🥇Fullständig diskkryptering av Windows Linux-installerade system. Krypterad Multiboot

Uppdaterad egen guide till heldiskkryptering i RuNet V0.2.

Cowboystrategi:

[A] Windows 7-systemblockkryptering av det installerade systemet;
[B] GNU/Linux-systemblockkryptering (Debian) installerat system (inklusive /boot);
[C] GRUB2-konfiguration, bootloader-skydd med digital signatur/autentisering/hashning;
[D] strippning – förstörelse av okrypterad data;
[E] universell säkerhetskopiering av krypterade operativsystem;
[F] attack <på objekt [C6]> mål - GRUB2 bootloader;
[G]användbar dokumentation.

╭───schema för #rum 40# :
├──╼ Windows 7 installerat - fullständig systemkryptering, inte dold;
├──╼ GNU/Linux installerat (Debian- och derivatdistributioner) — fullständig systemkryptering, inte dold(/, inklusive /boot; swap);
├──╼ oberoende starthanterare: VeraCrypt bootloader är installerad i MBR, GRUB2 bootloader är installerad i den utökade partitionen;
├──╼ ingen OS-installation/ominstallation krävs;
└──╼använd kryptografisk programvara: VeraCrypt; Cryptsetup; GnuPG; Sjöhäst; Hashdeep; GRUB2 är gratis/gratis.

Ovanstående schema löser delvis problemet med "fjärrstart till en flashenhet", låter dig njuta av krypterade OS Windows/Linux och utbyta data via en "krypterad kanal" från ett operativsystem till ett annat.

PC-startordning (ett av alternativen):

slå på maskinen;
laddar VeraCrypt bootloader (om du anger rätt lösenord fortsätter att starta Windows 7);
genom att trycka på "Esc"-tangenten laddas GRUB2-starthanteraren;
GRUB2 starthanterare (välj distribution/GNU/Linux/CLI), kommer att kräva autentisering av GRUB2-superanvändaren <login/lösenord>;
efter framgångsrik autentisering och val av distributionen måste du ange en lösenordsfras för att låsa upp "/boot/initrd.img";
efter att ha angett felfria lösenord kommer GRUB2 att "kräva" en lösenordsinmatning (tredje, BIOS-lösenord eller lösenord för GNU/Linux-användarkonto – övervägs inte) för att låsa upp och starta GNU/Linux OS, eller automatiskt byte av en hemlig nyckel (två lösenord + nyckel eller lösenord + nyckel);
externt intrång i GRUB2-konfigurationen kommer att frysa GNU/Linux-startprocessen.

Besvärlig? Okej, låt oss automatisera processerna.

När du partitionerar en hårddisk (MBR-tabell) En PC kan inte ha fler än 4 huvudpartitioner, eller 3 huvudpartitioner och en utökad, samt ett oallokerat område. En utökad sektion, till skillnad från den huvudsakliga, kan innehålla underavdelningar (logiska enheter=utökad partition). Med andra ord, den "förlängda partitionen" på hårddisken ersätter LVM för uppgiften: fullständig systemkryptering. Om din disk är uppdelad i 4 huvudpartitioner måste du använda lvm, eller transformera (med formatering) sektion från huvud till avancerad, eller använd klokt alla fyra sektionerna och lämna allt som det är för att få önskat resultat. Även om du har en partition på din disk, hjälper Gparted dig att partitionera din hårddisk (för ytterligare avsnitt) utan dataförlust, men ändå med ett litet straff för sådana handlingar.

Hårddisklayoutschemat, i förhållande till vilket hela artikeln kommer att verbaliseras, presenteras i tabellen nedan.

Tabell (nr 1) över 1TB partitioner.

Du borde ha något liknande också.
sda1 - huvudpartition nr 1 NTFS (krypterad);
sda2 - markör för utökad sektion;
sda6 - logisk disk (den har GRUB2 bootloader installerad);
sda8 - swap (krypterad swap-fil/inte alltid);
sda9 - testa logisk disk;
sda5 - logisk disk för nyfikna;
sda7 - GNU/Linux OS (överfört OS till en krypterad logisk disk);
sda3 - huvudpartition nr 2 med Windows 7 OS (krypterad);
sda4 - huvudsektion nr 3 (den innehöll okrypterad GNU/Linux, används för säkerhetskopiering/inte alltid).

[A] Windows 7 System Block Encryption

A1. VeraCrypt

Laddar från officiell plats, eller från spegeln source~~POS=TRUNC installationsversion av VeraCrypt kryptografisk programvara (vid tidpunkten för publiceringen av artikeln v1.24-Update3 är den bärbara versionen av VeraCrypt inte lämplig för systemkryptering). Kontrollera kontrollsumman för den nedladdade programvaran

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

och jämför resultatet med CS som publicerats på VeraCrypts utvecklarwebbplats.

Om HashTab-programvaran är installerad är det ännu enklare: RMB (VeraCrypt Setup 1.24.exe)-egenskaper - hash summa av filer.

För att verifiera programsignaturen måste programvaran och utvecklarens offentliga pgp-nyckel vara installerad på systemet gnuPG; gpg4win.

A2. Installera/köra VeraCrypt-programvara med administratörsrättigheter

A3. Val av systemkrypteringsparametrar för den aktiva partitionenVeraCrypt – System – Kryptera systempartition/disk – Normal – Kryptera Windows systempartition – Multiboot – (varning: "Oerfarna användare rekommenderas inte att använda denna metod" och detta är sant, vi håller med "Ja") - Startdiskett ("ja", även om inte så, fortfarande "ja") – Antal systemdiskar "2 eller fler" - Flera system på en disk "Ja" - Starthanterare för icke-Windows "Nej" (i själva verket "Ja", men VeraCrypt/GRUB2-startladdare kommer inte att dela MBR sinsemellan; mer exakt, bara den minsta delen av starthanterarens kod lagras i MBR/startspåret, huvuddelen av den är finns i filsystemet) – Multiboot – Krypteringsinställningar...

Om du avviker från ovanstående steg (blockera systemkrypteringsscheman), då kommer VeraCrypt att utfärda en varning och kommer inte att tillåta dig att kryptera partitionen.

I nästa steg mot riktat dataskydd genomför du ett "Test" och väljer en krypteringsalgoritm. Om du har en föråldrad CPU så kommer troligen den snabbaste krypteringsalgoritmen att vara Twofish. Om CPU:n är kraftfull kommer du att märka skillnaden: AES-kryptering, enligt testresultaten, kommer att vara flera gånger snabbare än sina kryptokonkurrenter. AES är en populär krypteringsalgoritm; hårdvaran i moderna processorer är speciellt optimerad för både "hemlig" och "hacking."

VeraCrypt stöder möjligheten att kryptera diskar i en AES-kaskad(Tvåfiskar)/och andra kombinationer. På en gammal kärna Intel CPU från tio år sedan (utan hårdvarustöd för AES, A/T-kaskadkryptering) Minskningen av prestanda är i huvudsak omärklig. (för AMD-processorer med samma era/~parametrar är prestandan något reducerad). OS fungerar dynamiskt och resursförbrukningen för transparent kryptering är osynlig. Däremot är det till exempel en märkbar minskning av prestanda på grund av den installerade instabila testskrivbordsmiljön Mate v1.20.1 (eller v1.20.2 minns jag inte exakt) i GNU/Linux, eller på grund av driften av telemetrirutinen i Windows7↑. Vanligtvis utför erfarna användare hårdvaruprestandatester före kryptering. Till exempel, i Aida64/Sysbench/systemd-analyze jämförs skulden med resultaten av samma tester efter att systemet krypterats, och därigenom motbevisar myten att "systemkryptering är skadligt." Avmattningen av maskinen och besväret märks vid säkerhetskopiering/återställning av krypterad data, eftersom själva "systemdatabackup"-operationen inte mäts i ms, och samma <dekryptera/kryptera i farten> läggs till. I slutändan balanserar varje användare som tillåts mixtra med kryptografi krypteringsalgoritmen mot tillfredsställelsen av uppgifterna, deras nivå av paranoia och användarvänlighet.

