Windows Linux yüklü sistemlerin tam disk şifrelemesi. Şifreli çoklu önyükleme

RuNet V0.2'de tam disk şifrelemesine ilişkin kendi kılavuzu güncellendi.

Kovboy stratejisi:

[A] Windows 7 sistemi kurulu sistemin şifrelenmesini engeller;
[B] GNU/Linux sistem blok şifrelemesi (Debian) kurulu sistem (/önyükleme dahil);
[C] GRUB2 yapılandırması, dijital imza/kimlik doğrulama/karma ile önyükleyici koruması;
[D] sıyırma—şifrelenmemiş verilerin imhası;
[E] şifrelenmiş işletim sisteminin evrensel yedeği;
[F] saldırı <[C6]> öğesine saldırı - GRUB2 önyükleyici;
[G]yararlı belgeler.

╭───#oda 40# diyagramı :
├──╼ Windows 7 yüklü - tam sistem şifrelemesi, gizli değil;
├──╼ GNU/Linux yüklü (Debian ve türev dağıtımları) — tam sistem şifrelemesi, gizli değil(/, /boot; swap dahil);
├──╼ bağımsız önyükleyiciler: VeraCrypt önyükleyici MBR'ye kuruludur, GRUB2 önyükleyici genişletilmiş bölüme kuruludur;
├──╼İşletim sistemi kurulumu/yeniden kurulumu gerekmez;
└──╼kullanılan şifreleme yazılımı: VeraCrypt; Şifreleme kurulumu; GnuPG; Denizatı; Hashdeep; GRUB2 ücretsizdir/ücretsizdir.

Yukarıdaki şema, "bir flash sürücüye uzaktan önyükleme" sorununu kısmen çözer, şifrelenmiş Windows/Linux işletim sisteminin keyfini çıkarmanıza ve bir işletim sisteminden diğerine "şifreli bir kanal" aracılığıyla veri alışverişi yapmanıza olanak tanır.

PC önyükleme sırası (seçeneklerden biri):

• makineyi açmak;
• VeraCrypt önyükleyicisini yükleme (Doğru şifrenin girilmesi Windows 7'yi başlatmaya devam edecektir);
• "Esc" tuşuna basmak GRUB2 önyükleyicisini yükleyecektir;
• GRUB2 önyükleyici (dağıtım/GNU/Linux/CLI'yi seçin)GRUB2 süper kullanıcısı <giriş/şifre> kimlik doğrulamasını gerektirir;
• Başarılı kimlik doğrulaması ve dağıtım seçiminden sonra, “/boot/initrd.img”nin kilidini açmak için bir parola girmeniz gerekecektir;
• Hatasız şifreler girdikten sonra GRUB2 bir şifre girişi "gerektirecektir" (üçüncüsü, BIOS şifresi veya GNU/Linux kullanıcı hesabı şifresi – dikkate almayın) GNU/Linux işletim sisteminin kilidini açmak ve önyüklemek veya gizli bir anahtarın otomatik olarak değiştirilmesi için (iki şifre + anahtar veya şifre + anahtar);
• GRUB2 yapılandırmasına dışarıdan izinsiz giriş GNU/Linux önyükleme işlemini donduracaktır.

Zahmetli mi? Tamam, hadi işlemleri otomatikleştirelim.

Bir sabit sürücüyü bölümlere ayırırken (MBR tablosu) Bir PC'de en fazla 4 ana bölüm veya 3 ana ve bir genişletilmiş bölüm ve ayrıca ayrılmamış bir alan bulunabilir. Genişletilmiş bir bölüm, ana bölümden farklı olarak alt bölümler içerebilir (mantıksal sürücüler=genişletilmiş bölüm). Başka bir deyişle, HDD üzerindeki "genişletilmiş bölüm", eldeki görev için LVM'nin yerini alır: tam sistem şifrelemesi. Diskiniz 4 ana bölüme ayrılmışsa lvm kullanmanız veya dönüştürmeniz gerekir. (biçimlendirme ile) Ana bölümden gelişmiş bölüme doğru ilerleyin veya dört bölümün tamamını akıllıca kullanın ve her şeyi olduğu gibi bırakarak istediğiniz sonucu elde edin. Diskinizde bir bölüm olsa bile Gparted, HDD'nizi bölümlendirmenize yardımcı olacaktır. (ek bölümler için) veri kaybı olmadan, ancak yine de bu tür eylemler için küçük bir cezayla.

Makalenin tamamının sözlü olarak aktarılacağı sabit disk yerleşim şeması aşağıdaki tabloda sunulmaktadır.

1TB bölümlerinin tablosu (No. 1).

Sizde de benzer bir şey olmalı.
sda1 - ana bölüm No. 1 NTFS (şifreli);
sda2 - genişletilmiş bölüm işaretçisi;
sda6 - mantıksal disk (GRUB2 önyükleyicisi kuruludur);
sda8 - takas (şifreli takas dosyası/her zaman değil);
sda9 - mantıksal diski test edin;
sda5 - meraklılar için mantıksal disk;
sda7 - GNU/Linux işletim sistemi (işletim sistemi şifrelenmiş bir mantıksal diske aktarılmıştır);
sda3 - Windows 2 işletim sistemi ile 7 numaralı ana bölüm (şifreli);
sda4 - ana bölüm No. 3 (yedekleme için kullanılan/her zaman değil, şifrelenmemiş GNU/Linux içeriyordu).

[A] Windows 7 Sistem Blok Şifrelemesi

A1. VeraCrypt

itibaren yükleniyor resmi sitesiveya aynadan sourceforge VeraCrypt şifreleme yazılımının kurulum sürümü (v1.24-Güncelleme3 makalesinin yayınlandığı tarihte VeraCrypt'in taşınabilir sürümü sistem şifrelemesi için uygun değildir). İndirilen yazılımın sağlama toplamını kontrol edin

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

ve sonucu VeraCrypt geliştirici web sitesinde yayınlanan CS ile karşılaştırın.

HashTab yazılımı yüklüyse her şey daha da kolay: RMB (VeraCrypt Kurulumu 1.24.exe)-özellikler - dosyaların karma toplamı.

Program imzasını doğrulamak için yazılımın ve geliştiricinin genel pgp anahtarının sistemde yüklü olması gerekir gnuPG; gpg4win.

A2. VeraCrypt yazılımını yönetici haklarıyla kurma/çalıştırma

A3. Aktif bölüm için sistem şifreleme parametrelerini seçmeVeraCrypt – Sistem – Sistem bölümünü/diski şifrele – Normal – Windows sistem bölümünü şifrele – Çoklu önyükleme – (uyarı: “Deneyimsiz kullanıcıların bu yöntemi kullanması tavsiye edilmez” ve bu doğrudur, biz de “Evet”e katılıyoruz) – Önyükleme diski (“evet”, öyle olmasa bile yine de “evet”) – Sistem diski sayısı “2 veya daha fazla” – Bir diskte birden fazla sistem “Evet” – Windows olmayan önyükleyici “Hayır” (aslında "Evet", ancak VeraCrypt/GRUB2 önyükleme yükleyicileri MBR'yi kendi aralarında paylaşmaz; daha doğrusu, önyükleme yükleyici kodunun yalnızca en küçük kısmı MBR/önyükleme yolunda depolanır, ana kısmı dosya sistemi içinde bulunur) – Çoklu önyükleme – Şifreleme ayarları…

Yukarıdaki adımlardan saparsanız (sistem şifreleme şemalarını bloke edin), VeraCrypt bir uyarı verecek ve bölümü şifrelemenize izin vermeyecektir.

Hedeflenen veri korumasına yönelik bir sonraki adımda bir "Test" gerçekleştirin ve bir şifreleme algoritması seçin. Eski bir CPU'nuz varsa, büyük olasılıkla en hızlı şifreleme algoritması Twofish olacaktır. CPU güçlüyse farkı fark edeceksiniz: Test sonuçlarına göre AES şifrelemesi, kripto rakiplerinden birkaç kat daha hızlı olacaktır. AES popüler bir şifreleme algoritmasıdır; modern CPU'ların donanımı hem "gizli" hem de "hackleme" için özel olarak optimize edilmiştir.

VeraCrypt, AES kademesinde diskleri şifreleme özelliğini destekler(İki balık)/ve diğer kombinasyonlar. On yıl önceki eski çekirdekli Intel CPU'da (AES, A/T basamaklı şifreleme için donanım desteği olmadan) Performanstaki düşüş aslında farkedilemez. (aynı döneme/~parametrelere sahip AMD CPU'lar için performans biraz azalır). İşletim sistemi dinamik olarak çalışır ve şeffaf şifreleme için kaynak tüketimi görünmez. Bunun aksine, örneğin, yüklü dengesiz test masaüstü ortamı Mate v1.20.1 nedeniyle performansta gözle görülür bir düşüş var. (veya v1.20.2 tam olarak hatırlamıyorum) GNU/Linux'ta veya Windows7↑'de telemetri rutininin çalışması nedeniyle. Genellikle deneyimli kullanıcılar şifrelemeden önce donanım performans testleri gerçekleştirir. Örneğin, Aida64/Sysbench/systemd-analyze'de suçlama, sistem şifrelendikten sonra yapılan aynı testlerin sonuçlarıyla karşılaştırılıyor ve böylece "sistem şifrelemenin zararlı olduğu" efsanesi çürütülüyor. Makinenin yavaşlaması ve şifrelenmiş verileri yedeklerken/geri yüklerken ortaya çıkan rahatsızlık fark edilir, çünkü "sistem veri yedekleme" işleminin kendisi ms cinsinden ölçülmez ve aynı <anında şifre çözme/şifreleme> eklenir. Sonuçta, kriptografiyle uğraşmasına izin verilen her kullanıcı, şifreleme algoritmasını, eldeki görevlerin tatminine, paranoya düzeyine ve kullanım kolaylığına göre dengeler.

