити додат у окружење су.
Отворите Екплорер са судо „/мнт/боот“ – РМБ – знак. На екрану то изгледа овако

Сам кључ је „/мнт/боот/груб/перскеи“ (копирај у директоријум груб) такође мора бити потписан сопственим потписом. Проверите да ли се потписи датотеке [*.сиг] појављују у директоријуму/поддиректоријуму.
Користећи метод описан изнад, потпишите „/боот“ (наше језгро, инитрд). Ако ваше време вреди било шта, онда овај метод елиминише потребу за писањем басх скрипте за потписивање „много датотека“.

Да бисте уклонили све потписе покретача (ако је нешто пошло по злу)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

Да не бисмо потписали боотлоадер након ажурирања система, замрзавамо све пакете ажурирања који се односе на ГРУБ2.

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

У овом кораку <протецт боотлоадер витх дигитал сигнатуре> напредна конфигурација ГРУБ2 је завршена.

Ц6.3. Прооф-тест ГРУБ2 боотлоадера, заштићен дигиталним потписом и аутентификацијомГРУБ2. Приликом одабира било које ГНУ/Линук дистрибуције или уласка у ЦЛИ (командна линија) Биће потребно овлашћење суперкорисника. Након уноса исправног корисничког имена/лозинке, биће вам потребна инитрд лозинка

Снимак екрана успешне аутентификације суперкорисника ГРУБ2.

Ако мењате било коју од ГРУБ2 датотека/измените груб.цфг, или обришете датотеку/потпис, или учитате злонамерни модуле.мод, појавиће се одговарајуће упозорење. ГРУБ2 ће паузирати учитавање.

Снимак екрана, покушај мешања у ГРУБ2 „споља“.

Током "нормалног" покретања "без упада", статус излазног кода система је "0". Стога је непознато да ли заштита функционише или не (то јест, "са или без заштите потписа покретача" током нормалног учитавања статус је исти "0" - ово је лоше).

Како проверити заштиту дигиталног потписа?

Незгодан начин за проверу: лажирајте/уклоните модул који користи ГРУБ2, на пример, уклоните потпис лукс.мод.сиг и добијете грешку.

Тачан начин: идите на ЦЛИ покретача и откуцајте команду

trust_list

Као одговор, требало би да добијете „перскеи“ отисак прста ако је статус „0“, онда заштита потписа не ради, проверите још једном параграф Ц6.2.
У овом кораку, напредна конфигурација „Заштита ГРУБ2 дигиталним потписом и аутентификацијом“ је завршена.

Ц7 Алтернативни метод заштите ГРУБ2 покретачког програма помоћу хеширањаГоре описани метод „Заштита покретача покретања процесора/потврда идентитета“ је класичан. Због несавршености ГРУБ2, у параноидним условима он је подложан стварном нападу, што ћу дати у наставку у параграфу [Ф]. Поред тога, након ажурирања ОС/кернела, покретач мора бити поново потписан.

Заштита покретача ГРУБ2 помоћу хеширања

Предности у односу на класику:

• Виши ниво поузданости (хеширање/верификација се одвија само са шифрованог локалног ресурса. Целокупна додељена партиција под ГРУБ2 се контролише за било какве промене, а све остало је шифровано; у класичној шеми са заштитом ЦПУ лоадера/аутентификације, контролишу се само датотеке, али не и бесплатне простор, у који се може додати „нешто” нешто злокобно).
• Шифровано евидентирање (људски читљив лични шифровани дневник је додат шеми).
• Брзина (заштита/верификација целе партиције додељене за ГРУБ2 се дешава скоро тренутно).
• Аутоматизација свих криптографских процеса.

Недостаци у односу на класику.

• Фалсификовање потписа (теоретски, могуће је пронаћи колизију дате хеш функције).
• Повећан ниво тежине (у поређењу са класичним, потребно је мало више вештина у ГНУ/Линук ОС-у).

