RuNet V0.2 da to'liq diskni shifrlash bo'yicha shaxsiy qo'llanma yangilandi.
Kovboy strategiyasi:
[A] O'rnatilgan tizimning Windows 7 tizim blokini shifrlash;
[B] GNU/Linux tizim bloklarini shifrlash (Debian) o'rnatilgan tizim (shu jumladan / boot);
[C] GRUB2 konfiguratsiyasi, raqamli imzo/autentifikatsiya/xesh bilan yuklovchi himoyasi;
[D] stripping — shifrlanmagan maʼlumotlarni yoʻq qilish;
[E] shifrlangan OTning universal zaxira nusxasi;
[F] hujumi <[C6] elementiga> nishon - GRUB2 yuklovchi;
[G]foydali hujjatlar.
╭───#40# xonaning sxemasi :
├──╼ Windows 7 o'rnatilgan - to'liq tizim shifrlash, yashirin emas;
├──╼ GNU/Linux o'rnatilgan (Debian va lotin taqsimotlari) — toʻliq tizim shifrlash, yashirin emas(/, shu jumladan / yuklash; almashtirish);
├──╼ mustaqil yuklash moslamalari: VeraCrypt bootloader MBRda o'rnatilgan, GRUB2 bootloader kengaytirilgan bo'limda o'rnatilgan;
├──╼OTni o'rnatish/qayta o'rnatish talab qilinmaydi;
└──╼ko'rsatilgan kriptografik dastur: VeraCrypt; Cryptsetup; GnuPG; dengiz oti; Hashdeep; GRUB2 bepul/bepul.
Yuqoridagi sxema "flesh-diskni masofadan yuklash" muammosini qisman hal qiladi, shifrlangan OS Windows/Linux-dan bahramand bo'lish va "shifrlangan kanal" orqali bir OTdan boshqasiga ma'lumotlarni almashish imkonini beradi.
Kompyuterni yuklash tartibi (variantlardan biri):
- mashinani yoqish;
- VeraCrypt yuklash dasturini yuklash (to'g'ri parolni kiritish Windows 7 ni yuklashda davom etadi);
- "Esc" tugmachasini bosish GRUB2 yuklovchisini yuklaydi;
- GRUB2 yuklash dasturi (tarqatish/GNU/Linux/CLI-ni tanlang), GRUB2 superfoydalanuvchisi <login/password> autentifikatsiyasini talab qiladi;
- muvaffaqiyatli autentifikatsiyadan va tarqatishni tanlagandan so'ng, "/boot/initrd.img" qulfini ochish uchun parolni kiritishingiz kerak bo'ladi;
- xatosiz parollarni kiritgandan so'ng, GRUB2 parolni kiritishni "talab qiladi" (uchinchi, BIOS paroli yoki GNU/Linux foydalanuvchi hisobi paroli - hisobga olinmaydi) GNU/Linux OS qulfini ochish va yuklash yoki maxfiy kalitni avtomatik almashtirish uchun (ikkita parol + kalit yoki parol + kalit);
- GRUB2 konfiguratsiyasiga tashqi aralashuv GNU/Linux yuklash jarayonini muzlatib qo'yadi.
Muammolimi? OK, keling, jarayonlarni avtomatlashtiraylik.
Qattiq diskni qismlarga bo'lishda (MBR jadvali) Kompyuterda 4 tadan ko'p bo'lmagan asosiy bo'limlar yoki 3 ta asosiy va bitta kengaytirilgan, shuningdek, ajratilmagan maydon bo'lishi mumkin. Kengaytirilgan bo'lim, asosiy qismdan farqli o'laroq, kichik bo'limlarni o'z ichiga olishi mumkin (mantiqiy drayvlar = kengaytirilgan bo'lim). Boshqacha qilib aytganda, HDDdagi "kengaytirilgan bo'lim" LVM o'rnini bosadi: to'liq tizim shifrlash. Agar sizning diskingiz 4 ta asosiy bo'limga bo'lingan bo'lsa, siz lvm dan foydalanishingiz yoki transformatsiya qilishingiz kerak (formatlash bilan) bo'limni asosiydan ilg'orga o'tkazing yoki to'rtta bo'limdan oqilona foydalaning va istalgan natijaga erishib, hamma narsani avvalgidek qoldiring. Diskingizda bitta bo'lim bo'lsa ham, Gparted sizga HDDni qismlarga ajratishga yordam beradi (qo'shimcha bo'limlar uchun) ma'lumotlar yo'qotmasdan, lekin shunga qaramay, bunday harakatlar uchun kichik jazo bilan.
Qattiq diskni joylashtirish sxemasi, unga bog'liq holda butun maqola og'zaki tarzda ifodalanadi, quyidagi jadvalda keltirilgan.
1TB bo'limlari jadvali (№1).
Sizda ham shunga o'xshash narsa bo'lishi kerak.
sda1 - asosiy bo'lim №1 NTFS (shifrlangan);
sda2 - kengaytirilgan bo'lim belgisi;
sda6 - mantiqiy disk (U GRUB2 bootloader o'rnatilgan);
sda8 - almashtirish (shifrlangan almashtirish fayli/har doim emas);
sda9 - mantiqiy diskni sinab ko'rish;
sda5 - qiziquvchilar uchun mantiqiy disk;
sda7 - GNU/Linux OS (OT shifrlangan mantiqiy diskka o'tkaziladi);
sda3 - Windows 2 OS bilan №7 asosiy bo'lim (shifrlangan);
sda4 - asosiy bo'lim No 3 (Unda shifrlanmagan GNU/Linux mavjud, zaxira uchun ishlatiladi/har doim emas).
[A] Windows 7 tizim blokini shifrlash
A1. VeraCrypt
Yuklab olish , yoki oynadan VeraCrypt kriptografik dasturining o'rnatish versiyasi (v1.24-Update3 maqolasi nashr etilganda, VeraCrypt-ning portativ versiyasi tizim shifrlash uchun mos emas). Yuklab olingan dasturiy ta'minotning nazorat summasini tekshiring
$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256
va natijani VeraCrypt dasturchi veb-saytida joylashtirilgan CS bilan solishtiring.
HashTab dasturi o'rnatilgan bo'lsa, bu yanada osonroq: RMB (VeraCrypt Setup 1.24.exe)-properties - fayllarning xesh yig'indisi.
Dastur imzosini tekshirish uchun tizimda dasturiy ta'minot va ishlab chiquvchining ochiq pgp kaliti o'rnatilgan bo'lishi kerak ; .
A2. Administrator huquqlari bilan VeraCrypt dasturini o'rnatish/ishlash
A3. Faol bo'lim uchun tizim shifrlash parametrlarini tanlashVeraCrypt - Tizim - Tizim bo'limi/diskni shifrlash - Oddiy - Windows tizim bo'limini shifrlash - Ko'p yuklash - (ogohlantirish: "Tajribasiz foydalanuvchilarga ushbu usuldan foydalanish tavsiya etilmaydi" va bu to'g'ri, biz "Ha"ga rozimiz) - Yuklash diski ("ha", bo'lmasa ham, "ha") - Tizim disklari soni "2 yoki undan ko'p" - Bitta diskdagi bir nechta tizimlar "Ha" - Windows bo'lmagan yuklovchi "Yo'q" (aslida "Ha", lekin VeraCrypt/GRUB2 yuklash moslamalari MBRni o'zaro taqsimlamaydi; aniqrog'i, yuklash kodining faqat eng kichik qismi MBR/yuklash trekida saqlanadi, uning asosiy qismi fayl tizimida joylashgan) – Multiboot – Shifrlash sozlamalari…
Yuqoridagi amallardan chetga chiqsangiz (tizimni shifrlash sxemalarini bloklash), keyin VeraCrypt ogohlantirish beradi va bo'limni shifrlashga ruxsat bermaydi.
Ma'lumotni maqsadli himoya qilish bo'yicha keyingi qadamda "Test" ni o'tkazing va shifrlash algoritmini tanlang. Agar sizda eskirgan protsessor bo'lsa, unda eng tez shifrlash algoritmi Twofish bo'ladi. Agar protsessor kuchli bo'lsa, siz farqni sezasiz: AES shifrlash, sinov natijalariga ko'ra, kripto raqobatchilaridan bir necha baravar tezroq bo'ladi. AES shifrlashning mashhur algoritmidir; zamonaviy protsessorlarning apparati “maxfiy” va “xakerlik” uchun maxsus optimallashtirilgan.
VeraCrypt disklarni AES kaskadida shifrlash qobiliyatini qo'llab-quvvatlaydi(Ikki baliq)/ va boshqa kombinatsiyalar. O'n yil oldingi eski yadroli Intel protsessorida (AES, A/T kaskad shifrlash uchun apparat yordamisiz) Ishlashning pasayishi asosan sezilmaydi. (bir xil davrdagi/~parametrli AMD protsessorlari uchun unumdorlik biroz pasayadi). OT dinamik ishlaydi va shaffof shifrlash uchun resurs sarfi ko'rinmas. Bundan farqli o'laroq, masalan, o'rnatilgan test beqaror ish stoli muhiti Mate v1.20.1 tufayli ishlashning sezilarli pasayishi. (yoki v1.20.2 aniq esimda yo'q) GNU/Linux-da yoki Windows7↑-da telemetriya dasturining ishlashi tufayli. Odatda, tajribali foydalanuvchilar shifrlashdan oldin apparat ishlashi testlarini o'tkazadilar. Masalan, Aida64/Sysbench/systemd-tahlil tizimida ayblash tizimni shifrlashdan keyin xuddi shu sinovlar natijalari bilan taqqoslanadi va shu bilan o'zlari uchun "tizimni shifrlash zararli" degan afsonani rad etadi. Mashinaning sekinlashishi va noqulaylik shifrlangan ma'lumotlarni zaxiralash/tiklashda sezilarli bo'ladi, chunki "tizim ma'lumotlarini zahiralash" operatsiyasining o'zi ms bilan o'lchanmaydi va xuddi shu <shifrni ochish/shifrlashda shifrlash> qo'shiladi. Oxir oqibat, kriptografiya bilan shug'ullanishga ruxsat berilgan har bir foydalanuvchi shifrlash algoritmini vazifalarni qondirish, ularning paranoyya darajasi va foydalanish qulayligi bilan muvozanatlashtiradi.
