Статья Как настроить Kali Linux в плане безопасности и анонимности

f010c2c0875b97ab74dec7bda52.jpg


Приветствую форумчане!

Решил накатать небольшую статейку для тех, кто только решил освоить .

Но я не буду описывать специфические инструменты, их предназначение и использование. Я расскажу как безопасно настроить систему в плане безопасности и анонимности, которая сейчас очень актуальна. Чтобы бедный несчастный новичок не рыскал по поиску форума и гугле, пытаясь получить ответы. Именно для этого я решил собрать наработанный материал в одном месте.
Здоровая критика и дополнения приветствуются.

436536536.jpg


Все манипуляции, описанные в статье, проводились на Kali 64 bit с графическим окружением Gnome 3.

За работоспособность на другой разрядности или окружении я не ручаюсь. Все делаете на свой страх и риск!

Для начала узнаем какая разрядность у вашей системы:
Код:
grep -qP ’^flags\s*:.*\blm\b’ /proc/cpuinfo && echo 64-bit || echo 32-bit
Снимок экрана от 2017-12-04 23-07-06.png


Затем качаем образ только и сверяем контрольные суммы методом:
Код:
sha256sum kali-linux-2017.3-amd64.iso
Записываем его на флешку обьемом от 4 Gb с помощью утилиты
Будем устанавливать Kali Linux на полностью зашифрованную файловую систему.
Как это сделать написано в статье на форуме. Более развернутого гайда я не встречал.
Прелести именно этой установки я обьяснять не буду :) Возможно вы поймете это позже.

102117_1217_Kali30.png

После первого входа в систему отключим swap через Меню-Утилиты-Диски. Это самый быстрый способ:

Снимок экрана от 2017-12-04 23-02-50.png


Не надо пользоваться моей инструкцией с перезаписью swap из этой темы.
Она для уже юзанной системы, а на свежеустановленной достаточно указанного выше!
Отключен ли swap, можно посмотреть в Системном мониторе:

Снимок экрана от 2017-12-05 01-50-31.png


Проверяем, чтобы репозитории в /etc/apt/sources.list имели вид:
Код:
deb http://http.kali.org/kali kali-rolling main contrib non-free
# deb-src http://http.kali.org/kali kali-rolling main contrib non-free
Сделаем, чтобы при каждом подключении к сети mac менялся на рандомный.
(Спасибо@z3RoTooL за прекрасную подсказку в своей статье)
Для этого содержимое файла /etc/NetworkManager/NetworkManager.conf меняем на:
Код:
[main]
plugins=ifupdown,keyfile

[ifupdown]
managed=false

[connection]
wifi.cloned-mac-address=random

[connection]
ethernet.cloned-mac-address=random
Теперь правильно и безопасно настроим ssh, ведь без него никуда:
Код:
update-rc.d -f ssh remove
update-rc.d -f ssh defaults
cd /etc/ssh/
mkdir insecure_original_default_kali_keys
mv ssh_host_* insecure_original_default_kali_keys/
dpkg-reconfigure openssh-server
В файле конфигурации /etc/ssh/sshd_config меняем:
Код:
# Port 22
# PermitRootLogin without-password
на
Код:
Port 2282
PermitRootLogin no
Порт 22 меняем на любой нестандартный (в нашем случае 2282) для защиты от брутфорса.
PermitRootLogin no запрещает другим машинам подключаться к root пользователю на нашей машине.
Возможно в дальнейшем вы обзаведетесь своим VPS. Поэтому советую подключаться к нему не по паролю, а создать ключ, так как это безопасней:
Код:
ssh-keygen -t rsa
Жмем Enter несколько раз. Сгенерированный ключ /root/.ssh/id_rsa.pub потом поместите на свой сервер.
Так же не советую добавлять службу ssh в автозагрузку, а стартовать/выключать командами:
Код:
service ssh start
service ssh stop
Теперь важный момент в статье. Сделаем пароль самоуничтожения заголовков зашифрованного диска.
По сути без них он превращается просто в кирпич. По этой теме есть прекрасная статья на форуме.
Позволю себе сократить этот процесс до минимума:
Код:
cryptsetup luksAddNuke /dev/sda5
Enter any existing passphrase: Ваша фраза шифрования
Enter new passphrase for key slot: Пароль самоуничтожения
Verify passphrase: Повтор пароля самоуничтожения

