Статья Как настроить Kali Linux в плане безопасности и анонимности

f010c2c0875b97ab74dec7bda52.jpg


Приветствую форумчане!

Решил накатать небольшую статейку для тех, кто только решил освоить .

Но я не буду описывать специфические инструменты, их предназначение и использование. Я расскажу как безопасно настроить систему в плане безопасности и анонимности, которая сейчас очень актуальна. Чтобы бедный несчастный новичок не рыскал по поиску форума и гугле, пытаясь получить ответы. Именно для этого я решил собрать наработанный материал в одном месте.
Здоровая критика и дополнения приветствуются.

436536536.jpg


Все манипуляции, описанные в статье, проводились на Kali 64 bit с графическим окружением Gnome 3.

За работоспособность на другой разрядности или окружении я не ручаюсь. Все делаете на свой страх и риск!

Для начала узнаем какая разрядность у вашей системы:
Код:
grep -qP ’^flags\s*:.*\blm\b’ /proc/cpuinfo && echo 64-bit || echo 32-bit
Снимок экрана от 2017-12-04 23-07-06.png


Затем качаем образ только и сверяем контрольные суммы методом:
Код:
sha256sum kali-linux-2017.3-amd64.iso
Записываем его на флешку обьемом от 4 Gb с помощью утилиты
Будем устанавливать Kali Linux на полностью зашифрованную файловую систему.
Как это сделать написано в статье на форуме. Более развернутого гайда я не встречал.
Прелести именно этой установки я обьяснять не буду :) Возможно вы поймете это позже.

102117_1217_Kali30.png

После первого входа в систему отключим swap через Меню-Утилиты-Диски. Это самый быстрый способ:

Снимок экрана от 2017-12-04 23-02-50.png


Не надо пользоваться моей инструкцией с перезаписью swap из этой темы.
Она для уже юзанной системы, а на свежеустановленной достаточно указанного выше!
Отключен ли swap, можно посмотреть в Системном мониторе:

Снимок экрана от 2017-12-05 01-50-31.png


Проверяем, чтобы репозитории в /etc/apt/sources.list имели вид:
Код:
deb http://http.kali.org/kali kali-rolling main contrib non-free
# deb-src http://http.kali.org/kali kali-rolling main contrib non-free
Сделаем, чтобы при каждом подключении к сети mac менялся на рандомный.
(Спасибо@z3RoTooL за прекрасную подсказку в своей статье)
Для этого содержимое файла /etc/NetworkManager/NetworkManager.conf меняем на:
Код:
[main]
plugins=ifupdown,keyfile

[ifupdown]
managed=false

[connection]
wifi.cloned-mac-address=random

[connection]
ethernet.cloned-mac-address=random
Теперь правильно и безопасно настроим ssh, ведь без него никуда:
Код:
update-rc.d -f ssh remove
update-rc.d -f ssh defaults
cd /etc/ssh/
mkdir insecure_original_default_kali_keys
mv ssh_host_* insecure_original_default_kali_keys/
dpkg-reconfigure openssh-server
В файле конфигурации /etc/ssh/sshd_config меняем:
Код:
# Port 22
# PermitRootLogin without-password
на
Код:
Port 2282
PermitRootLogin no
Порт 22 меняем на любой нестандартный (в нашем случае 2282) для защиты от брутфорса.
PermitRootLogin no запрещает другим машинам подключаться к root пользователю на нашей машине.
Возможно в дальнейшем вы обзаведетесь своим VPS. Поэтому советую подключаться к нему не по паролю, а создать ключ, так как это безопасней:
Код:
ssh-keygen -t rsa
Жмем Enter несколько раз. Сгенерированный ключ /root/.ssh/id_rsa.pub потом поместите на свой сервер.
Так же не советую добавлять службу ssh в автозагрузку, а стартовать/выключать командами:
Код:
service ssh start
service ssh stop
Теперь важный момент в статье. Сделаем пароль самоуничтожения заголовков зашифрованного диска.
По сути без них он превращается просто в кирпич. По этой теме есть прекрасная статья на форуме.
Позволю себе сократить этот процесс до минимума:
Код:
cryptsetup luksAddNuke /dev/sda5
Enter any existing passphrase: Ваша фраза шифрования
Enter new passphrase for key slot: Пароль самоуничтожения
Verify passphrase: Повтор пароля самоуничтожения

cryptsetup luksHeaderBackup --header-backup-file luksheader.back /dev/sda5

file luksheader.back

openssl enc -aes-256-cbc -salt -in luksheader.back -out luksheader.back.enc
enter aes-256-cbc encryption password: Пароль для зашифрованного заголовка
Verifying - enter aes-256-cbc encryption password: Повтор пароля для зашифрованного заголовка

ls -lh luksheader.back*

file luksheader.back*
Файлы luksheader.back и luksheader.back.enc храним на зашифрованной с помощью LUKS
(можно сделать с помощью Меню-Утилиты-Диски) microsd флешке где нибудь вне дома.
Идеально подойдет какое нибудь гнездо в лесу.