Det är bättre att lämna PIM-parametern som standard så att när du laddar operativsystemet behöver du inte ange de exakta iterationsvärdena varje gång. VeraCrypt använder ett stort antal iterationer för att skapa en verkligt "långsam hash". En attack på en sådan "kryptosnigel" med metoden Brute force/regnbågstabeller är meningsfull endast med en kort "enkel" lösenfras och offrets personliga teckenlista. Priset att betala för lösenordsstyrka är en fördröjning av att ange rätt lösenord när operativsystemet laddas. (montering av VeraCrypt-volymer i GNU/Linux är betydligt snabbare).
Gratis programvara för att implementera brute force-attacker (extrahera lösenfras från VeraCrypt/LUKS diskhuvud) Hashcat. John the Ripper vet inte hur man "bryter Veracrypt", och när han arbetar med LUKS förstår han inte Twofish-kryptering.

På grund av den kryptografiska styrkan hos krypteringsalgoritmer utvecklar ostoppbara cypherpunks mjukvara med en annan attackvektor. Till exempel extrahera metadata/nycklar från RAM (kallstart/attack för direkt minnesåtkomst), Det finns specialiserad gratis och icke-fri programvara för dessa ändamål.

Efter avslutad installation/generering av "unika metadata" för den krypterade aktiva partitionen, kommer VeraCrypt att erbjuda att starta om datorn och testa funktionaliteten hos dess bootloader. Efter omstart/start av Windows kommer VeraCrypt att laddas i standbyläge, allt som återstår är att bekräfta krypteringsprocessen - Y.

I det sista steget av systemkryptering kommer VeraCrypt att erbjuda att skapa en säkerhetskopia av huvudet på den aktiva krypterade partitionen i form av "veracrypt rescue disk.iso" - detta måste göras - i denna programvara är en sådan operation ett krav (i LUKS, som ett krav - detta är tyvärr utelämnat, men betonas i dokumentationen). Räddningsskivan kommer väl till pass för alla, och för vissa mer än en gång. Förlust (header/MBR omskrivning) en säkerhetskopia av rubriken kommer permanent att neka åtkomst till den dekrypterade partitionen med OS Windows.

A4. Skapa en VeraCrypt räddnings-USB/diskSom standard erbjuder VeraCrypt att bränna "~2-3MB metadata" till en CD, men inte alla människor har diskar eller DWD-ROM-enheter, och att skapa en startbar flashenhet "VeraCrypt Rescue disk" kommer att vara en teknisk överraskning för vissa: Rufus /GUIDd-ROSA ImageWriter och annan liknande programvara kommer inte att kunna klara av uppgiften, eftersom du förutom att kopiera offset-metadata till en startbar flashenhet måste kopiera/klistra in bilden utanför USB-enhetens filsystem, kort sagt, kopiera MBR/väg till nyckelring korrekt. Du kan skapa en startbar flashenhet från GNU/Linux OS med hjälp av verktyget "dd", titta på denna skylt.

Att skapa en räddningsskiva i en Windows-miljö är annorlunda. Utvecklaren av VeraCrypt inkluderade inte lösningen på detta problem i den officiella dokumentation av "räddningsskiva", men föreslog en lösning på ett annat sätt: han lade upp ytterligare programvara för att skapa en "usb-räddningsskiva" för fri tillgång på sitt VeraCrypt-forum. Arkivarien för denna programvara för Windows "skapar usb veracrypt räddningsskiva". Efter att ha sparat räddningsdisk.iso kommer processen att blockera systemkryptering av den aktiva partitionen att börja. Under kryptering avbryts inte driften av operativsystemet, en PC-omstart krävs inte. När krypteringsoperationen har slutförts blir den aktiva partitionen helt krypterad och kan användas. Om VeraCrypt-starthanteraren inte visas när du startar datorn, och header-återställningsåtgärden inte hjälper, kontrollera "boot"-flaggan, den måste ställas in på partitionen där Windows finns (oavsett kryptering och annat operativsystem, se tabell nr 1).
Detta avslutar beskrivningen av blocksystemkryptering med Windows OS.

[B]LYCK. GNU/Linux-kryptering (~Debian) installerat OS. Algoritm och steg

För att kryptera en installerad Debian/derivatdistribution måste du mappa den förberedda partitionen till en virtuell blockenhet, överföra den till den mappade GNU/Linux-disken och installera/konfigurera GRUB2. Om du inte har en barmetallserver, och du värdesätter din tid, måste du använda GUI, och de flesta av terminalkommandona som beskrivs nedan är avsedda att köras i "Chuck-Norris-läge".

B1. Startar upp PC från live usb GNU/Linux

"Genomför ett kryptotest för hårdvaruprestanda"

lscpu && сryptsetup benchmark

Om du är den lyckliga ägaren av en kraftfull bil med AES-hårdvarustöd, kommer siffrorna att se ut som den högra sidan av terminalen; om du är en lycklig ägare, men med antik hårdvara, kommer siffrorna att se ut som den vänstra sidan.

B2. Diskpartitionering. montering/formatering av fs logical disk HDD till Ext4 (Gparted)

B2.1. Skapar en krypterad sda7-partitionshuvudJag kommer att beskriva namnen på partitionerna, här och längre, i enlighet med min partitionstabell ovan. Enligt din disklayout måste du byta ut dina partitionsnamn.

Mappning av logisk enhetskryptering (/dev/sda7 > /dev/mapper/sda7_crypt).
#Lätt att skapa en "LUKS-AES-XTS-partition"

cryptsetup -v -y luksFormat /dev/sda7

Alternativ:

* luksFormat - initiering av LUKS header;
* -y -lösenfras (inte nyckel/fil);
* -v -verbalisering (visar information i terminalen);
* /dev/sda7 - din logiska disk från den utökade partitionen (där det är planerat att överföra/kryptera GNU/Linux).

Standardkrypteringsalgoritm <LUKS1: aes-xts-plain64, Nyckel: 256 bitar, LUKS header hashing: sha256, RNG: /dev/urandom> (beror på cryptsetup-versionen).

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

Om det inte finns något hårdvarustöd för AES på CPU:n skulle det bästa valet vara att skapa en utökad "LUKS-Twofish-XTS-partition".

B2.2. Avancerat skapande av "LUKS-Twofish-XTS-partition"

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

Alternativ:
* luksFormat - initiering av LUKS header;
* /dev/sda7 är din framtida krypterade logiska disk;
* -v verbalisering;
* -y lösenfras;
* -c välj datakrypteringsalgoritm;
* -s krypteringsnyckelstorlek;
* -h hashalgoritm/krypteringsfunktion, RNG används (--använd-urandom) att generera en unik krypterings-/dekrypteringsnyckel för den logiska skivhuvudet, en sekundär huvudnyckel (XTS); en unik huvudnyckel lagrad i den krypterade diskhuvudet, en sekundär XTS-nyckel, all denna metadata och en krypteringsrutin som, med hjälp av huvudnyckeln och den sekundära XTS-nyckeln, krypterar/dekrypterar all data på partitionen (förutom avsnittsrubrik) lagras i ~3MB på den valda hårddiskpartitionen.
* -i iterationer i millisekunder, istället för "belopp" (tidsfördröjningen vid bearbetning av lösenfrasen påverkar laddningen av operativsystemet och nycklarnas kryptografiska styrka). För att upprätthålla en balans av kryptografisk styrka, med ett enkelt lösenord som "ryska" måste du öka -(i)-värdet; med ett komplext lösenord som "?8dƱob/øfh" kan värdet minskas.
* —use-urandom slumptalsgenerator, genererar nycklar och salt.

Efter kartläggning av avsnittet sda7 > sda7_crypt (operationen är snabb, eftersom en krypterad rubrik skapas med ~3 MB metadata och det är allt), måste du formatera och montera filsystemet sda7_crypt.