PIM parametresini varsayılan olarak bırakmak daha iyidir, böylece işletim sistemini yüklerken her seferinde tam yineleme değerlerini girmenize gerek kalmaz. VeraCrypt gerçekten "yavaş bir karma" oluşturmak için çok sayıda yineleme kullanır. Böyle bir "kripto salyangozuna" kaba kuvvet/gökkuşağı tabloları yöntemi kullanılarak yapılan bir saldırı, yalnızca kısa bir "basit" parola ve kurbanın kişisel karakter kümesi listesiyle anlamlı olur. Şifre gücü için ödenecek bedel, işletim sistemi yüklenirken doğru şifrenin girilmesinde yaşanan gecikmedir. (VeraCrypt birimlerinin GNU/Linux'a bağlanması önemli ölçüde daha hızlıdır).
Kaba kuvvet saldırılarını uygulamak için ücretsiz yazılım (VeraCrypt/LUKS disk başlığından parolayı çıkarın) Hashcat. Karındeşen John "Veracrypt'in nasıl kırılacağını" bilmiyor ve LUKS ile çalışırken Twofish şifrelemesini anlamıyor.

Şifreleme algoritmalarının kriptografik gücü nedeniyle durdurulamayan şifrepunklar farklı bir saldırı vektörüne sahip yazılımlar geliştiriyorlar. Örneğin, meta verileri/anahtarları RAM'den çıkarmak (soğuk önyükleme/doğrudan bellek erişimi saldırısı), Bu amaçlara yönelik özel özgür ve özgür olmayan yazılımlar vardır.

Şifrelenmiş aktif bölümün "benzersiz meta verilerini" ayarlama/oluşturma tamamlandıktan sonra VeraCrypt, bilgisayarı yeniden başlatmayı ve önyükleyicinin işlevselliğini test etmeyi önerecektir. Windows'u yeniden başlattıktan/başlattıktan sonra VeraCrypt bekleme modunda yüklenecektir, geriye kalan tek şey şifreleme işlemini onaylamaktır - Y.

Sistem şifrelemenin son adımında VeraCrypt, aktif şifrelenmiş bölümün başlığının “veracrypt kurtarma diski.iso” biçiminde bir yedek kopyasını oluşturmayı önerecektir - bu yapılmalıdır - bu yazılımda böyle bir işlem bir gerekliliktir (LUKS'ta bir gereklilik olarak - bu ne yazık ki atlanmıştır, ancak belgelerde vurgulanmıştır). Kurtarma diski herkes için ve bazıları için birden fazla kez kullanışlı olacaktır. Kayıp (başlık/MBR yeniden yazma) başlığın yedek kopyası, işletim sistemi Windows'ta şifresi çözülmüş bölüme erişimi kalıcı olarak reddedecektir.

A4. VeraCrypt kurtarma USB'si/diski oluşturmaVeraCrypt varsayılan olarak bir CD'ye "~2-3MB meta veri" yazmayı önerir, ancak herkesin diski veya DWD-ROM sürücüsü yoktur ve önyüklenebilir bir flash sürücü "VeraCrypt Kurtarma diski" oluşturmak bazıları için teknik bir sürpriz olacaktır: Rufus /GUIdd-ROSA ImageWriter ve diğer benzer yazılımlar bu görevle baş edemeyecek çünkü ofset meta verilerini önyüklenebilir bir flash sürücüye kopyalamanın yanı sıra, görüntüyü USB sürücüsünün dosya sisteminin dışına kopyalamanız/yapıştırmanız gerekir. kısacası, MBR'yi/yolu anahtarlığa doğru şekilde kopyalayın. Bu işarete bakarak “dd” yardımcı programını kullanarak GNU/Linux işletim sisteminden önyüklenebilir bir flash sürücü oluşturabilirsiniz.

Windows ortamında kurtarma diski oluşturmak farklıdır. VeraCrypt geliştiricisi bu sorunun çözümünü resmi açıklamada yer almadı belgeleme "kurtarma diski" ile, ancak farklı bir çözüm önerdi: VeraCrypt forumunda ücretsiz erişim için bir "usb kurtarma diski" oluşturmak için ek yazılım yayınladı. Windows için bu yazılımın arşivcisi “usb veracrypt kurtarma diski oluşturuyor”. Kurtarma disk.iso'yu kaydettikten sonra, aktif bölümün sistem şifrelemesini engelleme işlemi başlayacaktır. Şifreleme sırasında işletim sisteminin çalışması durmaz; bilgisayarın yeniden başlatılması gerekmez. Şifreleme işleminin tamamlanmasının ardından aktif bölüm tamamen şifrelenir ve kullanılabilir. PC'yi başlattığınızda VeraCrypt önyükleme yükleyicisi görünmüyorsa ve başlık kurtarma işlemi yardımcı olmuyorsa, "önyükleme" işaretini kontrol edin, Windows'un bulunduğu bölüme ayarlanmalıdır. (şifreleme ve diğer işletim sistemlerinden bağımsız olarak, bkz. tablo No. 1).
Bu, Windows işletim sistemi ile blok sistem şifrelemesinin açıklamasını tamamlar.

[B]LUKS. GNU/Linux şifrelemesi (~Debian) yüklü işletim sistemi. Algoritma ve Adımlar

Kurulu bir Debian/türev dağıtımını şifrelemek için, hazırlanan bölümü sanal bir blok cihaza eşlemeniz, eşlenen GNU/Linux diskine aktarmanız ve GRUB2'yi kurmanız/yapılandırmanız gerekir. Çıplak donanım sunucunuz yoksa ve zamanınıza değer veriyorsanız, GUI'yi kullanmanız gerekir ve aşağıda açıklanan terminal komutlarının çoğunun "Chuck-Norris modunda" çalıştırılması amaçlanmıştır.

B1. PC'yi canlı USB GNU/Linux'tan önyükleme

“Donanım performansı için kripto testi yapın”

lscpu && сryptsetup benchmark

AES donanım desteğine sahip güçlü bir arabanın mutlu sahibiyseniz, rakamlar terminalin sağ tarafındaki gibi görünecektir; eğer mutlu bir sahibiyseniz ancak antika donanıma sahipseniz, rakamlar sol taraftaki gibi görünecektir.

B2. Disk bölümleme. fs mantıksal disk HDD'sini Ext4'e (Gparted) bağlama/biçimlendirme

B2.1. Şifrelenmiş bir sda7 bölüm başlığı oluşturmaYukarıda yayınlanan bölümleme tabloma uygun olarak bölümlerin adlarını burada ve daha sonra açıklayacağım. Disk düzeninize göre bölüm adlarınızı değiştirmelisiniz.

Mantıksal Sürücü Şifreleme Eşlemesi (/dev/sda7 > /dev/mapper/sda7_crypt).
#Kolay bir “LUKS-AES-XTS bölümü” oluşturma

cryptsetup -v -y luksFormat /dev/sda7

Seçenekler:

* luksFormat - LUKS başlığının başlatılması;
* -y -parola (anahtar/dosya değil);
* -v -sözelleştirme (terminaldeki bilgilerin görüntülenmesi);
* /dev/sda7 - genişletilmiş bölümdeki mantıksal diskiniz (GNU/Linux'un aktarılması/şifrelenmesinin planlandığı yer).

Varsayılan şifreleme algoritması <LUKS1: aes-xts-plain64, Anahtar: 256 bit, LUKS başlık karma değeri: sha256, RNG: /dev/urandom> (cryptsetup sürümüne bağlıdır).

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

CPU'da AES için donanım desteği yoksa en iyi seçim genişletilmiş bir "LUKS-Twofish-XTS bölümü" oluşturmak olacaktır.

B2.2. “LUKS-Twofish-XTS-bölümünün” gelişmiş oluşturulması

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

Seçenekler:
* luksFormat - LUKS başlığının başlatılması;
* /dev/sda7 gelecekteki şifrelenmiş mantıksal diskinizdir;
* -v sözelleştirme;
* -y parola;
* -c veri şifreleme algoritmasını seçin;
* -s şifreleme anahtarı boyutu;
* -h karma algoritması/kripto işlevi, kullanılan RNG (--urandom'u kullanın) mantıksal disk başlığı için benzersiz bir şifreleme/şifre çözme anahtarı, ikincil bir başlık anahtarı (XTS) oluşturmak için; şifrelenmiş disk başlığında saklanan benzersiz bir ana anahtar, ikincil bir XTS anahtarı, tüm bu meta veriler ve ana anahtarı ve ikincil XTS anahtarını kullanarak bölümdeki tüm verileri şifreleyen/şifresini çözen bir şifreleme rutini (bölüm başlığı hariç) seçilen sabit disk bölümünde ~3 MB'ta saklanır.
* -i "miktar" yerine milisaniye cinsinden yinelemeler (parolanın işlenmesi sırasındaki gecikme, işletim sisteminin yüklenmesini ve anahtarların kriptografik gücünü etkiler). Kriptografik güç dengesini korumak için, "Rusça" gibi basit bir şifreyle -(i) değerini artırmanız gerekir; "?8dƱob/øfh" gibi karmaşık bir şifreyle değer azaltılabilir.
* —use-urandom rastgele sayı üreteci, anahtarlar ve tuz üretir.

sda7 > sda7_crypt bölümünü eşledikten sonra (~3 MB meta veri ile şifrelenmiş bir başlık oluşturulduğundan işlem hızlıdır ve hepsi bu)sda7_crypt dosya sistemini biçimlendirmeniz ve bağlamanız gerekir.

B2.3. Karşılaştırmak

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

seçenekler:
* aç - bölümü “adla” eşleştirin;
* /dev/sda7 -mantıksal disk;
* sda7_crypt - şifrelenmiş bölümü monte etmek veya işletim sistemi önyüklendiğinde onu başlatmak için kullanılan ad eşleme.

