🥇Usimbaji fiche kamili wa diski wa mifumo iliyosakinishwa ya Windows Linux. Multiboot Iliyosimbwa kwa Njia Fiche

Ilisasisha mwongozo mwenyewe wa usimbaji fiche wa diski nzima katika RuNet V0.2.

Mkakati wa Cowboy:

[A] Usimbaji fiche wa kuzuia mfumo wa Windows 7 wa mfumo uliosakinishwa;
[B] Usimbaji wa kuzuia mfumo wa GNU/Linux (Debian) mfumo uliowekwa (pamoja na / buti);
[C] usanidi wa GRUB2, ulinzi wa bootloader yenye saini ya dijiti/uthibitishaji/hashing;
[D] kuondoa-uharibifu wa data ambayo haijasimbwa;
[E] nakala rudufu ya ulimwengu wote ya OS iliyosimbwa;
[F] shambulio <kwenye kipengee [C6]> lengo - GRUB2 bootloader;
[G] nyaraka muhimu.

╭───Mchoro wa #chumba 40# :
├──╼ Windows 7 imewekwa - usimbuaji kamili wa mfumo, haujafichwa;
├──╼ GNU/Linux imesakinishwa (Debian na usambazaji wa derivative) - usimbuaji kamili wa mfumo, haujafichwa(/, pamoja na / buti; kubadilishana);
├──╼ vipakuzi vya kujitegemea: Kidhibiti cha bootloader cha VeraCrypt kimewekwa kwenye MBR, GRUB2 bootloader imewekwa katika kizigeu kilichopanuliwa;
├──╼hakuna usakinishaji/usakinishaji upya wa OS;
└──╼programu ya kriptografia iliyotumika: VeraCrypt; Mpangilio wa crypt; GnuPG; Seahorse; Hashdeep; GRUB2 ni bure/bila malipo.

Mpango ulio hapo juu hutatua kwa sehemu tatizo la "boot ya mbali kwa gari la flash", inakuwezesha kufurahia OS iliyosimbwa ya Windows/Linux na kubadilishana data kupitia "chaneli iliyosimbwa" kutoka kwa OS moja hadi nyingine.

Agizo la boot ya PC (moja ya chaguzi):

kuwasha mashine;
kupakia kiboreshaji cha boot cha VeraCrypt (kuingiza nenosiri sahihi kutaendelea kuwasha Windows 7);
kushinikiza kitufe cha "Esc" kitapakia bootloader ya GRUB2;
Kipakiaji cha buti cha GRUB2 (chagua usambazaji/GNU/Linux/CLI), itahitaji uthibitishaji wa mtumiaji mkuu wa GRUB2 <login/password>;
baada ya uthibitishaji wa mafanikio na uteuzi wa usambazaji, utahitaji kuingiza neno la siri ili kufungua "/boot/initrd.img";
baada ya kuingiza nywila zisizo na hitilafu, GRUB2 "itahitaji" kuingia kwa nenosiri (tatu, nenosiri la BIOS au nenosiri la akaunti ya mtumiaji wa GNU/Linux - usizingatie) ili kufungua na kuwasha Mfumo wa Uendeshaji wa GNU/Linux, au kubadilisha kiotomatiki ufunguo wa siri (nenosiri mbili + ufunguo, au nenosiri + ufunguo);
kuingilia kwa nje kwenye usanidi wa GRUB2 kutagandisha mchakato wa kuwasha GNU/Linux.

Matatizo? Sawa, wacha tuendeshe michakato kiotomatiki.

Wakati wa kugawanya gari ngumu (Jedwali la MBR) Kompyuta haiwezi kuwa na sehemu kuu zaidi ya 4, au 3 kuu na moja iliyopanuliwa, pamoja na eneo ambalo halijatengwa. Sehemu iliyopanuliwa, tofauti na ile kuu, inaweza kuwa na vifungu vidogo (anatoa za kimantiki=kizigeu kilichopanuliwa). Kwa maneno mengine, "kizigeu kilichopanuliwa" kwenye HDD kinachukua nafasi ya LVM kwa kazi iliyopo: usimbaji fiche kamili wa mfumo. Ikiwa diski yako imegawanywa katika sehemu kuu 4, unahitaji kutumia lvm, au kubadilisha (na umbizo) sehemu kutoka kuu hadi ya juu, au tumia kwa busara sehemu zote nne na uache kila kitu kama kilivyo, kupata matokeo unayotaka. Hata ikiwa una kizigeu kimoja kwenye diski yako, Gparted itakusaidia kugawanya HDD yako (kwa sehemu za ziada) bila upotezaji wa data, lakini bado na adhabu ndogo kwa vitendo kama hivyo.

Mpango wa mpangilio wa gari ngumu, kuhusiana na ambayo makala yote itatolewa kwa maneno, imewasilishwa kwenye meza hapa chini.

Jedwali (Na. 1) la sehemu za TB 1.

Unapaswa kuwa na kitu kama hicho pia.
sda1 - sehemu kuu No. 1 NTFS (iliyosimbwa);
sda2 - alama ya sehemu iliyopanuliwa;
sda6 - diski ya mantiki (ina bootloader ya GRUB2 imewekwa);
sda8 - kubadilishana (faili ya kubadilishana iliyosimbwa / sio kila wakati);
sda9 - mtihani disk mantiki;
sda5 - disk mantiki kwa curious;
sda7 - GNU/Linux OS (iliyohamishwa OS kwenye diski ya kimantiki iliyosimbwa);
sda3 - sehemu kuu No 2 na Windows 7 OS (iliyosimbwa);
sda4 - sehemu kuu No (ilikuwa na GNU/Linux ambayo haijasimbwa, inayotumika kuhifadhi nakala/sio kila mara).

[A] Usimbaji Fiche wa Kizuizi cha Mfumo wa Windows 7

A1. VeraCrypt

Pakua kutoka tovuti rasmi, au kutoka kwenye kioo sourceforge toleo la usakinishaji wa programu ya kriptografia ya VeraCrypt (wakati wa kuchapishwa kwa kifungu cha v1.24-Update3, toleo linalobebeka la VeraCrypt halifai kwa usimbaji fiche wa mfumo). Angalia hundi ya programu iliyopakuliwa

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

na kulinganisha matokeo na CS iliyochapishwa kwenye tovuti ya msanidi wa VeraCrypt.

Ikiwa programu ya HashTab imesakinishwa, ni rahisi zaidi: RMB (Usanidi wa VeraCrypt 1.24.exe)-mali - jumla ya hash ya faili.

Ili kuthibitisha saini ya programu, programu na ufunguo wa pgp wa umma wa msanidi lazima usakinishwe kwenye mfumo. gnuPG; gpg4win.

A2. Inasakinisha/kuendesha programu ya VeraCrypt yenye haki za msimamizi

A3. Inachagua vigezo vya usimbaji fiche vya mfumo kwa kizigeu kinachotumikaVeraCrypt - Mfumo - Ficha kizigeu cha mfumo / diski - Kawaida - Ficha kizigeu cha mfumo wa Windows - Multiboot - (onyo: “Watumiaji wasio na uzoefu hawapendekezwi kutumia njia hii” na hii ni kweli, tunakubali “Ndiyo”) - Diski ya Boot (“ndio”, hata kama si hivyo, bado “ndiyo”) - Idadi ya diski za mfumo "2 au zaidi" - Mifumo kadhaa kwenye diski moja "Ndio" - Kiboreshaji cha Windows kisicho na Windows "Hapana" (kwa kweli, "Ndio," lakini vipakiaji vya buti vya VeraCrypt/GRUB2 hazitashiriki MBR kati yao; kwa usahihi, ni sehemu ndogo tu ya msimbo wa kipakiaji cha boot iliyohifadhiwa kwenye wimbo wa MBR/boot, sehemu kuu yake ni. iko ndani ya mfumo wa faili) Multiboot - Mipangilio ya Usimbaji ...

Ukikengeuka kutoka kwa hatua zilizo hapo juu (zuia mifumo ya usimbuaji wa mfumo), basi VeraCrypt itatoa onyo na haitakuruhusu kusimba kizigeu.

Katika hatua inayofuata kuelekea ulinzi wa data unaolengwa, fanya "Jaribio" na uchague algoriti ya usimbaji fiche. Ikiwa una CPU iliyopitwa na wakati, basi kuna uwezekano mkubwa kwamba algoriti ya usimbaji yenye kasi zaidi itakuwa Twofish. Ikiwa CPU ni nguvu, utaona tofauti: Usimbaji fiche wa AES, kulingana na matokeo ya mtihani, utakuwa mara kadhaa kwa kasi zaidi kuliko washindani wake wa crypto. AES ni algoriti maarufu ya usimbaji fiche; maunzi ya CPU za kisasa yameboreshwa haswa kwa "siri" na "udukuzi".

VeraCrypt inasaidia uwezo wa kusimba diski kwa njia fiche katika mpororo wa AES(Samaki wawili)/ na mchanganyiko mwingine. Kwenye msingi wa zamani wa Intel CPU kutoka miaka kumi iliyopita (bila usaidizi wa maunzi kwa AES, usimbaji fiche wa A/T) Kupungua kwa utendaji kimsingi hauonekani. (kwa CPU za AMD za enzi sawa/~ vigezo, utendaji umepunguzwa kidogo). Mfumo wa uendeshaji hufanya kazi kwa nguvu na utumiaji wa rasilimali kwa usimbaji fiche wa uwazi hauonekani. Kinyume chake, kwa mfano, kuna upungufu unaoonekana katika utendaji kutokana na mazingira ya eneo-kazi ya majaribio yaliyosakinishwa yasiyobadilika Mate v1.20.1 (au v1.20.2 sikumbuki kabisa) katika GNU/Linux, au kutokana na utendakazi wa utaratibu wa telemetry katika Windows7↑. Kwa kawaida, watumiaji wenye uzoefu hufanya majaribio ya utendaji wa maunzi kabla ya usimbaji fiche. Kwa mfano, katika Aida64/Sysbench/systemd-analyse lawama inalinganishwa na matokeo ya majaribio yale yale baada ya kusimba mfumo kwa njia fiche, na hivyo kukanusha uwongo wao wenyewe kwamba "usimbaji fiche wa mfumo unadhuru." Kupungua kwa kasi kwa mashine na usumbufu huonekana wakati wa kuhifadhi/kurejesha data iliyosimbwa, kwa sababu operesheni yenyewe ya "hifadhi nakala ya data ya mfumo" haipimwi kwa ms, na hizo <decrypt/encrypt on the fly> huongezwa. Hatimaye, kila mtumiaji ambaye anaruhusiwa kucheza na kriptografia husawazisha algoriti ya usimbaji dhidi ya kuridhika kwa kazi zilizopo, kiwango chao cha paranoia, na urahisi wa kutumia.