B2.3. Jämförelse

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

alternativ:
* öppen - matcha avsnittet "med namn";
* /dev/sda7 -logisk disk;
* sda7_crypt - namnmappning som används för att montera den krypterade partitionen eller initiera den när operativsystemet startar.

B2.4. Formatera filsystemet sda7_crypt till ext4. Montera en disk i OS(Obs: du kommer inte att kunna arbeta med en krypterad partition i Gparted)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt

alternativ:
* -v -verbalisering;
* -L - enhetsetikett (som visas i Explorer bland andra enheter).

Därefter bör du montera den virtuellt krypterade blockenheten /dev/sda7_crypt till systemet

mount /dev/mapper/sda7_crypt /mnt

Att arbeta med filer i mappen /mnt kommer automatiskt att kryptera/dekryptera data i sda7.

Det är bekvämare att mappa och montera partitionen i Explorer (nautilus/caja GUI), partitionen kommer redan att finnas i skivvalslistan, allt som återstår är att ange lösenordsfrasen för att öppna/dekryptera disken. Det matchade namnet kommer att väljas automatiskt och inte "sda7_crypt", utan något som /dev/mapper/Luks-xx-xx...

B2.5. Säkerhetskopiering av skivhuvud (~3MB metadata)En av de mest Viktig operationer som behöver göras utan dröjsmål - en säkerhetskopia av "sda7_crypt"-huvudet. Om du skriver över/skadar rubriken (till exempel installera GRUB2 på sda7-partitionen, etc.), kommer den krypterade datan att gå förlorad helt utan möjlighet att återställa den, eftersom det kommer att vara omöjligt att återskapa samma nycklar; nycklarna skapas unikt.

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

alternativ:
* luksHeaderBackup —header-backup-file -backup kommando;
* luksHeaderRestore —header-backup-file -restore kommando;
* ~/Backup_DebSHIFR - backup-fil;
* /dev/sda7 - partition vars krypterade säkerhetskopia av diskhuvudet ska sparas.
I det här steget är <skapa och redigera den krypterade partitionen> slutfört.

B3. Portera GNU/Linux OS (sda4) till en krypterad partition (sda7)

Skapa en mapp /mnt2 (Obs - vi arbetar fortfarande med live usb, sda7_crypt är monterad på /mnt), och montera vår GNU/Linux i /mnt2, som måste krypteras.

mkdir /mnt2
mount /dev/sda4 /mnt2

Vi utför korrekt OS-överföring med Rsync-mjukvaran

rsync -avlxhHX --progress /mnt2/ /mnt

Rsync-alternativ beskrivs i avsnitt E1.

vidare, nödvändigt defragmentera en logisk diskpartition

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

Gör det till en regel: gör e4defrag på krypterad GNU/LInux då och då om du har en hårddisk.
Överföringen och synkroniseringen [GNU/Linux > GNU/Linux-krypterad] slutförs i detta steg.

AT 4. Konfigurera GNU/Linux på en krypterad sda7-partition

Efter att ha överfört operativsystemet /dev/sda4 > /dev/sda7, måste du logga in på GNU/Linux på den krypterade partitionen och utföra ytterligare konfiguration (utan att starta om datorn) i förhållande till ett krypterat system. Det vill säga vara i live usb, men kör kommandon "relativt roten till det krypterade operativsystemet." "chroot" kommer att simulera en liknande situation. För att snabbt få information om vilket OS du för närvarande arbetar med (krypterad eller inte, eftersom data i sda4 och sda7 är synkroniserade), avsynkronisera operativsystemet. Skapa i rotkataloger (sda4/sda7_crypt) tomma markörfiler, till exempel /mnt/encryptedOS och /mnt2/decryptedOS. Kontrollera snabbt vilket OS du använder (inklusive för framtiden):

ls /<Tab-Tab>

B4.1. "Simulering av inloggning på ett krypterat operativsystem"

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. Verifiera att arbete utförs mot ett krypterat system

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. Skapa/konfigurera krypterad swap, redigera crypttab/fstabEftersom växlingsfilen formateras varje gång operativsystemet startar, är det ingen mening att skapa och mappa växling till en logisk disk nu och ange kommandon som i avsnitt B2.2. För Swap kommer dess egna temporära krypteringsnycklar att genereras automatiskt vid varje start. Livscykel för swap-nycklar: av-/avmontering av swap-partition (+rengöring av RAM); eller starta om OS. Ställer in swap, öppnar filen som ansvarar för konfigurationen av blockkrypterade enheter (analogt med en fstab-fil, men ansvarig för krypto).

nano /etc/crypttab

vi redigerar

#"målnamn" "källenhet" "nyckelfil" "alternativ"
swap /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512

Alternativ
* swap - mappat namn vid kryptering av /dev/mapper/swap.
* /dev/sda8 - använd din logiska partition för swap.
* /dev/urandom - generator av slumpmässiga krypteringsnycklar för swap (med varje ny OS-start skapas nya nycklar). /dev/urandom-generatorn är mindre slumpmässig än /dev/random, trots allt används /dev/random när man arbetar under farliga paranoida omständigheter. När operativsystemet laddas saktar /dev/random ned laddningen i flera ± minuter (se systemd-analyze).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -partitionen vet att den är swap och är formaterad "i enlighet därmed"; krypteringsalgoritm.

#Открываем и правим fstab
nano /etc/fstab

vi redigerar

# swap var på / dev / sda8 under installationen
/dev/mapper/swap ingen swap sw 0 0

/dev/mapper/swap är namnet som sattes i crypttab.

Alternativ krypterad swap
Om du av någon anledning inte vill ge upp en hel partition för en växlingsfil, så kan du gå en alternativ och bättre väg: skapa en växlingsfil i en fil på en krypterad partition med OS.

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

Inställningen av swap-partitionen är klar.

B4.4. Ställa in krypterad GNU/Linux (redigera crypttab/fstab-filer)Filen /etc/crypttab, som skrivits ovan, beskriver krypterade blockenheter som konfigureras under systemstart.

#правим /etc/crypttab 
nano /etc/crypttab

om du matchade avsnittet sda7>sda7_crypt som i stycke B2.1

# "målnamn" "källenhet" "nyckelfil" "alternativ"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

om du matchade avsnittet sda7>sda7_crypt som i stycke B2.2

# "målnamn" "källenhet" "nyckelfil" "alternativ"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

om du matchade avsnittet sda7>sda7_crypt som i paragraf B2.1 eller B2.2, men inte vill ange lösenordet igen för att låsa upp och starta operativsystemet, så kan du istället för lösenordet ersätta en hemlig nyckel/slumpmässig fil

# "målnamn" "källenhet" "nyckelfil" "alternativ"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

beskrivning
* ingen - rapporterar att när operativsystemet läses in krävs att en hemlig lösenfras anges för att låsa upp roten.
* UUID - partitionsidentifierare. För att ta reda på ditt ID, skriv in terminalen (påminnelse om att du från och med nu arbetar i en terminal i en chroot-miljö och inte i en annan live usb-terminal).

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

denna linje är synlig när du begär blkid från live usb-terminalen med sda7_crypt monterad).
Du tar UUID från din sdaX (inte sdaX_crypt!, UUID sdaX_crypt - kommer att lämnas automatiskt när grub.cfg-konfigurationen genereras).
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks-kryptering i avancerat läge.
* /etc/skey - hemlig nyckelfil, som infogas automatiskt för att låsa upp OS-starten (istället för att ange det 3:e lösenordet). Du kan ange vilken fil som helst upp till 8MB, men data kommer att läsas <1MB.

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7

Det kommer att se ut ungefär så här:

(gör det själv och se själv).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab innehåller beskrivande information om olika filsystem.