PIM parametrini sukut bo'yicha qoldirgan ma'qul, shunda OTni yuklashda har safar aniq iteratsiya qiymatlarini kiritish shart emas. VeraCrypt haqiqatan ham "sekin xesh" yaratish uchun juda ko'p iteratsiyalardan foydalanadi. Qo'pol kuch/kamalak jadvallari usuli yordamida bunday "kripto salyangoz" ga hujum faqat qisqa "oddiy" parol va jabrlanuvchining shaxsiy belgilar ro'yxati bilan mantiqiy bo'ladi. Parol kuchi uchun to'lanadigan narx - bu OSni yuklashda to'g'ri parolni kiritishdagi kechikish. (GNU/Linux-da VeraCrypt hajmlarini o'rnatish sezilarli darajada tezroq).
Qo'pol kuch hujumlarini amalga oshirish uchun bepul dasturiy ta'minot (VeraCrypt/LUKS disk sarlavhasidan parol iborasini chiqarib oling) Hashcat. Jon Ripper "Veracryptni qanday sindirishni" bilmaydi va LUKS bilan ishlashda Twofish kriptografiyasini tushunmaydi.
Shifrlash algoritmlarining kriptografik kuchi tufayli, to'xtatib bo'lmaydigan shifrlar boshqa hujum vektoriga ega dasturiy ta'minotni ishlab chiqmoqda. Masalan, RAMdan metadata/kalitlarni chiqarish (sovuq yuklash/to'g'ridan-to'g'ri xotiraga kirish hujumi), Ushbu maqsadlar uchun maxsus bepul va bepul dasturlar mavjud.
Shifrlangan faol bo'limning "noyob metama'lumotlarini" o'rnatish/yaratish tugallangandan so'ng, VeraCrypt kompyuterni qayta ishga tushirishni va yuklash moslamasining funksionalligini sinab ko'rishni taklif qiladi. Windows-ni qayta ishga tushirgandan so'ng, VeraCrypt kutish rejimida yuklanadi, faqat shifrlash jarayonini tasdiqlash qoladi - Y.
Tizim shifrlashning yakuniy bosqichida VeraCrypt faol shifrlangan bo'lim sarlavhasining zaxira nusxasini "veracrypt rescue disk.iso" ko'rinishida yaratishni taklif qiladi - buni qilish kerak - ushbu dasturda bunday operatsiya talab hisoblanadi (LUKSda, talab sifatida - bu, afsuski, o'tkazib yuborilgan, ammo hujjatlarda ta'kidlangan). Qutqaruv diski hamma uchun va ba'zilari uchun bir necha marta foydali bo'ladi. Yo'qotish (sarlavha/MBR qayta yozish) sarlavhaning zaxira nusxasi Windows OS bilan shifrlangan bo'limga kirishni doimiy ravishda rad etadi.
A4. VeraCrypt qutqarish USB/diskini yaratishOdatiy bo'lib, VeraCrypt "~ 2-3 MB metama'lumotni" CDga yozishni taklif qiladi, ammo hamma odamlarda disklar yoki DWD-ROM drayvlar mavjud emas va "VeraCrypt Rescue disk" yuklanadigan flesh-diskini yaratish ba'zilar uchun texnik ajablanib bo'ladi: Rufus /GUIdd-ROSA ImageWriter va boshqa shunga o'xshash dasturiy ta'minot vazifani bajara olmaydi, chunki ofset metama'lumotlarini yuklanadigan flesh-diskga nusxalashdan tashqari, tasvirni USB diskining fayl tizimidan tashqariga nusxalash/joylashtirish kerak, qisqasi, MBR/yo'lni keychainga to'g'ri nusxalash. Ushbu belgiga qarab, "dd" yordam dasturidan foydalanib, GNU/Linux OS dan yuklanadigan flesh-disk yaratishingiz mumkin.
Windows muhitida qutqaruv diskini yaratish boshqacha. VeraCrypt ishlab chiqaruvchisi ushbu muammoni hal qilishni rasmiy hujjatga kiritmagan "qutqaruv diski" tomonidan, lekin boshqa yo'l bilan yechim taklif qildi: u VeraCrypt forumida bepul kirish uchun "usb qutqarish diskini" yaratish uchun qo'shimcha dasturiy ta'minotni joylashtirdi. Windows uchun ushbu dasturning arxivchisi "usb veracrypt qutqaruv diskini yaratmoqda". Rescue disk.iso-ni saqlaganingizdan so'ng, faol bo'limni bloklash tizimini shifrlash jarayoni boshlanadi. Shifrlash paytida operatsion tizimning ishlashi to'xtamaydi, kompyuterni qayta ishga tushirish talab qilinmaydi. Shifrlash jarayoni tugagandan so'ng, faol bo'lim to'liq shifrlangan bo'ladi va undan foydalanish mumkin. Agar siz kompyuterni ishga tushirganingizda VeraCrypt yuklash moslamasi paydo bo'lmasa va sarlavhani tiklash operatsiyasi yordam bermasa, "yuklash" bayrog'ini tekshiring, u Windows mavjud bo'lgan bo'limga o'rnatilishi kerak. (shifrlash va boshqa OS dan qat'i nazar, 1-jadvalga qarang).
Bu Windows OS bilan blokli tizim shifrlash tavsifini yakunlaydi.
[B]LUKS. GNU/Linux shifrlash (~Debian) o'rnatilgan OS. Algoritm va qadamlar
O'rnatilgan Debian/derivativ distributivni shifrlash uchun siz tayyorlangan bo'limni virtual blokli qurilmaga joylashtirishingiz, uni xaritalangan GNU/Linux diskiga o'tkazishingiz va GRUB2-ni o'rnatish/sozlash kerak. Agar sizda yalang'och metall server bo'lmasa va vaqtingizni qadrlasangiz, u holda siz GUI-dan foydalanishingiz kerak va quyida tavsiflangan terminal buyruqlarining aksariyati "Chuck-Norris rejimida" ishlash uchun mo'ljallangan.
B1. Jonli USB GNU/Linux-dan kompyuterni yuklash
"Uskuna ishlashi uchun kripto testini o'tkazing"
lscpu && сryptsetup benchmark
Agar siz AES apparat ta'minotiga ega kuchli avtomobilning baxtli egasi bo'lsangiz, raqamlar terminalning o'ng tomoniga o'xshaydi; agar baxtli egasi bo'lsangiz, lekin antiqa jihozlarga ega bo'lsangiz, raqamlar chap tomoniga o'xshaydi.
B2. Diskni qismlarga ajratish. fs mantiqiy disk HDDni Ext4 (Gparted) ga o'rnatish/formatlash
B2.1. Shifrlangan sda7 bo'limi sarlavhasini yaratishMen yuqorida e'lon qilingan bo'limlar jadvalimga muvofiq bo'limlarning nomlarini bu erda va keyin tasvirlab beraman. Disk tartibiga ko'ra, bo'lim nomlarini almashtirishingiz kerak.
Mantiqiy diskni shifrlash xaritasi (/dev/sda7 > /dev/mapper/sda7_crypt).
# "LUKS-AES-XTS bo'limini" oson yaratish
cryptsetup -v -y luksFormat /dev/sda7Tanlovlar:
* luksFormat - LUKS sarlavhasini ishga tushirish;
* -y -parol iborasi (kalit/fayl emas);
* -v -verbalizatsiya (terminalda ma'lumotni ko'rsatish);
* /dev/sda7 - kengaytirilgan bo'limdan mantiqiy diskingiz (GNU/Linux-ni uzatish/shifrlash rejalashtirilgan).
Standart shifrlash algoritmi <LUKS1: aes-xts-plain64, kalit: 256 bit, LUKS sarlavhasini xeshlash: sha256, RNG: /dev/urandom> (cryptsetup versiyasiga bog'liq).
#Проверка default-алгоритма шифрования
cryptsetup --help #самая последняя строка в выводе терминала.Agar protsessorda AES uchun apparat yordami bo'lmasa, eng yaxshi tanlov kengaytirilgan "LUKS-Twofish-XTS-bo'limi" ni yaratish bo'ladi.
B2.2. "LUKS-Twofish-XTS-bo'limi" ni kengaytirilgan yaratish
cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom
Tanlovlar:
* luksFormat - LUKS sarlavhasini ishga tushirish;
* /dev/sda7 sizning kelajakdagi shifrlangan mantiqiy diskingiz;
* -v verbalizatsiya;
* -y parol iborasi;
* -c ma'lumotlarni shifrlash algoritmini tanlang;
* -s shifrlash kaliti hajmi;
* -h xesh algoritmi/kripto funksiyasi, RNG ishlatilgan (--us-urandom) mantiqiy disk sarlavhasi, ikkinchi darajali sarlavha kaliti (XTS) uchun yagona shifrlash/shifrni ochish kalitini yaratish; shifrlangan disk sarlavhasida saqlanadigan noyob asosiy kalit, ikkilamchi XTS kaliti, bu barcha metama'lumotlar va asosiy kalit va ikkilamchi XTS kaliti yordamida bo'limdagi har qanday ma'lumotlarni shifrlaydigan/shifrini hal qiladigan shifrlash tartibi. (bo'lim sarlavhasidan tashqari) tanlangan qattiq disk bo'limida ~3MB hajmda saqlanadi.
* -i "miqdori" o'rniga millisekundlarda takrorlash (parol iborasini qayta ishlash vaqtida kechikish OTning yuklanishiga va kalitlarning kriptografik kuchiga ta'sir qiladi). Kriptografik quvvat muvozanatini saqlash uchun “ruscha” kabi oddiy parol yordamida -(i) qiymatini oshirish kerak, “?8dƱob/øfh” kabi murakkab parol bilan esa qiymatni kamaytirish mumkin.
* —uandom tasodifiy sonlar generatoridan foydalaning, kalit va tuz hosil qiladi.
sda7 > sda7_crypt bo'limini xaritalashdan keyin (operatsiya tez, chunki shifrlangan sarlavha ~ 3 MB metadata bilan yaratilgan va hammasi shu), siz sda7_crypt fayl tizimini formatlashingiz va o'rnatishingiz kerak.
B2.3. Taqqoslash
cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.
variantlar:
* ochish - "ism bilan" bo'limini moslang;
* /dev/sda7 -mantiqiy disk;
* sda7_crypt - shifrlangan bo'limni o'rnatish yoki OS yuklanganda uni ishga tushirish uchun ishlatiladigan nom xaritasi.