Ni bora kuacha parameta ya PIM kama chaguo-msingi, ili wakati wa kupakia OS sio lazima uweke maadili halisi ya iteration kila wakati. VeraCrypt hutumia idadi kubwa ya marudio ili kuunda "heshi ya polepole". Shambulio la "konokono ya crypto" kama hiyo kwa kutumia njia ya meza ya nguvu ya Brute / upinde wa mvua ina maana tu na neno la siri fupi "rahisi" na orodha ya charset ya mhasiriwa. Bei ya kulipa kwa nguvu ya nenosiri ni kucheleweshwa kwa kuingiza nenosiri sahihi wakati wa kupakia OS. (kuweka viwango vya VeraCrypt katika GNU/Linux ni haraka sana).
Programu ya bure ya kutekeleza mashambulizi ya nguvu ya kikatili (toa neno la siri kutoka kwa kichwa cha diski cha VeraCrypt/LUKS) Hashcat. John the Ripper hajui jinsi ya "kuvunja Veracrypt", na wakati wa kufanya kazi na LUKS haelewi cryptography ya Twofish.

Kwa sababu ya nguvu ya kriptografia ya algoriti za usimbaji fiche, cypherpunks zisizozuilika zinatengeneza programu yenye vekta tofauti ya kushambulia. Kwa mfano, kutoa metadata/funguo kutoka kwa RAM (shambulio baridi la ufikiaji wa kumbukumbu / kumbukumbu ya moja kwa moja), Kuna programu maalum za bure na zisizo za bure kwa madhumuni haya.

Baada ya kukamilisha kusanidi/kuzalisha "metadata ya kipekee" ya kizigeu amilifu kilichosimbwa kwa njia fiche, VeraCrypt itatoa kuanzisha upya Kompyuta na kujaribu utendakazi wa kipakiaji chake cha kuwasha. Baada ya kuwasha upya/kuanzisha Windows, VeraCrypt itapakia katika hali ya kusubiri, kilichobaki ni kuthibitisha mchakato wa usimbuaji - Y.

Katika hatua ya mwisho ya usimbaji fiche wa mfumo, VeraCrypt itatoa kuunda nakala ya chelezo ya kichwa cha kizigeu kilichosimbwa kwa njia ya "veracrypt kuokoa disk.iso" - hii lazima ifanyike - katika programu hii operesheni kama hiyo ni sharti (katika LUKS, kama hitaji - hii kwa bahati mbaya imeachwa, lakini imesisitizwa katika nyaraka). Diski ya uokoaji itakuja kwa manufaa kwa kila mtu, na kwa baadhi zaidi ya mara moja. Hasara (kichwa/MBR andika upya) nakala rudufu ya kichwa itakataa kabisa ufikiaji wa kizigeu kilichosimbwa na OS Windows.

A4. Inaunda USB/diski ya uokoaji ya VeraCryptKwa chaguo-msingi, VeraCrypt inatoa kuchoma "~2-3MB ya metadata" kwenye CD, lakini si watu wote wana diski au viendeshi vya DWD-ROM, na kuunda kiendeshi cha bootable "VeraCrypt Rescue disk" itakuwa mshangao wa kiufundi kwa baadhi: Rufus /GUIdd-ROSA ImageWriter na programu zingine zinazofanana hazitaweza kukabiliana na kazi hiyo, kwa sababu pamoja na kunakili metadata ya kukabiliana na gari la bootable flash, unahitaji kunakili / kubandika picha nje ya mfumo wa faili wa gari la USB, kwa ufupi, nakili kwa usahihi MBR/barabara hadi kwa keychain. Unaweza kuunda kiendeshi cha bootable kutoka kwa GNU/Linux OS kwa kutumia matumizi ya "dd", ukiangalia ishara hii.

Kuunda diski ya uokoaji katika mazingira ya Windows ni tofauti. Msanidi wa VeraCrypt hakujumuisha suluhisho la shida hii katika rasmi nyaraka na "diski ya uokoaji", lakini alipendekeza suluhisho kwa njia tofauti: alichapisha programu ya ziada ya kuunda "diski ya uokoaji ya usb" kwa upatikanaji wa bure kwenye jukwaa lake la VeraCrypt. Mtunzi wa kumbukumbu wa programu hii kwa Windows ni "kuunda diski ya uokoaji ya veracrypt ya usb". Baada ya kuokoa disk.iso ya uokoaji, mchakato wa usimbuaji wa mfumo wa kuzuia wa ugawaji wa kazi utaanza. Wakati wa usimbaji fiche, uendeshaji wa OS hauachi; kuanzisha upya PC haihitajiki. Baada ya kukamilisha utendakazi wa usimbaji fiche, sehemu inayotumika inakuwa imesimbwa kikamilifu na inaweza kutumika. Ikiwa kipakiaji cha boot cha VeraCrypt haionekani wakati unapoanza PC, na operesheni ya kurejesha kichwa haisaidii, kisha angalia bendera ya "boot", lazima iwekwe kwa kizigeu ambapo Windows iko. (bila kujali usimbaji fiche na OS nyingine, angalia jedwali Na. 1).
Hii inakamilisha maelezo ya usimbaji fiche wa mfumo wa kuzuia na Windows OS.

[B]LUKS. Usimbaji fiche wa GNU/Linux (~Debian) imewekwa OS. Algorithm na Hatua

Ili kusimba kwa njia fiche usambazaji wa Debian/utokanao, unahitaji kuweka ramani ya kizigeu kilichotayarishwa kwenye kifaa cha kuzuia mtandaoni, uhamishe kwenye diski iliyopangwa ya GNU/Linux, na usakinishe/usanidi GRUB2. Ikiwa huna seva ya chuma isiyo wazi, na unathamini wakati wako, basi unahitaji kutumia GUI, na amri nyingi za terminal zilizoelezwa hapa chini zina maana ya kuendeshwa katika "Chuck-Norris mode".

B1. Inaanzisha Kompyuta kutoka kwa usb ya moja kwa moja ya GNU/Linux

"Fanya jaribio la crypto kwa utendaji wa maunzi"

lscpu && сryptsetup benchmark

Ikiwa wewe ni mmiliki mwenye furaha wa gari lenye nguvu na usaidizi wa maunzi ya AES, basi nambari zitaonekana kama upande wa kulia wa terminal; ikiwa wewe ni mmiliki mwenye furaha, lakini ukiwa na vifaa vya zamani, nambari zitaonekana kama upande wa kushoto.

B2. Ugawaji wa diski. kuweka/kufomati fs diski mantiki HDD hadi Ext4 (Iliyogawanywa)

B2.1. Inaunda kichwa cha kizigeu cha sda7 kilichosimbwa kwa njia ficheNitaelezea majina ya kizigeu, hapa na zaidi, kwa mujibu wa jedwali langu la kizigeu lililowekwa hapo juu. Kulingana na mpangilio wa diski yako, lazima ubadilishe majina yako ya kizigeu.

Ramani ya Usimbaji Fiche wa Hifadhi ya Kimantiki (/dev/sda7 > /dev/mapper/sda7_crypt).
#Uundaji rahisi wa "kizigeu cha LUKS-AES-XTS"

cryptsetup -v -y luksFormat /dev/sda7

Chaguo:

* luksFormat - uanzishaji wa kichwa cha LUKS;
* -y -nenosiri (sio ufunguo/faili);
* -v -verbalization (kuonyesha habari katika terminal);
* /dev/sda7 - diski yako ya kimantiki kutoka kwa kizigeu kilichopanuliwa (ambapo imepangwa kuhamisha/simba kwa njia fiche GNU/Linux).

Kanuni-msingi ya usimbaji fiche <LUKS1: aes-xts-plain64, Ufunguo: biti 256, hashing ya kichwa cha LUKS: sha256, RNG: /dev/urandom> (inategemea toleo la cryptsetup).

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

Ikiwa hakuna usaidizi wa maunzi kwa AES kwenye CPU, chaguo bora itakuwa kuunda "LUKS-Twofish-XTS-partition" iliyopanuliwa.

B2.2. Uundaji wa hali ya juu wa "LUKS-Twofish-XTS-partition"

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

Chaguo:
* luksFormat - uanzishaji wa kichwa cha LUKS;
* /dev/sda7 ni diski yako ya baadaye iliyosimbwa kwa njia fiche;
* -v kutamka;
* -y neno la siri;
* -c chagua algoriti ya usimbuaji data;
* -s saizi ya ufunguo wa usimbaji fiche;
* -h hashing algorithm/crypto kazi, RNG imetumika (--tumia-urandom) kutoa ufunguo wa kipekee wa usimbuaji/usimbuaji kwa kichwa cha diski cha mantiki, ufunguo wa kichwa cha pili (XTS); ufunguo mkuu wa kipekee uliohifadhiwa kwenye kichwa cha diski iliyosimbwa kwa njia fiche, ufunguo wa pili wa XTS, metadata hii yote na utaratibu wa usimbaji fiche ambao, kwa kutumia ufunguo mkuu na ufunguo wa pili wa XTS, husimba/kusimbua data yoyote kwenye kizigeu. (isipokuwa kichwa cha sehemu) iliyohifadhiwa katika ~ 3MB kwenye kizigeu cha diski ngumu iliyochaguliwa.
* -i marudio katika milisekunde, badala ya "kiasi" (kuchelewa kwa wakati wakati usindikaji wa neno la siri huathiri upakiaji wa OS na nguvu ya kriptografia ya funguo). Ili kudumisha uwiano wa nguvu za siri, kwa nenosiri rahisi kama "Kirusi" unahitaji kuongeza -(i) thamani; kwa nenosiri changamano kama "?8dƱob/øfh" thamani inaweza kupunguzwa.
* -tumia-urandom jenereta ya nambari isiyo ya kawaida, hutoa funguo na chumvi.

