🌰 💇🏼 💅 विंडोज लिनक्स स्थापित सिस्टम का फुल डिस्क एन्क्रिप्शन। एन्क्रिप्ट किया गया मल्टीबूट 👲🏿 🗣️ 🕚

Runet V0.2 में फुल डिस्क एन्क्रिप्शन के लिए अपने स्वयं के गाइड को अपडेट किया

चरवाहे की रणनीति:

[ए] विंडोज 7 स्थापित सिस्टम का ब्लॉक सिस्टम एन्क्रिप्शन;
[बी] जीएनयू / लिनक्स ब्लॉक सिस्टम एनक्रिप्शन (डेबियन) इनस्टॉल सिस्टम (बूट / सहित) ;
[सी] GRUB2 सेटअप, डिजिटल हस्ताक्षर / प्रमाणीकरण / हैशिंग द्वारा बूटलोडर सुरक्षा;
[डी] अलग करना - अनएन्क्रिप्टेड डेटा का विनाश;
[ई] एन्क्रिप्टेड ओएस का सार्वभौमिक बैकअप;
[एफ] हमला <पी पर। [C6]> लक्ष्य बूट लोडर GRUB2 है;
[जी] उपयोगी दस्तावेज।

MBCircuit # कमरे 40 # <BIOS / MBR / 1HDD बिना lvm>:
├──╼ विंडोज 7 स्थापित - पूर्ण सिस्टम एन्क्रिप्शन, छिपा नहीं;
├──╼ जीएनयू / लिनक्स स्थापित (डेबियन और व्युत्पन्न वितरण) - पूर्ण सिस्टम एन्क्रिप्शन छिपा नहीं है (/, सहित / बूट; स्वेट) ;
├──╼ स्वतंत्र बूटलोडर्स: एमबीआर में स्थापित वेराक्रिप्ट बूटलोडर, विस्तारित विभाजन में स्थापित GRUB2 बूटलोडर;
├──╼ ओएस स्थापना / पुनर्स्थापना की आवश्यकता नहीं है;
└──╼ क्रिप्टोग्राफिक सॉफ्टवेयर का उपयोग किया: VeraCrypt; cryptsetup; GnuPG; समुद्री घोड़े; Hashdeep; GRUB2 - मुफ्त / मुफ्त।

उपरोक्त योजना आंशिक रूप से "रिमोट बूट टू फ्लैश ड्राइव" की समस्या को हल करती है, आपको एन्क्रिप्टेड ओएस विंडोज / लिनक्स का आनंद लेने और "एन्क्रिप्टेड चैनल" के माध्यम से एक ओएस से दूसरे में डेटा का आदान-प्रदान करने की अनुमति देती है।

पीसी बूट ऑर्डर (विकल्पों में से एक):

मशीन को चालू करना;
VeraCrypt बूटलोडर लोड करना (सही पासवर्ड दर्ज करना विंडोज 7 लोड करना जारी रखेगा) ;
Esc कुंजी दबाने से GRUB2 बूटलोडर लोड हो जाएगा;
GRUB2 लोडर (वितरण / GNU / Linux / CLI का विकल्प) , GRUB2 सुपरयुसर के प्रमाणीकरण की आवश्यकता होगी <लॉगिन / पासवर्ड>;
वितरण किट के सफल प्रमाणीकरण और चयन के बाद, आपको "/boot/initrd.img" अनलॉक करने के लिए पासफ़्रेज़ दर्ज करना होगा;
GRUB2 में त्रुटि-मुक्त पासवर्ड दर्ज करने के बाद, "पासवर्ड दर्ज करना" (तीसरा, BIOS पासवर्ड या GNU / Linux उपयोगकर्ता खाता पासवर्ड - विचार नहीं) जीएनयू / लिनक्स ओएस को अनलॉक करने और लोड करने के लिए आवश्यक है, या स्वचालित रूप से एक गुप्त कुंजी (दो पासवर्ड + कुंजी, या प्रतिस्थापित कर रहा है) पासवर्ड + कुंजी) ;
GRUB2 कॉन्फ़िगरेशन में बाहरी घुसपैठ GNU / Linux बूट प्रक्रिया को फ्रीज कर देगा।

परेशानी? ठीक है, चलो प्रक्रियाओं को स्वचालित करते हैं।

हार्ड डिस्क (एमबीआर टेबल) को चिह्नित करते समय , पीसी में 4 से अधिक मुख्य विभाजन नहीं हो सकते हैं, या 3 मुख्य और एक विस्तारित, साथ ही एक असंबद्ध क्षेत्र भी हो सकता है। एक विस्तारित विभाजन, मुख्य एक के विपरीत, उपखंड (तार्किक ड्राइव = विस्तारित विभाजन) हो सकते हैं । दूसरे शब्दों में, एचडीडी पर "विस्तारित विभाजन" वर्तमान कार्य के लिए LVM की जगह लेता है: पूर्ण सिस्टम एन्क्रिप्शन। यदि आपकी डिस्क को 4 मुख्य विभाजनों में विभाजित किया गया है, तो आपको lvm का उपयोग करने की आवश्यकता है, या तो मुख्य से विस्तारित तक विभाजन को स्वरूपित करें ( या स्वरूपण के साथ) , या सभी चार विभाजनों का बुद्धिमानी से उपयोग करें और सब कुछ छोड़ दें जैसा कि वांछित परिणाम प्राप्त कर रहा है। यहां तक कि अगर आपके पास डिस्क पर एक विभाजन है, तो Gparted डेटा खोए बिना HDD (अतिरिक्त विभाजनों में) को विभाजित करने में मदद करेगा, लेकिन फिर भी ऐसे कार्यों के लिए एक छोटी सी कीमत के साथ।

हार्ड डिस्क का लेआउट, जिसके बारे में पूरा लेख मौखिक होगा, नीचे तालिका में प्रस्तुत किया गया है।

1Tb वर्गों की तालिका (संख्या 1)।

कुछ ऐसा ही आपके साथ होना चाहिए।
sda1 - मुख्य विभाजन №1 NTFS (एन्क्रिप्टेड) ;
sda2 - विस्तारित मार्कर अनुभाग;
sda6 - तार्किक ड्राइव (GRUB2 बूट लोडर उस पर स्थापित है);
sda8 - स्वैप (एन्क्रिप्टेड स्वैप फ़ाइल / हमेशा नहीं);
sda9 - तार्किक ड्राइव का परीक्षण;
sda5 - जिज्ञासु के लिए तार्किक ड्राइव;
sda7 - जीएनयू / लिनक्स ओएस (एक एन्क्रिप्टेड तार्किक ड्राइव में ओएस को पोर्ट किया गया);
sda3 - विंडोज 7 (एन्क्रिप्टेड) के साथ मुख्य खंड नंबर 2;
sda4 मुख्य विभाजन संख्या 3 है (इसमें अनएन्क्रिप्टेड GNU / लिनक्स शामिल है, इसका उपयोग बैकअप के लिए किया जाता है / हमेशा नहीं) ।

[ए] विंडोज 7 ब्लॉक सिस्टम एन्क्रिप्शन

A1। VeraCrypt

आधिकारिक वेबसाइट से या सोर्सफोर्गे मिरर से VeraCrypt क्रिप्टोग्राफिक सॉफ़्टवेयर का इंस्टॉलेशन संस्करण डाउनलोड करें (लेख v1.24-Update3 के प्रकाशन के समय, VeraCrypt का पोर्टेबल संस्करण सिस्टम एन्क्रिप्शन के लिए उपयुक्त नहीं है) । डाउनलोड किए गए सॉफ़्टवेयर के चेकसम को देखें

$ Certutil -hashfile "C:\VeraCrypt Setup 1.24.exe" SHA256

और VeraCrypt डेवलपर की वेबसाइट पर पोस्ट किए गए CS के साथ परिणाम की तुलना करें।

यदि हैशटैब सॉफ़्टवेयर स्थापित किया गया है, तो यह और भी सरल है: RMB (VeraCrypt सेटअप 1.24.exe) - फाइलों के योग के हैश गुण ।

कार्यक्रम के हस्ताक्षर को सत्यापित करने के लिए, सिस्टम में सॉफ़्टवेयर स्थापित होना चाहिए और gnPG डेवलपर की सार्वजनिक pgp कुंजी; gpg4win