#Правим /etc/fstab
nano /etc/fstab

# "filsystem" "monteringspunkt" "typ" "alternativ" "dump" "pass"
# / var på / dev / sda7 under installationen
/dev/mapper/sda7_crypt / ext4 errors=remount-ro 0 1

alternativ
* /dev/mapper/sda7_crypt - namnet på sda7>sda7_crypt-mappningen, som anges i filen /etc/crypttab.
Inställningen av crypttab/fstab är klar.

B4.5. Redigera konfigurationsfiler. NyckelmomentB4.5.1. Redigera konfigurationen /etc/initramfs-tools/conf.d/resume

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

och kommentera (om det finns) "#" rad "resume". Filen måste vara helt tom.

B4.5.2. Redigera konfigurationen /etc/initramfs-tools/conf.d/cryptsetup

nano /etc/initramfs-tools/conf.d/cryptsetup

ska matcha

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=ja
exportera CRYPTSETUP

B4.5.3. Redigera /etc/default/grub-konfigurationen (denna konfiguration är ansvarig för möjligheten att generera grub.cfg när du arbetar med krypterad /boot)

nano /etc/default/grub

lägg till raden "GRUB_ENABLE_CRYPTODISK=y"
värdet 'y', grub-mkconfig och grub-install kommer att söka efter krypterade enheter och generera ytterligare kommandon som behövs för att komma åt dem vid uppstart (insmods ).
det måste finnas en likhet

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=leverantör"
GRUB_CMDLINE_LINUX="tyst stänk ingen automontering"
GRUB_ENABLE_CRYPTODISK=y

B4.5.4. Redigera konfigurationen /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

kontrollera att linjen kommenterade <#>.
I framtiden (och även nu kommer denna parameter inte att ha någon betydelse, men ibland stör den uppdateringen av initrd.img-bilden).

B4.5.5. Redigera konfigurationen /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

Lägg till

KEYFILE_PATTERN="/etc/skey"
UMASK=0077

Detta kommer att packa den hemliga nyckeln "skey" i initrd.img, nyckeln behövs för att låsa upp roten när OS startar (om du inte vill ange lösenordet igen, ersätts bilen med nyckeln).

B4.6. Uppdatera /boot/initrd.img [version]För att packa den hemliga nyckeln i initrd.img och tillämpa cryptsetup-fixar, uppdatera bilden

update-initramfs -u -k all

vid uppdatering av initrd.img (som de säger "Det är möjligt, men det är inte säkert") Varningar relaterade till cryptsetup kommer att visas, eller till exempel ett meddelande om förlust av Nvidia-moduler - detta är normalt. Efter att ha uppdaterat filen, kontrollera att den faktiskt har uppdaterats, se tiden (relativt chroot-miljön./boot/initrd.img). Varning! innan [update-initramfs -u -k all] se till att kontrollera att cryptsetup är öppen /dev/sda7 sda7_crypt - detta är namnet som visas i /etc/crypttab, annars kommer det att uppstå ett busybox-fel efter omstart)
I det här steget är inställningen av konfigurationsfilerna klar.

[C] Installera och konfigurera GRUB2/Protection

C1. Om det behövs, formatera den dedikerade partitionen för starthanteraren (en partition behöver minst 20 MB)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. Montera /dev/sda6 till /mntSå vi arbetar i chroot, då kommer det inte att finnas någon /mnt2-katalog i roten, och mappen /mnt kommer att vara tom.
montera GRUB2-partitionen

mount /dev/sda6 /mnt

Om du har en äldre version av GRUB2 installerad, i katalogen /mnt/boot/grub/i-386-pc (annan plattform är möjlig, till exempel inte "i386-pc") inga kryptomoduler (kort sagt, mappen bör innehålla moduler, inklusive dessa .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), i det här fallet måste GRUB2 skakas.

apt-get update
apt-get install grub2

Viktig! När du uppdaterar GRUB2-paketet från förvaret, när du tillfrågas "om att välja" var du ska installera bootloader, måste du vägra installationen (anledning - försök att installera GRUB2 - i "MBR" eller på live usb). Annars kommer du att skada VeraCrypt-huvudet/laddaren. Efter att ha uppdaterat GRUB2-paketen och avbrutit installationen måste starthanteraren installeras manuellt på den logiska disken och inte i MBR. Om ditt förråd har en föråldrad version av GRUB2, försök uppdatering det är från den officiella webbplatsen - har inte kollat det (fungerade med de senaste GRUB 2.02 ~BetaX starthanterarna).

C3. Installera GRUB2 i en utökad partition [sda6]Du måste ha en monterad partition [artikel C.2]

grub-install --force --root-directory=/mnt /dev/sda6

alternativ
* —force - installation av bootloader, förbi alla varningar som nästan alltid finns och blockerar installationen (obligatorisk flagga).
* --root-directory - kataloginstallation till roten av sda6.
* /dev/sda6 - din sdaХ-partition (missa inte <mellanslag> mellan /mnt /dev/sda6).

C4. Skapa en konfigurationsfil [grub.cfg]Glöm kommandot "update-grub2" och använd kommandot för generering av hela konfigurationsfilen

grub-mkconfig -o /mnt/boot/grub/grub.cfg

efter att ha slutfört genereringen/uppdateringen av grub.cfg-filen, bör utgångsterminalen innehålla rad(er) med operativsystemet som finns på disken ("grub-mkconfig" kommer förmodligen att hitta och hämta operativsystemet från en live-usb, om du har en multiboot-flashenhet med Windows 10 och ett gäng livedistributioner - detta är normalt). Om terminalen är "tom" och filen "grub.cfg" inte genereras, är detta samma fall när det finns GRUB-buggar i systemet (och troligen laddaren från testgrenen av förvaret), installera om GRUB2 från betrodda källor.
Installationen av "enkel konfiguration" och GRUB2-installationen är klar.

C5. Bevistest av krypterad GNU/Linux OSVi slutför kryptouppdraget korrekt. Lämna försiktigt den krypterade GNU/Linux (avsluta chroot-miljön).

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

Efter omstart av datorn bör VeraCrypt-starthanteraren laddas.

*Om du anger lösenordet för den aktiva partitionen börjar Windows laddas.
*Om du trycker på "Esc"-tangenten överförs kontrollen till GRUB2, om du väljer krypterad GNU/Linux - ett lösenord (sda7_crypt) kommer att krävas för att låsa upp /boot/initrd.img (om grub2 skriver uuid "hittades inte" - detta är en problem med grub2 bootloader, bör den installeras om, t.ex. från testgren/stable etc.).

*Beroende på hur du konfigurerade systemet (se avsnitt B4.4/4.5), efter att ha angett rätt lösenord för att låsa upp /boot/initrd.img-avbildningen, behöver du ett lösenord för att ladda OS-kärnan/roten, eller hemligheten nyckel kommer automatiskt att ersättas med "skey", vilket eliminerar behovet av att skriva in lösenordsfrasen igen.

(skärmen "automatiskt byte av en hemlig nyckel").

*Då följer den välbekanta processen att ladda GNU/Linux med användarkontoautentisering.

*Efter användarbehörighet och inloggning till operativsystemet måste du uppdatera /boot/initrd.img igen (se B4.6).

update-initramfs -u -k all

Och i händelse av extra rader i GRUB2-menyn (från OS-m pickup med live usb) gör dig av med dem

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

En snabb sammanfattning av GNU/Linux-systemkryptering:

GNU/Linuxinux är helt krypterad, inklusive /boot/kernel och initrd;
den hemliga nyckeln är förpackad i initrd.img;
nuvarande tillståndssystem (ange lösenordet för att låsa upp initrd; lösenord/nyckel för att starta operativsystemet; lösenord för att auktorisera Linux-kontot).

"Simple GRUB2 Configuration" systemkryptering av blockpartitionen är klar.

