Рамзгузории пурраи диски системаҳои насбшудаи Windows Linux. Рамзгузорӣшудаи пурборкунии бисёрҷониба

Дастури худ оид ба рамзгузории пурраи диск дар RuNet V0.2 нав карда шудааст.

Стратегияи Ковбой:

[A] Рамзгузории блоки системаи Windows 7 системаи насбшуда;
[B] Рамзгузории блоки системаи GNU/Linux (Дебиан) системаи насбшуда (аз ҷумла / boot);
[C] Конфигуратсияи GRUB2, муҳофизати пурборкунанда бо имзои рақамӣ/аслиқият/хешинг;
[D] рахна кардан — нест кардани маълумоти рамзнашуда;
[E] нусхаи универсалии ОС рамзгузоришуда;
[F] ҳамла <дар банди [C6]> ҳадаф - боркунаки GRUB2;
[G] ҳуҷҷатҳои муфид.

╭───Нақшаи #ҳуҷраи 40# :
├──╼ Windows 7 насб карда шудааст - рамзгузории пурраи система, пинҳон нест;
├──╼ GNU/Linux насб карда шудааст (Тақсимоти Debian ва ҳосилшуда) — рамзгузории пурраи система, пинҳон нест(/, аз ҷумла /боркунӣ; swap);
├──╼ боркунакҳои мустақил: боркунаки VeraCrypt дар MBR насб шудааст, боркунаки GRUB2 дар қисмати васеъ насб шудааст;
├──╼насбкунӣ/аз нав насб кардани OS лозим нест;
└──╼нармафзори криптографии истифодашаванда: VeraCrypt; Cryptsetup; GnuPG; баҳрӣ; Hashdeep; GRUB2 ройгон / ройгон аст.

Нақшаи дар боло зикршуда масъалаи «боркунии дурдаст ба флеш-диск»-ро қисман ҳал мекунад, ба шумо имкон медиҳад, ки аз ОС рамзгузоришудаи Windows/Linux лаззат баред ва маълумотро тавассути «канали рамзшуда» аз як ОС ба дигараш мубодила кунед.

Тартиби боркунии компютер (яке аз интихобҳо):

• даргиронидани мошин;
• боркунандаи боркунаки VeraCrypt (дохил кардани пароли дуруст ба пурборкунии Windows 7 идома медиҳад);
• пахш кардани тугмаи "Esc" боркунаки GRUB2-ро бор мекунад;
• Боркунаки пурборкунандаи GRUB2 (интихобот тақсимот/GNU/Linux/CLI), аутентификатсияи суперкорбари GRUB2 <login/password> талаб мекунад;
• пас аз бомуваффақияти аутентификатсия ва интихоби тақсимот, ба шумо лозим меояд, ки барои кушодани "/boot/initrd.img" ибораи гузаришро ворид кунед;
• пас аз ворид кардани паролҳои бехато, GRUB2 вуруди паролро "талаб мекунад" (сеюм, пароли BIOS ё пароли ҳисоби корбари GNU/Linux - ба назар нагиред) барои кушодан ва пурбор кардани GNU/Linux OS, ё ивазкунии автоматии калиди махфӣ (ду парол + калид, ё парол + калид);
• дахолати беруна ба конфигуратсияи GRUB2 раванди пурборкунии GNU/Linux-ро ях мекунад.

Мушкилот? Хуб, биёед равандҳоро автоматӣ кунем.

Ҳангоми тақсим кардани диски сахт (Ҷадвали MBR) Компютер метавонад на бештар аз 4 қисмҳои асосӣ, ё 3 асосӣ ва як васеъ ва инчунин майдони ҷудонашударо дошта бошад. Қисмати васеъ, бар хилофи қисми асосӣ, метавонад зерфаслҳоро дар бар гирад (дискҳои мантиқӣ = қисмати васеъ). Ба ибораи дигар, "қисми васеъ" дар HDD LVM-ро барои вазифаи дар даст ҷойгиршуда иваз мекунад: рамзгузории пурраи система. Агар диски шумо ба 4 қисмҳои асосӣ тақсим шуда бошад, шумо бояд lvm ё табдилро истифода баред (бо форматкунӣ) бахш аз асосӣ ба пешрафта, ё ҳама чор бахшро оқилона истифода баред ва ҳама чизро тавре гузоред, ки натиҷаи дилхоҳ ба даст оред. Ҳатто агар шумо дар диски худ як қисм дошта бошед, Gparted ба шумо кӯмак мекунад, ки HDD-ро тақсим кунед (барои бахшҳои иловагӣ) бе талафи маълумот, аммо ба ҳар ҳол бо ҷазои хурд барои чунин амалҳо.

Нақшаи тарҳбандии диски сахт, ки дар робита ба он тамоми мақола шифоҳӣ хоҳад шуд, дар ҷадвали зер оварда шудааст.

Ҷадвали (№ 1) қисмҳои 1TB.

Шумо низ бояд чизе монанд дошта бошед.
sda1 - қисми асосии № 1 NTFS (рамзшуда);
sda2 - аломати қисмати васеъ;
sda6 - диски мантиқӣ (он дорои боркунаки GRUB2 насб шудааст);
sda8 - своп (файли своп шифршуда/на ҳамеша);
sda9 - санҷиши диски мантиқӣ;
sda5 - диски мантиқӣ барои кунҷкоб;
sda7 - GNU/Linux OS (интиқоли ОС ба диски мантиқии рамзгузоришуда);
sda3 - қисми асосии № 2 бо Windows 7 OS (рамзшуда);
сда4 — фасли асосии раками 3 (он дорои GNU/Linux-и рамзнашуда буд, ки барои нусхабардорӣ истифода мешавад/на ҳамеша).

[A] Рамзгузории системаи блоки Windows 7

А1. VeraCrypt

Зеркашӣ аз сомонаи расмии, ё аз оина манбаъ версияи насби нармафзори криптографии VeraCrypt (дар вақти нашри мақолаи v1.24-Update3, версияи сайёри VeraCrypt барои рамзгузории система мувофиқ нест). Маблағи назоратии нармафзори зеркашидашударо санҷед

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

ва натиҷаро бо CS, ки дар вебсайти таҳиягари VeraCrypt ҷойгир шудааст, муқоиса кунед.

Агар нармафзори HashTab насб карда шуда бошад, он боз ҳам осонтар аст: RMB (VeraCrypt Setup 1.24.exe)-properties - маҷмӯи хэш файлҳо.

Барои тасдиқи имзои барнома, нармафзор ва калиди ҷамъиятии pgp таҳиякунанда бояд дар система насб карда шавад gnuPG; gpg4win.

A2. Насб/кор кардани нармафзори VeraCrypt бо ҳуқуқҳои администратор

A3. Интихоби параметрҳои рамзгузории система барои қисмати фаъолVeraCrypt – Система – Қисм/диски системаро рамзгузорӣ кунед – Муқаррарӣ – Қисмати системаи Windows-ро рамзгузорӣ кунед – Multiboot – (огоҳӣ: "Истифодабарандагони бетаҷриба тавсия дода намешаванд, ки ин усулро истифода баранд" ва ин дуруст аст, мо розӣ ҳастем "Ҳа") - Диски пурбор («ҳа», ҳатто агар ин тавр набошад ҳам, «ҳа») - Шумораи дискҳои системавӣ "2 ё бештар" - Якчанд системаҳо дар як диск "Ҳа" - Боркунаки ғайри Windows "Не" (воқеан, "Бале", аммо боркунакҳои боркунаки VeraCrypt/GRUB2 MBR-ро байни худ тақсим намекунанд; дақиқтараш, танҳо қисми хурдтарини рамзи боркунаки боркунак дар треки MBR/боркунӣ нигоҳ дошта мешавад, қисми асосии он дар дохили системаи файлӣ ҷойгир аст) – Multiboot – Танзимоти рамзгузорӣ…

Агар шумо аз қадамҳои дар боло зикршуда (блоки схемаҳои рамзгузории система), пас VeraCrypt огоҳӣ медиҳад ва ба шумо имкон намедиҳад, ки қисматро рамзгузорӣ кунед.

Дар қадами навбатӣ ба самти ҳифзи мақсадноки додаҳо, "Санҷиш" -ро гузаронед ва алгоритми рамзгузориро интихоб кунед. Агар шумо CPU-и кӯҳна дошта бошед, пас эҳтимолан зудтарин алгоритми рамзгузорӣ Twofish хоҳад буд. Агар CPU пурқувват бошад, шумо фарқиятро хоҳед дид: рамзгузории AES, мувофиқи натиҷаҳои санҷиш, нисбат ба рақибони криптографии худ якчанд маротиба тезтар хоҳад буд. AES як алгоритми маъмули рамзгузорӣ аст; сахтафзори CPU-ҳои муосир махсусан барои ҳам барои "махфӣ" ва ҳам "хакерӣ" оптимизатсия карда шудааст.

VeraCrypt қобилияти рамзгузории дискҳоро дар каскади AES дастгирӣ мекунад(Ду моҳӣ)/ва комбинатсияи дигар. Дар CPU кӯҳнаи асосии Intel аз даҳ сол пеш (бе дастгирии сахтафзор барои AES, рамзгузории каскади A/T) Камшавии самаранокӣ аслан ба назар намерасад. (барои CPU-ҳои AMD-и ҳамон давра/~параметрҳо, иҷроиш каме коҳиш ёфтааст). OS ба таври динамикӣ кор мекунад ва истеъмоли захираҳо барои рамзгузории шаффоф ноаён аст. Баръакси ин, масалан, коҳиши назарраси иҷроиш аз сабаби санҷиши насбшудаи муҳити ноустувори мизи кории Mate v1.20.1 (ё v1.20.2 Ман аниқ дар ёд надорам) дар GNU/Linux, ё бо сабаби кори реҷаи телеметрӣ дар Windows7↑. Одатан, корбарони ботаҷриба пеш аз рамзгузорӣ санҷиши иҷрои сахтафзор мегузаронанд. Масалан, дар Aida64/Sysbench/systemd-analyze айб бо натиҷаҳои ҳамон санҷишҳо пас аз рамзгузории система муқоиса карда мешавад ва ба ин васила афсонаро барои худ рад мекунад, ки "рамзгузории система зараровар аст". Сустшавии мошин ва нороҳатӣ ҳангоми нусхабардорӣ/барқароркунии маълумоти рамзшуда ба назар мерасад, зеро худи амалиёти "захираи маълумоти система" бо ms чен карда намешавад ва ҳамон <шифркунӣ/рамзкунонӣ дар парвоз> илова карда мешаванд. Дар ниҳоят, ҳар як корбаре, ки ба криптография иҷозат дода шудааст, алгоритми рамзгузориро бо қонеъ кардани вазифаҳои дар даст дошта, сатҳи паранойя ва осонии истифода мувозинат мекунад.

