Хочешь мира готовся к войне - настраиваем смешную убунту до состояния "не смешно".

[PANDORA]

Хочешь мира готовся к войне - настраиваем смешную убунту до состояния "не смешно".

Убунту это полукоммерческий дистрибутив. И хоть он и распространяется бесплатно, но принадлежит он некой компании Каноникал. А там где коммерция, как известно, там нет души. Однако после допиливания напильником и на убунту можно кое чего смастерить. Об этом вам сегодня и расскажет наш бессменный автор рубрики "Из говна и палок" - MAMKUH XAKEP

Скачиваем и устанавливаем убунту 17.10 отсюда -

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

. Кстати в конце апреля выйдет 18.04 но устанавливать ее не советую пару месяцев, пока основные баги не будут найдены и пофиксены. Как скачивать и устанавливать ищите в сети, а то всяческие пидарасы меньшинства негодуют, увидев мануалы для новичков, думая что это наш практический потолок, непонимая что мануал по исходнику модуля анонсерф поймет полтора человека из аудитории.

Первым делом убираем чмошный интерфейс, от которого хочется плакать кровавыми слезами:

sudo apt update
sudo apt install -y gnome-tweak-tool gnome-brave-icon-theme gnome-themes-standard

идем в твики и делаем из вот этого ужаса:

вот так:

Ну вот. Уже не хочется лить кровавые слезы. Теперь нужно сделать из этого "красивого" недоразумения бронированное зло (кстати в слове бронирОванное ударение на букве О). И начнем мы от простого к сложному.

1. Проводим замеры индекса прочности:

sudo apt install -y lynis
sudo lynis audit system --auditor MAMKUH-XAKEP

В репозиториях убунты версия лайниса 2.5 - и она выдает нам... 54 (пятьдесят четыре!) условных единицы, и это в уже готовом дистрибутиве! Тогда как ГОЛОЕ ядро Debian с иксами и рабочим столом, в сборке в которой есть только проводник и терминал уже выдает 62-63 единицы! Что же, я не ошибся с выбором базы под CR1ME. Однако хакеры мы или барахло? Давайте вытворять, заодно покажем всем любителям убунты как нужно настраивать эту систему, глядишь кроме лайниса еще для себя откроют цифровые чудеса всяческие.

2. Настраиваем проводник:

Наутилус неплохой файловый менеджер. Просто мало кто из разработчиков ставит все необходимые пакеты - только в TAILS он настроен как нужно. Чем мы хуже?

sudo apt install -y nautilus-wipe nautilus-admin seahorse-nautilus

После этой незамысловатой процедуры система попросит перезапустить наутилуса, делаем это и у нас в правой кнопке проводника появятся такие опции как безвозвратное удаление файлов с перезаписью, возможно шифрования файлов или папок и возможность открывать их с правами дминистратора:

С проводником закончили. Можно конечно еще добавить пакет nautilus-hide, но он годится только порнуху от мамки прятать, так что не наш вариант.

3. Делаем пароль на уничтожение ячеек шифрования.

Уничтожить данные за секунды невозможно, это миф. Но сделать их незвлекаемыми вполне, даже в стоковом cryptsetup есть фунция ERASE которая затирает все 8 ячеек с ключами шифрования. Команда для этого вот такая:

sudo cryptsetup luksErase <криптораздел>

где <криптораздел> это название шифрованного раздела диска или флешки (узнать его можно командой lsblk)

user@unknown:~$ lsblk
NAME                    MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda                       8:0    0 111,8G  0 disk
├─sda1                    8:1    0   731M  0 part  /boot
├─sda2                    8:2    0     1K  0 part
└─sda5                    8:5    0 111,1G  0 part
  └─sdb5_crypt          253:0    0 111,1G  0 crypt
    ├─ubuntu--vg-root   253:1    0 103,3G  0 lvm   /
    └─ubuntu--vg-swap_1 253:2    0   7,8G  0 lvm   [SWAP]

в моем случае это sda5, а значет команда будет:

sudo cryptsetup luksErase sda5

Повесив эту команду на ярлык или на комбинацию из трех клавиш вы получите кнопку уничтожения системы. Уничтожения из САМОЙ системы. Но это не позволит вам уничтожить ее, пока вы в нее не вошли, так что мы будем делать пароль, который нам позволит уничтожать систему изнутри, на запуске или даже просто при открытии флешки как носителя данных.