C6. Avancerad GRUB2-konfiguration. Bootloader-skydd med digital signatur + autentiseringsskyddGNU/Linux är helt krypterad, men starthanteraren kan inte krypteras - detta tillstånd dikteras av BIOS. Av denna anledning är en kedjad krypterad start av GRUB2 inte möjlig, men en enkel kedjad start är möjlig/tillgänglig, men ur säkerhetssynpunkt är det inte nödvändigt [se P.F].
För den "sårbara" GRUB2 implementerade utvecklarna en "signatur/autentisering"-skyddsalgoritm för bootloader.

När starthanteraren är skyddad av "sin egen digitala signatur", kommer extern modifiering av filer, eller ett försök att ladda ytterligare moduler i denna bootloader, att leda till att laddningsprocessen blockeras.
När du skyddar starthanteraren med autentisering, för att välja att ladda en distribution eller ange ytterligare kommandon i CLI, måste du ange login och lösenord för superuser-GRUB2.

C6.1. Bootloader-autentiseringsskyddKontrollera att du arbetar i en terminal på ett krypterat operativsystem

ls /<Tab-Tab> #обнаружить файл-маркер

skapa ett superanvändarlösenord för auktorisering i GRUB2

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя.

Hämta hash för lösenordet. Något som det här

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

montera GRUB-partitionen

mount /dev/sda6 /mnt

redigera konfigurationen

nano -$ /mnt/boot/grub/grub.cfg

kontrollera filsökningen att det inte finns några flaggor någonstans i "grub.cfg" ("-unrestricted" "-user",
lägg till i slutet (före raden ### END /etc/grub.d/41_custom ###)
"set superusers="root"
password_pbkdf2 root-hash."

Det borde vara något sånt här

# Den här filen ger ett enkelt sätt att lägga till anpassade menyposter. Skriv bara in
# menyposter du vill lägga till efter den här kommentaren. Var försiktig så att du inte ändrar dig
# "exec tail" -linjen ovan.
### END /etc/grub.d/40_custom ###

### BÖRJA /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; sedan
källa ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; sedan
källkod $prefix/custom.cfg;
fi
set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

Om du ofta använder kommandot "grub-mkconfig -o /mnt/boot/grub/grub.cfg" och inte vill göra ändringar i grub.cfg varje gång, skriv in ovanstående rader (Inloggningslösenord) i GRUB-användarskriptet längst ner

nano /etc/grub.d/41_custom

katt <<EOF
set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

När konfigurationen "grub-mkconfig -o /mnt/boot/grub/grub.cfg" genereras, kommer raderna som ansvarar för autentisering att läggas till automatiskt till grub.cfg.
Detta steg slutför GRUB2-autentiseringsinställningen.

C6.2. Bootloader-skydd med digital signaturDet antas att du redan har din personliga pgp-krypteringsnyckel (eller skapa en sådan nyckel). Systemet måste ha kryptografisk programvara installerad: gnuPG; kleopatra/GPA; Sjöhäst. Kryptoprogramvara kommer att göra ditt liv mycket enklare i alla sådana frågor. Seahorse - stabil version av paketet 3.14.0 (versioner högre, till exempel V3.20, är defekta och har betydande buggar).

PGP-nyckeln behöver endast genereras/lanseras/läggs till i su-miljön!

Generera personlig krypteringsnyckel

gpg - -gen-key

Exportera din nyckel

gpg --export -o ~/perskey

Montera den logiska disken i operativsystemet om den inte redan är monterad

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

rengör GRUB2-partitionen

rm -rf /mnt/

Installera GRUB2 i sda6, lägg din privata nyckel i GRUB-huvudbilden "core.img"

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

alternativ
* --force - installera starthanteraren, förbi alla varningar som alltid finns (obligatorisk flagga).
* —modules="gcry_sha256 gcry_sha512 signatur_test gcry_dsa gcry_rsa" - instruerar GRUB2 att förladda de nödvändiga modulerna när datorn startar.
* -k ~/perskey -sökväg till "PGP-nyckeln" (efter att ha packat in nyckeln i bilden kan den raderas).
* --root-directory - ställ in startkatalogen till roten av sda6
/dev/sda6 - din sdaX-partition.

Genererar/uppdaterar grub.cfg

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

Lägg till raden "trust /boot/grub/perskey" i slutet av filen "grub.cfg" (tvinga användning av pgp-nyckeln.) Eftersom vi installerade GRUB2 med en uppsättning moduler, inklusive signaturmodulen "signature_test.mod", eliminerar detta behovet av att lägga till kommandon som "set check_signatures=enforce" till konfigurationen.

Det borde se ut ungefär så här (slutrader i filen grub.cfg)

### BÖRJA /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; sedan
källa ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; sedan
källkod $prefix/custom.cfg;
fi
lita på /boot/grub/perskey
set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

Sökvägen till "/boot/grub/perskey" behöver inte pekas på en specifik diskpartition, till exempel hd0,6; för själva starthanteraren är "root" standardsökvägen för partitionen som GRUB2 är installerad på (se set röta=..).

Signerar GRUB2 (alla filer i alla /GRUB-kataloger) med din nyckel "perskey".
En enkel lösning på hur man signerar (för nautilus/caja explorer): installera tillägget "seahorse" för Explorer från förvaret. Din nyckel måste läggas till i su-miljön.
Öppna Explorer med sudo "/mnt/boot" - RMB - tecken. På skärmen ser det ut så här

Själva nyckeln är "/mnt/boot/grub/perskey" (kopiera till grub-katalogen) måste även undertecknas med egen signatur. Kontrollera att filsignaturerna [*.sig] visas i katalogen/underkatalogerna.
Använd metoden som beskrivs ovan, teckna "/boot" (vår kärna, initrd). Om din tid är värd något, eliminerar den här metoden behovet av att skriva ett bash-skript för att signera "många filer."

För att ta bort alla bootloader-signaturer (om något gick fel)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

För att inte signera starthanteraren efter att ha uppdaterat systemet fryser vi alla uppdateringspaket relaterade till GRUB2.

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

I det här steget <skydda starthanteraren med digital signatur> är avancerad konfiguration av GRUB2 slutförd.

C6.3. Provtest av GRUB2 bootloader, skyddad av digital signatur och autentiseringGRUB2. När du väljer valfri GNU/Linux-distribution eller går in i CLI (kommandorad) Superuser-auktorisering kommer att krävas. Efter att ha angett rätt användarnamn/lösenord behöver du det inledande lösenordet

Skärmdump av lyckad autentisering av GRUB2-superanvändaren.

Om du manipulerar med någon av GRUB2-filerna/gör ändringar i grub.cfg, eller tar bort filen/signaturen, eller laddar en skadlig module.mod, kommer en motsvarande varning att visas. GRUB2 pausar laddningen.

Skärmdump, ett försök att störa GRUB2 "från utsidan".

Under "normal" uppstart "utan intrång" är systemets utgångskod status "0". Därför är det okänt om skyddet fungerar eller inte (det vill säga "med eller utan bootloader signaturskydd" under normal laddning är statusen samma "0" - detta är dåligt).

Hur kontrollerar man skyddet för digitala signaturer?

Ett obekvämt sätt att kontrollera: fejka/ta bort en modul som används av GRUB2, till exempel, ta bort signaturen luks.mod.sig och få ett felmeddelande.

Rätt sätt: gå till starthanteraren CLI och skriv kommandot

trust_list

Som svar bör du få ett "perskey" fingeravtryck; om statusen är "0" fungerar inte signaturskyddet, dubbelkolla avsnitt C6.2.
I detta steg är den avancerade konfigurationen "Skydda GRUB2 med digital signatur och autentisering" slutförd.

C7 Alternativ metod för att skydda GRUB2 bootloader med hjälp av hashMetoden "CPU Boot Loader Protection/Authentication" som beskrivs ovan är en klassiker. På grund av bristerna i GRUB2 är den under paranoida förhållanden känslig för en riktig attack, vilket jag kommer att ge nedan i stycke [F]. Dessutom, efter uppdatering av OS/kärnan, måste starthanteraren signeras om.

