Статья Как настроить Kali Linux в плане безопасности и анонимности

Приветствую форумчане!

Решил накатать небольшую статейку для тех, кто только решил освоить

Ссылка скрыта от гостей

.

Но я не буду описывать специфические инструменты, их предназначение и использование. Я расскажу как безопасно настроить систему в плане безопасности и анонимности, которая сейчас очень актуальна. Чтобы бедный несчастный новичок не рыскал по поиску форума и гугле, пытаясь получить ответы. Именно для этого я решил собрать наработанный материал в одном месте.
Здоровая критика и дополнения приветствуются.

Все манипуляции, описанные в статье, проводились на Kali 64 bit с графическим окружением Gnome 3.

За работоспособность на другой разрядности или окружении я не ручаюсь. Все делаете на свой страх и риск!

Для начала узнаем какая разрядность у вашей системы:

grep -qP ’^flags\s*:.*\blm\b’ /proc/cpuinfo && echo 64-bit || echo 32-bit

Затем качаем образ только

Ссылка скрыта от гостей

и сверяем контрольные суммы методом:

sha256sum kali-linux-2017.3-amd64.iso

Записываем его на флешку обьемом от 4 Gb с помощью утилиты

Ссылка скрыта от гостей

Будем устанавливать Kali Linux на полностью зашифрованную файловую систему.
Как это сделать написано в статье на форуме. Более развернутого гайда я не встречал.
Прелести именно этой установки я обьяснять не буду Возможно вы поймете это позже.

После первого входа в систему отключим swap через Меню-Утилиты-Диски. Это самый быстрый способ:

Не надо пользоваться моей инструкцией с перезаписью swap из этой темы.
Она для уже юзанной системы, а на свежеустановленной достаточно указанного выше!
Отключен ли swap, можно посмотреть в Системном мониторе:

Проверяем, чтобы репозитории в /etc/apt/sources.list имели вид:

deb http://http.kali.org/kali kali-rolling main contrib non-free
# deb-src http://http.kali.org/kali kali-rolling main contrib non-free

Сделаем, чтобы при каждом подключении к сети mac менялся на рандомный.
(Спасибо@z3RoTooL за прекрасную подсказку в своей статье)
Для этого содержимое файла /etc/NetworkManager/NetworkManager.conf меняем на:

[main]
plugins=ifupdown,keyfile

[ifupdown]
managed=false

[connection]
wifi.cloned-mac-address=random

[connection]
ethernet.cloned-mac-address=random

Теперь правильно и безопасно настроим ssh, ведь без него никуда:

update-rc.d -f ssh remove
update-rc.d -f ssh defaults
cd /etc/ssh/
mkdir insecure_original_default_kali_keys
mv ssh_host_* insecure_original_default_kali_keys/
dpkg-reconfigure openssh-server

В файле конфигурации /etc/ssh/sshd_config меняем:

# Port 22
# PermitRootLogin without-password

на

Port 2282
PermitRootLogin no

Порт 22 меняем на любой нестандартный (в нашем случае 2282) для защиты от брутфорса.
PermitRootLogin no запрещает другим машинам подключаться к root пользователю на нашей машине.
Возможно в дальнейшем вы обзаведетесь своим VPS. Поэтому советую подключаться к нему не по паролю, а создать ключ, так как это безопасней:

ssh-keygen -t rsa

Жмем Enter несколько раз. Сгенерированный ключ /root/.ssh/id_rsa.pub потом поместите на свой сервер.
Так же не советую добавлять службу ssh в автозагрузку, а стартовать/выключать командами:

service ssh start
service ssh stop

Теперь важный момент в статье. Сделаем пароль самоуничтожения заголовков зашифрованного диска.
По сути без них он превращается просто в кирпич. По этой теме есть прекрасная статья на форуме.
Позволю себе сократить этот процесс до минимума:

cryptsetup luksAddNuke /dev/sda5
Enter any existing passphrase: Ваша фраза шифрования
Enter new passphrase for key slot: Пароль самоуничтожения
Verify passphrase: Повтор пароля самоуничтожения

cryptsetup luksHeaderBackup --header-backup-file luksheader.back /dev/sda5

file luksheader.back

openssl enc -aes-256-cbc -salt -in luksheader.back -out luksheader.back.enc
enter aes-256-cbc encryption password: Пароль для зашифрованного заголовка
Verifying - enter aes-256-cbc encryption password: Повтор пароля для зашифрованного заголовка