ए 2। VeraCrypt एडमिनिस्ट्रेटर सॉफ़्टवेयर की स्थापना / लॉन्च

ए 3। सक्रिय विभाजन के लिए सिस्टम एन्क्रिप्शन विकल्प का चयन करना

VeraCrypt - सिस्टम - सिस्टम विभाजन / डिस्क को एन्क्रिप्ट करें - सामान्य - विंडोज सिस्टम विभाजन को एन्क्रिप्ट करें - मल्टीबूट - (चेतावनी: "अनुभवहीन उपयोगकर्ताओं को इस पद्धति का उपयोग करने की अनुशंसा नहीं की जाती है" और यह सच है, हम सहमत हैं "हाँ") - बूट डिस्क ("हाँ", भले ही ऐसा नहीं है, वैसे भी "हाँ") - सिस्टम डिस्क की संख्या "2 या अधिक" - एक डिस्क पर कई सिस्टम "हाँ" - विंडोज बूटलोडर "नहीं" (लेकिन वास्तव में "हाँ"! अन्यथा, VeraCrypt / GRUB2 बूट करने वाले MBR साझा नहीं करेंगे! खुद के बीच, अधिक सटीक रूप से, एमबीआर / बूट ट्रैक में केवल बूटलोडर कोड का सबसे छोटा हिस्सा संग्रहीत होता है, इसका मुख्य भाग फ़ाइल सिस्टम के भीतर स्थित है) - मल्टीबूट - एन्क्रिप्शन सेटिंग्स ...

यदि आप उपरोक्त चरणों ( ब्लॉक सिस्टम एन्क्रिप्शन योजना) से विचलन करते हैं, तो VeraCrypt एक चेतावनी को रोल करेगा और विभाजन को एन्क्रिप्ट करने की अनुमति नहीं देगा।

अगले चरण में, डेटा सुरक्षा को लक्षित करने के लिए, "टेस्ट" करें और एन्क्रिप्शन एल्गोरिथ्म चुनें। यदि आपके पास एक गैर-आधुनिक सीपीयू है, तो शायद सबसे तेज ट्वोफिश एन्क्रिप्शन एल्गोरिदम होगा, इसे चुनें। यदि सीपीयू आधुनिक है, तो अंतर देखें: एईएस - परीक्षा परिणामों के अनुसार एन्क्रिप्शन अपने क्रिप्टो प्रतियोगियों की तुलना में कई गुना तेज होगा। एईएस सबसे लोकप्रिय एन्क्रिप्शन एल्गोरिदम है, आधुनिक सीपीयू का हार्डवेयर विशेष रूप से "गुप्त" ~~और "हैकिंग~~ " के लिए अनुकूलित है।

VeraCrypt AES (Twofish) / और अन्य संयोजनों के साथ ड्राइव को क्रिप्ट करने की क्षमता का समर्थन करता है। एक दशक पहले के पुराने-कोर इंटेल सीपीयू पर (एईएस-एनआई के लिए हार्डवेयर समर्थन के बिना, ए / टी कैस्केड के साथ एन्क्रिप्शन), प्रदर्शन में कमी अनिवार्य रूप से अस्वीकार्य है। (~ मापदंडों के समान युग के एएमडी सीपीयू के लिए, प्रदर्शन थोड़ा कम हो जाता है) । ओएस पारदर्शी है और पारदर्शी एन्क्रिप्शन के लिए संसाधन की खपत अदृश्य है। इसके विपरीत, उदाहरण के लिए, GNU / Linux में स्थापित डेस्कटॉप अस्थिर Mate v1.20.1 (या v1.20.2 मुझे ठीक से याद नहीं है) या विंडोज 7 में टेलीमेट्री वीड रुटीन के कारण प्रदर्शन में एक उल्लेखनीय कमी। आमतौर पर, परिष्कृत उपयोगकर्ता एन्क्रिप्शन से पहले हार्डवेयर प्रदर्शन पर परीक्षण करते हैं। उदाहरण के लिए, Aida64 / Sysbench / systemd-analysis दोष में, उनकी तुलना सिस्टम को क्रिप्ट करने के बाद समान परीक्षणों के परिणामों से की जाती है, जिससे स्वयं मिथक का खंडन होता है कि "सिस्टम एन्क्रिप्शन हानिकारक है"। एन्क्रिप्टेड डेटा का बैकअप लेने / बहाल करने पर मशीन की सुस्ती और असुविधा ध्यान देने योग्य है, क्योंकि "सिस्टम डेटा बैकअप" ऑपरेशन खुद एमएस में मापा नहीं जाता है, और उन्हीं को "मक्खी पर डिक्रिप्ट / एन्क्रिप्ट" जोड़ा जाता है। अंततः, प्रत्येक उपयोगकर्ता जिसे क्रिप्टोग्राफी के साथ गड़बड़ करने की अनुमति दी जाती है, वह उद्देश्यों को पूरा करने, अपने व्यामोह की डिग्री और उपयोग में आसानी के साथ एन्क्रिप्शन एल्गोरिथ्म का संतुलन सेट करता है।

पीआईएम पैरामीटर को डिफ़ॉल्ट रूप से छोड़ना बेहतर है, ताकि हर बार ओएस लोड करते समय आप पुनरावृत्तियों के सटीक मान दर्ज न करें। VeraCrypt वास्तव में "धीमी हैश" बनाने के लिए पुनरावृत्तियों की एक बड़ी संख्या का उपयोग करता है। ब्रूट बल / रेनबो टेबल विधि का उपयोग करके इस तरह के "क्रिप्टो घोंघा" पर हमला केवल "सरल" पासफ़्रेज़ और व्यक्तिगत शिकार की चारसेट-सूची के साथ समझ में आता है। पासवर्ड की शक्ति के लिए भुगतान - ओएस को बूट करते समय पासवर्ड सही ढंग से दर्ज करने में देरी (GNU / Linux में VeraCrypt संस्करणों को बढ़ाना बहुत तेज है)।
ब्रूट बल के हमलों को लागू करने के लिए मुफ्त सॉफ्टवेयर ( VeraCrypt / LUKS डिस्क हैडर से पासफ़्रेज़ को निकालते हुए ) Hashcat। जॉन द रिपर को नहीं पता कि "वेराक्रिप्ट को कैसे तोड़ें", और जब एलयूकेएस के साथ काम करते हैं, तो वे ट्वोफिश क्रिप्टोग्राफी को नहीं समझते हैं। वैसे, अन्य सभी मामलों में गैर-वाणिज्यिक सॉफ़्टवेयर के बीच, जेआरआर हैशटैट से बेहतर है।

एन्क्रिप्शन एल्गोरिदम की क्रिप्टोग्राफिक ताकत के कारण, अजेय सिफर बैंक और उनके एंटीपोड एक अलग हमले वेक्टर के साथ सॉफ्टवेयर विकसित करते हैं। उदाहरण के लिए, रैम (कोल्ड बूट अटैक / डायरेक्ट मेमोरी एक्सेस) से मेटाडेटा / कीज़ निकालना, पासवर्ड इंटरसेप्ट करते समय और नेटवर्क पैकेट भेजते समय LUKS हेडर चोरी करना, शायद कुछ और जो मुझे पता नहीं है। इन उद्देश्यों के लिए विशेष मुफ्त और गैर-मुक्त सॉफ़्टवेयर है।

एन्क्रिप्टेड सक्रिय विभाजन के "अद्वितीय मेटाडेटा" के कॉन्फ़िगरेशन / पीढ़ी के पूरा होने पर, VeraCrypt पीसी को पुनरारंभ करने और अपने बूटलोडर के प्रदर्शन का परीक्षण करने की पेशकश करेगा। विंडोज के रिबूट / स्टार्ट के बाद, VeraCrypt स्टैंडबाय मोड में लोड हो जाएगा, यह केवल एन्क्रिप्शन प्रक्रिया की पुष्टि करने के लिए रहता है - वाई।

सिस्टम एन्क्रिप्शन के अंतिम चरण में, VeraCrypt "Veracrypt बचाव disk.iso" के रूप में सक्रिय एन्क्रिप्टेड विभाजन के हेडर की एक बैकअप प्रतिलिपि बनाने की पेशकश करेगा - यह किया जाना चाहिए - इस सॉफ़्टवेयर में यह ऑपरेशन एक आवश्यकता है (LUKS में, आवश्यकता के रूप में, यह दुर्भाग्य से छोड़ा गया है, लेकिन जोर दिया है प्रलेखन में) । बचाव डिस्क सभी के लिए उपयोगी है, और किसी को एक से अधिक बार। डिस्क हेडर के बिना, ओएस हिलना, हारना (हेडर / एमबीआर) को अधिलेखित करना हेडर बैकअप स्थायी रूप से विंडोज ओएस के साथ डिक्रिप्टेड विभाजन तक पहुंच से वंचित करेगा।