Беҳтар аст, ки параметри PIM-ро ҳамчун пешфарз гузоред, то ҳангоми боркунии ОС ба шумо лозим нест, ки ҳар дафъа арзишҳои дақиқи такрориро ворид кунед. VeraCrypt барои эҷоди "хэши суст" миқдори зиёди такрорҳоро истифода мебарад. Ҳамла ба чунин як "ҳаллучаи криптографӣ" бо истифода аз усули Brute Force/Renbow tables, танҳо бо як ибораи кӯтоҳи "оддӣ" ва рӯйхати аломатҳои шахсии қурбонӣ маъно дорад. Нархи пардохт барои қудрати парол ин таъхир дар ворид кардани пароли дуруст ҳангоми боркунии ОС мебошад. (васл кардани ҳаҷми VeraCrypt дар GNU/Linux ба таври назаррас тезтар аст).
Нармафзори ройгон барои амалисозии ҳамлаҳои бераҳмона (баровардани ибораи парол аз сарлавҳаи диски VeraCrypt/LUKS) Hashcat. Ҷон Риппер намедонад, ки чӣ тавр "шикастани Veracrypt" -ро намедонад ва ҳангоми кор бо LUKS криптографияи Twofish-ро намефаҳмад.

Аз сабаби қудрати криптографии алгоритмҳои рамзгузорӣ, киферпанкҳои боздоштнашаванда нармафзорро бо вектори ҳамлаҳои гуногун таҳия мекунанд. Масалан, истихроҷи метамаълумот/калидҳо аз RAM (ҳамлаи пурборкунии сард/дастрасии мустақими хотира), Барои ин мақсадҳо нармафзори махсуси ройгон ва ғайриозод мавҷуд аст.

Пас аз ба итмом расидани насб/таҷдиди “метамаълумотҳои нодир”-и қисмати фаъоли рамзгузоришуда, VeraCrypt пешниҳод мекунад, ки компютерро бозоғоз намоед ва кори пурборкунандаи онро санҷед. Пас аз бозоғозӣ/оғоз кардани Windows, VeraCrypt дар ҳолати интизорӣ бор мекунад, танҳо барои тасдиқи раванди рамзгузорӣ боқӣ мемонад - Y.

Дар марҳилаи ниҳоии рамзгузории система, VeraCrypt пешниҳод мекунад, ки нусхаи эҳтиётии сарлавҳаи қисмати фаъоли рамзгузоришуда дар шакли "veracrypt rescue disk.iso" эҷод кунад - ин бояд анҷом дода шавад - дар ин нармафзор чунин амалиёт шарт аст (дар LUKS, ҳамчун талабот - ин мутаассифона партофта шудааст, аммо дар ҳуҷҷатҳо таъкид шудааст). Диски наҷотдиҳӣ барои ҳама ва барои баъзеҳо на як маротиба муфид хоҳад буд. талафот (сарлавҳа/навнависи MBR) нусхаи эҳтиётии сарлавҳа дастрасиро ба қисмати рамзкушошуда бо OS Windows ба таври доимӣ рад мекунад.

А4. Эҷоди USB/диски наҷотдиҳии VeraCryptБо нобаёнӣ, VeraCrypt пешниҳод мекунад, ки "~2-3МБ метамаълумот" дар CD сӯзонда шавад, аммо на ҳама одамон дискҳо ё дискҳои DWD-ROM доранд ва эҷоди флеш-диски пурборшаванда "VeraCrypt Rescue disk" барои баъзеҳо ногаҳонии техникӣ хоҳад буд: Rufus /GUIdd-ROSA ImageWriter ва дигар нармафзори шабеҳ аз ӯҳдаи ин вазифа баромада наметавонанд, зеро ба ғайр аз нусхабардории метамаълумоти офсетӣ ба флеши пурборшаванда, шумо бояд тасвирро берун аз системаи файлии диски USB нусхабардорӣ/часбонед. кӯтоҳ, дуруст нусхабардорӣ MBR / роҳ ба keychain. Шумо метавонед флеши пурборшавандаро аз GNU/Linux OS бо истифода аз утилитаи "dd" ба ин аломат нигоҳ карда эҷод кунед.

Эҷоди диски наҷотдиҳӣ дар муҳити Windows гуногун аст. Таҳиягари VeraCrypt ҳалли ин мушкилотро ба расмият дохил накардааст ҳуҷҷатҳо аз ҷониби "диски наҷот", аммо ҳалли худро бо роҳи дигар пешниҳод кард: вай нармафзори иловагӣ барои эҷоди "диски наҷоти USB" барои дастрасии ройгон дар форуми VeraCrypt худ ҷойгир кард. Архивгари ин нармафзор барои Windows "эҷоди диски наҷотдиҳии usb veracrypt" мебошад. Пас аз захира кардани recue disk.iso, раванди рамзгузории системаи блоки қисмати фаъол оғоз мешавад. Ҳангоми рамзгузорӣ кори ОС қатъ намешавад, аз нав оғоз кардани компютер талаб карда намешавад. Пас аз анҷоми амалиёти рамзгузорӣ, қисмати фаъол пурра рамзгузорӣ мешавад ва онро метавон истифода бурд. Агар ҳангоми оғоз кардани компютер боркунаки VeraCrypt пайдо нашавад ва амалиёти барқарорсозии сарлавҳа ёрӣ надиҳад, парчами "боркуниро" тафтиш кунед, он бояд ба қисмате, ки дар он Windows мавҷуд аст, насб карда шавад. (сарфи назар аз рамзгузорӣ ва дигар ОС, нигаред ба ҷадвали № 1).
Ин тавсифи рамзгузории системаи блокро бо Windows OS анҷом медиҳад.

[B] LUKS. Рамзгузории GNU/Linux (~Debian) OS насб карда шудааст. Алгоритм ва қадамҳо

Барои рамзгузории тақсимоти насбшудаи Debian/дериватив, шумо бояд қисмати омодашударо ба дастгоҳи блоки виртуалӣ харита кунед, онро ба диски хариташудаи GNU/Linux интиқол диҳед ва GRUB2-ро насб кунед/конфигуратсия кунед. Агар шумо сервери металлии бараҳна надошта бошед ва вақти худро қадр кунед, пас шумо бояд GUI-ро истифода баред ва аксари фармонҳои терминали дар зер тавсифшуда бояд дар ҳолати "Чак-Норрис" иҷро карда шаванд.

B1. Боркунии компютер аз USB GNU/Linux зинда

"Барои иҷрои сахтафзор озмоиши криптографиро гузаронед"

lscpu && сryptsetup benchmark

Агар шумо соҳиби хушбахтии мошини пуриқтидор бо дастгирии сахтафзори AES бошед, он гоҳ рақамҳо ба тарафи рости терминал монанд хоҳанд шуд; агар шумо соҳиби хушбахт бошед, аммо бо таҷҳизоти антиқа, рақамҳо ба тарафи чап монанд хоҳанд буд.

B2. Тақсимоти диск. васлкунӣ/формат кардани диски мантиқии fs HDD ба Ext4 (Gparted)

B2.1. Эҷоди сарлавҳаи бахшҳои рамзгузоришудаи sda7Ман номҳои қисмҳоро дар ин ҷо ва минбаъд мувофиқи ҷадвали тақсимоти ман дар боло тавсиф хоҳам кард. Мувофиқи тарҳбандии диски худ, шумо бояд номҳои қисмҳои худро иваз кунед.

Харитаи рамзгузории мантиқии Drive (/dev/sda7 > /dev/mapper/sda7_crypt).
# Эҷоди осони "бахши LUKS-AES-XTS"

cryptsetup -v -y luksFormat /dev/sda7

Имконот:

* luksFormat - оғозкунии сарлавҳаи LUKS;
* -y -парол (на калид/файл);
* -v -вербализатсия (намоиш додани маълумот дар терминал);
* /dev/sda7 - диски мантиқии шумо аз қисмати васеъ (дар он ҷо интиқол/рамзгузории GNU/Linux ба нақша гирифта шудааст).

Алгоритми рамзгузории пешфарз <LUKS1: aes-xts-plain64, Калид: 256 бит, хэшкунии сарлавҳаи LUKS: sha256, RNG: /dev/urandom> (ба версияи cryptsetup вобаста аст).

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

Агар дар CPU ягон дастгирии сахтафзор барои AES вуҷуд надошта бошад, интихоби беҳтарин эҷод кардани "LUKS-Twofish-XTS-partition" хоҳад буд.

B2.2. Эҷоди пешрафтаи "LUKS-Twofish-XTS-partition"

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

Имконот:
* luksFormat - оғозкунии сарлавҳаи LUKS;
* /dev/sda7 диски мантиқии ояндаи шумо рамзгузорӣ мешавад;
* -v вербализатсия;
* -y гузарвожа;
* -c алгоритми рамзгузории маълумотро интихоб кунед;
* -s андозаи калиди рамзгузорӣ;
* -h алгоритми hashing / Функсияи крипто, RNG истифода бурда мешавад (--use-urandom) барои тавлиди калиди ягонаи рамзгузорӣ/рамзи рамзкушоӣ барои сарлавҳаи мантиқии диск, калиди дуюмдараҷаи сарлавҳа (XTS); калиди нодири асосии дар сарлавҳаи диски рамзгузоришуда, калиди дуюмдараҷаи XTS, ҳамаи ин метамаълумотҳо ва реҷаи рамзгузорӣ, ки бо истифода аз калиди асосӣ ва калиди дуюмдараҷаи XTS ҳама гуна маълумотро дар қисмат рамзгузорӣ/дешифронӣ мекунад. (ба истиснои унвони бахш) дар ~3MB дар қисмати интихобшудаи диски сахт нигоҳ дошта мешавад.
* -i такрорҳо дар миллисонияҳо, ба ҷои "маблағ" (таъхири вақт ҳангоми коркарди ибораи гузариш ба боркунии ОС ва қудрати криптографии калидҳо таъсир мерасонад). Барои нигоҳ доштани тавозуни қудрати криптографӣ бо пароли оддии "русӣ" шумо бояд арзиши -(i) -ро зиёд кунед, бо пароли мураккаби "?8dƱob/øfh" ин арзишро метавон кам кард.
* — генератори рақамҳои тасодуфиро истифода баред, калидҳо ва намак тавлид мекунад.

Пас аз харитасозии фасли sda7 > sda7_crypt (амалиёт зуд аст, зеро сарлавҳаи рамзгузоришуда бо ~3 МБ метамаълумот сохта шудааст ва ҳамааш ҳамин аст), шумо бояд системаи файлии sda7_crypt -ро формат кунед ва насб кунед.