Skyddar GRUB2 bootloader med hash

Fördelar jämfört med klassiker:

Högre nivå av tillförlitlighet (hashning/verifiering sker endast från en krypterad lokal resurs. Hela den allokerade partitionen under GRUB2 kontrolleras för eventuella ändringar, och allt annat är krypterat; i det klassiska schemat med CPU-lastarskydd/autentisering är det bara filer som kontrolleras, men inte gratis utrymme, där "något" något olyckligt" kan läggas till).
Krypterad loggning (en mänskligt läsbar personlig krypterad logg läggs till schemat).
Скорость (skydd/verifiering av en hel partition tilldelad för GRUB2 sker nästan omedelbart).
Automatisering av alla kryptografiska processer.

Nackdelar jämfört med klassikerna.

Förfalskning av signatur (teoretiskt är det möjligt att hitta en given hashfunktionskollision).
Ökad svårighetsgrad (Jämfört med klassiskt krävs lite mer kunskaper i GNU/Linux OS).

Hur GRUB2/partitionshashningsidén fungerar

GRUB2-partitionen är "signerad"; när operativsystemet startar kontrolleras starthanterarens partition för oföränderlighet, följt av inloggning i en säker (krypterad) miljö. Om starthanteraren eller dess partition äventyras, utöver intrångsloggen, startas följande:

Sak.

En liknande kontroll sker fyra gånger om dagen, som inte laddar systemresurser.
Med kommandot "-$ check_GRUB" sker en omedelbar kontroll när som helst utan loggning, men med informationsutmatning till CLI.
Genom att använda kommandot "-$ sudo signatur_GRUB" signeras GRUB2 starthanteraren/partitionen omedelbart om och dess uppdaterade loggning (nödvändigt efter OS/startuppdatering), och livet fortsätter.

Implementering av en hash-metod för bootloadern och dess sektion

0) Låt oss signera GRUB-starthanteraren/partitionen genom att först montera den i /media/användarnamn

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) Vi skapar ett skript utan förlängning i roten av det krypterade operativsystemet ~/podpis, tillämpar nödvändiga 744 säkerhetsrättigheter och idiotsäkert skydd på det.

Fyller dess innehåll

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

Kör skriptet från su, kommer hashningen av GRUB-partitionen och dess starthanterare att kontrolleras, spara loggen.

Låt oss skapa eller kopiera, till exempel, en "skadlig fil" [virus.mod] till GRUB2-partitionen och köra en tillfällig skanning/test:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

CLI måste se en invasion av vårt -citadell-#Trimmad logga in CLI

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

#Som du kan se visas "Filer flyttade: 1 och granskningen misslyckades", vilket betyder att kontrollen misslyckades.
På grund av typen av partition som testas, istället för "Nya filer hittades" > "Filer flyttade"

2) Sätt gif:en här > ~/warning.gif, ställ in behörigheterna till 744.

3) Konfigurerar fstab för att automontera GRUB-partitionen vid uppstart

-$ sudo nano /etc/fstab

LABEL=GRUB /media/användarnamn/GRUB ext4 standardvärden 0 0

4) Roterar stocken

-$ sudo nano /etc/logrotate.d/podpis

/var/log/podpis.txt {
dagligen
rotera 50
storlek 5M
datatext
komprimera
delaycompress
olddir /var/log/old
}

/var/log/vtorjenie.txt {
månad
rotera 5
storlek 5M
datatext
olddir /var/log/old
}

5) Lägg till ett jobb till cron

-$ sudo crontab -e

omstart '/prenumeration'
0 */6 * * * '/podpis

6) Skapa permanenta alias

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

Efter OS-uppdatering -$ apt-get upgrade signera om vår GRUB-partition
-$ подпись_GRUB
Vid denna tidpunkt är hashskyddet för GRUB-partitionen klart.

[D] Torkning - förstörelse av okrypterad data

Radera dina personliga filer så fullständigt att "inte ens Gud kan läsa dem", enligt South Carolina talesman Trey Gowdy.

Som vanligt finns det olika ”myter och legender", om att återställa data efter att den har raderats från en hårddisk. Om du tror på cyberhäxning, eller är medlem i Drs webbcommunity och aldrig har provat dataåterställning efter att den raderades/skrivs över (till exempel återställning med R-studio), då är det osannolikt att den föreslagna metoden passar dig, använd det som ligger närmast dig.

Efter att ha lyckats överföra GNU/Linux till en krypterad partition måste den gamla kopian raderas utan möjlighet till dataåterställning. Universell rengöringsmetod: programvara för Windows/Linux gratis GUI-programvara BleachBit.
Быстро formatera avsnittet, där uppgifterna måste förstöras (via Gparted) starta BleachBit, välj "Rensa upp ledigt utrymme" - välj partitionen (din sdaX med en tidigare kopia av GNU/Linux), kommer strippningsprocessen att starta. BleachBit - torkar disken i en gång - det här är vad "vi behöver", men! Detta fungerar bara i teorin om du formaterade disken och rengjorde den i BB v2.0 programvara.

Varning! BB torkar disken och lämnar metadata, filnamnen bevaras när data elimineras (CCleaner - lämnar inte metadata).

Och myten om möjligheten till dataåterställning är inte helt en myt.Bleachbit V2.0-2 tidigare instabilt OS Debian-paket (och annan liknande programvara: sfill; wipe-Nautilus - uppmärksammades också i denna smutsiga verksamhet) hade faktiskt en kritisk bugg: funktionen "rensning av ledigt utrymme". det fungerar fel på hårddiskar/flashenheter (ntfs/ext4). Programvara av detta slag skriver inte över hela disken när man rensar ledigt utrymme, som många användare tror. Och lite (massor) raderade data OS/programvara betraktar dessa data som icke-raderade/användardata och när du rengör "OSP" hoppar den över dessa filer. Problemet är att efter så lång tid, rengöring av disken "raderade filer" kan återställas även efter 3+ pass av att torka skivan.
På GNU/Linux på Bleachbit 2.0-2 Funktionerna för att permanent ta bort filer och kataloger fungerar tillförlitligt, men rensar inte ledigt utrymme. Som jämförelse: på Windows i CCleaner fungerar funktionen "OSP för ntfs" korrekt, och Gud kommer verkligen inte att kunna läsa raderade data.

Och så att grundligt ta bort "kompromissa" gammal okrypterad data, Bleachbit behöver direktåtkomst till denna data, använd sedan funktionen "ta bort filer/kataloger permanent".
För att ta bort "borttagna filer med vanliga OS-verktyg" i Windows, använd CCleaner/BB med "OSP"-funktionen. I GNU/Linux över detta problem (ta bort raderade filer) du behöver träna på egen hand (ta bort data + ett oberoende försök att återställa det och du bör inte lita på mjukvaruversionen (om inte ett bokmärke, så en bugg)), endast i det här fallet kommer du att kunna förstå mekanismen för detta problem och bli av med raderade data helt.

Jag har inte testat Bleachbit v3.0, problemet kan redan ha åtgärdats.
Bleachbit v2.0 fungerar ärligt.

I det här steget är diskrensningen klar.

[E] Universal backup av krypterade OS

Varje användare har sin egen metod för att säkerhetskopiera data, men krypterad System OS-data kräver en något annorlunda inställning till uppgiften. Unifierad programvara, som Clonezilla och liknande programvara, kan inte fungera direkt med krypterad data.

Uttalande av problemet med att säkerhetskopiera krypterade blockenheter:

universalitet - samma säkerhetskopieringsalgoritm/programvara för Windows/Linux;
möjligheten att arbeta i konsolen med valfri live usb GNU/Linux utan att behöva ladda ner ytterligare programvara (men rekommenderar fortfarande GUI);
säkerhet för säkerhetskopior - lagrade "bilder" måste vara krypterade/lösenordsskyddade;
storleken på de krypterade uppgifterna måste motsvara storleken på de faktiska uppgifterna som kopieras;
bekväm extrahering av nödvändiga filer från en säkerhetskopia (inget krav på att dekryptera hela avsnittet först).

