גאַנץ דיסק ענקריפּשאַן פון ווינדאָוז לינוקס אינסטאַלירן סיסטעמען. ענקריפּטיד מאַלטי-שטיוול

דערהייַנטיקט אייגענע גייד צו פול-דיסק ענקריפּשאַן אין RuNet V0.2.

קאָוובוי סטראַטעגיע:

[א] Windows 7 סיסטעם פאַרשפּאַרן ענקריפּשאַן פון די אינסטאַלירן סיסטעם;
[ב] גנו / לינוקס סיסטעם פאַרשפּאַרן ענקריפּשאַן (דעביאַן) אינסטאַלירן סיסטעם (אַרייַנגערעכנט / שטיוול);
[C] GRUB2 קאַנפיגיעריישאַן, באָאָטלאָאַדער שוץ מיט דיגיטאַל כסימע / אָטענטאַקיישאַן / כאַשינג;
[ד] סטריפּינג - צעשטערונג פון אַנענקריפּטיד דאַטן;
[E] וניווערסאַל באַקאַפּ פון ינקריפּטיד אַס;
[F] באַפאַלן ציל - GRUB6 באָאָטלאָאַדער;
[ג] נוציק דאַקיומענטיישאַן.

╭─── סכעמע פון ​​# צימער 40# :
├──╼ Windows 7 אינסטאַלירן - פול סיסטעם ענקריפּשאַן, ניט פאַרבאָרגן;
├──╼ GNU/Linux אינסטאַלירן (דעביאַן און דעריוואַט דיסטריביושאַנז) - פול סיסטעם ענקריפּשאַן, ניט פאַרבאָרגן(/, אַרייַנגערעכנט / שטיוול; ויסבייַטן);
├──╼ פרייַ באָאָטלאָאַדערס: VeraCrypt באָאָטלאָאַדער איז אינסטאַלירן אין די MBR, GRUB2 באָאָטלאָאַדער איז אינסטאַלירן אין די עקסטענדעד צעטיילונג;
├──╼ קיין אַס ייַנמאָנטירונג / ריינסטאַללאַטיאָן פארלאנגט;
└──╼ קריפּטאָגראַפיק ווייכווארג געניצט: וועראַקריפּט; Cryptsetup; GnuPG; Seahorse; Hashdeep; GRUB2 איז פריי / פריי.

די אויבן סכעמע טייל סאַלווז די פּראָבלעם פון "ווייַט שטיוול צו אַ בליץ פאָר", אַלאַוז איר צו געניסן ינקריפּטיד אַס Windows / לינוקס און וועקסל דאַטן דורך אַ "ענקריפּטיד קאַנאַל" פון איין אַס צו אנדערן.

פּיסי שטיוול סדר (איינער פון די אָפּציעס):

• אויסגעדרייט אויף די מאַשין;
• לאָודינג די VeraCrypt באָאָטלאָאַדער (אַרייַן די ריכטיק פּאַראָל וועט פאָרזעצן צו שטיוול Windows 7);
• דרינגלעך די "עסק" שליסל וועט לאָדן די GRUB2 שטיוול לאָודער;
• GRUB2 שטיוול לאָודער (סעלעקטירן פאַרשפּרייטונג / GNU / לינוקס / CLI), וועט דאַרפן אָטענטאַקיישאַן פון די GRUB2 סופּערוסער ;
• נאָך מצליח אָטענטאַקיישאַן און סעלעקציע פון ​​די פאַרשפּרייטונג, איר וועט דאַרפֿן צו אַרייַן אַ פּאַסספראַסע צו ופשליסן "/boot/initrd.img";
• נאָך אַרייַן טעות-פריי פּאַסווערדז, GRUB2 וועט "פאָדערן" אַ פּאַראָל פּאָזיציע (דריט, בייאָוס פּאַראָל אָדער GNU / Linux באַניצער חשבון פּאַראָל - ניט באַטראַכטן) צו ופשליסן און שטיוול GNU / Linux OS, אָדער אָטאַמאַטיק סאַבסטיטושאַן פון אַ סוד שליסל (צוויי פּאַסווערדז + שליסל, אָדער פּאַראָל + שליסל);
• פונדרויסנדיק ינטרוזשאַן אין די GRUB2 קאַנפיגיעריישאַן וועט פרירן די GNU/Linux שטיוול פּראָצעס.

טראַבאַלסאַם? גוט, לאָזן אונדז אָטאַמייט די פּראַסעסאַז.

ווען פּאַרטישאַנינג אַ שווער פאָר (MBR טיש) א פּיסי קענען האָבן ניט מער ווי 4 הויפּט פּאַרטישאַנז, אָדער 3 הויפּט און איינער עקסטענדעד, ווי געזונט ווי אַן אַנאַלאַקייטיד געגנט. אַן עקסטענדעד אָפּטיילונג, ניט ענלעך די הויפּט, קענען אַנטהאַלטן סאַבסעקשאַנז (לאַדזשיקאַל דרייווז = עקסטענדעד צעטיילונג). אין אנדערע ווערטער, די "עקסטענדעד צעטיילונג" אויף די הדד ריפּלייסיז LVM פֿאַר די אַרבעט אין האַנט: פול סיסטעם ענקריפּשאַן. אויב דיין דיסק איז צעטיילט אין 4 הויפּט פּאַרטישאַנז, איר דאַרפֿן צו נוצן lvm אָדער יבערמאַכן (מיט פאָרמאַטטינג) אָפּטיילונג פון הויפּט צו אַוואַנסירטע, אָדער ווייזלי נוצן אַלע פיר סעקשאַנז און לאָזן אַלץ ווי איז, און באַקומען די געוואלט רעזולטאַט. אפילו אויב איר האָבן איין צעטיילונג אויף דיין דיסק, Gparted וועט העלפֿן איר צעטיילן דיין הדד (פֿאַר נאָך סעקשאַנז) אָן דאַטן אָנווער, אָבער נאָך מיט אַ קליין שטראָף פֿאַר אַזאַ אַקשאַנז.

די שווער פאָר אויסלייג סכעמע, אין באַציונג צו וואָס די גאנצע אַרטיקל וועט זיין ווערבאַלייזד, איז דערלאנגט אין די טיש אונטן.

טיש (נומער קסנומקס) פון קסנומקסטב פּאַרטישאַנז.

איר זאָל אויך האָבן עפּעס ענלעך.
sda1 - הויפּט צעטיילונג נומ 1 נטפס (ענקריפּטירט);
sda2 - עקסטענדעד אָפּטיילונג מאַרקער;
sda6 - לאַדזשיקאַל דיסק (עס האט די GRUB2 באָאָטלאָאַדער אינסטאַלירן);
sda8 - ויסבייַטן (ענקריפּטיד ויסבייַטן טעקע / ניט שטענדיק);
sda9 - פּרובירן לאַדזשיקאַל דיסק;
sda5 - לאַדזשיקאַל דיסק פֿאַר טשיקאַווע;
sda7 - GNU/Linux OS (טראַנספערד אַס צו אַ ינקריפּטיד לאַדזשיקאַל דיסק);
sda3 - הויפּט צעטיילונג נומ 2 מיט Windows 7 אַס (ענקריפּטירט);
sda4 - הויפּט אָפּטיילונג נומ 3 (עס כּולל אַנענקריפּטיד GNU / לינוקס, געוויינט פֿאַר באַקאַפּ / ניט שטענדיק).

[א] Windows 7 סיסטעם בלאַק ענקריפּשאַן

A1. וועראַקריפּט

אראפקאפיע פֿון באַאַמטער פּלאַץ, אָדער פֿון דער שפּיגל מקורפאָרגע ינסטאַלירונג ווערסיע פון ​​VeraCrypt קריפּטאָגראַפיק ווייכווארג (אין דער צייט פון ארויסגעבן דעם אַרטיקל v1.24-Update3, די פּאָרטאַטיוו ווערסיע פון ​​VeraCrypt איז נישט פּאַסיק פֿאַר סיסטעם ענקריפּשאַן). קאָנטראָלירן די טשעקסום פון די דאַונלאָודיד ווייכווארג

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

און פאַרגלייַכן די רעזולטאַט מיט די CS אַרייַנגעשיקט אויף די VeraCrypt דעוועלאָפּער וועבזייטל.

אויב HashTab ווייכווארג איז אינסטאַלירן, עס איז אפילו גרינגער: RMB (VeraCrypt Setup 1.24.exe)-פּראָפּערטיעס - האַש סאַכאַקל פון טעקעס.

צו באַשטעטיקן די פּראָגראַם כסימע, די ווייכווארג און די עפנטלעך פּגפּ שליסל פון די דעוועלאָפּער מוזן זיין אינסטאַלירן אויף די סיסטעם gnuPG; gpg4win.

A2. ינסטאָלינג / פליסנדיק VeraCrypt ווייכווארג מיט אַדמיניסטראַטאָר רעכט

A3. סעלעקטינג סיסטעם ענקריפּשאַן פּאַראַמעטערס פֿאַר די אַקטיוו צעטיילונגVeraCrypt - סיסטעם - ענקריפּט סיסטעם צעטיילונג / דיסק - נאָרמאַל - ענקריפּט Windows סיסטעם צעטיילונג - מולטיבאָאָט - (ווארענונג: "יניקספּיריאַנסט ניצערס זענען נישט רעקאַמענדיד צו נוצן דעם אופֿן" און דאָס איז אמת, מיר שטימען "יא") - שטיוול דיסק ("יאָ", אפילו אויב נישט אַזוי, נאָך "יאָ") - נומער פון סיסטעם דיסקס "2 אָדער מער" - עטלעכע סיסטעמען אויף איין דיסק "יאָ" - ניט-ווינדאָוז שטיוול לאָודער "ניין" (אין פאַקט, "יאָ," אָבער די VeraCrypt / GRUB2 שטיוול לאָודערז וועט נישט טיילן די MBR צווישן זיך; מער גענוי, בלויז דער קלענסטער טייל פון די שטיוול לאָודער קאָד איז סטאָרד אין די MBR / שטיוול שפּור, דער הויפּט טייל פון עס איז ליגן אין די טעקע סיסטעם) - מולטיבאָאָט - ענקריפּשאַן סעטטינגס ...

אויב איר אָפּנייגן פון די אויבן סטעפּס (פאַרשפּאַרן סיסטעם ענקריפּשאַן סקימז), דעמאָלט VeraCrypt וועט אַרויסגעבן אַ ווארענונג און וועט נישט לאָזן איר צו ינקריפּט די צעטיילונג.

אין דער ווייַטער שריט צו טאַרגעטעד דאַטן שוץ, דורכפירן אַ "טעסט" און סעלעקטירן אַן ענקריפּשאַן אַלגערידאַם. אויב איר האָבן אַ אַוטדייטיד קפּו, רובֿ מסתּמא די פאַסטאַסט ענקריפּשאַן אַלגערידאַם איז Twofish. אויב די קפּו איז שטאַרק, איר וועט באַמערקן די חילוק: AES ענקריפּשאַן, לויט די פּראָבע רעזולטאַטן, וועט זיין עטלעכע מאָל פאַסטער ווי די קריפּטאָ קאָמפּעטיטאָרס. AES איז אַ פאָלקס ענקריפּשאַן אַלגערידאַם; די ייַזנוואַרג פון מאָדערן קפּוס איז ספּעציעל אָפּטימיזעד פֿאַר ביידע "סוד" און "כאַקינג."

VeraCrypt שטיצט די פיייקייט צו ענקריפּט דיסקס אין אַ AES קאַסקייד(צווייפיש)/ און אנדערע קאַמבאַניישאַנז. אויף אַן אַלט האַרץ ינטעל קפּו פון צען יאָר צוריק (אָן ייַזנוואַרג שטיצן פֿאַר AES, A/T קאַסקייד ענקריפּשאַן) די פאַרקלענערן אין פאָרשטעלונג איז יסענשאַלי ימפּערסעפּטיבאַל. (פֿאַר אַמד קפּוס פון דער זעלביקער טקופע / ~ פּאַראַמעטערס, פאָרשטעלונג איז אַ ביסל רידוסט). די אַס אַרבעט דינאַמיקאַללי און די מיטל קאַנסאַמשאַן פֿאַר טראַנספּעראַנט ענקריפּשאַן איז ומזעיק. אין קאַנטראַסט, פֿאַר בייַשפּיל, עס איז אַ באמערקט פאַרקלענערן אין פאָרשטעלונג רעכט צו דער אינסטאַלירן אַנסטייבאַל פּרובירן דעסקטאַפּ סוויווע Mate v1.20.1 (אָדער וו1.20.2 איך טאָן ניט געדענקען פּונקט) אין GNU/Linux, אָדער רעכט צו דער אָפּעראַציע פון ​​די טעלעמעטרי רוטין אין Windows7↑. טיפּיקאַללי, יקספּיריאַנסט ניצערס דורכפירן ייַזנוואַרג פאָרשטעלונג טעסץ איידער ענקריפּשאַן. צום ביישפּיל, אין Aida64/Sysbench/systemd-analyze איז באַשולדיקן קאַמפּערד מיט די רעזולטאַטן פון די זעלבע טעסץ נאָך ענקריפּטינג די סיסטעם, דערמיט ריפיוט די מיטאָס פֿאַר זיך אַז "סיסטעם ענקריפּשאַן איז שעדלעך." די סלאָודאַון פון די מאַשין און די ינקאַנוויניאַנס זענען באמערקט ווען באַקינג אַרויף / ריסטאָרינג ינקריפּטיד דאַטן, ווייַל די "סיסטעם דאַטן באַקאַפּ" אָפּעראַציע זיך איז נישט געמאסטן אין MS, און די זעלבע זענען צוגעגעבן. לעסאָף, יעדער באַניצער וואָס איז דערלויבט צו טינקער מיט קריפּטאָגראַפי באַלאַנסאַז די ענקריפּשאַן אַלגערידאַם קעגן די צופֿרידנקייט פון די טאַסקס אין האַנט, זייער מדרגה פון פּאַראַנאָיאַ און יז פון נוצן.

