Хочешь мира готовся к войне - настраиваем смешную убунту до состояния "не смешно".

[PANDORA]

Хочешь мира готовся к войне - настраиваем смешную убунту до состояния "не смешно".

Убунту это полукоммерческий дистрибутив. И хоть он и распространяется бесплатно, но принадлежит он некой компании Каноникал. А там где коммерция, как известно, там нет души. Однако после допиливания напильником и на убунту можно кое чего смастерить. Об этом вам сегодня и расскажет наш бессменный автор рубрики "Из говна и палок" - MAMKUH XAKEP

Скачиваем и устанавливаем убунту 17.10 отсюда -

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

. Кстати в конце апреля выйдет 18.04 но устанавливать ее не советую пару месяцев, пока основные баги не будут найдены и пофиксены. Как скачивать и устанавливать ищите в сети, а то всяческие пидарасы меньшинства негодуют, увидев мануалы для новичков, думая что это наш практический потолок, непонимая что мануал по исходнику модуля анонсерф поймет полтора человека из аудитории.

Первым делом убираем чмошный интерфейс, от которого хочется плакать кровавыми слезами:

sudo apt update
sudo apt install -y gnome-tweak-tool gnome-brave-icon-theme gnome-themes-standard

идем в твики и делаем из вот этого ужаса:

вот так:

Ну вот. Уже не хочется лить кровавые слезы. Теперь нужно сделать из этого "красивого" недоразумения бронированное зло (кстати в слове бронирОванное ударение на букве О). И начнем мы от простого к сложному.

1. Проводим замеры индекса прочности:

sudo apt install -y lynis
sudo lynis audit system --auditor MAMKUH-XAKEP

В репозиториях убунты версия лайниса 2.5 - и она выдает нам... 54 (пятьдесят четыре!) условных единицы, и это в уже готовом дистрибутиве! Тогда как ГОЛОЕ ядро Debian с иксами и рабочим столом, в сборке в которой есть только проводник и терминал уже выдает 62-63 единицы! Что же, я не ошибся с выбором базы под CR1ME. Однако хакеры мы или барахло? Давайте вытворять, заодно покажем всем любителям убунты как нужно настраивать эту систему, глядишь кроме лайниса еще для себя откроют цифровые чудеса всяческие.

2. Настраиваем проводник:

Наутилус неплохой файловый менеджер. Просто мало кто из разработчиков ставит все необходимые пакеты - только в TAILS он настроен как нужно. Чем мы хуже?

sudo apt install -y nautilus-wipe nautilus-admin seahorse-nautilus

После этой незамысловатой процедуры система попросит перезапустить наутилуса, делаем это и у нас в правой кнопке проводника появятся такие опции как безвозвратное удаление файлов с перезаписью, возможно шифрования файлов или папок и возможность открывать их с правами дминистратора:

С проводником закончили. Можно конечно еще добавить пакет nautilus-hide, но он годится только порнуху от мамки прятать, так что не наш вариант.

3. Делаем пароль на уничтожение ячеек шифрования.

Уничтожить данные за секунды невозможно, это миф. Но сделать их незвлекаемыми вполне, даже в стоковом cryptsetup есть фунция ERASE которая затирает все 8 ячеек с ключами шифрования. Команда для этого вот такая:

sudo cryptsetup luksErase <криптораздел>

где <криптораздел> это название шифрованного раздела диска или флешки (узнать его можно командой lsblk)

user@unknown:~$ lsblk
NAME                    MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda                       8:0    0 111,8G  0 disk
├─sda1                    8:1    0   731M  0 part  /boot
├─sda2                    8:2    0     1K  0 part
└─sda5                    8:5    0 111,1G  0 part
  └─sdb5_crypt          253:0    0 111,1G  0 crypt
    ├─ubuntu--vg-root   253:1    0 103,3G  0 lvm   /
    └─ubuntu--vg-swap_1 253:2    0   7,8G  0 lvm   [SWAP]

в моем случае это sda5, а значет команда будет:

sudo cryptsetup luksErase sda5

Повесив эту команду на ярлык или на комбинацию из трех клавиш вы получите кнопку уничтожения системы. Уничтожения из САМОЙ системы. Но это не позволит вам уничтожить ее, пока вы в нее не вошли, так что мы будем делать пароль, который нам позволит уничтожать систему изнутри, на запуске или даже просто при открытии флешки как носителя данных.