B2.3. Муқоиса

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

имконоти:
* кушода - ба қисмати "бо ном" мувофиқат кунед;
* /dev/sda7 -диски мантиқӣ;
* sda7_crypt - харитасозии ном, ки барои васл кардани қисмати рамзгузоришуда ё ба кор андохтани он ҳангоми боркунии ОС истифода мешавад.

B2.4. Формат кардани системаи файлии sda7_crypt ба ext4. Ҷойгир кардани диск дар ОС(Эзоҳ: шумо наметавонед бо қисмати рамзшуда дар Gparted кор кунед)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt 

имконоти:
* -v -вербализатсия;
* -L - тамғаи гардонанда (ки дар Explorer дар байни дигар дискҳо нишон дода мешавад).

Баъдан, шумо бояд дастгоҳи блоки виртуалии рамзгузоришударо /dev/sda7_crypt ба система васл кунед

mount /dev/mapper/sda7_crypt /mnt

Кор бо файлҳо дар папкаи /mnt маълумотро дар sda7 ба таври худкор рамзгузорӣ/рамзкушоӣ мекунад.

Харита кардан ва насб кардани қисмат дар Explorer қулайтар аст (nautilus/caja GUI), қисмат аллакай дар рӯйхати интихоби диск хоҳад буд, танҳо ворид кардани ибораи гузарвожа барои кушодан/рамзи рамзкушоии диск боқӣ мемонад. Номи мувофиқ ба таври худкор интихоб карда мешавад, на "sda7_crypt", балки чизе монанди /dev/mapper/Luks-xx-xx...

B2.5. Нусхаи эҳтиётии сарлавҳаи диск (~3MB метамаълумот)Яке аз беҳтарин муҳим амалиётҳое, ки бояд бе таъхир анҷом дода шаванд - нусхаи эҳтиётии сарлавҳаи "sda7_crypt". Агар шумо сарлавҳаро аз нав нависед/зарар кунед (масалан, насб кардани GRUB2 дар қисмати sda7 ва ғайра), маълумоти рамзгузоришуда бе имкони барқарорсозии он комилан гум мешавад, зеро аз нав тавлид кардани ҳамон калидҳо ғайриимкон хоҳад буд; калидҳо ба таври беназир сохта шудаанд.

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7 

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

имконоти:
* luksHeaderBackup —фармони header-backup-file -backup;
* luksHeaderRestore —фармони header-backup-file -restor;
* ~/Backup_DebSHIFR - файли захиравӣ;
* /dev/sda7 - қисме, ки нусхаи эҳтиётии сарлавҳаи диски рамзгузоришуда бояд захира карда шавад.
Дар ин қадам <эҷод ва таҳрири қисмати рамзшуда> ба анҷом мерасад.

B3. Интиқоли GNU/Linux OS (sda4) ба қисмати рамзшуда (sda7)

Папкаи /mnt2 эҷод кунед (Эзоҳ - мо то ҳол бо USB-и зинда кор мекунем, sda7_crypt дар /mnt насб шудааст), ва GNU/Linux-и моро дар /mnt2 насб кунед, ки бояд рамзгузорӣ карда шавад.

mkdir /mnt2
mount /dev/sda4 /mnt2

Мо интиқоли дурусти OS-ро бо истифода аз нармафзори Rsync иҷро мекунем

rsync -avlxhHX --progress /mnt2/ /mnt

Имконоти Rsync дар банди E1 тавсиф шудаанд.

Ҳамчунин, зарур аст дефрагменти як қисми диски мантиқӣ

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

Инро қоида кунед: агар шумо HDD дошта бошед, гоҳ-гоҳ дар GNU/LInux-и рамзшуда e4defrag иҷро кунед.
Интиқол ва ҳамоҳангсозӣ [GNU/Linux > GNU/Linux-encrypted] дар ин қадам ба анҷом мерасад.

СОАТИ 4. Насб кардани GNU/Linux дар қисмати рамзгузоришудаи sda7

Пас аз бомуваффақият интиқол додани OS /dev/sda4 > /dev/sda7, шумо бояд ба GNU/Linux дар қисмати рамзшуда ворид шавед ва конфигуратсияи минбаъдаро анҷом диҳед (бе аз нав боркунии компютер) нисбат ба системаи рамзгузоришуда. Яъне, дар USB-и зинда бошед, аммо фармонҳоро "нисбат ба решаи OS рамзгузоришуда" иҷро кунед. "chroot" ба вазъияти шабеҳ тақлид мекунад. Барои зуд гирифтани маълумот дар бораи он, ки шумо ҳоло бо кадом ОС кор мекунед (рамзгузорӣ шудааст ё не, зеро маълумот дар sda4 ва sda7 ҳамоҳанг карда мешавад), синхронизатсияи ОС. Дар директорияҳои реша эҷод кунед (sda4/sda7_crypt) файлҳои маркери холӣ, масалан, /mnt/encryptedOS ва /mnt2/decryptedOS. Зуд тафтиш кунед, ки шумо дар кадом OS ҳастед (аз ҷумла барои оянда):

ls /<Tab-Tab>

B4.1. "Симуляцияи воридшавӣ ба OS-и рамзшуда"

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. Тасдиқ кардани он, ки кор бар зидди системаи рамзгузорӣ анҷом дода мешавад

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. Эҷод/конфигуратсияи свопи рамзгузоришуда, таҳрири crypttab/fstabАзбаски файли своп ҳар боре, ки ОС оғоз мешавад формат карда мешавад, ҳоло эҷод кардан ва харитаи своп ба диски мантиқӣ ва ворид кардани фармонҳо, тавре ки дар банди B2.2 омадааст, маъно надорад. Барои Swap, калидҳои рамзгузории муваққатии худ дар ҳар оғоз ба таври худкор тавлид мешаванд. Давраи ҳаёти калидҳои своп: ҷудо кардан/баровардани қисмати своп (+ тоза кардани RAM); ё OS-ро аз нав оғоз кунед. Танзими своп, кушодани файле, ки барои конфигуратсияи дастгоҳҳои рамзгузоришудаи блок масъул аст (аналогӣ ба файли fstab, аммо барои крипто масъул аст).

nano /etc/crypttab 

таҳрир мекунем

#"номи мақсаднок" "дастгоҳи сарчашма" "файли калидӣ" "имконот"
swap /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,андоза=512,хаш=sha512

Имконот
* своп - номи хариташуда ҳангоми рамзгузории /dev/mapper/swap.
* /dev/sda8 - қисмати мантиқии худро барои своп истифода баред.
* /dev/urandom - генератори калидҳои рамзгузории тасодуфӣ барои своп (бо ҳар як боркунии нави OS, калидҳои нав сохта мешаванд). Генератори /dev/urandom назар ба /dev/random камтар тасодуфӣ аст, дар ниҳоят /dev/random ҳангоми кор дар шароити хатарноки параноид истифода мешавад. Ҳангоми боркунии ОС, /dev/random боркуниро барои якчанд ± дақиқа суст мекунад (ниг. systemd-analyze).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -бахш медонад, ки он своп аст ва "мувофиқи" формат карда шудааст; алгоритми рамзгузорӣ.

#Открываем и правим fstab
nano /etc/fstab

таҳрир мекунем

# своп ҳангоми насб / dev / sda8 буд
/dev/mapper/swap ҳеҷ чиз иваз кардан 0 0

/dev/mapper/swap ин номест, ки дар crypttab гузошта шудааст.

Свопи алтернативии рамзгузоришуда
Агар бо ягон сабаб шумо нахоҳед, ки қисмати пурраи файли свопро бидиҳед, пас шумо метавонед роҳи алтернативӣ ва беҳтарро истифода баред: сохтани файли своп дар файл дар қисмати рамзшуда бо ОС.

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

Танзими тақсимоти своп ба анҷом расид.

B4.4. Танзими GNU/Linux-и рамзгузоришуда (таҳрири файлҳои crypttab/fstab)Файли /etc/crypttab, тавре ки дар боло навишта шудааст, дастгоҳҳои блоки рамзшударо тавсиф мекунад, ки ҳангоми пурборкунии система танзим карда мешаванд.

#правим /etc/crypttab 
nano /etc/crypttab 

агар шумо бо фасли sda7>sda7_crypt мувофиқат кунед, ки дар банди B2.1

# "номи мақсаднок" "дастгоҳи сарчашма" "файли калидӣ" "имконот"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

агар шумо бо фасли sda7>sda7_crypt мувофиқат кунед, ки дар банди B2.2

# "номи мақсаднок" "дастгоҳи сарчашма" "файли калидӣ" "имконот"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

агар шумо ба қисмати sda7>sda7_crypt мувофиқи банди B2.1 ё B2.2 мувофиқат карда бошед, аммо намехоҳед паролро барои кушодан ва пурбор кардани ОС дубора ворид кунед, пас ба ҷои парол шумо метавонед калиди махфӣ/файли тасодуфиро иваз кунед

# "номи мақсаднок" "дастгоҳи сарчашма" "файли калидӣ" "имконот"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

Шарҳи
* ҳеҷ - гузориш медиҳад, ки ҳангоми боркунии ОС, ворид кардани гузарвожаи махфӣ барои кушодани реша лозим аст.
* UUID - муайянкунандаи бахш. Барои фаҳмидани ID-и худ, дар терминал нависед (хотиррасон кунед, ки аз ин лаҳза шумо дар як терминал дар муҳити chroot кор мекунед, на дар терминали дигари usb зинда).

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное 

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

ин сатр ҳангоми дархости blkid аз терминали мустақими USB бо sda7_crypt насбшуда намоён аст).
Шумо UUID-ро аз sdaX-и худ мегиред (на sdaX_crypt!, UUID sdaX_crypt - ҳангоми тавлиди конфигуратсияи grub.cfg ба таври худкор гузошта мешавад).
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks рамзгузорӣ дар ҳолати пешрафта.
* /etc/skey - файли калиди махфӣ, ки ба таври худкор барои кушодани пурборкунии ОС ворид карда мешавад (ба ҷои ворид кардани пароли 3). Шумо метавонед ягон файлро то 8 МБ муайян кунед, аммо маълумот <1 МБ хонда мешавад.

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7 

Он чизе монанди ин хоҳад буд:

(худ кунед ва худатон бубинед).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab дорои маълумоти тавсифӣ дар бораи системаҳои гуногуни файлӣ мебошад.