ए 4। VeraCrypt usb / ड्राइव रेस्क्यू बनाना

डिफ़ॉल्ट रूप से, VeraCrypt एक सीडी में "~ 2-3mB मेटाडेटा" जलाने की पेशकश करता है, लेकिन सभी लोगों के पास ड्राइव या DWD-ROM ड्राइव नहीं हैं, और किसी के लिए बूट करने योग्य VeraCrypt बचाव डिस्क बनाने से तकनीकी आश्चर्य होगा - Rufus / GUIdd-ROSA ImageWriter और अन्य समान सॉफ्टवेयर टास्क का सामना नहीं कर पाएंगे, क्योंकि बूट किए गए USB फ्लैश ड्राइव में शिफ्ट किए गए मेटाडेटा को कॉपी करने के अलावा, आपको USB ड्राइव की फाइल सिस्टम के बाहर की छवि से कॉपी / पेस्ट बनाने की जरूरत है, संक्षेप में, एमबीआर / ट्रैक को सही ढंग से कॉपी करें। चाबी का गुच्छा। GNU / Linux के तहत, आप इस प्लेट को देखते हुए "dd" उपयोगिता का उपयोग करके एक बूट करने योग्य फ्लैश ड्राइव बना सकते हैं।

विंडोज वातावरण में रेस्क्यू डिस्क बनाना अलग है। VeraCrypt डेवलपर ने "रेस्क्यू डिस्क" के लिए आधिकारिक दस्तावेज़ीकरण में इस समस्या के समाधान को शामिल नहीं किया, लेकिन एक अन्य तरीके से एक समाधान प्रस्तावित किया: उसने अपने VeraCrypt फोरम पर मुफ्त पहुंच के लिए "usb बचाव डिस्क" बनाने के लिए अतिरिक्त सॉफ़्टवेयर पोस्ट किया। अद्यतन: 2020, डेवलपर ने "छोटी चीज़ों" पर दया ली और अपने दस्तावेज़ में आधिकारिक तौर पर USB बचाव डिस्क समाधान को शामिल किया।
बचाव डिस्क को बचाने के बाद। सक्रिय विभाजन के ब्लॉक सिस्टम एन्क्रिप्शन की प्रक्रिया शुरू हो जाएगी। एन्क्रिप्शन के दौरान, ओएस बंद नहीं होता है, एक पीसी रिबूट की आवश्यकता नहीं है। एन्क्रिप्शन ऑपरेशन पूरा होने पर, सक्रिय विभाजन पूरी तरह से एन्क्रिप्ट हो जाता है, आप इसका उपयोग कर सकते हैं। यदि पीसी शुरू करते समय वेराक्रिप्ट क्रिप्ट लोडर प्रकट नहीं होता है, और हेडर रिकवरी ऑपरेशन मदद नहीं करता है, तो "बूट" ध्वज की जांच करें, इसे उस विभाजन पर स्थापित किया जाना चाहिए जहां विंडोज मौजूद है (एन्क्रिप्शन और अन्य ओएस की परवाह किए बिना, तालिका 1 देखें)।
सिस्टम ड्राइव और एनटीएफएस तार्किक ड्राइव (एक ही पासवर्ड) को एन्क्रिप्ट करने के बाद, सभी एन्क्रिप्टेड ड्राइव को "सिस्टम पसंदीदा" में जोड़ें। अगला, "सेटिंग्स"> "सिस्टम पसंदीदा", "विंडोज शुरू होने पर माउंट सिस्टम पसंदीदा" बॉक्स की जांच करें, जब ओएस बूट होता है, तो सभी एनटीएफ डिस्क स्वचालित रूप से माउंट हो जाएंगे।
यह विंडोज के साथ ब्लॉक सिस्टम एन्क्रिप्शन का वर्णन पूरा करता है।

[ख] एलयूकेएस। जीएनयू / लिनक्स (~ डेबियन) स्थापित ओएस का एन्क्रिप्शन। एल्गोरिथ्म और कदम

स्थापित डेबियन / व्युत्पन्न वितरण को एन्क्रिप्ट करने के लिए, आपको तैयार विभाजन को एक वर्चुअल ब्लॉक डिवाइस पर मैप करना होगा, इसे मैप किए गए जीएनयू / लिनक्स ड्राइव पर स्थानांतरित करना होगा और जीआरयूबी 2 को स्थापित / कॉन्फ़िगर करना होगा। यदि आपके पास एक नंगे सर्वर नहीं है, और आप अपने समय को महत्व देते हैं, तो आपको GUI का उपयोग करने की आवश्यकता है, और नीचे वर्णित अधिकांश टर्मिनल कमांड को "चक-नॉरिस मोड" में संचालित करने का मतलब है।

बी 1। पीसी को लाइव यूएसबी GNU / लिनक्स से डाउनलोड करें

"लोहे के प्रदर्शन पर एक क्रिप्टो परीक्षण का संचालन करें"

 lscpu && ryptsetup benchmark

यदि आप एईएस-एनआई के लिए हार्डवेयर समर्थन के साथ एक शक्तिशाली कार के एक खुश मालिक हैं, तो नंबर टर्मिनल के दाईं ओर की तरह दिखेंगे, यदि आप खुश हैं, लेकिन एंटीक लोहे के साथ - बाईं ओर।

बी 2। एक डिस्क का विभाजन। एक्सटर् 4 (Gparted) में लॉजिकल ड्राइव HDD बढ़ते / स्वरूपण

B2.1। एक एन्क्रिप्टेड sda7 विभाजन हेडर बनाएँ

मैं ऊपर दिए गए मेरी खंड तालिका के अनुसार, इसके बाद के वर्गों का नाम बताऊंगा। आपके डिस्क लेआउट के अनुसार, आपको अपने विभाजन नामों को प्रतिस्थापित करना होगा।

लॉजिकल डिस्क एन्क्रिप्शन मैपिंग (/ dev / sda7> / dev / mapper / sda7_crypt)।
# "LUKS-AES-XTS विभाजन" की आसान रचना

 cryptsetup -v -y luksFormat /dev/sda7

विकल्प:

* luksFormat - LUKS हेडर का आरंभीकरण;
* -यह एक पासफ़्रेज़ है (कुंजी / फ़ाइल नहीं);
* -v -verbalization (टर्मिनल में सूचना उत्पादन);
* / देव / sda7 - विस्तारित विभाजन से आपकी तार्किक ड्राइव (उस स्थान पर जहां आप जीएनयू / लिनक्स को स्थानांतरित / एन्क्रिप्ट करने की योजना बनाते हैं) ।

डिफ़ॉल्ट रूप से, एन्क्रिप्शन एल्गोरिथ्म है <L UKS1: aes-xts-plain64, Key: 256 बिट्स, LUKS हेडर हैशिंग: sha256, RNG: / dev / urandom > ( cryptsup के संस्करण पर निर्भर करता है)।

 # default-  cryptsetup --help #     .

सीपीयू पर एईएस के लिए हार्डवेयर समर्थन की अनुपस्थिति में, एक विस्तारित "एलयूकेएस-ट्वोफिश-एक्सटीएस-विभाजन" का निर्माण सबसे अच्छा विकल्प है।