Вот теперь пора бы нам обновить систему:
Код:
apt-get update && apt-get dist-upgrade
Так же скорее всего запросит, поэтому удаляем ненужные пакеты:
Код:
apt autoremove
Если в будущем хотим получать обновления по https, то выполняем:
Код:
apt install apt-transport-https
Проверяем, чтобы репозитории в /etc/apt/sources.list имели вид:
Код:
deb https://http.kali.org/kali kali-rolling main non-free contrib
# deb-src https://http.kali.org/kali kali-rolling main non-free contrib
И снова обновим систему:
Код:
apt-get update && apt-get dist-upgrade
Софт. Почему именно такой? Дальше будет описание, зачем нужен каждый инструмент:
Код:
apt-get install mat steghide network-manager-openvpn-gnome secure-delete keepassx pidgin pidgin-otr etherape irssi tor lighttpd virtualbox
mat - удаление метаданных в файлах
steghide - позволяет скрывать информацию методом стеганографии
network-manager-openvpn-gnome - нужен для настройки VPN
secure-delete - предназначен для безвозвратного удаления данных и удаления остаточной информации
keepassx - для безопасного хранение паролей
pidgin и pidgin-otr - джаббер клиент с шифрованием. Это вам не телега!
etherape - анализатор пакетов/инструмент для трафика
irssi - консольный IRC-клиент
tor и lighttpd - в представлении не нуждается. Пригодится, как начиная от банального использования утилиты torsocks, так и до подьема своего ресурса в сети Tor.
virtualbox - виртуальная машина, которая может пригодиться для установки ...

jedi_linux.jpg


Так же думаю не лишним будет установить и донастроить еще кое что:
Bluetooth. Он нормально не работает, поэтому пользуемся мануалом по настройке.
Ram wiping. Очишает дамп оперативной памяти при перезагрузке.
VPN. Написал статью с примером на сервисе riseup, но на другом ресурсе тоже сработает команда:
Код:
openvpn --client --dev tun --config ВАША_КОНФИГУРАЦИЯ.ovpn --proto tcp
Уже закупились вай-фай адаптером ALFA или только думаете? Тогда пишем скрипт /bin/wlan1 с содержимым:
Код:
#!/bin/sh

ifconfig wlan1 down
macchanger -r wlan1
iw reg set BZ
iwconfig wlan1 txpower 30
ifconfig wlan1 up
echo "MAC updated..."
exit 0
и делаем его исполняемым:
Код:
chmod +x /bin/wlan1
Теперь при подключении ALFA и вводе в терминале команды wlan1 будет не только меняться mac, но и повышаться мощность.
Возможно вам пригодится Tor browser?
Не забудьте добавить в путь_до/tor-browser_en-US/Browser/TorBrowser/Data/Tor/torrc в самый низ строки:
Код:
ExcludeNodes {ru},{ua},{by}
Это исключит подключение к неблагополучным нодам. Если провайдер блокирует доступ:


Вот собственно и все. Конечно я могу продолжать бесконечно :) но это же для новичков.

Всем спасибо за внимание.

По материалам статьи записали ролик с обновленной информацией на момент публикации ролика:

 
1

124C 41+

Еще советуют запускать сомнительные программы через песочницу, на тот случай если программы окажется скомпрометирована или захочет получить доступ к системным файлам. Как я понял, это отдельная клетка для особо буйного животного, которое может перегрызть всех остальных, да и владельца зоопарка тоже.
Bash:
sudo apt-get install firejail
firejail name # где name, будет названием, запускающим программу
()
Для постоянного запуска через песочницу
Код:
ln -s /usr/bin/firejail /usr/local/bin/name

Для защиты от руткитов и вторжений подойдут rkhunter, snort, ipkungfu
Код:
$ sudo apt-get install snort

$ snort -D # запуск в виде демона

$ sudo snort #  проверка пакетов

Код:
$ sudo apt-get install rkhunter
$ sudo rkhunter --propupd
$ sudo rkhunter -c --sk # запуск
 

ghost

Well-known member
12.05.2016
1 636
3 289
BIT
0
Для защиты от руткитов и вторжений подойдут rkhunter, snort, ipkungfu
Код:
$ sudo apt-get install snort

$ snort -D # запуск в виде демона

$ sudo snort #  проверка пакетов
Snort... Есть такое ;) Но просто его запуск мало что даст, а грамотное составление правил для него - та ещё тема...
 
