Статья Как настроить Kali Linux в плане безопасности и анонимности

Приветствую форумчане!

Решил накатать небольшую статейку для тех, кто только решил освоить

Ссылка скрыта от гостей

.

Но я не буду описывать специфические инструменты, их предназначение и использование. Я расскажу как безопасно настроить систему в плане безопасности и анонимности, которая сейчас очень актуальна. Чтобы бедный несчастный новичок не рыскал по поиску форума и гугле, пытаясь получить ответы. Именно для этого я решил собрать наработанный материал в одном месте.
Здоровая критика и дополнения приветствуются.

Все манипуляции, описанные в статье, проводились на Kali 64 bit с графическим окружением Gnome 3.

За работоспособность на другой разрядности или окружении я не ручаюсь. Все делаете на свой страх и риск!

Для начала узнаем какая разрядность у вашей системы:

grep -qP ’^flags\s*:.*\blm\b’ /proc/cpuinfo && echo 64-bit || echo 32-bit

Затем качаем образ только

Ссылка скрыта от гостей

и сверяем контрольные суммы методом:

sha256sum kali-linux-2017.3-amd64.iso

Записываем его на флешку обьемом от 4 Gb с помощью утилиты

Ссылка скрыта от гостей

Будем устанавливать Kali Linux на полностью зашифрованную файловую систему.
Как это сделать написано в статье на форуме. Более развернутого гайда я не встречал.
Прелести именно этой установки я обьяснять не буду Возможно вы поймете это позже.

После первого входа в систему отключим swap через Меню-Утилиты-Диски. Это самый быстрый способ:

Не надо пользоваться моей инструкцией с перезаписью swap из этой темы.
Она для уже юзанной системы, а на свежеустановленной достаточно указанного выше!
Отключен ли swap, можно посмотреть в Системном мониторе:

Проверяем, чтобы репозитории в /etc/apt/sources.list имели вид:

deb http://http.kali.org/kali kali-rolling main contrib non-free
# deb-src http://http.kali.org/kali kali-rolling main contrib non-free

Сделаем, чтобы при каждом подключении к сети mac менялся на рандомный.
(Спасибо@z3RoTooL за прекрасную подсказку в своей статье)
Для этого содержимое файла /etc/NetworkManager/NetworkManager.conf меняем на:

[main]
plugins=ifupdown,keyfile

[ifupdown]
managed=false

[connection]
wifi.cloned-mac-address=random

[connection]
ethernet.cloned-mac-address=random

Теперь правильно и безопасно настроим ssh, ведь без него никуда:

update-rc.d -f ssh remove
update-rc.d -f ssh defaults
cd /etc/ssh/
mkdir insecure_original_default_kali_keys
mv ssh_host_* insecure_original_default_kali_keys/
dpkg-reconfigure openssh-server

В файле конфигурации /etc/ssh/sshd_config меняем:

# Port 22
# PermitRootLogin without-password

на

Port 2282
PermitRootLogin no

Порт 22 меняем на любой нестандартный (в нашем случае 2282) для защиты от брутфорса.
PermitRootLogin no запрещает другим машинам подключаться к root пользователю на нашей машине.
Возможно в дальнейшем вы обзаведетесь своим VPS. Поэтому советую подключаться к нему не по паролю, а создать ключ, так как это безопасней:

ssh-keygen -t rsa

Жмем Enter несколько раз. Сгенерированный ключ /root/.ssh/id_rsa.pub потом поместите на свой сервер.
Так же не советую добавлять службу ssh в автозагрузку, а стартовать/выключать командами:

service ssh start
service ssh stop

Теперь важный момент в статье. Сделаем пароль самоуничтожения заголовков зашифрованного диска.
По сути без них он превращается просто в кирпич. По этой теме есть прекрасная статья на форуме.
Позволю себе сократить этот процесс до минимума:

cryptsetup luksAddNuke /dev/sda5
Enter any existing passphrase: Ваша фраза шифрования
Enter new passphrase for key slot: Пароль самоуничтожения
Verify passphrase: Повтор пароля самоуничтожения

cryptsetup luksHeaderBackup --header-backup-file luksheader.back /dev/sda5

file luksheader.back

openssl enc -aes-256-cbc -salt -in luksheader.back -out luksheader.back.enc
enter aes-256-cbc encryption password: Пароль для зашифрованного заголовка
Verifying - enter aes-256-cbc encryption password: Повтор пароля для зашифрованного заголовка

