Статья Как настроить Kali Linux в плане безопасности и анонимности

Приветствую форумчане!

Решил накатать небольшую статейку для тех, кто только решил освоить

Ссылка скрыта от гостей

.

Но я не буду описывать специфические инструменты, их предназначение и использование. Я расскажу как безопасно настроить систему в плане безопасности и анонимности, которая сейчас очень актуальна. Чтобы бедный несчастный новичок не рыскал по поиску форума и гугле, пытаясь получить ответы. Именно для этого я решил собрать наработанный материал в одном месте.
Здоровая критика и дополнения приветствуются.

Все манипуляции, описанные в статье, проводились на Kali 64 bit с графическим окружением Gnome 3.

За работоспособность на другой разрядности или окружении я не ручаюсь. Все делаете на свой страх и риск!

Для начала узнаем какая разрядность у вашей системы:

grep -qP ’^flags\s*:.*\blm\b’ /proc/cpuinfo && echo 64-bit || echo 32-bit

Затем качаем образ только

Ссылка скрыта от гостей

и сверяем контрольные суммы методом:

sha256sum kali-linux-2017.3-amd64.iso

Записываем его на флешку обьемом от 4 Gb с помощью утилиты

Ссылка скрыта от гостей

Будем устанавливать Kali Linux на полностью зашифрованную файловую систему.
Как это сделать написано в статье на форуме. Более развернутого гайда я не встречал.
Прелести именно этой установки я обьяснять не буду Возможно вы поймете это позже.

После первого входа в систему отключим swap через Меню-Утилиты-Диски. Это самый быстрый способ:

Не надо пользоваться моей инструкцией с перезаписью swap из этой темы.
Она для уже юзанной системы, а на свежеустановленной достаточно указанного выше!
Отключен ли swap, можно посмотреть в Системном мониторе:

Проверяем, чтобы репозитории в /etc/apt/sources.list имели вид:

deb http://http.kali.org/kali kali-rolling main contrib non-free
# deb-src http://http.kali.org/kali kali-rolling main contrib non-free

Сделаем, чтобы при каждом подключении к сети mac менялся на рандомный.
(Спасибо@z3RoTooL за прекрасную подсказку в своей статье)
Для этого содержимое файла /etc/NetworkManager/NetworkManager.conf меняем на:

[main]
plugins=ifupdown,keyfile

[ifupdown]
managed=false

[connection]
wifi.cloned-mac-address=random

[connection]
ethernet.cloned-mac-address=random

Теперь правильно и безопасно настроим ssh, ведь без него никуда:

update-rc.d -f ssh remove
update-rc.d -f ssh defaults
cd /etc/ssh/
mkdir insecure_original_default_kali_keys
mv ssh_host_* insecure_original_default_kali_keys/
dpkg-reconfigure openssh-server

В файле конфигурации /etc/ssh/sshd_config меняем:

# Port 22
# PermitRootLogin without-password

на

Port 2282
PermitRootLogin no

Порт 22 меняем на любой нестандартный (в нашем случае 2282) для защиты от брутфорса.
PermitRootLogin no запрещает другим машинам подключаться к root пользователю на нашей машине.
Возможно в дальнейшем вы обзаведетесь своим VPS. Поэтому советую подключаться к нему не по паролю, а создать ключ, так как это безопасней:

ssh-keygen -t rsa

Жмем Enter несколько раз. Сгенерированный ключ /root/.ssh/id_rsa.pub потом поместите на свой сервер.
Так же не советую добавлять службу ssh в автозагрузку, а стартовать/выключать командами:

service ssh start
service ssh stop

Теперь важный момент в статье. Сделаем пароль самоуничтожения заголовков зашифрованного диска.
По сути без них он превращается просто в кирпич. По этой теме есть прекрасная статья на форуме.
Позволю себе сократить этот процесс до минимума:

cryptsetup luksAddNuke /dev/sda5
Enter any existing passphrase: Ваша фраза шифрования
Enter new passphrase for key slot: Пароль самоуничтожения
Verify passphrase: Повтор пароля самоуничтожения

cryptsetup luksHeaderBackup --header-backup-file luksheader.back /dev/sda5

file luksheader.back

openssl enc -aes-256-cbc -salt -in luksheader.back -out luksheader.back.enc
enter aes-256-cbc encryption password: Пароль для зашифрованного заголовка
Verifying - enter aes-256-cbc encryption password: Повтор пароля для зашифрованного заголовка

ls -lh luksheader.back*

file luksheader.back*

Файлы luksheader.back и luksheader.back.enc храним на зашифрованной с помощью LUKS
(можно сделать с помощью Меню-Утилиты-Диски) microsd флешке где нибудь вне дома.
Идеально подойдет какое нибудь гнездо в лесу.
Вот теперь пора бы нам обновить систему:

apt-get update && apt-get dist-upgrade

Так же скорее всего запросит, поэтому удаляем ненужные пакеты:

apt autoremove

Если в будущем хотим получать обновления по https, то выполняем:

apt install apt-transport-https

Проверяем, чтобы репозитории в /etc/apt/sources.list имели вид:

deb https://http.kali.org/kali kali-rolling main non-free contrib
# deb-src https://http.kali.org/kali kali-rolling main non-free contrib

И снова обновим систему:

apt-get update && apt-get dist-upgrade

Софт. Почему именно такой? Дальше будет описание, зачем нужен каждый инструмент:

apt-get install mat steghide network-manager-openvpn-gnome secure-delete keepassx pidgin pidgin-otr etherape irssi tor lighttpd virtualbox

Описание

mat - удаление метаданных в файлах
steghide - позволяет скрывать информацию методом стеганографии
network-manager-openvpn-gnome - нужен для настройки VPN
secure-delete - предназначен для безвозвратного удаления данных и удаления остаточной информации
keepassx - для безопасного хранение паролей
pidgin и pidgin-otr - джаббер клиент с

Ссылка скрыта от гостей

шифрованием. Это вам не телега!
etherape - анализатор пакетов/инструмент для

Ссылка скрыта от гостей

трафика
irssi - консольный IRC-клиент
tor и lighttpd - в представлении не нуждается. Пригодится, как начиная от банального использования утилиты torsocks, так и до подьема своего ресурса в сети Tor.
virtualbox - виртуальная машина, которая может пригодиться для установки

Ссылка скрыта от гостей

...

Так же думаю не лишним будет установить и донастроить еще кое что:
Bluetooth. Он нормально не работает, поэтому пользуемся мануалом по настройке.
Ram wiping. Очишает дамп оперативной памяти при перезагрузке.
VPN. Написал статью с примером на сервисе riseup, но на другом ресурсе тоже сработает команда:

openvpn --client --dev tun --config ВАША_КОНФИГУРАЦИЯ.ovpn --proto tcp

Уже закупились вай-фай адаптером ALFA или только думаете? Тогда пишем скрипт /bin/wlan1 с содержимым:

#!/bin/sh

ifconfig wlan1 down
macchanger -r wlan1
iw reg set BZ
iwconfig wlan1 txpower 30
ifconfig wlan1 up
echo "MAC updated..."
exit 0

и делаем его исполняемым:

chmod +x /bin/wlan1

Теперь при подключении ALFA и вводе в терминале команды wlan1 будет не только меняться mac, но и повышаться мощность.
Возможно вам пригодится Tor browser?
Не забудьте добавить в путь_до/tor-browser_en-US/Browser/TorBrowser/Data/Tor/torrc в самый низ строки:

ExcludeNodes {ru},{ua},{by}

Это исключит подключение к неблагополучным нодам. Если провайдер блокирует доступ:

Вот собственно и все. Конечно я могу продолжать бесконечно но это же для новичков.

Всем спасибо за внимание.