Открываем список репозиториев:

sudo nano /etc/apt/sources.list

Мышкой копируем в него репозиторий Kali Linux:

deb http://http.kali.org/kali kali-rolling main contrib non-free
# For source package access, uncomment the following line
# deb-src http://http.kali.org/kali kali-rolling main contrib non-free

После чего жмем ctrl+o, enter, ctrl+x и выполняем update:

sudo apt update

Что, не прокатило? NO_PUBKEY ED444FF07D8D0BF6? А ты как хотел. Думал настройка системы это просто? А ключи кто добавлять будет?

user@unknown:~$ gpg --keyserver keyserver.ubuntu.com --recv-key ED444FF07D8D0BF6
gpg: /home/user/.gnupg/trustdb.gpg: trustdb created
gpg: key ED444FF07D8D0BF6: public key "Kali Linux Repository <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1

user@unknown:~$ gpg --export --armor ED444FF07D8D0BF6 | sudo apt-key add -
OK

Все. Теперь все нормально будет:

sudo apt update

Апгрейдим криптсетап:

sudo apt install -y  cryptsetup cryptsetup-bin libcryptsetup12

Проверяем как все прошло:

sudo cryptsetup luksAddNuke /dev/sda5

Если запросил существуюший пароль от шифрования диска, то все ок:

4. Устанавливаем модуль Kali-Anonurf

sudo apt install -y git curl bleachbit
cd /etc
sudo git clone https://github.com/Und3rf10w/kali-anonsurf.git
cd kali-anonsurf
sudo ./installer.sh

Дожидаемся окончания установки модуля. После чего выполняем команды:

sudo anonsurf restart
anonsurf status

должно быть вот так:

Все, весь трафик машины теперь перенаправлен через tor. Команды управления модулем следующие:

sudo anonsurf start - заворачиваем трафик в tor
sudo anonsurf stop - возвращаемся в clearnet
sudo aninsurt restart - комбинация из stop + start
anonsurf ip - проверка текущего IP адреса
anonsurf status - проверка статуса

заходим на айпичек и проверяем все ли четко:

Как видно настройки браузера далеко не идеальны, однако все же мы завернули трафик через tor. Завернули ВЕСЬ трафик, весь без исключения.

5. Наращиваем броню:

Проверим еще раз наш индекс. Во! Уже 60. Куда лучше. Правильное бронирование должно быть именно таким - когда ты делаешь то, что реально нужно, и индекс растет. А не когда ты делаешь это по логам лайниса "накручивая" цифры лишь бы побольше чем у других они были "пыль в глаза пустить".

Добавим еще немного прочности:

sudo apt install -y libpam-tmpdir apt-listbugs apt-listchanges needrestart debsecan debsums fail2ban debian-goodies libpam-passwdqc chkrootkit

Снова делаем замеры:

Всё, 70 баллов, нормальный ход. Для мелких киберхулиганств за глаза хорош на сегодня. Итак дофига вам профессиональных секретов раскрыл. Занимайтесь.

 

[cogem38605]

А есть такой же ман для честного дебиана?)

К whonix его подключи и все. А на эти баллы безопасности забей, они ни о чем не говорят

 

[PANDORA]

А есть такой же ман для честного дебиана?)

Много подходит и для дебиана, за исключением настроек наутилуса - в дебиане тунар и его настраивать гораздо сложнее. Да и некоторые фишки что в мануале уже не проканают. Например тем способом что я описал уже не получится сделать себе нюк пароль для уничтожения, так как в кали уже упразднили эту функцию. Надо искать старый пакет и ставить его вручную через dpkg.

К whonix его подключи и все. А на эти баллы безопасности забей, они ни о чем не говорят

Кого к хуникс подлючить? Дебиан? Хуникс это и есть дебиан, только перенастроенный и с образом под виртуалбокс. С твоими знаниями давать советы смешно, угомонись уже, клоун.

 

[cogem38605]

так как в кали уже упразднили эту функцию.

Потому что она бесполезна никто тебе при обыске не даст подойти к компьютеру.

 

[MaxSs]

Много подходит и для дебиана, за исключением настроек наутилуса - в дебиане тунар и его настраивать гораздо сложнее. Да и некоторые фишки что в мануале уже не проканают. Например тем способом что я описал уже не получится сделать себе нюк пароль для уничтожения, так как в кали уже упразднили эту функцию. Надо искать старый пакет и ставить его вручную через dpkg.