ls -lh luksheader.back*

file luksheader.back*

Файлы luksheader.back и luksheader.back.enc храним на зашифрованной с помощью LUKS
(можно сделать с помощью Меню-Утилиты-Диски) microsd флешке где нибудь вне дома.
Идеально подойдет какое нибудь гнездо в лесу.
Вот теперь пора бы нам обновить систему:

apt-get update && apt-get dist-upgrade

Так же скорее всего запросит, поэтому удаляем ненужные пакеты:

apt autoremove

Если в будущем хотим получать обновления по https, то выполняем:

apt install apt-transport-https

Проверяем, чтобы репозитории в /etc/apt/sources.list имели вид:

deb https://http.kali.org/kali kali-rolling main non-free contrib
# deb-src https://http.kali.org/kali kali-rolling main non-free contrib

И снова обновим систему:

apt-get update && apt-get dist-upgrade

Софт. Почему именно такой? Дальше будет описание, зачем нужен каждый инструмент:

apt-get install mat steghide network-manager-openvpn-gnome secure-delete keepassx pidgin pidgin-otr etherape irssi tor lighttpd virtualbox

Описание

mat - удаление метаданных в файлах
steghide - позволяет скрывать информацию методом стеганографии
network-manager-openvpn-gnome - нужен для настройки VPN
secure-delete - предназначен для безвозвратного удаления данных и удаления остаточной информации
keepassx - для безопасного хранение паролей
pidgin и pidgin-otr - джаббер клиент с

Ссылка скрыта от гостей

шифрованием. Это вам не телега!
etherape - анализатор пакетов/инструмент для

Ссылка скрыта от гостей

трафика
irssi - консольный IRC-клиент
tor и lighttpd - в представлении не нуждается. Пригодится, как начиная от банального использования утилиты torsocks, так и до подьема своего ресурса в сети Tor.
virtualbox - виртуальная машина, которая может пригодиться для установки

Ссылка скрыта от гостей

...

Так же думаю не лишним будет установить и донастроить еще кое что:
Bluetooth. Он нормально не работает, поэтому пользуемся мануалом по настройке.
Ram wiping. Очишает дамп оперативной памяти при перезагрузке.
VPN. Написал статью с примером на сервисе riseup, но на другом ресурсе тоже сработает команда:

openvpn --client --dev tun --config ВАША_КОНФИГУРАЦИЯ.ovpn --proto tcp

Уже закупились вай-фай адаптером ALFA или только думаете? Тогда пишем скрипт /bin/wlan1 с содержимым:

#!/bin/sh

ifconfig wlan1 down
macchanger -r wlan1
iw reg set BZ
iwconfig wlan1 txpower 30
ifconfig wlan1 up
echo "MAC updated..."
exit 0

и делаем его исполняемым:

chmod +x /bin/wlan1

Теперь при подключении ALFA и вводе в терминале команды wlan1 будет не только меняться mac, но и повышаться мощность.
Возможно вам пригодится Tor browser?
Не забудьте добавить в путь_до/tor-browser_en-US/Browser/TorBrowser/Data/Tor/torrc в самый низ строки:

ExcludeNodes {ru},{ua},{by}

Это исключит подключение к неблагополучным нодам. Если провайдер блокирует доступ:

Вот собственно и все. Конечно я могу продолжать бесконечно но это же для новичков.

Всем спасибо за внимание.

По материалам статьи записали ролик с обновленной информацией на момент публикации ролика:

 

[Mitistofel]

nano /etc/init.d/

Вместо этого судя по всему "/etc/init.d/local"
Сделал всё как ты сказал, а как проверить работает ли смена мак адреса?

 

[ghost]

Вместо этого судя по всему "/etc/init.d/local"
Сделал всё как ты сказал, а

Уже поправил строку, пока редактирование возможно.
Как проверить работает ли смена мак адреса?
Очень просто:

macchanger -s wlan0

В твоём случае вместо wlan0 будет eth0

 

[Mitistofel]

macchanger -s wlan0

Ой чё то не срослось. Даже после ребута мак один и тот же:

Current MAC: 08:xx:xx:35:06:xx (CADMUS COMPUTER SYSTEMS)
Permanent MAC: 08:xx:xx:35:06:xx (CADMUS COMPUTER SYSTEMS)

 

[ghost]

Ой чё то не срослось. Даже после ребута мак один и тот же:

Current MAC: 08:xx:xx:35:06:xx (CADMUS COMPUTER SYSTEMS)
Permanent MAC: 08:xx:xx:35:06:xx (CADMUS COMPUTER SYSTEMS)

Проводами не пользуюсь. Только usb свистками.
Посмотри, может

Ссылка скрыта от гостей

найдётся что то полезное...