По материалам статьи записали ролик с обновленной информацией на момент публикации ролика:

 

[Mitistofel]

Как один из вариантов исправить ошибку с /var/lib/dpkg/lock

не помогло...
Зашёл в сетевые параметры, там пишут "NetworkManager должен быть запущен", когда пытаюсь запустить "NetworkManager" командой "service network-manager start" то выдаёт "Job for NetworkManager.service failed because the control process exited with error code.
See "systemctl status NetworkManager.service" and "journalctl -xe" for details. (Работа для NetworkManager.service завершилась неудачно, потому что процесс управления завершился с кодом ошибки. Подробнее см. «Systemctl status NetworkManager.service» и «journalctl -xe».)"

 

[Mitistofel]

В связи с тем что проблемы с "Network Manager" и командой "apt-get install network-manager" он не устанавливается (ошибки и всё такое) в связи со всем этим я его удалил. Как вот теперь его опять закачать (и куда) для того что бы его можно было опять установить с помощью команды "apt-get install network-manager". Ведь интернет на kali не работает, так как из за отсутствия этой программы нету и интернета, и поэтому восстановить эту программу с помощью обновлений я не могу. Но я могу скачать все необходимые файлы через основную операционную систему (так как kali на виртуалке). Погуглил минут 20, решения не нашёл пока. Подумал, может быть кто то подскажет быстрее чем я найду...

 

[centr]

Ссылка скрыта от гостей

 

[ghost]

В связи с тем что проблемы с "Network Manager" и командой "apt-get install network-manager" он не устанавливается (ошибки и всё такое) в связи со всем этим я его удалил. Как вот теперь его опять закачать (и куда) для того что бы его можно было опять установить с помощью команды "apt-get install network-manager". Ведь интернет на kali не работает, так как из за отсутствия этой программы нету и интернета, и поэтому восстановить эту программу с помощью обновлений я не могу. Но я могу скачать все необходимые файлы через основную операционную систему (так как kali на виртуалке). Погуглил минут 20, решения не нашёл пока. Подумал, может быть кто то подскажет быстрее чем я найду...

Способов масса по Линукс для поднятия сети из терминала.
Вот один из них

Ссылка скрыта от гостей

 

[Mitistofel]

Способов масса по Линукс для поднятия сети из терминала.
Вот один из них

Ссылка скрыта от гостей

Это я как понимаю способ для того что бы интернет начал работать через вай фай. У меня интрернет проводной, так что я думаю мне это не подходит, но всё же спасибо

 

[Mitistofel]

wicd - download

Показалось, что для того что бы сделать интернет по этой статье, то нужен доступ к интернету. Если не так, то поправьте...

 

[Глюк]

Это я как понимаю способ для того что бы интернет начал работать через вай фай. У меня интрернет проводной, так что я думаю мне это не подходит, но всё же спасибо

Проверяем сеть
# ip addr
Ищем что то похожее на enp2s0
Добавляем сеть в загрузку
# systemctl enable dhcpcd@enp2s0.service
Вместо enp2s0 впишите то, что нашли в ip link
Запускаем сеть
# systemctl start dhcpcd@enp2s0.service
проверяем интернет

 

[Mitistofel]

А на данный момент у меня ситуация такая. Я скачал зип архив "NetworkManager-1.10.6" распаковал его, но теперь не знаю как именно это всё дело установить. В интеренете нашёл ряд способов установки в таком случае с помощью "dpkg" или с помощью"./", но для этих методов нужны файлы с ращирением "deb" и другие, которых у меня после распоковки "NetworkManager-1.10.6" тоже нет, зато есть миллион других всяких разных файлов. Ну а если среди разорхивированного зайти в папку "examples", то там есть папки в которых много файлов с расширением ".rb; .py; .cpp", но этих файлов прямо много, их все установить что ли надо? Я привык на видвс один файл ".exe" установил и всё...
Разбирающиеся, напишите что нибудь...

