Начальная страница » Безопасность в Linux

Продвинутый способ шифрования разделов в Linux, или мной овладела паранойя.

Отправлено admin Сб, 18/10/2008 - 20:26

Каждый рано или поздно начинает задумываться о безопасности своих данных. Эта статья именно для тех, кто уже задумался, либо задумается после ее прочтения.

© BMaster

Содержание

Введение
Постановка задачи
1. Шифрование разделов
1.1 Подготовим ядро Linux
1.2 Переходим к шифрованию
2. Загрузчик на usb флешке (grub)
2.1 Подготовим флешку
2.2 Переходим к загрузчику
2.3 Автоматизация монтирования шифрованных разделов при загрузке
2.4 Уничтожение загрузчика
2.5 Шифрование swap раздела
3. Паранойя
3.1. Ставим на флешку линукс (Gentoo)
3.2. Доводим дело до конца

Введение

Чтобы не тратить напрасно ваше время, отмечу сразу, что к Windows данная статья не имеет никакого отношения, все действия описаны исключительно для OS Linux.

Со второго пункта описываются действия, для которых требуется иметь поддержку загрузки с hdd-usb или flash на материнской плате. Думаю сейчас это не проблема, даже моя не новая Gigabyte GA-8PE800-RS имеет поддержку загрузки с hdd-usb.

Каждый рано или поздно начинает задумываться о безопасности своих данных. Эта статья именно для тех, кто уже задумался, либо задумается после ее прочтения.

Если кратко, то суть статьи следующая: шифруем разделы, удаляем с винчестера загрузчик, размещаем загрузчик на флешку, делаем чтобы при выключении стиралась таблица разделов. При загрузке вставляем флешку, грузим с нее линукс который находится на флешке, восстанавливаем таблицу разделов, перезагружаемся, грузим основную систему, с флешки считываются все парольные фразы для монтирования зашифрованных разделов, после загрузки системы вынимаем флешку и прячем ее от дурных глаз. В случае чего, после shutdown системы, без флешки ни загрузить систему, ни прочитать или расшифровать разделы будет не возможно. Если посмотреть на винчестер из какого-либо приложения, то там будет виден один неотформатированный раздел емкостью равной объему винчестера.

Постановка задачи

Имеется винчестер на котором установлена OS Linux, множество винчестеров с конфиденциальной информацией.
Цель: Зашифровать конфиденциальные данные, сделать возможным загрузку OS только с usb флешки, затереть все следы "рабочего" жесткого диска.

Определения принятые в этой статье:
Основной винчестер - понимается винчестер, на котором установлена загружаемая OS Linux, под это определение попадает единственный в системе винчестер.
Прочий винчестер - понимается второй, третий, либо любой другой, с которого не производится загрузка OS Linux.
Раздел - если обозначается точкой монтирования (например: раздел /home/vasya), понимать как блочное устройство из /dev смонтированное в определенную точку монтирования. Иначе (например: раздел /dev/hda2), просто блочное устройство из /dev.
Бэкап - копия данных, временно сохраненная на другом разделе, либо другом носителе информации.

Все вводимые команды заключены в тег [code], если перед командой присутствует символ # - значит команда вводится с правами суперпользователя (root).

1. Шифрование разделов

Желательно на загрузочном винчестере отделить и зашифровать разделы /home и /var.
На разделе /home находятся домашние папки пользователей, а следовательно все личные конфигурационные файлы, cookies браузеров, история оболочки bash (по умолчанию).
На разделе /var могут находиться логи сервера apache, логи ftp сервера, системные логи, также там может находиться папка tmp. Папка tmp находится еще и в корневом разделе, поэтому желательно сделать симлинк /tmp на папку /var/tmp2 - чтобы шифровалось содержание обоих. Но симлинк лучше сделать с помощью LiveCD, предварительно удалив папку /tmp.