cryptsetup luksHeaderBackup --header-backup-file luksheader.back /dev/sda5

file luksheader.back

openssl enc -aes-256-cbc -salt -in luksheader.back -out luksheader.back.enc
enter aes-256-cbc encryption password: Пароль для зашифрованного заголовка
Verifying - enter aes-256-cbc encryption password: Повтор пароля для зашифрованного заголовка

ls -lh luksheader.back*

file luksheader.back*
Файлы luksheader.back и luksheader.back.enc храним на зашифрованной с помощью LUKS
(можно сделать с помощью Меню-Утилиты-Диски) microsd флешке где нибудь вне дома.
Идеально подойдет какое нибудь гнездо в лесу.

Вот теперь пора бы нам обновить систему:
Код:
apt-get update && apt-get dist-upgrade
Так же скорее всего запросит, поэтому удаляем ненужные пакеты:
Код:
apt autoremove
Если в будущем хотим получать обновления по https, то выполняем:
Код:
apt install apt-transport-https
Проверяем, чтобы репозитории в /etc/apt/sources.list имели вид:
Код:
deb https://http.kali.org/kali kali-rolling main non-free contrib
# deb-src https://http.kali.org/kali kali-rolling main non-free contrib
И снова обновим систему:
Код:
apt-get update && apt-get dist-upgrade
Софт. Почему именно такой? Дальше будет описание, зачем нужен каждый инструмент:
Код:
apt-get install mat steghide network-manager-openvpn-gnome secure-delete keepassx pidgin pidgin-otr etherape irssi tor lighttpd virtualbox
mat - удаление метаданных в файлах
steghide - позволяет скрывать информацию методом стеганографии
network-manager-openvpn-gnome - нужен для настройки VPN
secure-delete - предназначен для безвозвратного удаления данных и удаления остаточной информации
keepassx - для безопасного хранение паролей
pidgin и pidgin-otr - джаббер клиент с шифрованием. Это вам не телега!
etherape - анализатор пакетов/инструмент для трафика
irssi - консольный IRC-клиент
tor и lighttpd - в представлении не нуждается. Пригодится, как начиная от банального использования утилиты torsocks, так и до подьема своего ресурса в сети Tor.
virtualbox - виртуальная машина, которая может пригодиться для установки ...

jedi_linux.jpg


Так же думаю не лишним будет установить и донастроить еще кое что:
Bluetooth. Он нормально не работает, поэтому пользуемся мануалом по настройке.
Ram wiping. Очишает дамп оперативной памяти при перезагрузке.
VPN. Написал статью с примером на сервисе riseup, но на другом ресурсе тоже сработает команда:
Код:
openvpn --client --dev tun --config ВАША_КОНФИГУРАЦИЯ.ovpn --proto tcp
Уже закупились вай-фай адаптером ALFA или только думаете? Тогда пишем скрипт /bin/wlan1 с содержимым:
Код:
#!/bin/sh

ifconfig wlan1 down
macchanger -r wlan1
iw reg set BZ
iwconfig wlan1 txpower 30
ifconfig wlan1 up
echo "MAC updated..."
exit 0
и делаем его исполняемым:
Код:
chmod +x /bin/wlan1
Теперь при подключении ALFA и вводе в терминале команды wlan1 будет не только меняться mac, но и повышаться мощность.
Возможно вам пригодится Tor browser?
Не забудьте добавить в путь_до/tor-browser_en-US/Browser/TorBrowser/Data/Tor/torrc в самый низ строки:
Код:
ExcludeNodes {ru},{ua},{by}
Это исключит подключение к неблагополучным нодам. Если провайдер блокирует доступ:


Вот собственно и все. Конечно я могу продолжать бесконечно :) но это же для новичков.

Всем спасибо за внимание.

По материалам статьи записали ролик с обновленной информацией на момент публикации ролика:

 
Вместо этого судя по всему "/etc/init.d/local"
Сделал всё как ты сказал, а
Уже поправил строку, пока редактирование возможно.
Как проверить работает ли смена мак адреса?
Очень просто:
Код:
macchanger -s wlan0
В твоём случае вместо wlan0 будет eth0
 
Ой чё то не срослось. Даже после ребута мак один и тот же:

Current MAC: 08:xx:xx:35:06:xx (CADMUS COMPUTER SYSTEMS)
Permanent MAC: 08:xx:xx:35:06:xx (CADMUS COMPUTER SYSTEMS)
Проводами не пользуюсь. Только usb свистками.
Посмотри, может найдётся что то полезное...
 