 

[Mitistofel]

Посмотри, может

Ссылка скрыта от гостей

найдётся что то полезное...

Статья и в правду полезная, мне помогла.

В связи с тем, что в той статье много букв, и дабы люди больше времени проводили на codeby, я расскажу всё тут и в кратце (ещё один из способов автоматически менять мак адрес):

Итак в терминале пишем команду:

sudo gedit /etc/NetworkManager/conf.d/mac.conf

Вместо "gedit" можно использовать "nano", "leafpad" или просто ручками как в виндовс зайти в нужную папку с помощью мышки, и внести измения в файл, а изменения мы будем вносить такие:

[connection]
ethernet.cloned-mac-address=stable
wifi.cloned-mac-address=stable

Просто копируем и вставляем этот текст в файл "mac.conf".
В данном случае строчка "ethernet.cloned-mac-address=stable" отвечает за проводной интернет, а строчка "wifi.cloned-mac-address=stable" за вай фай. Можете указывать только проводную строчку, если например у вас проводной интернет (аналогично для вай фай). Можно указывать две строчки, даже если у вас например только проводной интернет

Так же расскажу о том как можно настроить автоматическую смену мак адреса:

Если в файл "mac.conf" после знака равно мы будем писать не "stable", а "permanent" - тогда будет использоваться вшитый в устройство мак адрес.
Если мы будем писать "stable" - тогда для каждого подключения будет генерироваться случайный мак адрес, НО при подключении к одной и той же сети мак адрес останется таким, каким он сгенерировался в первый раз.
Если мы будем писать не "stable", а "preserve"- это значит не будет меняться мак адрес устройства после активации (например, если мак был изменён другой программой, то будет использоваться текущий адрес).
Если мы будем писать не "stable", а "random" - это значит после каждой перезагрузки "kali", будет присваиваться новый мак адрес.
Если мы будем писать не "stable", а "любой другой мак адрес, который придёт вам в голову" (например "26:e8:83:7d:46:96"), то после всех перезагрузок мак адрес будет именно "26:e8:83:7d:46:96"

Командой "ip a" можно посмотреть то, что происходит с мак адресом (изменения)

У меня всё работает...

 

[ghost]

Статья и в правду полезная, мне помогла.
...
У меня всё работает...

Вот видишь. Было бы желание. А возможность всегда найдётся...

 

[Mitistofel]

Вот видишь. Было бы желание. А возможность всегда найдётся...

Рассуждаешь прямо как я )

 

[User8]

Тоже пытаюсь настроить автоматическую смену MAC'а. И по инструкции ghost'a с добавлением строчек в конфиге, так же как у Metistofel'я после перезагрузки не проходит подключение к интернету.

Итак в терминале пишем команду:

sudo gedit /etc/NetworkManager/conf.d/mac.conf

Вместо "gedit" можно использовать "nano", "leafpad" или просто ручками как в виндовс зайти в нужную папку с помощью мышки, и внести измения в файл, а изменения мы будем вносить такие:

[connection]
ethernet.cloned-mac-address=stable
wifi.cloned-mac-address=stable

Просто копируем и вставляем этот текст в файл "mac.conf".

По сути, тут ты сделал все тоже самое, что тебе советовали до этого, только с прописью не в дефолтном конфиговом файле, а в отдельно созданом, как было написано в инструкции по той ссылке по смене мак адресов. И для меня странно почему с первым вариантом у тебя не подключалось, но грубо говоря с тем же решением но через другой файл все начало работать. Я конечно попробовал эти 2 варианта, ну и ессно оба оказались не рабочими для меня.

Добавляем скрипт /etc/init.d/local в автозапуск:

Так же пробовал через macchanger. С созданием скрипта и добавлением в автозагрузку. Но после перезагрузки, мак остается прежним. Хотя после прописи service --status-all которая по идее просто должна выводить список init скриптов, мак меняется, что тоже вызывает вопрос. И в списке который выводит команда, напротив скрипта local стоит +, но после перезагрузки ничего не меняется.

В мануале есть абзац :
Если после смены MAC у вас появились проблемы с подключением (вы не можете подключиться к сетям – проводной или беспроводной), то это означает, что в сети присутствует запрет для подключения с MAC от неизвестного вендора (производителя). В этом случае нужно использовать первые три октета (байта) любого реального вендора, оставшиеся три октета могут быть произвольными.