#Правим /etc/fstab
nano /etc/fstab

# "системаи файл" "нуқтаи васлкунӣ" "навъ" "имконот" "партофт" "гузар"
# / ҳангоми насб кардан / dev / sda7 буд
/dev/mapper/sda7_crypt / хатогиҳои ext4=remount-ro 0 1

интихоб
* /dev/mapper/sda7_crypt - номи харитасозии sda7>sda7_crypt, ки дар файли /etc/crypttab муайян шудааст.
Танзимоти crypttab/fstab ба анҷом расид.

B4.5. Таҳрири файлҳои конфигуратсия. Лаҳзаи асосӣB4.5.1. Таҳрири конфигуратсияи /etc/initramfs-tools/conf.d/resume

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

ва шарҳ диҳед (агар вуҷуд дошта бошад) "#" хати "резюме". Файл бояд комилан холӣ бошад.

B4.5.2. Таҳрири конфигуратсияи /etc/initramfs-tools/conf.d/cryptsetup

nano /etc/initramfs-tools/conf.d/cryptsetup

бояд мувофиқат кунад

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=ҳа
содироти CRYPTSETUP

B4.5.3. Таҳрири конфигуратсияи /etc/default/grub (ин конфигуратсия барои қобилияти тавлиди grub.cfg ҳангоми кор бо рамзгузорӣ / боркунӣ масъул аст)

nano /etc/default/grub

илова кардани сатри "GRUB_ENABLE_CRYPTODISK=y"
арзиши 'y', grub-mkconfig ва grub-install дискҳои рамзгузоришударо тафтиш мекунанд ва фармонҳои иловагиеро тавлид мекунанд, ки барои дастрасӣ ба онҳо дар вақти боркунӣ лозиманд. (insmods ).
бояд монандие бошад

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT = "acpi_backlight = фурӯшанда"
GRUB_CMDLINE_LINUX = "пушти ором ва автоматӣ"
GRUB_ENABLE_CRYPTODISK=y

B4.5.4. Таҳрири конфигуратсияи /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

санҷед, ки хат шарҳ дод <#>.
Дар оянда (ва ҳатто ҳоло, ин параметр ягон маъно нахоҳад дошт, аммо баъзан он ба навсозии тасвири initrd.img халал мерасонад).

B4.5.5. Таҳрири конфигуратсияи /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

илова кунед

KEYFILE_PATTERN ="/etc/skey"
UMASK = 0077

Ин калиди махфии "skey" -ро дар initrd.img ҷойгир мекунад, калид барои кушодани реша ҳангоми пурборкунии OS лозим аст (агар шумо нахоҳед, ки паролро дубора ворид кунед, калиди "осмон" барои мошин иваз карда мешавад).

B4.6. Навсозии /boot/initrd.img [версия]Барои бастани калиди махфӣ дар initrd.img ва татбиқи ислоҳи криптсетуп, тасвирро навсозӣ кунед

update-initramfs -u -k all

ҳангоми навсозии initrd.img (чунон ки мегӯянд: "Ин мумкин аст, аммо ин аниқ нест") огоҳиҳои марбут ба cryptsetup пайдо мешаванд, ё, масалан, огоҳӣ дар бораи гум шудани модулҳои Nvidia - ин муқаррарӣ аст. Пас аз навсозии файл, санҷед, ки он воқеан нав карда шудааст, вақтро бубинед (нисбат ба муҳити chroot./boot/initrd.img). Диққат! пеш аз [update-initramfs -u -k all] боварӣ ҳосил кунед, ки cryptsetup кушода аст /dev/sda7 sda7_crypt - ин номест, ки дар /etc/crypttab пайдо мешавад, вагарна пас аз бозоғозӣ хатои busybox ба вуҷуд меояд)
Дар ин қадам, насб кардани файлҳои конфигуратсия ба анҷом мерасад.

[C] Насб ва танзими GRUB2/Protection

C1. Агар лозим бошад, қисмати махсусро барои боркунак формат кунед (қисмат ҳадди аққал 20 МБ лозим аст)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. Маунт /dev/sda6 ба /mntҲамин тавр, мо дар chroot кор мекунем, он гоҳ дар реша директорияи /mnt2 нахоҳад буд ва ҷузвдони /mnt холӣ хоҳад буд.
қисмати GRUB2-ро насб кунед

mount /dev/sda6 /mnt

Агар шумо версияи кӯҳнаи GRUB2 насб карда бошед, дар феҳристи /mnt/boot/grub/i-386-pc (платформаи дигар имконпазир аст, масалан, на "i386-pc") модулҳои крипто нест (хулоса, ҷузвдон бояд модулҳоро дар бар гирад, аз ҷумла инҳо .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), дар ин ҳолат, GRUB2 бояд ларзонд.

apt-get update
apt-get install grub2 

Муҳим! Ҳангоми навсозии бастаи GRUB2 аз анбор, вақте пурсида мешавад, ки "дар бораи интихоб" дар куҷо насб кардани боркунак, шумо бояд насбро рад кунед (сабаб - кӯшиши насб кардани GRUB2 - дар "MBR" ё дар USB зинда). Дар акси ҳол, шумо сарлавҳа/боркунаки VeraCrypt-ро вайрон мекунед. Пас аз навсозии бастаҳои GRUB2 ва бекор кардани насб, боркунаки пурборкунанда бояд ба таври дастӣ дар диски мантиқӣ насб карда шавад, на дар MBR. Агар анбори шумо версияи кӯҳнаи GRUB2 дошта бошад, кӯшиш кунед навсозӣ он аз вебсайти расмӣ аст - онро тафтиш накардаед (бо навтарин боркунакҳои GRUB 2.02 ~ BetaX кор мекард).

C3. Насб кардани GRUB2 ба қисмати васеъ [sda6]Шумо бояд қисмати насбшуда дошта бошед [банди C.2]

grub-install --force --root-directory=/mnt /dev/sda6

Имкониятҳо
* —force - насби пурборкунак, сарфи назар аз ҳама огоҳиҳое, ки қариб ҳамеша вуҷуд доранд ва насбро блок мекунанд (парчами зарурӣ).
* --root-directory - насби директория ба решаи sda6.
* /dev/sda6 - қисмати sdaХ-и шумо (<фосила> байни /mnt /dev/sda6-ро аз даст надиҳед).

C4. Эҷоди файли конфигуратсия [grub.cfg]Фармоиши "update-grub2" -ро фаромӯш кунед ва фармони тавлиди файли конфигуратсияро истифода баред

grub-mkconfig -o /mnt/boot/grub/grub.cfg

пас аз ба итмом расонидани тавлид/навсозии файли grub.cfg, терминали баромад бояд сатр(ҳо)-ро бо ОС-и дар диск пайдошуда дошта бошад ("grub-mkconfig" эҳтимолан OS-ро аз USB-и зинда пайдо мекунад ва мегирад, агар шумо флеши бисёрборкуниро бо Windows 10 ва як қатор тақсимоти зинда дошта бошед - ин муқаррарӣ аст). Агар терминал "холӣ" бошад ва файли "grub.cfg" тавлид нашавад, ин ҳамон ҳолатест, ки дар система хатогиҳои GRUB вуҷуд доранд. (ва эҳтимолан боркунак аз филиали санҷишии анбор), GRUB2-ро аз манбаъҳои боэътимод аз нав насб кунед.
Насби "конфигуратсияи оддӣ" ва насби GRUB2 анҷом ёфт.

C5. Санҷиши исботи рамзгузоришудаи GNU/Linux OSМо рисолати крипторо дуруст анҷом медиҳем. GNU/Linux-ро бодиққат тарк кунед (баромад аз муҳити chroot).

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

Пас аз бозоғозкунии компютер, боркунаки VeraCrypt бояд бор кунад.


* Ворид кардани парол барои қисмати фаъол боркунии Windows-ро оғоз мекунад.
*Пахш кардани калиди "Esc" идораро ба GRUB2 интиқол медиҳад, агар шумо GNU/Linux-и рамзшударо интихоб кунед - парол (sda7_crypt) барои кушодани /boot/initrd.img лозим мешавад (агар grub2 uuid нависад "пайдо нашуд" - ин аст мушкилот бо боркунаки grub2, он бояд аз нав насб карда шавад, масалан, аз филиали санҷишӣ/устувор ва ғ.).


*Вобаста аз он ки шумо системаро чӣ тавр танзим кардаед (ниг. банди B4.4/4.5), пас аз ворид кардани пароли дуруст барои кушодани тасвири /boot/initrd.img, ба шумо парол барои бор кардани ядро/решаи OS ё сир лозим мешавад. калид ба таври худкор иваз карда мешавад, ки зарурати аз нав ворид кардани ибораи гузарвожаро аз байн мебарад.

(экрани "Ивазкунии худкори калиди махфӣ").

* Сипас раванди шиноси боркунии GNU/Linux бо аутентификатсияи ҳисоби корбар идома хоҳад ёфт.


* Пас аз иҷозати корбар ва ворид шудан ба ОС, шумо бояд /boot/initrd.img -ро дубора нав кунед (ниг. B4.6).

update-initramfs -u -k all

Ва дар сурати мавҷуд будани сатрҳои иловагӣ дар менюи GRUB2 (аз пикап OS-m бо USB зинда) аз онҳо халос шавед

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

Хулосаи мухтасари рамзгузории системаи GNU/Linux:

• GNU/Linuxinux пурра рамзгузорӣ шудааст, аз ҷумла / boot/kernel ва initrd;
• калиди махфӣ дар initrd.img бастабандӣ карда шудааст;
• схемаи иҷозати ҷорӣ (ворид кардани парол барои кушодани initrd; парол/калид барои пурборкунии ОС; парол барои иҷозати ҳисоби Linux).

Рамзгузории системаи "Simple GRUB2 Configuration" ба анҷом расид.

C6. Конфигуратсияи пешрафтаи GRUB2. Муҳофизати пурборкунанда бо имзои рақамӣ + ҳифзи аутентификатсияGNU/Linux комилан рамзгузорӣ шудааст, аммо боркунакро рамзгузорӣ кардан мумкин нест - ин ҳолатро BIOS муқаррар мекунад. Аз ин сабаб, боркунии занҷирбандии рамзгузоришудаи GRUB2 имконнопазир аст, аммо боркунии оддии занҷирнок имконпазир аст/дастрас аст, аммо аз нуқтаи назари амният зарур нест [ниг. P. F].
Барои GRUB2 "осебпазир" таҳиягарон алгоритми муҳофизати боркунаки "имзо/аслият" -ро татбиқ карданд.

• Вақте ки боркунак бо "имзои рақамии худ" ҳифз карда мешавад, тағироти берунии файлҳо ё кӯшиши боркунии модулҳои иловагӣ дар ин пурборкунанда боиси баста шудани раванди боркунӣ мегардад.
• Ҳангоми муҳофизат кардани боркунак бо аутентификатсия, барои интихоби боркунии тақсимот ё ворид кардани фармонҳои иловагӣ дар CLI, ба шумо лозим меояд, ки логин ва пароли superuser-GRUB2-ро ворид кунед.