Baada ya kuchora sehemu sda7 > sda7_crypt (operesheni ni ya haraka, kwani kichwa kilichosimbwa kimeundwa na ~ 3 MB ya metadata na hiyo ndiyo yote), unahitaji kufomati na kuweka mfumo wa faili sda7_crypt.

B2.3. Kulinganisha

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

chaguzi:
* fungua - linganisha sehemu "na jina";
* /dev/sda7 -diski ya mantiki;
* sda7_crypt - ramani ya jina ambayo hutumiwa kupachika kizigeu kilichosimbwa au kukianzisha mfumo wa uendeshaji unapowasha.

B2.4. Kuunda mfumo wa faili wa sda7_crypt kuwa ext4. Kuweka diski kwenye OS(Kumbuka: hutaweza kufanya kazi na kizigeu kilichosimbwa kwa njia fiche katika Gparted)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt

chaguzi:
* -v -matamshi;
* -L - lebo ya kiendeshi (ambayo inaonyeshwa katika Explorer kati ya viendeshi vingine).

Ifuatayo, unapaswa kupachika kifaa cha kuzuia kilichosimbwa kwa njia fiche /dev/sda7_crypt kwenye mfumo

mount /dev/mapper/sda7_crypt /mnt

Kufanya kazi na faili kwenye folda ya /mnt kutasimba data kiotomatiki/kusimbua katika sda7.

Ni rahisi zaidi kuweka ramani na kuweka kizigeu katika Explorer (nautilus/caja GUI), kizigeu kitakuwa tayari kwenye orodha ya uteuzi wa diski, kilichobaki ni kuingiza neno la siri ili kufungua/kusimbua diski. Jina linalolingana litachaguliwa kiotomatiki na sio "sda7_crypt", lakini kitu kama /dev/mapper/Luks-xx-xx...

B2.5. Hifadhi rudufu ya kichwa cha diski (~ metadata ya MB 3)Moja ya wengi muhimu shughuli zinazohitaji kufanywa bila kuchelewa - nakala ya chelezo ya kichwa cha "sda7_crypt". Ukibadilisha/kuharibu kichwa (kwa mfano, kusakinisha GRUB2 kwenye kizigeu cha sda7, n.k.), data iliyosimbwa itapotea kabisa bila uwezekano wowote wa kuirejesha, kwa sababu haitawezekana kuzalisha tena funguo sawa; funguo zinaundwa kipekee.

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

chaguzi:
* luksHeaderBackup —header-backup-file -backup amri;
* luksHeaderRestore —header-chelezo-file -rejesha amri;
* ~/Backup_DebSHIFR - faili ya chelezo;
* /dev/sda7 - kizigeu ambacho nakala ya chelezo ya kichwa cha diski iliyosimbwa itahifadhiwa.
Kwa hatua hii <kuunda na kuhariri sehemu iliyosimbwa> imekamilika.

B3. Inaweka GNU/Linux OS (sda4) kwa sehemu iliyosimbwa kwa njia fiche (sda7)

Unda folda /mnt2 (Kumbuka - bado tunafanya kazi na usb moja kwa moja, sda7_crypt imewekwa kwa /mnt), na uweke GNU/Linux yetu katika /mnt2, ambayo inahitaji kusimbwa kwa njia fiche.

mkdir /mnt2
mount /dev/sda4 /mnt2

Tunatekeleza uhamishaji sahihi wa Mfumo wa Uendeshaji kwa kutumia programu ya Rsync

rsync -avlxhHX --progress /mnt2/ /mnt

Chaguo za Rsync zimefafanuliwa katika aya E1.

Ifuatayo inahitajika defragment kizigeu cha diski cha mantiki

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

Ifanye iwe sheria: fanya e4defrag kwenye GNU/LINux iliyosimbwa mara kwa mara ikiwa una HDD.
Uhamishaji na ulandanishi [GNU/Linux > GNU/Linux-iliyosimbwa kwa njia fiche] imekamilika kwa hatua hii.

SAA 4. Kuweka GNU/Linux kwenye kizigeu kilichosimbwa cha sda7

Baada ya kuhamisha kwa mafanikio OS /dev/sda4 > /dev/sda7, unahitaji kuingia kwenye GNU/Linux kwenye kizigeu kilichosimbwa na kutekeleza usanidi zaidi. (bila kuwasha tena PC) kuhusiana na mfumo uliosimbwa. Hiyo ni, kuwa katika usb moja kwa moja, lakini tekeleza amri "zinazohusiana na mzizi wa OS iliyosimbwa." "chroot" itaiga hali kama hiyo. Ili kupokea haraka taarifa kuhusu OS ambayo unafanya nayo kazi kwa sasa (imesimbwa kwa njia fiche au la, kwani data katika sda4 na sda7 imesawazishwa), tenganisha OS. Unda katika saraka za mizizi (sda4/sda7_crypt) faili tupu za alama, kwa mfano, /mnt/encryptedOS na /mnt2/decryptedOS. Angalia kwa haraka ni OS gani unayotumia (pamoja na siku zijazo):

ls /<Tab-Tab>

B4.1. "Uigaji wa kuingia kwenye OS iliyosimbwa"

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. Kuthibitisha kwamba kazi inafanywa dhidi ya mfumo uliosimbwa

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. Kuunda/kusanidi ubadilishaji uliosimbwa, kuhariri crypttab/fstabKwa kuwa faili ya kubadilishana inaumbizwa kila wakati OS inapoanza, haina mantiki kuunda na kubadilisha ramani kwa diski yenye mantiki sasa, na kuandika amri kama ilivyo katika aya B2.2. Kwa Kubadilishana, vitufe vyake vya usimbaji fiche vya muda vitatolewa kiotomatiki kila mwanzo. Mzunguko wa maisha wa vitufe vya kubadilishana: kuteremsha/kushusha sehemu ya kubadilishana (+kusafisha RAM); au anzisha tena OS. Kuanzisha ubadilishanaji, kufungua faili inayohusika na usanidi wa vifaa vilivyosimbwa vya kuzuia (inafanana na faili ya fstab, lakini inawajibika kwa crypto).

nano /etc/crypttab

tunahariri

#"jina lengwa" "kifaa chanzo" "faili muhimu" "chaguo"
wabadilishane /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512

Chaguo
* kubadilishana - jina lililopangwa wakati wa kusimba kwa njia fiche /dev/mapper/swap.
* /dev/sda8 - tumia kizigeu chako cha kimantiki kwa kubadilishana.
* /dev/urandom - jenereta ya funguo za usimbuaji nasibu za kubadilishana (na kila boot mpya ya OS, funguo mpya zinaundwa). Jenereta /dev/urandom ni chini ya nasibu kuliko /dev/nasibu, baada ya yote /dev/random hutumiwa wakati wa kufanya kazi katika hali hatari za paranoid. Wakati wa kupakia OS, /dev/random hupunguza kasi ya upakiaji kwa dakika kadhaa ± (angalia uchanganuzi wa mfumo).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -kizigeu kinajua kuwa kimebadilishwa na kimeumbizwa “kulingana na”; algorithm ya usimbaji fiche.

#Открываем и правим fstab
nano /etc/fstab

tunahariri

# ubadilishaji ulikuwa kwenye / dev / sda8 wakati wa usanikishaji
/dev/mapper/swap hakuna wabadilishane sw 0 0

/dev/mapper/swap ni jina ambalo limewekwa kwenye crypttab.

Ubadilishanaji mbadala uliosimbwa
Ikiwa kwa sababu fulani hutaki kuacha kizigeu kizima kwa faili ya kubadilishana, basi unaweza kuchukua njia mbadala na bora: kuunda faili ya kubadilishana kwenye faili kwenye kizigeu kilichosimbwa na OS.

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

Usanidi wa sehemu ya kubadilishana umekamilika.

B4.4. Kusanidi GNU/Linux iliyosimbwa kwa njia fiche (kuhariri faili za crypttab/fstab)Faili ya /etc/crypttab, kama ilivyoandikwa hapo juu, inaelezea vifaa vya kuzuia vilivyosimbwa ambavyo vimesanidiwa wakati wa kuwasha mfumo.

#правим /etc/crypttab 
nano /etc/crypttab

ikiwa ulilinganisha sda7>sda7_crypt sehemu kama katika aya B2.1

# "jina lengwa" "kifaa cha chanzo" "faili muhimu" "chaguo"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

ikiwa ulilinganisha sda7>sda7_crypt sehemu kama katika aya B2.2

# "jina lengwa" "kifaa cha chanzo" "faili muhimu" "chaguo"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

ikiwa ulilinganisha sehemu ya sda7>sda7_crypt kama ilivyo katika aya B2.1 au B2.2, lakini hutaki kuingiza tena nenosiri ili kufungua na kuwasha OS, basi badala ya nenosiri unaweza kubadilisha ufunguo wa siri/faili isiyo ya kawaida.

# "jina lengwa" "kifaa cha chanzo" "faili muhimu" "chaguo"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

Description
* hakuna - inaripoti kwamba wakati wa kupakia OS, kuingia neno la siri la siri inahitajika ili kufungua mzizi.
* UUID - kitambulisho cha kizigeu. Ili kujua kitambulisho chako, andika kwenye terminal (kumbuka kuwa kuanzia wakati huu kwenda mbele, unafanya kazi katika terminal katika mazingira ya chroot, na sio kwenye terminal nyingine ya usb ya moja kwa moja).