B2.4. Sda7_crypt fayl tizimini ext4 ga formatlash. Operatsion tizimda diskni o'rnatish(Eslatma: siz Gparted-da shifrlangan bo'lim bilan ishlay olmaysiz)
#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt
variantlar:
* -v -verbalizatsiya;
* -L - haydovchi yorlig'i (u boshqa drayvlar qatorida Explorer-da ko'rsatiladi).
Keyinchalik, tizimga virtual shifrlangan blok qurilmasini /dev/sda7_crypt o'rnatishingiz kerak
mount /dev/mapper/sda7_crypt /mnt/mnt jildidagi fayllar bilan ishlash sda7 da ma'lumotlarni avtomatik ravishda shifrlaydi/shifrini hal qiladi.
Explorer-da bo'limni xaritalash va o'rnatish qulayroqdir (nautilus/caja GUI), bo'lim allaqachon diskni tanlash ro'yxatida bo'ladi, faqat diskni ochish/shifrini ochish uchun parolni kiritish qoladi. Mos keladigan nom avtomatik ravishda tanlanadi va "sda7_crypt" emas, balki /dev/mapper/Luks-xx-xx...
B2.5. Disk sarlavhasini zaxiralash (~3MB metama'lumot)Eng biri muhim kechiktirmasdan bajarilishi kerak bo'lgan operatsiyalar - "sda7_crypt" sarlavhasining zaxira nusxasi. Sarlavhani qayta yozsangiz/zarar qilsangiz (masalan, sda2 bo'limiga GRUB7 o'rnatish va boshqalar), shifrlangan ma'lumotlar uni qayta tiklash imkoniyatisiz butunlay yo'qoladi, chunki bir xil kalitlarni qayta yaratish mumkin bo'lmaydi, kalitlar noyob tarzda yaratilgan.
#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7
#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>
variantlar:
* luksHeaderBackup —header-zaxira-fayl -zaxiralash buyrug'i;
* luksHeaderRestore —sarlavha-zaxira-fayl-qayta tiklash buyrug'i;
* ~/Backup_DebSHIFR - zaxira fayli;
* /dev/sda7 - shifrlangan disk sarlavhasining zaxira nusxasi saqlanishi kerak bo'lgan bo'lim.
Ushbu bosqichda <shifrlangan bo'limni yaratish va tahrirlash> tugallanadi.
B3. GNU/Linux OS ni portlash (sda4) shifrlangan bo'limga (sda7)
/mnt2 papkasini yarating (Eslatma - biz hali ham jonli USB bilan ishlaymiz, sda7_crypt /mnt da o'rnatilgan), va shifrlanishi kerak bo'lgan GNU/Linux-ni /mnt2-ga o'rnating.
mkdir /mnt2
mount /dev/sda4 /mnt2
Biz Rsync dasturi yordamida to'g'ri OS uzatishni amalga oshiramiz
rsync -avlxhHX --progress /mnt2/ /mntRsync opsiyalari E1 bandida tasvirlangan.
Bundan tashqari, kerak mantiqiy disk qismini defragmentatsiya qilish
e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux
Buni qoidaga aylantiring: agar sizda HDD bo'lsa, vaqti-vaqti bilan shifrlangan GNU/LInux-da e4defrag-ni bajaring.
Ushbu bosqichda uzatish va sinxronlashtirish [GNU/Linux > GNU/Linux-shifrlangan] tugallanadi.
AT 4. Shifrlangan sda7 bo'limida GNU/Linux-ni sozlash
OS /dev/sda4 > /dev/sda7 muvaffaqiyatli uzatilgandan so'ng, shifrlangan bo'limda GNU/Linux-ga kirishingiz va keyingi konfiguratsiyani amalga oshirishingiz kerak. (kompyuterni qayta yoqmasdan) shifrlangan tizimga nisbatan. Ya'ni, jonli USB-da bo'ling, lekin "shifrlangan OT ildiziga nisbatan" buyruqlarni bajaring. "Chroot" shunga o'xshash vaziyatni taqlid qiladi. Hozirda qaysi OS bilan ishlayotganingiz haqida tezkor ma'lumot olish uchun (shifrlangan yoki shifrlanmagan, chunki sda4 va sda7-dagi ma'lumotlar sinxronlashtiriladi), OTni sinxronizatsiya qilish. Ildiz kataloglarda yarating (sda4/sda7_crypt) bo'sh marker fayllari, masalan, /mnt/encryptedOS va /mnt2/decryptedOS. Qaysi operatsion tizimda ekanligingizni tezda tekshiring (shu jumladan kelajak uchun):
ls /<Tab-Tab>B4.1. "Shifrlangan operatsion tizimga kirish simulyatsiyasi"
mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt
B4.2. Ish shifrlangan tizimga qarshi amalga oshirilganligini tekshirish
ls /mnt<Tab-Tab>
#и видим файл "/шифрованнаяОС"
history
#в выводе терминала должна появиться история команд su рабочей ОС.B4.3. Shifrlangan almashtirishni yaratish/sozlash, crypttab/fstab-ni tahrirlashSwap fayli har safar OS ishga tushirilganda formatlanganligi sababli, hozir mantiqiy diskda almashtirishni yaratish va xaritalash va B2.2 bandidagi kabi buyruqlarni kiritish mantiqiy emas. Swap uchun uning vaqtinchalik shifrlash kalitlari har bir boshida avtomatik ravishda yaratiladi. Almashtirish kalitlarining hayot aylanishi: almashtirish bo'limini o'chirish/demontaj qilish (+RAMni tozalash); yoki operatsion tizimni qayta ishga tushiring. Swapni sozlash, bloklangan shifrlangan qurilmalar konfiguratsiyasi uchun mas'ul faylni ochish (fstab fayliga o'xshash, ammo kripto uchun javobgar).
nano /etc/crypttab tahrir qilamiz
#"maqsad nomi" "manba qurilma" "kalit fayl" "variantlar"
swap /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512
Tanlovlar
* almashtirish - /dev/mapper/swapni shifrlashda xaritalangan nom.
* /dev/sda8 - almashtirish uchun mantiqiy bo'limingizdan foydalaning.
* /dev/urandom - almashtirish uchun tasodifiy shifrlash kalitlari generatori (Har bir yangi OS yuklanishi bilan yangi kalitlar yaratiladi). /dev/urandom generatori /dev/randomga qaraganda kamroq tasodifiydir, axir /dev/random xavfli paranoid sharoitlarda ishlaganda ishlatiladi. Operatsion tizimni yuklashda /dev/random yuklashni bir necha ± daqiqaga sekinlashtiradi (qarang: systemd-analyse).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -bo'lim almashtirish ekanligini biladi va "mos ravishda" formatlanadi; shifrlash algoritmi.
#Открываем и правим fstab
nano /etc/fstab
tahrir qilamiz
O'rnatish vaqtida # almashtirish / dev / sda8-da edi
/dev/mapper/swap none swap sw 0 0
/dev/mapper/swap - bu crypttab-da o'rnatilgan nom.
Alternativ shifrlangan almashtirish
Agar biron sababga ko'ra almashtirish fayli uchun butun bo'limdan voz kechishni istamasangiz, unda siz muqobil va yaxshiroq yo'lni tanlashingiz mumkin: OS bilan shifrlangan bo'limda faylda almashtirish faylini yaratish.
fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянныйSwap bo'limini sozlash tugallandi.
B4.4. Shifrlangan GNU/Linux-ni sozlash (crypttab/fstab fayllarini tahrirlash)/etc/crypttab fayli, yuqorida yozilganidek, tizimni yuklash vaqtida konfiguratsiya qilingan shifrlangan blokli qurilmalarni tavsiflaydi.
#правим /etc/crypttab
nano /etc/crypttab
agar siz B7 bandidagi kabi sda7>sda2.1_crypt bo'limiga mos kelsangiz
# "maqsad nomi" "manba qurilmasi" "kalit fayl" "variantlar"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks
agar siz B7 bandidagi kabi sda7>sda2.2_crypt bo'limiga mos kelsangiz
# "maqsad nomi" "manba qurilmasi" "kalit fayl" "variantlar"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512
Agar siz B7 yoki B7-bandidagi kabi sda2.1>sda2.2_crypt bo'limiga mos kelgan bo'lsangiz, lekin OTni blokdan chiqarish va yuklash uchun parolni qayta kiritishni xohlamasangiz, parol o'rniga maxfiy kalit/tasodifiy faylni almashtirishingiz mumkin.
# "maqsad nomi" "manba qurilmasi" "kalit fayl" "variantlar"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks
tavsifi
* yo'q - OTni yuklashda ildizni ochish uchun maxfiy parolni kiritish talab qilinishi haqida xabar beradi.
* UUID - bo'lim identifikatori. IDingizni bilish uchun terminalga kiriting (shu vaqtdan boshlab siz boshqa jonli usb terminalida emas, balki chroot muhitidagi terminalda ishlayotganingizni eslatib o'tamiz).
fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное
/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»
bu chiziq sda7_crypt o'rnatilgan jonli usb terminalidan blkid so'raganda ko'rinadi).
Siz sdaX-dan UUID-ni olasiz (sdaX_crypt emas!, UUID sdaX_crypt - grub.cfg konfiguratsiyasini yaratishda avtomatik ravishda qoldiriladi).
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks rivojlangan rejimda shifrlash.
* /etc/skey - maxfiy kalit fayli, u OTni yuklash qulfini ochish uchun avtomatik ravishda kiritiladi. (3-parolni kiritish o'rniga). Siz 8 MB gacha bo'lgan har qanday faylni belgilashingiz mumkin, ammo ma'lumotlar <1 MB o'qiladi.
#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey
#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7
Bu shunday ko'rinadi:
(Buni o'zingiz qiling va o'zingiz ko'ring).
cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота/etc/fstab turli fayl tizimlari haqida tavsiflovchi ma'lumotlarni o'z ichiga oladi.
#Правим /etc/fstab
nano /etc/fstab
# "fayl tizimi" "o'rnatish nuqtasi" "turi" "variantlar" "dump" "o'tish"
# / o'rnatish paytida / dev / sda7-da edi
/dev/mapper/sda7_crypt / ext4 errors=remount-ro 0 1
variant
* /dev/mapper/sda7_crypt - /etc/crypttab faylida ko'rsatilgan sda7>sda7_crypt xaritalashning nomi.
crypttab/fstab sozlamalari tugallandi.
