Гайд: создаём личный дом параноика из любого дистрибутива Linux

9 3025

  Конечно можно поставить один из "шпионских" дистрибутивов и жить спокойно, но ведь с тем же Tails (который тоже является дистрибутивом на Linux на основе Debian) не пойдёшь сидеть в кафе, кто-то скажет, что не стоит в кафе вершить свои тёмные дела, отнюдь, далеко не все читатели занимаются чем-либо противозаконным, большинство просто не обладают желанием, чтобы их личная информация попала в сеть. Так, что если Вы используете Linux ОС, сейчас мы быстренько "прокачаем" его в машину в лучших традициях Джеймса Бонда, а если Вы используете Windows, то я вообще понятия не имею, как Вы здесь оказались?))) Проверьте, за Вами выехали :) Начало. Таково наше время - мы счастливчики! По качеству жизни, любой обыватель 21 века превосходит любого императора из прошлых столетий, горячая и холодная вода, мусоропровод, медицина, товары и услуги, огромный объём развлечений и всего прочего, это всё заслуга нашего прогресса, развития человечества, может быть не в ту сторону, но развитие. Это уже вопрос для философов, а не для таких параноиков как я, как же мне повезло жить в 21 веке, а не в 3-ем тысячелетии до нашей эры, когда было два вида развлечений - либо ты бежишь за мамонтом, либо мамонт за тобой, то ли дело сейчас! Можешь писать, что угодно и про кого угодно, где угодно в интернете, в надежде, что тебя никогда не найдут, ошибочное мнение, что нам доказал Эдвард Сноуден, а тут ещё пакет Яровой нам на голову надеть желают, и если не сейчас то завтра, каждый задумается о конфиденциальности, и не потому что есть что скрывать, а вопреки чьему-либо длинному носу и всепоглощающему желанию всё про всех знать! Данный гайд не является попыткой создать свою операционную систему, я на это никогда не буду способен, из-за своей лени, размером в одну седьмую часть суши, однако этот гайд позволит каждому заинтересованному пользователю обезопасить себя, сделать из любого дистрибутива Linux цитадель параноика.

  Поговорим немного о паролях, объясню как придумать хороший пароль, вкратце, и проведём инструктаж молодых бойцов, на тему того что же можно запоролить в Linux, практически всё. В наше время стандарт паролей 8-12 символов в разном регистре и парой цифр, добавляем сюда ещё пару восклицательных знаков и знако доллара. Способ придумать подобный пароль и запомнить существует, при чём не сложный, например, берём стандартную фразу London the capital of Great Britain, и играем в круговую. Берём все первые буквы каждого слова из предложения - LtcoGB, добавляем к этому свою дату рождения. я возьму официальную дату рождения Иосифа Виссарионовича 21.12.1879, первые четыре цифры ставим в начало нашего пароля, вторую в конец, получаем: 2112LtcoGB1879. Вам нравится вопросительный и восклицательный знак? Добавим и их: ?2112LtcoGB1879! Чтобы не забыть пароль, рекомендую брать крайне известную лично для Вас фразу, не обязательно брать первые буквы, можете выбрать последние и заглавные, способов миллион и подобный пароль трудно забыть. А теперь навскидку прикинем количество паролей, которые нам необходимо запомнить: 1. Социальные сети (facebook, vk, twitter и тд) 2. Почтовые ящики (минимум два) 3. Пароли от аккаунтов различных ОС (домашний компьютер) и тд. Итого минимально нам необходимо придумать минимально 6 паролей типа - ?2112LtcoGB1879! ; придумать мы их сможем, это не проблема, проблема их запомнить. Где хранить пароли? Можно хранить в браузере, но нас всех сдадут с потрохами по первому же запросу из соотвествующих органов, по этому мы пойдём простейшим путём, которые придумали в древнейшие времена - KeePassX; работает всегда и везде, необходимо лишь перекинуть базу с паролями куда надо.