C6.1. Муҳофизати аутентификатсияи пурборкунандаТафтиш кунед, ки шумо дар терминали OS-и рамзгузорӣ кор карда истодаед

ls /<Tab-Tab> #обнаружить файл-маркер

барои авторизатсия дар GRUB2 пароли суперкорбар эҷод кунед

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. 

Ҳэши паролро гиред. Чизе монанди ин

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

қисмати GRUB-ро насб кунед

mount /dev/sda6 /mnt 

конфигуратсияро таҳрир кунед

nano -$ /mnt/boot/grub/grub.cfg 

Ҷустуҷӯи файлро санҷед, ки дар "grub.cfg" ягон парчам вуҷуд надорад ("-маҳдудият" "-user",
дар охир илова кунед (пеш аз сатри ### END /etc/grub.d/41_custom ###)
"муқаррар кардани superusers = "реша"
password_pbkdf2 хэш решавӣ."

Бояд чизе монанди ин бошад

# Ин файл роҳи осони илова кардани вурудоти менюи фармоиширо таъмин мекунад. Танҳо -ро нависед
# вурудоти меню, ки шумо мехоҳед пас аз ин шарҳ илова кунед. Эҳтиёт бошед, ки тағир надиҳед
# хати 'exec tail' дар боло.
### ОХИР /etc/grub.d/40_custom ###

### Оғоз кунед /etc/grub.d/41_custom ###
агар [ -f ${config_directory}/custom.cfg ]; баъд
сарчашма ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; баъд
сарчашма $prefix/custom.cfg;
fi
танзим кардани superusers = "реша"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### ОХИР /etc/grub.d/41_custom ###
#

Агар шумо аксар вақт фармони "grub-mkconfig -o /mnt/boot/grub/grub.cfg" -ро истифода баред ва намехоҳед, ки ҳар дафъа ба grub.cfg тағирот ворид кунед, сатрҳои болоро ворид кунед. (Воридшавӣ: Рамз) дар скрипти корбари GRUB дар поёни он

nano /etc/grub.d/41_custom 

гурба <<EOF
танзим кардани superusers = "реша"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

Ҳангоми тавлиди конфигуратсияи “grub-mkconfig -o /mnt/boot/grub/grub.cfg”, сатрҳои масъул барои аутентификатсия ба таври худкор ба grub.cfg илова карда мешаванд.
Ин қадам танзимоти аутентификатсияи GRUB2-ро анҷом медиҳад.

C6.2. Муҳофизати пурборкунанда бо имзои рақамӣТахмин меравад, ки шумо аллакай калиди рамзгузории шахсии pgp-и худро доред (ё чунин калид эҷод кунед). Дар система бояд нармафзори криптографӣ насб карда шавад: gnuPG; kleopatra/GPA; Аспи баҳрӣ. Нармафзори крипто ҳаёти шуморо дар ҳама гуна масъалаҳо осонтар мекунад. Seahorse - версияи устувори бастаи 3.14.0 (версияҳои баландтар, масалан, V3.20, ноқис ва хатогиҳои назаррас доранд).

Калиди PGP бояд танҳо дар муҳити su тавлид/фаъол/илова карда шавад!

Калиди рамзгузории шахсиро тавлид кунед

gpg - -gen-key

Калиди худро содир кунед

gpg --export -o ~/perskey

Диски мантиқиро дар ОС насб кунед, агар он аллакай насб нашуда бошад

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

қисмати GRUB2-ро тоза кунед

rm -rf /mnt/

GRUB2-ро дар sda6 насб кунед ва калиди шахсии худро дар тасвири асосии GRUB "core.img" ҷойгир кунед.

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

Имкониятҳо
* --force - боркунакро насб кунед, бо гузашти ҳама огоҳиҳои ҳамеша мавҷуд аст (парчами зарурӣ).
* —modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - ба GRUB2 супориш медиҳад, ки ҳангоми оғоз кардани компютер модулҳои заруриро пешакӣ бор кунад.
* -k ~/perskey -роҳ ба "Калиди PGP" (пас аз бастабандии калид ба тасвир, онро нест кардан мумкин аст).
* --root-directory - директорияи пурборро ба решаи sda6 насб кунед
/dev/sda6 - қисмати sdaX-и шумо.

Ташкил/навсозӣ grub.cfg

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

Ба охири файли "grub.cfg" сатри "trust /boot/grub/perskey" -ро илова кунед (истифодаи калиди pgp.) Азбаски мо GRUB2-ро бо маҷмӯи модулҳо, аз ҷумла модули имзои “signature_test.mod” насб кардем, ин зарурати илова кардани фармонҳо ба монанди “set check_signatures=enforce” ба танзимотро аз байн мебарад.

Он бояд чизе монанди ин назар кунад (хатҳои хотимавӣ дар файли grub.cfg)

### Оғоз кунед /etc/grub.d/41_custom ###
агар [ -f ${config_directory}/custom.cfg ]; баъд
сарчашма ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; баъд
сарчашма $prefix/custom.cfg;
fi
бовар кунед / boot/grub/perskey
танзим кардани superusers = "реша"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### ОХИР /etc/grub.d/41_custom ###
#

Роҳи "/ boot/grub/perskey" ба қисмати мушаххаси диск ишора кардан лозим нест, масалан hd0,6; барои худи боркунак "реша" роҳи пешфарзии қисматест, ки дар он GRUB2 насб шудааст. (ниг. set rot =...).

Имзои GRUB2 (ҳама файлҳо дар ҳама директорияҳои /GRUB) бо калиди худ "perskey".
Як ҳалли оддӣ дар бораи чӣ гуна имзо кардан (барои nautilus/caja explorer): тамдиди "саҳи баҳр" -ро барои Explorer аз анбор насб кунед. Калиди шумо бояд ба муҳити su илова карда шавад.
Explorer бо sudo "/mnt/boot" - RMB - аломатро кушоед. Дар экран чунин менамояд

Худи калид "/mnt/boot/grub/perskey" аст. (ба директорияи grub нусхабардорӣ кунед) инчунин бояд бо имзои худ имзо карда шавад. Тафтиш кунед, ки имзоҳои файли [*.sig] дар директория/ зеркаталогҳо пайдо мешаванд.
Бо истифода аз усули дар боло тавсифшуда, "/ boot" -ро имзо кунед (ядрои мо, initrd). Агар вақти шумо арзише дошта бошад, пас ин усул зарурати навиштани скрипти bash барои имзои "бисёр файлҳоро" аз байн мебарад.

Барои нест кардани ҳама имзоҳои пурборкунанда (агар чизе нодуруст бошад)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

Барои он ки пас аз навсозии система ба пурборкунанда имзо нагузорем, мо ҳама бастаҳои навсозии марбут ба GRUB2-ро ях мекунем.

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

Дар ин қадам <муҳофизати пурборкунанда бо имзои рақамӣ> конфигуратсияи пешрафтаи GRUB2 ба анҷом мерасад.

C6.3. Санҷиши исботи пурборкунандаи GRUB2, ки бо имзои рақамӣ ва аутентификатсия ҳифз шудаастGRUB2. Ҳангоми интихоби ҳама гуна тақсимоти GNU/Linux ё ворид шудан ба CLI (хати фармон) Иҷозати суперкорбар талаб карда мешавад. Пас аз ворид кардани номи корбар/парол дуруст, ба шумо пароли initrd лозим мешавад

Скриншот аз тасдиқи бомуваффақияти суперкорбари GRUB2.

Агар шумо ягон файли GRUB2-ро вайрон кунед/ба grub.cfg тағирот ворид кунед, ё файл/имзоро нест кунед ё module.mod-и зарароварро бор кунед, огоҳии мувофиқ пайдо мешавад. GRUB2 боркуниро таваққуф мекунад.

Скриншот, кӯшиши дахолат кардан ба GRUB2 "аз берун".

Ҳангоми пурборкунии "муқаррарӣ" "бе дахолат" ҳолати коди баромади система "0" аст. Аз ин рӯ, маълум нест, ки муҳофизат кор мекунад ё не (яъне "бо ё бе муҳофизати имзои пурборкунанда" ҳангоми боркунии муқаррарӣ вазъ ҳамон "0" аст - ин бад аст).

Муҳофизати имзои рақамиро чӣ гуна бояд тафтиш кард?

Роҳи номувофиқи тафтиш: қалбакӣ/нест кардани модуле, ки GRUB2 истифода мебарад, масалан, имзои luks.mod.sig-ро хориҷ кунед ва хатогӣ ба даст оред.

Роҳи дуруст: ба CLI bootloader гузаред ва фармонро нависед

trust_list

Дар посух, шумо бояд изи ангушти "перскӣ" гиред; агар ҳолати "0" бошад, ҳифзи имзо кор намекунад, банди C6.2-ро дубора тафтиш кунед.
Дар ин қадам, конфигуратсияи пешрафтаи "Ҳифзи GRUB2 бо имзои рақамӣ ва аутентификатсия" анҷом дода мешавад.

C7 Усули алтернативии муҳофизати пурборкунандаи GRUB2 бо истифодаи хэшингУсули "CPU Boot Loader Protection/Authentication", ки дар боло тавсиф шудааст, як классикист. Аз сабаби номукаммалии GRUB2, дар шароити параноид, он ба ҳамлаи воқеӣ дучор мешавад, ки ман онро дар зер дар банди [F] хоҳам дод. Илова бар ин, пас аз навсозии ОС/ядро, боркунак бояд аз нав имзо карда шавад.

Муҳофизати пурборкунандаи GRUB2 бо истифода аз ҳашинг

Афзалиятҳо нисбат ба классикӣ:

• Сатҳи баланди эътимоднокӣ (хэшинг/тасдиқ танҳо аз манбаи рамзшудаи маҳаллӣ сурат мегирад. Тамоми қисмати ҷудошуда таҳти GRUB2 барои ҳама гуна тағирот назорат карда мешавад ва ҳама чизи боқимонда рамзгузорӣ карда мешавад; дар схемаи классикӣ бо муҳофизати боркунаки CPU/Authentication, танҳо файлҳо назорат карда мешаванд, аммо озод нестанд. фазо, ки дар он «чизе» чизи бад» илова кардан мумкин аст).
• Сабти рамзгузорӣ (ба схема як журнали рамзгузоришудаи шахсии ба одам хондашаванда илова карда мешавад).
• Суръат (ҳифз/тафтишоти тамоми қисме, ки барои GRUB2 ҷудо карда шудааст, қариб фавран ба амал меояд).
• Автоматикунонии тамоми равандҳои криптографӣ.