B4.5. Konfiguratsiya fayllarini tahrirlash. Asosiy momentB4.5.1. /etc/initramfs-tools/conf.d/resume konfiguratsiyasini tahrirlash
#Если у вас ранее был активирован swap раздел, отключите его.
nano /etc/initramfs-tools/conf.d/resume
va fikr bildiring (mavjud bo'lsa) "#" qatori "rezyume". Fayl butunlay bo'sh bo'lishi kerak.
B4.5.2. /etc/initramfs-tools/conf.d/cryptsetup konfiguratsiyasini tahrirlash
nano /etc/initramfs-tools/conf.d/cryptsetupmos kelishi kerak
# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=ha
CRYPTSETUP-ni eksport qiling
B4.5.3. /etc/default/grub konfiguratsiyasini tahrirlash (ushbu konfiguratsiya shifrlangan /boot bilan ishlashda grub.cfg yaratish qobiliyati uchun javobgardir)
nano /etc/default/grub
“GRUB_ENABLE_CRYPTODISK=y” qatorini qo‘shing
"y" qiymati, grub-mkconfig va grub-install shifrlangan drayverlarni tekshiradi va yuklash vaqtida ularga kirish uchun zarur bo'lgan qo'shimcha buyruqlarni yaratadi. (insmods ).
o'xshashlik bo'lishi kerak
GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=vendor"
GRUB_CMDLINE_LINUX="sokin splash noautomount"
GRUB_ENABLE_CRYPTODISK=y
B4.5.4. /etc/cryptsetup-initramfs/conf-hook konfiguratsiyasini tahrirlash
nano /etc/cryptsetup-initramfs/conf-hook
chiziq ekanligini tekshiring izoh qoldirdi <#>.
Kelajakda (va hozir ham bu parametr hech qanday ma'noga ega bo'lmaydi, lekin ba'zida u initrd.img tasvirini yangilashga xalaqit beradi).
B4.5.5. /etc/cryptsetup-initramfs/conf-hook konfiguratsiyasini tahrirlash
nano /etc/cryptsetup-initramfs/conf-hookqo'shish
KEYFILE_PATTERN=”/etc/skey”
UMASK=0077
Bu "skey" maxfiy kalitini initrd.img ichiga joylashtiradi, bu kalit OS ishga tushganda ildizni ochish uchun kerak bo'ladi. (agar siz parolni qayta kiritishni xohlamasangiz, mashina uchun "skey" tugmasi almashtiriladi).
B4.6. /boot/initrd.img-ni yangilang [versiya]Yashirin kalitni initrd.img ga joylashtirish va kriptosetup tuzatishlarini qo'llash uchun tasvirni yangilang
update-initramfs -u -k all
initrd.img yangilanganda (ular aytganidek, "Bu mumkin, lekin bu aniq emas") kriptosetup bilan bog'liq ogohlantirishlar paydo bo'ladi yoki, masalan, Nvidia modullarining yo'qolishi haqida bildirishnoma - bu normal holat. Faylni yangilagandan so'ng, u haqiqatan ham yangilanganligini tekshiring, vaqtni ko'ring (chroot muhitiga nisbatan./boot/initrd.img). E'tibor bering! [update-initramfs -u -k all]dan oldin cryptsetup /dev/sda7 ochiqligini tekshiring. sda7_crypt - bu /etc/crypttab-da paydo bo'ladigan nom, aks holda qayta ishga tushirilgandan so'ng band bo'lmagan xatolik yuz beradi)
Ushbu bosqichda konfiguratsiya fayllarini sozlash tugallandi.
[C] GRUB2/Protection-ni o'rnatish va sozlash
C1. Agar kerak bo'lsa, yuklash moslamasi uchun ajratilgan bo'limni formatlang (bo'lim kamida 20 MB bo'lishi kerak)
mkfs.ext4 -v -L GRUB2 /dev/sda6C2. /dev/sda6 ni /mnt ga o'rnatingShunday qilib, biz chrootda ishlaymiz, keyin ildizda /mnt2 katalogi bo'lmaydi va /mnt papkasi bo'sh bo'ladi.
GRUB2 qismini o'rnating
mount /dev/sda6 /mntAgar sizda GRUB2 ning eski versiyasi oʻrnatilgan boʻlsa, /mnt/boot/grub/i-386-pc katalogida. (boshqa platforma ham mumkin, masalan, “i386-pc” emas) kripto modullari yo'q (qisqasi, papkada modullar bo'lishi kerak, jumladan, .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), bu holda GRUB2 ni silkitish kerak.
apt-get update
apt-get install grub2
Muhim! GRUB2 paketini ombordan yangilashda, yuklash moslamasini qaerga o'rnatishni "tanlash haqida" so'ralganda, siz o'rnatishni rad qilishingiz kerak. (sabab - GRUB2-ni "MBR" da yoki jonli USB-ga o'rnatishga harakat qiling). Aks holda siz VeraCrypt sarlavhasi/yuklagichiga zarar yetkazasiz. GRUB2 paketlarini yangilash va o'rnatishni bekor qilgandan so'ng, yuklash moslamasi MBRda emas, balki mantiqiy diskda qo'lda o'rnatilishi kerak. Agar sizning omboringiz GRUB2 ning eskirgan versiyasiga ega bo'lsa, sinab ko'ring Bu rasmiy veb-saytdan - tekshirmaganman (eng so'nggi GRUB 2.02 ~ BetaX yuklash moslamalari bilan ishlagan).
C3. GRUB2 ni kengaytirilgan bo'limga o'rnatish [sda6]Sizda o'rnatilgan bo'lim bo'lishi kerak [C.2-band]
grub-install --force --root-directory=/mnt /dev/sda6
imkoniyatlari
* —force - deyarli har doim mavjud bo'lgan barcha ogohlantirishlarni chetlab o'tib, yuklash moslamasini o'rnatish va o'rnatishni bloklash (kerakli bayroq).
* --root-katalog - katalogni o'rnatish sda6 ildiziga.
* /dev/sda6 - sizning sdaX bo'limingiz (/mnt /dev/sda6 orasidagi <bo'shliqni o'tkazib yubormang).
C4. Konfiguratsiya faylini yaratish [grub.cfg]"Update-grub2" buyrug'ini unuting va to'liq konfiguratsiya faylini yaratish buyrug'idan foydalaning
grub-mkconfig -o /mnt/boot/grub/grub.cfg
grub.cfg faylini yaratish/yangilashni tugatgandan so'ng, chiqish terminali diskda joylashgan OS bilan chiziq(lar)ni o'z ichiga olishi kerak. ("grub-mkconfig" ehtimol, operatsion tizimni jonli USB-dan topadi va oladi, agar sizda Windows 10-ga ega ko'p yuklangan flesh-disk va bir nechta jonli tarqatishlar bo'lsa - bu normal holat). Agar terminal "bo'sh" bo'lsa va "grub.cfg" fayli yaratilmasa, tizimda GRUB xatolari mavjud bo'lganda ham xuddi shunday bo'ladi. (va, ehtimol, omborning sinov bo'limidan yuklovchi), GRUB2 ni ishonchli manbalardan qayta o'rnating.
"Oddiy konfiguratsiya" o'rnatilishi va GRUB2 o'rnatilishi tugallandi.
C5. Shifrlangan GNU/Linux OS ning isbot-testiBiz kripto missiyasini to'g'ri bajaramiz. Shifrlangan GNU/Linux-ni ehtiyotkorlik bilan tark eting (chroot muhitidan chiqish).
umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot
Kompyuterni qayta ishga tushirgandan so'ng, VeraCrypt bootloader yuklanishi kerak.
*Faol bo'lim uchun parolni kiritish Windows-ni yuklashni boshlaydi.
*"Esc" tugmachasini bosish boshqaruvni GRUB2-ga o'tkazadi, agar siz shifrlangan GNU/Linux-ni tanlasangiz - /boot/initrd.img qulfini ochish uchun parol (sda7_crypt) talab qilinadi (agar grub2 uuid "topilmadi" deb yozsa - bu grub2 bootloader bilan bog'liq muammo bo'lsa, uni qayta o'rnatish kerak, masalan, sinov bo'limidan/barqaror va hokazo).
*Tizimni qanday konfiguratsiya qilganingizga qarab (B4.4/4.5-bandga qarang), /boot/initrd.img tasvirini qulfdan chiqarish uchun toʻgʻri parolni kiritganingizdan soʻng, OT yadrosi/rootini yuklash uchun parol yoki sir kerak boʻladi. kalit avtomatik ravishda "skey" bilan almashtiriladi, bu esa parolni qayta kiritish zaruriyatini yo'q qiladi.
(“maxfiy kalitni avtomatik almashtirish” ekrani).
*Keyin GNU/Linux-ni foydalanuvchi hisobi autentifikatsiyasi bilan yuklashning tanish jarayoni boshlanadi.
*Foydalanuvchi avtorizatsiyasidan so'ng va OTga kirganingizdan so'ng, /boot/initrd.img ni yana yangilashingiz kerak. (Qarang: B4.6).
update-initramfs -u -k allVa GRUB2 menyusida qo'shimcha chiziqlar bo'lsa (jonli usb bilan OS-m pikapidan) ulardan qutuling
mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg
GNU/Linux tizim shifrlashning qisqacha tavsifi:
- GNU/Linuxinux to'liq shifrlangan, jumladan /boot/kernel va initrd;
- maxfiy kalit initrd.img da paketlangan;
- joriy avtorizatsiya sxemasi (initrd qulfini ochish uchun parolni kiritish; OTni yuklash uchun parol/kalit; Linux hisobini avtorizatsiya qilish uchun parol).
"Simple GRUB2 Configuration" tizimi blok bo'limini shifrlash tugallandi.
C6. Kengaytirilgan GRUB2 konfiguratsiyasi. Raqamli imzo + autentifikatsiya himoyasi bilan yuklovchi himoyasiGNU/Linux to'liq shifrlangan, lekin yuklovchini shifrlab bo'lmaydi - bu holat BIOS tomonidan belgilanadi. Shu sababli, GRUB2 zanjirli shifrlangan yuklash mumkin emas, lekin oddiy zanjirli yuklash mumkin/mavjud, lekin xavfsizlik nuqtai nazaridan bu shart emas [qarang. P. F].