Шифрование. Сейчас о шифровании говорят везде, большинство сайтов перешли на HTTPS, что позволяет им быть якобы зашифрованными. Whatsup и тот обзовёлся шифрованием. которые якобы спецслужбы взломать ещё не могут, шифрование есть и в Telegram, скоро шифрование будет везде, но даёт ли оно нам безопасность? Нет, оно нам даёт чувство безопаности, что согласитесь совершенно разные вещи. Linux обладает огромным инструментарием для шифрования чего угодно в любом масштабе и количестве, можно зашифрвоать так что лучшие специалисты ФБР расшифровать не смогут, шифровки поддаётся всё от разделов на жёстком диске до простых файлов. Мы разберём три самых известных и наиболее проверенных инструмента - dm-crypt/LUKS, ecryptfs и encfs. dm-crypt/LUKS - шифрует сразу целые диски, ecryptfs и encfs - каталоги с информацией, файлы по отдельности; есть ещё TrueCrypt тоже вполне себе годный. Шифровать весь диск целиком может быть - задача и сложная, но крайне полезная, на данный момент все нормальные дистрибутивы Linux даже Elementary, который лично я считаю дистрибутивом на любителя, обладают встроенной изначальной возможностью шифрования и запароливания ОСи с момента её установки, не будем выдумывать велосипед воспользуемся данным функционалом сразу. Помимо этого необходимо зашифровать два каталога отдельно, для большей безопасности, поверьте мне её мало не бывает, это домшаний каталог и своп. Для этого просто вводим команды:

$ sudo apt-get install ecryptfs-utils А затем включаем шифрование $ sudo ecryptfs-setup-swap $ ecryptfs-setup-private

После этого вводим свой пароль, который используется для логина от аккаунта ОСи, и перезпускаем систему. Первая команда шифрует своп, изменяя настройки в /etc/fstab. Вторая даст нам два каталога ~/.Private и ~/Private, в них мы будем хранить шифрованные и дешифрованные файлы. При заходе в ОС срабатывает модуль pam_ecryptfs.so, монтируя первый катталог на второй с прозрасным шифрованием данных, после размонтирования папка с дешифрованными файлами будет пуста, они зашифруются и перейдут в папку ~/.Private . Этого нам мало, мы же параноики! Параноик, звучит гордо! По этому я предлогаю зашифровать и весь домашний каталог целиком и полностью. Коненчо упадёт производительность, но с нынешними мощностями, с 4 гигабайтами оперативки, мы это не сильно заметим. Так что:

# ecryptfs-migrate-home -u stalin

Запомните, места на локалке должны быть в 3 раза больше, чем данных у Иосифа Виссарионовича (в команде после -u через пробел пишем свой аккаунт пользователя, админ там или Петя, у меня Сталин). Как только всё зашифровалась заходим под своим аккаунтом и проверяем не накосячили ли мы:

$ mount | grep Private /home/stalin/.Private on /home/stalin type ecryptfs ...

Не накосячили? Удаляем нешифрованную копию:

$ sudo rm -r /home/stalin.*

А теперь представьте себе этот криптографический кошмар, особенно если кто-то крайне любопытный попытается его прочитать, он сначала проклянёт всё пытаясь взять брутфорсом пароль от самого локального диска, а затем представьте его счастье когда он поймёт, что всё содержимое зашифровано? Конечно есть ещё более интересные способы шифровать свою ОС, но мы ведь пытаемся настроить её так, чтобы она не вызывала подозрений и выглядела как обычная, не так ли?

А Вы любите подметать? И так, мы придумали мощные пароли, на всякий случай спрятали их в надёжное место, после этого решили зашифровать всё, что скрыто паролями, что же дальше? Всё? Как это всё? А как же удалённые файлы? Я думаю Вы знали, что при удалении файла его содержимое остаётся на носителе, даже если его форматировали. Понятно, что наши шифрованные данные в безопасности, даже если их удалили, а что делать с флешками и картами памяти? Вот здесь нам поможет утилита srm, которая удаляет файл, а после этого заполняет пустое место, оставшиеся после него шумом/мусором.