Спасибо, поковыряю, как раз времени сейчас полно )
Для убуты кмк ман двухлетней давности уже тоже не очень актуален,там же все меняется очень быстро, это деб славен своей стабильностью и возрстом пакетов)))

 

[PANDORA]

Спасибо, поковыряю, как раз времени сейчас полно )
Для убуты кмк ман двухлетней давности уже тоже не очень актуален,там же все меняется очень быстро, это деб славен своей стабильностью и возрстом пакетов)))

Убунту это и есть дебиан, только она собирается не на стабильном репозитории а на тестинг. Из своего у них только инсталлятор, пакет драйверов и так, по мелочи.. Даже интерфейс уже дефолтом взяли гнома вместо юнити или как там у них было.

 

[MaxSs]

Убунту это и есть дебиан, только она собирается не на стабильном репозитории а на тестинг. Из своего у них только инсталлятор, пакет драйверов и так, по мелочи.. Даже интерфейс уже дефолтом взяли гнома вместо юнити или как там у них было.

Да, я знаю, но они же пошли своим путем) так же как энтерпрайзный Редхат и Федора например.
Юнити у убунты была недолго и это было дерьмо полное, такого неудачного интерфейса я больше ни разу не встречал. Но и гном в 8 рхеле тоже как-то так себе, поскольку возможность кастомизации убрали почти полностью. Но это уже лирика, можем операционки в целом обсудить в Общении или в личке)
Возвращаясь к сабжу, в том и суть что в убунте пакеты сильно новее, а деб использует порой заметно устаревшие версии. Косметика вся это пофигу, она на функционал не влияет, а вот рзные версии пакетов и особенно их зависимостей - это иногда может быть сильно проблемно.

 

[PANDORA]

Да, я знаю, но они же пошли своим путем) так же как энтерпрайзный Редхат и Федора например.
Юнити у убунты была недолго и это было дерьмо полное, такого неудачного интерфейса я больше ни разу не встречал. Но и гном в 8 рхеле тоже как-то так себе, поскольку возможность кастомизации убрали почти полностью. Но это уже лирика, можем операционки в целом обсудить в Общении или в личке)
Возвращаясь к сабжу, в том и суть что в убунте пакеты сильно новее, а деб использует порой заметно устаревшие версии. Косметика вся это пофигу, она на функционал не влияет, а вот рзные версии пакетов и особенно их зависимостей - это иногда может быть сильно проблемно.

ну я бы не сказал что они устаревшие. суть их в том что они:

1. все проверены подразделением дебиан-секьюрити
2. все совместимы с любым другим пакетом и при установке чего бы то ни было не слетит ни один другой

это и есть филосовия репозитория "стейбл" - полная совместимость и безопасность пакетов (но бывает когда что то запиливают экстренно через "бэкпортс" репозиторий, то же ядро 5 серии можно воткнуть и в стейбл дебиан)

в "тестинг" же есть версии более свежие, плюс есть пакеты которых нет в "стейбл" (хотя верно и обратное, иногда в стейбл есть то, чего уже нет в тестинг) - но возможны вот такие проблемы когда ставя что то одно ты похеришь что то другое.

 

[MaxSs]

Так я же не сказал, что это плохо, просто констатирую факт, что в дебе, как и в рхеле, пакеты имеют более старые версии, чем в убунте и федоре соответственно. Зато с заплатками от мейнтейнеров.
У меня кстати даже дебиан тестинг почти не ломался) надо было очень постараться чтобы его уронить, и то все было восстановимо.

 

[PANDORA]

Так я же не сказал, что это плохо, просто констатирую факт, что в дебе, как и в рхеле, пакеты имеют более старые версии, чем в убунте и федоре соответственно. Зато с заплатками от мейнтейнеров.
У меня кстати даже дебин тестинг почти не ломался) надо было очень постараться чтобы его уронить, и то все было восстановимо.

анстейбл установи, он же sid - там скучать не придется )

 

[PANDORA]

Помоги выбрать ноутбук под Убунту? проверенный уже желательно или посоветуй конфигурацию
Мне просто серфить по инету, без игр.
Бюджет ограничен

Иди по ломбардам, присмотри ноут на свой бюджет. Потом иди в интернет и смотри как на этих моделях загружаться с флешки. Потом снова иди в ломбарды с флешкой, на которой убунта - загружайся и тестируй. Какой понравится, такой и бери.