Камбудиҳо нисбат ба классикон.

• Сохтакории имзо (аз ҷиҳати назариявӣ, мумкин аст, ки ба пайдо кардани бархӯрди функсияи hash додашуда).
• Баланд бардоштани сатҳи душворӣ (дар муқоиса бо классикӣ, малакаҳои каме бештар дар GNU/Linux OS талаб карда мешаванд).

Чӣ гуна идеяи ҳашингии GRUB2/partition кор мекунад

Қисмати GRUB2 "имзо шудааст"; вақте ки OS пурбор мешавад, қисмати боркунаки пурборкунанда барои тағирнопазирӣ санҷида мешавад ва пас аз ворид шудан дар муҳити амн (рамзгузорӣ) мешавад. Агар боркунаки боркунак ё қисмати он осеб дида бошад, ба ғайр аз сабти ҳамла, инҳо оғоз мешаванд:

Чизе.

Санҷиши шабеҳ дар як рӯз чор маротиба сурат мегирад, ки захираҳои системаро бор намекунад.
Бо истифода аз фармони "-$ check_GRUB" санҷиши фаврӣ дар ҳар вақт бидуни сабт, вале бо баровардани иттилоот ба CLI сурат мегирад.
Бо истифода аз фармони "-$ sudo signature_GRUB", боркунаки пурборкунанда/ҳисмати GRUB2 фавран дубора имзо карда мешавад ва сабти навшудаи он (пас аз навсозии OS / боркунӣ зарур аст) ва ҳаёт идома дорад.

Татбиқи усули ҳашинг барои боркунак ва қисмати он

0) Биёед аввал боркунаки GRUB/partition-ро бо насби он дар /media/username имзо кунем

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) Мо дар решаи OS ~/podpis рамзкунонидашуда скриптро бидуни тамдид эҷод мекунем, ба он ҳуқуқҳои зарурии 744 бехатарӣ ва муҳофизати беақлро татбиқ мекунем.

Пур кардани мундариҷаи он

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

Скриптро аз su, хэшкунии қисмати GRUB ва боркунаки он тафтиш карда мешавад, сабтро захира кунед.

Биёед, масалан, "файли зараровар" [virus.mod]-ро ба қисмати GRUB2 эҷод ё нусхабардорӣ кунем ва скан/озмоиши муваққатиро иҷро кунем:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

CLI бояд ҳамла ба қалъаи моро бубинад#Ҷӯҷаи буридашуда дар CLI

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

# Тавре ки шумо мебинед, "Файлҳо интиқол дода шуданд: 1 ва Аудит ноком шуд" пайдо мешавад, ки ин маънои онро дорад, ки чек ноком шудааст.
Аз сабаби хусусияти қисмати санҷидашуда, ба ҷои "Файлҳои нав ёфт"> "Файлҳои интиқолшуда"

2) Gif-ро дар ин ҷо ҷойгир кунед > ~/warning.gif, иҷозатҳоро ба 744 таъин кунед.

3) Танзими fstab барои худкор васлкунии қисмати GRUB ҳангоми боркунӣ

-$ sudo nano /etc/fstab

LABEL=GRUB /media/name/name/GRUB ext4 пешфарз 0 0

4) Табдил додани лог

-$ sudo nano /etc/logrotate.d/podpis 

/var/log/podpis.txt {
ҳаррӯза
50 битобед
андозаи 5M
матни сана
фишурда
таъхир
olddir /var/log/old
}

/var/log/vtorjenie.txt {
ҳармоҳа
5 битобед
андозаи 5M
матни сана
olddir /var/log/old
}

5) Ба cron кор илова кунед

-$ sudo crontab -e

Перезагрузка '/обуна'
0 */6 * * * '/podpis

6) Эҷоди тахаллуси доимӣ

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

Пас аз навсозии OS -$ apt-get upgrade қисмати GRUB-и моро дубора имзо кунед
-$ подпись_GRUB
Дар ин лаҳза, муҳофизати хэшкунии қисмати GRUB ба итмом мерасад.

[D] Хомӯш кардан - нест кардани маълумоти рамзнашуда

Ба гуфтаи сухангӯи Каролинаи Ҷанубӣ Трей Гоуди, файлҳои шахсии худро чунон пурра нест кунед, ки "ҳатто Худо онҳоро хонда наметавонад".

Чун одат, «афсонахои гуногун ва ривоятҳо", дар бораи барқарор кардани маълумот пас аз нест кардани он аз диски сахт. Агар шумо ба киберҷодугарӣ бовар кунед ё узви ҷомеаи веби доктор бошед ва ҳеҷ гоҳ барқароркунии маълумотро пас аз нест кардан/аз нав навишта шуданаш кӯшиш накарда бошед (масалан, барқарорсозӣ бо истифода аз R-studio), пас усули пешниҳодшуда гумон аст, ки ба шумо мувофиқат кунад, он чизеро, ки ба шумо наздиктар аст, истифода баред.

Пас аз бомуваффақият интиқол додани GNU/Linux ба қисмати рамзшуда, нусхаи кӯҳна бояд бе имкони барқарорсозии маълумот тоза карда шавад. Усули универсалии тозакунӣ: нармафзор барои Windows/Linux нармафзори GUI ройгон Блейк Бит.
Бо зудӣ бахшро формат кунед, маълумоте, ки дар бораи он бояд нобуд карда шавад (тавассути Gparted) BleachBit-ро оғоз кунед, "Тоза кардани фазои холӣ" -ро интихоб кунед - қисматро интихоб кунед (sdaX-и шумо бо нусхаи қаблии GNU/Linux), раванди кандакорӣ оғоз мешавад. BleachBit - дискро дар як гузариш тоза мекунад - ин "ба мо лозим аст", Аммо! Ин танҳо дар назария кор мекунад, агар шумо дискро формат карда, онро дар нармафзори BB v2.0 тоза карда бошед.

Диққат! BB дискро тоза карда, метамаълумотро тарк мекунад; ҳангоми нест кардани маълумот номи файлҳо нигоҳ дошта мешаванд (CCleaner - метамаълумотро тарк намекунад).

Ва афсона дар бораи имкони барқарорсозии маълумот комилан афсона нест.Bleachbit V2.0-2 бастаи собиқи ноустувори OS Debian (ва ҳама гуна нармафзори шабеҳ: sfill; wipe-Nautilus - дар ин тиҷорати ифлос низ мушоҳида карда шуданд) воқеан як хатои муҳиме дошт: функсияи "тозакунии фазои озод" он нодуруст кор мекунад дар дискҳои HDD/Flash (ntfs/ext4). Нармафзори ин навъ ҳангоми тоза кардани фазои холӣ, чунон ки бисёре аз корбарон фикр мекунанд, тамоми дискро аз нав наменависанд. Ва баъзе (бисёр) маълумоти ҳазфшуда OS/нармафзор ин маълумотро ҳамчун маълумоти ҳазнанашуда/корбар мешуморад ва ҳангоми тоза кардани "OSP" ин файлҳоро мегузарад. Масъала дар он аст, ки пас аз чунин муддати тӯлонӣ, тоза кардани диск "файлҳои ҳазфшуда" -ро барқарор кардан мумкин аст ҳатто пас аз 3+ гузаштани тоза кардани диск.
Дар GNU/Linux дар Bleachbit 2.0-2 Функсияҳои ба таври доимӣ нест кардани файлҳо ва директорияҳо боэътимод кор мекунанд, аммо фазои холӣ нест. Барои муқоиса: дар Windows дар CCleaner функсияи "OSP for ntfs" дуруст кор мекунад ва Худо воқеан маълумоти ҳазфшударо хонда наметавонад.

Ва ҳамин тавр, бодиққат хориҷ кунед "созиш" маълумоти кӯҳнаи рамзнашуда, Bleachbit дастрасии мустақим ба ин маълумотро талаб мекунад, пас, функсияи "файлҳо/директорҳоро ба таври доимӣ нест кунед" -ро истифода баред.
Барои нест кардани "файлҳои ҳазфшуда бо истифода аз асбобҳои стандартии OS" дар Windows, CCleaner/BB-ро бо функсияи "OSP" истифода баред. Дар GNU/Linux бар ин мушкилот (тоза кардани файлҳои ҳазфшуда) ба шумо лозим аст, ки худатон амал кунед (нест кардани маълумот + кӯшиши мустақили барқарор кардани он ва шумо набояд ба версияи нармафзор такя кунед (агар хатчӯб набошад, пас хато)), танҳо дар ин ҳолат шумо метавонед механизми ин мушкилотро фаҳмед ва аз маълумоти ҳазфшуда комилан халос шавед.

Ман Bleachbit v3.0-ро санҷидаам, шояд мушкилот аллакай ҳал шуда бошад.
Bleachbit v2.0 софдилона кор мекунад.

Дар ин қадам тозакунии диск ба анҷом мерасад.

[E] Нусхаи универсалии OS рамзгузоришуда

Ҳар як корбар усули худии нусхабардории маълумотро дорад, аммо маълумоти рамзгузоришудаи Системаи ОС ба кор муносибати каме дигарро талаб мекунад. Нармафзори муттаҳидшуда, ба монанди Clonezilla ва нармафзори шабеҳ, наметавонанд мустақиман бо маълумоти рамзшуда кор кунанд.

Изҳороти мушкилоти нусхабардории дастгоҳҳои блоки рамзгузорӣ:

1. универсалӣ - ҳамон алгоритми эҳтиётӣ/нармафзор барои Windows/Linux;
2. қобилияти кор кардан дар консол бо ҳама гуна USB GNU/Linux бе зарурати зеркашии нармафзори иловагӣ (аммо ба ҳар ҳол GUI тавсия медиҳад);
3. амнияти нусхаҳои эҳтиётӣ - "тасвирҳо" -и захирашуда бояд рамзгузорӣ/парол ҳифз карда шаванд;
4. андозаи маълумоти рамзгузоришуда бояд ба андозаи маълумоти воқеии нусхабардорӣ мувофиқ бошад;
5. истихроҷи қулайи файлҳои зарурӣ аз нусхаи эҳтиётӣ (аввал барои кушодани шифри тамоми қисмат талаб карда намешавад).

Масалан, нусхабардорӣ/барқароркунӣ тавассути утилитаи "dd"

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

Он қариб ба ҳама нуктаҳои вазифа мувофиқат мекунад, аммо мувофиқи банди 4 он ба танқид муқобилат намекунад, зеро он тамоми қисмати дискро нусхабардорӣ мекунад, аз ҷумла фазои холӣ - ҷолиб нест.

Масалан, нусхаи эҳтиётии GNU/Linux тавассути бойгонии [tar" | gpg] қулай аст, аммо барои нусхабардории Windows шумо бояд ҳалли дигареро ҷустуҷӯ кунед - ин ҷолиб нест.