עס איז בעסער צו לאָזן די PIM פּאַראַמעטער ווי פעליקייַט, אַזוי אַז ווען לאָודינג די אַס איר טאָן ניט האָבן צו אַרייַן די פּינטלעך יטעראַטיאָן וואַלועס יעדער מאָל. VeraCrypt ניצט אַ ריזיק נומער פון יטעריישאַנז צו שאַפֿן אַ באמת "פּאַמעלעך האַש". אַ באַפאַלן אויף אַזאַ אַ "קריפּטאָ שנעק" ניצן די ברוט קראַפט / רעגנבויגן טישן אופֿן מאכט זינען בלויז מיט אַ קורץ "פּשוט" פּאַסספראַסע און די קאָרבן ס פּערזענלעך טשאַרסעט רשימה. די פּרייַז צו באַצאָלן פֿאַר פּאַראָל שטאַרקייַט איז אַ פאַרהאַלטן אין אַרייַן די ריכטיק פּאַראָל ווען לאָודינג די אַס. (מאָונטינג וועראַקריפּט וואַליומז אין GNU / לינוקס איז פיל פאַסטער).
פריי ווייכווארג פֿאַר ימפּלאַמענינג ברוט קראַפט אנפאלן (עקסטראַקט פּאַסספראַסע פון ​​די כעדער פון VeraCrypt / LUKS דיסק) האַשקאַט. יוחנן די ריפּער טוט נישט וויסן ווי צו "ברעכן וועראַקיפּט", און ווען ארבעטן מיט LUKS קען נישט פֿאַרשטיין Twofish קריפּטאָגראַפי.

רעכט צו דער קריפּטאָגראַפיק שטאַרקייט פון ענקריפּשאַן אַלגערידאַמז, אַנסטאַפּאַבאַל סיפערפּונקס אַנטוויקלען ווייכווארג מיט אַ אַנדערש באַפאַלן וועקטאָר. פֿאַר בייַשפּיל, יקסטראַקטינג מעטאַדאַטאַ / שליסלען פֿון באַראַן (קאַלט שטיוול / דירעקט זכּרון אַקסעס באַפאַלן), עס איז ספּעשאַלייזד פריי און ניט-פריי ווייכווארג פֿאַר די צוועקן.

נאָך קאַמפּלישאַן פון באַשטעטיקן / דזשענערייטינג "יינציק מעטאַדאַטאַ" פון די ינקריפּטיד אַקטיוו צעטיילונג, VeraCrypt וועט פאָרשלאָגן צו ריסטאַרט די פּיסי און פּרובירן די פאַנגקשאַנאַליטי פון זיין באָאָטלאָאַדער. נאָך רעבאָאָטינג / סטאַרטינג Windows, VeraCrypt וועט לאָדן אין סטאַנדביי מאָדע, אַלע וואָס בלייבט איז צו באַשטעטיקן דעם ענקריפּשאַן פּראָצעס - י.

אין די לעצט שריט פון סיסטעם ענקריפּשאַן, VeraCrypt וועט פאָרשלאָגן צו שאַפֿן אַ באַקאַפּ קאָפּיע פון ​​די כעדער פון די אַקטיוו ינקריפּטיד צעטיילונג אין די פאָרעם פון "veracrypt rescue disk.iso" - דאָס מוזן זיין געטאן - אין דעם ווייכווארג אַזאַ אַן אָפּעראַציע איז אַ פאָדערונג (אין LUKS, ווי אַ פאָדערונג - דאָס איז ליידער איבערגעלאָזן, אָבער איז אונטערגעשטראכן אין די דאַקיומענטיישאַן). רעסקיו דיסק וועט קומען אין האַנטיק פֿאַר אַלעמען, און פֿאַר עטלעכע מער ווי אַמאָל. אָנווער (כעדער / MBR רירייט) אַ באַקאַפּ קאָפּיע פון ​​די כעדער וועט פּערמאַנאַנטלי לייקענען אַקסעס צו די דעקריפּטיד צעטיילונג מיט אַס Windows.

A4. שאַפֿן אַ VeraCrypt ראַטעווען וסב / דיסקדורך פעליקייַט, VeraCrypt אָפפערס צו פאַרברענען "~2-3MB פון מעטאַדאַטאַ" צו אַ קאָמפּאַקטדיסק, אָבער ניט אַלע מענטשן האָבן דיסקס אָדער דווד-ראַם דרייווז, און קריייטינג אַ באָאָטאַבלע בליץ פאָר "VeraCrypt רעסקיו דיסק" וועט זיין אַ טעכניש יבערראַשן פֿאַר עטלעכע: Rufus / GUIdd-ROSA ImageWriter און אנדערע ענלעך ווייכווארג וועט נישט קענען צו קאָפּע מיט די אַרבעט, ווייַל אין אַדישאַן צו קאַפּיינג פאָטאָ מעטאַדאַטאַ צו אַ באָאָטאַבלע בליץ פאָר, איר דאַרפֿן צו נאָכמאַכן / פּאַפּ די בילד אַרויס די טעקע סיסטעם פון די וסב פאָר, אין קורץ, ריכטיק נאָכמאַכן די MBR / וועג צו קייטשאַין. איר קענט שאַפֿן אַ באָאָטאַבלע בליץ פאָר פֿון GNU / Linux OS ניצן די "dd" נוצן, קוק אין דעם צייכן.

קריייטינג אַ ראַטעווען דיסק אין אַ Windows סוויווע איז אַנדערש. דער דעוועלאָפּער פון VeraCrypt האט נישט אַרייַנגערעכנט די לייזונג צו דעם פּראָבלעם אין דער באַאַמטער דאַקיומענטיישאַן דורך "ראַטעווען דיסק", אָבער פארגעלייגט אַ לייזונג אין אַ אַנדערש וועג: ער פּאָסטעד נאָך ווייכווארג פֿאַר קריייטינג אַ "וסב ראַטעווען דיסק" פֿאַר פריי אַקסעס אויף זיין VeraCrypt פאָרום. דער אַרטשיוויסט פון דעם ווייכווארג פֿאַר Windows איז "קריייטינג וסב ווערקריפּט ראַטעווען דיסק". נאָך שפּאָרן Rescue disk.iso, דער פּראָצעס פון פאַרשפּאַרן סיסטעם ענקריפּשאַן פון די אַקטיוו צעטיילונג וועט אָנהייבן. בעשאַס ענקריפּשאַן, די אָפּעראַציע פון ​​די אַס טוט נישט האַלטן; אַ פּיסי ריסטאַרט איז ניט פארלאנגט. נאָך קאַמפּלישאַן פון די ענקריפּשאַן אָפּעראַציע, די אַקטיוו צעטיילונג ווערט גאָר ינקריפּטיד און קענען זיין געוויינט. אויב די VeraCrypt שטיוול לאָודער איז נישט געוויזן ווען איר אָנהייב די פּיסי, און די כעדער אָפּזוך אָפּעראַציע טוט נישט העלפן, טשעק די "שטיוול" פאָן, עס מוזן זיין שטעלן צו די צעטיילונג ווו Windows איז פאָרשטעלן (ראַגאַרדלאַס פון ענקריפּשאַן און אנדערע אַס, זען טיש נומ 1).
דאָס קאַמפּליץ די באַשרייַבונג פון פאַרשפּאַרן סיסטעם ענקריפּשאַן מיט Windows OS.

[ב]לוקס. GNU / לינוקס ענקריפּשאַן (~דעביאַן) אינסטאַלירן אַס. אַלגערידאַם און סטעפּס

אין סדר צו ענקריפּט אַ אינסטאַלירן דעביאַן / דעריוואַטיוו פאַרשפּרייטונג, איר דאַרפֿן צו מאַפּע די צוגעגרייט צעטיילונג צו אַ ווירטואַל בלאָק מיטל, אַריבערפירן עס צו די מאַפּט GNU / לינוקס דיסק און ינסטאַלירן / קאַנפיגיער GRUB2. אויב איר טאָן ניט האָבן אַ נאַקעט מעטאַל סערווער און איר ווערט דיין צייט, איר דאַרפֿן צו נוצן די GUI, און רובֿ פון די וואָקזאַל קאַמאַנדז דיסקרייבד אונטן זענען מענט צו לויפן אין "Chuck-Norris מאָדע".

B1. בוטינג פּיסי פֿון לעבן וסב GNU / לינוקס

"פירן אַ קריפּטאָ פּראָבע פֿאַר ייַזנוואַרג פאָרשטעלונג"

lscpu && сryptsetup benchmark

אויב איר זענט דער גליקלעך באַזיצער פון אַ שטאַרק מאַשין מיט AES ייַזנוואַרג שטיצן, די נומערן וועלן קוקן ווי די רעכט זייַט פון די וואָקזאַל; אויב איר זענט אַ גליקלעך באַזיצער, אָבער מיט אַנטיק ייַזנוואַרג, די נומערן וועלן קוקן ווי די לינקס זייַט.

ב2. דיסק פּאַרטישאַנינג. מאַונטינג / פאָרמאַטטינג fs לאַדזשיקאַל דיסק הדד צו עקסט4 (גפּאַרטעד)

ב2.1. שאַפֿן אַ ענקריפּטיד sda7 צעטיילונג כעדעראי ך װע ל באשרײב ן ד י נעמע ן פו ן ד י מחיצות , ד א או ן װײטער , לויט ן מײ ן פארטײע ן טיש , װא ם אי ז אי ן אויבערשטן . לויט דיין דיסק אויסלייג, איר מוזן פאַרבייַטן דיין צעטיילונג נעמען.

לאַדזשיקאַל דרייוו ענקריפּשאַן מאַפּינג (/dev/sda7 > /dev/mapper/sda7_crypt).
# גרינג שאַפונג פון אַ "LUKS-AES-XTS צעטיילונג"

cryptsetup -v -y luksFormat /dev/sda7

אָפּציעס:

* luksFormat - יניטיאַליזאַטיאָן פון LUKS כעדער;
* -י -פּאַסספראַסע (ניט שליסל / טעקע);
* -v -ווערבאַליזאַטיאָן (ווייַזנדיק אינפֿאָרמאַציע אין די וואָקזאַל);
* /dev/sda7 - דיין לאַדזשיקאַל דיסק פֿון די עקסטענדעד צעטיילונג (ווו עס איז פּלאַננעד צו אַריבערפירן / ענקריפּט GNU / לינוקס).

פעליקייַט ענקריפּשאַן אַלגערידאַם <לUKS1: aes-xts-plain64, שליסל: 256 ביץ, LUKS כעדער כאַשינג: sha256, RNG: /dev/urandom> (דעפּענדס אויף די קריפּטסעטאַפּ ווערסיע).

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

אויב עס איז קיין ייַזנוואַרג שטיצן פֿאַר AES אויף די קפּו, דער בעסטער ברירה וואָלט זיין צו שאַפֿן אַן עקסטענדעד "LUKS-Twofish-XTS-partition".

ב2.2. אַוואַנסירטע שאַפונג פון "LUKS-Twofish-XTS-partition"

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

אָפּציעס:
* luksFormat - יניטיאַליזאַטיאָן פון LUKS כעדער;
* /dev/sda7 איז דיין צוקונפֿט ינקריפּטיד לאַדזשיקאַל דיסק;
* -וו ווערבאַליזיישאַן;
* -י פּאַספראַסע;
* -C אויסקלייַבן דאַטן ענקריפּשאַן אַלגערידאַם;
* -ס ענקריפּשאַן שליסל גרייס;
* -ה כאַשינג אַלגערידאַם / קריפּטאָ פֿונקציע, רנג געוויינט (--נוצן-וראַנדאָם) צו דזשענערייט אַ יינציק ענקריפּשאַן / דעקריפּטיאָן שליסל פֿאַר די לאַדזשיקאַל דיסק כעדער, אַ צווייטיק כעדער שליסל (קסץ); אַ יינציק בעל שליסל סטאָרד אין די ענקריפּטיד דיסק כעדער, אַ צווייטיק XTS שליסל, אַלע די מעטאַדאַטאַ און אַן ענקריפּשאַן רוטין וואָס, ניצן די בעל שליסל און די צווייטיק XTS שליסל, ענקריפּט / דעקריפּט קיין דאַטן אויף דער צעטיילונג (חוץ דעם טיטל פון אָפּטיילונג) סטאָרד אין ~ 3 מב אויף די אויסגעקליבן שווער דיסק צעטיילונג.
* -י יטעריישאַנז אין מיליסעקאַנדז, אַנשטאָט פון "סכום" (די צייט פאַרהאַלטן ווען פּראַסעסינג די פּאַספראַסע אַפעקץ די לאָודינג פון די אַס און די קריפּטאָגראַפיק שטאַרקייַט פון די שליסלען). צו האַלטן אַ וואָג פון קריפּטאָגראַפיק שטאַרקייט, מיט אַ פּשוט פּאַראָל ווי "רוסיש" איר דאַרפֿן צו פאַרגרעסערן די -(איך) ווערט; מיט אַ קאָמפּלעקס פּאַראָל ווי "?8dƱob/øfh" די ווערט קענען זיין דיקריסט.
* —נוצן-וראַנדאָם טראַפ נומער גענעראַטאָר, דזשענערייץ שליסלען און זאַלץ.