 

[Mitistofel]

Проверяем сеть
# ip addr
Ищем что то похожее на enp2s0
Добавляем сеть в загрузку
# systemctl enable dhcpcd@enp2s0.service
Вместо enp2s0 впишите то, что нашли в ip link
Запускаем сеть
# systemctl start dhcpcd@enp2s0.service
проверяем интернет

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet ххх.х.х.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
link/ether хх:00:хх:хх:6b:хх brd ff:ff:ff:ff:ff:ff


"Ищем что то похожее на enp2s0" мне кажется или у меня похожего на "enp2s0" не чего нету?
"Вместо enp2s0 впишите то, что нашли в ip link" что то из этого - "link/ether хх:00:хх:хх:6b:хх brd ff:ff:ff:ff:ff:ff" "link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00"?

 

[Глюк]

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet ххх.х.х.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
link/ether хх:00:хх:хх:6b:хх brd ff:ff:ff:ff:ff:ff


"Ищем что то похожее на enp2s0" мне кажется или у меня похожего на "enp2s0" не чего нету?
"Вместо enp2s0 впишите то, что нашли в ip link" что то из этого - "link/ether хх:00:хх:хх:6b:хх brd ff:ff:ff:ff:ff:ff" "link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00"?

попробуйте # ip link
или попробуйте прописать вместо enp2s0 eth0
хотя ваша система почему то не видит вашу сетевую карту. даже мас адреса нету. или это вы сами его так скрыли?

 

[Mitistofel]

попробуйте # ip link
или попробуйте прописать вместо enp2s0 eth0
хотя ваша система почему то не видит вашу сетевую карту. даже мас адреса нету. или это вы сами его так скрыли?

Я скрыл только то, что закрыто этими символами "х"
А пропадать начало после того как я действовал по инструкции, которой посвящанён этот топик.

Если пишу так:
root@System:~# systemctl enable dhcpcd@eth0.service
Получаю такое:
Failed to enable unit: Unit file dhcpcd@eth0.service does not exist.

Вот что выдаёт когда пишу "ip link":

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000
link/ether хх:00:27:хх:6b:хх brd ff:ff:ff:ff:ff:ff

Сейчас я как понимаю мне надо установить "NetworkManager", но я не могу. Вы знаете как его установить если нету доступа к интернету с kali linux? Но есть интернет с основной винды (kali linux на виртуальной машине). Как я уже писал выше, то я скачал на "kali linux" через общую папку "NetworkManager", но не знаю как его установить....

На прикреплённой картинук видно, что требуется "NetworkManager"

 

[Глюк]

Я скрыл только то, что закрыто этими символами "х"
А пропадать начало после того как я действовал по инструкции, которой посвящанён этот топик.

Если пишу так:
root@System:~# systemctl enable dhcpcd@eth0.service
Получаю такое:
Failed to enable unit: Unit file dhcpcd@eth0.service does not exist.

если честно, я в замешательстве... насколько мне известно, dhcpcd входит в по умолчанию в стабильную ветку дебиана. но непонятно почему udev видит вашу сетевую карту как eth0. с версии 197 systemd присваивает стандартные имена сетевым интерфейсам, en (ethernet), wl (WLAN) или ww (WWAN), после которых следует автоматически сгенерированный идентификатор. В итоге получаются имена наподобие enp0s25.
попробуйте ввести # ip link set eth0 up
строчка
eth0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
link/ether хх:00:хх:хх:6b:хх brd ff:ff:ff:ff:ff:ff
должна принять вид
eth0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state UP group default qlen 1000
link/ether хх:00:хх:хх:6b:хх brd ff:ff:ff:ff:ff:ff
возможно у вас просто выключена карта программно...