  • Нравится
Реакции: Mitistofel
Посмотри, может найдётся что то полезное...
Статья и в правду полезная, мне помогла.

В связи с тем, что в той статье много букв, и дабы люди больше времени проводили на codeby, я расскажу всё тут и в кратце (ещё один из способов автоматически менять мак адрес):

Итак в терминале пишем команду:

sudo gedit /etc/NetworkManager/conf.d/mac.conf

Вместо "gedit" можно использовать "nano", "leafpad" или просто ручками как в виндовс зайти в нужную папку с помощью мышки, и внести измения в файл, а изменения мы будем вносить такие:

[connection]
ethernet.cloned-mac-address=stable
wifi.cloned-mac-address=stable

Просто копируем и вставляем этот текст в файл "mac.conf".
В данном случае строчка "ethernet.cloned-mac-address=stable" отвечает за проводной интернет, а строчка "wifi.cloned-mac-address=stable" за вай фай. Можете указывать только проводную строчку, если например у вас проводной интернет (аналогично для вай фай). Можно указывать две строчки, даже если у вас например только проводной интернет

Так же расскажу о том как можно настроить автоматическую смену мак адреса:

Если в файл "mac.conf" после знака равно мы будем писать не "stable", а "permanent" - тогда будет использоваться вшитый в устройство мак адрес.
Если мы будем писать "stable" - тогда для каждого подключения будет генерироваться случайный мак адрес, НО при подключении к одной и той же сети мак адрес останется таким, каким он сгенерировался в первый раз.
Если мы будем писать не "stable", а "preserve"- это значит не будет меняться мак адрес устройства после активации (например, если мак был изменён другой программой, то будет использоваться текущий адрес).
Если мы будем писать не "stable", а "random" - это значит после каждой перезагрузки "kali", будет присваиваться новый мак адрес.
Если мы будем писать не "stable", а "любой другой мак адрес, который придёт вам в голову" (например "26:e8:83:7d:46:96"), то после всех перезагрузок мак адрес будет именно "26:e8:83:7d:46:96"

Командой "ip a" можно посмотреть то, что происходит с мак адресом (изменения)

У меня всё работает...
 
Последнее редактирование:
  • Нравится
Реакции: User8, Vertigo и ghost
Тоже пытаюсь настроить автоматическую смену MAC'а. И по инструкции ghost'a с добавлением строчек в конфиге, так же как у Metistofel'я после перезагрузки не проходит подключение к интернету.

Итак в терминале пишем команду:

sudo gedit /etc/NetworkManager/conf.d/mac.conf

Вместо "gedit" можно использовать "nano", "leafpad" или просто ручками как в виндовс зайти в нужную папку с помощью мышки, и внести измения в файл, а изменения мы будем вносить такие:

[connection]
ethernet.cloned-mac-address=stable
wifi.cloned-mac-address=stable

Просто копируем и вставляем этот текст в файл "mac.conf".

По сути, тут ты сделал все тоже самое, что тебе советовали до этого, только с прописью не в дефолтном конфиговом файле, а в отдельно созданом, как было написано в инструкции по той ссылке по смене мак адресов. И для меня странно почему с первым вариантом у тебя не подключалось, но грубо говоря с тем же решением но через другой файл все начало работать. Я конечно попробовал эти 2 варианта, ну и ессно оба оказались не рабочими для меня.



Добавляем скрипт /etc/init.d/local в автозапуск:

Так же пробовал через macchanger. С созданием скрипта и добавлением в автозагрузку. Но после перезагрузки, мак остается прежним. Хотя после прописи service --status-all которая по идее просто должна выводить список init скриптов, мак меняется, что тоже вызывает вопрос. И в списке который выводит команда, напротив скрипта local стоит +, но после перезагрузки ничего не меняется.