נאָך מאַפּינג די אָפּטיילונג sda7> sda7_crypt (די אָפּעראַציע איז שנעל, ווייַל אַ ענקריפּטיד כעדער איז באשאפן מיט ~ 3 מעגאבייטן מעטאַדאַטאַ און דאָס איז אַלע), איר דאַרפֿן צו פֿאָרמאַט און אָנקלאַפּן די sda7_crypt טעקע סיסטעם.

ב2.3. פאַרגלייַך

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

אָפּציעס:
* עפענען - גלייַכן די אָפּטיילונג "מיט נאָמען";
* /dev/sda7 -לאָגיקאַל דיסק;
* sda7_crypt - נאָמען מאַפּינג וואָס איז געניצט צו אָנקלאַפּן די ינקריפּטיד צעטיילונג אָדער ינישאַלייז עס ווען די אַס שיך.

ב2.4. פאָרמאַטטינג די sda7_crypt טעקע סיסטעם צו ext4. מאָונטינג אַ דיסק אין די אַס(באַמערקונג: איר וועט נישט קענען צו אַרבעטן מיט אַ ינקריפּטיד צעטיילונג אין Gparted)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt 

אָפּציעס:
* -וו -ווערבאַליזיישאַן;
* -L - פאָר פירמע (וואָס איז געוויזן אין Explorer צווישן אנדערע דרייווז).

ווייַטער, איר זאָל אָנקלאַפּן די ווירטואַל ינקריפּטיד בלאָק מיטל /dev/sda7_crypt צו די סיסטעם

mount /dev/mapper/sda7_crypt /mnt

ארבעטן מיט טעקעס אין די / mnt טעקע וועט אויטאָמאַטיש ינקריפּט / דעקריפּט דאַטן אין sda7.

עס איז מער באַקוועם צו מאַפּע און אָנקלאַפּן די צעטיילונג אין Explorer (נאָוטילוס / קאַדזשאַ GUI), די צעטיילונג וועט שוין זיין אין די דיסק סעלעקציע רשימה, אַלע וואָס בלייבט איז צו אַרייַן די פּאַספראַסע צו עפֿענען / דעקריפּט די דיסק. די מאַטשט נאָמען וועט זיין אויסגעקליבן אויטאָמאַטיש און נישט "sda7_crypt", אָבער עפּעס ווי /dev/mapper/Luks-xx-xx ...

ב2.5. דיסק כעדער באַקאַפּ (~3MB מעטאַדאַטאַ)איינער פון די מערסט וויכטיק אַפּעריישאַנז וואָס דאַרפֿן צו זיין געטאן אָן פאַרהאַלטן - אַ באַקאַפּ קאָפּיע פון ​​​​די "sda7_crypt" כעדער. אויב איר אָווועררייט / שעדיקן די כעדער (למשל, ינסטאָלינג GRUB2 אויף די sda7 צעטיילונג, אאז"ו ו), די ינקריפּטיד דאַטן וועט זיין גאָר פאַרפאַלן אָן קיין מעגלעכקייט צו צוריקקריגן עס, ווייַל עס וועט זיין אוממעגלעך צו שייַעך-דזשענערירן די זעלבע שליסלען; די שליסלען זענען באשאפן יינציק.

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7 

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

אָפּציעס:
* luksHeaderBackup -header-backup-file -backup באַפֿעל;
* luksHeaderRestore -header-backup-file-restore באַפֿעל;
* ~/Backup_DebSHIFR - באַקאַפּ טעקע;
* /dev/sda7 - צעטיילונג וועמענס ינקריפּטיד דיסק כעדער באַקאַפּ קאָפּיע איז צו זיין געראטעוועט.
אין דעם שריט איז געענדיקט.

B3. פּאָרטינג GNU / לינוקס אַס (sda4) צו אַ ינקריפּטיד צעטיילונג (sda7)

שאַפֿן אַ טעקע /mnt2 (באַמערקונג - מיר זענען נאָך ארבעטן מיט לעבן וסב, sda7_crypt איז מאָונטעד בייַ / mnt), און אָנקלאַפּן אונדזער GNU/Linux אין /mnt2, וואָס דאַרף זיין ינקריפּטיד.

mkdir /mnt2
mount /dev/sda4 /mnt2

מיר דורכפירן ריכטיק אַס אַריבערפירן ניצן Rsync ווייכווארג

rsync -avlxhHX --progress /mnt2/ /mnt

Rsync אָפּציעס זענען דיסקרייבד אין פּאַראַגראַף E1.

ווייַטער איז נייטיק דעפראַגמענט אַ לאַדזשיקאַל דיסק צעטיילונג

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

מאַכן עס אַ הערשן: טאָן e4defrag אויף ענקריפּטיד GNU / Linux פֿון צייט צו צייט אויב איר האָבן אַ הדד.
די אַריבערפירן און סינגקראַנאַזיישאַן [GNU/Linux> GNU/Linux-ענקריפּטיד] איז געענדיקט אין דעם שריט.

AT 4. באַשטעטיקן GNU / Linux אויף אַ ינקריפּטיד sda7 צעטיילונג

נאָך הצלחה טראַנספערינג די OS /dev/sda4> /dev/sda7, איר דאַרפֿן צו קלאָץ אין GNU/Linux אויף די ינקריפּטיד צעטיילונג און דורכפירן ווייַטער קאַנפיגיעריישאַן. (אָן רעבאָאָטינג פּיסי) קאָרעוו צו אַ ינקריפּטיד סיסטעם. אַז איז, זיין אין לעבן וסב, אָבער ויספירן קאַמאַנדז "רעלאַטיוו צו דער וואָרצל פון די ינקריפּטיד אַס." "טשראָאָט" וועט סימולירן אַ ענלעך סיטואַציע. צו געשווינד באַקומען אינפֿאָרמאַציע אויף וואָס אַס איר איצט אַרבעט מיט (ענקריפּטיד אָדער נישט, זינט די דאַטן אין sda4 און sda7 זענען סינגקראַנייזד), דעסינטשראָניזע די אַס. שאַפֿן אין וואָרצל דירעקטעריז (sda4/sda7_crypt) ליידיק מאַרקער טעקעס, למשל, /mnt/encryptedOS און /mnt2/decryptedOS. קאָנטראָלירן געשווינד וואָס אַס איר זענט אויף (אַרייַנגערעכנט פֿאַר די צוקונפֿט):

ls /<Tab-Tab>

ב4.1. "סימיאַליישאַן פון לאָגינג אין אַ ינקריפּטיד אַס"

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

ב4.2. וועראַפייינג אַז אַרבעט איז געפירט אויס קעגן אַ ינקריפּטיד סיסטעם

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

ב4.3. קריייטינג / קאַנפיגיערינג ינקריפּטיד ויסבייַטן, עדיטינג crypttab / fstabזינט די ויסבייַטן טעקע איז פאָרמאַטטעד יעדער מאָל ווען די אַס סטאַרץ, עס איז קיין זינען צו שאַפֿן און מאַפּע ויסבייַטן צו אַ לאַדזשיקאַל דיסק איצט, און טיפּ קאַמאַנדז ווי אין פּאַראַגראַף B2.2. פֿאַר סוואַפּ, זיין אייגענע צייטווייליגע ענקריפּשאַן שליסלען וועט זיין אויטאָמאַטיש דזשענערייטאַד ביי יעדער אָנהייב. לעבן ציקל פון ויסבייַטן שליסלען: ונמאָונטינג / ונמאָונטינג ויסבייַטן צעטיילונג (+ רייניקונג באַראַן); אָדער ריסטאַרט די אַס. באַשטעטיקן אַרויף ויסבייַטן, עפן די טעקע פאַראַנטוואָרטלעך פֿאַר די קאַנפיגיעריישאַן פון בלאָק ינקריפּטיד דעוויסעס (אַנאַלאָג צו אַ פסטאַב טעקע, אָבער פאַראַנטוואָרטלעך פֿאַר קריפּטאָ).

nano /etc/crypttab 

איך מאך

#"ציל נאָמען" "מקור מיטל" "שליסל טעקע" "אָפּציעס"
ויסבייַטן / דעוו / סדאַ8 / דעוו / וראַנדאָם ויסבייַטן, סיפער = צווייפיש-קסץ-פּלאַין64, גרייס = 512, האַש = שאַ512

אָפּציעס
* ויסבייַטן - מאַפּט נאָמען ווען ענקריפּטינג /dev/mapper/swap.
* /dev/sda8 - נוצן דיין לאַדזשיקאַל צעטיילונג פֿאַר ויסבייַטן.
* /dev/urandom - גענעראַטאָר פון טראַפ ענקריפּשאַן שליסלען פֿאַר ויסבייַטן (מיט יעדער נייַ אַס שטיוול, נייַ שליסלען זענען באשאפן). די /dev/urandom גענעראַטאָר איז ווייניקער טראַפ ווי /dev/random, נאָך אַלע, /dev/random איז געניצט ווען ארבעטן אין געפערלעך פּאַראַנאָיד צושטאנדן. ווען לאָודינג די אַס, /dev/random סלאָוז אַראָפּ די לאָודינג פֿאַר עטלעכע ± מינוט (זען סיסטעם אַנאַליסיס).
* ויסבייַטן, סייפער=טוואָפיש-קסץ-פּלאַין64, גרייס=512, האַש=שאַ512: -די צעטיילונג ווייסט אַז עס איז ויסבייַטן און איז פֿאָרמאַטירט "לויט"; ענקריפּשאַן אַלגערידאַם.

#Открываем и правим fstab
nano /etc/fstab

איך מאך

# ויסבייַטן איז געווען אויף / דעוו / סדאַ 8 בעשאַס ינסטאַלירונג
/dev/mapper/swap קיין ויסבייַטן סוו 0 0

/dev/mapper/swap איז דער נאָמען וואָס איז באַשטימט אין קריפּטאַב.

אנדער ברירה ינקריפּטיד ויסבייַטן
אויב פֿאַר עטלעכע סיבה איר טאָן נישט וועלן צו געבן אַ גאַנץ צעטיילונג פֿאַר אַ ויסבייַטן טעקע, איר קענען גיין אַן אָלטערנאַטיוו און בעסער וועג: שאַפֿן אַ ויסבייַטן טעקע אין אַ טעקע אויף אַ ינקריפּטיד צעטיילונג מיט די אַס.

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

די ויסבייַטן צעטיילונג סעטאַפּ איז גאַנץ.

ב4.4. באַשטעטיקן ענקריפּטיד GNU / Linux (עדיטינג קריפּטטאַב / פסטאַב טעקעס)די /etc/crypttab טעקע, ווי געשריבן אויבן, באשרייבט ענקריפּטיד בלאָק דעוויסעס וואָס זענען קאַנפיגיערד בעשאַס סיסטעם שטיוול.

#правим /etc/crypttab 
nano /etc/crypttab 

אויב איר גלייַכן די sda7>sda7_crypt אָפּטיילונג ווי אין פּאַראַגראַף B2.1

# "ציל נאָמען" "מקור מיטל" "שליסל טעקע" "אָפּציעס"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

אויב איר גלייַכן די sda7>sda7_crypt אָפּטיילונג ווי אין פּאַראַגראַף B2.2

# "ציל נאָמען" "מקור מיטל" "שליסל טעקע" "אָפּציעס"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

אויב איר מאַטשט די sda7>sda7_crypt אָפּטיילונג ווי אין פּאַראַגראַף B2.1 אָדער B2.2, אָבער טאָן נישט וועלן צו אַרייַן די פּאַראָל צו ופשליסן און שטיוול די אַס, אַנשטאָט פון די פּאַראָל, איר קענען פאַרבייַטן אַ סוד שליסל / טראַפ - טעקע

# "ציל נאָמען" "מקור מיטל" "שליסל טעקע" "אָפּציעס"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

באַשרייַבונג
* גאָרניט - ריפּאָרץ אַז ווען לאָודינג די אַס, אַרייַן אַ סוד פּאַספראַסע איז פארלאנגט צו ופשליסן די וואָרצל.
* UUID - צעטיילונג ידענטיפיער. צו געפֿינען דיין שייַן, אַרייַן די וואָקזאַל (דערמאָנונג אַז פֿון דעם צייט פאָרויס, איר אַרבעט אין אַ וואָקזאַל אין אַ טשראָאָט סוויווע, און נישט אין אן אנדער לעבן וסב וואָקזאַל).

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное 

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

די שורה איז קענטיק ווען איר בעטן בלקיד פֿון די לעבן וסב וואָקזאַל מיט sda7_crypt מאָונטעד).
איר נעמען די UUID פֿון דיין sdaX (ניט sdaX_crypt!, UUID sdaX_crypt - וועט זיין אויטאָמאַטיש לינקס ווען דזשענערייטינג די grub.cfg קאַנפיגיעריישאַן).
* cipher=twofish-xts-plain64, size=512,hash=sha512-luks ענקריפּשאַן אין אַוואַנסירטע מאָדע.
* /etc/skey - סוד שליסל טעקע, וואָס איז ינסערטאַד אויטאָמאַטיש צו ופשליסן די אַס שטיוול (אַנשטאָט אַרייַן די 3 פּאַראָל). איר קענען ספּעציפיצירן קיין טעקע אַרויף צו 8 מב, אָבער די דאַטן וועט זיין לייענען <1 מב.