B

Baltic Tea

mat из предложенного списка приложений может удалять EXIF изображений?
 
B

Baltic Tea

Еще советуют запускать сомнительные программы через песочницу, на тот случай если программы окажется скомпрометирована или захочет получить доступ к системным файлам. Как я понял, это отдельная клетка для особо буйного животного, которое может перегрызть всех остальных, да и владельца зоопарка тоже.
Bash:
sudo apt-get install firejail
firejail name # где name, будет названием, запускающим программу
()
Для постоянного запуска через песочницу
Код:
ln -s /usr/bin/firejail /usr/local/bin/name


Firejail есть смысл устанавливать таким образом (netblue30/firejail) ?
Bash:
$ git clone https://github.com/netblue30/firejail.git
$ cd firejail
$ ./configure && make && sudo make install-strip

Или достаточно обычной установки через aptitude?

+ Кто-нибудь пользовался этими инструментами? Что предпочтительнее, если сравнивать с rkhunter?
 

Wise

Green Team
19.01.2018
32
12
BIT
0
А как изменить мак адрес в Kali 2018.3-2018.4? Там в папке в нетворк манагер нет нужного файла. Мак чендж так же не работает:(
 

Rand0m_M

Green Team
16.04.2018
33
28
BIT
1
А как изменить мак адрес в Kali 2018.3-2018.4? Там в папке в нетворк манагер нет нужного файла. Мак чендж так же не работает:(

Можно тупо вручную, вот так:

ip link set eth0 down
ip link set eth0 address 00:20:30:40:50:60
ip link set eth0 up

Где eth0 поменять на название нужного интерфейса. Работает до перезагрузки.
 

Сергей Попов

Кодебай
30.12.2015
4 727
6 723
BIT
447
Господа, к ролику накопилась масса вопросов. Надо бы ответить кто в теме :)
Код:
https://www.youtube.com/watch?v=EsKvjMqFCSI&lc=z23myt441vzttx15404t1aokgg5vlb40dvseyrst5ercbk0h00410
 
  • Нравится
Реакции: ghost

LaaZZyy

Green Team
05.03.2018
25
4
BIT
0
круто. но я половины не понял. будем разбираться. думаю видео поможет точно 😊 спасибо очень интересное
 
  • Нравится
Реакции: ghost
E

Egoiste

Будем устанавливать Kali Linux на полностью зашифрованную файловую систему.

Случилось такое.... после вода пароля Шифрования спустя какое-то время вылезла ошибка....не помню какая-именно и почему представить не могу.
Делал все по статье.
Итог , в live я не вижу свой диск (шифровал с установкой на автомате полный диск) .
На винде тоже не знаю как его увиджеть.

Как мне определить и отформатировать недодиск? Чем его увидеть ? Через live или windows.
 

Corven

New member
09.03.2019
1
0
BIT
0
Форумчане help. Ламерскими ручонками все делал строго по инфе в этом посте, но после настроек Кали не соединяется с интернетом. Жму включить соединение, оно полминуты тужится и выключается, так и не подсоединившись. Что могло пойти не так? Пы сы пробовал на свежеустановленной Кали, проблемы начинаются после редактипования параметров ssh.
 

ghost

Well-known member
12.05.2016
1 636
3 289
BIT
0
Форумчане help. Ламерскими ручонками все делал строго по инфе в этом посте, но после настроек Кали не соединяется с интернетом. Жму включить соединение, оно полминуты тужится и выключается, так и не подсоединившись. Что могло пойти не так? Пы сы пробовал на свежеустановленной Кали, проблемы начинаются после редактипования параметров ssh.
Это не SSH. На некоторых ламерских машинах:
Код:
Сделаем, чтобы при каждом подключении к сети mac-адрес менялся на рандомный.

Меняем содержимое файла /etc/NetworkManager/NetworkManager.conf на следующее:

[main]

plugins=ifupdown,keyfile

[ifupdown]

managed=false

[connection]

wifi.cloned-mac-address=random

[connection]

ethernet.cloned-mac-address=random
ОСТАВЬТЕ ДЕФОЛТНЫЕ НАСТРОЙКИ. А mac меняйте через macchaner.
Это не прихоть. Ваше железо несовершенно. Это нормально!
 