"Zaif" GRUB2 uchun ishlab chiquvchilar "imzo/autentifikatsiya" bootloaderni himoya qilish algoritmini amalga oshirdilar.
- Yuklovchi "o'zining raqamli imzosi" bilan himoyalangan bo'lsa, fayllarni tashqi modifikatsiya qilish yoki ushbu yuklash moslamasiga qo'shimcha modullarni yuklashga urinish yuklash jarayonining bloklanishiga olib keladi.
- Yuklash moslamasini autentifikatsiya bilan himoya qilganda, tarqatishni yuklashni tanlash yoki CLI-ga qo'shimcha buyruqlarni kiritish uchun siz superuser-GRUB2 login va parolini kiritishingiz kerak bo'ladi.
C6.1. Bootloader autentifikatsiya himoyasiShifrlangan operatsion tizimda terminalda ishlayotganingizni tekshiring
ls /<Tab-Tab> #обнаружить файл-маркерGRUB2 da avtorizatsiya qilish uchun superfoydalanuvchi parolini yarating
grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. Parol xeshini oling. Shunga o'xshash narsa
grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
GRUB bo'limini o'rnating
mount /dev/sda6 /mnt konfiguratsiyani tahrirlang
nano -$ /mnt/boot/grub/grub.cfg
faylni qidirishda “grub.cfg” (“-cheklanmagan” “-user”) da hech qanday bayroq yo‘qligini tekshiring.
oxirida qo'shing (### END /etc/grub.d/41_custom ### qatoridan oldin)
"superusersni o'rnatish = "root"
password_pbkdf2 ildiz xeshi."
Bu shunday bo'lishi kerak
# Ushbu fayl maxsus menyu yozuvlarini qo'shishning oson usulini taqdim etadi. Shunchaki yozing
Ushbu fikrdan keyin qo'shmoqchi bo'lgan # menyu yozuvi. O'zgartirishdan ehtiyot bo'ling
# yuqoridagi "exec tail" qatori.
### END /etc/grub.d/40_custom ###### BOSHLASH /etc/grub.d/41_custom ###
agar [ -f ${config_directory}/custom.cfg ]; keyin
manba ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefiks/custom.cfg ]; keyin
manba $prefiks/custom.cfg;
fi
superusers = "root" ni o'rnatish
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#
Agar siz tez-tez "grub-mkconfig -o /mnt/boot/grub/grub.cfg" buyrug'idan foydalansangiz va har safar grub.cfg ga o'zgartirish kiritishni xohlamasangiz, yuqoridagi qatorlarni kiriting. (Login: Parol) eng pastki qismidagi GRUB foydalanuvchi skriptida
nano /etc/grub.d/41_custom mushuk <<EOF
superusers = "root" ni o'rnatish
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF
“grub-mkconfig -o /mnt/boot/grub/grub.cfg” konfiguratsiyasini yaratishda autentifikatsiya uchun mas'ul qatorlar avtomatik ravishda grub.cfg saytiga qo'shiladi.
Ushbu qadam GRUB2 autentifikatsiyasini sozlashni yakunlaydi.
C6.2. Raqamli imzo bilan bootloader himoyasiSizning shaxsiy pgp shifrlash kalitingiz allaqachon mavjud deb taxmin qilinadi (yoki shunday kalit yarating). Tizimda kriptografik dasturiy ta'minot o'rnatilgan bo'lishi kerak: gnuPG; kleopatra/GPA; Dengiz oti. Kripto dasturiy ta'minot barcha shu kabi masalalarda hayotingizni ancha osonlashtiradi. Seahorse - 3.14.0 to'plamining barqaror versiyasi (yuqori versiyalar, masalan, V3.20, nuqsonli va jiddiy xatolarga ega).
PGP kaliti faqat su muhitida yaratilishi/boshlanishi/qo'shilishi kerak!
Shaxsiy shifrlash kalitini yarating
gpg - -gen-keyKalitingizni eksport qiling
gpg --export -o ~/perskeyAgar u allaqachon o'rnatilmagan bo'lsa, mantiqiy diskni OTga o'rnating
mount /dev/sda6 /mnt #sda6 – раздел GRUB2GRUB2 qismini tozalang
rm -rf /mnt/GRUB2-ni sda6-ga o'rnating, shaxsiy kalitingizni asosiy GRUB tasviridagi "core.img" ga qo'ying.
grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6
imkoniyatlari
* --force - har doim mavjud bo'lgan barcha ogohlantirishlarni chetlab o'tib, yuklash moslamasini o'rnating (kerakli bayroq).
* —modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - GRUB2 ga kompyuter ishga tushganda kerakli modullarni oldindan yuklashni buyuradi.
* -k ~/perskey - "PGP kalitiga" yo'l (kalitni rasmga joylashtirgandan so'ng, uni o'chirib tashlash mumkin).
* --root-directory - yuklash katalogini sda6 ildiziga o'rnating
/dev/sda6 - sizning sdaX bo'limingiz.
grub.cfg yaratilmoqda/yangilanmoqda
grub-mkconfig -o /mnt/boot/grub/grub.cfg"grub.cfg" faylining oxiriga "trust /boot/grub/perskey" qatorini qo'shing. (pgp kalitidan foydalanishni majburlash.) Biz GRUB2 ni modullar to‘plami, jumladan “signature_test.mod” imzo moduli bilan o‘rnatganimiz sababli, bu konfiguratsiyaga “set check_signatures=enforce” kabi buyruqlarni qo‘shish zaruratini yo‘q qiladi.
Bu shunday ko'rinishi kerak (grub.cfg faylidagi oxirgi qatorlar)
### BOSHLASH /etc/grub.d/41_custom ###
agar [ -f ${config_directory}/custom.cfg ]; keyin
manba ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefiks/custom.cfg ]; keyin
manba $prefiks/custom.cfg;
fi
ishonch /boot/grub/perskey
superusers = "root" ni o'rnatish
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#
"/boot/grub/perskey" yo'lini ma'lum bir disk bo'limiga ko'rsatish shart emas, masalan, hd0,6; bootloaderning o'zi uchun "root" GRUB2 o'rnatilgan bo'limning standart yo'lidir. (qarang: rot=...).
GRUB2 imzolash (barcha /GRUB katalogidagi barcha fayllar) "perskey" kalitingiz bilan.
Qanday qilib imzolash bo'yicha oddiy yechim (nautilus/caja explorer uchun): ombordan Explorer uchun "seahorse" kengaytmasini o'rnating. Sizning kalitingiz su muhitiga qo'shilishi kerak.
Sudo “/mnt/boot” – RMB – belgisi bilan Explorer-ni oching. Ekranda bu shunday ko'rinadi
Kalitning o'zi "/mnt/boot/grub/perskey" (grub katalogiga nusxalash) ham o'z imzosi bilan imzolanishi kerak. Katalog/pastki kataloglarda [*.sig] fayl imzolari paydo bo'lishini tekshiring.
Yuqorida tavsiflangan usuldan foydalanib, "/ boot" belgisini qo'ying. (bizning yadromiz, initrd). Agar sizning vaqtingiz hech narsaga arziydigan bo'lsa, unda bu usul "ko'p fayllar" ga imzo chekish uchun bash skriptini yozish zaruratini yo'q qiladi.
Barcha bootloader imzolarini olib tashlash uchun (agar biror narsa noto'g'ri bo'lsa)
rm -f $(find /mnt/boot/grub -type f -name '*.sig')Tizimni yangilagandan so'ng yuklash moslamasini imzolamaslik uchun biz GRUB2 bilan bog'liq barcha yangilanish paketlarini muzlatib qo'yamiz.
apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-commonUshbu qadam <bootloaderni raqamli imzo bilan himoya qilish> GRUB2-ning kengaytirilgan konfiguratsiyasi yakunlandi.
C6.3. Raqamli imzo va autentifikatsiya bilan himoyalangan GRUB2 yuklash moslamasining sinoviGRUB2. Har qanday GNU/Linux distributivini tanlashda yoki CLI ga kirishda (buyruq satri) Superfoydalanuvchi avtorizatsiyasi talab qilinadi. To'g'ri foydalanuvchi nomi/parolni kiritganingizdan so'ng sizga initrd paroli kerak bo'ladi
GRUB2 superuserining muvaffaqiyatli autentifikatsiyasi skrinshoti.
Agar siz GRUB2 fayllaridan birini buzsangiz/grub.cfg ga o‘zgartirish kiritsangiz yoki faylni/imzoni o‘chirib tashlasangiz yoki zararli module.modni yuklasangiz, tegishli ogohlantirish paydo bo‘ladi. GRUB2 yuklashni pauza qiladi.
Skrinshot, GRUB2 ga "tashqaridan" aralashishga urinish.
"Oddiy" yuklashda "buzilishsiz" tizimdan chiqish kodi holati "0" dir. Shuning uchun himoya ishlaydimi yoki yo'qmi noma'lum (ya'ni, "bootloader imzo himoyasi bilan yoki bo'lmasdan" normal yuklash paytida holat bir xil "0" - bu yomon).
Elektron raqamli imzo himoyasini qanday tekshirish mumkin?
Tekshirishning noqulay usuli: GRUB2 tomonidan ishlatiladigan modulni soxtalashtirish/o'chirish, masalan, luks.mod.sig imzosini olib tashlang va xatoga yo'l qo'ying.
To'g'ri yo'l: bootloader CLI-ga o'ting va buyruqni kiriting
trust_list
Bunga javoban siz "perskey" barmoq izini olishingiz kerak; agar status "0" bo'lsa, imzo himoyasi ishlamasa, C6.2-bandni ikki marta tekshiring.
Ushbu bosqichda "GRUB2-ni raqamli imzo va autentifikatsiya bilan himoya qilish" kengaytirilgan konfiguratsiyasi tugallanadi.
C7 GRUB2 yuklagichini xeshlash yordamida himoya qilishning muqobil usuliYuqorida tavsiflangan "CPU Boot Loader Protection/Authentication" usuli klassik hisoblanadi. GRUB2 nomukammalligi sababli, paranoid sharoitda u haqiqiy hujumga moyil bo'lib, men buni quyida [F] bandida keltiraman. Bundan tashqari, OS/yadro yangilangandan so'ng, bootloader qayta imzolanishi kerak.