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7 

עס וועט קוקן עפּעס ווי דאָס:

(טאָן עס זיך און זען פֿאַר זיך).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab כּולל דיסקריפּטיוו אינפֿאָרמאַציע וועגן פאַרשידן טעקע סיסטעמען.

#Правим /etc/fstab
nano /etc/fstab

# "טעקע סיסטעם" "בארג פונט" "טיפּ" "אָפּציעס" "דאַמפּ" "פאָרן"
# / איז געווען אויף / דעוו / סדאַ 7 בעשאַס ינסטאַלירונג
/dev/mapper/sda7_crypt / ext4 ערראָרס = רעמאָונט-ראָ 0 1

אָפּציע
* /dev/mapper/sda7_crypt - דער נאָמען פון די sda7>sda7_crypt מאַפּינג, וואָס איז ספּעסיפיעד אין די /etc/crypttab טעקע.
די crypttab / fstab סעטאַפּ איז גאַנץ.

ב4.5. עדיטינג קאַנפיגיעריישאַן טעקעס. שליסל מאָמענטב4.5.1. עדיטינג די קאַנפיגיעריישאַן /etc/initramfs-tools/conf.d/resume

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

און באַמערקן אויס (אויב עס איז) "#" שורה "נעמענ זיכ ווידער". די טעקע מוזן זיין גאָר ליידיק.

ב4.5.2. עדיטינג די קאַנפיגיעריישאַן /etc/initramfs-tools/conf.d/cryptsetup

nano /etc/initramfs-tools/conf.d/cryptsetup

זאָל גלייַכן

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP = יאָ
אַרויספירן קריפּטסעטאַפּ

ב4.5.3. עדיטינג די /etc/default/grub config (דעם קאָנפיג איז פאַראַנטוואָרטלעך פֿאַר די פיייקייט צו דזשענערייט grub.cfg ווען ארבעטן מיט ינקריפּטיד / שטיוול)

nano /etc/default/grub

לייג די שורה "GRUB_ENABLE_CRYPTODISK = y"
ווערט 'y', grub-mkconfig און grub-install וועלן קאָנטראָלירן פֿאַר ינקריפּטיד דרייווז און דזשענערייט נאָך קאַמאַנדז צו אַקסעס זיי אין שטיוול צייט (ינסמאָנדס ).
עס מוז זיין אַן ענלעכקייט

GRUB_DEFAULT = 0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT = "acpi_backlight = פאַרקויפער"
GRUB_CMDLINE_LINUX = "שטיל שפּריצן קיין אַוטאָמאָונט"
GRUB_ENABLE_CRYPTODISK=י

ב4.5.4. עדיטינג די קאָנפיג /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

טשעק אַז די שורה איז קאַמענטאַד אויס .
אין דער צוקונפֿט (און אפילו איצט, דער פּאַראַמעטער וועט נישט האָבן קיין טייַטש, אָבער מאל עס ינטערפירז מיט אַפּדייטינג די initrd.img בילד).

ב4.5.5. עדיטינג די קאָנפיג /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

לייג צו

KEYFILE_PATTERN="/etc/skey"
UMASK=0077

דאָס וועט פּאַקן די סוד שליסל "שליי" אין initrd.img, דער שליסל איז דארף צו ופשליסן די וואָרצל ווען די אַס שיך (אויב איר טאָן נישט וועלן צו אַרייַן די פּאַראָל ווידער, די "שליסל" שליסל איז סאַבסטאַטוטאַד פֿאַר די מאַשין).

ב4.6. דערהייַנטיקן /boot/initrd.img [ווערסיע]צו פּאַקן די סוד שליסל אין initrd.img און צולייגן קריפּטסעטאַפּ פיקסיז, דערהייַנטיקן די בילד

update-initramfs -u -k all

ווען אַפּדייטינג initrd.img (ווי זיי זאָגן "עס איז מעגלעך, אָבער עס איז נישט זיכער") וואָרנינגז שייַכות צו קריפּטסעטאַפּ וועט דערשייַנען, אָדער, פֿאַר בייַשפּיל, אַ אָנזאָג וועגן די אָנווער פון נווידיאַ מאַדזשולז - דאָס איז נאָרמאַל. נאָך אַפּדייטינג די טעקע, קאָנטראָלירן אַז עס איז אַקטשאַוואַלי דערהייַנטיקט, זען די צייט (קאָרעוו צו chroot סוויווע./boot/initrd.img). ווארענונג! איידער [update-initramfs -u -k all] זיין זיכער צו קאָנטראָלירן אַז קריפּטסעטאַפּ איז אָפן /dev/sda7 sda7_crypt - דאָס איז דער נאָמען וואָס איז ארויס אין /etc/crypttab, אַנדערש נאָך רעבאָאָט עס וועט זיין אַ פאַרנומען באָקס טעות)
אין דעם שריט, באַשטעטיקן די קאַנפיגיעריישאַן טעקעס איז גאַנץ.

[C] ינסטאָלינג און קאַנפיגיער GRUB2 / פּראַטעקשאַן

C1. אויב נייטיק, פֿאָרמאַט די דעדאַקייטאַד צעטיילונג פֿאַר די באָאָטלאָאַדער (אַ צעטיילונג דאַרף בייַ מינדסטער 20MB)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. בארג /dev/sda6 צו /mntאַזוי מיר אַרבעטן אין chroot, עס וועט זיין קיין / mnt2 וועגווייַזער אין דער וואָרצל, און די / mnt טעקע וועט זיין ליידיק.
אָנקלאַפּן די GRUB2 צעטיילונג

mount /dev/sda6 /mnt

אויב איר האָבן אַן עלטערע ווערסיע פון ​​GRUB2 אינסטאַלירן, אין די /mnt/boot/grub/i-386-pc וועגווייַזער (אנדערע פּלאַטפאָרמע איז מעגלעך, פֿאַר בייַשפּיל, נישט "i386-pc") קיין קריפּטאָ מאַדזשולז (אין קורץ, דער טעקע זאָל אַנטהאַלטן מאַדזשולז, אַרייַנגערעכנט די .מאָד: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), אין דעם פאַל, GRUB2 דאַרף זיין אויפגעטרייסלט.

apt-get update
apt-get install grub2 

וויכטיק! ווען איר אַפּדייטינג די GRUB2 פּעקל פֿון די ריפּאַזאַטאָרי, ווען איר האָט געפרעגט "וועגן טשוזינג" ווו צו ינסטאַלירן די באָאָטלאָאַדער, איר מוזן אָפּזאָגן די ינסטאַלירונג (סיבה - פּרווון צו ינסטאַלירן GRUB2 - אין "MBR" אָדער אויף לעבן וסב). אַנדערש איר וועט שעדיקן די VeraCrypt כעדער / לאָודער. נאָך אַפּדייטינג די GRUB2 פּאַקאַדזשאַז און קאַנסאַלינג די ינסטאַלירונג, די שטיוול לאָודער מוזן זיין אינסטאַלירן מאַניואַלי אויף די לאַדזשיקאַל דיסק און נישט אין די MBR. אויב דיין ריפּאַזאַטאָרי האט אַן אַוטדייטיד ווערסיע פון ​​GRUB2, פּרובירן דערהייַנטיקן עס איז פֿון דער באַאַמטער וועבזייטל - האָבן ניט אָפּגעשטעלט עס (געארבעט מיט די לעצטע GRUB 2.02 ~BetaX שטיוול לאָודערז).

C3. ינסטאָלינג GRUB2 אין אַן עקסטענדעד צעטיילונג [sda6]איר מוזן האָבן אַ מאָונטעד צעטיילונג [נומער C.2]

grub-install --force --root-directory=/mnt /dev/sda6

אָפּציעס
* —פאָרס - ינסטאַלירונג פון די באָאָטלאָאַדער, בייפּאַסינג אַלע וואָרנינגז אַז כּמעט שטענדיק עקסיסטירן און פאַרשפּאַרן ינסטאַלירונג (פארלאנגט פאָן).
* --root-directory - שטעלט די וועגווייַזער צו דער וואָרצל פון sda6.
* /dev/sda6 - דיין sdaХ צעטיילונג (טאָן ניט פעלן די צווישן /mnt /dev/sda6).

C4. שאַפֿן אַ קאַנפיגיעריישאַן טעקע [grub.cfg]פארגעסן דעם באַפֿעל "update-grub2" און נוצן די באַפֿעלן פון די פול קאַנפיגיעריישאַן טעקע דור

grub-mkconfig -o /mnt/boot/grub/grub.cfg

נאָך קאַמפּליטינג די דור / אַפּדייטינג פון די grub.cfg טעקע, דער רעזולטאַט וואָקזאַל זאָל אַנטהאַלטן שורה (s) מיט די אַס געפֿונען אויף די דיסק ("grub-mkconfig" וועט מיסטאָמע געפֿינען און קלייַבן די אַס פֿון אַ לעבן וסב, אויב איר האָבן אַ מולטיבאָאָט בליץ פאָר מיט Windows 10 און אַ בינטל פון לעבן דיסטריביושאַנז - דאָס איז נאָרמאַל). אויב דער וואָקזאַל איז "ליידיק" און די "grub.cfg" טעקע איז נישט דזשענערייטאַד, דאָס איז דער זעלביקער פאַל ווען עס זענען GRUB באַגז אין די סיסטעם (און רובֿ מסתּמא די לאָודער פון די פּרובירן צווייַג פון די ריפּאַזאַטאָרי), ריינסטאַל GRUB2 פֿון טראַסטיד קוואלן.
די "פּשוט קאַנפיגיעריישאַן" ינסטאַלירונג און GRUB2 סעטאַפּ איז גאַנץ.

C5. דערווייַז-פּרובירן פון ענקריפּטיד GNU/Linux OSמיר פאַרענדיקן די קריפּטאָ מיסיע ריכטיק. קערפאַלי לאָזן די ינקריפּטיד GNU / לינוקס (אַרויסגאַנג טשראָאָט סוויווע).

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

נאָך ריסטאַרטינג די פּיסי, די VeraCrypt באָאָטלאָאַדער זאָל לאָדן.


* אַרייַן די פּאַראָל פֿאַר די אַקטיוו צעטיילונג וועט אָנהייבן לאָודינג Windows.
* דרינגלעך די "עסק" שליסל וועט אַריבערפירן קאָנטראָל צו GRUB2, אויב איר אויסקלייַבן ענקריפּטיד GNU/Linux - אַ פּאַראָל (sda7_crypt) וועט זיין פארלאנגט צו ופשליסן /boot/initrd.img (אויב grub2 שרייבט וויד "ניט געפֿונען" - דאָס איז אַ פּראָבלעם מיט די grub2 באָאָטלאָאַדער, עס זאָל זיין ריינסטאַלד, למשל, פֿון טעסט צווייַג / סטאַביל עטק.).


* דעפּענדינג אויף ווי איר קאַנפיגיערד די סיסטעם (זען פּאַראַגראַף B4.4/4.5), נאָך אַרייַן די ריכטיק פּאַראָל צו ופשליסן די /boot/initrd.img בילד, איר וועט דאַרפֿן אַ פּאַראָל צו לאָדן די אַס קערן / וואָרצל אָדער די סוד. שליסל וועט זיין אויטאָמאַטיש סאַבסטאַטוטאַד "סקיי", ילימאַנייטינג די נויט צו שייַעך-אַרייַן די פּאַסספראַסע.

(פאַרשטעלן "אָטאַמאַטיק סאַבסטיטושאַן פון אַ סוד שליסל").

* דערנאָך דער באַקאַנט פּראָצעס פון לאָודינג GNU / לינוקס מיט באַניצער חשבון אָטענטאַקיישאַן וועט נאָכפאָלגן.


* נאָך באַניצער דערלויבעניש און לאָגין צו די אַס, איר דאַרפֿן צו דערהייַנטיקן /boot/initrd.img ווידער (זען B4.6).

update-initramfs -u -k all

און אין פאַל פון עקסטרע שורות אין די GRUB2 מעניו (פון OS-m פּיקאַפּ מיט לעבן וסב) באַקומען באַפרייַען פון זיי

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

א שנעל קיצער פון GNU / לינוקס סיסטעם ענקריפּשאַן:

• GNU/Linuxinux איז גאָר ינקריפּטיד, אַרייַנגערעכנט /boot/kernel און initrd;
• דער סוד שליסל איז פּאַקידזשד אין initrd.img;
• קראַנט דערלויבעניש סכעמע (אַרייַן די פּאַראָל צו ופשליסן די יניטרד; פּאַראָל / שליסל צו שטיוול די אַס; פּאַראָל פֿאַר אָטערייזינג די לינוקס חשבון).

"Simple GRUB2 Configuration" סיסטעם ענקריפּשאַן פון די בלאָק צעטיילונג איז גאַנץ.