Како функционише идеја хеширања ГРУБ2/партиције

ГРУБ2 партиција је „потписана“ када се ОС покрене, проверава се непромењивост партиције покретача, након чега следи пријављивање у безбедно (шифровано) окружење. Ако је покретач или његова партиција компромитовани, поред евиденције упада, покреће се и следеће:

Ствар.

Слична провера се дешава четири пута дневно, што не учитава системске ресурсе.
Коришћењем команде „-$ цхецк_ГРУБ“, тренутна провера се дешава у било ком тренутку без евидентирања, али са излазом информација у ЦЛИ.
Користећи команду „-$ судо сигнатуре_ГРУБ“, ГРУБ2 покретач/партиција се тренутно поново потписује и ажурира се евиденција (неопходно након ажурирања ОС/боот) и живот се наставља.

Имплементација методе хеширања за боотлоадер и његову секцију

0) Хајде да потпишемо ГРУБ покретач/партицију тако што ћемо га прво монтирати у /медиа/усернаме

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) Креирамо скрипту без екстензије у корену шифрованог ОС ~/подпис, примењујемо неопходна 744 безбедносна права и поуздану заштиту на њу.

Испуњавање његовог садржаја

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

Покрените скрипту из su, хеширање ГРУБ партиције и њеног покретачког програма ће бити проверено, сачувајте дневник.

Хајде да креирамо или копирамо, на пример, „злонамерну датотеку“ [вирус.мод] на ГРУБ2 партицију и покренимо привремено скенирање/тестирање:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

ЦЛИ мора да види инвазију на нашу -цитаделу-#Усечена пријава у ЦЛИ

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

#Као што видите, појављује се „Датотеке премештене: 1 и ревизија није успела“, што значи да провера није успела.
Због природе партиције која се тестира, уместо „Пронађене су нове датотеке“ > „Датотеке су премештене“

2) Ставите гиф овде > ~/варнинг.гиф, подесите дозволе на 744.

3) Конфигурисање фстаб-а за аутоматско монтирање ГРУБ партиције при покретању

-$ sudo nano /etc/fstab

ЛАБЕЛ=ГРУБ /медиа/корисничко име/ГРУБ ект4 подразумевано 0 0

4) Ротирање дневника

-$ sudo nano /etc/logrotate.d/podpis 

/вар/лог/подпис.ткт {
дневно
ротирати 50
величина 5М
датеект
сабити
делаицомпресс
олддир /вар/лог/олд
}

/вар/лог/вторјение.ткт {
месечно
ротирати 5
величина 5М
датеект
олддир /вар/лог/олд
}

5) Додајте посао у црон

-$ sudo crontab -e

рестарт '/субсцриптион'
0 */6 * * * '/подпис

6) Креирање сталних алијаса

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

Након ажурирања ОС-а -$ apt-get upgrade поново потпишите нашу ГРУБ партицију
-$ подпись_GRUB
У овом тренутку, заштита хеширања ГРУБ партиције је завршена.

[Д] Брисање - уништавање нешифрованих података

Избришите своје личне датотеке тако потпуно да их „ни Бог не може прочитати“, рекао је портпарол Јужне Каролине Треи Говди.

Као и обично, постоје разни „митови и легенде", о враћању података након што су избрисани са чврстог диска. Ако верујете у сајбер вештичарење или сте члан Др веб заједнице и никада нисте пробали опоравак података након што су избрисани/преписани (на пример, опоравак помоћу Р-студија), онда је мало вероватно да ће вам предложени метод одговарати, користите оно што вам је најближе.

Након успешног преноса ГНУ/Линук-а на шифровану партицију, стара копија се мора избрисати без могућности опоравка података. Универзални метод чишћења: софтвер за Виндовс/Линук бесплатни ГУИ софтвер БлеацхБит.
Брзо форматирајте одељак, податке о којима је потребно уништити (преко Гпартед-а) покрените БлеацхБит, изаберите „Очисти слободан простор“ - изаберите партицију (ваш сдаКс са претходном копијом ГНУ/Линук-а), процес скидања ће почети. БлеацхБит - брише диск у једном пролазу - то је оно што нам треба, Али! Ово функционише само у теорији ако сте форматирали диск и очистили га у софтверу ББ в2.0.