B2.2। "LUKS-Twofish-XTS विभाजन" की उन्नत रचना

 cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

विकल्प:
* luksFormat - LUKS हेडर का आरंभीकरण;
* / देव / sda7 आपका भविष्य एन्क्रिप्टेड तार्किक ड्राइव;
* -v मौखिककरण;
* एक पासफ़्रेज़ की पुष्टि के लिए मेरा अनुरोध;
* डेटा एन्क्रिप्शन एल्गोरिथ्म का -c चयन;
* -s एन्क्रिप्शन कुंजी आकार;
* -H हैशिंग एल्गोरिथ्म / क्रिप्टो फ़ंक्शन, जिसका उपयोग तार्किक ड्राइव हेडर, सेकेंडरी हेडर की (XTS) के लिए एक अद्वितीय एन्क्रिप्शन / डिक्रिप्शन कुंजी उत्पन्न करने के लिए RNG (--use-urandom) द्वारा किया जाता है; अद्वितीय मास्टर कुंजी डिस्क के एन्क्रिप्टेड हेडर में संग्रहीत, माध्यमिक XTS कुंजी, यह सब मेटाडेटा और एन्क्रिप्शन रूटीन, जो मास्टर कुंजी और सेकेंडरी XTS कुंजी एनक्रिप्ट का उपयोग करके / विभाजन पर किसी भी डेटा को डिक्रिप्ट करता है (विभाजन हेडर को छोड़कर) चयनित हार्ड विभाजन पर ~ 3 mB में संग्रहीत किया जाता है। ड्राइव।
LUKS के लिए * -i PBKDF पुनरावृत्ति समय (ms में) (पासफ़्रेज़ को संसाधित करते समय समय की देरी OS लोडिंग और कुंजियों की क्रिप्टोग्राफ़िक ताकत को प्रभावित करती है)। "रूसी" जैसे सरल पासवर्ड के साथ क्रिप्टोग्राफ़िक ताकत का संतुलन बनाए रखने के लिए, आपको मूल्य बढ़ाने की आवश्यकता है - (i), "8dƱob / øfh" जैसे जटिल पासवर्ड के साथ आप मूल्य को कम कर सकते हैं।
* - यूज़-यूरेनियम यादृच्छिक संख्या जनरेटर, चाबियाँ और नमक उत्पन्न करता है।

Sda7> sda7_crypt अनुभाग की तुलना करने के बाद (ऑपरेशन त्वरित है, चूंकि एन्क्रिप्टेड हेडर ~ 3 mb मेटाडेटा बनाया गया है और यह सब) , आपको sda7_crypt फ़ाइल सिस्टम को प्रारूपित करने और माउंट करने की आवश्यकता है।

B2.3। तुलना

 cryptsetup open /dev/sda7 sda7_crypt #       .

विकल्प:
* खुला - अनुभाग "एक नाम के साथ" नक्शा;
* / देव / sda7- तार्किक ड्राइव;
* sda7_crypt एक नाम मानचित्रण है जिसका उपयोग एन्क्रिप्टेड विभाजन को माउंट करने के लिए किया जाता है या जब ओएस बूट होता है तो इसे प्रारंभ करता है।

B2.4। Ext4 में sda7_crypt फ़ाइल सिस्टम को स्वरूपित करना। ओएस माउंट

(नोट: Gparted अब एन्क्रिप्टेड विभाजन के साथ काम नहीं करेगा)

 #    mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt

विकल्प:
* -v - मौखिककरण;
* -L -डिस्क लेबल (जो अन्य डिस्क के बीच एक्सप्लोरर में प्रदर्शित होता है)।

इसके बाद, सिस्टम में वर्चुअल-एन्क्रिप्टेड ब्लॉक डिवाइस / dev / sda7_crypt को माउंट करें

 mount /dev/mapper/sda7_crypt /mnt

/ Mnt फ़ोल्डर में फ़ाइलों के साथ काम करना sda7 में फ्लाई पर डेटा को स्वचालित रूप से एन्क्रिप्ट / डिक्रिप्ट करेगा।

यह एक्सप्लोरर (नॉटिलस / काजा जीयूआई) में विभाजन को मैप करने और माउंट करने के लिए अधिक सुविधाजनक है, विभाजन पहले से ही डिस्क चयन सूची में होगा, यह डिस्क को खोलने / डिक्रिप्ट करने के लिए केवल पासफ़्रेज़ दर्ज करने के लिए रहता है। मिलान नाम स्वचालित रूप से चुना जाएगा और "sda7_crypt" नहीं, बल्कि कुछ इस तरह का / dev / mapper / Luks-xx-xx ...

B2.5। बैकअप डिस्क हेडर (~ 3MB मेटाडेटा)

सबसे महत्वपूर्ण कार्यों में से एक जो बिना देरी के किए जाने की आवश्यकता है, वह sda7_crypt हेडर की बैकअप कॉपी है। यदि आप हेडर को दूषित / नष्ट कर देते हैं (उदाहरण के लिए, sda7 विभाजन, आदि में GRUB2 को स्थापित करके) , एन्क्रिप्ट किया गया डेटा इसे पुनर्स्थापित करने की किसी भी संभावना के बिना स्थायी रूप से खो जाएगा, क्योंकि यह एक ही कुंजी को पुनर्जीवित करना संभव नहीं होगा, कुंजी अद्वितीय बनाई जाती हैं।

 #   cryptsetup luksHeaderBackup --header-backup-file ~/_DebSHIFR /dev/sda7

 #   cryptsetup luksHeaderRestore --header-backup-file <file> <device>

विकल्प:
* luksHeaderBackup --header-backup-file-backup कमांड;
* luksHeaderRestore --header- बैकअप-फ़ाइल-पुनर्स्थापना आदेश;
* ~ / Backup_DebSHIFR - बैकअप फ़ाइल;
* / dev / sda7 वह विभाजन है जिसकी एन्क्रिप्टेड डिस्क हेडर की बैकअप कॉपी आप रखना चाहते हैं।
नोट। [SdaX] से [sdaY] तक LUKS अनुभाग के शीर्षलेख को पुनर्स्थापित करने का प्रयास न करें, अधिकांश उपयोगकर्ता नाम विफल हो जाएंगे।
इस चरण पर, एन्क्रिप्टेड विभाजन का <निर्माण और संपादन> पूरा हो गया है।

बी 3। एन्क्रिप्टेड पार्टीशन में GNU / Linux OS (sda4) माइग्रेट करना (sda7)

नोट। ओएस को एक एन्क्रिप्टेड विभाजन में स्थानांतरित करने से पहले, यह अतिरिक्त कैन्ड जंक (ब्लीचबिट सॉफ्टवेयर का उपयोग करके समान कबाड़ पाया जा सकता है) को हटाने की सिफारिश की जाती है, उदाहरण के लिए, मेरे मामले में यह कई सौ हजार छोटी फाइलें / var / cache / fontconnig / * और /home/user/.cache थी। / fontconfig / *
यदि आपने फॉन्टकोन्फिग फाइलों को साफ किया है, तो $ fc-cache -fvr करें

/ Mnt2 फ़ोल्डर बनाएँ (नोट - हम अभी भी लाइव usb के साथ काम कर रहे हैं, sda7_crypt / mnt बिंदु पर आरोहित है ) और हमारे GNU / Linux को / mnt2 में माउंट करें, जिसे एन्क्रिप्ट किया जाना चाहिए।

 mkdir /mnt2 mount /dev/sda4 /mnt2

हम रुपी सॉफ्टवेयर का उपयोग करके सही OS माइग्रेशन करते हैं

 rsync -avlxhHX --progress /mnt2/ /mnt

रु। पर्याय विकल्प p। E1 में वर्णित हैं।

अगला, आपको तार्किक ड्राइव विभाजन को डीफ़्रैग्मेन्ट करने की आवश्यकता है

 e4defrag -c /mnt/ # , e4defrag ,     ≈ 0,  ,       ! e4defrag /mnt/ #   GNU/Linux

इसे नियम बनाएं: एन्क्रिप्टेड GNU / LInux पर e4defrag समय-समय पर करें यदि आपके पास एचडीडी है।
इस चरण का माइग्रेशन और सिंक्रनाइज़ेशन [GNU / Linux> GNU / Linux-एन्क्रिप्टेड] पूरा हो गया है।

बी 4। एक sda7 एन्क्रिप्टेड विभाजन पर GNU / Linux को कॉन्फ़िगर करना

OS / dev / sda4> / dev / sda7 को सफलतापूर्वक स्थानांतरित करने के बाद, आपको एन्क्रिप्टेड विभाजन पर GNU / Linux में लॉग इन करना होगा और एन्क्रिप्टेड सिस्टम के बारे में आगे (पीसी को रिबूट किए बिना) कॉन्फ़िगरेशन करना होगा। यही है, लाइव यूएसबी में हो, लेकिन निष्पादित करने के आदेश "एन्क्रिप्टेड ओएस की जड़ के सापेक्ष" हैं। अनुकरण करने के लिए एक समान स्थिति "चिरोट" होगी। यह जानकारी प्राप्त करने के लिए कि आप किस OS से वर्तमान में काम कर रहे हैं (एन्क्रिप्टेड या नहीं, क्योंकि sda4 और sda7 में डेटा सिंक्रनाइज़ हैं) , OS को डी-सिंक्रोनाइज़ करें । रूट निर्देशिका (sda4 / sda7_crypt) में रिक्त टोकन फ़ाइलें बनाएँ, उदाहरण के लिए, / mnt / एन्क्रिप्टेड OS और / mnt2 / decrypted OS। एक त्वरित जाँच जिस पर आप OS में हैं (भविष्य के लिए):

 ls /<Tab-Tab>

B4.1। "एक एन्क्रिप्टेड ओएस के लिए एक प्रवेश द्वार अनुकरण"

 mount --bind /dev /mnt/dev mount --bind /proc /mnt/proc mount --bind /sys /mnt/sys chroot /mnt

B4.2। सत्यापित करना कि काम एन्क्रिप्टेड सिस्टम पर किया जा रहा है

 ls /mnt<Tab-Tab> #   "/"

 history #       su  .