B2.4. Sda7_crypt dosya sistemini ext4 olarak biçimlendirmek. İşletim sistemine bir disk takma(Not: Gparted'de şifrelenmiş bir bölümle çalışamazsınız)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt 

seçenekler:
* -v -sözelleştirme;
* -L - sürücü etiketi (diğer sürücülerin yanı sıra Explorer'da da görüntülenir).

Daha sonra, sanal şifreli blok cihazını /dev/sda7_crypt'i sisteme bağlamalısınız.

mount /dev/mapper/sda7_crypt /mnt

/mnt klasöründeki dosyalarla çalışmak, sda7'deki verileri otomatik olarak şifreleyecek/şifresini çözecektir.

Bölümü Explorer'da eşlemek ve monte etmek daha uygundur (nautilus/caja GUI), bölüm zaten disk seçim listesinde olacaktır, geriye kalan tek şey diski açmak/şifresini çözmek için parolayı girmektir. Eşleşen ad otomatik olarak seçilecektir ve "sda7_crypt" değil, /dev/mapper/Luks-xx-xx gibi bir ad seçilecektir...

B2.5. Disk başlığı yedeklemesi (~3 MB meta veri)En çok biri önemli gecikmeden yapılması gereken işlemler - “sda7_crypt” başlığının yedek kopyası. Başlığın üzerine yazarsanız/zarar verirseniz (örneğin, GRUB2'nin sda7 bölümüne kurulması vb.)şifrelenmiş veriler, herhangi bir kurtarılma olanağı olmadan tamamen kaybolacaktır çünkü aynı anahtarların yeniden oluşturulması imkansız olacaktır; anahtarlar benzersiz şekilde yaratılmıştır.

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7 

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

seçenekler:
* luksHeaderBackup —başlık-yedekleme dosyası -yedekleme komutu;
* luksHeaderRestore —başlık-yedekleme-dosyası -geri yükleme komutu;
* ~/Backup_DebSHIFR - yedekleme dosyası;
* /dev/sda7 - şifrelenmiş disk başlığı yedek kopyasının kaydedileceği bölüm.
Bu adımda <şifreli bölümün oluşturulması ve düzenlenmesi> tamamlanır.

B3. GNU/Linux işletim sistemini taşıma (sda4) şifrelenmiş bir bölüme (sda7)

Bir klasör /mnt2 oluşturun (Not - hala canlı usb ile çalışıyoruz, sda7_crypt /mnt'ye monte edilmiştir)ve GNU/Linux'umuzu şifrelenmesi gereken /mnt2'ye bağlayın.

mkdir /mnt2
mount /dev/sda4 /mnt2

Rsync yazılımını kullanarak doğru işletim sistemi aktarımını gerçekleştiriyoruz

rsync -avlxhHX --progress /mnt2/ /mnt

Rsync seçenekleri E1 paragrafında açıklanmıştır.

Ayrıca, gerekli mantıksal disk bölümünü birleştirme

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

Bunu bir kural haline getirin: HDD'niz varsa zaman zaman şifrelenmiş GNU/LInux üzerinde e4defrag yapın.
Aktarım ve senkronizasyon [GNU/Linux > GNU/Linux şifreli] bu adımda tamamlanır.

4'te. Şifrelenmiş bir sda7 bölümünde GNU/Linux'u kurma

OS /dev/sda4 > /dev/sda7'yi başarıyla aktardıktan sonra, şifrelenmiş bölümde GNU/Linux'ta oturum açmanız ve daha fazla yapılandırma yapmanız gerekir. (PC'yi yeniden başlatmadan) şifreli bir sisteme göre. Yani, canlı USB'de olun, ancak "şifrelenmiş işletim sisteminin köküne göre" komutları yürütün. “chroot” da benzer bir durumu simüle edecektir. Şu anda hangi işletim sistemiyle çalıştığınıza ilişkin bilgileri hızlı bir şekilde almak için (şifrelenmiş veya şifrelenmemiş, çünkü sda4 ve sda7'deki veriler senkronize edilmiştir), işletim sisteminin senkronizasyonunu kaldırın. Kök dizinlerde oluşturun (sda4/sda7_crypt) boş işaretleyici dosyaları, örneğin, /mnt/encryptedOS ve /mnt2/decryptedOS. Hangi işletim sistemini kullandığınızı hızlı bir şekilde kontrol edin (gelecek için de dahil):

ls /<Tab-Tab>

B4.1. “Şifreli bir işletim sistemine giriş simülasyonu”

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. İşin şifreli bir sisteme karşı yürütüldüğünün doğrulanması

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. Şifreli takas oluşturma/yapılandırma, crypttab/fstab'ı düzenlemeTakas dosyası, işletim sistemi her başlatıldığında biçimlendirildiğinden, artık takas oluşturup mantıksal bir diske eşlemenin ve paragraf B2.2'deki gibi komutlar girmenin bir anlamı yoktur. Takas için, her başlangıçta otomatik olarak kendi geçici şifreleme anahtarları oluşturulacaktır. Takas anahtarlarının yaşam döngüsü: takas bölümünün bağlantısını kesme/bağlantısını kaldırma (+RAM temizleme); veya işletim sistemini yeniden başlatın. Takas kurulumu, blok şifreli cihazların konfigürasyonundan sorumlu dosyayı açma (fstab dosyasına benzer, ancak kriptodan sorumludur).

nano /etc/crypttab 

düzenliyoruz

#"hedef adı" "kaynak cihaz" "anahtar dosyası" "seçenekler"
swap /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512

Seçenekler
* takas - /dev/mapper/swap şifrelenirken eşlenen ad.
* /dev/sda8 - takas için mantıksal bölümünüzü kullanın.
* /dev/urandom - takas için rastgele şifreleme anahtarları oluşturucu (her yeni işletim sistemi önyüklemesinde yeni anahtarlar oluşturulur). /dev/urandom oluşturucusu /dev/random'dan daha az rastgeledir, çünkü tehlikeli paranoyak durumlarda çalışırken /dev/random kullanılır. İşletim sistemini yüklerken /dev/random yüklemeyi birkaç ± dakika yavaşlatır (bkz. systemd-analyze).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -bölüm takas olduğunu bilir ve “buna göre” biçimlendirilir; şifreleme algoritması.

#Открываем и правим fstab
nano /etc/fstab

düzenliyoruz

Kurulum sırasında # takas / dev / sda8 üzerindeydi
/dev/mapper/swap hiçbiri takas sw 0 0

/dev/mapper/swap crypttab'da belirlenen addır.

Alternatif şifreli takas
Herhangi bir nedenle bir takas dosyası için tüm bir bölümden vazgeçmek istemiyorsanız, alternatif ve daha iyi bir yol kullanabilirsiniz: İşletim sistemiyle şifrelenmiş bir bölümdeki bir dosyada bir takas dosyası oluşturmak.

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

Takas bölümü kurulumu tamamlandı.

B4.4. Şifrelenmiş GNU/Linux'u kurma (crypttab/fstab dosyalarını düzenleme)Yukarıda yazıldığı gibi /etc/crypttab dosyası, sistem önyüklemesi sırasında yapılandırılan şifrelenmiş blok aygıtlarını açıklar.

#правим /etc/crypttab 
nano /etc/crypttab 

sda7>sda7_crypt bölümünü paragraf B2.1'deki gibi eşleştirdiyseniz

# "hedef adı" "kaynak cihaz" "anahtar dosyası" "seçenekler"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

sda7>sda7_crypt bölümünü paragraf B2.2'deki gibi eşleştirdiyseniz

# "hedef adı" "kaynak cihaz" "anahtar dosyası" "seçenekler"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

sda7>sda7_crypt bölümünü B2.1 veya B2.2 paragrafındaki gibi eşleştirdiyseniz ancak işletim sisteminin kilidini açmak ve önyükleme yapmak için şifreyi yeniden girmek istemiyorsanız, şifre yerine gizli bir anahtar/rastgele dosya kullanabilirsiniz.

# "hedef adı" "kaynak cihaz" "anahtar dosyası" "seçenekler"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

Açıklama
* yok - işletim sistemi yüklenirken kökün kilidini açmak için gizli bir parola girilmesi gerektiğini bildirir.
* UUID - bölüm tanımlayıcı. Kimliğinizi öğrenmek için terminale yazın (Bu andan itibaren başka bir canlı USB terminalinde değil, chroot ortamındaki bir terminalde çalıştığınızı unutmayın).

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное 

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

bu satır, sda7_crypt takılıyken canlı usb terminalinden blkid istendiğinde görünür).
UUID'yi sdaX'inizden alıyorsunuz (sdaX_crypt değil!, UUID sdaX_crypt - grub.cfg yapılandırması oluşturulurken otomatik olarak bırakılacaktır).
* gelişmiş modda cipher=twofish-xts-plain64,size=512,hash=sha512 -luks şifreleme.
* /etc/skey - işletim sistemi önyüklemesinin kilidini açmak için otomatik olarak eklenen gizli anahtar dosyası (3. şifreyi girmek yerine). 8MB'a kadar herhangi bir dosyayı belirtebilirsiniz ancak veriler <1MB olarak okunacaktır.

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7 

Bunun gibi bir şeye benzeyecek:

(kendiniz yapın ve kendiniz görün).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab çeşitli dosya sistemleri hakkında açıklayıcı bilgiler içerir.

#Правим /etc/fstab
nano /etc/fstab

# "dosya sistemi" "bağlama noktası" "tür" "seçenekler" "döküm" "geçiş"
# / yükleme sırasında / dev / sda7 üzerindeydi
/dev/mapper/sda7_crypt / ext4 hataları=remount-ro 0 1

seçenek
* /dev/mapper/sda7_crypt - /etc/crypttab dosyasında belirtilen sda7>sda7_crypt eşlemesinin adı.
crypttab/fstab kurulumu tamamlandı.