В мануале есть абзац :
Если после смены MAC у вас появились проблемы с подключением (вы не можете подключиться к сетям – проводной или беспроводной), то это означает, что в сети присутствует запрет для подключения с MAC от неизвестного вендора (производителя). В этом случае нужно использовать первые три октета (байта) любого реального вендора, оставшиеся три октета могут быть произвольными.

Пробовал указывать принудительный мак, с изменением последних 3ех октетов, но подключения так же.
Есть догадки как мне настроить автоматическую смену ?

upd.Если
# ip link set dev интерфейс down отключаю интерфейс и потом через
# macchanger -r интерфейс генерирую рандомный мак, то при включении интерфейса обратно, подключение так же не может быть установлено.
Ну и через
# macchanger -e интерфейс для изменения только байт, которые являются уникальными для конкретного устройства (благодаря чему при проверке MAC-адрес будет по-прежнему считаться принадлежащим тому же производителю). Так же нет подключения.

И только я ввожу
# macchanger -p интерфейс для возврата на дефолтный мак, подключение идет моментом. Что мне делать в такой ситуации ?
 
Последнее редактирование:
По сути, тут ты сделал все тоже самое, что тебе советовали до этого, только с прописью не в дефолтном конфиговом файле, а в отдельно созданом, как было написано в инструкции по той ссылке по смене мак адресов. И для меня странно почему с первым вариантом у тебя не подключалось, но грубо говоря с тем же решением но через другой файл все начало работать. Я конечно попробовал эти 2 варианта, ну и ессно оба оказались не рабочими для меня.
В связи с тем, что тот способ, который я описал последним - помог мне, и по этому я другие способы и не искал. И к сожалению помочь больше не чем не могу.
 
Друзья, если мне не изменяет память, сейчас на этапе после первой установки Kali Linux и самого первого обновления, по умолчанию задаётся вопрос об автоматической подмене mac. Так что способ теперь как бы неактуален... ))
 
Друзья, если мне не изменяет память, сейчас на этапе после первой установки Kali Linux и самого первого обновления, по умолчанию задаётся вопрос об автоматической подмене mac. Так что способ теперь как бы неактуален... ))
не изменяет. уточню малость, это я про твою память )
 
Последнее редактирование:
  • Нравится
Реакции: User8 и ghost
Друзья, если мне не изменяет память, сейчас на этапе после первой установки Kali Linux и самого первого обновления, по умолчанию задаётся вопрос об автоматической подмене mac. Так что способ теперь как бы неактуален... ))
не изменяет. уточню малость, это я про твою память )

Ну тогда исходя из этого, после каждой перезагрузки (подключения) по команде sudo macchanger -s wlan0 у меня каждый раз должен выдавать новый мак адрес, но этого же не происходит, тогда как это можно еще проверить ? Хотя тоже действительно вспомнил про вопрос об автоподмене. Уже просто хочется тогда узнать или увидеть в живую смену адреса.
 
Ну тогда исходя из этого, после каждой перезагрузки (подключения) по команде sudo macchanger -s wlan0 у меня каждый раз должен выдавать новый мак адрес, но этого же не происходит, тогда как это можно еще проверить ? Хотя тоже действительно вспомнил про вопрос об автоподмене. Уже просто хочется тогда узнать или увидеть в живую смену адреса.
пере тем как использовать macchanger надо отключать NetworkManager, ибо он реинициализирует мак. ябы рекомендовать в использовать wicd вместо NetworkManager.
 
Спасибо ребята! Превосходное видео.
Действительно приятно, что тема так зашла, что ремейки и триквелы делаются на неё.
Я доволен, что смог помочь пользователям и передать часть знаний.
 
Друзья, если мне не изменяет память, сейчас на этапе после первой установки Kali Linux и самого первого обновления, по умолчанию задаётся вопрос об автоматической подмене mac. Так что способ теперь как бы неактуален... ))
Да, все верно. Но лично у меня он не работает. ((
Я после переустановки, заменяю содержимое файла нетворк манагер. И все работает.
 

Вложения

Если мак менять через macchanger ничего же не изменится если менять его при каждом запуске оси, а не ставить автосмену? И как это будет указываться у провайдера, как неизвестный MAC?
 
Если сменить окружение Kali на альтенативное (LXDE, например), то можно удалить следующие пакеты?

Код:
sudo apt-get remove gnome-orca kali-desktop-gnome orca
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!