Статья Как настроить Kali Linux в плане безопасности и анонимности

Приветствую форумчане!

Решил накатать небольшую статейку для тех, кто только решил освоить

Ссылка скрыта от гостей

.

Но я не буду описывать специфические инструменты, их предназначение и использование. Я расскажу как безопасно настроить систему в плане безопасности и анонимности, которая сейчас очень актуальна. Чтобы бедный несчастный новичок не рыскал по поиску форума и гугле, пытаясь получить ответы. Именно для этого я решил собрать наработанный материал в одном месте.
Здоровая критика и дополнения приветствуются.

Все манипуляции, описанные в статье, проводились на Kali 64 bit с графическим окружением Gnome 3.

За работоспособность на другой разрядности или окружении я не ручаюсь. Все делаете на свой страх и риск!

Для начала узнаем какая разрядность у вашей системы:

grep -qP ’^flags\s*:.*\blm\b’ /proc/cpuinfo && echo 64-bit || echo 32-bit

Затем качаем образ только

Ссылка скрыта от гостей

и сверяем контрольные суммы методом:

sha256sum kali-linux-2017.3-amd64.iso

Записываем его на флешку обьемом от 4 Gb с помощью утилиты

Ссылка скрыта от гостей

Будем устанавливать Kali Linux на полностью зашифрованную файловую систему.
Как это сделать написано в статье на форуме. Более развернутого гайда я не встречал.
Прелести именно этой установки я обьяснять не буду Возможно вы поймете это позже.

После первого входа в систему отключим swap через Меню-Утилиты-Диски. Это самый быстрый способ:

Не надо пользоваться моей инструкцией с перезаписью swap из этой темы.
Она для уже юзанной системы, а на свежеустановленной достаточно указанного выше!
Отключен ли swap, можно посмотреть в Системном мониторе:

Проверяем, чтобы репозитории в /etc/apt/sources.list имели вид:

deb http://http.kali.org/kali kali-rolling main contrib non-free
# deb-src http://http.kali.org/kali kali-rolling main contrib non-free

Сделаем, чтобы при каждом подключении к сети mac менялся на рандомный.
(Спасибо@z3RoTooL за прекрасную подсказку в своей статье)
Для этого содержимое файла /etc/NetworkManager/NetworkManager.conf меняем на:

[main]
plugins=ifupdown,keyfile

[ifupdown]
managed=false

[connection]
wifi.cloned-mac-address=random

[connection]
ethernet.cloned-mac-address=random

Теперь правильно и безопасно настроим ssh, ведь без него никуда:

update-rc.d -f ssh remove
update-rc.d -f ssh defaults
cd /etc/ssh/
mkdir insecure_original_default_kali_keys
mv ssh_host_* insecure_original_default_kali_keys/
dpkg-reconfigure openssh-server

В файле конфигурации /etc/ssh/sshd_config меняем:

# Port 22
# PermitRootLogin without-password

на

Port 2282
PermitRootLogin no

Порт 22 меняем на любой нестандартный (в нашем случае 2282) для защиты от брутфорса.
PermitRootLogin no запрещает другим машинам подключаться к root пользователю на нашей машине.
Возможно в дальнейшем вы обзаведетесь своим VPS. Поэтому советую подключаться к нему не по паролю, а создать ключ, так как это безопасней:

ssh-keygen -t rsa

Жмем Enter несколько раз. Сгенерированный ключ /root/.ssh/id_rsa.pub потом поместите на свой сервер.
Так же не советую добавлять службу ssh в автозагрузку, а стартовать/выключать командами:

service ssh start
service ssh stop

Теперь важный момент в статье. Сделаем пароль самоуничтожения заголовков зашифрованного диска.
По сути без них он превращается просто в кирпич. По этой теме есть прекрасная статья на форуме.
Позволю себе сократить этот процесс до минимума:

cryptsetup luksAddNuke /dev/sda5
Enter any existing passphrase: Ваша фраза шифрования
Enter new passphrase for key slot: Пароль самоуничтожения
Verify passphrase: Повтор пароля самоуничтожения

cryptsetup luksHeaderBackup --header-backup-file luksheader.back /dev/sda5

file luksheader.back

openssl enc -aes-256-cbc -salt -in luksheader.back -out luksheader.back.enc
enter aes-256-cbc encryption password: Пароль для зашифрованного заголовка
Verifying - enter aes-256-cbc encryption password: Повтор пароля для зашифрованного заголовка