Пажња! ББ брише диск, остављајући метаподатке да се сачувају када се подаци елиминишу (Ццлеанер - не оставља метаподатке).

А мит о могућности опоравка података није у потпуности мит.Блеацхбит В2.0-2 бивши нестабилан ОС Дебиан пакет (и било који други сличан софтвер: сфилл; випе-Наутилус - такође су примећени у овом прљавом послу) заправо имао критичну грешку: функцију "чишћења слободног простора". ради погрешно на ХДД/флеш дисковима (нтфс/ект4). Софтвер ове врсте, приликом чишћења слободног простора, не преписује цео диск, као што многи корисници мисле. А неки (многи) избрисани подаци ОС/софтвер сматра ове податке као необрисане/корисничке податке и приликом чишћења „ОСП-а“ прескаче ове датотеке. Проблем је у томе што након толико времена, чишћење диска "избрисане датотеке" се могу опоравити чак и након 3+ пролаза брисања диска.
На ГНУ/Линук-у на Блеацхбит-у 2.0-2 Функције трајног брисања датотека и директоријума раде поуздано, али не и брисање слободног простора. Поређења ради: на Виндовс-у у ЦЦлеанер-у функција „ОСП за нтфс“ ради исправно и Бог заиста неће моћи да прочита избрисане податке.

И тако, да темељно уклоните "компромитујући" стари нешифровани подаци, Блеацхбиту је потребан директан приступ овим подацима, затим користите функцију „трајно брисање датотека/директоријума“.
Да бисте уклонили „избрисане датотеке помоћу стандардних ОС алата“ у Виндовс-у, користите ЦЦлеанер/ББ са функцијом „ОСП“. У ГНУ/Линук-у око овог проблема (избришите избрисане датотеке) морате сами да вежбате (брисање података + независни покушај да их вратите и не бисте се требали ослањати на верзију софтвера (ако није обележивач, онда грешка)), само у овом случају ћете моћи да разумете механизам овог проблема и потпуно се решите избрисаних података.

Нисам тестирао Блеацхбит в3.0, проблем је можда већ решен.
Блеацхбит в2.0 ради поштено.

У овом кораку, брисање диска је завршено.

[Е] Универзална резервна копија шифрованог ОС-а

Сваки корисник има сопствени метод прављења резервних копија података, али шифровани подаци ОС система захтевају мало другачији приступ задатку. Обједињени софтвер, као што је Цлонезилла и сличан софтвер, не може директно да ради са шифрованим подацима.

Изјава о проблему прављења резервних копија шифрованих блок уређаја:

1. универзалност - исти алгоритам/софтвер резервне копије за Виндовс/Линук;
2. могућност рада у конзоли са било којим живим усб ГНУ/Линук-ом без потребе за додатним преузимањем софтвера (али ипак препоручујем ГУИ);
3. сигурност резервних копија – ускладиштене „слике“ морају бити шифроване/заштићене лозинком;
4. величина шифрованих података мора одговарати величини стварних података који се копирају;
5. погодно издвајање потребних датотека из резервне копије (нема потребе да се прво дешифрује цео одељак).

На пример, прављење резервне копије / враћање у претходно стање преко услужног програма „дд“.

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

Одговара скоро свим тачкама задатка, али према тачки 4 не подноси критику, пошто копира целу партицију диска, укључујући и слободан простор - није занимљиво.

На пример, резервна копија ГНУ/Линук-а преко архиватора [тар" | гпг] је згодно, али за прављење резервне копије Виндовс-а морате потражити друго решење - није занимљиво.

Е1. Универзална резервна копија за Виндовс/Линук. Линк рсинц (Грсинц)+ВераЦрипт волуменАлгоритам за прављење резервне копије:

1. креирање шифрованог контејнера (волумен/фајл) ВераЦрипт за ОС;
2. пренесите/синхронизујте ОС помоћу софтвера Рсинц у ВераЦрипт крипто контејнер;
3. ако је потребно, отпремање ВераЦрипт волумена на ввв.