GRUB2 yuklovchisini xeshlash yordamida himoya qilish
Klassiklarga nisbatan afzalliklari:
- Yuqori darajadagi ishonchlilik (xeshlash/tekshiruv faqat shifrlangan mahalliy resursdan amalga oshiriladi. GRUB2 ostida butun ajratilgan bo‘lim har qanday o‘zgarishlar uchun nazorat qilinadi va qolgan hamma narsa shifrlangan; CPU yuklovchi himoyasi/autentifikatsiyasi bilan klassik sxemada faqat fayllar boshqariladi, lekin bepul emas. bo'sh joy, unga "bir narsaga" dahshatli narsa qo'shilishi mumkin).
- Shifrlangan jurnal (odam tomonidan o'qilishi mumkin bo'lgan shaxsiy shifrlangan jurnal sxemaga qo'shiladi).
- tezlik (GRUB2 uchun ajratilgan butun bo'limni himoya qilish/tekshirish deyarli bir zumda sodir bo'ladi).
- Barcha kriptografik jarayonlarni avtomatlashtirish.
Klassiklarga nisbatan kamchiliklar.
- Imzoni qalbakilashtirish (nazariy jihatdan berilgan xesh-funksiya to‘qnashuvini topish mumkin).
- Qiyinchilik darajasi oshdi (klassik bilan solishtirganda, GNU/Linux OS da biroz ko'proq ko'nikmalar talab qilinadi).
GRUB2/bo'lim xeshlash g'oyasi qanday ishlaydi
GRUB2 bo'limi "imzolangan"; OT yuklanganda, yuklash bo'limi o'zgarmasligi tekshiriladi, so'ngra xavfsiz (shifrlangan) muhitga kiriladi. Agar yuklovchi yoki uning bo'limi buzilgan bo'lsa, kirish jurnaliga qo'shimcha ravishda quyidagilar ishga tushiriladi:
Narsa.
Shunga o'xshash tekshirish kuniga to'rt marta sodir bo'ladi, bu tizim resurslarini yuklamaydi.
"-$ check_GRUB" buyrug'i yordamida tezkor tekshirish istalgan vaqtda jurnalga yozilmasdan, lekin CLI-ga ma'lumot chiqishi bilan amalga oshiriladi.
“-$ sudo signature_GRUB” buyrug‘i yordamida GRUB2 yuklash moslamasi/bo‘limi bir zumda qayta imzolanadi va uning yangilangan jurnali ro‘yxatga olinadi. (OS/yuklash yangilanishidan keyin kerak) va hayot davom etadi.
Yuklovchi va uning bo'limi uchun xeshlash usulini amalga oshirish
0) Keling, GRUB bootloader/bo'limni avval uni /media/username-ga o'rnatib imzolaymiz.
-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt1) Biz shifrlangan OS ~/podpis ildizida kengaytmasiz skript yaratamiz, unga kerakli 744 xavfsizlik huquqlarini va ishonchli himoyani qo'llaymiz.
Uning tarkibini to'ldirish
#!/bin/bash
#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux.
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'
a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!!
b="hashdeep: Audit failed"
#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]]
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif'
fiSkriptni ishga tushiring su, GRUB bo'limi va uning yuklash moslamasining xeshlanishi tekshiriladi, jurnalni saqlang.
Masalan, GRUB2 bo‘limiga “zararli fayl” [virus.mod] ni yaratamiz yoki nusxalaymiz va vaqtinchalik skanerlash/testni bajaramiz:
-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUBCLI bizning qal'aga bostirib kirishni ko'rishi kerak.#CLI-da kesilgan log
Ср янв 2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
Input files examined: 0
Known files expecting: 0
Files matched: 325
Files partially matched: 0
Files moved: 1
New files found: 0
Known files not found: 0
#Ko'rib turganingizdek, "Fayllar ko'chirildi: 1 va Audit muvaffaqiyatsiz tugadi" paydo bo'ladi, ya'ni tekshirish muvaffaqiyatsiz tugadi.
Sinov qilinayotgan bo'limning tabiatiga ko'ra, "Yangi fayllar topildi" > "Ko'chirilgan fayllar" o'rniga
2) GIF-ni bu erga qo'ying > ~/warning.gif, ruxsatlarni 744 ga o'rnating.
3) Yuklashda GRUB bo'limini avtomatik o'rnatish uchun fstab sozlanmoqda
-$ sudo nano /etc/fstabLABEL=GRUB /media/username/GRUB ext4 standarti 0 0
4) Jurnalni aylantirish
-$ sudo nano /etc/logrotate.d/podpis /var/log/podpis.txt {
kundalik
50. aylantirish
hajmi 5M
sana matni
siq
kechiktirish kompressi
olddir /var/log/old
}/var/log/vtorjenie.txt {
oylik
5. aylantirish
hajmi 5M
sana matni
olddir /var/log/old
}
5) Cronga ish qo'shing
-$ sudo crontab -e'/obuna'
0 */6 * * * '/podpis
6) Doimiy taxalluslar yaratish
-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash
OS yangilanganidan keyin -$ apt-get upgrade GRUB bo'limimizni qayta imzolang
-$ подпись_GRUB
Shu nuqtada, GRUB bo'limining xesh himoyasi tugallandi.
[D] Wiping - shifrlanmagan ma'lumotlarni yo'q qilish
Janubiy Karolina vakili Trey Goudining so'zlariga ko'ra, shaxsiy fayllaringizni to'liq o'chirib tashlang, "hatto Xudo ularni o'qiy olmaydi".
Odatdagidek, turli xil “afsonalar va ", qattiq diskdan o'chirilgandan keyin ma'lumotlarni qayta tiklash haqida. Agar siz kiberjodugarlikka ishonsangiz yoki doktor veb-hamjamiyatining a'zosi bo'lsangiz va u o'chirilgan/qayta yozilganidan keyin hech qachon ma'lumotlarni tiklashga urinmagan bo'lsangiz (masalan, R-studio yordamida tiklash), keyin taklif qilingan usul sizga mos kelishi dargumon, sizga eng yaqin bo'lganidan foydalaning.
GNU/Linux-ni shifrlangan bo'limga muvaffaqiyatli o'tkazgandan so'ng, eski nusxa ma'lumotlarni qayta tiklash imkoniyatisiz o'chirilishi kerak. Universal tozalash usuli: Windows/Linux bepul GUI dasturi uchun dastur .
Tezda bo'limni formatlash, yo'q qilinishi kerak bo'lgan ma'lumotlar (Gparted orqali) BleachBit-ni ishga tushiring, "Bo'sh joyni tozalash" -ni tanlang - bo'limni tanlang (sizning sdaX-ingiz GNU/Linux-ning oldingi nusxasi bilan), yalang'ochlash jarayoni boshlanadi. BleachBit - diskni bitta o'tishda o'chiradi - bu "bizga kerak", Lekin! Agar siz diskni formatlab, uni BB v2.0 dasturida tozalagan bo'lsangiz, bu faqat nazariy jihatdan ishlaydi.
ogohlantirish! BB diskni o'chiradi va metama'lumotlarni qoldiradi; ma'lumotlar o'chirilganda fayl nomlari saqlanib qoladi (Ccleaner - metadata qoldirmaydi).
Va ma'lumotlarni qayta tiklash imkoniyati haqidagi afsona butunlay afsona emas.Bleachbit V2.0-2 sobiq beqaror OS Debian paketi (va shunga o'xshash har qanday boshqa dasturiy ta'minot: sfill; wipe-Nautilus - bu iflos biznesda ham e'tiborga olindi) Aslida muhim xatolik bor edi: "bo'sh joyni tozalash" funktsiyasi u noto'g'ri ishlaydi HDD/Flesh-disklarda (ntfs/ext4). Ushbu turdagi dasturiy ta'minot, bo'sh joyni tozalashda, ko'p foydalanuvchilar o'ylaganidek, butun diskni qayta yozmaydi. Va ba'zilari (ko'p) o'chirilgan ma'lumotlar OS/dasturiy ta'minot ushbu ma'lumotlarni o'chirilmagan/foydalanuvchi ma'lumotlari deb hisoblaydi va "OSP" ni tozalashda bu fayllarni o'tkazib yuboradi. Muammo shundaki, bunday uzoq vaqtdan keyin diskni tozalash "o'chirilgan fayllar" tiklanishi mumkin diskni o'chirishdan 3+ o'tgandan keyin ham.
Bleachbit-da GNU/Linux-da 2.0-2 Fayllar va kataloglarni doimiy ravishda o'chirish funktsiyalari ishonchli ishlaydi, lekin bo'sh joyni tozalamaydi. Taqqoslash uchun: Windows-da CCleaner-da "OSP for ntfs" funktsiyasi to'g'ri ishlaydi va Xudo haqiqatan ham o'chirilgan ma'lumotlarni o'qiy olmaydi.
Va shunday qilib, yaxshilab olib tashlash uchun "murosa qiluvchi" eski shifrlanmagan ma'lumotlar, Bleachbit ushbu ma'lumotlarga bevosita kirishni talab qiladi, keyin "fayllarni/kataloglarni doimiy ravishda o'chirish" funksiyasidan foydalaning.
Windows-da "standart OS vositalari yordamida o'chirilgan fayllarni" o'chirish uchun "OSP" funksiyasi bilan CCleaner/BB dan foydalaning. GNU/Linux-da bu muammo bo'yicha (o'chirilgan fayllarni o'chirish) siz o'zingiz mashq qilishingiz kerak (ma'lumotlarni o'chirish + uni qayta tiklashga mustaqil urinish va siz dasturiy ta'minot versiyasiga tayanmasligingiz kerak (agar xatcho'p bo'lmasa, unda xato)), faqat bu holatda siz ushbu muammoning mexanizmini tushunishingiz va o'chirilgan ma'lumotlardan butunlay qutulishingiz mumkin.
Men Bleachbit v3.0 ni sinab ko'rmadim, muammo allaqachon tuzatilgan bo'lishi mumkin.
Bleachbit v2.0 halol ishlaydi.
Ushbu bosqichda diskni tozalash tugallandi.
[E] Shifrlangan operatsion tizimning universal zaxira nusxasi
Har bir foydalanuvchi ma'lumotlarni zaxiralashning o'ziga xos usuliga ega, ammo tizim OS ma'lumotlarining shifrlanganligi vazifaga biroz boshqacha yondashuvni talab qiladi. Clonezilla va shunga o'xshash dasturlar kabi birlashtirilgan dasturiy ta'minot shifrlangan ma'lumotlar bilan bevosita ishlay olmaydi.