 

[gloryboy]

Были трудности по ходу дела, набрал 65. Надо было установить пакет apt-listbugs для последней процедуры. Но это не к автору притензия, а к чайнику-самому себе. Вартек, спасибо за гайд

 

[iog-satot]

спасибо за статью, правда немного напрегся когда вместо 60+ поинтов на голом дебиан увидел 57, но воспользовавшись советами по установке и настройке наутилуса, анонсурфа и наращивания брони, а так же установки aide и настройки database увидел заветные 71 поинт, это заставляет дальше читать и стараться вникнуть в тонкости настройки и понимания линукса, а так же какие уязвимости в нем есть, осталось разобраться с настройками nftables

 

[ultimaratio]

Здравствуйте, уважаемый. Подскажите, а Вы андроид в таком направлении не мучаете?

 

[ultimaratio]

Как пел Витенька, время есть, а денег нет) а когда будут деньги,я лучше дистрибутив у Вас приобрету)
А можно вопрос на шару?) Большое ли отверстие в моем телефоне пробивают аудиозвонки Вацап? Ну то есть я понимаю, что это одна большая дыра, но не замечены ли в этом именно аудиозвонки? И возможно ли как-то узнать, не под колпаком ли мой аппарат?

 

[SaintRopez]

Приветствую, раз про андроиды речь зашла - IMEI можете поменять? В идеале как у тэйлс мак-адресы - при каждой загрузке новые )))

 

[SaintRopez]

привет. нет.

Потому что они (ИМЕИ) уже давно как-то так сделано, что в принципе не меняются, и последние из смарфонов с такой возможностью - какие-то Нокии и вроде даже на ВиндоусФон были?

Я просто точно не помню, но кажется что-то такое читал, а сейчас вообще не могу инфы найти про это ((( Увидел Xposed Framework - но быстро понял, что они для других программ меняют, а не для опсоса...

 

[turbion]

Это уже из разряда жесткой и неоправданной паранойи) Даже не стал читать весь этот бред до конца)
Нафиг нужен Seahorse, если шифруем все в LUKS? Бьем диск на 2 раздела, в первом разделе метров 500 под бут, остальное в LUKS. Отключаем пароль на вход юзера, иначе придется дважды вводить один и тот же пароль (можно конечно и разные, если пароль юзера будет отличен от пароля LUKS). А вот параметры шифрования лучше посильней прописать cipher: aes-cbc-essiv:sha512 (вроде по умолчанию 256 ставится)

 

[PANDORA]

Это уже из разряда жесткой и неоправданной паранойи) Даже не стал читать весь этот бред до конца)
Нафиг нужен Seahorse, если шифруем все в LUKS? Бьем диск на 2 раздела, в первом разделе метров 500 под бут, остальное в LUKS. Отключаем пароль на вход юзера, иначе придется дважды вводить один и тот же пароль (можно конечно и разные, если пароль юзера будет отличен от пароля LUKS). А вот параметры шифрования лучше посильней прописать cipher: aes-cbc-essiv:sha512 (вроде по умолчанию 256 ставится)

seahorse нужен, например, для передачи файлов в зашифрованном виде и используется в T.A.I.L.S. причем тут LUKS, если он шифрует носители/разделы? это совершенно разные инструменты. ты прежде чем что-либо писать подумай в следующий раз, тогда не будешь так нелепо позориться и выглядеть полным дурачком.

 

[turbion]

seahorse нужен, например, для передачи файлов в зашифрованном виде. причем тут luks, если он шифрует носители? это совершенно разные инструменты. ты прежде чем что-либо писать подумай в следующий раз, тогда не будешь так нелепо позориться и выглядеть полным дурачком.

Да это ты полным дурачком выглядишь, то из убунты пытаясь оплот паранойи создать, то бред про впн говно. Seahorse это зашифрованное хранилище паролей в первую очередь. Нафига оно нужно это все если все зашифровано в LUKS ? Зачем шифровать то что уже зашифровано ?))
И любой, даже самый крепкий, пароль напрямую зависит от болевого порога создателя этого пароля. Будь хоть 50 раз одно на другом зашифровано.

 

[turbion]

плохо быть наполовину деревянным и путать seahorse-nautilus c Seahorse... перестань позориться уже, вася )

Подрыв авторитета почувствовал, петя?) Да я не претендую же, так минутка свободная появилась, вот и отписал. Втирай дальше мамкиным хакерам все, что хочешь. На ЛОР еще сходи расскажи что нибудь такое, тогда точно засмеют.