E1. Нусхаи универсалии Windows/Linux. Пайвастшавӣ rsync (Grsync) + ҳаҷми VeraCryptАлгоритм барои сохтани нусхаи эҳтиётӣ:

1. сохтани контейнери рамзгузоришуда (ҳаҷм/файл) VeraCrypt барои OS;
2. интиқол/синхронизатсияи ОС бо истифода аз нармафзори Rsync ба контейнери крипто VeraCrypt;
3. агар лозим бошад, ҳаҷми VeraCrypt-ро ба www.

Эҷоди контейнери рамзшудаи VeraCrypt дорои хусусиятҳои ба худ хос аст:
эҷоди ҳаҷми динамикӣ (Эҷоди DT танҳо дар Windows дастрас аст, онро дар GNU/Linux низ истифода бурдан мумкин аст);
эҷоди ҳаҷми муқаррарӣ, аммо талаботи "хактери параноидӣ" вуҷуд дорад (ба гуфтаи таҳиякунанда) - форматкунии контейнер.

Ҳаҷми динамикӣ тақрибан дар як лаҳза дар Windows эҷод мешавад, аммо ҳангоми нусхабардории маълумот аз GNU/Linux > VeraCrypt DT, иҷрои умумии амалиёти нусхабардорӣ ба таври назаррас коҳиш меёбад.

Ҳаҷми муқаррарии 70 ГБ Twofish эҷод карда мешавад (биёед бигӯем, ба ҳисоби миёна қувваи компютер) ба HDD ~ дар ним соат (аз нав навиштани маълумоти пешинаи контейнер дар як гузариш ба талаботи амният вобаста аст). Функсияи зуд формат кардани ҳаҷм ҳангоми эҷоди он аз VeraCrypt Windows/Linux хориҷ карда шудааст, аз ин рӯ эҷод кардани контейнер танҳо тавассути "навнависи яквақта" ё эҷоди ҳаҷми динамикии каммахсул имконпазир аст.

Ҳаҷми муқаррарии VeraCrypt эҷод кунед (на динамикӣ/ntfs), набояд ягон мушкилот бошад.

Контейнерро дар VeraCrypt GUI> GNU/Linux live usb танзим кунед/эҷод кунед/кушоед (ҳаҷм ба /media/veracrypt2 худкор васл карда мешавад, ҳаҷми OS Windows ба /media/veracrypt1 васл карда мешавад). Эҷоди нусхаи эҳтиётии рамзгузоришудаи OS Windows бо истифода аз GUI rsync (grsync)бо тафтиши қуттиҳо.

То ба итмом расидани раванд интизор шавед. Пас аз ба итмом расидани нусхабардорӣ, мо як файли рамзгузоришуда дорем.

Ба ҳамин монанд, нусхаи эҳтиётии OS-и GNU/Linux-ро бо гузоштани аломати қуттии "Мутобиқати Windows" дар GUI rsync эҷод кунед.

Диққат! як контейнери Veracrypt барои "Нусхаи GNU/Linux" дар системаи файлӣ эҷод кунед ext4. Агар шумо дар як контейнери ntfs нусхабардорӣ кунед, пас вақте ки шумо чунин нусхаро барқарор мекунед, шумо ҳамаи ҳуқуқҳо/гурӯҳҳоро ба ҳамаи маълумоти шумо аз даст медиҳед.

Ҳама амалиётҳо метавонанд дар терминал анҷом дода шаванд. Имконоти асосӣ барои rsync:
* -g -гурӯҳҳоро захира кунед;
* -P —пешравӣ — ҳолати вақти кор дар файл;
* -H - истинодҳои сахтро ҳамчун нусхабардорӣ кунед;
* -a -режими бойгонӣ (парчамҳои сершумори rlptgoD);
* -v -гуфторӣ.

Агар шумо хоҳед, ки "ҳаҷми Windows VeraCrypt" -ро тавассути консол дар нармафзори cryptsetup насб кунед, шумо метавонед тахаллус (su) эҷод кунед.

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

Акнун фармони "тасвирҳои вераmount" аз шумо хоҳиш мекунад, ки ибораи гузарвожаро ворид кунед ва ҳаҷми системаи рамзгузоришудаи Windows дар ОС насб карда мешавад.

Харита/вазни ҳаҷми системаи VeraCrypt дар фармони cryptsetup

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

Қисм/контейнери харита/барои VeraCrypt дар фармони cryptsetup

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

Ба ҷои тахаллус, мо ҳаҷми системаро бо Windows OS ва диски мантиқии рамзгузоришудаи ntfs ба оғози GNU/Linux илова мекунем (скрипт барои оғозёбӣ)

Скрипт эҷод кунед ва онро дар ~/VeraOpen.sh захира кунед

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

Мо ҳуқуқҳои "дуруст" -ро тақсим мекунем:

sudo chmod 100 /VeraOpen.sh

Дар /etc/rc.local ва ~/etc/init.d/rc.local ду файли якхела (як ном!) эҷод кунед
Пур кардани файлҳо

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

Мо ҳуқуқҳои "дуруст" -ро тақсим мекунем:

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local 

Ҳамин аст, ҳоло ҳангоми боркунии GNU/Linux ба мо лозим нест, ки паролҳо ворид кунем, то дискҳои рамзгузоришудаи ntfs насб кунем, дискҳо ба таври худкор васл карда мешаванд.

Эзоҳ ба таври мухтасар дар бораи он чизе, ки дар боло дар банди E1 тавсиф шудааст, зина ба зина (аммо ҳоло барои OS GNU/Linux)
1) Ҳаҷм дар fs ext4 > 4gb (барои файл) Linux дар Veracrypt [Cryptbox] эҷод кунед.
2) Барои USB зинда аз нав оғоз кунед.
3) ~$ cryptsetup кушода /dev/sda7 Lunux #mapping қисмати рамзгузоришуда.
4) ~$ mount /dev/mapper/Linux /mnt #ҳисмати рамзгузоришударо ба /mnt насб кунед.
5) ~$ mkdir mnt2 #эҷоди директория барои нусхабардории оянда.
6) ~$ cryptsetup кушода —veracrypt —навъи tcrypt ~/CryptoBox CryptoBox && mount /dev/mapper/CryptoBox /mnt2 #Харитаи ҳаҷми Veracrypt бо номи "CryptoBox" ва CryptoBox -ро ба /mnt2 насб кунед.
7) ~$ rsync -avlxhHX —пешрафти /mnt /mnt2/ #амали эҳтиётии қисмати рамзшуда ба ҳаҷми рамзгузоришудаи Veracrypt.

(p/s/ Диққат! Агар шумо GNU/Linux-и рамзгузоришударо аз як меъморӣ/мошин ба дигараш интиқол диҳед, масалан, Intel > AMD (яъне ҷойгиркунии нусхаи эҳтиётӣ аз як қисмати рамзшуда ба қисмати рамзшудаи Intel > AMD), Фаромӯш накун Пас аз интиқоли ОС-и рамзгузоришуда, шояд ба ҷои парол калиди ивазкунандаи махфиро таҳрир кунед. калиди қаблӣ ~/etc/skey - дигар ба қисмати рамзшудаи дигар мувофиқат намекунад ва аз зери chroot сохтани калиди нави "cryptsetup luksAddKey" тавсия дода намешавад - хатогӣ имконпазир аст, танҳо дар ~/etc/crypttab ба ҷои "/etc/skey" муваққатан "ҳеҷ" ", пас аз азнавсозӣ ва ворид шудан ба ОС, калиди ҷонишинии махфии худро дубора эҷод кунед).

Ҳамчун собиқадорони IT, фаромӯш накунед, ки сарлавҳаҳои қисмҳои рамзгузоришудаи Windows/Linux OS-ро алоҳида нусхабардорӣ кунед, вагарна рамзгузорӣ бар зидди шумо рӯй медиҳад.
Дар ин қадам, нусхабардории ОС-и рамзгузорӣ анҷом дода мешавад.

[F] Ҳамла ба пурборкунандаи GRUB2

Дидани тафсилотАгар шумо боркунаки худро бо имзои рақамӣ ва/ё аутентификатсия ҳифз карда бошед (нигаред ба банди C6.), он гоҳ ин аз дастрасии ҷисмонӣ муҳофизат намекунад. Маълумоти рамзгузоришуда ҳанӯз дастнорас хоҳад буд, аммо муҳофизат аз он мегузарад (аз нав барқарор кардани ҳифзи имзои рақамӣ) GRUB2 ба киберҷиноят имкон медиҳад, ки бидуни шубҳа рамзи худро ба боркунак ворид кунад (агар корбар ҳолати пурборкуниро дастӣ назорат накунад ё коди скрипти худсаронаи худро барои grub.cfg таҳия накунад).

Алгоритми ҳамла. Таҷовузкор

* Компютерро аз USB-и зинда бор мекунад. Ҳар гуна тағйирот (вайронкунанда) файлҳо соҳиби воқеии компютерро дар бораи дахолат ба боркунак огоҳ мекунанд. Аммо аз нав насби оддии GRUB2 нигоҳ доштани grub.cfg (ва қобилияти минбаъдаи таҳрири он) ба ҳамлагар имкон медиҳад, ки ҳама гуна файлҳоро таҳрир кунад (дар ин ҳолат, ҳангоми боркунии GRUB2, корбари воқеӣ огоҳ карда намешавад. Вазъ ҳамон <0> аст)
* Қисмати рамзнашуда васл мекунад, "/mnt/boot/grub/grub.cfg" -ро нигоҳ медорад.
* Боркунакро аз нав насб мекунад (нест кардани "perskey" аз тасвири core.img)

grub-install --force --root-directory=/mnt /dev/sda6

* "grub.cfg" > "/mnt/boot/grub/grub.cfg" -ро бармегардонад, онро дар ҳолати зарурӣ таҳрир мекунад, масалан, модули "keylogger.mod" -ро ба ҷузвдон бо модулҳои боркунак дар "grub.cfg" илова мекунад > сатри "insmod keylogger". Ё, масалан, агар душман маккор бошад, пас аз дубора насб кардани GRUB2 (ҳама имзоҳо дар ҷои худ боқӣ мемонанд) он тасвири асосии GRUB2-ро бо истифода аз "grub-mkimage бо вариант (-c)" месозад. Опсияи "-c" ба шумо имкон медиҳад, ки конфигуратсияи худро пеш аз боркунии "grub.cfg"-и асосӣ бор кунед. Конфигуратсия метавонад аз як сатр иборат бошад: масир ба ҳама гуна "modern.cfg", омехта, масалан, бо ~400 файл (модулҳо+имзоҳо) дар ҷузвдони "/boot/grub/i386-pc". Дар ин ҳолат, ҳамлакунанда метавонад коди худсарона ворид кунад ва модулҳоро бидуни таъсир ба "/boot/grub/grub.cfg" бор кунад, ҳатто агар корбар "hashsum" -ро ба файл татбиқ карда бошад ва онро муваққатан дар экран нишон диҳад.
Ба ҳамлагар лозим нест, ки логин/пароли суперкорбари GRUB2-ро вайрон кунад; вай танҳо бояд сатрҳоро нусхабардорӣ кунад (масъул барои аутентификатсия) "/boot/grub/grub.cfg" ба "modern.cfg"-и худ

танзим кардани superusers = "реша"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

Ва соҳиби компютер то ҳол ҳамчун суперкорбари GRUB2 тасдиқ карда мешавад.