Прављење шифрованог ВераЦрипт контејнера има своје карактеристике:
стварање динамичког волумена (креирање ДТ-а је доступно само у Виндовс-у, може се користити и у ГНУ/Линук-у);
стварање редовног волумена, али постоји захтев за „параноидним карактером“ (према програмеру) – форматирање контејнера.

Динамички волумен се креира скоро тренутно у Виндовс-у, али када копирате податке из ГНУ/Линук > ВераЦрипт ДТ, укупне перформансе операције резервне копије значајно се смањују.

Прави се обичан волумен Твофисх од 70 ГБ (рецимо само, просечна снага рачунара) на ХДД ~ за пола сата (преписивање претходних података о контејнеру у једном пролазу је због безбедносних захтева). Функција брзог форматирања волумена приликом креирања уклоњена је из ВераЦрипт Виндовс/Линук-а, тако да је креирање контејнера могуће само кроз „преписивање у једном пролазу“ или креирање динамичког волумена ниских перформанси.

Направите обичан ВераЦрипт волумен (не динамички/нтфс), не би требало бити никаквих проблема.

Конфигуришите/креирајте/отворите контејнер у ВераЦрипт ГУИ> ГНУ/Линук ливе усб (волумен ће бити аутоматски монтиран на /медиа/верацрипт2, волумен Виндовс ОС ће бити монтиран на /медиа/верацрипт1). Креирање шифроване резервне копије оперативног система Виндовс помоћу ГУИ рсинц (грсинц)означавањем поља.

Сачекајте да се процес заврши. Када се резервна копија заврши, имаћемо једну шифровану датотеку.

Слично томе, направите резервну копију ГНУ/Линук ОС-а тако што ћете опозвати избор у пољу за потврду „Виндовс цомпатибилити“ у рсинц ГУИ.

Пажња! креирајте Верацрипт контејнер за „ГНУ/Линук резервну копију“ у систему датотека ектКСНУМКС. Ако направите резервну копију у нтфс контејнеру, онда када вратите такву копију, изгубићете сва права/групе на све своје податке.

Све операције се могу извршити у терминалу. Основне опције за рсинц:
* -г -саве групе;
* -П —прогресс — статус времена проведеног у раду на датотеци;
* -Х - копирајте чврсте везе какве јесу;
* -а -архивски режим (више рлптгоД заставица);
* -в -вербализација.

Ако желите да монтирате „Виндовс ВераЦрипт волумен“ преко конзоле у ​​софтверу за подешавање криптова, можете креирати псеудоним (су)

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

Сада ће команда „верамоунт пицтурес“ затражити од вас да унесете приступну фразу, а шифровани волумен Виндовс система ће бити монтиран у ОС.

Мапирајте/прикључите ВераЦрипт системски волумен у команди цриптсетуп

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

Мапирајте/прикључите ВераЦрипт партицију/контејнер у команди цриптсетуп

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

Уместо псеудонима, додаћемо (скрипту за покретање) системски волумен са Виндовс ОС-ом и логички шифровани нтфс диск за ГНУ/Линук покретање

Направите скрипту и сачувајте је у ~/ВераОпен.сх

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

Дистрибуирамо „исправна“ права:

sudo chmod 100 /VeraOpen.sh

Направите две идентичне датотеке (исто име!) у /етц/рц.лоцал и ~/етц/инит.д/рц.лоцал
Пуњење фајлова

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

Дистрибуирамо „исправна“ права:

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local 

То је то, сада када учитавамо ГНУ/Линук не морамо да уносимо лозинке да бисмо монтирали шифроване нтфс дискове, дискови се монтирају аутоматски.