B4.3। एन्क्रिप्टेड स्वैप बनाना / बनाना

चूँकि OS की प्रत्येक शुरुआत में स्वैप फ़ाइल को स्वरूपित किया जाता है, इसलिए यह तार्किक ड्राइव पर स्वैप बनाने और मैप करने और कमांड टाइप करने के लिए कोई अर्थ नहीं रखता है, जैसा कि अनुभाग B2.2 में है। स्वैप के लिए, हर बार जब यह शुरू होता है, तो इसकी अस्थायी एन्क्रिप्शन कुंजी स्वचालित रूप से उत्पन्न होगी। स्वैप-ए कीज़ लाइफ साइकल: अनमाउंट / डिस्कनेक्ट स्वैप-पार्टीशन (+ रैम क्लीनिंग) ; या OS को पुनरारंभ करना। स्वैप कॉन्फ़िगर करना, ब्लॉक एन्क्रिप्ट किए गए उपकरणों के कॉन्फ़िगरेशन के लिए जिम्मेदार फ़ाइल खोलें (fstab फ़ाइल का एक एनालॉग, लेकिन क्रिप्टो के लिए जिम्मेदार)।

 nano /etc/crypttab

हम को सही

# "लक्ष्य नाम" "स्रोत डिवाइस" "कुंजी फ़ाइल" "विकल्प"
swap / dev / sda8 / dev / urandom swap, सिफर = twofish-xts-plain64, size = 512, hash = sha512

विकल्प
* स्वैप / देव / मैपर / स्वैप का मैप्ड एन्क्रिप्शन नाम है।
* / देव / sda8 - स्वैप के तहत अपने तार्किक विभाजन का उपयोग करें।
* (dev / urandom - स्वैग के लिए रैंडम इनक्रिप्शन कुंजी जेनरेटर ( नई कुंजियाँ प्रत्येक नए OS बूट के साथ बनाई गई हैं)। / Dev / urandom जनरेटर / dev / random की तुलना में कम यादृच्छिक है, सब के बाद, / par / random का उपयोग खतरनाक लकवाग्रस्त परिस्थितियों में काम करते समय किया जाता है। ओएस बूट करते समय, / dev / यादृच्छिक कई / मिनट तक लोडिंग को धीमा कर देता है (सिस्टमड-विश्लेषण देखें) ।
* स्वैप, सिफर = ट्वोफिश-एक्सटी-प्लेन 64, आकार = 512, हैश = शै 512: -सेक्शन जानता है कि यह स्वैप है और इसे "तदनुसार" स्वरूपित किया गया है; एन्क्रिप्शन एल्गोरिथ्म।

 #   fstab nano /etc/fstab

हम को सही

स्थापना के दौरान # स्वैप / देव / sda8 था
/ देव / मैपर / स्वैप कोई नहीं अदला-बदली swap 0 0

/ देव / मैपर / स्वैप नाम है जो क्रिप्टैब में सेट किया गया था।

वैकल्पिक एन्क्रिप्टेड स्वैप
यदि किसी कारण से आप पूरे अनुभाग को स्वैप फ़ाइल नहीं देना चाहते हैं, तो आप वैकल्पिक और बेहतर तरीके से जा सकते हैं: ओएस के साथ एक एन्क्रिप्टेड विभाजन पर एक फ़ाइल में एक स्वैप फ़ाइल बनाएं।

 fallocate -l 3G /swap #   3 (  ) chmod 600 /swap #  mkswap /swap #     swapon /swap #  swap free -m #,       printf "/swap none swap sw 0 0" >> /etc/fstab #    swap

स्वैप विभाजन सेटअप पूर्ण है।

B4.4। एन्क्रिप्टेड जीएनयू / लिनक्स को कॉन्फ़िगर करना (संपादन क्रिप्टैब / एफस्टैब फाइल)

फ़ाइल / etc / crypttab, जैसा कि ऊपर वर्णित है, बूट समय पर कॉन्फ़िगर किए गए एन्क्रिप्ट किए गए ब्लॉक उपकरणों का वर्णन करता है।

 # /etc/crypttab nano /etc/crypttab

यदि आपने अनुभाग B2.1 में sda7> sda7_crypt अनुभाग मैप किया है

# "लक्ष्य नाम" "स्रोत डिवाइस" "कुंजी फ़ाइल" "विकल्प"
sda7_crypt UUID = 81048598-5bb9-4a53-af92-f3f9e709e2f2 कोई लुक्स नहीं

यदि आपने B2.2 में sda7> sda7_crypt अनुभाग मैप किया है

# "लक्ष्य नाम" "स्रोत डिवाइस" "कुंजी फ़ाइल" "विकल्प"
sda7_crypt UUID = 81048598-5bb9-4a53-af92-f3f9e709e2f2 कोई भी सिफर = twofish-xts-plain64, size = 512, hash / sha512

यदि आप B2.1 या B2.2 में sda7> sda7_crypt अनुभाग की तुलना करते हैं, लेकिन OS को अनलॉक और बूट करने के लिए पासवर्ड को फिर से दर्ज नहीं करना चाहते हैं, तो आप पासवर्ड के लिए गुप्त कुंजी / यादृच्छिक फ़ाइल को स्थानापन्न कर सकते हैं।

# "लक्ष्य नाम" "स्रोत डिवाइस" "कुंजी फ़ाइल" "विकल्प"
sda7_crypt UUID = 81048598-5bb9-4a53-af92-f3f9e709e2f2 / etc / skey luks

विवरण
* कोई नहीं - रिपोर्ट करता है कि जब ओएस बूट होता है, तो रूट को अनलॉक करने के लिए एक गुप्त पासफ़्रेज़ की आवश्यकता होती है।
* UUID - अनुभाग पहचानकर्ता। अपने पहचानकर्ता का पता लगाने के लिए, टर्मिनल में टाइप करें (एक अनुस्मारक जो यह सब समय और उससे परे है, आप टर्मिनल में चुरोट वातावरण में काम करते हैं, और किसी अन्य लाइव यूएसबी टर्मिनल में नहीं)।

 fdisk -l #   blkid #  -

/ dev / sda7: UUID = "81048598-5bb9-4a53-af92-f3f9e709e2f2" TYPE = "crypto_LUKS" PARTUUID = "0332d73c-07"
/ dev / mapper / sda7_crypt: LABEL = "DebSHIFR" UUID = "382111a2-f993-403c-aa2e-292b5eac4780" TYPE = "ext4"

यह लाइन तब दिखाई देती है जब sda7_crypt माउंटेड के साथ लाइव usb टर्मिनल से ब्लकिड का अनुरोध किया जाता है)।
UUID sdaX ( sdaX_crypt!, UUID sdaX_crypt – grub.cfg).
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks .
* /etc/skey - -, ( 3- ). 8, <1.

 # ""   < >  691. head -c 691 /dev/urandom > /etc/skey

 #   (691)  7-   luks cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

 #  "/ luks-" cryptsetup luksDump /dev/sda7

( . 2020., LUKS2, , LUKS1. — LUKS1 CLI).

 # Check " " file -s /dev/sda7 /dev/sda7: LUKS encrypted file, ver 1 [twofish, xts-plain64, sha512] UUID: -- #   LUKS /dev/sda7: data #   VeraCrypt

 cryptsetup luksKillSlot /dev/sda7 7 # /  7

/etc/fstab .

 # /etc/fstab nano /etc/fstab

# «file system» «mount poin» «type» «options» «dump» «pass»
# / was on /dev/sda7 during installation
/dev/mapper/sda7_crypt / ext4 errors=remount-ro 0 1

* /dev/mapper/sda7_crypt - sda7>sda7_crypt, /etc/crypttab.
crypttab/fstab .

B4.5. .