ls -lh luksheader.back*

file luksheader.back*

Файлы luksheader.back и luksheader.back.enc храним на зашифрованной с помощью LUKS
(можно сделать с помощью Меню-Утилиты-Диски) microsd флешке где нибудь вне дома.
Идеально подойдет какое нибудь гнездо в лесу.
Вот теперь пора бы нам обновить систему:

apt-get update && apt-get dist-upgrade

Так же скорее всего запросит, поэтому удаляем ненужные пакеты:

apt autoremove

Если в будущем хотим получать обновления по https, то выполняем:

apt install apt-transport-https

Проверяем, чтобы репозитории в /etc/apt/sources.list имели вид:

deb https://http.kali.org/kali kali-rolling main non-free contrib
# deb-src https://http.kali.org/kali kali-rolling main non-free contrib

И снова обновим систему:

apt-get update && apt-get dist-upgrade

Софт. Почему именно такой? Дальше будет описание, зачем нужен каждый инструмент:

apt-get install mat steghide network-manager-openvpn-gnome secure-delete keepassx pidgin pidgin-otr etherape irssi tor lighttpd virtualbox

Описание

mat - удаление метаданных в файлах
steghide - позволяет скрывать информацию методом стеганографии
network-manager-openvpn-gnome - нужен для настройки VPN
secure-delete - предназначен для безвозвратного удаления данных и удаления остаточной информации
keepassx - для безопасного хранение паролей
pidgin и pidgin-otr - джаббер клиент с

Ссылка скрыта от гостей

шифрованием. Это вам не телега!
etherape - анализатор пакетов/инструмент для

Ссылка скрыта от гостей

трафика
irssi - консольный IRC-клиент
tor и lighttpd - в представлении не нуждается. Пригодится, как начиная от банального использования утилиты torsocks, так и до подьема своего ресурса в сети Tor.
virtualbox - виртуальная машина, которая может пригодиться для установки

Ссылка скрыта от гостей

...

Так же думаю не лишним будет установить и донастроить еще кое что:
Bluetooth. Он нормально не работает, поэтому пользуемся мануалом по настройке.
Ram wiping. Очишает дамп оперативной памяти при перезагрузке.
VPN. Написал статью с примером на сервисе riseup, но на другом ресурсе тоже сработает команда:

openvpn --client --dev tun --config ВАША_КОНФИГУРАЦИЯ.ovpn --proto tcp

Уже закупились вай-фай адаптером ALFA или только думаете? Тогда пишем скрипт /bin/wlan1 с содержимым:

#!/bin/sh

ifconfig wlan1 down
macchanger -r wlan1
iw reg set BZ
iwconfig wlan1 txpower 30
ifconfig wlan1 up
echo "MAC updated..."
exit 0

и делаем его исполняемым:

chmod +x /bin/wlan1

Теперь при подключении ALFA и вводе в терминале команды wlan1 будет не только меняться mac, но и повышаться мощность.
Возможно вам пригодится Tor browser?
Не забудьте добавить в путь_до/tor-browser_en-US/Browser/TorBrowser/Data/Tor/torrc в самый низ строки:

ExcludeNodes {ru},{ua},{by}

Это исключит подключение к неблагополучным нодам. Если провайдер блокирует доступ:

Вот собственно и все. Конечно я могу продолжать бесконечно но это же для новичков.

Всем спасибо за внимание.

По материалам статьи записали ролик с обновленной информацией на момент публикации ролика:

 

[ghost]

@noob, спасибо большое за дополнение:

ssh-keygen -t rsa -b 4096

ключики нужно усиливать ввиду последних событий а так вообще статья то для новичков

 

[Dfyzicka]

Может вопрос будет казаться глупым, но будем помнить о том, что сами когда то ни чего не знали, как в кали и вообще в линукс сделать авторизацию не по паролю а по ключу и какой метод надежнее?

 

[ghost]

Может вопрос будет казаться глупым, но будем помнить о том, что сами когда то ни чего не знали, как в кали и вообще в линукс сделать авторизацию не по паролю а по ключу и какой метод надежнее?

Авторизация по ключу делается для ssh-соединения и ключ этот копируется на удаленный сервер, чтобы ты со своего линукса мог подключаться туда без ввода пароля каждый раз. Самый надежный метод - ключ 4096 бит + пароль

 

[Wise]

Для этого содержимое файла /etc/NetworkManager/NetworkManager.conf меняем на:

Добрый вечерок!
Спасибо автору за такую статью! Но, при изменения файла NetworkManager.conf все работало, именно до того момента, пока я не перегрузил. После этого, NetworkManager.conf даже не загружался и подключение по wi-fi не появлялось. Кто подскажет, как прописать это так, что бы все работало? Пока вернул содержимое файла NetworkManager.conf в исходное состояние.