 

[Mitistofel]

если честно, я в замешательстве... насколько мне известно, dhcpcd входит в по умолчанию в стабильную ветку дебиана. но непонятно почему udev видит вашу сетевую карту как eth0. с версии 197 systemd присваивает стандартные имена сетевым интерфейсам, en (ethernet), wl (WLAN) или ww (WWAN), после которых следует автоматически сгенерированный идентификатор. В итоге получаются имена наподобие enp0s25.
попробуйте ввести # ip link set eth0 up
строчка
eth0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
link/ether хх:00:хх:хх:6b:хх brd ff:ff:ff:ff:ff:ff
должна принять вид
eth0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state UP group default qlen 1000
link/ether хх:00:хх:хх:6b:хх brd ff:ff:ff:ff:ff:ff
возможно у вас просто выключена карта программно...

root@System:~# ip link
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000
link/ether хх:00:хх:хх:6b:хх brd ff:ff:ff:ff:ff:ff

Теперь стало UP, но например та команда которую вы советовали, всё равно выдаёт ошибку:
root@System:~# systemctl enable dhcpcd@eth0.service
Failed to enable unit: Unit file dhcpcd@eth0.service does not exist.

А вы читали то что я писал в своём последнем сообщении про "NetworkManager", просто я добавлял этот текс через редактирование, поэтому возможно, что вы когда читали этого не было... Думаю если установить "NetworkManager", то возможно всё решится

 

[Глюк]

Думаю если установить "NetworkManager", то возможно всё решится

скорее всего решится. просто я описанным методом запускаю интернет в консоле. а когда ставлю полноценный дистрибутив по службу dhcpcd отключаю и ставлю NM.

 

[Mitistofel]

скорее всего решится. просто я описанным методом запускаю интернет в консоле. а когда ставлю полноценный дистрибутив по службу dhcpcd отключаю и ставлю NM.

С какого сайта можно скачать "NetworkManager" с расшиернием .deb, или с любым другим расширением, которое можно установить на kali linux?

Или как установить релиз скаченный с "GitHub"?

 

[Глюк]

С какого сайта можно скачать "NetworkManager" с расшиернием .deb, или с любым другим расширением, которое можно установить на kali linux?

Или как установить релиз скаченный с "GitHub"?

Ссылка скрыта от гостей

 

[Mitistofel]

Network-manager-gnome Download (DEB)

Это я находил уже ) скачал с этого сайта "

Ссылка скрыта от гостей

" и "

Ссылка скрыта от гостей

", не тот не тот не установился, выдаёт ошибки:
"При обработке следующих пакетов произошли ошибки: network-manager-gnome"

Больше сайтов не нашёл где можно скачать...

Либо как установить релиз скаченный с "GitHub"? Может его в какую то папку засунуть надо или что?

 

[Глюк]

Это я находил уже ) скачал с этого сайта "

Ссылка скрыта от гостей

" и "

Ссылка скрыта от гостей

", не тот не тот не установился, выдаёт ошибки.... больше сайтов не нашёл где можно скачать...

Либо как установить релиз скаченный с "GitHub"? Может его в какую то папку засунуть надо или что?

тут я не смогу помочь. в дебиане я пакеты из исходников сто лет не собирал... )

 

[Mitistofel]

тут я не смогу помочь. в дебиане я пакеты из исходников сто лет не собирал... )

переустановлю kali тогда, а то уже два дня не могу эту проблему решить...

 

[ghost]

переустановлю kali тогда, а то уже два дня не могу эту проблему решить...

Может проблемы из за этого:

Для этого содержимое файла /etc/NetworkManager/NetworkManager.conf меняем на:
Код:

NetworkManager.conf
[main]
plugins=ifupdown,keyfile

[ifupdown]
managed=false

[connection]
wifi.cloned-mac-address=random

[connection]
ethernet.cloned-mac-address=random

а нужно так:

[main]
plugins=ifupdown,keyfile

[ifupdown]
managed=false

[connection]
wifi.cloned-mac-address=random

[connection]
ethernet.cloned-mac-address=random

Где то на страницах в теме писал об этом уже. Не менял /etc/NetworkManager/NetworkManager.conf случаем по инструкции?