B4.5. Yapılandırma dosyalarını düzenleme. Anahtar anB4.5.1. /etc/initramfs-tools/conf.d/resume yapılandırmasını düzenleme

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

ve yorum yapın (varsa) "#" satırı "devam ettir". Dosya tamamen boş olmalıdır.

B4.5.2. /etc/initramfs-tools/conf.d/cryptsetup yapılandırmasını düzenleme

nano /etc/initramfs-tools/conf.d/cryptsetup

eşleşmeli

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=evet
CRYPTSETUP'ı dışa aktar

B4.5.3. /etc/default/grub yapılandırmasını düzenleme (bu yapılandırma, şifreli /boot ile çalışırken grub.cfg oluşturma yeteneğinden sorumludur)

nano /etc/default/grub

“GRUB_ENABLE_CRYPTODISK=y” satırını ekleyin
'y' değeri, grub-mkconfig ve grub-install şifrelenmiş sürücüleri kontrol edecek ve önyükleme sırasında bunlara erişmek için gereken ek komutları oluşturacaktır (insmodlar ).
bir benzerlik olmalı

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || yankı Debian'
GRUB_CMDLINE_LINUX_DEFAULT = "acpi_backlight = satıcı"
GRUB_CMDLINE_LINUX = "sessiz sıçrama, otomatik montaj yok"
GRUB_ENABLE_CRYPTODISK=y

B4.5.4. Config /etc/cryptsetup-initramfs/conf-hook'u düzenleme

nano /etc/cryptsetup-initramfs/conf-hook

hattın olup olmadığını kontrol edin <#> yorumunu yaptı.
Gelecekte (ve şimdi bile bu parametrenin hiçbir anlamı olmayacaktır, ancak bazen initrd.img görüntüsünün güncellenmesine müdahale eder).

B4.5.5. Config /etc/cryptsetup-initramfs/conf-hook'u düzenleme

nano /etc/cryptsetup-initramfs/conf-hook

ekleme

KEYFILE_PATTERN=”/etc/skey”
UMASK=0077

Bu, "skey" gizli anahtarını initrd.img'ye paketleyecektir, işletim sistemi önyüklendiğinde kökün kilidini açmak için anahtar gereklidir (şifreyi tekrar girmek istemiyorsanız araba yerine “skey” tuşu kullanılır).

B4.6. /boot/initrd.img [sürüm] güncellemesini yapınGizli anahtarı initrd.img'ye paketlemek ve cryptsetup düzeltmelerini uygulamak için görüntüyü güncelleyin

update-initramfs -u -k all

initrd.img'yi güncellerken (“Mümkün ama kesin değil” derler) cryptsetup ile ilgili uyarılar veya örneğin Nvidia modüllerinin kaybıyla ilgili bir bildirim görünecektir - bu normaldir. Dosyayı güncelledikten sonra gerçekten güncellendiğini kontrol edin, saate bakın (chroot ortamına göre./boot/initrd.img). Uyarı! [update-initramfs -u -k all] öncesinde cryptsetup'ın açık /dev/sda7 olup olmadığını kontrol ettiğinizden emin olun. sda7_crypt - bu /etc/crypttab dosyasında görünen addır, aksi takdirde yeniden başlatmanın ardından bir meşgul kutusu hatası oluşacaktır)
Bu adımda yapılandırma dosyalarının ayarlanması tamamlanmıştır.

[C] GRUB2/Koruma'yı yükleme ve yapılandırma

C1. Gerekirse, önyükleyici için ayrılmış bölümü biçimlendirin (bir bölümün en az 20 MB olması gerekir)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. /dev/sda6'yı /mnt'ye bağlayınYani chroot'ta çalışıyoruz, o zaman kökte /mnt2 dizini olmayacak ve /mnt klasörü boş olacak.
GRUB2 bölümünü bağlayın

mount /dev/sda6 /mnt

GRUB2'nin eski bir sürümü yüklüyse /mnt/boot/grub/i-386-pc dizininde (başka bir platform da mümkündür; örneğin “i386-pc” değil) kripto modülü yok (kısacası, klasör şu modülleri içermelidir: cryptodisk; luks; gcry_twofish; gcry_sha512;signature_test.mod), bu durumda GRUB2'nin çalkalanması gerekir.

apt-get update
apt-get install grub2 

Önemli! GRUB2 paketini depodan güncellerken, önyükleyicinin nereye kurulacağının "seçilmesi hakkında" sorulduğunda kurulumu reddetmelisiniz (nedeni - GRUB2'yi “MBR”ye veya canlı USB'ye yüklemeyi deneyin). Aksi halde VeraCrypt başlığına/yükleyicisine zarar verirsiniz. GRUB2 paketlerini güncelledikten ve kurulumu iptal ettikten sonra, önyükleyicinin MBR'ye değil mantıksal diske manuel olarak kurulması gerekir. Deponuzda GRUB2'nin eski bir sürümü varsa deneyin güncelleme resmi web sitesinden - kontrol etmedim (en son GRUB 2.02 ~BetaX önyükleyicileriyle çalıştı).

C3. GRUB2'yi genişletilmiş bir bölüme yükleme [sda6]Monte edilmiş bir bölümünüz olmalıdır [madde C.2]

grub-install --force --root-directory=/mnt /dev/sda6

seçenekler
* —force - önyükleyicinin kurulumu, neredeyse her zaman mevcut olan tüm uyarıları atlayarak kurulumu engeller (gerekli bayrak).
* --root-directory - dizin kurulumu sda6'nın köküne.
* /dev/sda6 - sdaХ bölümünüz (/mnt /dev/sda6 arasındaki <boşluk> kısmını kaçırmayın).

C4. Yapılandırma dosyası oluşturma [grub.cfg]"update-grub2" komutunu unutun ve tam yapılandırma dosyası oluşturma komutunu kullanın

grub-mkconfig -o /mnt/boot/grub/grub.cfg

grub.cfg dosyasının oluşturulması/güncellenmesi tamamlandıktan sonra, çıkış terminali diskte bulunan işletim sistemini içeren satır(lar) içermelidir (“grub-mkconfig”, Windows 10'lu çoklu önyüklemeli bir flash sürücünüz ve bir dizi canlı dağıtım varsa, işletim sistemini muhtemelen canlı bir USB'den bulacak ve alacaktır - bu normaldir). Terminal "boş" ise ve "grub.cfg" dosyası oluşturulmamışsa, sistemde GRUB hataları olduğunda da durum aynıdır. (ve büyük olasılıkla deponun test şubesindeki yükleyici), GRUB2'yi güvenilir kaynaklardan yeniden yükleyin.
"Basit konfigürasyon" kurulumu ve GRUB2 kurulumu tamamlandı.

C5. Şifrelenmiş GNU/Linux işletim sisteminin kanıt testiKripto görevini doğru bir şekilde tamamlıyoruz. Şifrelenmiş GNU/Linux'u dikkatlice terk edin (chroot ortamından çık).

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

Bilgisayarı yeniden başlattıktan sonra VeraCrypt önyükleyicisi yüklenmelidir.


*Etkin bölüm için şifre girildiğinde Windows yüklenmeye başlayacaktır.
*"Esc" tuşuna basmak kontrolü GRUB2'ye aktaracaktır, eğer şifreli GNU/Linux'u seçerseniz - /boot/initrd.img'nin kilidini açmak için bir şifre (sda7_crypt) gerekecektir (eğer grub2 uuid'yi "bulunamadı" olarak yazıyorsa - bu bir grub2 önyükleyicisinde sorun varsa, yeniden yüklenmesi gerekir; örneğin test şubesinden/kararlı vb.).


*Sistemi nasıl yapılandırdığınıza bağlı olarak (bkz. paragraf B4.4/4.5), /boot/initrd.img görüntüsünün kilidini açmak için doğru şifreyi girdikten sonra, işletim sistemi çekirdeğini/kökünü veya sırrı yüklemek için bir şifreye ihtiyacınız olacaktır. anahtar otomatik olarak "skey" ile değiştirilecek ve parolayı yeniden girme ihtiyacını ortadan kaldıracaktır.

(ekran “gizli anahtarın otomatik olarak değiştirilmesi”).

*Ardından, kullanıcı hesabı kimlik doğrulamasıyla GNU/Linux'u yüklemeye yönelik tanıdık süreç takip edecek.


*Kullanıcı yetkilendirmesi ve işletim sistemine giriş yaptıktan sonra /boot/initrd.img dosyasını tekrar güncellemeniz gerekir (bkz. B4.6).

update-initramfs -u -k all

GRUB2 menüsünde fazladan satır olması durumunda (Canlı USB ile OS-m alımından) Onlardan kurtulmak

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

GNU/Linux sistem şifrelemesinin kısa bir özeti:

• GNU/Linuxinux, /boot/kernel ve initrd dahil olmak üzere tamamen şifrelenmiştir;
• gizli anahtar initrd.img dosyasında paketlenmiştir;
• mevcut yetkilendirme şeması (initrd'nin kilidini açmak için şifreyi girme; işletim sistemini başlatmak için şifre/anahtar; Linux hesabını yetkilendirmek için şifre girme).

Blok bölümünün "Basit GRUB2 Yapılandırması" sistem şifrelemesi tamamlandı.

C6. Gelişmiş GRUB2 yapılandırması. Dijital imza + kimlik doğrulama korumasıyla önyükleyici korumasıGNU/Linux tamamen şifrelenmiştir, ancak önyükleyici şifrelenemez - bu durum BIOS tarafından belirlenir. Bu nedenle, GRUB2'nin zincirleme şifreli önyüklemesi mümkün değildir, ancak basit bir zincirleme önyükleme mümkündür/mevcuttur, ancak güvenlik açısından gerekli değildir [bkz. P.F].
"Savunmasız" GRUB2 için geliştiriciler bir "imza/kimlik doğrulama" önyükleyici koruma algoritması uyguladılar.

