Статья Как настроить Kali Linux в плане безопасности и анонимности

f010c2c0875b97ab74dec7bda52.jpg


Приветствую форумчане!

Решил накатать небольшую статейку для тех, кто только решил освоить .

Но я не буду описывать специфические инструменты, их предназначение и использование. Я расскажу как безопасно настроить систему в плане безопасности и анонимности, которая сейчас очень актуальна. Чтобы бедный несчастный новичок не рыскал по поиску форума и гугле, пытаясь получить ответы. Именно для этого я решил собрать наработанный материал в одном месте.
Здоровая критика и дополнения приветствуются.

436536536.jpg


Все манипуляции, описанные в статье, проводились на Kali 64 bit с графическим окружением Gnome 3.

За работоспособность на другой разрядности или окружении я не ручаюсь. Все делаете на свой страх и риск!

Для начала узнаем какая разрядность у вашей системы:
Код:
grep -qP ’^flags\s*:.*\blm\b’ /proc/cpuinfo && echo 64-bit || echo 32-bit
Снимок экрана от 2017-12-04 23-07-06.png


Затем качаем образ только и сверяем контрольные суммы методом:
Код:
sha256sum kali-linux-2017.3-amd64.iso
Записываем его на флешку обьемом от 4 Gb с помощью утилиты
Будем устанавливать Kali Linux на полностью зашифрованную файловую систему.
Как это сделать написано в статье на форуме. Более развернутого гайда я не встречал.
Прелести именно этой установки я обьяснять не буду :) Возможно вы поймете это позже.

102117_1217_Kali30.png

После первого входа в систему отключим swap через Меню-Утилиты-Диски. Это самый быстрый способ:

Снимок экрана от 2017-12-04 23-02-50.png


Не надо пользоваться моей инструкцией с перезаписью swap из этой темы.
Она для уже юзанной системы, а на свежеустановленной достаточно указанного выше!
Отключен ли swap, можно посмотреть в Системном мониторе:

Снимок экрана от 2017-12-05 01-50-31.png


Проверяем, чтобы репозитории в /etc/apt/sources.list имели вид:
Код:
deb http://http.kali.org/kali kali-rolling main contrib non-free
# deb-src http://http.kali.org/kali kali-rolling main contrib non-free
Сделаем, чтобы при каждом подключении к сети mac менялся на рандомный.
(Спасибо@z3RoTooL за прекрасную подсказку в своей статье)
Для этого содержимое файла /etc/NetworkManager/NetworkManager.conf меняем на:
Код:
[main]
plugins=ifupdown,keyfile

[ifupdown]
managed=false

[connection]
wifi.cloned-mac-address=random

[connection]
ethernet.cloned-mac-address=random
Теперь правильно и безопасно настроим ssh, ведь без него никуда:
Код:
update-rc.d -f ssh remove
update-rc.d -f ssh defaults
cd /etc/ssh/
mkdir insecure_original_default_kali_keys
mv ssh_host_* insecure_original_default_kali_keys/
dpkg-reconfigure openssh-server
В файле конфигурации /etc/ssh/sshd_config меняем:
Код:
# Port 22
# PermitRootLogin without-password
на
Код:
Port 2282
PermitRootLogin no
Порт 22 меняем на любой нестандартный (в нашем случае 2282) для защиты от брутфорса.
PermitRootLogin no запрещает другим машинам подключаться к root пользователю на нашей машине.
Возможно в дальнейшем вы обзаведетесь своим VPS. Поэтому советую подключаться к нему не по паролю, а создать ключ, так как это безопасней:
Код:
ssh-keygen -t rsa
Жмем Enter несколько раз. Сгенерированный ключ /root/.ssh/id_rsa.pub потом поместите на свой сервер.
Так же не советую добавлять службу ssh в автозагрузку, а стартовать/выключать командами:
Код:
service ssh start
service ssh stop
Теперь важный момент в статье. Сделаем пароль самоуничтожения заголовков зашифрованного диска.
По сути без них он превращается просто в кирпич. По этой теме есть прекрасная статья на форуме.
Позволю себе сократить этот процесс до минимума:
Код:
cryptsetup luksAddNuke /dev/sda5
Enter any existing passphrase: Ваша фраза шифрования
Enter new passphrase for key slot: Пароль самоуничтожения
Verify passphrase: Повтор пароля самоуничтожения