Shifrlangan blokli qurilmalarning zaxira nusxasini yaratish muammosi haqida bayonot:
- universallik - Windows/Linux uchun bir xil zaxira algoritmi/dasturiy ta'minoti;
- qo'shimcha dasturiy ta'minotni yuklab olishni talab qilmasdan har qanday jonli USB GNU/Linux bilan konsolda ishlash qobiliyati (lekin hali ham GUIni tavsiya eting);
- zaxira nusxalarining xavfsizligi - saqlangan "tasvirlar" shifrlangan/parol bilan himoyalangan bo'lishi kerak;
- shifrlangan ma'lumotlarning o'lchami ko'chirilayotgan haqiqiy ma'lumotlarning hajmiga mos kelishi kerak;
- zaxira nusxasidan kerakli fayllarni qulay chiqarish (avval butun bo'limning shifrini ochish shart emas).
Masalan, "dd" yordam dasturi orqali zaxiralash/qayta tiklash
dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerrorBu vazifaning deyarli barcha nuqtalariga mos keladi, lekin 4-bandga ko'ra, u tanqidga dosh bermaydi, chunki u butun disk bo'limini, shu jumladan bo'sh joyni ko'chiradi - qiziq emas.
Masalan, arxivlovchi [tar” | orqali GNU/Linux zaxira nusxasi gpg] qulay, ammo Windows-ning zaxira nusxasi uchun siz boshqa yechim izlashingiz kerak - bu qiziq emas.
E1. Universal Windows/Linux zaxira nusxasi. Rsync (Grsync)+VeraCrypt tovushini ulashZaxira nusxasini yaratish algoritmi:
- shifrlangan konteyner yaratish (tovush/fayl) OS uchun VeraCrypt;
- Rsync dasturidan foydalangan holda operatsion tizimni VeraCrypt kripto konteyneriga o'tkazish/sinxronizatsiya qilish;
- agar kerak bo'lsa, VeraCrypt hajmini www.
Shifrlangan VeraCrypt konteynerini yaratish o'ziga xos xususiyatlarga ega:
dinamik hajm yaratish (DT yaratish faqat Windowsda mavjud, GNU/Linuxda ham foydalanish mumkin);
muntazam hajm yaratish, ammo "paranoyak xarakter" talabi mavjud. (ishlab chiquvchiga ko'ra) - konteyner formatlash.
Dinamik hajm Windows-da deyarli bir zumda yaratiladi, lekin GNU/Linux > VeraCrypt DT-dan ma'lumotlarni nusxalashda zahiralash jarayonining umumiy ishlashi sezilarli darajada kamayadi.
Oddiy 70 GB Twofish hajmi yaratilgan (aytaylik, o'rtacha kompyuter quvvati) HDD-ga ~ yarim soat ichida (bir o'tishda oldingi konteyner ma'lumotlarini qayta yozish xavfsizlik talablari bilan bog'liq). Tovushni yaratishda uni tezda formatlash funksiyasi VeraCrypt Windows/Linux-dan olib tashlandi, shuning uchun konteyner yaratish faqat “bir martalik qayta yozish” yoki past unumdor dinamik hajm yaratish orqali mumkin.
Oddiy VeraCrypt hajmini yarating (dinamik/ntfs emas), hech qanday muammo bo'lmasligi kerak.
VeraCrypt GUI> GNU/Linux live usb-da konteynerni sozlash/yaratish/ochish (tovush balandligi /media/veracrypt2 ga avtomatik o'rnatiladi, Windows OS hajmi esa /media/veracrypt1 ga o'rnatiladi). GUI rsync yordamida Windows operatsion tizimining shifrlangan zaxira nusxasini yaratish (grsync)katakchalarni belgilash orqali.
Jarayon tugashini kuting. Zaxiralash tugallangach, bizda bitta shifrlangan fayl bo'ladi.
Xuddi shunday, rsync GUI-dagi "Windows mosligi" katagiga belgi qo'yish orqali GNU/Linux OS ning zaxira nusxasini yarating.
ogohlantirish! fayl tizimida "GNU/Linux zaxirasi" uchun Veracrypt konteynerini yarating ext4. Agar siz ntfs konteyneriga zaxira nusxasini yaratsangiz, bunday nusxani qayta tiklaganingizda, barcha ma'lumotlaringizga bo'lgan barcha huquqlarni/guruhlarni yo'qotasiz.
Siz terminalda barcha operatsiyalarni bajarishingiz mumkin. Rsync uchun asosiy variantlar:
* -g -guruhlarni saqlash;
* -P —progress — fayl ustida ishlash vaqtining holati;
* -H - qattiq havolalarni avvalgidek nusxalash;
* -a -arxiv rejimi (bir nechta rlptgoD bayroqlari);
* -v -verbalizatsiya.
Agar siz kriptosetup dasturidagi konsol orqali “Windows VeraCrypt hajmi”ni oʻrnatmoqchi boʻlsangiz, taxallus (su) yaratishingiz mumkin.
echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash
Endi "veramount pictures" buyrug'i parolni kiritishingizni so'raydi va shifrlangan Windows tizimi hajmi OTga o'rnatiladi.
Cryptsetup buyrug'ida VeraCrypt tizimi hajmini xaritalash/mount qilish
cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mntCryptsetup buyrug'ida VeraCrypt bo'limi/konteynerini xaritalash/ulash
cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mntTaxallus o'rniga biz GNU/Linux ishga tushirilishiga Windows OS va mantiqiy shifrlangan ntfs diskiga ega tizim hajmini (boshlash uchun skript) qo'shamiz.
Skript yarating va uni ~/VeraOpen.sh da saqlang
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.
Biz "to'g'ri" huquqlarni taqsimlaymiz:
sudo chmod 100 /VeraOpen.sh/etc/rc.local va ~/etc/init.d/rc.local da ikkita bir xil fayl yarating (bir xil nom!)
Fayllarni to'ldirish
#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0Biz "to'g'ri" huquqlarni taqsimlaymiz:
sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local Hammasi shunday, endi GNU/Linux-ni yuklashda shifrlangan ntfs disklarini o'rnatish uchun parollarni kiritish shart emas, disklar avtomatik ravishda o'rnatiladi.
E1-bandda bosqichma-bosqich yuqorida tavsiflangan narsalar haqida qisqacha eslatma (lekin hozir OS GNU/Linux uchun)
1) Veracrypt [Cryptbox] da fs ext4 > 4gb (fayl uchun) Linuxda hajm yarating.
2) Jonli USB uchun qayta yoqing.
3) ~$ cryptsetup ochiq /dev/sda7 Lunux #mapping shifrlangan bo'lim.
4) ~$ mount /dev/mapper/Linux /mnt #shifrlangan bo'limni /mnt ga o'rnating.
5) ~$ mkdir mnt2 #kelajakda zaxiralash uchun katalog yaratish.
6) ~$ cryptsetup open —veracrypt —type tcrypt ~/CryptoBox CryptoBox && mount /dev/mapper/CryptoBox /mnt2 #“CryptoBox” nomli Veracrypt hajmini xaritalash va CryptoBoxni /mnt2 ga o‘rnatish.
7) ~$ rsync -avlxhHX -progress /mnt /mnt2/ #shifrlangan bo'limning shifrlangan Veracrypt hajmiga zaxira ishlashi.
(p/s/ ogohlantirish! Agar siz shifrlangan GNU/Linux-ni bir arxitektura/mashinadan boshqasiga o'tkazayotgan bo'lsangiz, masalan, Intel > AMD (ya'ni, bitta shifrlangan bo'limdan boshqa shifrlangan Intel > AMD bo'limiga zaxira nusxasini o'rnatish), Esdan chiqarma Shifrlangan operatsion tizimni o'tkazgandan so'ng, parol o'rniga maxfiy kalitni tahrirlang. oldingi ~/etc/skey kaliti - endi boshqa shifrlangan bo'limga sig'maydi va chroot ostidan yangi "cryptsetup luksAddKey" kalitini yaratish tavsiya etilmaydi - nosozlik bo'lishi mumkin, shunchaki ~/etc/crypttab o'rniga belgilang. “/etc/skey” vaqtinchalik “none” ", qayta ishga tushirilgandan va OTga kirgandan so'ng, maxfiy joker kalitni qayta yarating).
IT faxriylari sifatida shifrlangan Windows/Linux OS bo'limlari sarlavhalarini alohida zaxiralashni unutmang, aks holda shifrlash sizga qarshi chiqadi.
Ushbu bosqichda shifrlangan operatsion tizimning zaxira nusxasi tugallanadi.
[F] GRUB2 yuklash qurilmasiga hujum
detailsAgar siz yuklovchini raqamli imzo va/yoki autentifikatsiya bilan himoya qilgan bo'lsangiz (C6 bandiga qarang.), keyin bu jismoniy kirishdan himoya qilmaydi. Shifrlangan ma'lumotlarga kirish hali ham mumkin emas, lekin himoyani chetlab o'tadi (raqamli imzo himoyasini tiklash) GRUB2 kiber yovuz odamga shubha tug'dirmasdan o'z kodini yuklash moslamasiga kiritish imkonini beradi. (foydalanuvchi yuklovchi holatini qo'lda kuzatmasa yoki grub.cfg uchun o'zining mustahkam ixtiyoriy skript kodini yaratmasa).
Hujum algoritmi. Bosqinchi
* Kompyuterni jonli USB dan yuklaydi. Har qanday o'zgarish (qonunbuzar) fayllar kompyuterning haqiqiy egasini bootloaderga kirish to'g'risida xabardor qiladi. Lekin grub.cfg ni saqlab GRUB2 oddiy qayta o'rnatish (va keyinchalik uni tahrir qilish qobiliyati) tajovuzkorga har qanday faylni tahrirlash imkonini beradi (bu holatda, GRUB2 yuklanganda, haqiqiy foydalanuvchi xabardor qilinmaydi. Holat bir xil <0>)
* Shifrlanmagan bo'limni o'rnatadi, "/mnt/boot/grub/grub.cfg" ni saqlaydi.