Till exempel, säkerhetskopiera/återställa via verktyget "dd".

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

Det motsvarar nästan alla punkter i uppgiften, men enligt punkt 4 står det inte emot kritik, eftersom det kopierar hela diskpartitionen, inklusive ledigt utrymme - inte intressant.

Till exempel, en GNU/Linux-säkerhetskopia via arkivet [tar" | gpg] är bekvämt, men för säkerhetskopiering av Windows måste du leta efter en annan lösning - det är inte intressant.

E1. Universal Windows/Linux backup. Länk rsync (Grsync)+VeraCrypt volymAlgoritm för att skapa en säkerhetskopia:

skapa en krypterad behållare (volym/fil) VeraCrypt för OS;
överföra/synkronisera operativsystemet med Rsync-programvaran till VeraCrypt-krypteringsbehållaren;
vid behov ladda upp VeraCrypt-volymen till www.

Att skapa en krypterad VeraCrypt-behållare har sina egna egenskaper:
skapa en dynamisk volym (skapandet av DT är endast tillgängligt i Windows, kan även användas i GNU/Linux);
skapa en vanlig volym, men det finns ett krav av "paranoid karaktär" (enligt utvecklaren) – formatering av behållare.

En dynamisk volym skapas nästan omedelbart i Windows, men när du kopierar data från GNU/Linux > VeraCrypt DT, minskar den totala prestandan för säkerhetskopieringen avsevärt.

En vanlig Twofish-volym på 70 GB skapas (låt oss bara säga, i genomsnitt PC-kraft) till hårddisken ~ på en halvtimme (att skriva över tidigare behållardata i ett pass beror på säkerhetskrav). Funktionen att snabbt formatera en volym när den skapas har tagits bort från VeraCrypt Windows/Linux, så att skapa en behållare är endast möjligt genom "one-pass rewriting" eller skapa en lågpresterande dynamisk volym.

Skapa en vanlig VeraCrypt-volym (inte dynamisk/ntfs), det borde inte vara några problem.

Konfigurera/skapa/öppna en behållare i VeraCrypt GUI> GNU/Linux live usb (volymen kommer att automonteras till /media/veracrypt2, Windows OS-volymen kommer att monteras till /media/veracrypt1). Skapa en krypterad säkerhetskopia av Windows OS med GUI rsync (grsync)genom att markera rutorna.

Vänta tills processen är klar. När säkerhetskopieringen är klar kommer vi att ha en krypterad fil.

Skapa på samma sätt en säkerhetskopia av GNU/Linux OS genom att avmarkera kryssrutan "Windows-kompatibilitet" i rsync GUI.

Varning! skapa en Veracrypt-behållare för "GNU/Linux backup" i filsystemet ext4. Om du gör en säkerhetskopia till en ntfs-behållare kommer du att förlora alla rättigheter/grupper till alla dina data när du återställer en sådan kopia.

Alla operationer kan utföras i terminalen. Grundläggande alternativ för rsync:
* -g -spara grupper;
* -P —progress — status för den tid som ägnat åt att arbeta med filen;
* -H - kopiera hårda länkar som de är;
* -a -arkivläge (flera rlptgoD-flaggor);
* -v -verbalisering.

Om du vill montera en "Windows VeraCrypt-volym" via konsolen i cryptsetup-mjukvaran kan du skapa ett alias (su)

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

Nu kommer kommandot "veramount pictures" att uppmana dig att ange en lösenfras, och den krypterade Windows-systemvolymen kommer att monteras i operativsystemet.

Kartlägga/montera VeraCrypt-systemvolymen i kommandot cryptsetup

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

Karta/montera VeraCrypt-partition/-behållare i kommandot cryptsetup

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

Istället för alias kommer vi att lägga till (ett skript för att starta) en systemvolym med Windows OS och en logiskt krypterad ntfs-disk till GNU/Linux-start

Skapa ett skript och spara det i ~/VeraOpen.sh

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

Vi distribuerar de "rätta" rättigheterna:

sudo chmod 100 /VeraOpen.sh

Skapa två identiska filer (samma namn!) i /etc/rc.local och ~/etc/init.d/rc.local
Fyller filerna

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

Vi distribuerar de "rätta" rättigheterna:

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local

Det är det, nu när vi laddar GNU/Linux behöver vi inte ange lösenord för att montera krypterade ntfs-diskar, diskarna monteras automatiskt.

En kort notering om vad som beskrivs ovan i stycke E1 steg för steg (men nu för OS GNU/Linux)
1) Skapa en volym i fs ext4 > 4gb (för fil) Linux i Veracrypt [Cryptbox].
2) Starta om till live usb.
3) ~$ cryptsetup öppen /dev/sda7 Lunux #mapping krypterad partition.
4) ~$ montera /dev/mapper/Linux /mnt #montera den krypterade partitionen till /mnt.
5) ~$ mkdir mnt2 #skapa en katalog för en framtida säkerhetskopia.
6) ~$ cryptsetup open —veracrypt —typ tcrypt ~/CryptoBox CryptoBox && montera /dev/mapper/CryptoBox /mnt2 #Mappa en Veracrypt-volym som heter "CryptoBox" och montera CryptoBox till /mnt2.
7) ~$ rsync -avlxhHX —progress /mnt /mnt2/ #säkerhetskopiering av en krypterad partition till en krypterad Veracrypt-volym.

(p/s/ Varning! Om du överför krypterad GNU/Linux från en arkitektur/maskin till en annan, till exempel Intel > AMD (det vill säga distribuerar en säkerhetskopia från en krypterad partition till en annan krypterad Intel > AMD-partition), glöm inte Efter att ha överfört det krypterade operativsystemet, redigera den hemliga ersättningsnyckeln istället för lösenordet, kanske. den tidigare nyckeln ~/etc/skey - kommer inte längre att passa en annan krypterad partition, och det är inte tillrådligt att skapa en ny nyckel "cryptsetup luksAddKey" under chroot - en glitch är möjlig, bara i ~/etc/crypttab specificera istället för "/etc/skey" tillfälligt "ingen" ", efter ombot och inloggning på operativsystemet, återskapa din hemliga jokerteckennyckel igen).

Som IT-veteraner, kom ihåg att separat göra säkerhetskopior av rubrikerna på krypterade Windows/Linux OS-partitioner, annars kommer krypteringen att vända sig mot dig.
I det här steget är säkerhetskopieringen av det krypterade operativsystemet klar.

[F] Attack på GRUB2 bootloader

detaljerOm du har skyddat din bootloader med en digital signatur och/eller autentisering (se punkt C6.), då skyddar detta inte mot fysisk åtkomst. Krypterad data kommer fortfarande att vara otillgänglig, men skyddet kommer att kringgås (återställ digitalt signaturskydd) GRUB2 tillåter en cyberskurk att injicera sin kod i bootloadern utan att väcka misstankar (såvida inte användaren manuellt övervakar starthanterarens tillstånd eller kommer med sin egen robusta godtyckliga skriptkod för grub.cfg).