B4.5.1. /etc/initramfs-tools/conf.d/resume

 #      swap ,  . nano /etc/initramfs-tools/conf.d/resume

( ) "#" «resume». .

B4.5.2. /etc/initramfs-tools/conf.d/cryptsetup

 nano /etc/initramfs-tools/conf.d/cryptsetup

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=yes
export CRYPTSETUP

B4.5.3. /etc/default/grub ( grub.cfg /boot)

 nano /etc/default/grub

«GRUB_ENABLE_CRYPTODISK=y»
'y', grub-mkconfig grub-install , (insmod- <cryptomount/set root>) .

GRUB_DEFAULT=0
GRUB_TIMEOUT=1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT=«acpi_backlight=vendor»
GRUB_CMDLINE_LINUX=«quiet splash noautomount»
GRUB_ENABLE_CRYPTODISK=y

B4.5.4. /etc/cryptsetup-initramfs/conf-hook

 nano /etc/cryptsetup-initramfs/conf-hook

, <CRYPTSETUP=y> <#>.
( , , initrd.img).

:

KEYFILE_PATTERN="/etc/skey"
UMASK=0077

«skey» initrd.img, ( «skey» ( + ) . .B4.4).

B4.6. /boot/initrd.img [version]

initrd.img cryptsetup,

 update-initramfs -u -k all

initrd.img ( «, ») , cryptsetup, , , Nvidia — . , , . ( chroot ./boot/initrd.img). ! [update-initramfs -u -k all] , cryptsetup open /dev/sda7 sda7_crypt — , /etc/crypttab, reboot-a busybox)
.

[] GRUB2/

C1. ( 20)

 mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. /dev/sda6 /mnt

chroot, /mnt2, /mnt — .
GRUB2

 mount /dev/sda6 /mnt

GRUB2, /mnt/boot/grub/i-386-pc ( , , «i386-pc») (, , .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), GRUB2 .

 apt-get update apt-get install grub2

! GRUB2 , « » – ( — GRUB2 — «MBR» live usb) . / VeraCrypt. GRUB2, , , «MBR». GRUB2, – ( GRUB 2.02 ~BetaX).

C3. GRUB2 [sda6]

[.C.2]

 grub-install --force --root-directory=/mnt /dev/sda6

* --force - , , ( ).
* --root-directory - <boot/grub> sda6.
* /dev/sda6 - sda ( <> /mnt /dev/sda6).

C4. [grub.cfg]

«update-grub2»,

 grub-mkconfig -o /mnt/boot/grub/grub.cfg

/ grub.cfg, () («grub-mkconfig» live usb, Windows 10 — ). «», «grub.cfg» , , GRUB ( ), GRUB2 .
« » GRUB2 .

C5. Proof-test GNU/Linux

. GNU/Linux ( chroot).

 umount -a #     GNU/Linux Ctrl+d #   chroot umount /mnt/dev umount /mnt/proc umount /mnt/sys umount -a #     live usb reboot

VeraCrypt.

* — Windows.
* «Esc» GRUB2, GNU/Linux – (sda7_crypt) /boot/initrd.img ( grub2 uuid « » — grub2, , , / ).

* , (. .B4.4/4.5) /boot/initrd.img, / , «skey», .

( « »).

* GNU/Linux .

* , /boot/initrd.img ( 4.6).

 update-initramfs -u -k all

GRUB2 ( - live usb)

 mount /dev/sda6 /mnt grub-mkconfig -o /mnt/boot/grub/grub.cfg

GNU/Linux:

GNU/Linuxinux , /boot/kernel and initrd;
initrd.img;
( initrd; / ; Linux) .

« GRUB2» .

6. GRUB2. +

GNU/Linux , – BIOS. GRUB2 , / , – [. . F].
«» GRUB2 «/».

« » , – .
- , CLI, -GRUB2.

6.1.

 ls /<Tab-Tab> # -

GRUB2

 grub-mkpasswd-pbkdf2 #/  .

. -

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

GRUB

 mount /dev/sda6 /mnt

 nano -$ /mnt/boot/grub/grub.cfg

, «grub.cfg» - (" --unrestricted" "--user",
( ### END /etc/grub.d/41_custom ###)
«set superusers=»root"
password_pbkdf2 root ".

# This file provides an easy way to add custom menu entries. Simply type the
# menu entries you want to add after this comment. Be careful not to change
# the 'exec tail' line above.
### END /etc/grub.d/40_custom ###

### BEGIN /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; then
source ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; then
source $prefix/custom.cfg;
fi
set superusers=«root»
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

«grub-mkconfig -o /mnt/boot/grub/grub.cfg» grub.cfg, (/) GRUB-

 nano /etc/grub.d/41_custom

cat << EOF
set superusers=«root»
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

«grub-mkconfig -o /mnt/boot/grub/grub.cfg», , , grub.cfg.
GRUB2 .

6.2.

, pgp- ( ). : gnuPG; kleopatra/GPA; Seahorse. - . Seahorse — 3.14.0 ( , , V3.20 – ).

PGP- // su!

 gpg - -gen-key

 gpg --export -o ~/perskey

 mount /dev/sda6 /mnt #sda6 –  GRUB2

GRUB2

 rm -rf /mnt/

GRUB2 sda6, GRUB «core.img»

 grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

* --force - , , ( ).
* --modules=«gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa» - GRUB2 .
* -k ~/perskey - «PGP-» ( , ).
* --root-directory - boot sda6
/dev/sda6 - sda .

/ grub.cfg

 grub-mkconfig -o /mnt/boot/grub/grub.cfg

«grub.cfg» «trust /boot/grub/perskey» ( pgp-.) GRUB2 , «signature_test.mod», «set check_signatures=enforce».

( grub.cfg)

### BEGIN /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; then
source ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; then
source $prefix/custom.cfg;
fi
trust /boot/grub/perskey
set superusers=«root»
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### END /etc/grub.d/41_custom ###
#

"/boot/grub/perskey" , hd0,6, «» , GRUB2 (. set rot=..).

GRUB2 ( /GRUB) «perskey».
, ( nautilus/caja): «seahorse» . su.
sudo "/mnt/boot" – – .

"/mnt/boot/grub/perskey" ( grub) . , / [*.sig].
"/boot" ( kernel, initrd). - , bash- « ».

( - )

 rm -f $(find /mnt/boot/grub -type f -name '*.sig')

, , GRUB2.

 apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

< > GRUB2 .

C6.3. Proof-test GRUB2,

GRUB2. - GNU/Linux CLI ( ) . / initrd

, GRUB2-.

- GRUB2/ grub.cfg, /, .mod, . GRUB2 .

, GRUB2 « ».

«» « », «0». ( « » «0» — ).

?

: / GRUB2 , , luks.mod.sig .

: CLI

 trust_list

«perskey», «0», , .C6.2.
« GRUB2 » .

7 GRUB2

« /» — . - GRUB2, , .[F]. , / .

GRUB2

/ (/ . GRUB2 , , / , , «- » ).
( ).
(/ GRUB2 ).
.

(, ).
The Worst Evil Script ( /: GRUB , usb-/ , / , pass/_LUKS ).
( GNU/Linux).

— , .

GRUB2/

«» GRUB2, (). , ,

, GRUB, save log, pas/_LUKS .
The Worst Evil Script ( cryptsetup reencrypt), LUKS .
GRUB, .
"-$ _GRUB" , CLI.
"-$ sudo _GRUB" GRUB2/ ( /boot), .

0) / GRUB, /media/username

 -$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) ~/podpis, 744 «».

 #!/bin/bash #      GRUB2  . #  " /  ",        . !    :   GRUB2     OS GNU/Linux. echo -e "******************************************************************\n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt' a=`tail '/var/log/podpis.txt' | grep failed` #  "cat"!! b="hashdeep: Audit failed" #:    -      GRUB2         "  "      gif- "warning". if [[ "$a" = "$b" ]] then echo -e "****\n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' fi

su , GRUB , save .

, , « » [virus.mod] GRUB2 /:

 -$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

CLI --

# CLI

   2 11::41 MSK 2020 /media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr /media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok /media/username/GRUB/boot/grub/grub.cfg: Ok hashdeep: Audit failed Input files examined: 0 Known files expecting: 0 Files matched: 325 Files partially matched: 0 Files moved: 1 New files found: 0 Known files not found: 0

# «Files moved: 1 Audit failed» , .
- «New files found» > «Files moved»

2) > ~/warning.gif, 744.