Пробовал указывать принудительный мак, с изменением последних 3ех октетов, но подключения так же.
Есть догадки как мне настроить автоматическую смену ?

upd.Если
# ip link set dev интерфейс down отключаю интерфейс и потом через
# macchanger -r интерфейс генерирую рандомный мак, то при включении интерфейса обратно, подключение так же не может быть установлено.
Ну и через
# macchanger -e интерфейс для изменения только байт, которые являются уникальными для конкретного устройства (благодаря чему при проверке MAC-адрес будет по-прежнему считаться принадлежащим тому же производителю). Так же нет подключения.

И только я ввожу
# macchanger -p интерфейс для возврата на дефолтный мак, подключение идет моментом. Что мне делать в такой ситуации ?

 

[Mitistofel]

По сути, тут ты сделал все тоже самое, что тебе советовали до этого, только с прописью не в дефолтном конфиговом файле, а в отдельно созданом, как было написано в инструкции по той ссылке по смене мак адресов. И для меня странно почему с первым вариантом у тебя не подключалось, но грубо говоря с тем же решением но через другой файл все начало работать. Я конечно попробовал эти 2 варианта, ну и ессно оба оказались не рабочими для меня.

В связи с тем, что тот способ, который я описал последним - помог мне, и по этому я другие способы и не искал. И к сожалению помочь больше не чем не могу.

 

[ghost]

Друзья, если мне не изменяет память, сейчас на этапе после первой установки Kali Linux и самого первого обновления, по умолчанию задаётся вопрос об автоматической подмене mac. Так что способ теперь как бы неактуален... ))

 

[MLNK]

Друзья, если мне не изменяет память, сейчас на этапе после первой установки Kali Linux и самого первого обновления, по умолчанию задаётся вопрос об автоматической подмене mac. Так что способ теперь как бы неактуален... ))

не изменяет. уточню малость, это я про твою память )

 

[User8]

Друзья, если мне не изменяет память, сейчас на этапе после первой установки Kali Linux и самого первого обновления, по умолчанию задаётся вопрос об автоматической подмене mac. Так что способ теперь как бы неактуален... ))

не изменяет. уточню малость, это я про твою память )

Ну тогда исходя из этого, после каждой перезагрузки (подключения) по команде sudo macchanger -s wlan0 у меня каждый раз должен выдавать новый мак адрес, но этого же не происходит, тогда как это можно еще проверить ? Хотя тоже действительно вспомнил про вопрос об автоподмене. Уже просто хочется тогда узнать или увидеть в живую смену адреса.

 

[MLNK]

Ну тогда исходя из этого, после каждой перезагрузки (подключения) по команде sudo macchanger -s wlan0 у меня каждый раз должен выдавать новый мак адрес, но этого же не происходит, тогда как это можно еще проверить ? Хотя тоже действительно вспомнил про вопрос об автоподмене. Уже просто хочется тогда узнать или увидеть в живую смену адреса.

пере тем как использовать macchanger надо отключать NetworkManager, ибо он реинициализирует мак. ябы рекомендовать в использовать wicd вместо NetworkManager.

 

[Сергей Попов]

 

[ghost]

Спасибо ребята! Превосходное видео.
Действительно приятно, что тема так зашла, что ремейки и триквелы делаются на неё.
Я доволен, что смог помочь пользователям и передать часть знаний.

 

[Wise]

Друзья, если мне не изменяет память, сейчас на этапе после первой установки Kali Linux и самого первого обновления, по умолчанию задаётся вопрос об автоматической подмене mac. Так что способ теперь как бы неактуален... ))

Да, все верно. Но лично у меня он не работает. ((
Я после переустановки, заменяю содержимое файла нетворк манагер. И все работает.

 

[LqEo80xHrN]

добавил в текстовом файле комманды из видео + Ram-wiping-on-linux

 

[ghost]

добавил в текстовом файле комманды из видео + Ram-wiping-on-linux

Спасибо. Ram-wiping-on-linux я тут выложил ghost / Ram-wiping-on-linux · GitLab

 

[Sengoku]

Если мак менять через macchanger ничего же не изменится если менять его при каждом запуске оси, а не ставить автосмену? И как это будет указываться у провайдера, как неизвестный MAC?

 

[Baltic Tea]

Если сменить окружение Kali на альтенативное (LXDE, например), то можно удалить следующие пакеты?

sudo apt-get remove gnome-orca kali-desktop-gnome orca