* Bootloaderni qayta o'rnatadi (core.img rasmidan "perskey" ni olib tashlash)
grub-install --force --root-directory=/mnt /dev/sda6
* “grub.cfg” > “/mnt/boot/grub/grub.cfg” ni qaytaradi, agar kerak bo‘lsa, uni tahrirlaydi, masalan, “grub.cfg” da yuklovchi modullari bo‘lgan papkaga “keylogger.mod” modulingizni qo‘shing. > qator "insmod keylogger". Yoki, masalan, agar dushman ayyor bo'lsa, GRUB2-ni qayta o'rnatgandan so'ng (barcha imzolar joyida qoladi) u "grub-mkimage with option (-c)" yordamida asosiy GRUB2 tasvirini yaratadi. "-c" opsiyasi asosiy "grub.cfg" ni yuklashdan oldin konfiguratsiyani yuklash imkonini beradi. Konfiguratsiya faqat bitta qatordan iborat bo'lishi mumkin: har qanday "modern.cfg" ga qayta yo'naltirish, masalan, ~400 ta fayl bilan aralash (modullar+imzolar) "/boot/grub/i386-pc" papkasida. Bunday holda, foydalanuvchi faylga “xeshsum”ni qo'llagan va uni vaqtincha ekranda ko'rsatgan bo'lsa ham, tajovuzkor “/boot/grub/grub.cfg” ga ta'sir qilmasdan o'zboshimchalik bilan kod kiritishi va modullarni yuklashi mumkin.
Buzg'unchi GRUB2 superfoydalanuvchi login/parolini buzishi shart emas; u faqat satrlarni nusxalashi kerak bo'ladi. (autentifikatsiya uchun mas'ul) "/boot/grub/grub.cfg" "modern.cfg" ga
superusers = "root" ni o'rnatish
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
Va shaxsiy kompyuter egasi hali ham GRUB2 superuser sifatida autentifikatsiya qilinadi.
Zanjir yuklash (bootloader boshqa yuklovchini yuklaydi), yuqorida yozganimdek, mantiqiy emas (boshqa maqsad uchun mo'ljallangan). BIOS tufayli shifrlangan bootloaderni yuklab bo'lmaydi (zanjirli yuklash GRUB2-ni qayta ishga tushiradi > shifrlangan GRUB2, xato!). Biroq, agar siz hali ham zanjirli yuklash g'oyasidan foydalansangiz, bu shifrlangan narsa yuklanayotganiga amin bo'lishingiz mumkin. (modernizatsiya qilinmagan) shifrlangan bo'limdan "grub.cfg". Va bu ham noto'g'ri xavfsizlik hissi, chunki shifrlangan "grub.cfg" da ko'rsatilgan hamma narsa. (modulni yuklash) shifrlanmagan GRUB2 dan yuklangan modullarni qo'shadi.
Agar buni tekshirmoqchi bo'lsangiz, boshqa sdaY bo'limini ajrating/shifrlang, unga GRUB2-ni nusxalang (shifrlangan bo'limda grub-o'rnatish operatsiyasi mumkin emas) va "grub.cfg" da (shifrlanmagan konfiguratsiya) shunga o'xshash qatorlarni o'zgartiring
'GRUBx2' menyusi --sinf to'tiqush --sinf gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
load_video
insmod gzio
agar [ x$grub_platform = xxen ]; keyin insmod xzio; insmod lzopio; fi
insmod part_msdos
insmod kriptodisk
insmod lyuks
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
normal /boot/grub/grub.cfg
}
torlar
* insmod - shifrlangan disk bilan ishlash uchun kerakli modullarni yuklash;
* GRUBx2 - GRUB2 yuklash menyusida ko'rsatilgan qator nomi;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -qarang. fdisk -l (sda9);
* ildiz o'rnatish - ildizni o'rnatish;
* oddiy /boot/grub/grub.cfg - shifrlangan bo'limda bajariladigan konfiguratsiya fayli.
Yuklangan shifrlangan “grub.cfg” ekanligiga ishonch GRUB menyusida “GRUBx2” qatorini tanlashda “sdaY” parolini kiritish/qulfni ochishga ijobiy javobdir.
Adashib qolmaslik uchun CLI da ishlaganda (va "root o'rnatish" muhit o'zgaruvchisi ishlaganligini tekshiring), bo'sh token fayllarini yarating, masalan, shifrlangan bo'limda "/shifr_grub", shifrlanmagan bo'limda "/noshifr_grub". CLIda tekshirish
cat /Tab-TabYuqorida ta'kidlab o'tilganidek, agar bunday modullar kompyuteringizda bo'lsa, bu zararli modullarni yuklab olishga yordam bermaydi. Misol uchun, kompyuterga jismoniy kirish huquqiga ega bo'lgan tajovuzkor tomonidan yuklab olinmaguncha, faylga tugmachalarni bosib saqlash va uni "~/i386" da boshqa fayllar bilan aralashtirish imkoniyatiga ega bo'lgan keylogger.
Raqamli imzo himoyasi faol ishlayotganligini tekshirishning eng oson usuli (qayta o'rnatilmagan), va hech kim bootloaderni ishg'ol qilmagan, buyruqni CLI-ga kiriting
list_trusted
Bunga javoban biz "perskey" ning nusxasini olamiz yoki hujumga uchrasak, biz hech narsa olmaymiz (shuningdek, "set check_signatures=enforce" ni tekshirishingiz kerak).
Ushbu bosqichning muhim kamchiliklari buyruqlarni qo'lda kiritishdir. Agar siz ushbu buyruqni "grub.cfg" ga qo'shsangiz va konfiguratsiyani raqamli imzo bilan himoya qilsangiz, u holda ekrandagi kalit suratining dastlabki chiqishi vaqt jihatidan juda qisqa va GRUB2-ni yuklaganingizdan keyin chiqishni ko'rishga vaqtingiz bo'lmasligi mumkin. .
Maxsus da'vo qiladigan hech kim yo'q: uning ichida ishlab chiquvchi 18.2-bandi rasman e'lon qilinadi
“Esda tutingki, GRUB parol bilan himoyalangan boʻlsa ham, GRUBning oʻzi mashinaga jismoniy kirish huquqiga ega boʻlgan shaxsga ushbu qurilmaning proshivka konfiguratsiyasini (masalan, Coreboot yoki BIOS) oʻzgartirib, mashinani boshqa (hujumkor tomonidan boshqariladigan) qurilmadan ishga tushirishiga toʻsqinlik qila olmaydi. GRUB eng yaxshi holatda xavfsiz yuklash zanjiridagi faqat bitta havoladir."
GRUB2 noto'g'ri xavfsizlik hissini berishi mumkin bo'lgan funktsiyalar bilan haddan tashqari yuklangan va uning rivojlanishi funksionallik bo'yicha MS-DOS-ni allaqachon ortda qoldirgan, ammo bu shunchaki yuklovchi. Qizig'i shundaki, GRUB2 - "ertaga" operatsion tizimga aylanishi mumkin va buning uchun yuklanadigan GNU/Linux virtual mashinalari.
GRUB2 raqamli imzo himoyasini qanday tiklashim va haqiqiy foydalanuvchiga kirishimni e'lon qilganim haqida qisqacha video (Men sizni qo'rqitdim, lekin videoda ko'rsatilgan narsa o'rniga siz zararsiz o'zboshimchalik kodini yozishingiz mumkin/.mod).
Natijalar:
1) Windows uchun blokirovka tizimini shifrlashni amalga oshirish osonroq va bitta parol bilan himoya qilish GNU/Linux blokli tizim shifrlash bilan bir nechta parollar bilan himoya qilishdan ko'ra qulayroqdir, adolatli bo'lishi kerak: ikkinchisi avtomatlashtirilgan.
2) Men maqolani tegishli va batafsil yozdim oddiy RuNet (IMHO) dagi eng yaxshi mashinada VeraCrypt/LUKS to'liq diskli shifrlash bo'yicha qo'llanma. Qo'llanma > 50 ming belgidan iborat, shuning uchun u ba'zi qiziqarli boblarni qamrab olmagan: g'oyib bo'ladigan/soyada saqlaydigan kriptograflar; turli GNU/Linux kitoblarida kriptografiya haqida kam yozishlari/yozmasliklari haqida; rossiya Federatsiyasi Konstitutsiyasining 51-moddasi to'g'risida; O / taqiqlash , nima uchun "root/boot" ni shifrlash kerakligi haqida. Qo'llanma juda keng, ammo batafsil bo'lib chiqdi. (hatto oddiy qadamlarni tasvirlab), o'z navbatida, bu "haqiqiy shifrlash" ga kirganingizda ko'p vaqtni tejaydi.
3) To'liq disk shifrlash Windows 7 64 da amalga oshirildi; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.
4) Muvaffaqiyatli hujumni amalga oshirdi uning GRUB2 yuklovchi.
5) Qo'llanma MDHdagi barcha paranoid odamlarga yordam berish uchun yaratilgan, bu erda shifrlash bilan ishlash qonunchilik darajasida ruxsat etiladi. Va birinchi navbatda, konfiguratsiya qilingan tizimlarini buzmasdan to'liq diskli shifrlashni amalga oshirmoqchi bo'lganlar uchun.
6) 2020 yilda tegishli bo'lgan qo'llanmamni qayta ishladim va yangiladim.
[G] Foydali hujjatlar
- (2012 yil fevral)
- /usr/share/doc/cryptsetup(-run) [mahalliy resurs] (cryptsetup yordamida GNU/Linux shifrlashni o'rnatish bo'yicha rasmiy batafsil hujjatlar)
- (cryptsetup yordamida GNU/Linux shifrlashni o'rnatish bo'yicha qisqacha hujjatlar)
- (archlinux hujjatlari)
- (arch man sahifasi)
- (arch man sahifasi)
- .
Teglar: to'liq disk shifrlash, bo'limlarni shifrlash, Linux to'liq disk shifrlash, LUKS1 to'liq tizim shifrlash.
So'rovda faqat ro'yxatdan o'tgan foydalanuvchilar ishtirok etishlari mumkin. iltimos.
Siz shifrlayapsizmi?
-
17,1%Men qo'limdan kelgan hamma narsani shifrlayman. Men paranoyakman.14
-
34,2%Men faqat muhim ma'lumotlarni shifrlayman.28
-
14,6%Gohida shifrlayman, gohida unutaman.12
-
34,2%Yo'q, men shifrlamayman, bu noqulay va qimmat.28
82 ta foydalanuvchi ovoz berdi. 22 nafar foydalanuvchi betaraf qoldi.
Manba: www.habr.com