• Önyükleyici "kendi dijital imzası" ile korunduğunda, dosyaların harici olarak değiştirilmesi veya bu önyükleyiciye ek modüller yükleme girişimi, yükleme işleminin engellenmesine yol açacaktır.
• Önyükleyiciyi kimlik doğrulamayla korurken, bir dağıtım yüklemeyi seçmek veya CLI'ye ek komutlar girmek için GRUB2 süper kullanıcısının kullanıcı adını ve şifresini girmeniz gerekecektir.

C6.1. Önyükleyici kimlik doğrulama korumasıŞifrelenmiş bir işletim sistemindeki bir terminalde çalıştığınızdan emin olun

ls /<Tab-Tab> #обнаружить файл-маркер

GRUB2'de yetkilendirme için bir süper kullanıcı şifresi oluşturun

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. 

Şifre karmasını alın. Bunun gibi bir şey

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

GRUB bölümünü bağlayın

mount /dev/sda6 /mnt 

yapılandırmayı düzenle

nano -$ /mnt/boot/grub/grub.cfg 

dosya aramasını kontrol ederek “grub.cfg” (“-unrestricted” “-user”,
en sonuna ekle (### END /etc/grub.d/41_custom ### satırından önce)
"süper kullanıcıları ayarla = "kök"
şifre_pbkdf2 kök karması."

Bunun gibi bir şey olmalı

# Bu dosya, özel menü girişleri eklemenin kolay bir yolunu sağlar. Basitçe yazın
Bu yorumdan sonra eklemek istediğiniz # menü girişi. Değiştirmemeye dikkat edin
# yukarıdaki 'exec kuyruğu' satırı.
### END /etc/grub.d/40_custom ###

### BAŞLA /etc/grub.d/41_custom ###
if [ -f ${yapılandırma_dizini}/özel.cfg ]; Daha sonra
kaynak ${config_directory}/custom.cfg
elif [ -z "${yapılandırma_dizini}" -a -f $önek/özel.cfg ]; Daha sonra
kaynak $prefix/custom.cfg;
fi
süper kullanıcıları ayarla = "root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

Eğer “grub-mkconfig -o /mnt/boot/grub/grub.cfg” komutunu sıklıkla kullanıyorsanız ve her seferinde grub.cfg dosyasında değişiklik yapmak istemiyorsanız yukarıdaki satırları girin. (Giriş şifresi) en alttaki GRUB kullanıcı komut dosyasında

nano /etc/grub.d/41_custom 

kedi <<EOF
süper kullanıcıları ayarla = "root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

“grub-mkconfig -o /mnt/boot/grub/grub.cfg” yapılandırmasını oluştururken, kimlik doğrulamadan sorumlu satırlar otomatik olarak grub.cfg dosyasına eklenecektir.
Bu adım GRUB2 kimlik doğrulama kurulumunu tamamlar.

C6.2. Dijital imzayla önyükleyici korumasıKişisel pgp şifreleme anahtarınıza zaten sahip olduğunuz varsayılmaktadır. (veya böyle bir anahtar oluşturun). Sistemde şifreleme yazılımı kurulu olmalıdır: gnuPG; kleopatra/GPA; Denizatı. Kripto yazılımları tüm bu konularda hayatınızı çok daha kolaylaştıracaktır. Seahorse - 3.14.0 paketinin kararlı versiyonu (örneğin V3.20 gibi daha yüksek sürümler kusurludur ve önemli hatalar içerir).

PGP anahtarının yalnızca su ortamında oluşturulması/başlatılması/eklenmesi gerekir!

Kişisel şifreleme anahtarı oluştur

gpg - -gen-key

Anahtarınızı dışa aktarın

gpg --export -o ~/perskey

Henüz monte edilmemişse mantıksal diski işletim sistemine takın

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

GRUB2 bölümünü temizleyin

rm -rf /mnt/

GRUB2'yi sda6'ya yükleyin ve özel anahtarınızı ana GRUB görüntüsü "core.img" içine yerleştirin.

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

seçenekler
* --force - her zaman mevcut olan tüm uyarıları atlayarak önyükleyiciyi yükleyin (gerekli bayrak).
* —modules = "gcry_sha256 gcry_sha512 imza_test gcry_dsa gcry_rsa" - GRUB2'ye, bilgisayar başlatıldığında gerekli modülleri önceden yüklemesi talimatını verir.
* -k ~/perskey -“PGP anahtarının” yolu (Anahtarı görüntünün içine yerleştirdikten sonra silinebilir).
* --root-directory -önyükleme dizinini sda6'nın köküne ayarlar
/dev/sda6 - sdaX bölümünüz.

grub.cfg oluşturuluyor/güncelleniyor

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

“Grub.cfg” dosyasının sonuna “trust /boot/grub/perskey” satırını ekleyin (pgp anahtarının kullanımını zorunlu kılın.) GRUB2'yi "signature_test.mod" imza modülü de dahil olmak üzere bir dizi modülle kurduğumuzdan, bu, yapılandırmaya "set check_signatures=enforce" gibi komutlar ekleme ihtiyacını ortadan kaldırır.

Bunun gibi bir şeye benzemeli (grub.cfg dosyasındaki son satırlar)

### BAŞLA /etc/grub.d/41_custom ###
if [ -f ${yapılandırma_dizini}/özel.cfg ]; Daha sonra
kaynak ${config_directory}/custom.cfg
elif [ -z "${yapılandırma_dizini}" -a -f $önek/özel.cfg ]; Daha sonra
kaynak $prefix/custom.cfg;
fi
güven /önyükleme/grub/perskey
süper kullanıcıları ayarla = "root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

"/boot/grub/perskey" yolunun belirli bir disk bölümüne (örneğin hd0,6) işaret edilmesine gerek yoktur; önyükleyicinin kendisi için "root", GRUB2'nin kurulu olduğu bölümün varsayılan yoludur. (bkz. set rot=..).

GRUB2 imzalanıyor (tüm /GRUB dizinlerindeki tüm dosyalar) "Perskey" anahtarınızla.
Nasıl imzalanacağına dair basit bir çözüm (nautilus/caja kaşifi için): Explorer için “denizatı” uzantısını depodan yükleyin. Anahtarınızın su ortamına eklenmesi gerekir.
Explorer'ı sudo “/mnt/boot” – RMB – işaretiyle açın. Ekranda şöyle görünüyor

Anahtarın kendisi “/mnt/boot/grub/perskey” (grub dizinine kopyalayın) ayrıca kendi imzanız ile imzalanmış olması gerekmektedir. Dizinde/alt dizinlerde [*.sig] dosya imzalarının görünüp görünmediğini kontrol edin.
Yukarıda anlatılan yöntemi kullanarak “/boot” imzasını atın (çekirdeğimiz, initrd). Zamanınızın bir değeri varsa, bu yöntem "birçok dosyayı" imzalamak için bir bash betiği yazma ihtiyacını ortadan kaldırır.

Tüm önyükleyici imzalarını kaldırmak için (bir şeyler ters giderse)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

Sistemi güncelledikten sonra bootloader imzalamamak için GRUB2 ile ilgili tüm güncelleme paketlerini donduruyoruz.

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

Bu adımda <önyükleyiciyi dijital imzayla koru> GRUB2'nin gelişmiş yapılandırması tamamlanır.

C6.3. Dijital imza ve kimlik doğrulamayla korunan GRUB2 önyükleyicinin kanıt testiGRUB2. Herhangi bir GNU/Linux dağıtımını seçerken veya CLI'ye girerken (Komut satırı) Süper kullanıcı yetkilendirmesi gerekli olacaktır. Doğru kullanıcı adını/şifreyi girdikten sonra initrd şifresine ihtiyacınız olacak

GRUB2 süper kullanıcısının başarılı kimlik doğrulamasının ekran görüntüsü.

GRUB2 dosyalarından herhangi birine müdahale ederseniz/grub.cfg dosyasında değişiklik yaparsanız, dosyayı/imzayı silerseniz veya kötü amaçlı bir module.mod yüklerseniz, ilgili bir uyarı görünecektir. GRUB2 yüklemeyi duraklatacak.

Ekran görüntüsü, GRUB2'ye “dışarıdan” müdahale etme girişimi.

"Normal" önyükleme "izinsiz giriş olmadan" sırasında, sistem çıkış kodu durumu "0"dır. Bu nedenle korumanın çalışıp çalışmadığı bilinmiyor (yani, normal yükleme sırasında "önyükleyici imza koruması olsun veya olmasın" durum aynı "0"dır - bu kötüdür).

Dijital imza koruması nasıl kontrol edilir?

Kontrol etmenin zahmetli bir yolu: GRUB2 tarafından kullanılan bir modülün sahtesini/kaldırmasını yapın; örneğin, luks.mod.sig imzasını kaldırın ve bir hata alın.

Doğru yol: önyükleyici CLI'sine gidin ve komutu yazın

trust_list

Yanıt olarak, bir "perskey" parmak izi almalısınız; durum "0" ise imza koruması çalışmıyorsa C6.2 paragrafını bir kez daha kontrol edin.
Bu adımda “GRUB2'nin dijital imza ve kimlik doğrulama ile korunması” gelişmiş yapılandırması tamamlanır.

C7 Karma kullanarak GRUB2 önyükleyicisini korumanın alternatif yöntemiYukarıda açıklanan "CPU Önyükleme Yükleyici Koruması/Kimlik Doğrulaması" yöntemi bir klasiktir. GRUB2 kusurlarından dolayı paranoyak durumlarda gerçek bir saldırıya karşı hassastır ve bunu aşağıda paragraf [F]'de vereceğim. Ayrıca işletim sistemi/çekirdeği güncelledikten sonra önyükleyicinin yeniden imzalanması gerekir.