cryptsetup luksHeaderBackup --header-backup-file luksheader.back /dev/sda5

file luksheader.back

openssl enc -aes-256-cbc -salt -in luksheader.back -out luksheader.back.enc
enter aes-256-cbc encryption password: Пароль для зашифрованного заголовка
Verifying - enter aes-256-cbc encryption password: Повтор пароля для зашифрованного заголовка

ls -lh luksheader.back*

file luksheader.back*
Файлы luksheader.back и luksheader.back.enc храним на зашифрованной с помощью LUKS
(можно сделать с помощью Меню-Утилиты-Диски) microsd флешке где нибудь вне дома.
Идеально подойдет какое нибудь гнездо в лесу.

Вот теперь пора бы нам обновить систему:
Код:
apt-get update && apt-get dist-upgrade
Так же скорее всего запросит, поэтому удаляем ненужные пакеты:
Код:
apt autoremove
Если в будущем хотим получать обновления по https, то выполняем:
Код:
apt install apt-transport-https
Проверяем, чтобы репозитории в /etc/apt/sources.list имели вид:
Код:
deb https://http.kali.org/kali kali-rolling main non-free contrib
# deb-src https://http.kali.org/kali kali-rolling main non-free contrib
И снова обновим систему:
Код:
apt-get update && apt-get dist-upgrade
Софт. Почему именно такой? Дальше будет описание, зачем нужен каждый инструмент:
Код:
apt-get install mat steghide network-manager-openvpn-gnome secure-delete keepassx pidgin pidgin-otr etherape irssi tor lighttpd virtualbox
mat - удаление метаданных в файлах
steghide - позволяет скрывать информацию методом стеганографии
network-manager-openvpn-gnome - нужен для настройки VPN
secure-delete - предназначен для безвозвратного удаления данных и удаления остаточной информации
keepassx - для безопасного хранение паролей
pidgin и pidgin-otr - джаббер клиент с шифрованием. Это вам не телега!
etherape - анализатор пакетов/инструмент для трафика
irssi - консольный IRC-клиент
tor и lighttpd - в представлении не нуждается. Пригодится, как начиная от банального использования утилиты torsocks, так и до подьема своего ресурса в сети Tor.
virtualbox - виртуальная машина, которая может пригодиться для установки ...

jedi_linux.jpg


Так же думаю не лишним будет установить и донастроить еще кое что:
Bluetooth. Он нормально не работает, поэтому пользуемся мануалом по настройке.
Ram wiping. Очишает дамп оперативной памяти при перезагрузке.
VPN. Написал статью с примером на сервисе riseup, но на другом ресурсе тоже сработает команда:
Код:
openvpn --client --dev tun --config ВАША_КОНФИГУРАЦИЯ.ovpn --proto tcp
Уже закупились вай-фай адаптером ALFA или только думаете? Тогда пишем скрипт /bin/wlan1 с содержимым:
Код:
#!/bin/sh

ifconfig wlan1 down
macchanger -r wlan1
iw reg set BZ
iwconfig wlan1 txpower 30
ifconfig wlan1 up
echo "MAC updated..."
exit 0
и делаем его исполняемым:
Код:
chmod +x /bin/wlan1
Теперь при подключении ALFA и вводе в терминале команды wlan1 будет не только меняться mac, но и повышаться мощность.
Возможно вам пригодится Tor browser?
Не забудьте добавить в путь_до/tor-browser_en-US/Browser/TorBrowser/Data/Tor/torrc в самый низ строки:
Код:
ExcludeNodes {ru},{ua},{by}
Это исключит подключение к неблагополучным нодам. Если провайдер блокирует доступ:


Вот собственно и все. Конечно я могу продолжать бесконечно :) но это же для новичков.

Всем спасибо за внимание.