3) fstab GRUB

 -$ sudo nano /etc/fstab

LABEL=GRUB /media/username/GRUB ext4 defaults 0 0

 -$ sudo nano /etc/logrotate.d/podpis

/var/log/podpis.txt {
daily
rotate 50
size 5M
dateext
compress
delaycompress
olddir /var/log/old
}

/var/log/vtorjenie.txt {
monthly
rotate 5
size 5M
dateext
olddir /var/log/old
}

5) cron

 -$ sudo crontab -e

reboot '/podpis' #
0 */6 * * * '/podpis # 0-00; 6; 12; 18.

 -$ sudo su -$ echo "alias _GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash -$ echo "alias _GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

-$ apt-get upgrade GRUB
-$ _GRUB
GRUB .

[D] —

, « », .

हमेशा की तरह, हार्ड ड्राइव से डेटा को हटाने के बाद डेटा को पुनर्प्राप्त करने के बारे में विभिन्न "मिथक और किंवदंतियां " हैं। यदि आप साइबर होल्डिंग पर विश्वास करते हैं, या डॉ। वेब समुदाय के सदस्य हैं और इसे हटाने (अधिलेखित करने के बाद , उदाहरण के लिए, आर-स्टूडियो रिकवरी का उपयोग करके) डेटा को पुनर्प्राप्त करने की कोशिश नहीं की है , तो प्रस्तावित विधि आपको सूट करने की संभावना नहीं है, जो आपके करीब है उसका उपयोग करें।

जीएनयू / लिनक्स को एक एन्क्रिप्टेड विभाजन में सफलतापूर्वक स्थानांतरित करने के बाद, डेटा पुनर्प्राप्ति की संभावना के बिना पुरानी प्रतिलिपि को हटा दिया जाना चाहिए। यूनिवर्सल सफाई विधि: विंडोज / लिनक्स के लिए सॉफ्टवेयर मुफ्त जीयूआई सॉफ्टवेयर ब्लीचबिट । उस विभाजन को
जल्दी से प्रारूपित करें जिस पर आप डेटा को नष्ट करना चाहते हैं (Gparted का उपयोग करके),हम ब्लीचबिट शुरू करते हैं, "रिक्त स्थान खाली करें" चुनें - विभाजन का चयन करें (GNU / Linux की पिछली प्रति के साथ आपका sdaX) , सफाई प्रक्रिया शुरू होती है। ब्लीचबिट - डिस्क को एक पास में मिटा देता है - यह वह है जो हमें "चाहिए", लेकिन! यह केवल सिद्धांत में काम करता है यदि आप डिस्क को स्वरूपित करते हैं और इसे BB v2.0 सॉफ़्टवेयर में साफ़ करते हैं।

ध्यान दें ! BB डिस्क को मिटा देता है, मेटाडेटा छोड़ देता है: नष्ट की गई फ़ाइलों के नाम डेटा इरेज़र (Ccleaner - मेटाडेटा को नहीं छोड़ता) के दौरान सहेजे जाते हैं ।

और डेटा रिकवरी का मिथक काफी मिथक नहीं है।

Bleachbit V2.0-2 unstable OS Debian ( : sfill; wipe-Nautilus - ) : « » HDD/ (ntfs/ext4) . , . () / / «» . , , , « » 3+ .
GNU/Linux Bleachbit 2.0-2 , . : Windows CCleaner « ntfs» , .

, «» , Bleachbit , , « / ».
« » Windows CCleaner/BB «». GNU/Linux ( ) ( + ( , )) , .

Bleachbit v3.0 , , .
Bleachbit v2.0 GNU/Linux Windows7.

इस चरण पर, "डिस्क क्लीनअप" पूरा हो गया है।

[ई] एन्क्रिप्टेड ओएस का यूनिवर्सल बैकअप

प्रत्येक उपयोगकर्ता के पास डेटा बैकअप की अपनी विधि है, लेकिन "सिस्टम OS" के एन्क्रिप्टेड डेटा को कार्य के लिए थोड़ा अलग दृष्टिकोण की आवश्यकता होती है। एकीकृत सॉफ़्टवेयर जैसे Clonezilla और समान सॉफ़्टवेयर सीधे एन्क्रिप्ट किए गए डेटा के साथ काम नहीं कर सकते हैं।

एन्क्रिप्टेड ब्लॉक उपकरणों के बैकअप का कार्य निर्धारित करना:

सार्वभौमिकता - विंडोज / लिनक्स के लिए एक ही बैकअप एल्गोरिथ्म / सॉफ्टवेयर;
अतिरिक्त सॉफ्टवेयर डाउनलोड की आवश्यकता के बिना किसी भी लाइव यूएसबी GNU / लिनक्स के साथ कंसोल में काम करने की क्षमता (लेकिन अभी भी एक जीयूआई की सिफारिश) ;
बैकअप सुरक्षा - संग्रहीत "चित्र" को एन्क्रिप्ट / पासवर्ड से संरक्षित किया जाना चाहिए;
एन्क्रिप्ट किए गए डेटा का आकार कॉपी किए जा रहे वास्तविक डेटा के आकार से मेल खाना चाहिए;
बैकअप प्रतिलिपि से आवश्यक फ़ाइलों का सुविधाजनक निष्कर्षण (पहले विभाजन को डिक्रिप्ट करने की कोई आवश्यकता नहीं)।

उदाहरण के लिए, बैकअप / "dd" उपयोगिता के माध्यम से पुनर्स्थापित करें

 dd if=/dev/sda7 of=//sda7.img bs=7M conv=sync,noerror dd if=//sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

यह कार्य के लगभग सभी बिंदुओं से मेल खाता है, लेकिन दावे 4 के अनुसार यह आलोचना तक नहीं करता है, क्योंकि यह डिस्क के पूरे विभाजन की प्रतिलिपि बनाता है, जिसमें मुक्त स्थान भी शामिल है - यह दिलचस्प नहीं है।

उदाहरण के लिए, अभिलेखागार के माध्यम से GNU / Linux का बैकअप [टार | gpg] "सुविधाजनक", लेकिन विंडोज बैकअप के लिए आपको दूसरे समाधान की तलाश करने की आवश्यकता है - दिलचस्प नहीं।

ई 1। यूनिवर्सल बैकअप ऑफ विंडोज / लिनक्स (rsync (Grsync) बंडल + VeraCrypt वॉल्यूम) और ऑटोमाउंट एन्क्रिप्टेड ड्राइव

(/) VeraCrypt ;
/ Rsync VeraCrypt;
VeraCrypt www.

VeraCrypt :

( Windows , GNU/Linux) ;
, « » ( ) – .

Windows, GNU/Linux > VeraCrypt , .

Twofish 70 ( , ) HDD ~ ( , ). VeraCrypt Windows/Linux , « », .

2017 VeraCrypt « GNU/Linux». en > ru :

,
, .…

Linux.
, .
, .

, VeraCrypt HDD .
, , ( «» ).

VeraCrypt 1.24-Update3 GNU/Linux, (/dev/sdaX).

/ — VeraCrypt-.

VeraCrypt (/ntfs) , .

// VeraCrypt GUI > GNU/Linux live usb ( /media/veracrypt2, Windows /media/veracrypt1). Windows GUI rsync (grsync) , .

. , .

GNU/Linux, GUI rsync « Windows».

! Veracrypt « GNU/Linux» ext4 . ntfs, / .

. rsync:
* -g - ;
* -P --progress — ;
* -H - , ;
* - - ( rlptgoD) ;
* -v -.

« Windows VeraCrypt» cryptsetup, alias (su)

 echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

«veramount ~~pictures~~ » , - , Windows.

/ VeraCrypt cryptsetup

 cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt mount /dev/mapper/Windows_crypt /mnt

/ / VeraCrypt cryptsetup

 cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt mount /dev/mapper/test_crypt /mnt

alias- ( ) Windows ntfs GNU/Linux /

 # /   ntfs- mkdir /media/Winda7 && mkdir /media/

 #      VeraCrypt,  " "    printf 'bob' | base64 Ym9i #  cli   "bob"

~/VeraOpen.sh

 echo 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #   base64 (bob)             Windows. echo 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/ #,     ntfs.