GRUB2 önyükleyicisini karma kullanarak koruma

Klasiklere göre avantajları:

• Daha yüksek düzeyde güvenilirlik (karma/doğrulama yalnızca şifrelenmiş bir yerel kaynaktan gerçekleşir. GRUB2 altında tahsis edilen bölümün tamamı herhangi bir değişiklik için kontrol edilir ve geri kalan her şey şifrelenir; CPU yükleyici koruması/Kimlik Doğrulamalı klasik şemada yalnızca dosyalar kontrol edilir, ancak ücretsiz değildir içine “bir şeyin” uğursuz bir şeyin” eklenebileceği alan).
• Şifreli günlük kaydı (insan tarafından okunabilen kişisel şifrelenmiş bir günlük, şemaya eklenir).
• hız (GRUB2 için ayrılan bölümün tamamının korunması/doğrulanması neredeyse anında gerçekleşir).
• Tüm kriptografik süreçlerin otomasyonu.

Klasiklere göre dezavantajları.

• İmza sahteciliği (teorik olarak belirli bir karma işlevi çarpışmasını bulmak mümkündür).
• Artan zorluk seviyesi (klasikle karşılaştırıldığında, GNU/Linux işletim sisteminde biraz daha fazla beceri gereklidir).

GRUB2/bölüm karma fikri nasıl çalışır?

GRUB2 bölümü "imzalanmıştır"; işletim sistemi önyüklendiğinde, önyükleme yükleyici bölümünün değişmezliği kontrol edilir ve ardından güvenli (şifreli) bir ortamda oturum açılır. Önyükleyicinin veya bölümünün güvenliği ihlal edilirse izinsiz giriş günlüğüne ek olarak aşağıdakiler başlatılır:

Şey.

Benzer bir kontrol günde dört kez gerçekleştirilir ve sistem kaynakları yüklenmez.
“-$ check_GRUB” komutunu kullanarak, herhangi bir zamanda, günlüğe kaydetmeden, ancak CLI'ye bilgi çıkışıyla anlık bir kontrol gerçekleşir.
“-$ sudo imza_GRUB” komutunu kullanarak GRUB2 önyükleme yükleyicisi/bölümü anında yeniden imzalanır ve güncellenmiş günlük kaydı (İşletim sistemi/önyükleme güncellemesinden sonra gerekli) ve hayat devam ediyor.

Önyükleyici ve bölümü için karma yönteminin uygulanması

0) GRUB önyükleyicisini/bölümünü önce /media/username dizinine bağlayarak imzalayalım

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) Şifrelenmiş işletim sistemi ~/podpis'in kökünde uzantısı olmayan bir komut dosyası oluşturuyoruz, buna gerekli 744 güvenlik haklarını ve kusursuz korumayı uyguluyoruz.

İçeriğini doldurma

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

Komut dosyasını şuradan çalıştırın: suGRUB bölümünün ve önyükleyicisinin karması kontrol edilecek, günlüğü kaydedin.

Örneğin “kötü amaçlı bir dosya” [virus.mod] oluşturalım veya GRUB2 bölümüne kopyalayalım ve geçici bir tarama/test çalıştıralım:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

CLI kalemizin işgalini görmeli#CLI'de kesilmiş günlük

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

#Gördüğünüz gibi “Dosyalar taşındı: 1 ve Denetim başarısız oldu” mesajı çıkıyor, bu da kontrolün başarısız olduğu anlamına geliyor.
Test edilen bölümün doğası gereği, "Yeni dosyalar bulundu" > "Dosyalar taşındı" yerine

2) GIF'i buraya koyun > ~/warning.gif, izinleri 744 olarak ayarlayın.

3) Önyükleme sırasında GRUB bölümünü otomatikleştirmek için fstab'ı yapılandırma

-$ sudo nano /etc/fstab

LABEL=GRUB /medya/kullanıcı adı/GRUB ext4 varsayılanları 0 0

4) Günlüğü döndürme

-$ sudo nano /etc/logrotate.d/podpis 

/var/log/podpis.txt {
günlük
50 döndür
boyut 5M
tarih metni
sıkıştırmak
gecikme sıkıştırmak
eskidir /var/log/eski
}

/var/log/vtorjenie.txt {
aylık
5 döndür
boyut 5M
tarih metni
eskidir /var/log/eski
}

5) Cron'a iş ekleme

-$ sudo crontab -e

reboot '/abonelik'
0 */6 * * * '/podpis

6) Kalıcı takma adlar oluşturma

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

İşletim sistemi güncellemesinden sonra -$ apt-get upgrade GRUB bölümümüzü yeniden imzalayın
-$ подпись_GRUB
Bu noktada GRUB bölümünün karma koruması tamamlanmıştır.

[D] Silme - şifrelenmemiş verilerin imhası

Güney Carolina sözcüsü Trey Gowdy'ye göre kişisel dosyalarınızı "Tanrı bile okuyamayacak" şekilde tamamen silin.

Her zamanki gibi çeşitli “efsaneler ve efsaneler", sabit sürücüden silindikten sonra verilerin geri yüklenmesi hakkında. Siber büyücülüğe inanıyorsanız veya Dr web topluluğunun bir üyesiyseniz ve silindikten/üzerine yazıldıktan sonra veri kurtarmayı hiç denemediyseniz (örneğin, R-studio kullanarak kurtarma), o zaman önerilen yöntemin size uyması pek mümkün değildir, size en yakın olanı kullanın.

GNU/Linux'u şifrelenmiş bir bölüme başarıyla aktardıktan sonra, eski kopyanın veri kurtarma olanağı olmadan silinmesi gerekir. Evrensel temizleme yöntemi: Windows/Linux ücretsiz GUI yazılımı için yazılım BleachBit.
Hızla bölümü biçimlendirimha edilmesi gereken veriler (Gparted aracılığıyla) BleachBit'i başlatın, “Boş alanı temizle” seçeneğini seçin - bölümü seçin (önceki GNU/Linux kopyasına sahip sdaX'iniz)sıyırma işlemi başlayacaktır. BleachBit - diski tek geçişte siler - "ihtiyacımız olan" budur, Ama! Bu yalnızca teorik olarak diski biçimlendirdiyseniz ve BB v2.0 yazılımında temizlediyseniz işe yarar.

Dikkat! BB meta verileri bırakarak diski siler; veriler ortadan kaldırıldığında dosya adları korunur (Ccleaner - meta veri bırakmaz).

Ve veri kurtarma olasılığı hakkındaki efsane tamamen bir efsane değil.Bleachbit V2.0-2 eski kararsız işletim sistemi Debian paketi (ve diğer benzer yazılımlar: sfill; Wipe-Nautilus - bu kirli işte de fark edildi) aslında kritik bir hata vardı: "boş alan temizleme" işlevi yanlış çalışıyor HDD/Flash sürücülerde (ntfs/ext4). Bu tür yazılımlar, birçok kullanıcının düşündüğü gibi boş alanı temizlerken tüm diskin üzerine yazmaz. Ve bazı (bir çok) Silinen veriler İşletim sistemi/yazılım bu verileri silinmemiş/kullanıcı verileri olarak kabul eder ve “OSP”yi temizlerken bu dosyaları atlar. Sorun şu ki, bu kadar uzun bir süre sonra diski temizlemek "Silinen dosyalar" kurtarılabilir Diskin 3+ kez silinmesinden sonra bile.
Bleachbit'te GNU/Linux üzerinde 2.0-2 Dosyaları ve dizinleri kalıcı olarak silme işlevleri güvenilir bir şekilde çalışır ancak boş alanı temizlemez. Karşılaştırma için: CCleaner'daki Windows'ta “ntfs için OSP” işlevi düzgün çalışıyor ve Tanrı gerçekten silinen verileri okuyamayacak.

Ve böylece, iyice kaldırmak için "uzlaşmacı" eski şifrelenmemiş veriler, Bleachbit'in bu verilere doğrudan erişmesi gerekiyorardından “dosyaları/dizinleri kalıcı olarak sil” işlevini kullanın.
Windows'ta "standart işletim sistemi araçlarını kullanarak silinen dosyaları" kaldırmak için, CCleaner/BB'yi "OSP" işleviyle birlikte kullanın. GNU/Linux'ta bu sorun hakkında (silinen dosyaları sil) kendi başına pratik yapmalısın (verilerin silinmesi + bağımsız bir geri yükleme girişimi ve yazılım sürümüne güvenmemelisiniz (yer imi değilse, o zaman bir hata))ancak bu durumda bu sorunun mekanizmasını anlayabilir ve silinen verilerden tamamen kurtulabilirsiniz.

Bleachbit v3.0'ı test etmedim, sorun zaten çözülmüş olabilir.
Bleachbit v2.0 dürüst bir şekilde çalışıyor.

Bu adımda disk silme işlemi tamamlanmıştır.

[E] Şifrelenmiş işletim sisteminin evrensel yedeği

Her kullanıcının kendi veri yedekleme yöntemi vardır ancak şifrelenmiş Sistem İşletim Sistemi verileri, göreve biraz farklı bir yaklaşım gerektirir. Clonezilla ve benzeri yazılımlar gibi birleşik yazılımlar doğrudan şifrelenmiş verilerle çalışamaz.

Şifrelenmiş blok cihazların yedeklenmesi sorununun açıklaması:

1. evrensellik - Windows/Linux için aynı yedekleme algoritması/yazılımı;
2. ek yazılım indirmeye gerek kalmadan herhangi bir canlı USB GNU/Linux ile konsolda çalışabilme yeteneği (ancak yine de GUI'yi tavsiye ederim);
3. yedek kopyaların güvenliği - saklanan “görüntüler” şifrelenmeli/şifre korumalı olmalıdır;
4. şifrelenmiş verinin boyutu, kopyalanan gerçek verinin boyutuna karşılık gelmelidir;
5. gerekli dosyaların yedek kopyadan kolayca çıkarılması (öncelikle bölümün tamamının şifresini çözmenize gerek yoktur).