Код:

# rm -r /tmp
# mkdir /var/tmp2 
# ln -s /var/tmp2 /tmp

1.1 Подготовим ядро Linux

Необходимо, чтобы в ядре были включены следующие опции:

Цитата:
Device Drivers --->
Block devices --->
<*> Loopback device support
<*> Cryptoloop Support
Cryptographic options --->
<*> HMAC support
<M> Null algorithms
<M> MD4 digest algorithm
<M> MD5 digest algorithm
<M> SHA1 digest algorithm
<M> SHA256 digest algorithm
<M> SHA384 and SHA512 digest algorithms
<M> Whirlpool digest algorithms
<M> DES and Triple DES EDE cipher algorithms
<*> Blowfish cipher algorithm
<M> Twofish cipher algorithm
<M> Serpent cipher algorithm
<*> AES cipher algorithms (i586)
<M> CAST5 (CAST-128) cipher algorithm
<M> CAST6 (CAST-256) cipher algorithm
<M> TEA and XTEA cipher algorithms
<M> ARC4 cipher algorithm
<M> Khazad cipher algorithm
<M> Anubis cipher algorithm
<*> Deflate compression algorithm
<M> Michael MIC keyed digest algorithm
<M> CRC32c CRC algorithm

Алгоритмы, которыми будем пользоваться необходимо собрать в ядре (*), остальные можно модулем (M).
Пересобрать ядро просто:

Код:

# cd /usr/src/linux
# make xconfig или make menuconfig
# make && make modules_install
# cp ./arch/i386/boot/bzImage /boot/bzImage

В случае необходимости, подправить конфиг загрузчика. Об этом ниже.
В случае возникновения вопросов по сборке ядра, всегда пожалуйста: Ставим ядро 2.6, или Ядерная физика для домохозяйки. Версия 2.0

1.2 Переходим к шифрованию

1. Для того чтобы зашифровать раздел, например hda2, необходимо сделать бэкап данных, т.к. текущие данные на разделе уничтожатся без возможности восстановления.
2. После бэкапа данных с раздела, необходимо вполнить следующее:

Код:

# dd if=/dev/urandom of=/dev/hda2

Теперь ждать, для больших объемов (раздел на 250Гб и более) эта операция может достигать нескольких суток, для небольших объемов (раздел 20-50 Гб) нескольких часов.
Посмотреть прогресс можно так:

Код:

# kill -USR1 pid

Здесь pid - цифровое значение.
Узнать pid процесса dd можно так:

Код:

# ps ax|grep "dd if"

Суть операции: забиваем раздел рандомным значением, т.е. мусором, для того чтобы нельзя было отличить какая часть раздела зашифрована.

После выполнения этой операции приступаем непосредственно к шифрованию:

Код:

# losetup -e blowfish-128 -T /dev/loop0 /dev/hda2

Здесь:
blowfish-128 - алгоритм шифрования.
T - параметр указывает на то, чтобы мы дважды ввели парольную фразу, т.е. повторили ее.
/dev/hda2 - раздел который шифруем.
/dev/loop0 - блочное устройство, к которому мы в дальнейшем должны обратиться чтобы получить доступ к зашифрованному разделу. По умолчанию ожно использовать от 0 до 7 петлевых устройств, при необходимости можно добавить еще, выполнив скрипт add_loop:

Цитата:
#!/bin/bash
for i in 8 9 10 11 12 13 14 15
do
mknod /dev/loop$i c 7 $i
done

Код:

# chmod +x add_loop
# ./add_loop

За подробностями по команде losetup, можно обратиться к мануалу:

Код:

# man losetup

Итак, ввели команду, придумали парольную фразу - минимум 20 символов, чтобы не ошибиться ввели ее дважды. Все. Теперь можно работать с зашифрованным разделом.
Создадим на нем файловую систему:

Код:

# mkfs.ext3 /dev/loop0

Здесь мы указываем /dev/loop0 - блочное устройство которое связано с нашим разделом /dev/hda2. Про /dev/hda2 можно забыть, теперь все операции осуществляем только с /dev/loop0.

Монтируем:

Код:


# mkdir /mnt/crypt_part
# mount /dev/loop0 /mnt/crypt_part

Теперь открываем любимый файловый менеджер, либо просто консольной командой cp возвращаем предварительно сохраненный бекап на место. Т.е. копируем данные:

Код:

# cp -rp /mnt/backup/* /mnt/crypt_part

/mnt/backup - папка в которой был сохранен бэкап.

Все, данные надежно защищены.
Как проверить?
Например консольным hex редактором hexedit:

Код:

# hexedit /dev/loop0

Увидим вначале нули, что свойственно файловой системе ext3.
Теперь посмотрим на сам раздел:

Код:

# hexedit /dev/hda2

Увидим кучу мусора, неотформатированное пространство, что-то неизвестное, и самое главное - никаких признаков наличия зашифрованных данных. Просто обыкновенный мусор, который неизвестно откуда и как образовался

После того как все скопировали, если не собираемся пользоваться этим разделом до лучших времен, просто делаем следующее:
a) Отмонтируем его

Код:

# umount /dev/loop0

b) И удалим связь /dev/loop0 с /dev/hda2

Код:

# losetup -d /dev/loop0

Все. Сохранив парольную фразу в надежном месте, можно не волноваться за свои данные.
Проверка:

Код:

# hexedit /dev/loop0

Увидим что файл пуст.
Теперь посмотрим на сам раздел:

Код:

# hexedit /dev/hda2

Таже куча мусора что и была.

Как только появится необходимость поработать со своими данными, повторяем:

Код:

# losetup -e blowfish-128 -T /dev/loop0 /dev/hda2
# mount /dev/loop0 /mnt/crypt_part

Работаем, закрываем все:

Код:

# umount /dev/loop0
# losetup -d /dev/loop0

Но этот способ хорош в том случае, если мы работаем с зашифрованным разделом крайне редко. О том как автоматизировать процесс монтирования зашифрованных разделов при загрузке, написано в следующей части статьи.

2. Загрузчик на usb-flash

Понятие шифрованный раздел /dev/hdXX - означает то, что для этого раздела вы проделали операцию шифрования, описанную в первой части статьи.

Постановка задачи

Имеется один или несколько винчестеров содержащие шифрованные разделы, обыкновенная usb флешка более 5 Мб
Цель: Затереть загрузчик на загрузочном винчестере, автоматизировать монтирование шифрованных разделов.

Рассмотрим следующий пример:

Имеется флешка на 1 Гб.

Имеется загрузочный винчестер 60Гб с зашифрованными разделами:
/dev/hda3 - точка монтирования /var
/dev/hda4 - точка монтирования /home
/dev/hda6 - точка монтирования /mount/crypt_data

Не зашифрованные разделы (эти разделы не будут иметь никакого отношения к дальнейшим манипуляциям):
/dev/hda1 - корневой раздел /
/dev/hda5 - точка монтирования /mount/opensource_files

Имеется прочий винчестер 120Гб с двумя зашифрованными разделами:
/dev/hdb1 - точка монтирования /mount/1
/dev/hdb2 - точка монтирования /mount/2

2.1 Подготовим флешку

Все usb флешки определяются в системе как sata устройства, т.е. /dev/sdXX.
Работа с ними аналогична работе с жестким диском.

В нашем примере флешка доступна при обращении к блочному устройству /dev/sda.
Разобьем ее на 2 раздела: sda1 = 20Мб и sda2 = остальное пространство.

В случае, если на ней имеются другие разделы, то удалить их можно командой d:

Код:

Command (m for help): d
Partition number (1-4): 1

Command (m for help): d
Selected partition 2

Command (m for help): p

Disk /dev/sda: 1027 MB, 1027603456 bytes
32 heads, 62 sectors/track, 1011 cylinders
Units = cylinders of 1984 * 512 = 1015808 bytes

   Device Boot      Start         End      Blocks   Id  System

Command (m for help):

А теперь создадим разделы:

Код:

# fdisk /dev/sda

Command (m for help): n
Command action
   e   extended
   p   primary partition (1-4)
p
Partition number (1-4): 1
First cylinder (1-1011, default 1):
Using default value 1
Last cylinder or +size or +sizeM or +sizeK (1-1011, default 1011): +20M

Command (m for help): n
Command action
   e   extended
   p   primary partition (1-4)
p
Partition number (1-4): 2
First cylinder (22-1011, default 22):
Using default value 22
Last cylinder or +size or +sizeM or +sizeK (22-1011, default 1011):
Using default value 1011

Command (m for help):

В итоге:

Код:

Command (m for help): p

Disk /dev/sda: 1027 MB, 1027603456 bytes
32 heads, 62 sectors/track, 1011 cylinders
Units = cylinders of 1984 * 512 = 1015808 bytes

   Device Boot      Start         End      Blocks   Id  System
/dev/sda1               1          21       20801   83  Linux
/dev/sda2              22        1011      982080   83  Linux

Command (m for help):

После чего сохраняем таблицу разделов:

Код:

Command (m for help): w

Создадим на всех разделах файловую систему ext3:

Код:

# mkfs.ext3 /dev/sda1
# mkfs.ext3 /dev/sda2

2.2 Переходим к загрузчику

Предполагается что grub у вас установлен в системе.
Скопируем папку /boot/grub на раздел /dev/sda1, предварительно смонтировав его в /mount/f1:

Код:

# mkdir /mount/f1
# mount /dev/sda1 /mount/f1
# cp -r /boot/grub /mount/f1

Подправим наш файл конфигурации grub:

Код:

# nano -w /mount/f1/boot/grub/grub.conf

Цитата:
timeout 5 # через 5 секунд автоматически начнется загрузка системы
default 0 # по умолчанию грузить первую систему в списке
fallback 1 # иначе грузить вторую
color light-green/black light-green/green # моя цветовая тема
password --md5 $1$t6Sq7$9P8wqrePDfVzvuyQSnbvl # хеш пароля "123456"

title LINUX # название системы в списке
password --md5 $1$8QRq7$GxAxBGVlEb3VDDnZxLMe/0 # хеш пароля "qqqqqq"
root (hd0,0) # /hda1 - на этом разделе находится ядро (папка /boot)
kernel (hd0,0)/boot/bzImage root=/dev/hda1 video=vesafb:1024x768 # путь к ядру

#Для мастдая в случае наличия
title Windows
lock # необходимо авторизоваться
rootnoverify (hd1,0) # Предполагается, что Windows установлен на другом жестком диске /dev/hdb1
makeactive
chainloader +1

Хеш пароля можно сгенерировать так:

Код:

# grub
    GNU GRUB  version 0.97  (640K lower / 3072K upper memory)

 [ Minimal BASH-like line editing is supported.  For the first word, TAB
   lists possible command completions.  Anywhere else TAB lists the possible
   completions of a device/filename. ]

grub> md5crypt

Password: ******
Encrypted: $1$uRKm8$2TToFr6o/wDpC54hBaBTo/

grub> quit

При выборе в списке LINUX, необходимо ввести пароль qqqqqq, для загрузки Windows в меню необходимо нажать "p" и ввести пароль 123456. За это отвечает опция lock.

Чтобы загрузка системы протекала с разрешением экрана 1024x768, к опциям загрузчика добавлена строка: video=vesafb:1024x768 , но необходимо чтобы в ядре была включена поддержка Frame Buffer:

Цитата:
Device Drivers --->
Graphics support --->
<*> Support for frame buffer devices
<*> VESA VGA graphics support
VESA driver type (vesafb-tng) --->

Device Drivers --->
Graphics support --->
Console display driver support --->
--- VGA text console
<*> Framebuffer Console support

Теперь произведем установку загрузчика на /dev/sda:

Код:

# grub

grub> root (hd<TAB>
 Possible disks are:  hd0 hd1 hd2

grub>root (hd2,0)
grub>setup (hd2)
grub>quit

Все, загрузчик установлен. Здесь, hd2 - наша флешка, 0 - первый раздел, тот где находится /boot на флешке - /dev/sda1.
В биосе поставьте загрузку с usb-hdd либо непосредственно с flash, если ваша м/п поддерживает эту опцию.
Ядро можно разместить и на флешке, но т.к. оно считывается с flash довольно долго (зависит от размера ядра), я оставил его на винчестере.
Итак, имеем несколько зашифрованных разделов и флешку с загрузчиком.
Необходимо сделать, чтобы при загрузке шифрованные разделы монтировались, иначе, если /var зашифрован и его не подмонтировать вовремя, система может не загрузиться.
Рассмотрим два варианта монтирования зашифрованных разделов:

1) Вариант не безопасный.

Вернемся к примеру:
/var - /dev/hda3
/home - /dev/hda4

Редактируем файл /etc/fstab

Код:

/dev/hda3		/var	           ext3		rw,loop=/dev/loop3,encryption=blowfish-256 0 0
/dev/hda4		/home       	ext3		rw,loop=/dev/loop4,encryption=blowfish-256 0 0

Подразумевается что /dev/hda3 и /dev/hda4 зашифрованны алгоритмом blowfish-256.
После загрузчика, как только система дойдет до монтирования разделов, для того чтобы примонтировать hda3 и hda4, необходимо будет ввести парольную фразу.
Как правило, фразу с символами различного регистра и длинной более 20 держать в голове не просто, особенно если этих фраз около 7-20. Поэтому вы должны будете каждый раз вводить ее с листочка, а соответственно кто-то может узнать вашу фразу "из-за плеча".

2) Вариант безопасный. Монтирование с помощью скомпилированной программы, которая расположена на флешке.

Создадим файл amount.cpp :

Цитата:
#include <iostream>
using namespace std;
int main() {
system("echo '12345678901234567890'|losetup -e blowfish-256 -p0 /dev/loop3 /dev/hda3");
system("mount /dev/loop3 /var");

system("echo '12345678901234567890'|losetup -e blowfish-256 -p0 /dev/loop4 /dev/hda4");
system("mount /dev/loop4 /home");

system("echo '11111111112222222222'|losetup -e blowfish-128 -p0 /dev/loop6 /dev/hda6");
system ("mount /dev/loop6 /mount/crypt_data");

system("echo '11111111112222222222'|losetup -e blowfish-128 -p0 /dev/loop1 /dev/hdb1");
system ("mount /dev/loop1 /mount/1");

system("echo '11111111113333333333'|losetup -e blowfish-128 -p0 /dev/loop2 /dev/hdb2");
system ("mount /dev/loop2 /mount/2");

system("sleep 5 && umount /dev/sda1 &");
}

И скомпилируем его:

Код:

# g++ ./amount.cpp

Получим файл a.out
Переименуем его в amount

Код:

# mv ./a.out ./amount

12345678901234567890 - парольная фраза как для hda3 так и для hda4.
12345678901111111111 - парольная фраза как для hda6 так и для hdb1.
12345678901111111111 - парольная фраза для hdb2.

Скопируем файл amount на флешку, на раздел sda1:

Код:

# cp amount /mount/f1

Теперь добавим в /etc/fstab автомонтирование флешки:

Код:

/dev/sda1		/mount/f1	auto		ro		0 0

Теперь создадим еще один файл amount, но с другим содержанием.
Отмонтируем флешку и создадим файл: amount1.cpp

Код:

# umount /mount/f1

Содержание файла amount1.cpp:

Цитата:
#include <iostream>
using namespace std;
int main() {
echo "Hi, i'am bug "
}

Скомпилируем его и получим файл amount, после чего скопируем его в /mount/f1:
Внимание! Здесь /mount/f1 всего лишь папка на винчестере.

Код:

# cp amount /mount/f1

Внимание! Здесь наверное единственно место, где могут возникнуть трудности. Я опишу изменение конфигурационного файла только для систем Gentoo и Ubuntu.
Для того чтобы сразу после монтирования всех разделов указанных в /etc/fstab (соответственно и после монтирования нашей флешки /dev/sda1 в /mount/f1), выполнить программу amount которая находится на флешке, и тем самым продолжить монтирование зашифрованных разделов:

Для Gentoo:
Отредактируем файл /etc/init.d/localmount:

Цитата:
..........
# Start dm-crypt mappings, if any
start_addon dm-crypt
/mount/f1/amount
}

Просто добавили в конец файла перед закрывающейся скобкой одну строчку.