«» :

 sudo chmod 100 /VeraOpen.sh

( !) /etc/rc.local ~/etc/init.d/rc.local

 #!/bin/sh -e # # rc.local # # This script is executed at the end of each multiuser runlevel. # Make sure that the script will «exit 0» on success or any other # value on error. # # In order to enable or disable this script just change the execution # bits. # # By default this script does nothing. sh -c "sleep 1 && '/VeraOpen.sh'" #  ,  ~ 1     . exit 0

«» :

 sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local

, GNU/Linux ntfs, .
, :

 systemd-analyze && systemd-analyze blame

, .E1 ( / OS GNU/Linux)
1) ext4 > 4gb ( ) Linux Veracrypt [].
2) Reboot live usb.
3) ~$ cryptsetup open /dev/sda7 Lunux # .
4) ~$ mount /dev/mapper/Linux /mnt # /mnt.
5) ~$ mkdir mnt2 # .
6) ~$ cryptsetup open --veracrypt --type tcrypt ~/ && mount /dev/mapper/ /mnt2 # Veracrypt «» /mnt2.
7) ~$ rsync -avlxhHX --delete --progress /mnt/ /mnt2 # / Veracrypt . "--delete" ( ), .. .

(p/s/ ! GNU/Linux / , , Intel > AMD ( Intel > AMD) , , . ~/etc/skey — , «cryptsetup luksAddKey» chroot — , ~/etc/crypttab "/etc/skey" «none», rebot- .

IT Windows/Linux, .
/ .

[F] GRUB2 बूटलोडर पर हमला

विवरण

/ ( .C6.) , . - , ( ) GRUB2 , ( , -- grub.cfg).

.

* live usb. () . GRUB2 grub.cfg ( ) ( , GRUB2, . <0>)
* , "/mnt/boot/grub/grub.cfg".
* ( «perskey» core.img)

 grub-install --force --root-directory=/mnt /dev/sda6

* «grub.cfg» > "/mnt/boot/grub/grub.cfg", , , «keylogger.mod» , «grub.cfg» > «insmod keylogger». , , , GRUB2 ( ) GRUB2, «grub-mkimage (-).» «-» «grub.cfg». : «modern.cfg», , , ~400 (+) "/boot/grub/i386-pc". , "/boot/grub/grub.cfg", «hashsum» .
/ GRUB2 , ( ) "/boot/grub/grub.cfg" «modern.cfg»

set superusers=«root»
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

- GRUB2.

( ) , , ( ) . - BIOS ( GRUB2 > GRUB2, !) . - , , ( ) «grub.cfg» . , , , «grub.cfg» ( ) , GRUB2.

, / sdaY, GRUB2 ( grub-install ) «grub.cfg» ( )

menuentry 'GRUBx2' --class parrot --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
load_video
insmod gzio
if [ x$grub_platform = xxen ]; then insmod xzio; insmod lzopio; fi
insmod part_msdos
insmod cryptodisk
insmod luks
insmod gcry_twofish
insmod gcry_twofish
insmod gcry_sha512
insmod ext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root='cryptouuid/15c47d1c4bd34e5289df77bcf60ee838'
normal /boot/grub/grub.cfg
}

* insmod - ;
* GRUBx2 - GRUB2;
* cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838 -. fdisk -l (sda9);
* set root - ;
* normal /boot/grub/grub.cfg - .

, «grub.cfg» — / «sdaY» «GRUBx2» GRUB.

CLI, ( «set root»), , , "/shifr_grub", "/noshifr_grub". CLI

 cat /Tab-Tab

, , . , , "~/i386", .

, ( ) , , CLI

 list_trusted

«perskey», , ( «set check_signatures=enforce») .
, . «grub.cfg» , , , GRUB2.
: .18.2

«Note that even with GRUB password protection, GRUB itself cannot prevent someone with physical access to the machine from altering that machine's firmware (eg, Coreboot or BIOS) configuration to cause the machine to boot from a different (attacker-controlled) device. GRUB is at best only one link in a secure boot chain».

GRUB2 — , , MS-DOS, . , GRUB2 — «» , GNU/Linux .

, , GRUB2, (, , – /.mod) .

निष्कर्ष:

1) विंडोज के लिए ब्लॉक सिस्टम एन्क्रिप्शन को लागू करना आसान है, और एक पासवर्ड के साथ सुरक्षा जीएनयू / लिनक्स ब्लॉक सिस्टम एन्क्रिप्शन के साथ कई पासवर्ड के साथ सुरक्षा की तुलना में अधिक सुविधाजनक है, न्याय के लिए: बाद वाला स्वचालित है।

2) लेख एक प्रासंगिक, विस्तृत, सरल गाइड के रूप में फुल डिस्क एन्क्रिप्शन VeraCrypt / LUKS के रूप में एक घर में मशीन पर लिखा गया था , जो अब तक रनट (IMHO) में सर्वश्रेष्ठ है। मैनुअल> 60k वर्णों ने इसलिए इसमें कुछ दिलचस्प अध्याय नहीं लिखे: उन क्रिप्टोग्राफ के बारे में जो गायब हो जाते हैं / छाया में रहते हैं ; विभिन्न जीएनयू / लिनक्स पुस्तकों में बहुत कम / क्रिप्टोग्राफी के बारे में नहीं लिखते हैं; रूसी संघ के संविधान के अनुच्छेद 51 के बारे में; के बारे में लाइसेंस / अक्षम रूस में एन्क्रिप्शनइस बारे में कि आपको "रूट / बूट" को एन्क्रिप्ट करने की क्या आवश्यकता है। मैनुअल पहले से ही काफी निकला, लेकिन विस्तृत (यहां तक कि सरल चरणों का वर्णन करते हुए) , बदले में, यह आपको बहुत समय बचाएगा जब आप "वास्तविक एन्क्रिप्शन" करते हैं।

3) विंडोज 7 64 पर आयोजित पूर्ण डिस्क एन्क्रिप्शन; जीएनयू / लिनक्स तोता 4x; जीएनयू / डेबियन 9.0 / 9.5।

4) अपने GRUB2 बूटलोडर पर एक सफल हमले को लागू किया ।

5) सभी ~~पागल सीआईएस देशों की~~ मदद करने के लिए ट्यूटोरियल बनाया गया था , जहां विधायी स्तर पर एन्क्रिप्शन की अनुमति है। और सबसे पहले, उन लोगों के लिए जो अपने कॉन्फ़िगर किए गए सिस्टम को ध्वस्त किए बिना फुल-डिस्क एन्क्रिप्शन रोल करना चाहते हैं।

6) संशोधित और इसके मैनुअल को अपडेट किया, जो 2020 में प्रासंगिक है।

[जी] उपयोगी दस्तावेज

TrueCrypt उपयोगकर्ता गाइड (फरवरी 2012 आरयू)
VeraCrypt प्रलेखन
/ usr / share / doc / cryptsetup (-run) [स्थानीय संसाधन] (GNU / Linux एन्क्रिप्शन को क्रायसिपेटअप का उपयोग करके कॉन्फ़िगर करने पर आधिकारिक विस्तृत दस्तावेज)
आधिकारिक cryptsetup FAQ (जीएनयू / लिनक्स एन्क्रिप्शन का उपयोग करके संक्षिप्त विवरण
LUKS डिवाइस एन्क्रिप्शन (आर्च्लिनक्स-डॉक्यूमेंटेशन)
क्रायसपेटसेट सिंटैक्स (आर्क मैनुअल पेज) का विस्तृत विवरण
क्रिप्टैब का विस्तृत विवरण (आर्च मैनुअल पेज)
GRUB2 का आधिकारिक प्रलेखन ।

टैग: VeraCrypt, पूर्ण डिस्क एन्क्रिप्शन, विभाजन एन्क्रिप्शन, पूर्ण डिस्क एन्क्रिप्शन लिनक्स, पूर्ण प्रणाली एन्क्रिप्शन LUKS1 / LUKS2।

ईस्टर अंडा

विंडोज लिनक्स स्थापित सिस्टम का फुल डिस्क एन्क्रिप्शन। एन्क्रिप्ट किया गया मल्टीबूट

चरवाहे की रणनीति:

[ए] विंडोज 7 ब्लॉक सिस्टम एन्क्रिप्शन

[ख] एलयूकेएस। जीएनयू / लिनक्स (~ डेबियन) स्थापित ओएस का एन्क्रिप्शन। एल्गोरिथ्म और कदम

[] GRUB2/

GRUB2

[D] —

[ई] एन्क्रिप्टेड ओएस का यूनिवर्सल बैकअप

[F] GRUB2 बूटलोडर पर हमला

निष्कर्ष:

[जी] उपयोगी दस्तावेज

More articles: