Вначале нужно выполнить требования местной СБ: никакой Windows на компьютерах - только Astra. Несмотря на то, что Astra SE 1.7.4.0 сильно забагована, - её можно использовать как базу для создания незабагованных ОС и программ. Не все устройства она может определить - но разные сетевые устройства определяются хорошо. Выбор отдельного раздела /home - очень выгодно разбивает диск на 2 раздела: 30ГБ под ОС и прочий шлак, весь остальной размер под полезные данные.

Далее:

- устанавливается именно VirtualBox (зная заранее, какой обвес ей нужен). На примере v.7.0.7.0.10: пакеты build-essential и libкакой-то-там в составе дистрибутива Develop Base, внешний libvpx5_1.7.0-3+deb10u2_amd64.deb;

- добавляется плагин шифрования именно к конкретной версии VirtualBox вида "Oracle_VM_VirtualBox_Extension_Pack-7.0.20.vbox-extpack" (его даже переименовывать нельзя - вообще не дышать на него при установке, иначе всё может сломаться). По какому-то невероятному везению, билд плагина 20 подошёл к билду 7;

- к ярлыку Oracle на рабочем столе - добавить команду "sudo": для успешного взаимодействия флешки между гостевой и родительской системой.

Выбор гостевых систем - теперь получается уже свободный. Пока вопрос малоизучен, идут эксперименты (ноутбук информационно засран так, что даже названия пакетов вспомнить не получается, - не говоря уже о версиях). Однако у него такой огромный потенциал, что материал родился уже сейчас.

Общее:

- флешка должна быть вставлена и примонтирована в родительской ОС. Тогда её можно будет добавить во вкладке USB свойств виртуальной машины. Точно так же можно поступить с Bluetooth-адаптером - правда, неясно, зачем кому-то сейчас такое старьё;

- успешный обмен трафиком между внешней сетью и виртуалкой - через адаптер родительской ОС;

- пароль на шифрование виртуальных дисков лучше всего ставить 16-значный, используя простые факты из своей жизни. У меня пароль 20 символов: ночью проснусь - вспомню: он состоит из достаточно запоминающихся моментов жизни. Сучка, ты здесь тоже есть;

- замечена порча виртуального диска, если бездумно играться между зашифрованными и незашифрованными дисками. Похоже, что если шифрованный диск удалить, не расшифровав, - потом подключить другой диск и зашифровать - предыдущий шифрованный диск обратно добавить не получится. То есть, требуется не хаос, а абсолютно точная последовательность действий для избежания ошибок. Не исключено, что это из-за неправильной версии плагина шифрования.

Если гостевая ОС Windows:

- даже при отсутствии ISO-шника VirtualBox Guest Additions - даёт возможность переключать флешку между родительской и гостевой ОС. При присутствии - есть большая вероятность создания общей папки между ОС;

- есть небольшая вероятность, что перенесённая уже готовая виртуальная машина: при включении шифрования диска - не будет загружаться (проблема ОС). Пока замечено только на Windows 7 конкретной версии (старая Ultimate 7600): при загрузке ОС - включается режим восстановления ОС. С Windows 10 v.22H2 - всё в порядке.

Если гостевая ОС Astra:

- для общей флешки придётся поплясать: в гостевой ОС добавить к учетной записи пользователя группу "vboxusers";

- как делать общую папку - пока непонятно.

Разбор стандартной ситуации: тупой гопник с ножом подходит и, поигрывая им, сердобольно просит отдать ему ноутбук во временное пользование. В ситуации без шифрования и виртуальных машин:

- вы будете защищать ноутбук, получите перо в лёгкие и успешно завершите жизненный путь - с последующим пожиранием червями в гробу;

- вы будете убегать именно с ноутбуком - а он, определённо, мешает бегу. Есть вероятность случайно самостоятельно упасть на нож 7 раз или случайно задохнуться в луже;

- вы отдаёте ноутбук, все бездействуют - увольнение с работы за "халатность" или уголовное дело за "кражу конфиденциальных данных".

В ситуации с виртуальными машинами и их шифрованием:

- не защищена только родительская ОС - поэтому она и используется как база для виртуальных машин;

- виртуалка для доступа к сети: родительская ОС ничего не знает о её запросах и данных, историю посещения ресурсов и т.д. Виртуалка для работы какого-нибудь продукта - то же самое. Ни одна виртуалка не знает ничего ни о других виртуальных, ни о родительской ОС - особенно, если вместо общей папки используется флешка. Полная изоляция всего ото всех;

- в итоге, гопник никогда не расшифрует ни одну виртуалку с AES256 и 16-значным паролем. Всё, что он получит, - кусок железа и кусок говна (родительскую ОС);

- ну и отдайте с миром ему этот ноутбук и быстро бегите счастливо. Гопник не будет бежать с ноутбуком: он получил уже достаточно ценный товар. И бросить он его не может: другой гопник заберёт, пока за вами бегать будет.

И самый главный финт шифрования именно VirtualBox: если виртуальная машина изымается на другой ПК - она никогда не будет расшифрована даже с введением корректного пароля: будет потерян какой-то там ключ, имеющийся только у VirtualBox именно в этой, единственной, родительской ОС. Кто сказал, что родительская и дочерние ОС должны быть на одном физическом диске? Можно отдать гопникам ноутбук с диском внутри, заливая про ценные данные на нём: лишь бы второй диск/флешку с родительской ОС в кармане не заметил, - и совершенно спокойно скрыться от гопника в тени под люком канализационного коллектора.

А ведь эта парадигма распространяется не только на ноутбук. Это идеальный механизм хранения данных на жёстких дисках в принципе. Данные в носителях шифрованных виртуалок - будут доступны только в одной-единственной ОС (или расклонированной ОС на несколько необходимых ПК). Своруют жёсткие диски - да плевать: равносильно тому, что они для вора пустые.

Или при архивации данных с помощью TeraByte Image: паролить архивы - в зашифрованном виде они не будут представлять опасности считывания данных. Однако за любое шифрование придётся заплатить и временем, и местом: и архивы, и виртуальные машины - становятся несжимаемыми для сторонних архиваторов.

(добавлено 10.04.2025) У виртуальных жёстких дисков можно менять расширение на любое. Krysa_Idi_Na_Fig.158 - может быть любым виртуальным диском, от VDI до VMDK. И тогда поиском такие диски найти не выйдет.

Если в настройках виртуалки выключить сетевой интерфейс (а лучше удалить его полностью) - она будет полностью изолирована от сетевых воздействий. Говорят, можно 2 виртуалки вообще только друг с другом соединить: там в сетевом интерфейсе куча устройств и куча настроек.

Можно все файлы настроек виртуалок хранить в одной папке, а все их диски - в другой.

Нужно помнить, что ярлык запускается под sudo - и все новые виртуалки создаются в /root. В итоге, забыл - системный раздел переполнился - и астра умерла (чёрный экран с курсором при загрузке всегда). Пришлось:

- грузиться с диагностической флешки от Стрельца;

- подключать поддержку Ext4;

- чистить системный диск;

- делать проверку файловой системы (была 1 ошибка, мешающая загрузке ОС даже после очистки диска);

- переустанавливать VirtualBox (удалять полностью - устанавливать).

(добавлено 17.04.2025) Никто не запрещает использовать в Linux скрытые папки с точкой в начале названия, а также мимикрировать виртуальные диски в системных директориях под системные файлы.

Также можно написать автозапускаемый бинарник: проверка, на месте ли стоит системник; и если нет - удалить список виртуалок в меню VirtualBox (где-то точно XML-файл с его настройками лежит), логи виртуалок, логи родительской ОС и т.д.

(добавлено 29.04.2025) В самом начале анализа, как удалять информацию о ранее подключенном оборудовании, выяснилось: в Astra SE - USB-устройства пишутся в логи ОС ещё до авторизации.

(добавлено 30.04.2025) Чтобы виртуальная машина увидела именно локальную сеть - нужно в настройках сетевого адаптера изменить NAT на сетевой мост.