Кратка напомена о ономе што је горе описано у параграфу Е1 корак по корак (али сада за ОС ГНУ/Линук)
1) Направите волумен у фс ект4 > 4гб (за фајл) Линук у Верацрипт-у [Цриптбок].
2) Поново покрените да бисте живели УСБ.
3) ~$ цриптсетуп отвори /дев/сда7 Лунук #мапирање шифроване партиције.
4) ~$ моунт /дев/маппер/Линук /мнт #монтирајте шифровану партицију на /мнт.
5) ~$ мкдир мнт2 #креирање директоријума за будућу резервну копију.
6) ~$ цриптсетуп опен —верацрипт —укуцајте тцрипт ~/ЦриптоБок ЦриптоБок && моунт /дев/маппер/ЦриптоБок /мнт2 #Мапирајте Верацрипт волумен под називом „ЦриптоБок“ и монтирајте ЦриптоБок на /мнт2.
7) ~$ рсинц -авлкхХКС —прогресс /мнт /мнт2/ #резервна операција шифроване партиције на шифровани Верацрипт волумен.

(п/с/ Пажња! Ако преносите шифровани ГНУ/Линук са једне архитектуре/машине на другу, на пример, Интел > АМД (то јест, постављате резервну копију са једне шифроване партиције на другу шифровану Интел > АМД партицију), Не заборавите Након преноса шифрованог ОС-а, можда измените тајни заменски кључ уместо лозинке. претходни кључ ~/етц/скеи - више неће одговарати другој шифрованој партицији и није препоручљиво креирати нови кључ “цриптсетуп луксАддКеи” испод цхроот-а – грешка је могућа, само у ~/етц/црипттаб наведите уместо “/етц/скеи” привремено “ноне” “, након поновног покретања и пријављивања на ОС, поново креирајте свој тајни џокер кључ).

Као ИТ ветерани, не заборавите да засебно направите резервне копије заглавља шифрованих Виндовс/Линук ОС партиција, иначе ће се шифровање окренути против вас.
У овом кораку, резервна копија шифрованог ОС је завршена.

[Ф] Напад на ГРУБ2 боотлоадер

ДетаљиАко сте заштитили свој боотлоадер дигиталним потписом и/или аутентификацијом (види тачку Ц6.), онда ово неће заштитити од физичког приступа. Шифровани подаци ће и даље бити недоступни, али ће заштита бити заобиђена (ресетујте заштиту дигиталног потписа) ГРУБ2 дозвољава сајбер зликовцу да убаци свој код у покретач без изазивања сумње (осим ако корисник ручно не надгледа стање покретача или не смисли сопствени робусни код произвољне скрипте за груб.цфг).

Алгоритам напада. Уљез

* Покреће рачунар са живог УСБ-а. Свака промена (насилник) датотеке ће обавестити правог власника рачунара о упаду у боотлоадер. Али једноставна поновна инсталација ГРУБ2 задржавајући груб.цфг (и накнадна могућност да га уређујете) ће омогућити нападачу да уређује било које датотеке (у овој ситуацији, приликом учитавања ГРУБ2, прави корисник неће бити обавештен. Статус је исти <0>)
* Монтира нешифровану партицију, чува „/мнт/боот/груб/груб.цфг“.
* Поново инсталира покретач (уклањање "перскеи" из цоре.имг слике)

grub-install --force --root-directory=/mnt /dev/sda6

* Враћа “груб.цфг” > “/мнт/боот/груб/груб.цфг”, уређује га ако је потребно, на пример, додајући ваш модул “кеилоггер.мод” у фасциклу са модулима за учитавање, у “груб.цфг” > ред "инсмод кеилоггер". Или, на пример, ако је непријатељ лукав, онда након поновне инсталације ГРУБ2 (сви потписи остају на месту) он гради главну ГРУБ2 слику користећи "груб-мкимаге са опцијом (-ц)." Опција “-ц” ће вам омогућити да учитате своју конфигурацију пре учитавања главног “груб.цфг”. Конфигурација се може састојати од само једног реда: преусмеравање на било који „модерн.цфг“, помешано, на пример, са ~400 фајлова (модули+потписи) у фасцикли „/боот/груб/и386-пц“. У овом случају, нападач може да убаци произвољан код и учита модуле без утицаја на „/боот/груб/груб.цфг“, чак и ако је корисник применио „хашсум“ на датотеку и привремено је приказао на екрану.
Нападач неће морати да хакује корисничко име/лозинку ГРУБ2, само ће морати да копира редове (одговоран за аутентификацију) "/боот/груб/груб.цфг" на ваш "модерн.цфг"

поставити суперусерс="роот"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

И власник рачунара ће и даље бити аутентификован као ГРУБ2 суперкорисник.