Боркунии занҷир (боркунак боркунаки дигарро бор мекунад), чунон ки ман дар боло навиштам, маъно надорад (он барои мақсадҳои дигар пешбинӣ шудааст). Бо сабаби BIOS боркунаки рамзгузорро бор кардан мумкин нест (боркунии занҷир GRUB2-ро аз нав оғоз мекунад> GRUB2-и рамзгузорӣ, хато!). Аммо, агар шумо ба ҳар ҳол идеяи боркунии занҷирро истифода баред, шумо боварӣ дошта метавонед, ки он рамзи рамзгузоришуда аст, ки бор карда мешавад. (модернизатсия нашудааст) "grub.cfg" аз қисмати рамзшуда. Ва ин ҳам ҳисси бардурӯғи амният аст, зеро ҳама чизест, ки дар "grub.cfg" рамзгузорӣ шудааст. (боркунии модул) ба модулҳое илова мекунад, ки аз GRUB2 рамзнашуда бор карда мешаванд.

Агар шумо хоҳед, ки инро тафтиш кунед, пас қисмати дигари sdaY-ро ҷудо кунед/рамз кунед, GRUB2-ро ба он нусхабардорӣ кунед (амали насби grub дар қисмати рамзшуда имконнопазир аст) ва дар "grub.cfg" (конфигуратсияи рамзнашуда) чунин сатрҳоро тағир диҳед

менюи 'GRUBx2' --синфи паррот --синфи gnu-linux --синфи gnu --синфи OS $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
бор_видео
insmod gzio
агар [ x$grub_platform = xxen ]; пас insmod xzio; insmod lzopio; фи
insmod part_msdos
cryptodisk insmod
insmod lux
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
муқаррарӣ /boot/grub/grub.cfg
}

хатҳои
* insmod - боркунии модулҳои зарурӣ барои кор бо диски рамзгузорӣ;
* GRUBx2 - номи сатр дар менюи пурборкунандаи GRUB2 нишон дода мешавад;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -нигаред. fdisk -l (sda9);
* насб кардани реша - насб кардани реша;
* муқаррарӣ /boot/grub/grub.cfg - файли конфигуратсияи иҷрошаванда дар ҳиҷобест рамзкунонидашуда.

Боварӣ ба он ки маҳз "grub.cfg"-и рамзгузоришуда, ки бор карда мешавад, посухи мусбат барои ворид кардани парол/қуфл "sdaY" ҳангоми интихоби хати "GRUBx2" дар менюи GRUB мебошад.

Ҳангоми кор дар CLI, то ошуфта нашавед (ва санҷед, ки оё тағирёбандаи муҳити "маҷмӯи реша" кор кардааст), файлҳои аломати холӣ эҷод кунед, масалан, дар қисмати рамзгузоришудаи "/shifr_grub", дар бахши рамзнашуда "/noshifr_grub". Санҷиш дар CLI

cat /Tab-Tab

Тавре ки дар боло зикр гардид, ин барои зеркашии модулҳои зараровар кӯмак намекунад, агар чунин модулҳо дар компютери шумо хотима ёбанд. Масалан, клавиатурае, ки қодир аст, ки зарбаҳои клавиатураро дар файл захира кунад ва онро бо файлҳои дигар дар "~/i386" омехта кунад, то он даме, ки он аз ҷониби ҳамлакунанда бо дастрасии ҷисмонӣ ба компютер зеркашӣ карда шавад.

Роҳи осонтарини тасдиқи он, ки ҳифзи имзои рақамӣ фаъол аст (аз нав барқарор нашудааст), ва ҳеҷ кас ба пурборкунанда ҳамла накардааст, фармонро дар CLI ворид кунед

list_trusted

дар ҷавоб мо нусхаи "перски"-и худро мегирем ё агар ба мо ҳамла кунанд, мо чизе намегирем (шумо инчунин бояд "set check_signatures=enforce" -ро тафтиш кунед).
Камбудии назарраси ин қадам ба таври дастӣ ворид кардани фармонҳо мебошад. Агар шумо ин фармонро ба "grub.cfg" илова кунед ва конфигуратсияро бо имзои рақамӣ муҳофизат кунед, пас баромади пешакии тасвири калидӣ дар экран дар вақт хеле кӯтоҳ аст ва шумо шояд пас аз боркунии GRUB2 барои дидани натиҷа вақт надоред .
Аз ҷумла касе нест, ки даъво кунад: таҳиякунанда дар худ хуччатхо банди 18.2 расман эълон мекунад

"Дар хотир доред, ки ҳатто бо муҳофизати пароли GRUB, худи GRUB наметавонад касеро, ки дастрасии ҷисмонӣ ба мошин дорад, аз тағир додани конфигуратсияи нармафзори ин мошин (масалан, Coreboot ё BIOS) пешгирӣ кунад, то мошинро аз дастгоҳи дигар (аз ҷониби ҳамлакунанда назоратшаванда) пурбор кунад. GRUB беҳтарин танҳо як пайванд дар занҷири пурборкунандаи бехатар аст."

GRUB2 бо функсияҳое, ки метавонанд ҳисси бехатарии бардурӯғро фароҳам оранд, аз ҳад зиёд пурбор карда шудаанд ва таҳияи он аз ҷиҳати функсия аллакай аз MS-DOS пеш гузаштааст, аммо он танҳо як боркунак аст. Аҷиб аст, ки GRUB2 - "фардо" метавонад ба OS табдил ёбад ва мошинҳои виртуалии пурборшавандаи GNU/Linux барои он.

Видеои кӯтоҳ дар бораи он ки чӣ гуна ман муҳофизати имзои рақамии GRUB2-ро аз нав барқарор кардам ва дахолати худро ба корбари воқеӣ эълон кардам (Ман шуморо тарсидам, аммо ба ҷои он чизе ки дар видео нишон дода шудааст, шумо метавонед коди худсаронаи безарарро нависед/.mod).

Натиҷаҳо:

1) Татбиқи рамзгузории системаи блок барои Windows осонтар аст ва муҳофизат бо як парол нисбат ба муҳофизат бо якчанд паролҳо бо рамзгузории системаи блоки GNU/Linux қулайтар аст, ба ростӣ: охирин автоматӣ аст.

2) Ман мақоларо ҳамчун мувофиқ ва муфассал навиштам оддӣ дастур оид ба рамзгузории пурраи диск VeraCrypt/LUKS дар як хона мошин, ки то ҳол беҳтарин дар RuNet (IMHO) аст. Дастур зиёда аз 50 ҳазор аломат аст, бинобар ин он баъзе бобҳои ҷолибро фаро нагирифтааст: криптографоне, ки нопадид мешаванд/дар соя нигоҳ медоранд; дар бораи он, ки дар китобҳои гуногуни GNU/Linux онҳо дар бораи криптография кам менависанд/наменависанд; дар бораи моддаи 51 Конституцияи Федерацияи Россия; О иҷозатномадиҳӣ/манъ рамзгузорӣ дар Федератсияи Русия, дар бораи он, ки чаро ба шумо лозим аст, ки "реша / пурбор" -ро рамзгузорӣ кунед. Дастур хеле васеъ, вале муфассал баромад. (ҳатто қадамҳои оддиро тавсиф мекунад), дар навбати худ, ин ба шумо вақти зиёдеро сарфа мекунад, вақте ки шумо ба "рамзгузории воқеӣ" меоед.

3) Рамзгузории пурраи диск дар Windows 7 64 анҷом дода шуд; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.

4) Ҳамлаи бомуваффақият ба амал овард Ӯ Боркунаки GRUB2.

5) Дарсӣ барои кӯмак ба ҳамаи одамони параноид дар ИДМ таҳия шудааст, ки дар он ҷо кор бо рамзгузорӣ дар сатҳи қонунгузорӣ иҷозат дода шудааст. Ва пеш аз ҳама барои онҳое, ки мехоҳанд рамзгузории пурраи дискро бидуни вайрон кардани системаҳои танзимшудаи худ паҳн кунанд.

6) Дастури ман, ки дар соли 2020 мувофиқ аст, аз нав кор карда ва нав карда шуд.

[G] Ҳуҷҷатҳои муфид

1. Дастури корбар TrueCrypt (Феврали 2012 RU)
2. Ҳуҷҷатҳои VeraCrypt
3. /usr/share/doc/cryptsetup(-run) [манбаи маҳаллӣ] (ҳуҷҷатҳои муфассали расмӣ оид ба танзими рамзгузории GNU/Linux бо истифода аз cryptsetup)
4. cryptsetup FAQ расмии FAQ (ҳуҷҷатҳои мухтасар оид ба танзими рамзгузории GNU/Linux бо истифода аз cryptsetup)
5. Рамзгузории дастгоҳи LUKS (ҳуҷҷатҳои Archlinux)
6. Тавсифи муфассали синтаксиси cryptsetup (саҳифаи arch man)
7. Тавсифи муфассали crypttab (саҳифаи arch man)
8. Ҳуҷҷатҳои расмии GRUB2.

Барчаспҳо: рамзгузории пурраи диск, рамзгузории қисмҳо, рамзгузории пурраи диски Linux, рамзгузории пурраи система LUKS1.

Танҳо корбарони сабтиномшуда метавонанд дар пурсиш иштирок кунанд. даромад, Лутфан.

Шумо рамзгузорӣ мекунед?

• 17,1%Ман ҳама чизеро, ки метавонам, рамзгузорӣ кунам. Ман параноид ҳастам.14

• 34,2%Ман танҳо маълумоти муҳимро рамзгузорӣ мекунам.28

• 14,6%Баъзан рамзгузорӣ мекунам, баъзан фаромӯш мекунам.12

• 34,2%Не, ман рамзгузорӣ намекунам, ин нороҳат ва гарон аст.28

82 корбар овоз доданд. 22 корбар худдорӣ карданд.

Манбаъ: will.com