 

[Carvalol]

попробуй прописать

service network-manager stop
измени все настройки как указано выше
поставь нельзя редактировать
и стартани service network-manager start
reboot и глянь что будет

 

[Wise]

Спасибо за ответ, сейчас попробую.

---- Добавлено позже ----

Попробовал. Нет не запускается все так же NetworkManager

 

[WeBGod]

Можно ли таким образом поставить кали на флешку объемом 16 гб.
Или же разбить ссд на 2 раздела и на 2 поставить кали.Если есть такая возможность расскажите пожалуйста

 

[Mr.Chaos]

Сделай Kali отдельно себе на флешку и зашифруй, лучшее что можно сделать. Не забудь отключить swap перед установкой или сразу после установки до обновлений.

При шифровании флешки кали будет работать медленее, поэтому бери флеху на желательно с хорошей скоростью чтения и записи.

 

[WeBGod]

Сделай Kali отдельно себе на флешку и зашифруй, лучшее что можно сделать. Не забудь отключить swap перед установкой или сразу после установки до обновлений.

При шифровании флешки кали будет работать медленее, поэтому бери флеху на желательно с хорошей скоростью чтения и записи.

Да,у меня флеха кингстон 3.0

---- Добавлено позже ----

Еще вопрос такой,когда ставлю себе любой линукс не могу подкл проводной интернет из роутера,линукс не может установить соед DHCP.

---- Добавлено позже ----

Еще вопрос такой,когда ставлю себе любой линукс не могу подкл проводной интернет из роутера,линукс не может установить соед DHCP

 

[Vertigo]

не могу подкл проводной интернет из роутера,линукс не может установить соед DHCP

1) Не указан провайдер при установке дистрибутива
2) Не указан роутер в виде шлюза в файле resolv.conf
3) Не настроен интерфейс eth0 (eth1)
4) Надо пробовать подсоединить провод напрямую в комп без роутера и уже от этого думать что делать дальше.
5) Настройки интерфейса роутера проверить
6) Вопрос не для обсуждения в этой теме.

 

[Wise]

Можно ли таким образом поставить кали на флешку объемом 16 гб.
Или же разбить ссд на 2 раздела и на 2 поставить кали.Если есть такая возможность расскажите пожалуйста

Я разбил жесткий на два раздела и поставил Kali второй системой с виндой))

 

[WeBGod]

Я разбил жесткий на два раздела и поставил Kali второй системой с виндой))

Красава,ты ее LVM не зашифруешь так.

---- Добавлено позже ----

Сделай Kali отдельно себе на флешку и зашифруй, лучшее что можно сделать. Не забудь отключить swap перед установкой или сразу после установки до обновлений.

При шифровании флешки кали будет работать медленее, поэтому бери флеху на желательно с хорошей скоростью чтения и записи.

Шифровать флеху трукриптом с винды?Или как по этому мануалу?

 

[Wise]

Красава,ты ее LVM не зашифруешь так.

Да я как бы и не собирался ним шифровать. Обязательно нужно шифровать?

 

[WeBGod]

Да я как бы и не собирался ним шифровать. Обязательно нужно шифровать?

Нет,просто ты мне написал с предлогом,что ты очень умный.
Мне нужна зашифрованная система.

 

[Wise]

это тебе показалось. Никакого предлога не было.

 

[n01n02h]

Красава,ты ее LVM не зашифруешь так.

Почему не зашифруешь если второй системой стоит? Зашифруешь

 

[WeBGod]

Почему не зашифруешь если второй системой стоит? Зашифруешь

LVM режиму вроде все равно на разделы на винте или ссд,он начинает шифровать весь диск.

 

[MRX77]

ПРивет всем!Подскажите как настроить DnsCrypt перелопатил много чего но так и не нашел конкертного ответа!Если есть возможность скиньте манул)
Спс!

 

[Underwood]

ПРивет всем!Подскажите как настроить DnsCrypt перелопатил много чего но так и не нашел конкертного ответа!Если есть возможность скиньте манул)
Спс!

Стоит сначала попробовать поиск по форуму: Установка dnscrypt-proxy + dnsmasq в Arch,Blackarch,Kali

 

[PredatorGXG]

Покажешь пример?
Или сами пишите?

Пользуйтесь

history -c чистит в самом терминале но следы есть в bash_history
> ~/.bash_history чистим историю окончательно
> ~/.zsh_history когда установлен zsh чистим историю

Также для параноиков кидайте в cron