C6. אַוואַנסירטע GRUB2 קאַנפיגיעריישאַן. באָאָטלאָאַדער שוץ מיט דיגיטאַל כסימע + אָטענטאַקיישאַן שוץGNU / Linux איז גאָר ינקריפּטיד, אָבער די באָאָטלאָאַדער קענען ניט זיין ינקריפּטיד - דעם צושטאַנד איז דיקטייטיד דורך די בייאָוס. פֿאַר דעם סיבה, אַ טשיינד ענקריפּטיד שטיוול פון GRUB2 איז ניט מעגלעך, אָבער אַ פּשוט טשיינד שטיוול איז מעגלעך / בנימצא, אָבער פֿון אַ זיכערהייט פונט פון מיינונג עס איז ניט נייטיק [זען פ פ].
פֿאַר די "שפּירעוודיק" GRUB2, די דעוועלאָפּערס ימפּלאַמענאַד אַ "סיגנאַטורע / אָטענטאַקיישאַן" באָאָטלאָאַדער שוץ אַלגערידאַם.

• ווען די באָאָטלאָאַדער איז פּראָטעקטעד דורך "זיין אייגענע דיגיטאַל כסימע," פונדרויסנדיק מאָדיפיקאַטיאָן פון טעקעס, אָדער אַן פּרווון צו לאָדן נאָך מאַדזשולז אין דעם באָאָטלאָאַדער, וועט פירן צו בלאַקט די שטיוול פּראָצעס.
• ווען איר באַשיצן די באָאָטלאָאַדער מיט אָטענטאַקיישאַן, צו סעלעקטירן לאָודינג אַ פאַרשפּרייטונג אָדער אַרייַן נאָך קאַמאַנדז אין די CLI, איר דאַרפֿן צו אַרייַן די לאָגין און פּאַראָל פון די סופּערוסער-GRUB2.

C6.1. באָאָטלאָאַדער אָטענטאַקיישאַן שוץקאָנטראָלירן אַז איר אַרבעט אין אַ וואָקזאַל אויף אַ ינקריפּטיד אַס

ls /<Tab-Tab> #обнаружить файл-маркер

שאַפֿן אַ סופּערוסער פּאַראָל פֿאַר דערלויבעניש אין GRUB2

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. 

באַקומען די פּאַראָל האַש. עפּעס ווי דאָס

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

אָנקלאַפּן די GRUB צעטיילונג

mount /dev/sda6 /mnt 

רעדאַגירן די קאָנפיג

nano -$ /mnt/boot/grub/grub.cfg 

קאָנטראָלירן די טעקע זוכן אַז עס זענען קיין פלאַגס ערגעץ אין "grub.cfg" ("-אַנריסטריקטיד" "-באַניצער",
לייגן אין די סוף (איידער די שורה ### END /etc/grub.d/41_custom ###)
"שטעלן סופּערוסערס = וואָרצל"
password_pbkdf2 וואָרצל האַש."

עס זאָל זיין עפּעס ווי דאָס

# די טעקע גיט אַן גרינג וועג צו לייגן מנהג מעניו איינסן. פשוט אַרייַן די
# מעניו איינסן איר ווילן צו לייגן נאָך דעם באַמערקונג. זייט אָפּגעהיט ניט צו טוישן
# די שורה 'עקסעק עק' אויבן.
### END /etc/grub.d/40_custom ###

### BEGIN /etc/grub.d/41_custom ###
אויב [-f ${config_directory}/custom.cfg]; דעמאָלט
מקור ${config_directory}/custom.cfg
עליף [-ז "${קאָנפיג_דירעקטאָרי}" -אַ -פ $פּרעפיקס/קאַסטאַם.קפג]; דעמאָלט
מקור $ פּרעפיקס / קאַסטאַם.קפג;
fi
שטעלן סופּערוסערס = "שורש"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

אויב איר אָפט נוצן די באַפֿעל "grub-mkconfig -o /mnt/boot/grub/grub.cfg" און טאָן נישט וועלן צו מאַכן ענדערונגען צו grub.cfg יעדער מאָל, אַרייַן די אויבן שורות (לאָגין: פּאַראָל) אין די GRUB באַניצער שריפט אין די דנאָ

nano /etc/grub.d/41_custom 

קאַץ <<EOF
שטעלן סופּערוסערס = "שורש"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

ווען דזשענערייטינג די קאַנפיגיעריישאַן "grub-mkconfig -o /mnt/boot/grub/grub.cfg", די שורות פאַראַנטוואָרטלעך פֿאַר אָטענטאַקיישאַן וועט זיין מוסיף אויטאָמאַטיש צו grub.cfg.
דער שריט קאַמפּליץ די GRUB2 אָטענטאַקיישאַן סעטאַפּ.

C6.2. באָאָטלאָאַדער שוץ מיט דיגיטאַל כסימעעס איז אנגענומען אַז איר שוין האָבן דיין פערזענלעכע פּגפּ ענקריפּשאַן שליסל (אָדער מאַכן אַזאַ אַ שליסל). די סיסטעם מוזן האָבן קריפּטאָגראַפיק ווייכווארג אינסטאַלירן: gnuPG; קלעאָפּאַטראַ / גפּאַ; סעאַהאָרסע. קריפּטאָ ווייכווארג וועט מאַכן דיין לעבן פיל גרינגער אין אַלע אַזאַ ענינים. סעאַהאָרסע - סטאַביל ווערסיע פון ​​דעם פּעקל 3.14.0 (ווערסיעס העכער, למשל, וו3.20, זענען דעפעקטיווע און האָבן באַטייטיק באַגז).

די PGP שליסל דאַרף זיין דזשענערייטאַד / לאָנטשט / צוגעגעבן בלויז אין די סו סוויווע!

דזשענערייט פּערזענלעך ענקריפּשאַן שליסל

gpg - -gen-key

אַרויספירן דיין שליסל

gpg --export -o ~/perskey

אָנקלאַפּן די לאַדזשיקאַל דיסק אין די אַס אויב עס איז נישט שוין מאָונטעד

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

ריין די GRUB2 צעטיילונג

rm -rf /mnt/

ינסטאַלירן GRUB2 אין sda6, שטעלן דיין פּריוואַט שליסל אין די הויפּט GRUB בילד "core.img"

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

אָפּציעס
* --פאָרס - ינסטאַלירן די באָאָטלאָאַדער, בייפּאַסינג אַלע די וואָרנינגז וואָס שטענדיק עקסיסטירן (פארלאנגט פאָן).
* —מאָדולעס = "gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" - ינסטראַקץ GRUB2 צו פּרעלאָאַד די נייטיק מאַדזשולז ווען די פּיסי סטאַרץ.
* -ק ~/פּערסקיי -פּאַט צו די "PGP שליסל" (נאָך פּאַקינג די שליסל אין די בילד, עס קענען זיין אויסגעמעקט).
* --root-directory - שטעלן די שטיוול וועגווייַזער צו דער וואָרצל פון sda6
/dev/sda6 - דיין sdaX צעטיילונג.

דזשענערייטינג / אַפּדייטינג grub.cfg

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

לייג די שורה "trust /boot/grub/perskey" צו די סוף פון די "grub.cfg" טעקע (קראַפט נוצן פון פּגפּ שליסל.) זינט מיר האָבן אינסטאַלירן GRUB2 מיט אַ גאַנג פון מאַדזשולז, אַרייַנגערעכנט די כסימע מאָדולע "signature_test.mod", דאָס ילימאַנייץ די נויט צו לייגן קאַמאַנדז ווי "סעט טשעק_סיגנאַטשערז = ענפאָרס" צו די קאָנפיג.

עס זאָל קוקן עפּעס ווי דאָס (סוף שורות אין grub.cfg טעקע)

### BEGIN /etc/grub.d/41_custom ###
אויב [-f ${config_directory}/custom.cfg]; דעמאָלט
מקור ${config_directory}/custom.cfg
עליף [-ז "${קאָנפיג_דירעקטאָרי}" -אַ -פ $פּרעפיקס/קאַסטאַם.קפג]; דעמאָלט
מקור $ פּרעפיקס / קאַסטאַם.קפג;
fi
צוטרוי /boot/grub/perskey
שטעלן סופּערוסערס = "שורש"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

דער דרך צו "/boot/grub/perskey" דאַרף ניט זיין שפּיציק צו אַ ספּעציפיש דיסק צעטיילונג, למשל HD0,6; פֿאַר די באָאָטלאָאַדער זיך, "שורש" איז די פעליקייַט דרך פון די צעטיילונג אויף וואָס GRUB2 איז אינסטאַלירן (זען שטעלן ראָט=..).

סיינינג GRUB2 (אַלע טעקעס אין אַלע / GRUB דירעקטעריז) מיט דיין שליסל "פּערסקיי".
א פּשוט לייזונג אויף ווי צו צייכן (פֿאַר nautilus/caja explorer): ינסטאַלירן די "סעאַהאָרסע" געשפּרייט פֿאַר Explorer פֿון די ריפּאַזאַטאָרי. דיין שליסל מוזן זיין מוסיף צו די סו סוויווע.
עפֿן Explorer מיט סודאָ "/mnt/boot" - RMB - צייכן. אויף דעם עקראַן עס קוקט ווי דאָס

דער שליסל זיך איז "/mnt/boot/grub/perskey" (קאָפּי צו גרוב וועגווייַזער) מוזן אויך זיין געחתמעט מיט דיין אייגן כסימע. קוק אַז די [*.סיג] טעקע סיגנאַטשערז דערשייַנען אין די וועגווייַזער / סובדירעקטאָריעס.
ניצן דעם אופֿן דיסקרייבד אויבן, צייכן "/ שטיוול" (אונדזער קערן, יניטרד). אויב דיין צייט איז ווערט עפּעס, דער אופֿן ילימאַנייץ די נויט צו שרייַבן אַ באַש שריפט צו צייכן "אַ פּלאַץ פון טעקעס."

צו באַזייַטיקן אַלע באָאָטלאָאַדער סיגנאַטשערז (אויב עפּעס איז פאַלש)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

אין סדר נישט צו צייכן די באָאָטלאָאַדער נאָך אַפּדייטינג די סיסטעם, מיר פרירן אַלע דערהייַנטיקן פּאַקאַדזשאַז שייַכות צו GRUB2.

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

אין דעם שריט אַוואַנסירטע קאַנפיגיעריישאַן פון GRUB2 איז געענדיקט.

C6.3. דערווייַז-פּרובירן פון די GRUB2 באָאָטלאָאַדער, פּראָטעקטעד דורך דיגיטאַל כסימע און אָטענטאַקיישאַןGRUB2. ווען סאַלעקטינג קיין GNU / לינוקס פאַרשפּרייטונג אָדער אַרייַן די CLI (קאַמאַנד שורה) סופּערוסער דערלויבעניש וועט זיין פארלאנגט. נאָך אַרייַן די ריכטיק נאמען / פּאַראָל, איר וועט דאַרפֿן די יניטרד פּאַראָל

סקרעענשאָט פון געראָטן אָטענטאַקיישאַן פון די GRUB2 סופּערוסער.

אויב איר טאַמפּער מיט קיין פון די GRUB2 טעקעס / מאַכן ענדערונגען צו grub.cfg, אָדער ויסמעקן די טעקע / כסימע, אָדער לאָדן אַ בייזע module.mod, אַ קאָראַספּאַנדינג ווארענונג וועט דערשייַנען. GRUB2 וועט פּויזע לאָודינג.

סקרעענשאָט, אַן פּרווון צו אַרייַנמישנ זיך מיט GRUB2 "פון אַרויס".

בעשאַס "נאָרמאַל" בוטינג "אָן ינטרוזשאַן", די סיסטעם אַרויסגאַנג קאָד סטאַטוס איז "0". דעריבער, עס איז אומבאַקאַנט צי די שוץ אַרבעט אָדער נישט (דאָס איז, "מיט אָדער אָן באָאָטלאָאַדער כסימע שוץ" בעשאַס נאָרמאַל לאָודינג די סטאַטוס איז דער זעלביקער "0" - דאָס איז שלעכט).

ווי צו קאָנטראָלירן דיגיטאַל כסימע שוץ?

אַ ומבאַקוועם וועג צו קאָנטראָלירן: שווינדל / אַראָפּנעמען אַ מאָדולע געניצט דורך GRUB2, למשל, אַראָפּנעמען די כסימע luks.mod.sig און באַקומען אַ טעות.

די ריכטיק וועג: גיין צו די באָאָטלאָאַדער CLI און טיפּ די באַפֿעל

trust_list

אין ענטפער, איר זאָל באַקומען אַ "פּערסקיי" פינגערפּרינט; אויב די סטאַטוס איז "0," כסימע שוץ טוט נישט אַרבעטן, טאָפּל טשעק פּאַראַגראַף C6.2.
אין דעם שריט, די אַוואַנסירטע קאַנפיגיעריישאַן "פּראַטעקטינג GRUB2 מיט דיגיטאַל כסימע און אָטענטאַקיישאַן" איז געענדיקט.

C7 אַלטערנאַטיווע אופֿן פון פּראַטעקטינג די GRUB2 באָאָטלאָאַדער ניצן כאַשינגדי "CPU Boot Loader Protection / Authentication" אופֿן דיסקרייבד אויבן איז אַ קלאַסיש. רעכט צו די ימפּערפעקשאַנז פון GRUB2, אין פּאַראַנאָיד טנאָים עס איז סאַסעפּטאַבאַל צו אַ פאַקטיש באַפאַלן, וואָס איך וועל געבן אונטן אין פּאַראַגראַף [F]. אין אַדישאַן, נאָך אַפּדייטינג די אַס / קערן, די באָאָטלאָאַדער מוזן זיין שייַעך-געחתמעט.