$ sudo apt-get install secure-delete $ srm список_кого_расстрелять_завтра.txt Берия_пьяный_спит_лол.mpg

Теперь если речь идёт о носители используем старый и верный нам dd:

# dd if=/dev/zero of=/dev/sdb

После ввода этой команды мы удалим все файлы с флешки sdb, и меняем файловую систему флешки, с помощью fdisk.

Отбиваемся от брутфорс-атак Fail2ban - вот такое полезное приложение, штудирует логи на попытки взломать сетевые сервисы. Объясняя простым языком, если кто-то пытается взломать нас, его блокирует по IP, нам об этом могут написать на почту. Для установки в Ubuntu/Debian вводим :

# apt-get install fail2ban Конфиг ищем в каталоге /etc/fail2ban, затем необходимо перезапустить введя:

# /etc/init.d/fail2ban restart

Всё, удачи нас забрутфорсить, ха :)

Пора надевать латы от угроз из интернета Конечно можно полезть в дебри настройки и тонкостях конфига, вспомнить что появился firewalld, который отлично справляется со всеми задачами, рассказать что такое iptables, вспомнить что такое отдельная машина под управлением OpenBSD, но нам необходим простой способ, дающий результат, в такие тернии лезть, смысла нет, скорее всего обычный пользователь запутается и ничего не поняв бросит всё, не дочитав даже статью. По этому просто ставим ipkungfu, это скрипт, который возьмёт на себя весь гемморой, и составит тонны правил, так что:

$ sudo apt-get install ipkungfu

А затем изменяем конфиг:

$ sudo vi /etc/ipkungfu/ipkungfu.conf LOCAL_NET="127.0.0.1"

GATEWAY=0

FORBIDDEN_PORTS="135 137 139"

BLOCK_PINGS=1

SUSPECT="DROP"

KNOWN_BAD="DROP"

PORT_SCAN="DROP"

Затем включаем ipkungfu, открывая файл /etc/default/ipkungfu , в строке IPKFSTART = 0 вместо нуля ставим 1. Теперь запускаем:

$ sudo ipkungfu

Вносим ещё пару правок в конфиг /etc/sysctl.conf :

$ sudo vi /etc/systcl.conf net.ipv4.conf.all.accept_redirects=0 net.ipv6.conf.all.accept_redirects=0 net.ipv4.tcp_syncookies=1 net.ipv4.tcp_timestamps=0 net.ipv4.conf.all.rp_filter=1 net.ipv4.tcp_max_syn_backlog=1280 kernel.core_uses_pid=1

И активируем, всё что поправили:

$ sudo sysctl -p

Но этого мало! Есть такая штука Snort - его любят все админы, в руководствах по безопасности ему посвящают целые главы, но мы то простые параноики, нам нужно защитить все типовые сетевые сервисы, он однопоточный есть ещё конечно suricata, многопоточная, но нам и этого за глаза хватит. По этому: $ sudo apt-get install snort $ snort -D

Белиссимо! Snort можно не настраивать, он и на базовых справится!

А что если... Но вот мы соорудили из нашей ОС безпалевный дачный домик параноика, а что если кто-то умнее нас смог обойти нашу защиту, обмануть брандмаузер, миновать Snort, получил права в системе и следит за нами регулярно? Что же делать? Паранойи мало не бывает. По этому необходимо ежеминутно :) тестировать свою ОС с помощью rkhunter:

$ sudo apt-get install rkhunter

Поехали!