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

laini hii inaonekana wakati wa kuomba blkid kutoka kwa terminal ya usb ya moja kwa moja iliyo na sda7_crypt iliyowekwa).
Unachukua UUID kutoka kwa sdaX yako (si sdaX_crypt!, UUID sdaX_crypt - itaachwa kiotomatiki wakati wa kutengeneza usanidi wa grub.cfg).
* cipher=twofish-xts-plain64,size=512,hash=sha512 -usimbaji fiche wa luks katika hali ya juu.
* /etc/skey - faili ya ufunguo wa siri, ambayo imeingizwa moja kwa moja ili kufungua boot ya OS (badala ya kuingiza nenosiri la 3). Unaweza kubainisha faili yoyote hadi 8MB, lakini data itasomwa <1MB.

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7

Itaonekana kitu kama hiki:

(fanya mwenyewe na ujionee mwenyewe).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab ina maelezo ya maelezo kuhusu mifumo mbalimbali ya faili.

#Правим /etc/fstab
nano /etc/fstab

# "mfumo wa faili" "mahali pa kupachika" "aina" "chaguo" "tupa" "kupita"
# / ilikuwa kwenye / dev / sda7 wakati wa usanikishaji
/dev/mapper/sda7_crypt / ext4 errors=remount-ro 0 1

chaguo
* /dev/mapper/sda7_crypt - jina la sda7>sda7_crypt ramani, ambayo ni maalum katika /etc/crypttab faili.
Usanidi wa crypttab/fstab umekamilika.

B4.5. Kuhariri faili za usanidi. Wakati muhimuB4.5.1. Kuhariri usanidi /etc/initramfs-tools/conf.d/resume

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

na maoni nje (kama ipo) "#" mstari "endelea". Faili lazima iwe tupu kabisa.

B4.5.2. Kuhariri usanidi /etc/initramfs-tools/conf.d/cryptsetup

nano /etc/initramfs-tools/conf.d/cryptsetup

inapaswa kuendana

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=ndiyo
hamisha CRYPTSETUP

B4.5.3. Kuhariri /etc/default/grub usanidi (usanidi huu unawajibika kwa uwezo wa kutengeneza grub.cfg wakati wa kufanya kazi na /boot iliyosimbwa)

nano /etc/default/grub

ongeza mstari "GRUB_ENABLE_CRYPTODISK=y"
value 'y', grub-mkconfig na grub-install itaangalia viendeshi vilivyosimbwa na kutoa amri za ziada zinazohitajika ili kuzifikia wakati wa kuwasha. (insmods ).
lazima kuwe na kufanana

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=vendor"
GRUB_CMDLINE_LINUX="mchemko wa utulivu noautomount"
GRUB_ENABLE_CRYPTODISK=y

B4.5.4. Kuhariri usanidi /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

angalia hiyo mstari ametoa maoni <#>.
Katika siku zijazo (na hata sasa, parameter hii haitakuwa na maana yoyote, lakini wakati mwingine inaingilia uppdatering initrd.img picha).

B4.5.5. Kuhariri usanidi /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

ongeza

KEYFILE_PATTERN=”/etc/skey”
UMASK=0077

Hii itapakia ufunguo wa siri "skey" kwenye initrd.img, ufunguo unahitajika ili kufungua mzizi wakati buti za OS. (ikiwa hutaki kuingiza nenosiri tena, ufunguo wa "skey" unabadilishwa kwa gari).

B4.6. Sasisha /boot/initrd.img [toleo]Ili kupakia ufunguo wa siri kwenye initrd.img na kutumia urekebishaji wa cryptsetup, sasisha picha

update-initramfs -u -k all

wakati wa kusasisha initrd.img (kama wanasema "Inawezekana, lakini sio hakika") maonyo kuhusiana na cryptsetup itaonekana, au, kwa mfano, taarifa kuhusu kupoteza kwa moduli za Nvidia - hii ni ya kawaida. Baada ya kusasisha faili, hakikisha kuwa imesasishwa, angalia wakati (inayohusiana na mazingira ya chroot./boot/initrd.img). Attention! kabla ya [sasisha-initramfs -u -k all] hakikisha uangalie kuwa cryptsetup imefunguliwa /dev/sda7 sda7_crypt - hili ndilo jina linaloonekana katika /etc/crypttab, vinginevyo baada ya kuanza upya kutakuwa na hitilafu ya kisanduku cha busy)
Katika hatua hii, kusanidi faili za usanidi kumekamilika.

[C] Kusakinisha na kusanidi GRUB2/Ulinzi

C1. Ikihitajika, fomati kizigeu kilichojitolea kwa kipakiaji (kizigeu kinahitaji angalau 20MB)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. Panda /dev/sda6 hadi /mntKwa hivyo tunafanya kazi katika chroot, basi hakutakuwa na saraka /mnt2 kwenye mzizi, na folda ya /mnt itakuwa tupu.
weka kizigeu cha GRUB2

mount /dev/sda6 /mnt

Ikiwa unayo toleo la zamani la GRUB2 iliyosanikishwa, kwenye saraka ya /mnt/boot/grub/i-386-pc (jukwaa lingine linawezekana, kwa mfano, sio "i386-pc") hakuna moduli za crypto (kwa ufupi, folda inapaswa kuwa na moduli, ikiwa ni pamoja na hizi .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), katika kesi hii, GRUB2 inahitaji kutikiswa.

apt-get update
apt-get install grub2

Muhimu! Wakati wa kusasisha kifurushi cha GRUB2 kutoka kwa hazina, unapoulizwa "kuhusu kuchagua" mahali pa kusanikisha bootloader, lazima ukatae usakinishaji. (sababu - jaribu kusakinisha GRUB2 - katika "MBR" au kwenye usb ya moja kwa moja). Vinginevyo utaharibu kichwa/ kipakiaji cha VeraCrypt. Baada ya kusasisha vifurushi vya GRUB2 na kughairi usakinishaji, kipakiaji cha boot lazima kiwekewe kwa mikono kwenye diski ya mantiki, na si kwenye MBR. Ikiwa hazina yako ina toleo la zamani la GRUB2, jaribu sasisha inatoka kwa tovuti rasmi - sijaikagua (ilifanya kazi na vipakiaji vya hivi punde zaidi vya GRUB 2.02 ~BetaX).

C3. Kufunga GRUB2 kwenye kizigeu kilichopanuliwa [sda6]Ni lazima uwe na kizigeu kilichopachikwa [kipengee C.2]

grub-install --force --root-directory=/mnt /dev/sda6

chaguo
* -lazimisha - usakinishaji wa bootloader, kupita maonyo yote ambayo karibu kila mara yapo na kuzuia usakinishaji (bendera inayohitajika).
* --root-directory - usakinishaji wa saraka kwa mzizi wa sda6.
* /dev/sda6 - kizigeu chako cha sdaХ (usikose <space> kati ya /mnt /dev/sda6).

C4. Kuunda faili ya usanidi [grub.cfg]Sahau kuhusu amri ya "sasisha-grub2", na utumie amri kamili ya kutengeneza faili ya usanidi

grub-mkconfig -o /mnt/boot/grub/grub.cfg

baada ya kukamilisha kutengeneza/kusasisha faili ya grub.cfg, terminal ya pato inapaswa kuwa na laini (s) na OS inayopatikana kwenye diski. ("grub-mkconfig" labda itapata na kuchukua OS kutoka kwa usb hai, ikiwa una gari la multiboot flash na Windows 10 na rundo la usambazaji wa moja kwa moja - hii ni kawaida). Ikiwa terminal ni "tupu" na faili ya "grub.cfg" haijatolewa, basi hii ni kesi sawa wakati kuna mende za GRUB kwenye mfumo. (na uwezekano mkubwa wa kipakiaji kutoka kwa tawi la jaribio la hazina), sakinisha tena GRUB2 kutoka kwa vyanzo vinavyoaminika.
Ufungaji wa "usanidi rahisi" na usanidi wa GRUB2 umekamilika.

C5. Jaribio la uthibitisho wa Mfumo wa Uendeshaji wa GNU/Linux uliosimbwa kwa njia ficheTunakamilisha misheni ya crypto kwa usahihi. Acha kwa uangalifu GNU/Linux iliyosimbwa kwa njia fiche (toka kwenye mazingira ya chroot).

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

Baada ya kuwasha tena PC, kiboreshaji cha boot cha VeraCrypt kinapaswa kupakia.

*Kuingiza nenosiri la kizigeu amilifu kitaanza kupakia Windows.
*Kubonyeza kitufe cha "Esc" kutahamisha udhibiti kwa GRUB2, ukichagua GNU/Linux iliyosimbwa - nenosiri (sda7_crypt) litahitajika ili kufungua /boot/initrd.img (ikiwa grub2 inaandika uuid "haijapatikana" - hii ni shida na grub2 bootloader, inapaswa kusanikishwa tena, kwa mfano, kutoka kwa tawi la jaribio/imara n.k.).

*Kulingana na jinsi ulivyosanidi mfumo (angalia aya B4.4/4.5), baada ya kuingiza nenosiri sahihi ili kufungua picha ya /boot/initrd.img, utahitaji nenosiri ili kupakia OS kernel/root, au siri. ufunguo utabadilishwa kiotomatiki " skey", kuondoa hitaji la kuingiza tena neno la siri.

(skrini "badala ya kiotomatiki ya ufunguo wa siri").

*Inayofuata itakuwa mchakato unaojulikana wa kupakia GNU/Linux na uthibitishaji wa akaunti ya mtumiaji.

*Baada ya idhini ya mtumiaji na kuingia kwenye OS, unahitaji kusasisha /boot/initrd.img tena (tazama B4.6).

update-initramfs -u -k all

Na ikiwa kuna mistari ya ziada kwenye menyu ya GRUB2 (kutoka kwa kuchukua OS-m na usb moja kwa moja) waondoe

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

Muhtasari wa haraka wa usimbaji fiche wa mfumo wa GNU/Linux:

GNU/Linuxinux imesimbwa kikamilifu, ikijumuisha /boot/kernel na initrd;
ufunguo wa siri umefungwa katika initrd.img;
mpango wa idhini ya sasa (kuingiza nenosiri ili kufungua initrd; nenosiri/ufunguo wa kuwasha OS; nenosiri la kuidhinisha akaunti ya Linux).

"Usanidi Rahisi wa GRUB2" usimbaji fiche wa mfumo wa kizigeu cha kuzuia umekamilika.