Örneğin, “dd” yardımcı programı aracılığıyla yedekleme/geri yükleme

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

Görevin hemen hemen tüm noktalarına karşılık gelir, ancak 4. maddeye göre, boş alan da dahil olmak üzere tüm disk bölümünü kopyaladığı için eleştiriye dayanmaz - ilginç değil.

Örneğin, arşivleyici [tar" | gpg] uygundur, ancak Windows yedeklemesi için başka bir çözüm aramanız gerekir - bu ilginç değildir.

E1. Evrensel Windows/Linux yedeklemesi. rsync (Grsync)+VeraCrypt birimini bağlayınYedek kopya oluşturma algoritması:

1. şifrelenmiş bir kapsayıcı oluşturma (cilt/dosya) İşletim Sistemi için VeraCrypt;
2. Rsync yazılımını kullanarak işletim sistemini VeraCrypt kripto konteynerine aktarın/senkronize edin;
3. gerekirse VeraCrypt birimini www.

Şifrelenmiş bir VeraCrypt konteyneri oluşturmanın kendine has özellikleri vardır:
dinamik bir birim oluşturma (DT'nin oluşturulması yalnızca Windows'ta mümkündür, ayrıca GNU/Linux'ta da kullanılabilir);
düzenli bir cilt oluşturmak ama “paranoyak bir yapı”nın da gereği var (geliştiriciye göre) – kapsayıcı biçimlendirme.

Windows'ta dinamik birim neredeyse anında oluşturulur, ancak GNU/Linux > VeraCrypt DT'den veri kopyalarken yedekleme işleminin genel performansı önemli ölçüde azalır.

Normal bir 70 GB Twofish birimi oluşturulur (sadece ortalama PC gücünde diyelim) yarım saat içinde HDD'ye (tek geçişte eski konteyner verilerinin üzerine yazılması güvenlik gerekliliklerinden kaynaklanmaktadır). Bir birimi oluştururken hızlı bir şekilde biçimlendirme işlevi VeraCrypt Windows/Linux'tan kaldırılmıştır, dolayısıyla bir kapsayıcı oluşturmak yalnızca "tek geçişte yeniden yazma" veya düşük performanslı bir dinamik birim oluşturma yoluyla mümkündür.

Düzenli bir VeraCrypt birimi oluşturun (dinamik/ntfs değil), herhangi bir sorun olmaması gerekir.

VeraCrypt GUI'de bir kapsayıcıyı yapılandırma/oluşturma/açma> GNU/Linux canlı usb (birim otomatik olarak /media/veracrypt2'ye bağlanacak, Windows işletim sistemi birimi /media/veracrypt1'e bağlanacak). GUI rsync kullanarak Windows işletim sisteminin şifrelenmiş bir yedeğini oluşturma (grsync)kutuları işaretleyerek.

İşlemin tamamlanmasını bekleyin. Yedekleme tamamlandığında şifrelenmiş bir dosyamız olacak.

Benzer şekilde, rsync GUI'deki "Windows uyumluluğu" onay kutusunun işaretini kaldırarak GNU/Linux işletim sisteminin yedek bir kopyasını oluşturun.

Dikkat! dosya sisteminde “GNU/Linux yedeklemesi” için bir Veracrypt kapsayıcısı oluşturun ext4. Bir ntfs kapsayıcısına yedekleme yaparsanız, böyle bir kopyayı geri yüklediğinizde, tüm verilerinize ilişkin tüm hakları/grupları kaybedersiniz.

Terminalde tüm işlemlerinizi gerçekleştirebilirsiniz. Rsync için temel seçenekler:
* -g -grupları kaydet;
* -P —ilerleme — dosya üzerinde çalışmak için harcanan zamanın durumu;
* -H - sabit bağlantıları olduğu gibi kopyalayın;
* -a -arşiv modu (birden fazla rlptgoD bayrağı);
* -v -sözelleştirme.

Eğer cryptsetup yazılımındaki konsol aracılığıyla bir “Windows VeraCrypt birimi” bağlamak istiyorsanız, bir takma ad (su) oluşturabilirsiniz.

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

Artık "Veramount Pictures" komutu sizden bir parola girmenizi isteyecek ve şifrelenmiş Windows sistem birimi işletim sistemine bağlanacaktır.

VeraCrypt sistem birimini cryptsetup komutunda eşleyin/bağlayın

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

VeraCrypt bölümünü/kapsayıcısını cryptsetup komutunda eşleyin/bağlayın

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

Takma ad yerine, GNU/Linux başlangıcına Windows işletim sistemi içeren bir sistem birimi ve mantıksal şifrelenmiş bir ntfs diski (başlatmaya bir komut dosyası) ekleyeceğiz

Bir komut dosyası oluşturun ve onu ~/VeraOpen.sh dosyasına kaydedin.

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

“Doğru” hakları dağıtıyoruz:

sudo chmod 100 /VeraOpen.sh

/etc/rc.local ve ~/etc/init.d/rc.local dosyasında iki özdeş dosya (aynı ad!) oluşturun
Dosyaları doldurma

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

“Doğru” hakları dağıtıyoruz:

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local 

İşte bu, artık GNU/Linux yüklenirken şifrelenmiş ntfs disklerini bağlamak için parola girmemize gerek yok, diskler otomatik olarak bağlanıyor.

Yukarıda E1 paragrafında adım adım açıklananlar hakkında kısa bir not (ancak şimdi OS GNU/Linux için)
1) Veracrypt'te [Cryptbox] fs ext4> 4gb (dosya için) Linux'ta bir birim oluşturun.
2) USB'yi canlı olarak yeniden başlatın.
3) ~$ cryptsetup open /dev/sda7 Lunux #mapping şifreli bölüm.
4) ~$ mount /dev/mapper/Linux /mnt #şifrelenmiş bölümü /mnt'ye bağlayın.
5) ~$ mkdir mnt2 #gelecekteki bir yedekleme için bir dizin oluşturma.
6) ~$ cryptsetup open —veracrypt —tcrypt ~/CryptoBox CryptoBox yazın && mount /dev/mapper/CryptoBox /mnt2 #“CryptoBox” adlı bir Veracrypt birimini eşleyin ve CryptoBox'ı /mnt2'ye bağlayın.
7) ~$ rsync -avlxhHX —şifrelenmiş bir bölümün şifrelenmiş bir Veracrypt birimine ilerleme /mnt /mnt2/ #yedekleme işlemi.

(p/s/ Dikkat! Şifrelenmiş GNU/Linux'u bir mimariden/makineden diğerine aktarıyorsanız, örneğin Intel > AMD (yani, bir şifrelenmiş bölümden başka bir şifrelenmiş Intel > AMD bölümüne bir yedekleme dağıtıyorsanız), unutma Şifrelenmiş işletim sistemini aktardıktan sonra, belki şifre yerine gizli yedek anahtarı düzenleyin. önceki anahtar ~/etc/skey - artık başka bir şifrelenmiş bölüme sığmayacak ve chroot altından yeni bir "cryptsetup luksAddKey" anahtarı oluşturmanız önerilmez - bir aksaklık mümkündür, yalnızca ~/etc/crypttab yerine belirtin “/etc/skey” geçici olarak “yok” ", yeniden başlatıp işletim sistemine giriş yaptıktan sonra gizli joker karakter anahtarınızı yeniden oluşturun).

BT deneyimlileri olarak, şifrelenmiş Windows/Linux işletim sistemi bölümlerinin başlıklarının ayrı ayrı yedeklerini almayı unutmayın; aksi takdirde şifreleme aleyhinize döner.
Bu adımda şifrelenmiş işletim sisteminin yedeklemesi tamamlanır.

[F] GRUB2 önyükleyicisine saldırı

AyrıntılarÖnyükleyicinizi dijital imza ve/veya kimlik doğrulamayla koruduysanız (bkz. C6 noktası.), bu durumda fiziksel erişime karşı koruma sağlamaz. Şifrelenmiş verilere hâlâ erişilemeyecek ancak koruma atlanacak (dijital imza korumasını sıfırlayın) GRUB2, bir siber kötü adamın şüphe yaratmadan kodunu önyükleyiciye enjekte etmesine izin veriyor (kullanıcı önyükleyici durumunu manuel olarak izlemediği veya grub.cfg için kendi güçlü rastgele komut dosyası kodunu oluşturmadığı sürece).