ls -lh luksheader.back*

file luksheader.back*

Файлы luksheader.back и luksheader.back.enc храним на зашифрованной с помощью LUKS
(можно сделать с помощью Меню-Утилиты-Диски) microsd флешке где нибудь вне дома.
Идеально подойдет какое нибудь гнездо в лесу.
Вот теперь пора бы нам обновить систему:

apt-get update && apt-get dist-upgrade

Так же скорее всего запросит, поэтому удаляем ненужные пакеты:

apt autoremove

Если в будущем хотим получать обновления по https, то выполняем:

apt install apt-transport-https

Проверяем, чтобы репозитории в /etc/apt/sources.list имели вид:

deb https://http.kali.org/kali kali-rolling main non-free contrib
# deb-src https://http.kali.org/kali kali-rolling main non-free contrib

И снова обновим систему:

apt-get update && apt-get dist-upgrade

Софт. Почему именно такой? Дальше будет описание, зачем нужен каждый инструмент:

apt-get install mat steghide network-manager-openvpn-gnome secure-delete keepassx pidgin pidgin-otr etherape irssi tor lighttpd virtualbox

Описание

mat - удаление метаданных в файлах
steghide - позволяет скрывать информацию методом стеганографии
network-manager-openvpn-gnome - нужен для настройки VPN
secure-delete - предназначен для безвозвратного удаления данных и удаления остаточной информации
keepassx - для безопасного хранение паролей
pidgin и pidgin-otr - джаббер клиент с

Ссылка скрыта от гостей

шифрованием. Это вам не телега!
etherape - анализатор пакетов/инструмент для

Ссылка скрыта от гостей

трафика
irssi - консольный IRC-клиент
tor и lighttpd - в представлении не нуждается. Пригодится, как начиная от банального использования утилиты torsocks, так и до подьема своего ресурса в сети Tor.
virtualbox - виртуальная машина, которая может пригодиться для установки

Ссылка скрыта от гостей

...

Так же думаю не лишним будет установить и донастроить еще кое что:
Bluetooth. Он нормально не работает, поэтому пользуемся мануалом по настройке.
Ram wiping. Очишает дамп оперативной памяти при перезагрузке.
VPN. Написал статью с примером на сервисе riseup, но на другом ресурсе тоже сработает команда:

openvpn --client --dev tun --config ВАША_КОНФИГУРАЦИЯ.ovpn --proto tcp

Уже закупились вай-фай адаптером ALFA или только думаете? Тогда пишем скрипт /bin/wlan1 с содержимым:

#!/bin/sh

ifconfig wlan1 down
macchanger -r wlan1
iw reg set BZ
iwconfig wlan1 txpower 30
ifconfig wlan1 up
echo "MAC updated..."
exit 0

и делаем его исполняемым:

chmod +x /bin/wlan1

Теперь при подключении ALFA и вводе в терминале команды wlan1 будет не только меняться mac, но и повышаться мощность.
Возможно вам пригодится Tor browser?
Не забудьте добавить в путь_до/tor-browser_en-US/Browser/TorBrowser/Data/Tor/torrc в самый низ строки:

ExcludeNodes {ru},{ua},{by}

Это исключит подключение к неблагополучным нодам. Если провайдер блокирует доступ:

Вот собственно и все. Конечно я могу продолжать бесконечно но это же для новичков.

Всем спасибо за внимание.

По материалам статьи записали ролик с обновленной информацией на момент публикации ролика:

 

[124C 41+]

Еще советуют запускать сомнительные программы через песочницу, на тот случай если программы окажется скомпрометирована или захочет получить доступ к системным файлам. Как я понял, это отдельная клетка для особо буйного животного, которое может перегрызть всех остальных, да и владельца зоопарка тоже.

sudo apt-get install firejail
firejail name # где name, будет названием, запускающим программу
()

Для постоянного запуска через песочницу

ln -s /usr/bin/firejail /usr/local/bin/name

Для защиты от руткитов и вторжений подойдут rkhunter, snort, ipkungfu

$ sudo apt-get install snort

$ snort -D # запуск в виде демона

$ sudo snort #  проверка пакетов

$ sudo apt-get install rkhunter
$ sudo rkhunter --propupd
$ sudo rkhunter -c --sk # запуск

 

[ghost]

Для защиты от руткитов и вторжений подойдут rkhunter, snort, ipkungfu

$ sudo apt-get install snort

$ snort -D # запуск в виде демона

$ sudo snort #  проверка пакетов

Snort... Есть такое Но просто его запуск мало что даст, а грамотное составление правил для него - та ещё тема...