C6. Usanidi wa hali ya juu wa GRUB2. Ulinzi wa bootloader na saini ya dijiti + ulinzi wa uthibitishajiGNU/Linux imesimbwa kabisa, lakini bootloader haiwezi kusimbwa - hali hii inatajwa na BIOS. Kwa sababu hii, buti iliyosimbwa kwa minyororo ya GRUB2 haiwezekani, lakini buti rahisi iliyofungwa inawezekana / inapatikana, lakini kutoka kwa mtazamo wa usalama sio lazima [tazama. P. F].
Kwa GRUB2 "inayoweza kuathiriwa", wasanidi programu walitekeleza algoriti ya ulinzi wa kipakiaji cha kuanza "saini/uthibitishaji".

Wakati kipakiaji kipya kinalindwa na "saini yake ya dijiti," urekebishaji wa nje wa faili, au jaribio la kupakia moduli za ziada kwenye kipakiaji hiki, itasababisha mchakato wa kuwasha kuzuiwa.
Wakati wa kulinda bootloader na uthibitishaji, ili kuchagua kupakia usambazaji, au kuingia amri za ziada katika CLI, utahitaji kuingia kuingia na nenosiri la superuser-GRUB2.

C6.1. Ulinzi wa uthibitishaji wa BootloaderAngalia kuwa unafanya kazi kwenye terminal kwenye OS iliyosimbwa

ls /<Tab-Tab> #обнаружить файл-маркер

unda nenosiri la mtumiaji mkuu kwa idhini katika GRUB2

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя.

Pata heshi ya nenosiri. Kitu kama hiki

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

weka kizigeu cha GRUB

mount /dev/sda6 /mnt

hariri usanidi

nano -$ /mnt/boot/grub/grub.cfg

angalia utafutaji wa faili kwamba hakuna bendera popote katika "grub.cfg" ("-isiyo na vikwazo" "-mtumiaji",
ongeza mwisho kabisa (kabla ya mstari ### END /etc/grub.d/41_custom ###)
"weka superusers="mizizi"
password_pbkdf2 mizizi heshi."

Inapaswa kuwa kitu kama hiki

# Faili hii hutoa njia rahisi ya kuongeza maingizo ya menyu maalum. Chapa tu
Maingizo # ya menyu ambayo ungependa kuongeza baada ya maoni haya. Kuwa mwangalifu usibadilike
# mstari wa 'mkia wa kufanya' hapo juu.
### MWISHO /etc/grub.d/40_custom ###

### ANZA /etc/grub.d/41_custom ###
ikiwa [ -f ${config_directory}/custom.cfg ]; basi
chanzo ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; basi
chanzo $prefix/custom.cfg;
fi
weka superusers="mizizi"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### MWISHO /etc/grub.d/41_custom ###
#

Ikiwa mara nyingi unatumia amri "grub-mkconfig -o /mnt/boot/grub/grub.cfg" na hutaki kufanya mabadiliko kwenye grub.cfg kila wakati, weka mistari iliyo hapo juu. (Ingia: Nenosiri) kwenye hati ya mtumiaji wa GRUB chini kabisa

nano /etc/grub.d/41_custom

paka <<EOF
weka superusers="mizizi"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

Wakati wa kuunda usanidi "grub-mkconfig -o /mnt/boot/grub/grub.cfg", mistari inayohusika na uthibitishaji itaongezwa kiotomatiki kwenye grub.cfg.
Hatua hii inakamilisha usanidi wa uthibitishaji wa GRUB2.

C6.2. Ulinzi wa bootloader na sahihi ya dijitiInachukuliwa kuwa tayari unayo ufunguo wako wa usimbaji wa pgp wa kibinafsi (au unda ufunguo kama huo). Mfumo lazima uwe na programu ya kriptografia iliyosakinishwa: gnuPG; kleopatra/GPA; Seahorse. Programu ya Crypto itafanya maisha yako kuwa rahisi zaidi katika mambo yote kama haya. Seahorse - toleo la kudumu la mfuko 3.14.0 (matoleo ya juu zaidi, kwa mfano, V3.20, yana kasoro na yana hitilafu kubwa).

Kitufe cha PGP kinahitaji kuzalishwa/kuzinduliwa/kuongezwa katika mazingira ya su!

Tengeneza ufunguo wa usimbaji wa kibinafsi

gpg - -gen-key

Hamisha ufunguo wako

gpg --export -o ~/perskey

Panda diski ya mantiki kwenye OS ikiwa haijawekwa tayari

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

safisha kizigeu cha GRUB2

rm -rf /mnt/

Sakinisha GRUB2 katika sda6, ukiweka ufunguo wako wa kibinafsi kwenye picha kuu ya GRUB "core.img"

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

chaguo
* --force - sakinisha bootloader, ukipita maonyo yote ambayo yapo kila wakati (bendera inayohitajika).
* —modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - inaelekeza GRUB2 kupakia mapema moduli zinazohitajika Kompyuta inapoanza.
* -k ~/perskey -njia kwa "ufunguo wa PGP" (baada ya kufunga ufunguo kwenye picha, inaweza kufutwa).
* --root-directory -weka saraka ya buti kwenye mzizi wa sda6
/dev/sda6 - kizigeu chako cha sdaX.

Inazalisha/kusasisha grub.cfg

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

Ongeza mstari "trust /boot/grub/perskey" hadi mwisho wa faili ya "grub.cfg" (lazimisha matumizi ya ufunguo wa pgp.) Kwa kuwa tulisakinisha GRUB2 na seti ya moduli, ikijumuisha moduli ya sahihi "signature_test.mod", hii inaondoa hitaji la kuongeza amri kama vile "weka check_signatures=enforce" kwenye usanidi.

Inapaswa kuonekana kama hii (mistari ya mwisho katika faili ya grub.cfg)

### ANZA /etc/grub.d/41_custom ###
ikiwa [ -f ${config_directory}/custom.cfg ]; basi
chanzo ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; basi
chanzo $prefix/custom.cfg;
fi
uaminifu /boot/grub/perskey
weka superusers="mizizi"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### MWISHO /etc/grub.d/41_custom ###
#

Njia ya "/boot/grub/perskey" haiitaji kuelekezwa kwa kizigeu maalum cha diski, kwa mfano hd0,6; kwa bootloader yenyewe, "mizizi" ndio njia chaguo-msingi ya kizigeu ambacho GRUB2 imewekwa. (tazama set rot=..).

Inatia saini GRUB2 (faili zote katika saraka zote / GRUB) na ufunguo wako "perskey".
Suluhisho rahisi juu ya jinsi ya kusaini (kwa mvumbuzi wa nautilus/caja): sakinisha kiendelezi cha "seahorse" kwa Explorer kutoka kwenye hazina. Ufunguo wako lazima uongezwe kwenye mazingira ya su.
Fungua Kivinjari na sudo "/mnt/boot" - RMB - saini. Kwenye skrini inaonekana kama hii

Ufunguo wenyewe ni "/mnt/boot/grub/perskey" (nakala kwa saraka ya grub) lazima pia isainiwe na sahihi yako mwenyewe. Hakikisha kwamba saini za faili za [*.sig] zinaonekana kwenye saraka/saraka ndogo.
Kwa kutumia njia iliyoelezwa hapo juu, saini "/ boot" (kernel yetu, initrd). Ikiwa wakati wako unastahili chochote, basi njia hii huondoa hitaji la kuandika hati ya bash kusaini "faili nyingi."

Ili kuondoa saini zote za bootloader (ikiwa kuna kitu kimeenda vibaya)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

Ili sio kusaini bootloader baada ya kusasisha mfumo, tunafungia vifurushi vyote vya sasisho vinavyohusiana na GRUB2.

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

Katika hatua hii <protect bootloader na sahihi dijitali> usanidi wa juu wa GRUB2 umekamilika.

C6.3. Jaribio la uthibitisho wa bootloader ya GRUB2, iliyolindwa na saini ya dijiti na uthibitishajiGRUB2. Wakati wa kuchagua usambazaji wowote wa GNU/Linux au kuingiza CLI (mstari wa amri) Uidhinishaji wa mtumiaji mkuu utahitajika. Baada ya kuingiza jina la mtumiaji/nenosiri sahihi, utahitaji nenosiri la initrd

Picha ya skrini ya uthibitishaji uliofanikiwa wa mtumiaji mkuu wa GRUB2.

Ukibadilisha faili zozote za GRUB2/ukifanya mabadiliko kwenye grub.cfg, au kufuta faili/saini, au kupakia moduli mbaya ya moduli, onyo sambamba litatokea. GRUB2 itasitisha upakiaji.

Picha ya skrini, jaribio la kuingilia kati na GRUB2 "kutoka nje".

Wakati wa uanzishaji wa "kawaida" "bila kuingilia", hali ya msimbo wa kutoka kwa mfumo ni "0". Kwa hivyo, haijulikani ikiwa ulinzi hufanya kazi au la (Hiyo ni, "na au bila ulinzi wa saini ya bootloader" wakati wa upakiaji wa kawaida hali ni sawa "0" - hii ni mbaya).

Jinsi ya kuangalia ulinzi wa saini ya dijiti?

Njia isiyofaa ya kuangalia: bandia / kuondoa moduli inayotumiwa na GRUB2, kwa mfano, ondoa saini luks.mod.sig na upate hitilafu.

Njia sahihi: nenda kwa CLI ya bootloader na uandike amri

trust_list

Kwa kujibu, unapaswa kupokea alama ya kidole ya "perskey"; ikiwa hali ni "0," basi ulinzi wa sahihi haufanyi kazi, angalia mara mbili aya ya C6.2.
Katika hatua hii, usanidi wa juu "Kulinda GRUB2 na saini ya digital na uthibitishaji" imekamilika.

C7 Njia Mbadala ya kulinda bootloader ya GRUB2 kwa kutumia hashingMbinu ya "CPU Boot Loader Ulinzi/Uthibitishaji" iliyoelezwa hapo juu ni ya kawaida. Kutokana na kutokamilika kwa GRUB2, katika hali ya paranoid inakabiliwa na mashambulizi ya kweli, ambayo nitatoa hapa chini katika aya [F]. Kwa kuongeza, baada ya kusasisha OS/kernel, bootloader lazima isainiwe tena.