פּראַטעקטינג די GRUB2 באָאָטלאָאַדער ניצן כאַשינג

אַדוואַנטאַגעס איבער קלאַסיש:

• העכער מדרגה פון רילייאַבילאַטי (האַשינג / וועראַפאַקיישאַן נעמט אָרט בלויז פון אַ ינקריפּטיד היגע מיטל. די גאנצע אַלאַקייטיד צעטיילונג אונטער GRUB2 איז קאַנטראָולד פֿאַר קיין ענדערונגען, און אַלץ אַנדערש איז ינקריפּטיד; אין דער קלאַסיש סכעמע מיט קפּו לאָדער שוץ / אָטענטאַקיישאַן, בלויז טעקעס זענען קאַנטראָולד, אָבער נישט פריי פּלאַץ, אין וואָס "עפּעס" עפּעס בייז" קענען זיין צוגעגעבן).
• ענקריפּטיד לאָגינג (אַ מענטש-ליינעוודיק פּערזענלעך ינקריפּטיד קלאָץ איז מוסיף צו די סכעמע).
• גיכקייַט (שוץ / וועראַפאַקיישאַן פון אַ גאַנץ צעטיילונג אַלאַקייטיד פֿאַר GRUB2 אַקערז כּמעט טייקעף).
• אָטאַמיישאַן פון אַלע קריפּטאָגראַפיק פּראַסעסאַז.

דיסאַדוואַנטידזשיז איבער די קלאַסיקס.

• זיצונג פון חתימה (טהעאָרעטיקאַללי, עס איז מעגלעך צו געפֿינען אַ האַש פֿונקציע צונויפשטויס).
• געוואקסן שוועריקייט מדרגה (קאַמפּערד צו קלאַסיש, אַ ביסל מער סקילז אין GNU / Linux OS זענען פארלאנגט).

ווי די GRUB2 / צעטיילונג כאַשינג געדאַנק אַרבעט

די GRUB2 צעטיילונג איז "געחתמעט"; ווען די אַס שיך, די שטיוול לאָודער צעטיילונג איז אָפּגעשטעלט פֿאַר ימיוטאַביליטי, נאכגעגאנגען דורך לאָגינג אין אַ זיכער (ענקריפּטיד) סוויווע. אויב די באָאָטלאָאַדער אָדער זיין צעטיילונג איז קאַמפּראַמייזד, אין אַדישאַן צו די ינטרוזשאַן קלאָץ, די פאלגענדע איז לאָנטשט:

זאַך.

א ענלעך טשעק אַקערז פיר מאל אַ טאָג, וואָס טוט נישט מאַסע סיסטעם רעסורסן.
ניצן די "-$ check_GRUB" באַפֿעל, אַ רעגע טשעק אַקערז אין קיין צייט אָן לאָגינג, אָבער מיט אינפֿאָרמאַציע רעזולטאַט צו די CLI.
ניצן די באַפֿעל "-$ sudo signature_GRUB", די GRUB2 שטיוול לאָודער / צעטיילונג איז גלייך שייַעך-געחתמעט און דערהייַנטיקט לאָגינג (נייטיק נאָך אַס / שטיוול דערהייַנטיקן), און לעבן גייט אויף.

ימפּלאַמענטיישאַן פון אַ כאַשינג אופֿן פֿאַר די באָאָטלאָאַדער און זייַן אָפּטיילונג

0) לאָמיר צייכן די GRUB באָאָטלאָאַדער / צעטיילונג דורך ערשטער מאַונטינג עס אין / מעדיע / נאמען

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) מיר מאַכן אַ שריפט אָן אַ פאַרלענגערונג אין דער וואָרצל פון די ינקריפּטיד אַס ~/פּאָדפּיס, צולייגן די נייטיק 744 זיכערהייט רעכט און פולפּראָאָף שוץ צו עס.

פילונג זייַן אינהאַלט

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

לויפן די שריפט פֿון su, די כאַשינג פון די GRUB צעטיילונג און זייַן באָאָטלאָאַדער וועט זיין אָפּגעשטעלט, ראַטעווען די קלאָץ.

לאָמיר שאַפֿן אָדער נאָכמאַכן, למשל, אַ "בייזע טעקע" [virus.mod] צו די GRUB2 צעטיילונג און לויפן אַ צייַטווייַליק יבערקוקן / פּראָבע:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

די CLI מוזן זען אַן ינוואַזיע פון ​​אונדזער -סיטאַדעל-# טריממעד קלאָץ אין CLI

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

# ווי איר קענען זען, "פילעס אריבערגעפארן: 1 און קאָנטראָלירן ניט אַנדערש", וואָס מיטל אַז די טשעק איז דורכגעקאָכט.
רעכט צו דער נאַטור פון די טעסטעד צעטיילונג, אַנשטאָט פון "נייַע טעקעס געפֿונען"> "Files אריבערגעפארן"

2) שטעלן די גיף דאָ > ~/warning.gif, שטעלן די פּערמישאַנז צו 744.

3) קאַנפיגיער פסטאַב צו אַוטאָמאָונט די GRUB צעטיילונג ביי שטיוול

-$ sudo nano /etc/fstab

LABEL = GRUB / מעדיע / נאמען / GRUB ext4 דיפאָלץ 0 0

4) ראָוטייטינג די קלאָץ

-$ sudo nano /etc/logrotate.d/podpis 

/var/log/podpis.txt {
טעגלעך
דרייען 50
גרייס 5 ם
דאַטעעקסט
קאָמפּרעס
דעלייַקאָמפּרעסס
olddir /var/log/old
}

/var/log/vtorjenie.txt {
כוידעשלעך
דרייען 5
גרייס 5 ם
דאַטעעקסט
olddir /var/log/old
}

5) לייג אַ אַרבעט צו קראַן

-$ sudo crontab -e

רעבאָאָט '/אַבאָנעמענט'
0 */6 * * * '/ פּאָדפּיס

6) שאפן שטענדיק ייליאַסיז

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

נאָך OS דערהייַנטיקן -$ apt-get upgrade שייַעך-צייכן אונדזער GRUB צעטיילונג
-$ подпись_GRUB
אין דעם פונט, כאַשינג שוץ פון די GRUB צעטיילונג איז גאַנץ.

[ד] ווייפּינג - צעשטערונג פון אַנענקריפּטיד דאַטן

ויסמעקן דיין פערזענלעכע טעקעס אַזוי גאָר אַז "ניט אפילו גאָט קענען לייענען זיי," לויט דרום קאראליינע ספּאָוקסמאַן טריי גאָוודי.

ווי געוויינטלעך, עס זענען פאַרשידן "מיטס און אגדות", וועגן ריסטאָרינג דאַטן נאָך עס איז אויסגעמעקט פון אַ שווער פאָר. אויב איר גלויבן אין סייבערוויטשקראַפט, אָדער איר זענט אַ מיטגליד פון דער דר וועב קהל און האָבן קיינמאָל געפרוווט דאַטן אָפּזוך נאָך עס איז אויסגעמעקט / אָוווערריטאַן (למשל, אָפּזוך ניצן R-studio), דעמאָלט דער פארגעלייגט אופֿן איז אַנלייקלי צו פּאַסן איר, נוצן וואָס איז קלאָוסאַסט צו איר.

נאָך הצלחה טראַנספערינג GNU / Linux צו אַ ינקריפּטיד צעטיילונג, די אַלט קאָפּיע מוזן זיין אויסגעמעקט אָן די מעגלעכקייט פון דאַטן אָפּזוך. וניווערסאַל רייניקונג אופֿן: ווייכווארג פֿאַר Windows / Linux פריי GUI ווייכווארג BleachBit.
שנעל פֿאָרמאַט די אָפּטיילונג, די דאַטן אויף וואָס דאַרף צו זיין חרובֿ (דורך Gparted) קאַטער BleachBit, סעלעקטירן "ריין פריי פּלאַץ" - סעלעקטירן דעם צעטיילונג (דיין sdaX מיט אַ פריערדיקן קאָפּיע פון ​​​​GNU/Linux), די סטריפּינג פּראָצעס וועט אָנהייבן. BleachBit - ווייפּס די דיסק אין איין פאָרן - דאָס איז וואָס "מיר דאַרפֿן", אָבער! דאָס אַרבעט בלויז אין טעאָריע אויב איר פאָרמאַטטעד דעם דיסק און ריין עס אין BB v2.0 ווייכווארג.

ופמערקזאַמקייַט! BB ווייפּס דעם דיסק און לאָזן מעטאַדאַטאַ; טעקע נעמען זענען אפגעהיט ווען דאַטן זענען ילימאַנייטאַד (Ccleaner - טוט נישט לאָזן מעטאַדאַטאַ).

און דער מיטאָס וועגן די מעגלעכקייט פון דאַטן אָפּזוך איז נישט לעגאַמרע אַ מיטאָס.Bleachbit V2.0-2 ערשטע אַנסטייבאַל אַס דעביאַן פּעקל (און קיין אנדערע ענלעך ווייכווארג: sfill; ווישן-Nautilus - זענען אויך באמערקט אין דעם גראָב געשעפט) אַקשלי האט אַ קריטיש זשוק: די "פריי פּלאַץ פּאָליאַנע" פֿונקציע עס אַרבעט פאַלש אויף הדד / פלאַש דרייווז (ntfs/ext4). ווייכווארג פון דעם מין, ווען קלירינג פריי פּלאַץ, טוט נישט אָווועררייט די גאנצע דיסק, ווי פילע יוזערז טראַכטן. און עטלעכע (פילע) אויסגעמעקט דאַטן אַס / ווייכווארג האלט די דאַטן ווי ניט-אויסגעמעקט / באַניצער דאַטן און ווען רייניקונג "אָספּ" עס סקיפּס די טעקעס. די פּראָבלעם איז אַז נאָך אַזאַ אַ לאַנג צייַט, רייניקונג די דיסק "אויסגעמעקט טעקעס" קענען זיין ריקאַווערד אפילו נאָך 3+ פּאַסיז פון ווישן די דיסק.
אויף GNU/Linux ביי Bleachbit 2.0-2 די פאַנגקשאַנז פון פּערמאַנאַנטלי דיליטינג טעקעס און דיירעקטעריז אַרבעט רילייאַבלי, אָבער נישט קלירינג פריי פּלאַץ. פֿאַר פאַרגלייַך: אויף Windows אין CCleaner די "OSP for ntfs" פֿונקציע אַרבעט רעכט, און גאָט טאַקע וועט נישט קענען צו לייענען אויסגעמעקט דאַטן.

און אַזוי, צו ונ דורך באַזייַטיקן "קאָמפּראָמיסן" אַלט אַנענקריפּטיד דאַטן, Bleachbit דאַרף דירעקט אַקסעס צו די דאַטן, דערנאָך, נוצן די "שטענדיק ויסמעקן טעקעס / דירעקטעריז" פֿונקציע.
צו באַזייַטיקן "אויסגעמעקט טעקעס ניצן נאָרמאַל אַס מכשירים" אין Windows, נוצן CCleaner / BB מיט די "OSP" פֿונקציע. אין GNU / לינוקס איבער דעם פּראָבלעם (מעקן אויסגעמעקטע טעקעס) איר דאַרפֿן צו באַקומען פיר אויף דיין אייגן (דיליטינג דאַטן + אַ פרייַ פּרווון צו ומקערן עס און איר זאָל נישט פאַרלאָזנ זיך די ווייכווארג ווערסיע (אויב נישט אַ לייענ - צייכן, דעמאָלט אַ זשוק)), בלויז אין דעם פאַל איר קענען פֿאַרשטיין די מעקאַניזאַם פון דעם פּראָבלעם און באַקומען באַפרייַען פון די אויסגעמעקט דאַטן גאָר.

איך האב נישט טעסטעד Bleachbit v3.0, דער פּראָבלעם קען זיין שוין פאַרפעסטיקט.
Bleachbit v2.0 אַרבעט האָנעסטלי.

אין דעם שריט, דיסק ווייפּינג איז גאַנץ.

[E] וניווערסאַל באַקאַפּ פון ינקריפּטיד אַס

יעדער באַניצער האט זייער אייגן אופֿן פון באַקינג אַרויף דאַטן, אָבער ינקריפּטיד סיסטעם אַס דאַטן ריקווייערז אַ ביסל אַנדערש צוגאַנג צו די אַרבעט. יונאַפייד ווייכווארג, אַזאַ ווי Clonezilla און ענלעך ווייכווארג, קענען נישט אַרבעטן גלייַך מיט ינקריפּטיד דאַטן.

דערקלערונג פון די פּראָבלעם פון באַקינג אַרויף ינקריפּטיד בלאָק דעוויסעס:

1. וניווערסאַליטי - דער זעלביקער באַקאַפּ אַלגערידאַם / ווייכווארג פֿאַר Windows / לינוקס;
2. די פיייקייט צו אַרבעטן אין די קאַנסאָול מיט קיין לעבן וסב GNU / לינוקס אָן די נויט פֿאַר נאָך ווייכווארג דאַונלאָודז (אָבער נאָך רעקאָמענדירן GUI);
3. זיכערהייט פון באַקאַפּ קאפיעס - סטאָרד "בילדער" מוזן זיין ינקריפּטיד / פּאַראָל-פּראָטעקטעד;
4. די גרייס פון די ינקריפּטיד דאַטן מוזן שטימען צו די גרייס פון די פאַקטיש דאַטן קאַפּיד;
5. באַקוועם יקסטראַקשאַן פון נייטיק טעקעס פון אַ באַקאַפּ קאָפּיע (קיין פאָדערונג צו דעקריפּט די גאנצע אָפּטיילונג ערשטער).