$ sudo rkhunter -c --sk

После проверки на наличие руткитов мы увидим результат на экране, если вредитель есть, нам скажут где он и мы его удалим. Данную процедеру лучше делдать каждый день, в виде автоматического дейлика:

$ sudo vi /etc/cron.daily/rkhunter.sh #!/bin/bash /usr/bin/rkhunter -c --cronjob 2>&1 | mail -s "RKhunter Scan Results" stalin@kreml.ru

Почтовый ящик, рекомендую заменить на свой, и сделать скрипт исполянемым ежедневно:

$ sudo chmod +x /etc/cron.daily/rkhunter.sh

Эта команда будет обновлять базу данных хантера:

$ sudo rkhunter --update

Для полной безопасности рекомендую поставить lynis и tiger, периодически запуская, делают они тоже самое, но базы разные.

$ sudo apt-get install tiger $ sudo tiger $ sudo apt-get install lynis $ sudo lynis -c

для сверки сумм файлов и установленных пакетов с эталоном ставим debsums: $ sudo apt-get install debsums

И не забываем проверять

$ sudo debsums -ac

Наш любимый Tor! Tor - это наше всё, самый популярный способ анонимазции в интернете, который используют все от школьников до шпионов, по сути это модель работы сети, в которой любой пакет завёрнут аккуратно в три слоя шифрования, и по дороге к пользователю он пройдёт путь через три остановки, перед тем как попасть к нам. Tor легко установить и использовать:

$ sudo apt-get install tor

Всё, дальше лезем куда угодно, нас почти везде пустят, хотя уже появились сайты которые не любят Tor трафик, что связано с большим количеством ботов в самой сети.

Итог.

Это конец, без изучения огромного количества руководств мы с Вами создали сами из своей операционный системы Linux, настоящий дом параноика, в него нельзя попасть извне, его нельзя взломать, добыть из него информацию также нельзя, нельзя перехватить трафик и следить. Главное теперь - не ошибаться, всегда необходимо помнить, что паранойи много не бывает.

PS

Конечно, сейчас есть более простые способы получить анонимный дистрибутив , установив тот же Tails, но работа на Tails в публичном месте, и просто его наличие вызовет слишком много ненужных вопросов, здесь же Вы вопросов ни у кого не возникнет, Вас примут за обычного линуксоида, и распрашивать желания не возникнет ни у кого, потому что любой линуксоид начинает сразу рассказывать про то как ему нравится линукс, а это никому не интересно, так что даже никто и не узнает, что Вы не линуксоид, Вы параноик.

Правильные праздники Новый год, Рождество и тайна святой воды.

В этой видео-статье мы рассмотрим когда Правильно происходят Основные астрономические Праздники Карачун-Рождество- Новый Год (ХОД). Плюс откроем тайну крещенской воды, ее влияния на здо...

Они ТАМ есть: «кому нужнее»

Ответственность – это то, что не дает спокойно жить, когда ты знаешь, что не выполнил должное. Пусть не от тебя это зависело, но просто так скинуть мысли о том, что не смог, забыть и сп...

Обсудить
  • Так разве ты параноик? Так, сыромяжный любитель. :yum: Аналогичным образом создаешь образ хоста на облаке, хоть гугла, хоть амазона, хоть azure, там ставишь его редеплой с эталонного образа в прод, под нужные динамично хранимые файлы, почтовую базу и ссылки разворачиваешь второй хост. В свой тщедушный ноутбутик ставишь неприметную православную винду 10, или совсем простенькую линуху без спецсредств, которая точно ничего не вызовет подозрительного, но ходишь в сеть "через там" по удаленке. Когда не пользуешься - выключаешь хосты. Да, немного денег стоит, но мы же про НАСТОЯЩУЮ паранойю. Совсем гуру не буду напрямую виртуалки с целевой осью делать, и запустят на ней лишь Docker, в котором искомая виртуалка и будет жить за вторым слоем. И редеплой с образа проще.
    • gaerxx
    • 20 сентября 2018 г. 02:00
    вообще то Tails маскируется под вин