Открываем список репозиториев:

sudo nano /etc/apt/sources.list

Мышкой копируем в него репозиторий Kali Linux:

deb http://http.kali.org/kali kali-rolling main contrib non-free
# For source package access, uncomment the following line
# deb-src http://http.kali.org/kali kali-rolling main contrib non-free

После чего жмем ctrl+o, enter, ctrl+x и выполняем update:

sudo apt update

Что, не прокатило? NO_PUBKEY ED444FF07D8D0BF6? А ты как хотел. Думал настройка системы это просто? А ключи кто добавлять будет?

user@unknown:~$ gpg --keyserver keyserver.ubuntu.com --recv-key ED444FF07D8D0BF6
gpg: /home/user/.gnupg/trustdb.gpg: trustdb created
gpg: key ED444FF07D8D0BF6: public key "Kali Linux Repository <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1

user@unknown:~$ gpg --export --armor ED444FF07D8D0BF6 | sudo apt-key add -
OK

Все. Теперь все нормально будет:

sudo apt update

Апгрейдим криптсетап:

sudo apt install -y  cryptsetup cryptsetup-bin libcryptsetup12

Проверяем как все прошло:

sudo cryptsetup luksAddNuke /dev/sda5

Если запросил существуюший пароль от шифрования диска, то все ок:

4. Устанавливаем модуль Kali-Anonurf

sudo apt install -y git curl bleachbit
cd /etc
sudo git clone https://github.com/Und3rf10w/kali-anonsurf.git
cd kali-anonsurf
sudo ./installer.sh

Дожидаемся окончания установки модуля. После чего выполняем команды:

sudo anonsurf restart
anonsurf status

должно быть вот так:

Все, весь трафик машины теперь перенаправлен через tor. Команды управления модулем следующие:

sudo anonsurf start - заворачиваем трафик в tor
sudo anonsurf stop - возвращаемся в clearnet
sudo aninsurt restart - комбинация из stop + start
anonsurf ip - проверка текущего IP адреса
anonsurf status - проверка статуса

заходим на айпичек и проверяем все ли четко:

Как видно настройки браузера далеко не идеальны, однако все же мы завернули трафик через tor. Завернули ВЕСЬ трафик, весь без исключения.

5. Наращиваем броню:

Проверим еще раз наш индекс. Во! Уже 60. Куда лучше. Правильное бронирование должно быть именно таким - когда ты делаешь то, что реально нужно, и индекс растет. А не когда ты делаешь это по логам лайниса "накручивая" цифры лишь бы побольше чем у других они были "пыль в глаза пустить".

Добавим еще немного прочности:

sudo apt install -y libpam-tmpdir apt-listbugs apt-listchanges needrestart debsecan debsums fail2ban debian-goodies libpam-passwdqc chkrootkit

Снова делаем замеры:

Всё, 70 баллов, нормальный ход. Для мелких киберхулиганств за глаза хорош на сегодня. Итак дофига вам профессиональных секретов раскрыл. Занимайтесь.

 

[Nonoanigilist]

СПасибо!

 

[adik25]

Epta.....krasauchik))). Sorry for eng alphabet - no time to install RU)))

 

[coced]

Рядовым пользователям есть смысл следовать этим настройкам?

 

[Nonoanigilist]

скоро напишу тебе в жабку)) Если понишь болтали так когда то, я просто только недавно разгрёбся с делишками))))) Готов познавать;))
[doublepost=1523664740][/doublepost]

Рядовым пользователям есть смысл следовать этим настройкам?

Есть, скажу так, не критично, но всё же. Ну просто так адекватнее.

 

[ortiso]

Почему выбор был зделан в сторону Убунты, а не провославного Дебиан?
Если проделать тоже самое на Дебиан, то насколько индекс будет выше?

По 3 пункту - как это все будет выглядить если загрузиться с посторонней ОС. Криминалисты обычно так и делают во избежании всяких трюков.

 

[PANDORA]

убунта популярнее и проще в установке для новичков.

на счет пароля - он для ситуаций типа аэропорта или принуждения непрофессионалами. профи к машие тебя неподпустят, сфотографируют ее и обесточат.

п.с. работают не с посторонней ос. работают с дампами предварительно сняв их с мастер копии, а так же чексуммы, чтобы не было базаров что внесены изменения.