Для Ubuntu:
Создадим в папке /etc/init.d/ файл mountcrypt

Код:

# nano -w /etc/init.d/mountcrypt

Следующего содержания:

Цитата:
#!/bin/sh
/mount/f1/amount

Сделаем его исполняемым:

Код:

# chmod +x /etc/init.d/mountcrypt

Добавим его в runlevel для выполнения сразу после localmount:

Код:

# ln -s /etc/init.d/mountcrypt /etc/rcS.d/S35mountcrypt

В случае, если мы после загрузчика и начала загрузки ядра извлекаем флешку, то вместо программы amount, которая находится на флешке и должна монтировать разделы, выполнится программа amount, которая находится на жестком диске, и соответственно монтироваться ничего не будет, появится надпись "Hi, i'am bug ", но система продолжит грузится, в итоге исход будет неудачным.

2.4 Уничтожение загрузчика

Уничтожим загрузчик на /dev/hda:

Код:

# dd if=/dev/urandom of=/dev/hda bs=446 count=1

2.5 Шифрование swap раздела

Для этого необходимо установить пакет loop-aes и в /etc/fstab подредактировать строку swap раздела:

Цитата:
/dev/hda9 none swap sw,loop=/dev/loop7,encryption=blowfish-256 0 0

где /dev/hda7 - swap раздел

3. Паранойя

Цель: установить на раздел /dev/sda2 Linux.
Для чего: чтобы восстанавливать постоянно удаляющуюся при выключении таблицу разделов на винчестере.

Себе я разумеется для флешки выбрал Gentoo Linux
Но существует много готовых дистрибутивов для флешек, нам всего лишь потребуется наличие команды dd и правильное определение жестких дисков. С этим проблем быть не может.

Если кто-то захочет поставить себе на флешку Gentoo, опишу как это делается.

3.1 Ставим Gentoo Linux на флешку в 1Гб

Потребуется:
Архив со stage, для моей архикектуры это: stage3-i686-2007.0.tar.bz2
Снапшот портежей: portage-20070918.tar.bz2
Исходники ядра: linux-2.6.22.tar.bz2
И разумеется линукс с компилятором, подойдет даже LiveCD.
Скачать все файлы можно с любого из зеркал gentoo, например с http://gentoo.osuosl.org
Скачаем и разместим эти файлы в /mount/opensource_files, где /mount/opensource_files - папка корневого раздела, либо точка монтирования одного из разделов, если установка протекает с LiveCD, то в эту папку необходимо примонтировать раздел жесткого диска:

Код:

# mkdir /mount
# mkdir /mount/opensource_files
# mount /dev/hda5 /mount/opensource_files

Смонтируем /dev/sda2 в /mount/f2 и начнем установку

Код:

# mkdir /mount/f2
# mount /dev/sda2 /mount/f2
# cd /mount/f2
# tar -xvjpf /mount/opensource_files/2007.0/stage3-i686-2007.0.tar.bz2
# tar -xvjf /mount/opensource_files/portage-20070918.tar.bz2 -C /mount/f2/usr
# mkdir /mount/f2/distfiles
# mount -o bind /mount/opensource_files /mount/f2/distfiles
# mount -o bind /mount/opensource_files /mount/f2/usr/src

Внимание!
# mount -o bind /mount/opensource_files /mount/f2/distfiles
# mount -o bind /mount/opensource_files /mount/f2/usr/src
Эти команды монтируют папку /mount/opensource_files в папки /mount/f2/distfiles и /mount/f2/usr/src для того, чтобы использовать место для скачки файлов и дальнейшей распаковки ядра не на флешке, а на винчестере, иначе объема флешки может не хватить.

Теперь чрутнимся, и продолжим:

Код:

# chroot /mount/f2 /bin/bash
# emerge -pvf gentoo-sources

Команда emerge -pvf gentoo-sources выдаст нам ссылки на нужные файлы, т.к. ядро уже скачено, останется скачать несколько патчей, скачаем их самостоятельно и скопируем в /mount/opensource_files.