פֿאַר בייַשפּיל, באַקאַפּ / ומקערן דורך די "דד" נוצן

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

עס קאָראַספּאַנדז צו כּמעט אַלע פונקטן פון דער אַרבעט, אָבער לויט צו פונט 4 עס טוט נישט שטיין אַרויף צו קריטיק, ווייַל עס קאַפּיז די גאנצע דיסק צעטיילונג, אַרייַנגערעכנט פריי פּלאַץ - ניט טשיקאַווע.

פֿאַר בייַשפּיל, אַ GNU/Linux באַקאַפּ דורך די אַרטשיווער [טאַר" | gpg] איז באַקוועם, אָבער פֿאַר Windows באַקאַפּ איר דאַרפֿן צו קוקן פֿאַר אן אנדער לייזונג - דאָס איז נישט טשיקאַווע.

E1. וניווערסאַל Windows / לינוקס באַקאַפּ. לינק rsync (Grsync) + VeraCrypt באַנדאַלגערידאַם פֿאַר קריייטינג אַ באַקאַפּ קאָפּיע:

1. קריייטינג אַ ינקריפּטיד קאַנטיינער (באנד / טעקע) וועראַקריפּט פֿאַר אַס;
2. אַריבערפירן / סינגקראַנייז די אַס ניצן Rsync ווייכווארג אין די VeraCrypt קריפּטאָ קאַנטיינער;
3. אויב נייטיק, ופּלאָאַדינג די VeraCrypt באַנד צו וווווו.

קריייטינג אַ ינקריפּטיד VeraCrypt קאַנטיינער האט זיין אייגענע קעראַקטעריסטיקס:
שאפן אַ דינאַמיש באַנד (שאַפונג פון DT איז בלויז בנימצא אין Windows, קענען אויך זיין געוויינט אין GNU / Linux);
שאַפֿן אַ רעגולער באַנד, אָבער עס איז אַ פאָדערונג פון אַ "פּאַראַנאָיד כאַראַקטער" (לויט די דעוועלאָפּער) - פֿאָרמאַטירונג פון קאַנטיינער.

א דינאַמיש באַנד איז באשאפן כּמעט טייקעף אין Windows, אָבער ווען קאַפּיינג דאַטן פֿון GNU / Linux> VeraCrypt DT, די קוילעלדיק פאָרשטעלונג פון די באַקאַפּ אָפּעראַציע דיקריסאַז באטייטיק.

א רעגולער 70 GB Twofish באַנד איז באשאפן (לאָמיר נאָר זאָגן, אויף דורכשניטלעך פּיסי מאַכט) צו הדד ~ אין האַלב אַ שעה (אָוועררייטינג די ערשטע קאַנטיינער דאַטן אין איין פאָרן איז רעכט צו זיכערהייט רעקווירעמענץ). די פונקציע פון ​​​​גיך פאָרמאַטטינג אַ באַנד ווען קריייטינג עס איז אַוועקגענומען פון VeraCrypt Windows / Linux, אַזוי קריייטינג אַ קאַנטיינער איז בלויז מעגלעך דורך "איין-פאָרן רירייטינג" אָדער קריייטינג אַ נידעריק-פאָרשטעלונג דינאַמיש באַנד.

שאַפֿן אַ רעגולער VeraCrypt באַנד (ניט דינאַמיש / ntfs), עס זאָל נישט זיין קיין פראבלעמען.

קאַנפיגיער / שאַפֿן / עפֿענען אַ קאַנטיינער אין VeraCrypt GUI> GNU / Linux לעבן וסב (דער באַנד וועט זיין אַוטאָמאָונטעד צו / media/veracrypt2, די Windows OS באַנד וועט זיין מאָונטעד צו / media/veracrypt1). קריייטינג אַ ינקריפּטיד באַקאַפּ פון Windows OS ניצן GUI rsync (גרסינק)דורך טשעק די באָקסעס.

וואַרטן פֿאַר די פּראָצעס צו פאַרענדיקן. אַמאָל די באַקאַפּ איז גאַנץ, מיר וועלן האָבן איין ינקריפּטיד טעקע.

סימילאַרלי, מאַכן אַ באַקאַפּ קאָפּיע פון ​​די GNU / לינוקס אַס דורך ונטשעקק די "ווינדאָוז קאַמפּאַטאַבילאַטי" טשעקקבאָקס אין די rsync GUI.

ופמערקזאַמקייַט! שאַפֿן אַ וועראַקיפּט קאַנטיינער פֿאַר "GNU / Linux באַקאַפּ" אין דער טעקע סיסטעם עקסטקסנומקס. אויב איר מאַכן אַ באַקאַפּ צו אַ ntfs קאַנטיינער, ווען איר ומקערן אַזאַ אַ קאָפּיע, איר וועט פאַרלירן אַלע רעכט / גרופּעס צו אַלע דיין דאַטן.

אַלע אַפּעריישאַנז קענען זיין דורכגעקאָכט אין די וואָקזאַל. יקערדיק אָפּציעס פֿאַר rsync:
* -ג -היט גרופּעס;
* -P — פּראָגרעס — סטאַטוס פון די צייט פארבראכט ארבעטן אויף דער טעקע;
* -ה - קאָפּיע כאַרדלינקס ווי איז;
* -אַ -אַרקייוו מאָדע (קייפל rlptgoD פלאַגס);
* -וו -ווערבאַליזיישאַן.

אויב איר ווילן צו אָנקלאַפּן אַ "Windows VeraCrypt באַנד" דורך די קאַנסאָול אין די קריפּטסעטאַפּ ווייכווארג, איר קענען מאַכן אַן אַליאַס (סו)

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

איצט די "וועראַמאַונט בילדער" באַפֿעל וועט פּינטלעך איר צו אַרייַן אַ פּאַסספראַסע, און די ינקריפּטיד Windows סיסטעם באַנד וועט זיין מאָונטעד אין די אַס.

מאַפּע / בארג VeraCrypt סיסטעם באַנד אין קריפּטסעטאַפּ באַפֿעל

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

מאַפּע / בארג וועראַקריפּט צעטיילונג / קאַנטיינער אין קריפּטסעטאַפּ באַפֿעל

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

אַנשטאָט פון אַליאַס, מיר וועלן לייגן (אַ שריפט צו סטאַרטאַפּ) אַ סיסטעם באַנד מיט Windows OS און אַ לאַדזשיקאַל ענקריפּטיד ntfs דיסק צו GNU / Linux סטאַרטאַפּ

שאַפֿן אַ שריפט און ראַטעווען עס אין ~/VeraOpen.sh

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

מיר פאַרשפּרייטן די "ריכטיגע" רעכט:

sudo chmod 100 /VeraOpen.sh

שאַפֿן צוויי יידעניקאַל טעקעס (זעלביקער נאָמען!) אין /etc/rc.local און ~/etc/init.d/rc.local
פילונג די טעקעס

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

מיר פאַרשפּרייטן די "ריכטיגע" רעכט:

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local 

אַז ס עס, איצט ווען לאָודינג GNU / לינוקס מיר טאָן ניט דאַרפֿן צו אַרייַן פּאַסווערדז צו אָנקלאַפּן ינקריפּטיד ntfs דיסקס, די דיסקס זענען מאָונטעד אויטאָמאַטיש.

א באַמערקונג בעקיצער וועגן וואָס איז דיסקרייבד אויבן אין פּאַראַגראַף E1 שריט דורך שריט (אָבער איצט פֿאַר OS GNU / Linux)
1) שאַפֿן אַ באַנד אין fs ext4> 4gb (פֿאַר טעקע) לינוקס אין וועראַקיפּט [קריפּטבאָקס].
2) רעבאָאָט צו לעבן וסב.
3) ~$ קריפּטסעטאַפּ עפענען /dev/sda7 Lunux #מאַפּינג ענקריפּטיד צעטיילונג.
4) ~$ בארג /dev/mapper/Linux /mnt #בארג די ינקריפּטיד צעטיילונג צו /mnt.
5) ~$ mkdir mnt2 # קריייטינג אַ וועגווייַזער פֿאַר אַ צוקונפֿט באַקאַפּ.
6) ~$ קריפּטסעטאַפּ עפענען —veracrypt —טיפּ tcrypt ~/CryptoBox CryptoBox && אָנקלאַפּן /dev/mapper/CryptoBox /mnt2 #מאַפּע אַ וועראַקיפּט באַנד מיטן נאָמען "CryptoBox" און אָנקלאַפּן די CryptoBox צו /mnt2.
7) ~$ rsync -avlxhHX — פּראָגרעס / mnt / mnt2/ # באַקקופּ אָפּעראַציע פון ​​אַ ינקריפּטיד צעטיילונג צו אַ ינקריפּטיד וועראַקיפּט באַנד.

(פּ/ש/ ופמערקזאַמקייַט! אויב איר אַריבערפירן ענקריפּטיד GNU / לינוקס פון איין אַרקאַטעקטשער / מאַשין צו אנדערן, למשל, Intel> AMD (דאָס איז, דיפּלויינג אַ באַקאַפּ פון איין ינקריפּטיד צעטיילונג צו אן אנדער ינקריפּטיד Intel> AMD צעטיילונג), דו זאלסט נישט פאַרגעסן נאָך טראַנספערינג די ינקריפּטיד אַס, רעדאַגירן די סוד פאַרטרעטער שליסל אַנשטאָט פון די פּאַראָל, אפֿשר. דער פריערדיקער שליסל ~/etc/skey - וועט ניט מער פּאַסיק אן אנדער ינקריפּטיד צעטיילונג, און עס איז נישט קעדייַיק צו שאַפֿן אַ נייַע שליסל "cryptsetup luksAddKey" פֿון אונטער chroot - אַ גליטש איז מעגלעך, נאָר אין ~/etc/crypttab ספּעציפיצירן אַנשטאָט פון "/etc/skey" טעמפּערעראַלי "קיין" ", נאָך רעבאָאָט און לאָגינג אין די אַס, ריקריייט דיין סוד ווילדקאַרד שליסל ווידער).

ווי עס וועטעראַנס, געדענקען צו מאַכן באַקאַפּס סעפּעראַטלי פון די כעדערז פון ינקריפּטיד Windows / Linux OS פּאַרטישאַנז, אָדער די ענקריפּשאַן וועט קער זיך קעגן איר.
אין דעם שריט, די באַקאַפּ פון די ינקריפּטיד אַס איז געענדיקט.

[F] באַפאַלן אויף די GRUB2 באָאָטלאָאַדער

פרטיםאויב איר האָט פּראָטעקטעד דיין באָאָטלאָאַדער מיט אַ דיגיטאַל כסימע און / אָדער אָטענטאַקיישאַן (זען פונט C6.), דעמאָלט דאָס וועט נישט באַשיצן קעגן גשמיות אַקסעס. ענקריפּטיד דאַטן וועט נאָך זיין ינאַקסעסאַבאַל, אָבער די שוץ וועט זיין בייפּאַסט (באַשטעטיק דיגיטאַל כסימע שוץ) GRUB2 אַלאַוז אַ סייבער ראָשע צו אַרייַנשפּריצן זיין קאָד אין די באָאָטלאָאַדער אָן רייזינג חשד (סייַדן דער באַניצער מאַניואַלי מאָניטאָרס די באָאָטלאָאַדער שטאַט, אָדער קומט מיט זייער אייגן געזונט אַרביטראַריש שריפט קאָד פֿאַר grub.cfg).

באַפאַלן אַלגערידאַם. ינטרודער

* בוץ פּיסי פֿון לעבן וסב. קיין ענדערונג (העלטער) טעקעס וועט געבנ צו וויסן די פאַקטיש באַזיצער פון די פּיסי וועגן די ינטרוזשאַן אין די באָאָטלאָאַדער. אָבער אַ פּשוט ריינסטאַללאַטיאָן פון GRUB2 בעכעסקעם grub.cfg (און די סאַבסאַקוואַנט פיייקייט צו רעדאַגירן עס) וועט לאָזן אַן אַטאַקער צו רעדאַגירן קיין טעקעס (אין דעם סיטואַציע, ווען לאָודינג GRUB2, דער פאַקטיש באַניצער וועט נישט זיין נאָוטאַפייד. דער סטאַטוס איז דער זעלביקער )
* מאַונץ אַן אַנענקריפּטיד צעטיילונג, סטאָרז "/mnt/boot/grub/grub.cfg".
* ריינסטאַל די באָאָטלאָאַדער (רימוווינג "פּערסקיי" פון די core.img בילד)

grub-install --force --root-directory=/mnt /dev/sda6

* רעטורנס "grub.cfg"> "/mnt/boot/grub/grub.cfg", רעדאַגירן עס אויב נייטיק, פֿאַר בייַשפּיל, אַדינג דיין מאָדולע "keylogger.mod" צו דער טעקע מיט לאָודער מאַדזשולז, אין "grub.cfg" > שורה "ינסמאָד קיילאָגגער". אָדער, פֿאַר בייַשפּיל, אויב די פייַנט איז כיטרע, דעמאָלט נאָך ריינסטאַל גרוב2 (אלע סיגנאַטשערז בלייבן אין פּלאַץ) עס בויען די הויפּט GRUB2 בילד ניצן "grub-mkimage מיט אָפּציע (-c)." די "-c" אָפּציע וועט לאָזן איר צו לאָדן דיין קאַנפיגיער איידער לאָודינג די הויפּט "grub.cfg". די קאַנפיגיעריישאַן קענען צונויפשטעלנ זיך פון בלויז איין שורה: רידערעקשאַן צו קיין "modern.cfg", געמישט, למשל, מיט ~ 400 טעקעס (מאָדולעס + סיגנאַטשערז) אין דער טעקע "/boot/grub/i386-pc". אין דעם פאַל, אַ אַטאַקער קענען אַרייַנלייגן אַרביטראַריש קאָד און לאָדן מאַדזשולז אָן אַפעקטינג "/boot/grub/grub.cfg", אפילו אויב דער באַניצער האָט געווענדט "hashsum" צו דער טעקע און טעמפּערעראַלי געוויזן עס אויף דעם עקראַן.
אַ אַטאַקער וועט נישט דאַרפֿן צו כאַק די GRUB2 סופּערוסער לאָגין / פּאַראָל; ער וועט נאָר דאַרפֿן צו נאָכמאַכן די שורות (פאַראַנטוואָרטלעך פֿאַר אָטענטאַקיישאַן) "/boot/grub/grub.cfg" צו דיין "modern.cfg"

שטעלן סופּערוסערס = "שורש"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

און די פּיסי באַזיצער וועט נאָך זיין אָטענטאַקייטאַד ווי די GRUB2 סופּערוסער.