По материалам статьи записали ролик с обновленной информацией на момент публикации ролика:

 

Mitistofel

Green Team
03.06.2018
264
151
BIT
0
Как один из вариантов исправить ошибку с /var/lib/dpkg/lock
не помогло...
Зашёл в сетевые параметры, там пишут "NetworkManager должен быть запущен", когда пытаюсь запустить "NetworkManager" командой "service network-manager start" то выдаёт "Job for NetworkManager.service failed because the control process exited with error code.
See "systemctl status NetworkManager.service" and "journalctl -xe" for details. (Работа для NetworkManager.service завершилась неудачно, потому что процесс управления завершился с кодом ошибки. Подробнее см. «Systemctl status NetworkManager.service» и «journalctl -xe».)"
 

Mitistofel

Green Team
03.06.2018
264
151
BIT
0
В связи с тем что проблемы с "Network Manager" и командой "apt-get install network-manager" он не устанавливается (ошибки и всё такое) в связи со всем этим я его удалил. Как вот теперь его опять закачать (и куда) для того что бы его можно было опять установить с помощью команды "apt-get install network-manager". Ведь интернет на kali не работает, так как из за отсутствия этой программы нету и интернета, и поэтому восстановить эту программу с помощью обновлений я не могу. Но я могу скачать все необходимые файлы через основную операционную систему (так как kali на виртуалке). Погуглил минут 20, решения не нашёл пока. Подумал, может быть кто то подскажет быстрее чем я найду...
 

ghost

Well-known member
12.05.2016
1 636
3 289
BIT
0
В связи с тем что проблемы с "Network Manager" и командой "apt-get install network-manager" он не устанавливается (ошибки и всё такое) в связи со всем этим я его удалил. Как вот теперь его опять закачать (и куда) для того что бы его можно было опять установить с помощью команды "apt-get install network-manager". Ведь интернет на kali не работает, так как из за отсутствия этой программы нету и интернета, и поэтому восстановить эту программу с помощью обновлений я не могу. Но я могу скачать все необходимые файлы через основную операционную систему (так как kali на виртуалке). Погуглил минут 20, решения не нашёл пока. Подумал, может быть кто то подскажет быстрее чем я найду...
Способов масса по Линукс для поднятия сети из терминала.
Вот один из них
 

Mitistofel

Green Team
03.06.2018
264
151
BIT
0
Способов масса по Линукс для поднятия сети из терминала.
Вот один из них
Это я как понимаю способ для того что бы интернет начал работать через вай фай. У меня интрернет проводной, так что я думаю мне это не подходит, но всё же спасибо
 

Глюк

Red Team
03.01.2018
1 185
1 879
BIT
192
Это я как понимаю способ для того что бы интернет начал работать через вай фай. У меня интрернет проводной, так что я думаю мне это не подходит, но всё же спасибо
Проверяем сеть
# ip addr
Ищем что то похожее на enp2s0
Добавляем сеть в загрузку
# systemctl enable dhcpcd@enp2s0.service
Вместо enp2s0 впишите то, что нашли в ip link
Запускаем сеть
# systemctl start dhcpcd@enp2s0.service
проверяем интернет
 

Mitistofel

Green Team
03.06.2018
264
151
BIT
0
А на данный момент у меня ситуация такая. Я скачал зип архив "NetworkManager-1.10.6" распаковал его, но теперь не знаю как именно это всё дело установить. В интеренете нашёл ряд способов установки в таком случае с помощью "dpkg" или с помощью"./", но для этих методов нужны файлы с ращирением "deb" и другие, которых у меня после распоковки "NetworkManager-1.10.6" тоже нет, зато есть миллион других всяких разных файлов. Ну а если среди разорхивированного зайти в папку "examples", то там есть папки в которых много файлов с расширением ".rb; .py; .cpp", но этих файлов прямо много, их все установить что ли надо? Я привык на видвс один файл ".exe" установил и всё...
Разбирающиеся, напишите что нибудь...
 