Идем дальше:

Код:

# env-update
# source /etc/profile
# ln -sf /usr/share/zoneinfo/Europe/Moscow /etc/localtime
# emerge -pv gentoo-sources
# emerge gentoo-sources
# cd /usr/src/linux && make menuconfig

Необходимо сконфигурировать и собрать ядро. Для того, чтобы загрузить линукс с флешки, в ядре должны быть включены следующие опции:

Цитата:
Device Drivers --->
USB support --->
<*> EHCI HCD (USB 2.0) support
<*> OHCI HCD support
<*> UHCI HCD (most Intel and VIA) support
<*> USB Mass Storage support
Device Drivers --->
Block devices --->
<*> Low Performance USB Block driver

По желанию можно сделать ядро монолитным, т.е. все опции соберутся непосредственно в ядро, модулей не будет:

Просто отключим следующее:

Цитата:
Loadable module support --->
[ ] Enable loadable module support

В случае, если ядро монолитное, далее выполняем:

Код:

# make
# cp ./arch/i386/boot/bzImage /boot

Если не монолитное (с поддержкой модулей) то выполняем:

Код:

# make && make modules_install
# cp ./arch/i386/boot/bzImage /boot

Последние штрихи:

Редактируем /etc/fstab:

Код:

# nano -w /etc/fstab

Если убрать все комментарии, то получим:

Код:

/dev/uba2             /                    ext3            noatime         0 1
/dev/cdrom           /mnt/cdrom      audo           noauto,ro       0 0
/dev/fd0               /mnt/floppy     auto            noauto          0 0
shm                     /dev/shm        tmpfs           nodev,nosuid,noexec     0 0

/dev/uba2 - именно так в ядре определяется наш второй раздел на флешке.

Теперь установим пароль root и выйдем из chroot среды:

Код:

# passwd
New UNIX password:
BAD PASSWORD: it does not contain enough DIFFERENT characters
Retype new UNIX password:
passwd: пароль успешно обновлён
# exit

Изменим конфиг grub, который находится на /dev/sda1
Добавим в конец следующие строки:

Цитата:
title Linux From Flash
root (hd0,1)
kernel (hd0,1)/boot/bzImage root=/dev/uba2 init=/sbin/init video=vesafb:1024x768

На этом установка Gentoo Linux на флешку завершена. За всеми подробностями, а также за послеустановочной настройкой, если вам это потребуется, обращайтесь Gentoo Handbook

А теперь самое интересное.

3.2 Имитация не рабочего винчестера

Создадим копию первых 512 байт с раздела hda:

Код:

# dd if=/dev/hda of=/mount/f2/image_hda bs=512 count=1

Копию байт разместим на флешке в файле image_hda.

В Gentoo в файл /etc/conf.d/local.stop добавляем:

Цитата:
dd if=/dev/urandom of=/dev/hda bs=512 count=1

В Ubuntu создадим в папке /etc/init.d/ файл destroy

Код:

# nano -w /etc/init.d/destroy

Следующего содержания:

Цитата:
#!/bin/sh
dd if=/dev/urandom of=/dev/hda bs=512 count=1

Сделаем его исполняемым:

Код:

# chmod +x /etc/init.d/destroy

Добавим его в runlevel для выполнения при выключении:

Код:

# ln -s /etc/init.d/destroy /etc/rc6.d/K03destroy

Т.е. при выключении первые 512 байт будут забиваться рандомом. И соответственно таблица разделов от 446 до 512 байт тоже. Определить где начинается какой раздел, да еще если половина из них зашифрована, будет практически невозможно. И всегда с гордостью можно заявить, что винчестер не рабочий, он был отфортирован, были удалены разделы...

Правда вот загрузка несколько усложняется, сначала необходимо загрузить с флешки линукс, и выполнить:

Код:

# dd if=/image_hda of=/dev/hda
# reboot

А после грузить с флешки основную систему.

Отмонтируем все разделы с которыми работали:

Код:


# mount /mount/opensource_files /mount/f2/distfiles
# mount /mount/opensource_files /mount/f2/usr/src
# umount /dev/sda1
# umount /dev/sda2

В случае, если какой-то из разделов откажется отмонтироваться, вычисляем процесс которым он занят, и убиваем его:

Код:

# fuser -u -m /dev/sda1
# kill PID

На этом все.

p.s. Заранее извиняюсь за ошибки, неточности, очепятки. За потерю данных, при выполнении действий описанных в этой статье, ответственности не несу.

© BMaster

  • прочитано 27438 раз