קייט לאָודינג (באָאָטלאָאַדער לאָודז אן אנדער באָאָטלאָאַדער), ווי איך געשריבן אויבן, טוט נישט מאַכן זינען (עס איז בדעה פֿאַר אַ אַנדערש ציל). ענקריפּטיד באָאָטלאָאַדער קענען ניט זיין לאָודיד רעכט צו בייאָוס (קייט שטיוול ריסטאַרט GRUB2> ענקריפּטיד GRUB2, טעות!). אָבער, אויב איר נאָך נוצן דעם געדאַנק פון לאָודינג קייט, איר קענען זיין זיכער אַז עס איז די ינקריפּטיד איינער וואָס איז לאָודיד. (ניט מאַדערנייזד) "grub.cfg" פֿון די ינקריפּטיד צעטיילונג. און דאָס איז אויך אַ פאַלש געפיל פון זיכערהייט, ווייַל אַלץ וואָס איז אנגעוויזן אין די ינקריפּטיד "grub.cfg" (מאָדולע לאָודינג) מוסיף אַרויף צו מאַדזשולז וואָס זענען לאָודיד פֿון אַנענקריפּטיד GRUB2.

אויב איר ווילן צו קאָנטראָלירן דעם, אַלאַקייט / ענקריפּט אן אנדער צעטיילונג sday, קאָפּיע GRUB2 צו עס (גרוב-ינסטאַלירן אָפּעראַציע אויף אַ ינקריפּטיד צעטיילונג איז ניט מעגלעך) און אין "grub.cfg" (ונענקריפּטיד קאַנפיגיעריישאַן) טוישן שורות ווי די

menuentry 'GRUBx2' --class papegaai --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
load_video
insmod gzio
אויב [קס$ גרוב_פּלאַטפאָרמע = קססען]; דעמאָלט insmod xzio; insmod lzopio; fi
ינסמאָד פּאַרט_מסדאָס
ינסמאָד קריפּטאָדיסק
insmod lux
ינסמאָד גקרי_טוואָפיש
ינסמאָד גקרי_טוואָפיש
ינסמאָד gcry_sha512
ינסמאָד עקסט 2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
נאָרמאַל /boot/grub/grub.cfg
}

שורות
* ינסמאָד - לאָודינג די נייטיק מאַדזשולז פֿאַר ארבעטן מיט אַ ינקריפּטיד דיסק;
* GRUBx2 - נאָמען פון די שורה געוויזן אין די GRUB2 שטיוול מעניו;
* קריפּטאָמאָונט -u 15c47d1c4bd34e5289df77bcf60ee838 -זען. fdisk -l (sda9);
* שטעלן וואָרצל - ינסטאַלירן וואָרצל;
* נאָרמאַל /boot/grub/grub.cfg - עקסעקוטאַבלע קאַנפיגיעריישאַן טעקע אויף אַ ינקריפּטיד צעטיילונג.

בטחון אַז עס איז די ינקריפּטיד "grub.cfg" וואָס איז לאָודיד איז אַ positive ענטפער צו אַרייַן די פּאַראָל / אַנלאַקינג "סדאַי" ווען סעלינג די שורה "GRUBx2" אין די GRUB מעניו.

ווען איר אַרבעט אין די CLI, אַזוי נישט צו צעמישט (און טשעק אויב די "שטעלן וואָרצל" סוויווע בייַטעוודיק געארבעט), שאַפֿן ליידיק סימען טעקעס, פֿאַר בייַשפּיל, אין די ינקריפּטיד אָפּטיילונג "/shifr_grub", אין די אַנענקריפּטיד אָפּטיילונג "/noshifr_grub". טשעק אין די CLI

cat /Tab-Tab

ווי דערמאנט אויבן, דאָס וועט נישט העלפן צו דאַונלאָודינג בייזע מאַדזשולז אויב אַזאַ מאַדזשולז ענדיקן אויף דיין פּיסי. פֿאַר בייַשפּיל, אַ קיילאָגגער וואָס וועט קענען צו ראַטעווען קיסטראָוקס צו אַ טעקע און מישן עס מיט אנדערע טעקעס אין "~/i386" ביז עס איז דאַונלאָודיד דורך אַ אַטאַקער מיט גשמיות אַקסעס צו די פּיסי.

די יזיאַסט וועג צו באַשטעטיקן אַז דיגיטאַל כסימע שוץ איז אַקטיוולי ארבעטן (נישט באַשטעטיק), און קיין איינער האט ינוויידיד די באָאָטלאָאַדער, אַרייַן די באַפֿעל אין די CLI

list_trusted

אין ענטפער מיר באַקומען אַ קאָפּיע פון ​​אונדזער "פּערסקיי", אָדער מיר באַקומען גאָרנישט אויב מיר זענען קעגן (איר אויך דאַרפֿן צו קאָנטראָלירן "סעט טשעק_סיגנאַטורע = ענפאָרסע").
א באַטייטיק כיסאָרן פון דעם שריט איז אַרייַן קאַמאַנדז מאַניואַלי. אויב איר לייגן דעם באַפֿעל צו "grub.cfg" און באַשיצן די קאָנפיג מיט אַ דיגיטאַל כסימע, די פּרילימאַנערי רעזולטאַט פון די שליסל מאָמענטבילד אויף דעם עקראַן איז צו קורץ אין טיימינג, און איר קען נישט האָבן צייט צו זען די רעזולטאַט נאָך לאָודינג GRUB2 .
עס איז קיין איינער אין באַזונדער צו מאַכן קליימז צו: דער דעוועלאָפּער אין זיין דאַקיומענטיישאַן פּונקט 18.2 אָפפיסיאַללי דערקלערט

"באַמערקונג אַז אפילו מיט GRUB פּאַראָל שוץ, GRUB זיך קען נישט פאַרמיידן עמעצער מיט פיזיש אַקסעס צו די מאַשין פון ענדערן די פירמוואַרע פון ​​די מאַשין (למשל קאָרעבאָאָט אָדער בייאָוס) קאַנפיגיעריישאַן צו פאַרשאַפן די מאַשין צו שטיוול פֿון אַ אַנדערש (אַטאַקער קאַנטראָולד) מיטל. GRUB איז אין בעסטער בלויז איין לינק אין אַ זיכער שטיוול קייט."

GRUB2 איז צו אָוווערלאָודיד מיט פאַנגקשאַנז וואָס קענען געבן אַ געפיל פון פאַלש זיכערהייט, און זיין אַנטוויקלונג האט שוין אַוטסטריפּט MS-DOS אין טערמינען פון פאַנגקשאַנאַליטי, אָבער עס איז נאָר אַ באָאָטלאָאַדער. עס איז מאָדנע אַז GRUB2 - "מאָרגן" קענען ווערן די אַס, און באָאָטאַבלע GNU / Linux ווירטואַל מאשינען פֿאַר עס.

א קורץ ווידעא וועגן ווי איך באַשטעטיק די GRUB2 דיגיטאַל כסימע שוץ און דערקלערט מיין ינטרוזשאַן צו אַ פאַקטיש באַניצער (איך האָב דיר דערשראָקן, אָבער אַנשטאָט פון וואָס איז געוויזן אין די ווידעא, איר קענען שרייַבן ניט-משעדלעך אַרביטראַריש קאָד /.מאָד).

קאַנקלוזשאַנז:

1) פאַרשפּאַרן סיסטעם ענקריפּשאַן פֿאַר Windows איז גרינגער צו ינסטרומענט, און שוץ מיט איין פּאַראָל איז מער באַקוועם ווי שוץ מיט עטלעכע פּאַסווערדז מיט GNU/Linux בלאָק סיסטעם ענקריפּשאַן, צו זיין שיין: די יענער איז אָטאַמייטיד.

2) איך געשריבן דעם אַרטיקל ווי באַטייַטיק און דיטיילד simple אַ וועגווייַזער צו פול-דיסק ענקריפּשאַן VeraCrypt / LUKS אויף איין היים מאַשין, וואָס איז ביי ווייַט דער בעסטער אין RuNet (IMHO). דער פירער איז > 50 ק אותיות לאַנג, אַזוי עס האט נישט דעקן עטלעכע טשיקאַווע טשאַפּטערז: קריפּטאָגראַפערס וואָס פאַרשווינדן / האַלטן אין די שאַדאָוז; וועגן דעם וואס אין פארשידענע גנו/לינוקס ביכער שרייבט מען ווייניג / שרייבט נישט וועגן קריפטאגראפיע; וועגן אַרטיקל 51 פון די קאָנסטיטוטיאָן פון די רוסישע פעדעריישאַן; אָ לייסאַנסינג/ פאַרבאָט ענקריפּשאַן אין די רוסישע פעדעריישאַן, וועגן וואָס איר דאַרפֿן צו ענקריפּט "וואָרצל / שטיוול". דער פירער איז געווען גאַנץ ברייט, אָבער דיטיילד. (דיסקרייבינג אפילו פּשוט סטעפּס), אין קער, דאָס וועט ראַטעווען איר אַ פּלאַץ פון צייט ווען איר באַקומען צו די "פאַקטיש ענקריפּשאַן".

3) גאַנץ דיסק ענקריפּשאַן איז דורכגעקאָכט אויף Windows 7 64; GNU/Linux Parrot 4x; GNU/Debian 9.0/9.5.

4) ימפּלאַמענטאַד אַ מצליח באַפאַלן אויף זיין GRUB2 באָאָטלאָאַדער.

5) טוטאָריאַל איז געווען באשאפן צו העלפן אַלע די פּאַראַנאָיד מענטשן אין די סיס, ווו ארבעטן מיט ענקריפּשאַן איז דערלויבט אויף די לעגיסלאַטיווע מדרגה. און בפֿרט פֿאַר יענע וואָס ווילן צו ויסשליסן פול-דיסק ענקריפּשאַן אָן דימאַלישינג זייער קאַנפיגיערד סיסטעמען.

6) ריווערקט און דערהייַנטיקט מיין מאַנואַל, וואָס איז באַטייַטיק אין 2020.

[ג] נוציק דאַקיומענטיישאַן

1. TrueCrypt באַניצער גייד (פעברואר 2012 רו)
2. VeraCrypt דאָקומענטאַטיאָן
3. /usr/share/doc/cryptsetup(-run) [היגע מיטל] (באַאַמטער דיטיילד דאַקיומענטיישאַן אויף באַשטעטיקן GNU / לינוקס ענקריפּשאַן ניצן קריפּטסעטאַפּ)
4. באַאַמטער FAQ קריפּטסעטאַפּ (קורץ דאַקיומענטיישאַן אויף באַשטעטיקן GNU / לינוקס ענקריפּשאַן ניצן קריפּטסעטאַפּ)
5. LUKS מיטל ענקריפּשאַן (אַרטשלינוקס דאַקיומענטיישאַן)
6. דיטיילד באַשרייַבונג פון קריפּטסעטופּ סינטאַקס (אַרטש מענטש בלאַט)
7. דיטיילד באַשרייַבונג פון קריפּטאַב (אַרטש מענטש בלאַט)
8. באַאַמטער GRUB2 דאַקיומענטיישאַן.

טאַגס: פול דיסק ענקריפּשאַן, צעטיילונג ענקריפּשאַן, לינוקס פול דיסק ענקריפּשאַן, LUKS1 פול סיסטעם ענקריפּשאַן.

בלויז רעגיסטרירט ניצערס קענען אָנטייל נעמען אין די יבערבליק. סיין ארייןביטע.

זענט איר ענקריפּטינג?

• קסנומקס%איך ענקריפּט אַלץ איך קענען. איך בין פּאַראַנאָיד.14

• קסנומקס%איך נאָר ענקריפּט וויכטיק דאַטאַ.28

• קסנומקס%מאל איך ענקריפּט, מאל איך פאַרגעסן.12

• קסנומקס%ניין, איך טאָן ניט ינקריפּט, עס איז ומבאַקוועם און טייַער.28

82 באנוצער האבן געשטימט. 22 באנוצער האבן זיך אפגעהאלטן.

מקור: www.habr.com