Kulinda bootloader ya GRUB2 kwa kutumia hashing

Manufaa juu ya classics:

Kiwango cha juu cha kuegemea (hashing/uthibitishaji hufanyika tu kutoka kwa rasilimali ya ndani iliyosimbwa. Sehemu nzima iliyotengwa chini ya GRUB2 inadhibitiwa kwa mabadiliko yoyote, na kila kitu kingine kimesimbwa kwa njia fiche; katika mpango wa kawaida wenye ulinzi/Uthibitishaji wa kipakiaji cha CPU, faili pekee ndizo zinazodhibitiwa, lakini sio bure. nafasi, ambayo "kitu" kitu kibaya" kinaweza kuongezwa).
Uwekaji kumbukumbu kwa njia fiche (logi iliyosimbwa kwa njia fiche inayoweza kusomeka na binadamu imeongezwa kwenye mpango).
Kasi (ulinzi/uthibitishaji wa kizigeu kizima kilichotengwa kwa ajili ya GRUB2 hutokea karibu mara moja).
Otomatiki ya michakato yote ya kriptografia.

Hasara juu ya classics.

Kughushi saini (kinadharia, inawezekana kupata mgongano wa utendaji wa hashi uliopeanwa).
Kuongezeka kwa kiwango cha ugumu (ikilinganishwa na classic, ujuzi zaidi kidogo katika GNU/Linux OS unahitajika).

Jinsi wazo la GRUB2/partition hashing linavyofanya kazi

Sehemu ya GRUB2 "imesainiwa"; wakati buti za OS, kizigeu cha kipakiaji cha boot kinaangaliwa kwa kutoweza kubadilika, ikifuatiwa na kuingia katika mazingira salama (yaliyosimbwa). Ikiwa bootloader au kizigeu chake kimeathiriwa, pamoja na logi ya kuingilia, zifuatazo zinazinduliwa:

Jambo.

Cheki sawa hutokea mara nne kwa siku, ambayo haipakia rasilimali za mfumo.
Kutumia amri ya "-$ check_GRUB", hundi ya papo hapo hutokea wakati wowote bila kuingia, lakini kwa pato la habari kwa CLI.
Kwa kutumia amri "-$ sudo signature_GRUB", kipakiaji/kizigeu cha buti cha GRUB2 kinatiwa saini mara moja na ukataji wake uliosasishwa. (muhimu baada ya sasisho la OS/boot), na maisha yanaendelea.

Utekelezaji wa njia ya hashing kwa bootloader na sehemu yake

0) Wacha tusaini kiboreshaji cha GRUB/kizigeu kwa kuiweka kwanza kwenye /media/jina la mtumiaji

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) Tunaunda hati bila kiendelezi katika mzizi wa OS ~/podpis iliyosimbwa, tumia haki zinazohitajika za usalama za 744 na ulinzi dhidi yake.

Kujaza yaliyomo

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

Endesha hati kutoka su, hashing ya kizigeu cha GRUB na bootloader yake itaangaliwa, ila logi.

Hebu tuunde au tunakili, kwa mfano, "faili hasidi" [virus.mod] kwenye kizigeu cha GRUB2 na tufanye uchunguzi/jaribio la muda:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

CLI lazima ione uvamizi wa ngome yetu-#Ingia iliyopunguzwa katika CLI

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

#Kama unavyoona, "Faili zimesogezwa: 1 na Ukaguzi haukufaulu" inaonekana, ambayo inamaanisha kuwa ukaguzi haukufaulu.
Kwa sababu ya hali ya kizigeu kinachojaribiwa, badala ya "Faili mpya zimepatikana"> "Faili zimehamishwa"

2) Weka gif hapa > ~/warning.gif, weka ruhusa kwa 744.

3) Inasanidi fstab ili kuweka kiotomatiki kizigeu cha GRUB kwenye buti

-$ sudo nano /etc/fstab

LABEL=GRUB /media/username/GRUB ext4 chaguomsingi 0 0

4) Kuzungusha logi

-$ sudo nano /etc/logrotate.d/podpis

/var/log/podpis.txt {
kila siku
zungusha 50
saizi 5M
maandishi ya tarehe
comprimir
kuchelewesha
olddir /var/log/old
}

/var/log/vtorjenie.txt {
kila mwezi
zungusha 5
saizi 5M
maandishi ya tarehe
olddir /var/log/old
}

5) Ongeza kazi kwa cron

-$ sudo crontab -e

reboot '/usajili'
0 */6 * * * '/podpis

6) Kutengeneza lakabu za kudumu

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

Baada ya sasisho la OS -$ apt-get upgrade saini tena kizigeu chetu cha GRUB
-$ подпись_GRUB
Kwa wakati huu, ulinzi wa hashing wa kizigeu cha GRUB umekamilika.

[D] Kufuta - uharibifu wa data ambayo haijasimbwa

Futa faili zako za kibinafsi kabisa hivi kwamba “hata Mungu hawezi kuzisoma,” kulingana na msemaji wa South Carolina Trey Gowdy.

Kama kawaida, kuna "hadithi na hekaya", kuhusu kurejesha data baada ya kufutwa kutoka kwa gari ngumu. Ikiwa unaamini katika uchawi wa mtandaoni, au ni mwanachama wa jumuiya ya wavuti ya Dk na hujawahi kujaribu kurejesha data baada ya kufutwa / kufutwa. (kwa mfano, kupona kwa kutumia R-studio), basi njia iliyopendekezwa haiwezekani kukufaa, tumia kile kilicho karibu nawe.

Baada ya kuhamisha GNU/Linux kwa mafanikio kwa sehemu iliyosimbwa, nakala ya zamani lazima ifutwe bila uwezekano wa kurejesha data. Njia ya kusafisha ya jumla: programu ya Windows/Linux bila malipo ya GUI BleachBit.
Haraka tengeneza sehemu, data ambayo inahitaji kuharibiwa (kupitia Gparted) uzindua BleachBit, chagua "Safisha nafasi ya bure" - chagua kizigeu (sdaX yako na nakala ya awali ya GNU/Linux), mchakato wa kujivua utaanza. BleachBit - inafuta diski kwa njia moja - hii ndio "tunahitaji", Lakini! Hii inafanya kazi kwa nadharia tu ikiwa ulipanga diski na kuitakasa katika programu ya BB v2.0.

Attention! BB hufuta diski, na kuacha metadata; majina ya faili huhifadhiwa wakati data imeondolewa (Ccleaner - haiachi metadata).

Na hadithi juu ya uwezekano wa kurejesha data sio hadithi kabisa.Bleachbit V2.0-2 kifurushi cha zamani cha OS Debian kisicho thabiti (na programu nyingine yoyote inayofanana: sfill; futa-Nautilus - pia ziligunduliwa katika biashara hii chafu) kwa kweli ilikuwa na mdudu muhimu: kazi ya "kusafisha nafasi ya bure". inafanya kazi kimakosa kwenye viendeshi vya HDD/Flash (ntfs/ext4). Programu ya aina hii, wakati wa kufuta nafasi ya bure, haina kufuta diski nzima, kama watumiaji wengi wanavyofikiri. Na baadhi (mengi) data iliyofutwa OS/programu huchukulia data hii kama data isiyofutwa/ya mtumiaji na inaposafisha "OSP" inaruka faili hizi. Shida ni kwamba baada ya muda mrefu, kusafisha diski "faili zilizofutwa" zinaweza kurejeshwa hata baada ya kupita 3+ ya kuifuta diski.
Kwenye GNU/Linux huko Bleachbit 2.0-2 Kazi za kufuta kabisa faili na saraka hufanya kazi kwa uhakika, lakini si kufuta nafasi ya bure. Kwa kulinganisha: kwenye Windows katika CCleaner kitendakazi cha "OSP kwa ntfs" hufanya kazi ipasavyo, na Mungu kwa kweli hataweza kusoma data iliyofutwa.

Na hivyo, kuondoa kabisa "kukubaliana" data ya zamani ambayo haijasimbwa, Bleachbit inahitaji ufikiaji wa moja kwa moja kwa data hii, kisha, tumia kitendakazi cha "futa faili/saraka" kabisa.
Ili kuondoa "faili zilizofutwa kwa kutumia zana za kawaida za OS" kwenye Windows, tumia CCleaner/BB na chaguo la kukokotoa la "OSP". Katika GNU/Linux juu ya shida hii (Futa faili zilizofutwa) unahitaji kupata mazoezi peke yako (kufuta data + jaribio la kujitegemea la kuirejesha na hupaswi kutegemea toleo la programu (ikiwa sio alamisho, basi mdudu)), tu katika kesi hii utaweza kuelewa utaratibu wa tatizo hili na uondoe data iliyofutwa kabisa.

Sijajaribu Bleachbit v3.0, shida inaweza kuwa tayari imesuluhishwa.
Bleachbit v2.0 inafanya kazi kwa uaminifu.

Katika hatua hii, kufuta diski kumekamilika.

[E] Hifadhi rudufu ya jumla ya OS iliyosimbwa

Kila mtumiaji ana njia yake ya kuhifadhi nakala za data, lakini data iliyosimbwa ya Mfumo wa Uendeshaji inahitaji mbinu tofauti kidogo ya kazi. Programu iliyounganishwa, kama vile Clonezilla na programu sawa, haiwezi kufanya kazi moja kwa moja na data iliyosimbwa.

Taarifa ya tatizo la kuhifadhi nakala za vifaa vya kuzuia vilivyosimbwa kwa njia fiche:

ulimwengu - algorithm / programu ya chelezo sawa ya Windows / Linux;
uwezo wa kufanya kazi katika kiweko na usb yoyote ya moja kwa moja ya GNU/Linux bila hitaji la upakuaji wa ziada wa programu (lakini bado pendekeza GUI);
usalama wa nakala za chelezo - "picha" zilizohifadhiwa lazima zisimbwe/zilindwe-nenosiri;
saizi ya data iliyosimbwa lazima ilingane na saizi ya data halisi inayonakiliwa;
uchimbaji rahisi wa faili muhimu kutoka kwa nakala rudufu (hakuna hitaji la kusimbua sehemu nzima kwanza).