Attackalgoritm. Inkräktare

* Startar upp PC från live usb. Någon förändring (lagbrytare) filer kommer att meddela den verkliga ägaren av PC:n om intrånget i bootloadern. Men en enkel ominstallation av GRUB2 med grub.cfg (och den efterföljande möjligheten att redigera den) tillåter en angripare att redigera alla filer (i den här situationen, när GRUB2 laddas, kommer den verkliga användaren inte att meddelas. Statusen är densamma <0>)
* Monterar en okrypterad partition, lagrar "/mnt/boot/grub/grub.cfg".
* Installerar om starthanteraren (tar bort "perskey" från core.img-bilden)

grub-install --force --root-directory=/mnt /dev/sda6

* Returnerar “grub.cfg” > “/mnt/boot/grub/grub.cfg”, redigerar den vid behov, till exempel lägga till din modul “keylogger.mod” till mappen med loader-moduler, i “grub.cfg” > rad "insmod keylogger". Eller, till exempel, om fienden är listig, sedan efter att ha installerat om GRUB2 (alla signaturer finns kvar) den bygger GRUB2-huvudbilden med "grub-mkimage med alternativ (-c)." Alternativet "-c" låter dig ladda din konfiguration innan du laddar huvudet "grub.cfg". Konfigurationen kan bestå av bara en rad: omdirigering till valfri "modern.cfg", blandad till exempel med ~400 filer (moduler+signaturer) i mappen "/boot/grub/i386-pc". I det här fallet kan en angripare infoga godtycklig kod och ladda moduler utan att påverka "/boot/grub/grub.cfg", även om användaren tillämpade "hashsum" på filen och tillfälligt visade den på skärmen.
En angripare behöver inte hacka GRUB2 superanvändarinloggning/lösenord, han behöver bara kopiera raderna (ansvarig för autentisering) "/boot/grub/grub.cfg" till din "modern.cfg"

set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

Och PC-ägaren kommer fortfarande att vara autentiserad som GRUB2-superanvändare.

Kedjebelastning (bootloader laddar en annan bootloader), som jag skrev ovan, är inte vettigt (den är avsedd för ett annat syfte). Krypterad starthanterare kan inte laddas på grund av BIOS (kedjestart startar om GRUB2 > krypterad GRUB2, fel!). Men om du fortfarande använder tanken på kedjeladdning kan du vara säker på att det är den krypterade som laddas. (ej moderniserad) "grub.cfg" från den krypterade partitionen. Och detta är också en falsk känsla av säkerhet, eftersom allt som anges i den krypterade "grub.cfg" (modulladdning) lägger till moduler som laddas från okrypterad GRUB2.

Om du vill kontrollera detta, allokera/kryptera en annan partition sdaY, kopiera GRUB2 till den (grub-installation på en krypterad partition är inte möjlig) och i "grub.cfg" (okrypterad konfiguration) ändra rader som dessa

menuentry 'GRUBx2' --class papegoja --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
ladda_video
insmod gzio
if [ x$grub_plattform = xxen ]; sedan insmod xzio; insmod lzopio; fi
insmod part_msdos
insmod kryptodisk
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
normal /boot/grub/grub.cfg
}

tidsfrister
* insmod - laddar de nödvändiga modulerna för att arbeta med en krypterad disk;
* GRUBx2 - namnet på raden som visas i GRUB2 startmenyn;
* kryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -se. fdisk -l (sda9);
* set root - installera root;
* normal /boot/grub/grub.cfg - körbar konfigurationsfil på en krypterad partition.

Förtroende för att det är den krypterade "grub.cfg" som laddas är ett positivt svar på att ange lösenordet/låsa upp "sdaY" när du väljer raden "GRUBx2" i GRUB-menyn.

När du arbetar i CLI, för att inte bli förvirrad (och kontrollera om miljövariabeln "set root" fungerade), skapa tomma tokenfiler, till exempel i det krypterade avsnittet "/shifr_grub", i det okrypterade avsnittet "/noshifr_grub". Kollar in CLI

cat /Tab-Tab

Som nämnts ovan hjälper detta inte mot nedladdning av skadliga moduler om sådana moduler hamnar på din PC. Till exempel en keylogger som kommer att kunna spara tangenttryckningar till en fil och blanda den med andra filer i "~/i386" tills den laddas ner av en angripare med fysisk åtkomst till datorn.

Det enklaste sättet att verifiera att skyddet av digitala signaturer fungerar aktivt (inte återställt), och ingen har invaderat bootloadern, ange kommandot i CLI

list_trusted

som svar får vi en kopia av vår "perskey", eller så får vi ingenting om vi blir attackerade (du måste också kontrollera "set check_signatures=enforce").
En betydande nackdel med detta steg är att ange kommandon manuellt. Om du lägger till det här kommandot till "grub.cfg" och skyddar konfigurationen med en digital signatur, är den preliminära utmatningen av nyckelögonblicksbilden på skärmen för kort i timing, och du kanske inte har tid att se utdata efter att ha laddat GRUB2 .
Det finns ingen särskild att göra anspråk på: utvecklaren i hans dokumentation klausul 18.2 förklarar officiellt

"Observera att även med GRUB-lösenordsskydd, kan GRUB själv inte hindra någon med fysisk åtkomst till maskinen från att ändra den maskinens firmware-konfiguration (t.ex. Coreboot eller BIOS) för att få maskinen att starta från en annan (angriparkontrollerad) enhet. GRUB är i bästa fall bara en länk i en säker startkedja."

GRUB2 är för överbelastad med funktioner som kan ge en känsla av falsk säkerhet, och dess utveckling har redan överträffat MS-DOS vad gäller funktionalitet, men det är bara en bootloader. Det är lustigt att GRUB2 - "i morgon" kan bli OS, och startbara GNU/Linux virtuella maskiner för det.

En kort video om hur jag återställer GRUB2 digitala signaturskydd och förklarade mitt intrång för en riktig användare (Jag skrämde dig, men istället för det som visas i videon kan du skriva ofarlig godtycklig kod/.mod).

Slutsatser:

1) Blocksystemkryptering för Windows är lättare att implementera, och skydd med ett lösenord är bekvämare än skydd med flera lösenord med GNU/Linux blocksystemkryptering, för att vara rättvis: det senare är automatiserat.

2) Jag skrev artikeln som relevant och detaljerad enkel en guide till full-disk kryptering VeraCrypt/LUKS på ett hem maskinen, som är överlägset bäst i RuNet (IMHO). Guiden är > 50 51 tecken lång, så den täckte inte några intressanta kapitel: kryptografer som försvinner/håller sig i skuggorna; om det faktum att de i olika GNU/Linux-böcker skriver lite/skriver inte om kryptografi; om artikel XNUMX i Ryska federationens konstitution; O licensiering/förbjuda kryptering i Ryska federationen, om varför du behöver kryptera "root/boot". Guiden visade sig vara ganska omfattande, men detaljerad. (beskriver även enkla steg), i sin tur kommer detta att spara dig mycket tid när du kommer till den "riktiga krypteringen".

3) Full diskkryptering utfördes på Windows 7 64; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.

4) Implementerade en framgångsrik attack på hans GRUB2 bootloader.

5) Handledning skapades för att hjälpa alla paranoida människor i CIS, där arbete med kryptering är tillåtet på lagstiftande nivå. Och i första hand för dem som vill rulla ut heldiskkryptering utan att riva sina konfigurerade system.

6) Omarbetade och uppdaterade min manual, som är aktuell 2020.

[G] Användbar dokumentation

TrueCrypt användarhandbok (februari 2012 RU)
VeraCrypt dokumentation
/usr/share/doc/cryptsetup(-run) [lokal resurs] (officiell detaljerad dokumentation om att ställa in GNU/Linux-kryptering med cryptsetup)
Officiell FAQ cryptsetup (kort dokumentation om hur du ställer in GNU/Linux-kryptering med cryptsetup)
LUKS enhetskryptering (archlinux dokumentation)
Detaljerad beskrivning av cryptsetup-syntax (arch man page)
Detaljerad beskrivning av crypttab (arch man page)
Officiell GRUB2-dokumentation.

Taggar: fullständig diskkryptering, partitionskryptering, Linux heldiskkryptering, LUKS1 fullständig systemkryptering.

Endast registrerade användare kan delta i undersökningen. Logga in, Snälla du.

Krypterar du?

17,1%Jag krypterar allt jag kan. Jag är paranoid.14
34,2%Jag krypterar bara viktig data.28
14,6%Ibland krypterar jag, ibland glömmer jag.12
34,2%Nej, jag krypterar inte, det är obekvämt och dyrt.28

82 användare röstade. 22 användare avstod från att rösta.

Källa: will.com

Full diskkryptering av Windows Linux-installerade system. Krypterad multi-boot