 

[Baltic Tea]

mat из предложенного списка приложений может удалять EXIF изображений?

 

[studentfn]

mat из предложенного списка приложений может удалять EXIF изображений?

Да.

 

[Baltic Tea]

Еще советуют запускать сомнительные программы через песочницу, на тот случай если программы окажется скомпрометирована или захочет получить доступ к системным файлам. Как я понял, это отдельная клетка для особо буйного животного, которое может перегрызть всех остальных, да и владельца зоопарка тоже.

sudo apt-get install firejail
firejail name # где name, будет названием, запускающим программу
()

Для постоянного запуска через песочницу

ln -s /usr/bin/firejail /usr/local/bin/name

Firejail есть смысл устанавливать таким образом (netblue30/firejail) ?

$ git clone https://github.com/netblue30/firejail.git
$ cd firejail
$ ./configure && make && sudo make install-strip

Или достаточно обычной установки через aptitude?

+ Кто-нибудь пользовался этими инструментами? Что предпочтительнее, если сравнивать с rkhunter?

• Ссылка скрыта от гостей
• Ссылка скрыта от гостей

 

[Si1ver]

Респект за такие полезные советы.

 

[Wise]

А как изменить мак адрес в Kali 2018.3-2018.4? Там в папке в нетворк манагер нет нужного файла. Мак чендж так же не работает

 

[prostoyparen]

Спасибо. Ram-wiping-on-linux я тут выложил ghost / Ram-wiping-on-linux · GitLab

Как его добавить в автозагрузку, подскажите.

 

[Rand0m_M]

А как изменить мак адрес в Kali 2018.3-2018.4? Там в папке в нетворк манагер нет нужного файла. Мак чендж так же не работает

Можно тупо вручную, вот так:

ip link set eth0 down
ip link set eth0 address 00:20:30:40:50:60
ip link set eth0 up

Где eth0 поменять на название нужного интерфейса. Работает до перезагрузки.

 

[Сергей Попов]

Господа, к ролику накопилась масса вопросов. Надо бы ответить кто в теме

https://www.youtube.com/watch?v=EsKvjMqFCSI&lc=z23myt441vzttx15404t1aokgg5vlb40dvseyrst5ercbk0h00410

 

[LaaZZyy]

круто. но я половины не понял. будем разбираться. думаю видео поможет точно спасибо очень интересное

 

[Egoiste]

Будем устанавливать Kali Linux на полностью зашифрованную файловую систему.

Случилось такое.... после вода пароля Шифрования спустя какое-то время вылезла ошибка....не помню какая-именно и почему представить не могу.
Делал все по статье.
Итог , в live я не вижу свой диск (шифровал с установкой на автомате полный диск) .
На винде тоже не знаю как его увиджеть.

Как мне определить и отформатировать недодиск? Чем его увидеть ? Через live или windows.

 

[Corven]

Форумчане help. Ламерскими ручонками все делал строго по инфе в этом посте, но после настроек Кали не соединяется с интернетом. Жму включить соединение, оно полминуты тужится и выключается, так и не подсоединившись. Что могло пойти не так? Пы сы пробовал на свежеустановленной Кали, проблемы начинаются после редактипования параметров ssh.

 

[ghost]

Форумчане help. Ламерскими ручонками все делал строго по инфе в этом посте, но после настроек Кали не соединяется с интернетом. Жму включить соединение, оно полминуты тужится и выключается, так и не подсоединившись. Что могло пойти не так? Пы сы пробовал на свежеустановленной Кали, проблемы начинаются после редактипования параметров ssh.

Это не SSH. На некоторых ламерских машинах:

Сделаем, чтобы при каждом подключении к сети mac-адрес менялся на рандомный.

Меняем содержимое файла /etc/NetworkManager/NetworkManager.conf на следующее:

[main]

plugins=ifupdown,keyfile

[ifupdown]

managed=false

[connection]

wifi.cloned-mac-address=random

[connection]

ethernet.cloned-mac-address=random

ОСТАВЬТЕ ДЕФОЛТНЫЕ НАСТРОЙКИ. А mac меняйте через macchaner.
Это не прихоть. Ваше железо несовершенно. Это нормально!

 

[ikankanavar]

Отличная статья! Как настроить debian10 в плане анонимности и конфиденциальности

 

[exceconscousence]

parrot os
это подходит для parrot os?

 

[ionu]

Господа, работает ли эта настройка на WSL?