Kwa mfano, chelezo/rejesha kupitia matumizi ya "dd".

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

Inalingana na karibu pointi zote za kazi, lakini kwa mujibu wa hatua ya 4 haisimama kwa upinzani, kwa kuwa inakili sehemu nzima ya disk, ikiwa ni pamoja na nafasi ya bure - sio ya kuvutia.

Kwa mfano, chelezo ya GNU/Linux kupitia kiweka kumbukumbu [tar" | gpg] ni rahisi, lakini kwa chelezo ya Windows unahitaji kutafuta suluhisho lingine - haipendezi.

E1. Hifadhi nakala ya Windows/Linux ya Universal. Unganisha rsync (Grsync)+VeraCrypt kiasiAlgorithm ya kuunda nakala rudufu:

kuunda chombo kilichosimbwa kwa njia fiche (kiasi/faili) VeraCrypt kwa OS;
kuhamisha/kusawazisha Mfumo wa Uendeshaji kwa kutumia programu ya Rsync kwenye chombo cha crypto cha VeraCrypt;
ikiwa ni lazima, kupakia kiasi cha VeraCrypt kwa www.

Kuunda kontena iliyosimbwa kwa njia fiche ya VeraCrypt ina sifa zake:
kuunda kiasi cha nguvu (uundaji wa DT unapatikana katika Windows pekee, unaweza pia kutumika katika GNU/Linux);
kuunda kiasi cha kawaida, lakini kuna hitaji la "mhusika paranoid" (kulingana na msanidi programu) - muundo wa chombo.

Kiasi kinachobadilika kinaundwa karibu mara moja katika Windows, lakini wakati wa kunakili data kutoka kwa GNU/Linux > VeraCrypt DT, utendaji wa jumla wa operesheni ya chelezo hupungua kwa kiasi kikubwa.

Kiasi cha kawaida cha GB 70 cha Twofish kinaundwa (wacha tuseme, kwa wastani wa nguvu ya PC) to HDD ~ kwa nusu saa (kubadilisha data ya kontena ya zamani katika pasi moja ni kwa sababu ya mahitaji ya usalama). Kazi ya uundaji wa haraka wa kiasi wakati wa kuunda imeondolewa kwenye VeraCrypt Windows/Linux, hivyo kuunda chombo kunawezekana tu kupitia "kuandika upya kwa pasi moja" au kuunda kiasi cha chini cha utendaji.

Unda sauti ya kawaida ya VeraCrypt (si dynamic/ntfs), haipaswi kuwa na matatizo yoyote.

Sanidi/unda/fungua kontena katika VeraCrypt GUI> GNU/Linux live usb (kiasi kitawekwa kiotomatiki kwa /media/veracrypt2, kiasi cha Windows OS kitawekwa kwenye /media/veracrypt1). Kuunda nakala rudufu iliyosimbwa kwa Windows OS kwa kutumia rsync ya GUI (grsync)kwa kuangalia masanduku.

Subiri mchakato ukamilike. Mara tu uhifadhi utakapokamilika, tutakuwa na faili moja iliyosimbwa kwa njia fiche.

Vile vile, unda nakala rudufu ya Mfumo wa Uendeshaji wa GNU/Linux kwa kubatilisha tiki kisanduku cha kuteua cha "Upatanifu wa Windows" kwenye rsync GUI.

Attention! unda chombo cha Veracrypt kwa ajili ya "Chelezo ya GNU/Linux" katika mfumo wa faili ext4. Ukihifadhi nakala kwenye chombo cha ntfs, basi unaporejesha nakala kama hiyo, utapoteza haki/vikundi vyote kwa data yako yote.

Unaweza kufanya shughuli zote kwenye terminal. Chaguzi za kimsingi za rsync:
* -g -okoa vikundi;
* -P -maendeleo - hali ya muda uliotumika kufanya kazi kwenye faili;
* -H - nakili viungo vikali kama ilivyo;
* -a -achie hali (bendera nyingi za rlptgoD);
* -v -matamshi.

Ikiwa unataka kuweka "kiasi cha Windows VeraCrypt" kupitia kiweko kwenye programu ya kuweka cryptset, unaweza kuunda lakabu (su)

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

Sasa amri ya "picha nyingi" itakuhimiza kuingiza neno la siri, na kiasi cha mfumo wa Windows kilichosimbwa kitawekwa kwenye OS.

Ramani/weka kiasi cha mfumo wa VeraCrypt katika amri ya kuweka mipangilio ya siri

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

Ramani/mlima kizigeu/chombo cha VeraCrypt katika amri ya usanidi wa cryptset

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

Badala ya lakabu, tutaongeza (hati ya kuanza) kiasi cha mfumo na Windows OS na diski ya ntfs iliyosimbwa kimantiki kwenye uanzishaji wa GNU/Linux.

Unda hati na uihifadhi ndani ~/VeraOpen.sh

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

Tunasambaza haki "sahihi":

sudo chmod 100 /VeraOpen.sh

Unda faili mbili zinazofanana (jina moja!) katika /etc/rc.local na ~/etc/init.d/rc.local
Kujaza faili

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

Tunasambaza haki "sahihi":

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local

Hiyo ndiyo yote, sasa wakati wa kupakia GNU/Linux hatuhitaji kuingiza nywila ili kuweka diski za ntfs zilizosimbwa, diski zimewekwa kiotomatiki.

Ujumbe mfupi juu ya kile kilichoelezewa hapo juu katika aya ya E1 hatua kwa hatua (lakini sasa kwa OS GNU/Linux)
1) Unda sauti katika fs ext4 > 4gb (kwa faili) Linux katika Veracrypt [Cryptbox].
2) Washa upya ili kuishi usb.
3) ~$ cryptsetup open /dev/sda7 Lunux #mapping partition encrypted.
4) ~$ weka /dev/mapper/Linux /mnt #weka kizigeu kilichosimbwa kwa /mnt.
5) ~$ mkdir mnt2 #kuunda saraka kwa nakala rudufu ya siku zijazo.
6) ~$ cryptsetup open —veracrypt —type tcrypt ~/CryptoBox CryptoBox && mount /dev/mapper/CryptoBox /mnt2 #Ramani ya sauti ya Veracrypt iitwayo “CryptoBox” na uweke CryptoBox hadi /mnt2.
7) ~$ rsync -avlxhHX —endelea /mnt /mnt2/ #operesheni ya hifadhi rudufu ya kizigeu kilichosimbwa kwa sauti ya Veracrypt iliyosimbwa kwa njia fiche.

(p/s/ Attention! Ikiwa unahamisha GNU/Linux iliyosimbwa kutoka kwa usanifu/mashine moja hadi nyingine, kwa mfano, Intel> AMD (yaani, kupeleka nakala rudufu kutoka kwa kizigeu kimoja kilichosimbwa hadi kizigeu kingine cha Intel> AMD kilichosimbwa), Usisahau Baada ya kuhamisha OS iliyosimbwa, hariri ufunguo mbadala wa siri badala ya nenosiri, labda. kitufe kilichotangulia ~/etc/skey - haitatoshea tena kizigeu kingine kilichosimbwa, na haifai kuunda kitufe kipya "cryptsetup luksAddKey" kutoka chini ya chroot - hitilafu inawezekana, katika ~/etc/crypttab bainisha badala ya "/etc/skey" kwa muda "hakuna" ", baada ya kurejea na kuingia kwenye OS, tengeneza tena ufunguo wako wa siri wa wildcard tena).

Kama maveterani wa TEHAMA, kumbuka kufanya hifadhi rudufu za vichwa vya sehemu zilizosimbwa za Windows/Linux OS, au usimbaji fiche utakugeuka.
Katika hatua hii, nakala rudufu ya OS iliyosimbwa imekamilika.

[F] Shambulio kwenye bootloader ya GRUB2

Maelezo yaIkiwa umelinda kipakiaji chako kwa saini ya dijiti na/au uthibitishaji (angalia nukta C6.), basi hii haitalinda dhidi ya upatikanaji wa kimwili. Data iliyosimbwa kwa njia fiche bado haitapatikana, lakini ulinzi utapuuzwa (weka upya ulinzi wa sahihi dijitali) GRUB2 inaruhusu mhalifu wa mtandao kuingiza msimbo wake kwenye kifaa cha kupakia kifaa bila kuzua shaka. (isipokuwa mtumiaji afuatilie mwenyewe hali ya kipakiaji, au aje na msimbo wao wenyewe wa hati-holela wa grub.cfg).

Algorithm ya kushambulia. Mvamizi

* Boots PC kutoka kwa usb moja kwa moja. Mabadiliko yoyote (mkiukaji) faili zitamjulisha mmiliki halisi wa PC kuhusu kuingilia kwenye bootloader. Lakini usakinishaji upya rahisi wa GRUB2 kuweka grub.cfg (na uwezo unaofuata wa kuihariri) itaruhusu mshambulizi kuhariri faili zozote (katika hali hii, wakati wa kupakia GRUB2, mtumiaji halisi hatajulishwa. Hali ni sawa <0>)
* Huweka kizigeu ambacho hakijasimbwa, huhifadhi "/mnt/boot/grub/grub.cfg".
* Inasakinisha upya kipakiaji (kuondoa "perskey" kutoka kwa picha ya core.img)

grub-install --force --root-directory=/mnt /dev/sda6

* Hurejesha “grub.cfg” > “/mnt/boot/grub/grub.cfg”, huihariri ikihitajika, kwa mfano, kuongeza sehemu yako ya “keylogger.mod” kwenye folda yenye moduli za kipakiaji, katika “grub.cfg” > mstari "insmod keylogger". Au, kwa mfano, ikiwa adui ni mjanja, basi baada ya kuweka tena GRUB2 (saini zote zinabaki mahali pake) inaunda picha kuu ya GRUB2 kwa kutumia "grub-mkimage na chaguo (-c)." Chaguo "-c" itakuruhusu kupakia usanidi wako kabla ya kupakia "grub.cfg" kuu. Usanidi unaweza kuwa na laini moja tu: kuelekeza upya kwa "modern.cfg" yoyote, iliyochanganywa, kwa mfano, na ~ faili 400. (moduli+saini) kwenye folda "/boot/grub/i386-pc". Katika hali hii, mshambulizi anaweza kuingiza msimbo kiholela na kupakia moduli bila kuathiri “/boot/grub/grub.cfg”, hata kama mtumiaji alitumia “hashsum” kwenye faili na kuionyesha kwa muda kwenye skrini.
Mshambulizi hatahitaji kudukua kuingia/nenosiri la mtumiaji mkuu wa GRUB2; atahitaji tu kunakili mistari. (inawajibika kwa uthibitishaji) "/boot/grub/grub.cfg" kwa "modern.cfg" yako

weka superusers="mizizi"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

Na mmiliki wa Kompyuta bado atathibitishwa kama mtumiaji mkuu wa GRUB2.