Последнее редактирование:
  • Нравится
Реакции: Anthony и Corven

ikankanavar

New member
05.12.2019
3
0
BIT
1
Отличная статья! Как настроить debian10 в плане анонимности и конфиденциальности
 

Newbie19c

New member
24.12.2019
1
0
BIT
0
Доброго времени суток, я запутался нужна ли виртуалка или нет.Понял, что при взломе вайфая например нужно подключать? через флешку, для остального использовать виртуалку?Или забить на вируталку и поставить на диск.Зашифровать после можно? Или только при установке???И по шагам в видео и в теме, делать для виртуальной версии(Virtualbox).Проясните пожалуйста.Совсем запутался...Вроде и понятно, а вроде и не совсем.И что с пользователем у меня сейчас из под рута. И вы пишите насчет vpn , нужен ли он если использовать tor , начитался что это лишнее, и что то ли при подключении ловится то ли еще что-то одним словом не рекомендуется юзать VPN с tor читал читал в итоге окончательно запутался.Уяснил для себя только то что:
1)Tor режет сам скорость
2)А, vpn тоже режет скорость
И вы еще говорите что можно обойти запуск тора от root зачем это делать, если можно создать пользователя...Тем более что везде пишут создавать дополнительную запись обязательно...В общем извиняюсь за небольшой сумбур, думаю дальше буду писать более предметно)
И самое главное перед атакой, где что смотреть, чтобы видеть что это я включил это я не включил надо включить, то не включилось, возможно следят, и прочее... если где-то нечто похожее на статус.А, ну и да отключать swap или нет:
a)Для виртуалки?
б)Для обычной?
в)Для kali с флешки?
 
Последнее редактирование:

sixnineone

New member
08.01.2020
1
0
BIT
0
здравстуйте уважаемые. не судите строго, совсем зеленый в теме Кали. настроил систему впн- хуникс(тор) -кали -впн. Захотел создать Nuke password для хостовой системы которая тоже Кали, но ничего не вышло как я понимаю тк гайд устарел. и система шифрования LUKS1 поменялась на LUKS2 это видно после введения первой команды по гайду:
cryptsetup luksDump /dev/sda5
LUKS header information
Version: 2
Помогите пожалуйста реализовать Nuke фунцкию.. перерыл кучу источников нашел одну статью но не до конца понимаю ее суть, поэтому не взялся пробовать. ссылку на статью могу дать в личку, буду очень рад помощи
 

Rex Cox

New member
04.03.2020
4
0
BIT
0
Теперь правильно и безопасно настроим ssh, ведь без него никуда:


Код:

update-rc.d -f ssh remove
update-rc.d -f ssh defaults
cd /etc/ssh/
mkdir insecure_original_default_kali_keys
mv ssh_host_* insecure_original_default_kali_keys/
dpkg-reconfigure openssh-server

В файле конфигурации /etc/ssh/sshd_config меняем:


Код:

# Port 22
# PermitRootLogin without-password

на


Код:

Port 2282
PermitRootLogin no

Порт 22 меняем на любой нестандартный (в нашем случае 2282) для защиты от брутфорса.
PermitRootLogin no запрещает другим машинам подключаться к root пользователю на нашей машине.
Возможно в дальнейшем вы обзаведетесь своим VPS. Поэтому советую подключаться к нему не по паролю, а создать ключ, так как это безопасней:


Код:

ssh-keygen -t rsa

Жмем Enter несколько раз. Сгенерированный ключ /root/.ssh/id_rsa.pub потом поместите на свой сервер.
Так же не советую добавлять службу ssh в автозагрузку, а стартовать/выключать командами:


Код:

service ssh start
service ssh stop
Добрый день у меня вопрос по этому куску мануала.
1. сформировал файл /etc/ssh/sshd_config в нем стоит порт 2282
когда я запукаяю service ssh start
и проверяю статус пишет что активно, но непонятно почему ниже написано что оно сервер прослушивает порт22?
Код:
service ssh status
● ssh.service - OpenBSD Secure Shell server
     Loaded: loaded (/lib/systemd/system/ssh.service; disabled; vendor preset: disabled)
     Active: active (running) since Sun 2020-04-12 10:52:07 EET; 1h 34min ago
       Docs: man:sshd(8)
             man:sshd_config(5)
    Process: 2365 ExecStartPre=/usr/sbin/sshd -t (code=exited, status=0/SUCCESS)
   Main PID: 2366 (sshd)
      Tasks: 1 (limit: 4506)
     Memory: 2.4M
     CGroup: /system.slice/ssh.service
             └─2366 sshd: /usr/sbin/sshd -D [listener] 0 of 10-100 startups

апр 12 10:52:07 kali systemd[1]: Starting OpenBSD Secure Shell server...
апр 12 10:52:07 kali sshd[2366]: Server listening on 0.0.0.0 port 22.
апр 12 10:52:07 kali sshd[2366]: Server listening on :: port 22.
апр 12 10:52:07 kali systemd[1]: Started OpenBSD Secure Shell server.
ВСЕ ли правильно работает?
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!