Saldırı algoritması. Davetsiz misafir

* PC'yi canlı USB'den başlatır. Herhangi bir değişiklik (ihlal eden) dosyalar, bilgisayarın gerçek sahibine önyükleyiciye izinsiz giriş konusunda bilgi verecektir. Ancak grub.cfg'yi koruyan GRUB2'nin basit bir yeniden kurulumu (ve ardından onu düzenleme yeteneği) saldırganın herhangi bir dosyayı düzenlemesine izin verir (Bu durumda GRUB2 yüklenirken gerçek kullanıcıya bilgi verilmeyecektir. Durum aynıdır <0>)
* Şifrelenmemiş bir bölüm bağlar, “/mnt/boot/grub/grub.cfg” dosyasını depolar.
* Önyükleyiciyi yeniden yükler (core.img görüntüsünden "perskey" kaldırılıyor)

grub-install --force --root-directory=/mnt /dev/sda6

* “grub.cfg” > “/mnt/boot/grub/grub.cfg”yi döndürür, gerekirse düzenler, örneğin “keylogger.mod” modülünüzü “grub.cfg” içindeki yükleyici modüllerinin bulunduğu klasöre ekler. > "insmod keylogger" satırı. Veya, örneğin, düşman kurnazsa, GRUB2'yi yeniden yükledikten sonra (tüm imzalar yerinde kalır) ana GRUB2 görüntüsünü "(-c) seçeneğiyle grub-mkimage" kullanarak oluşturur. “-c” seçeneği, ana “grub.cfg” dosyasını yüklemeden önce yapılandırmanızı yüklemenizi sağlar. Yapılandırma yalnızca bir satırdan oluşabilir: herhangi bir “modern.cfg”ye yönlendirme, örneğin ~400 dosyayla karıştırılmış (modüller+imzalar) "/boot/grub/i386-pc" klasöründe. Bu durumda, kullanıcı dosyaya "hashsum" uygulayıp geçici olarak ekranda görüntülese bile, saldırgan "/boot/grub/grub.cfg" dosyasını etkilemeden rastgele kod ekleyebilir ve modülleri yükleyebilir.
Saldırganın GRUB2 süper kullanıcı kullanıcı adını/şifresini hacklemesine gerek kalmayacak; sadece satırları kopyalaması yeterli olacaktır. (kimlik doğrulamadan sorumlu) "/boot/grub/grub.cfg" dosyasını "modern.cfg" dosyanıza ekleyin

süper kullanıcıları ayarla = "root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

Ve PC sahibinin kimliği yine de GRUB2 süper kullanıcısı olarak doğrulanacaktır.

Zincir yükleme (önyükleyici başka bir önyükleyiciyi yükler)yukarıda da yazdığım gibi pek mantıklı değil (farklı bir amaç için tasarlanmıştır). BIOS nedeniyle şifrelenmiş önyükleyici yüklenemiyor (zincir önyüklemesi GRUB2'yi yeniden başlatır > şifrelenmiş GRUB2, hata!). Ancak yine de zincir yükleme fikrini kullanıyorsanız, yüklenenin şifrelenmiş olan olduğundan emin olabilirsiniz. (modernize edilmemiş) Şifrelenmiş bölümden "grub.cfg". Ve bu aynı zamanda yanlış bir güvenlik duygusudur, çünkü şifrelenmiş "grub.cfg" dosyasında belirtilen her şey (modül yükleme), şifrelenmemiş GRUB2'den yüklenen modüllere eklenir.

Bunu kontrol etmek istiyorsanız, başka bir sdaY bölümünü tahsis edin/şifreleyin, GRUB2'yi ona kopyalayın (şifreli bir bölümde grub kurulum işlemi mümkün değildir) ve "grub.cfg" içinde (şifrelenmemiş yapılandırma) bunun gibi satırları değiştir

menuentry 'GRUBx2' --class papağan --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
load_video
insmod gzio
if [ x$grub_platform = xxen ]; daha sonra insmod xzio; insmod lzopio; fi
insmod part_msdos
insmod kriptodiski
insmod lüks
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
normal /boot/grub/grub.cfg
}

Teller
* insmod - şifrelenmiş bir diskle çalışmak için gerekli modüllerin yüklenmesi;
* GRUBx2 - GRUB2 önyükleme menüsünde görüntülenen satırın adı;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -bkz. fdisk -l (sda9);
* kökü ayarla - kökü yükle;
* normal /boot/grub/grub.cfg - şifrelenmiş bir bölümdeki yürütülebilir yapılandırma dosyası.

Yüklenenin şifrelenmiş "grub.cfg" olduğuna güvenmek, GRUB menüsünde "GRUBx2" satırını seçerken şifrenin girilmesine/"sdaY" kilidinin açılmasına olumlu bir yanıttır.

Kafanızın karışmaması için CLI'de çalışırken (ve “set root” ortam değişkeninin çalışıp çalışmadığını kontrol edin), boş belirteç dosyaları oluşturun, örneğin şifrelenmiş "/shifr_grub" bölümünde, şifrelenmemiş "/noshifr_grub" bölümünde. CLI'de kontrol etme

cat /Tab-Tab

Yukarıda belirtildiği gibi, eğer bu tür modüller bilgisayarınıza düşerse, bu, kötü amaçlı modüllerin indirilmesine karşı yardımcı olmayacaktır. Örneğin, tuş vuruşlarını bir dosyaya kaydedebilecek ve PC'ye fiziksel erişimi olan bir saldırgan tarafından indirilene kadar "~/i386" içindeki diğer dosyalarla karıştırabilecek bir keylogger.

Dijital imza korumasının aktif olarak çalıştığını doğrulamanın en kolay yolu (sıfırlanmadı)ve hiç kimse önyükleyiciyi istila etmediyse, CLI'ye komutu girin

list_trusted

yanıt olarak "perskey"imizin bir kopyasını alırız veya saldırıya uğrarsak hiçbir şey alamayız (ayrıca "set check_signatures=enforce" seçeneğini de işaretlemeniz gerekir).
Bu adımın önemli bir dezavantajı komutların manuel olarak girilmesidir. Bu komutu “grub.cfg” dosyasına eklerseniz ve yapılandırmayı dijital imzayla korursanız, anahtar anlık görüntüsünün ekrandaki ön çıktısının zamanlaması çok kısa olur ve GRUB2'yi yükledikten sonra çıktıyı görmek için zamanınız olmayabilir. .
Özellikle şunu iddia edecek kimse yok: geliştirici belgeleme Madde 18.2 resmen ilan ediyor

“GRUB şifre koruması olsa bile GRUB'un, makineye fiziksel erişimi olan birinin, makinenin donanım yazılımını (örneğin, Coreboot veya BIOS) yapılandırmasını değiştirerek makinenin farklı (saldırgan kontrollü) bir aygıttan önyükleme yapmasına neden olmasını engelleyemeyeceğini unutmayın. GRUB, en iyi ihtimalle, güvenli bir önyükleme zincirindeki tek bağlantıdır."

GRUB2, sahte bir güvenlik hissi verebilecek işlevlerle aşırı yüklenmiştir ve gelişimi, işlevsellik açısından MS-DOS'u çoktan geride bırakmıştır, ancak bu yalnızca bir önyükleyicidir. GRUB2'nin - "yarın"ın işletim sistemi ve bunun için önyüklenebilir GNU/Linux sanal makineleri haline gelmesi komik.

GRUB2 dijital imza korumasını nasıl sıfırladığımı ve gerçek bir kullanıcıya izinsiz girişimi nasıl ilan ettiğimi anlatan kısa bir video (Sizi korkuttum ama videoda gösterilenin yerine zararsız rastgele kod/.mod yazabilirsiniz).

Sonuç:

1) Windows için blok sistem şifrelemesinin uygulanması daha kolaydır ve adil olmak gerekirse, tek bir parolayla koruma, GNU/Linux blok sistem şifrelemesiyle birden fazla parolayla korumadan daha uygundur: ikincisi otomatiktir.

2) Yazıyı alakalı ve detaylı yazdım basit RuNet'in (IMHO) açık ara en iyisi olan tek bir makinede tam disk şifreleme VeraCrypt/LUKS kılavuzu. Kılavuz 50'den fazla karakter uzunluğunda olduğundan bazı ilginç bölümleri içermiyordu: ortadan kaybolan/gölgelerde kalan kriptograflar; çeşitli GNU/Linux kitaplarında kriptografi hakkında çok az yazdıkları/yazmadıkları gerçeği hakkında; Rusya Federasyonu Anayasasının 51. Maddesi hakkında; Ö lisanslama/yasaklama Rusya Federasyonu'nda şifreleme, neden “kök/önyükleme”yi şifrelemeniz gerektiği hakkında. Kılavuzun oldukça kapsamlı ama ayrıntılı olduğu ortaya çıktı. (basit adımları bile açıklıyor)Bu da "gerçek şifrelemeye" ulaştığınızda size çok zaman kazandıracaktır.

3) Tam disk şifrelemesi Windows 7 64'te gerçekleştirildi; GNU/Linux Papağan 4x; GNU/Debian 9.0/9.5.

4) Başarılı bir saldırı gerçekleştirdi onun GRUB2 önyükleyici.

5) Eğitim, şifrelemeyle çalışmaya yasama düzeyinde izin verilen BDT'deki tüm paranoyak insanlara yardım etmek için oluşturuldu. Ve öncelikle, yapılandırılmış sistemlerini bozmadan tam disk şifrelemesini hayata geçirmek isteyenler için.

6) 2020 yılıyla ilgili olan kılavuzumu yeniden düzenledim ve güncelledim.

[G] Yararlı belgeler

1. TrueCrypt Kullanıcı Kılavuzu (Şubat 2012 RU)
2. VeraCrypt Belgeleri
3. /usr/share/doc/cryptsetup(-run) [yerel kaynak] (cryptsetup kullanarak GNU/Linux şifrelemesini ayarlamaya ilişkin resmi ayrıntılı belgeler)
4. Resmi SSS kripto kurulumu (cryptsetup kullanarak GNU/Linux şifrelemesini ayarlamaya ilişkin kısa belgeler)
5. LUKS cihaz şifrelemesi (archlinux belgeleri)
6. Cryptsetup sözdiziminin ayrıntılı açıklaması (arch man sayfası)
7. crypttab'ın ayrıntılı açıklaması (arch man sayfası)
8. Resmi GRUB2 belgeleri.

Etiketler: tam disk şifreleme, bölüm şifreleme, Linux tam disk şifreleme, LUKS1 tam sistem şifreleme.

Ankete sadece kayıtlı kullanıcılar katılabilir. Giriş yapLütfen.

Şifreliyor musun?

• %17,1Yapabildiğim her şeyi şifreliyorum. Ben paranoyağım.14

• %34,2Yalnızca önemli verileri şifreliyorum.28

• %14,6Bazen şifreliyorum, bazen unutuyorum.12

• %34,2Hayır, şifrelemem, zahmetli ve pahalıdır.28

82 kullanıcı oy kullandı. 22 kişi çekimser kaldı.

Kaynak: habr.com