Upakiaji wa mnyororo (bootloader inapakia bootloader nyingine), kama nilivyoandika hapo juu, haileti maana (imekusudiwa kwa madhumuni tofauti). Kipakiaji kilichosimbwa kwa njia fiche hakiwezi kupakiwa kwa sababu ya BIOS ( Boot ya mnyororo inaanza tena GRUB2 > GRUB2 iliyosimbwa, kosa!). Walakini, ikiwa bado unatumia wazo la upakiaji wa mnyororo, unaweza kuwa na uhakika kuwa ni ile iliyosimbwa ambayo inapakiwa. (sio ya kisasa) "grub.cfg" kutoka kwa sehemu iliyosimbwa kwa njia fiche. Na hii pia ni hisia ya uwongo ya usalama, kwa sababu kila kitu kinachoonyeshwa kwenye "grub.cfg" iliyosimbwa kwa njia fiche. (upakiaji wa moduli) huongeza hadi moduli ambazo zimepakiwa kutoka kwa GRUB2 ambayo haijasimbwa.

Ikiwa unataka kuangalia hii, basi tenga/simba siku nyingine ya kizigeu, nakili GRUB2 kwake (operesheni ya kusanikisha grub kwenye kizigeu kilichosimbwa haiwezekani) na katika "grub.cfg" (usanidi ambao haujasimbwa) badilisha mistari kama hii

menuentry 'GRUBx2' --class parrot --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
pakia_video
insmod gzio
ikiwa [ x$grub_platform = xxen]; kisha insmod xzio; insmod lzopio; fi
insmod sehemu_msdos
insmod cryptodisk
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
kawaida /boot/grub/grub.cfg
}

mistari
* insmod - kupakia moduli muhimu za kufanya kazi na diski iliyosimbwa;
* GRUBx2 - jina la mstari ulioonyeshwa kwenye orodha ya boot ya GRUB2;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -tazama. fdisk -l (sda9);
* kuweka mizizi - kufunga mizizi;
* kawaida /boot/grub/grub.cfg - faili ya usanidi inayoweza kutekelezwa kwenye sehemu iliyosimbwa.

Kujiamini kuwa ni "grub.cfg" iliyosimbwa kwa njia fiche ambayo imepakiwa ni jibu chanya la kuingiza nenosiri/kufungua "sdaY" wakati wa kuchagua mstari "GRUBx2" kwenye menyu ya GRUB.

Wakati wa kufanya kazi katika CLI, ili usichanganyike (na angalia ikiwa mabadiliko ya mazingira ya "set root" yalifanya kazi), unda faili za ishara tupu, kwa mfano, katika sehemu iliyosimbwa "/shifr_grub", katika sehemu isiyofichwa "/noshifr_grub". Kuangalia katika CLI

cat /Tab-Tab

Kama ilivyoonyeshwa hapo juu, hii haitasaidia dhidi ya kupakua moduli hasidi ikiwa moduli kama hizo zitaishia kwenye Kompyuta yako. Kwa mfano, kirekodi vitufe ambacho kitaweza kuhifadhi vibonye kwenye faili na kuichanganya na faili zingine kwenye "~/i386" hadi itakapopakuliwa na mvamizi aliye na ufikiaji wa kimwili kwa Kompyuta.

Njia rahisi zaidi ya kuthibitisha kuwa ulinzi wa sahihi wa dijitali unafanya kazi kikamilifu (haijawekwa upya), na hakuna mtu aliyevamia bootloader, ingiza amri katika CLI

list_trusted

kwa kujibu tunapokea nakala ya "perskey" yetu, au hatupati chochote ikiwa tunashambuliwa (unahitaji pia kuangalia "weka check_signatures=enforce").
Hasara kubwa ya hatua hii ni kuingiza amri kwa mikono. Ikiwa unaongeza amri hii kwa "grub.cfg" na kulinda usanidi na saini ya dijiti, basi matokeo ya awali ya kijipicha muhimu kwenye skrini ni fupi sana kwa wakati, na unaweza kukosa muda wa kuona matokeo baada ya kupakia GRUB2. .
Hakuna mtu haswa wa kutoa madai kwa: msanidi programu yake nyaraka kifungu cha 18.2 kinatangaza rasmi

"Kumbuka kwamba hata kwa ulinzi wa nenosiri wa GRUB, GRUB yenyewe haiwezi kuzuia mtu aliye na ufikiaji wa kimwili kwa mashine kubadilisha usanidi wa mashine hiyo (kwa mfano, Coreboot au BIOS) ili kusababisha mashine kuwasha kutoka kwa kifaa tofauti (kinachodhibitiwa na mshambulizi). GRUB ni kiungo kimoja tu katika msururu salama wa buti."

GRUB2 imejaa kazi nyingi ambazo zinaweza kutoa hisia ya usalama wa uongo, na maendeleo yake tayari yamepita MS-DOS kwa suala la utendaji, lakini ni bootloader tu. Inafurahisha kwamba GRUB2 - "kesho" inaweza kuwa OS, na mashine za kawaida za GNU/Linux zinazoweza kuwashwa kwa ajili yake.

Video fupi kuhusu jinsi nilivyoweka upya ulinzi wa sahihi wa dijitali wa GRUB2 na kutangaza uvamizi wangu kwa mtumiaji halisi. (Nilikuogopa, lakini badala ya kile kinachoonyeshwa kwenye video, unaweza kuandika msimbo wa kiholela usio na madhara/.mod).

Hitimisho:

1) Usimbaji wa mfumo wa kuzuia kwa Windows ni rahisi kutekeleza, na ulinzi na nenosiri moja ni rahisi zaidi kuliko ulinzi na nywila kadhaa na usimbaji wa mfumo wa kuzuia wa GNU/Linux, kuwa wa haki: mwisho ni automatiska.

2) Niliandika nakala hiyo kama inafaa na ya kina rahisi mwongozo wa usimbuaji wa diski kamili VeraCrypt/LUKS kwenye nyumba moja ya mashine, ambayo ni bora zaidi katika RuNet (IMHO). Mwongozo ni > wahusika 50k kwa muda mrefu, kwa hivyo haukujumuisha sura za kuvutia: waandishi wa siri ambao hupotea / kuweka kwenye vivuli; kuhusu ukweli kwamba katika vitabu mbalimbali vya GNU/Linux wanaandika kidogo/hawaandiki kuhusu cryptography; kuhusu Kifungu cha 51 cha Katiba ya Shirikisho la Urusi; O utoaji leseni/kupiga marufuku encryption katika Shirikisho la Urusi, kuhusu kwa nini unahitaji kusimba "mizizi/boot". Mwongozo uligeuka kuwa wa kina kabisa, lakini wa kina. (kuelezea hata hatua rahisi), kwa upande wake, hii itakuokoa muda mwingi unapofika kwenye "usimbuaji halisi".

3) Usimbuaji kamili wa diski ulifanyika kwenye Windows 7 64; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.

4) Imetekelezwa shambulio lililofanikiwa yake Kisakinishaji cha GRUB2.

5) Mafunzo yaliundwa ili kusaidia watu wote wa paranoid katika CIS, ambapo kufanya kazi na usimbaji fiche inaruhusiwa katika ngazi ya sheria. Na haswa kwa wale ambao wanataka kusambaza usimbaji fiche wa diski kamili bila kubomoa mifumo yao iliyosanidiwa.

6) Nilifanya kazi upya na kusasisha mwongozo wangu, ambao ni muhimu mnamo 2020.

[G] Nyaraka muhimu

Mwongozo wa Mtumiaji wa TrueCrypt (Februari 2012 RU)
Nyaraka za VeraCrypt
/usr/share/doc/cryptsetup(-run) [rasilimali ya ndani] (nyaraka rasmi za kina juu ya kusanidi usimbaji fiche wa GNU/Linux kwa kutumia cryptsetup)
Usanidi Rasmi wa Maswali Yanayoulizwa Mara kwa Mara (hati fupi za kusanidi usimbaji fiche wa GNU/Linux kwa kutumia cryptsetup)
Usimbaji fiche wa kifaa cha LUKS (hati za archlinux)
Maelezo ya kina ya sintaksia ya cryptsetup (ukurasa wa mtu mkuu)
Maelezo ya kina ya crypttab (ukurasa wa mtu mkuu)
Nyaraka rasmi za GRUB2.

Lebo: usimbaji fiche kamili wa diski, usimbaji fiche wa kuhesabu, usimbaji fiche wa diski kamili ya Linux, usimbaji fiche wa mfumo kamili wa LUKS1.

Watumiaji waliojiandikisha pekee ndio wanaweza kushiriki katika utafiti. Weka sahihitafadhali.

Je, unasimba kwa njia fiche?

17,1%Ninasimba kila kitu ninachoweza. Mimi ni mbishi.14
34,2%Ninasimba tu data muhimu.28
14,6%Wakati mwingine mimi husimba kwa njia fiche, wakati mwingine nasahau.12
34,2%Hapana, siigizii kwa njia fiche, inasumbua na ni ya gharama kubwa.28

Watumiaji 82 walipiga kura. Watumiaji 22 walijizuia.

Chanzo: mapenzi.com

Usimbaji fiche kamili wa diski ya mifumo iliyosakinishwa ya Windows Linux. Viwashi vingi vilivyosimbwa kwa njia fiche