 

[Newbie19c]

Доброго времени суток, я запутался нужна ли виртуалка или нет.Понял, что при взломе вайфая например нужно подключать? через флешку, для остального использовать виртуалку?Или забить на вируталку и поставить на диск.Зашифровать после можно? Или только при установке???И по шагам в видео и в теме, делать для виртуальной версии(Virtualbox).Проясните пожалуйста.Совсем запутался...Вроде и понятно, а вроде и не совсем.И что с пользователем у меня сейчас из под рута. И вы пишите насчет vpn , нужен ли он если использовать tor , начитался что это лишнее, и что то ли при подключении ловится то ли еще что-то одним словом не рекомендуется юзать VPN с tor читал читал в итоге окончательно запутался.Уяснил для себя только то что:
1)Tor режет сам скорость
2)А, vpn тоже режет скорость
И вы еще говорите что можно обойти запуск тора от root зачем это делать, если можно создать пользователя...Тем более что везде пишут создавать дополнительную запись обязательно...В общем извиняюсь за небольшой сумбур, думаю дальше буду писать более предметно)
И самое главное перед атакой, где что смотреть, чтобы видеть что это я включил это я не включил надо включить, то не включилось, возможно следят, и прочее... если где-то нечто похожее на статус.А, ну и да отключать swap или нет:
a)Для виртуалки?
б)Для обычной?
в)Для kali с флешки?

 

[sixnineone]

здравстуйте уважаемые. не судите строго, совсем зеленый в теме Кали. настроил систему впн- хуникс(тор) -кали -впн. Захотел создать Nuke password для хостовой системы которая тоже Кали, но ничего не вышло как я понимаю тк гайд устарел. и система шифрования LUKS1 поменялась на LUKS2 это видно после введения первой команды по гайду:
cryptsetup luksDump /dev/sda5
LUKS header information
Version: 2
Помогите пожалуйста реализовать Nuke фунцкию.. перерыл кучу источников нашел одну статью но не до конца понимаю ее суть, поэтому не взялся пробовать. ссылку на статью могу дать в личку, буду очень рад помощи

 

[Rex Cox]

Теперь правильно и безопасно настроим ssh, ведь без него никуда:


Код:

update-rc.d -f ssh remove
update-rc.d -f ssh defaults
cd /etc/ssh/
mkdir insecure_original_default_kali_keys
mv ssh_host_* insecure_original_default_kali_keys/
dpkg-reconfigure openssh-server

В файле конфигурации /etc/ssh/sshd_config меняем:


Код:

# Port 22
# PermitRootLogin without-password

на


Код:

Port 2282
PermitRootLogin no

Порт 22 меняем на любой нестандартный (в нашем случае 2282) для защиты от брутфорса.
PermitRootLogin no запрещает другим машинам подключаться к root пользователю на нашей машине.
Возможно в дальнейшем вы обзаведетесь своим VPS. Поэтому советую подключаться к нему не по паролю, а создать ключ, так как это безопасней:


Код:

ssh-keygen -t rsa

Жмем Enter несколько раз. Сгенерированный ключ /root/.ssh/id_rsa.pub потом поместите на свой сервер.
Так же не советую добавлять службу ssh в автозагрузку, а стартовать/выключать командами:


Код:

service ssh start
service ssh stop

Добрый день у меня вопрос по этому куску мануала.
1. сформировал файл /etc/ssh/sshd_config в нем стоит порт 2282
когда я запукаяю service ssh start
и проверяю статус пишет что активно, но непонятно почему ниже написано что оно сервер прослушивает порт22?

service ssh status
● ssh.service - OpenBSD Secure Shell server
     Loaded: loaded (/lib/systemd/system/ssh.service; disabled; vendor preset: disabled)
     Active: active (running) since Sun 2020-04-12 10:52:07 EET; 1h 34min ago
       Docs: man:sshd(8)
             man:sshd_config(5)
    Process: 2365 ExecStartPre=/usr/sbin/sshd -t (code=exited, status=0/SUCCESS)
   Main PID: 2366 (sshd)
      Tasks: 1 (limit: 4506)
     Memory: 2.4M
     CGroup: /system.slice/ssh.service
             └─2366 sshd: /usr/sbin/sshd -D [listener] 0 of 10-100 startups

апр 12 10:52:07 kali systemd[1]: Starting OpenBSD Secure Shell server...
апр 12 10:52:07 kali sshd[2366]: Server listening on 0.0.0.0 port 22.
апр 12 10:52:07 kali sshd[2366]: Server listening on :: port 22.
апр 12 10:52:07 kali systemd[1]: Started OpenBSD Secure Shell server.

ВСЕ ли правильно работает?