Ланчано оптерећење (боотлоадер учитава други боотлоадер), као што сам горе написао, нема смисла (намењен је за другу сврху). Шифровани покретач не може да се учита због БИОС-а (ланчано покретање поново покреће ГРУБ2 > шифровани ГРУБ2, грешка!). Међутим, ако и даље користите идеју ланчаног учитавања, можете бити сигурни да се учитава шифровани. (није модернизован) "груб.цфг" са шифроване партиције. А ово је такође лажни осећај сигурности, јер све што је назначено у шифрованом „груб.цфг“ (учитавање модула) додаје модуле који се учитавају из нешифрованог ГРУБ2.

Ако желите да проверите ово, онда доделите/шифрујте другу партицију сдаИ, копирајте ГРУБ2 на њу (операција груб-инсталл на шифрованој партицији није могућа) и у "груб.цфг" (нешифрована конфигурација) промените овакве линије

менуентри 'ГРУБк2' --цласс папагај --цласс гну-линук --цласс гну --цласс ос $менуентри_ид_оптион 'гнулинук-симпле-382111а2-ф993-403ц-аа2е-292б5еац4780' {
лоад_видео
инсмод гзио
ако [ к$груб_платформ = ккен ]; затим инсмод кзио; инсмод лзопио; фи
инсмод парт_мсдос
инсмод цриптодиск
инсмод лук
инсмод гцри_твофисх
инсмод гцри_твофисх
инсмод гцри_сха512
инсмод ект2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
нормалан /боот/груб/груб.цфг
}

жице
* инсмод - учитавање потребних модула за рад са шифрованим диском;
* ГРУБк2 - назив линије приказан у менију за покретање ГРУБ2;
* цриптомоунт -у 15ц47д1ц4бд34е5289дф77бцф60ее838 -види. фдиск -л (сда9);
* сет роот - инсталирај роот;
* нормалан /боот/груб/груб.цфг - извршна конфигурациона датотека на шифрованој партицији.

Поуздање да је учитан шифровани „груб.цфг“ је позитиван одговор на уношење лозинке/откључавање „сдаИ“ када се бира ред „ГРУБк2“ у ГРУБ менију.

Када радите у ЦЛИ, да се не збуните (и проверите да ли је променљива окружења „сет роот“ функционисала), креирајте празне датотеке токена, на пример, у шифрованом одељку „/схифр_груб“, у нешифрованом одељку „/носхифр_груб“. Провера у ЦЛИ

cat /Tab-Tab

Као што је горе наведено, ово неће помоћи против преузимања злонамерних модула ако такви модули заврше на вашем рачунару. На пример, кеилоггер који ће моћи да сачува притиске тастера у датотеку и меша је са другим датотекама у „~/и386“ све док га не преузме нападач са физичким приступом рачунару.

Најлакши начин да проверите да ли заштита дигиталног потписа активно ради (није ресетован), а нико није упао у покретачки програм, унесите команду у ЦЛИ

list_trusted

као одговор добијамо копију нашег „перскеја“, или не добијамо ништа ако нас нападну (такође морате да проверите „сет цхецк_сигнатурес=енфорце“).
Значајан недостатак овог корака је ручно уношење команди. Ако додате ову команду у „груб.цфг“ и заштитите конфигурацију дигиталним потписом, тада је прелиминарни излаз снимка кључа на екрану прекратак у времену и можда нећете имати времена да видите излаз након учитавања ГРУБ2 .
Нема коме посебно да тврди: програмер у његовом документација клаузула 18.2 званично проглашава

„Имајте на уму да чак и са ГРУБ заштитом лозинком, сам ГРУБ не може спречити некога ко има физички приступ машини да промени конфигурацију фирмвера те машине (нпр. Цоребоот или БИОС) како би проузроковао покретање машине са другог уређаја (контролисаног нападачем). ГРУБ је у најбољем случају само једна карика у сигурном ланцу покретања."