Mitistofel

Green Team
03.06.2018
264
151
BIT
0
Проверяем сеть
# ip addr
Ищем что то похожее на enp2s0
Добавляем сеть в загрузку
# systemctl enable dhcpcd@enp2s0.service
Вместо enp2s0 впишите то, что нашли в ip link
Запускаем сеть
# systemctl start dhcpcd@enp2s0.service
проверяем интернет
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet ххх.х.х.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
link/ether хх:00:хх:хх:6b:хх brd ff:ff:ff:ff:ff:ff


"Ищем что то похожее на enp2s0" мне кажется или у меня похожего на "enp2s0" не чего нету?
"Вместо enp2s0 впишите то, что нашли в ip link" что то из этого - "link/ether хх:00:хх:хх:6b:хх brd ff:ff:ff:ff:ff:ff" "link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00"?
 

Глюк

Red Team
03.01.2018
1 185
1 879
BIT
192
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet ххх.х.х.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
link/ether хх:00:хх:хх:6b:хх brd ff:ff:ff:ff:ff:ff


"Ищем что то похожее на enp2s0" мне кажется или у меня похожего на "enp2s0" не чего нету?
"Вместо enp2s0 впишите то, что нашли в ip link" что то из этого - "link/ether хх:00:хх:хх:6b:хх brd ff:ff:ff:ff:ff:ff" "link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00"?
попробуйте # ip link
или попробуйте прописать вместо enp2s0 eth0
хотя ваша система почему то не видит вашу сетевую карту. даже мас адреса нету. или это вы сами его так скрыли?
 

Mitistofel

Green Team
03.06.2018
264
151
BIT
0
попробуйте # ip link
или попробуйте прописать вместо enp2s0 eth0
хотя ваша система почему то не видит вашу сетевую карту. даже мас адреса нету. или это вы сами его так скрыли?
Я скрыл только то, что закрыто этими символами "х"
А пропадать начало после того как я действовал по инструкции, которой посвящанён этот топик.

Если пишу так:
root@System:~# systemctl enable dhcpcd@eth0.service
Получаю такое:
Failed to enable unit: Unit file dhcpcd@eth0.service does not exist.

Вот что выдаёт когда пишу "ip link":

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000
link/ether хх:00:27:хх:6b:хх brd ff:ff:ff:ff:ff:ff

Сейчас я как понимаю мне надо установить "NetworkManager", но я не могу. Вы знаете как его установить если нету доступа к интернету с kali linux? Но есть интернет с основной винды (kali linux на виртуальной машине). Как я уже писал выше, то я скачал на "kali linux" через общую папку "NetworkManager", но не знаю как его установить....

На прикреплённой картинук видно, что требуется "NetworkManager"
 

Вложения

  • Screenshot_11.png
    Screenshot_11.png
    22,8 КБ · Просмотры: 198
Последнее редактирование:

Глюк

Red Team
03.01.2018
1 185
1 879
BIT
192
Я скрыл только то, что закрыто этими символами "х"
А пропадать начало после того как я действовал по инструкции, которой посвящанён этот топик.

Если пишу так:
root@System:~# systemctl enable dhcpcd@eth0.service
Получаю такое:
Failed to enable unit: Unit file dhcpcd@eth0.service does not exist.
если честно, я в замешательстве... насколько мне известно, dhcpcd входит в по умолчанию в стабильную ветку дебиана. но непонятно почему udev видит вашу сетевую карту как eth0. с версии 197 systemd присваивает стандартные имена сетевым интерфейсам, en (ethernet), wl (WLAN) или ww (WWAN), после которых следует автоматически сгенерированный идентификатор. В итоге получаются имена наподобие enp0s25.
попробуйте ввести # ip link set eth0 up
строчка
eth0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
link/ether хх:00:хх:хх:6b:хх brd ff:ff:ff:ff:ff:ff
должна принять вид
eth0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state UP group default qlen 1000
link/ether хх:00:хх:хх:6b:хх brd ff:ff:ff:ff:ff:ff
возможно у вас просто выключена карта программно...
 