 

[alleycat]

чот наутилус не хочет файлы открывать. текст например дает редактировать с правами админа, но при попытке открыть не реагирует. как думаешь, в чем может быть дело?

 

[PANDORA]

чот наутилус не хочет файлы открывать. текст например дает редактировать с правами админа, но при попытке открыть не реагирует. как думаешь, в чем может быть дело?

открывай с правами админа не файлы а папки. эта фишка - для открытия рут проводника.

 

[alleycat]

открывай с правами админа не файлы а папки. эта фишка - для открытия рут проводника.

т.е. чтобы просто просмотреть содержимое текстового файла нужно переключаться обратно в thunar? ну или через нано в терминале, открывается и с рут правами и без.

 

[PANDORA]

т.е. чтобы просто просмотреть содержимое текстового файла нужно переключаться обратно в thunar? ну или через нано в терминале, открывается и с рут правами и без.

откуда в убунту thunar? это первое. и второе - нужно тебе поменять что то в текстовике в системной папке. например torrc в папке /etc/tor - правой кнопкой на ней - Open as Administrator. открывается рут проводник - в нем двойной клик на текстовике torrc и редач сколько угодно.

 

[alleycat]

откуда в убунту thunar? это первое. и второе - нужно тебе поменять что то в текстовике в системной папке. например torrc в папке /etc/tor - правой кнопкой на ней - Open as Administrator. открывается рут проводник - в нем двойной клик на текстовике torrc и редач сколько угодно.

стоит xubuntu, thunar в базе был. сорян что не уточнил, решил там отличий по мелочи. рут проводник работает без проблем, двойной клик не работает) ладно забили на это, можно и без наутилуса обойтись. полагаю, это та тонкость в настройке, которую обусловила разница в оболочках.

 

[PANDORA]

стоит xubuntu, thunar в базе был. сорян что не уточнил, решил там отличий по мелочи. рут проводник работает без проблем, двойной клик не работает) ладно забили на это, можно и без наутилуса обойтись. полагаю, это та тонкость в настройке, которую обусловила разница в оболочках.

а вон в чем дело. да, в xubuntu тунар - в нем нет таких приколов. но их можно сделать самому - скоро запилю гайд на эту тему.

 

[cogem38605]

Всё, 70 баллов, нормальный ход. Для мелких киберхулиганств за глаза хорош на сегодня. Итак дофига вам профессиональных секретов раскрыл. Занимайтесь.

Это что за бред, анонимность в баллах какой то проги измерять.

 

[PANDORA]

Это что за бред, анонимность в баллах какой то проги измерять.

Это баллы не анонимности. И это не "какая то прога". Это аудитор уязвимостей, который есть в стандартных репозиториях дебиана, то есть одобрен подразделением дебиан-секьюрити.

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

п.с. Бред - это писать коменты о том, чего не знаешь.

 

[cogem38605]

Это баллы не анонимности. И это не "какая то прога". Это аудитор уязвимостей, который есть в стандартных репозиториях дебиана, то есть одобрен подразделением дебиан-секьюрити.

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

п.с. Бред - это писать коменты о том, чего не знаешь.

И в чем смысл ее запускать, для теста анонимности?

 

[PANDORA]

И в чем смысл ее запускать, для теста анонимности?

Это аудитор безопасности, причем тут анонимность? Он проверяет правильность настроек системы, смысл его запускать в том, что бы убедиться, что ты ничего не забыл сделать важного, проверить свою работу.

 

[cogem38605]

Это аудитор безопасности, причем тут анонимность? Он проверяет правильность настроек системы, смысл его запускать в том, что бы убедиться, что ты ничего не забыл сделать важного, проверить свою работу.

Набранные 10, 70 , 80, 100 баллов ничего по факту не скажут. Чтобы ничего не забыть нужно использовать готовые инструменты(tails, whonix, qubes) А не пытаться что то сделать самому.

 

[PANDORA]

Набранные 10, 70 , 80, 100 баллов ничего по факту не скажут. Чтобы ничего не забыть нужно использовать готовые инструменты(tails, whonix, qubes) А не пытаться что то сделать самому.

Тебе да, лучше пользоваться готовым.

 

[MaxSs]

А есть такой же ман для честного дебиана?)