ГРУБ2 је преоптерећен функцијама које могу дати осећај лажне сигурности, а његов развој је већ надмашио МС-ДОС у смислу функционалности, али је само покретач. Смешно је да ГРУБ2 - "сутра" може да постане ОС, и виртуелне ГНУ/Линук машине за покретање за њега.

Кратак видео о томе како сам ресетовао ГРУБ2 заштиту дигиталног потписа и прогласио свој упад правом кориснику (Уплашио сам те, али уместо онога што је приказано на снимку можеш да напишеш безопасни произвољни код/.мод).

Закључци:

1) Блок системско шифровање за Виндовс је лакше имплементирати, а заштита са једном лозинком је погоднија од заштите са неколико лозинки са ГНУ/Линук блок системском енкрипцијом, да будемо поштени: ово друго је аутоматизовано.

2) Написао сам чланак као релевантан и детаљан једноставан водич за шифровање целог диска ВераЦрипт/ЛУКС на једној кућној машини, која је далеко најбоља у РуНету (ИМХО). Водич има > 50 карактера, тако да није покрио нека занимљива поглавља: ​​криптографи који нестају/држе се у сенци; о томе да у разним ГНУ/Линукс књигама мало пишу/не пишу о криптографији; о члану 51. Устава Руске Федерације; О лиценцирање/бан шифровање у Руској Федерацији, о томе зашто морате да шифрујете „роот/боот“. Водич се показао прилично опсежним, али детаљним. (описујући чак и једноставне кораке), заузврат, ово ће вам уштедети много времена када дођете до „праве енкрипције“.

3) Потпуно шифровање диска је извршено на Виндовс 7 64; ГНУ/Линук Паррот 4к; ГНУ/Дебиан 9.0/9.5.

4) Спровео успешан напад на његов ГРУБ2 боотлоадер.

5) Туторијал је направљен да помогне свим параноичним људима у ЗНД, где је рад са шифровањем дозвољен на законодавном нивоу. И првенствено за оне који желе да уведу енкрипцију целог диска без рушења својих конфигурисаних система.

6) Прерадио и ажурирао свој приручник, који је релевантан у 2020.

[Г] Корисна документација

1. ТруеЦрипт упутство за употребу (фебруар 2012. РУ)
2. ВераЦрипт документација
3. /уср/схаре/доц/цриптсетуп(-рун) [локални ресурс] (званична детаљна документација о подешавању ГНУ/Линук енкрипције помоћу цриптсетуп)
4. Званична ФАК цриптсетуп (кратка документација о подешавању ГНУ/Линук енкрипције помоћу цриптсетуп)
5. ЛУКС шифровање уређаја (арцхлинук документација)
6. Детаљан опис синтаксе цриптсетуп (арцх ман страница)
7. Детаљан опис црипттаб-а (арцх ман страница)
8. Званична ГРУБ2 документација.

Ознаке: потпуна енкрипција диска, енкрипција партиција, Линук потпуна енкрипција диска, ЛУКС1 потпуна системска енкрипција.

Само регистровани корисници могу учествовати у анкети. Пријавите се, Добродошао си.

Да ли шифрујете?

• 100%Шифрујем све што могу. Ја сам параноичан.14

• 100%Шифрујем само важне податке.28

• 100%Понекад шифрујем, понекад заборавим.12

• 100%Не, не шифрујем, незгодно је и скупо.28

82 корисника гласало. 22 корисника су била уздржана.

Извор: ввв.хабр.цом