Mitistofel

Green Team
03.06.2018
264
151
BIT
0
если честно, я в замешательстве... насколько мне известно, dhcpcd входит в по умолчанию в стабильную ветку дебиана. но непонятно почему udev видит вашу сетевую карту как eth0. с версии 197 systemd присваивает стандартные имена сетевым интерфейсам, en (ethernet), wl (WLAN) или ww (WWAN), после которых следует автоматически сгенерированный идентификатор. В итоге получаются имена наподобие enp0s25.
попробуйте ввести # ip link set eth0 up
строчка
eth0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
link/ether хх:00:хх:хх:6b:хх brd ff:ff:ff:ff:ff:ff
должна принять вид
eth0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state UP group default qlen 1000
link/ether хх:00:хх:хх:6b:хх brd ff:ff:ff:ff:ff:ff
возможно у вас просто выключена карта программно...
root@System:~# ip link
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000
link/ether хх:00:хх:хх:6b:хх brd ff:ff:ff:ff:ff:ff

Теперь стало UP, но например та команда которую вы советовали, всё равно выдаёт ошибку:
root@System:~# systemctl enable dhcpcd@eth0.service
Failed to enable unit: Unit file dhcpcd@eth0.service does not exist.

А вы читали то что я писал в своём последнем сообщении про "NetworkManager", просто я добавлял этот текс через редактирование, поэтому возможно, что вы когда читали этого не было... Думаю если установить "NetworkManager", то возможно всё решится
 

Глюк

Red Team
03.01.2018
1 185
1 879
BIT
192
Думаю если установить "NetworkManager", то возможно всё решится
скорее всего решится. просто я описанным методом запускаю интернет в консоле. а когда ставлю полноценный дистрибутив по службу dhcpcd отключаю и ставлю NM.
 

Mitistofel

Green Team
03.06.2018
264
151
BIT
0
скорее всего решится. просто я описанным методом запускаю интернет в консоле. а когда ставлю полноценный дистрибутив по службу dhcpcd отключаю и ставлю NM.
С какого сайта можно скачать "NetworkManager" с расшиернием .deb, или с любым другим расширением, которое можно установить на kali linux?

Или как установить релиз скаченный с "GitHub"?
 
Последнее редактирование:

Глюк

Red Team
03.01.2018
1 185
1 879
BIT
192
С какого сайта можно скачать "NetworkManager" с расшиернием .deb, или с любым другим расширением, которое можно установить на kali linux?

Или как установить релиз скаченный с "GitHub"?
 
  • Нравится
Реакции: Mitistofel

Mitistofel

Green Team
03.06.2018
264
151
BIT
0
Network-manager-gnome Download (DEB)
Это я находил уже ) скачал с этого сайта " " и " ", не тот не тот не установился, выдаёт ошибки:
"При обработке следующих пакетов произошли ошибки: network-manager-gnome"

Больше сайтов не нашёл где можно скачать...

Либо как установить релиз скаченный с "GitHub"? Может его в какую то папку засунуть надо или что?
 

Глюк

Red Team
03.01.2018
1 185
1 879
BIT
192
Это я находил уже ) скачал с этого сайта " " и " ", не тот не тот не установился, выдаёт ошибки.... больше сайтов не нашёл где можно скачать...

Либо как установить релиз скаченный с "GitHub"? Может его в какую то папку засунуть надо или что?
тут я не смогу помочь. в дебиане я пакеты из исходников сто лет не собирал... )
 

ghost

Well-known member
12.05.2016
1 636
3 289
BIT
0
переустановлю kali тогда, а то уже два дня не могу эту проблему решить...
Может проблемы из за этого:
Код:
Для этого содержимое файла /etc/NetworkManager/NetworkManager.conf меняем на:
Код:

NetworkManager.conf
[main]
plugins=ifupdown,keyfile

[ifupdown]
managed=false

[connection]
wifi.cloned-mac-address=random

[connection]
ethernet.cloned-mac-address=random
а нужно так:
Код:
[main]
plugins=ifupdown,keyfile

[ifupdown]
managed=false

[connection]
wifi.cloned-mac-address=random

[connection]
ethernet.cloned-mac-address=random
Где то на страницах в теме писал об этом уже. Не менял /etc/NetworkManager/NetworkManager.conf случаем по инструкции?
 
  • Нравится
Реакции: Глюк
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!