Хочешь мира готовся к войне - настраиваем смешную убунту до состояния "не смешно".

[PANDORA]

Хочешь мира готовся к войне - настраиваем смешную убунту до состояния "не смешно".

Убунту это полукоммерческий дистрибутив. И хоть он и распространяется бесплатно, но принадлежит он некой компании Каноникал. А там где коммерция, как известно, там нет души. Однако после допиливания напильником и на убунту можно кое чего смастерить. Об этом вам сегодня и расскажет наш бессменный автор рубрики "Из говна и палок" - MAMKUH XAKEP

Скачиваем и устанавливаем убунту 17.10 отсюда -

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

. Кстати в конце апреля выйдет 18.04 но устанавливать ее не советую пару месяцев, пока основные баги не будут найдены и пофиксены. Как скачивать и устанавливать ищите в сети, а то всяческие пидарасы меньшинства негодуют, увидев мануалы для новичков, думая что это наш практический потолок, непонимая что мануал по исходнику модуля анонсерф поймет полтора человека из аудитории.

Первым делом убираем чмошный интерфейс, от которого хочется плакать кровавыми слезами:

sudo apt update
sudo apt install -y gnome-tweak-tool gnome-brave-icon-theme gnome-themes-standard

идем в твики и делаем из вот этого ужаса:

вот так:

Ну вот. Уже не хочется лить кровавые слезы. Теперь нужно сделать из этого "красивого" недоразумения бронированное зло (кстати в слове бронирОванное ударение на букве О). И начнем мы от простого к сложному.

1. Проводим замеры индекса прочности:

sudo apt install -y lynis
sudo lynis audit system --auditor MAMKUH-XAKEP

В репозиториях убунты версия лайниса 2.5 - и она выдает нам... 54 (пятьдесят четыре!) условных единицы, и это в уже готовом дистрибутиве! Тогда как ГОЛОЕ ядро Debian с иксами и рабочим столом, в сборке в которой есть только проводник и терминал уже выдает 62-63 единицы! Что же, я не ошибся с выбором базы под CR1ME. Однако хакеры мы или барахло? Давайте вытворять, заодно покажем всем любителям убунты как нужно настраивать эту систему, глядишь кроме лайниса еще для себя откроют цифровые чудеса всяческие.

2. Настраиваем проводник:

Наутилус неплохой файловый менеджер. Просто мало кто из разработчиков ставит все необходимые пакеты - только в TAILS он настроен как нужно. Чем мы хуже?

sudo apt install -y nautilus-wipe nautilus-admin seahorse-nautilus

После этой незамысловатой процедуры система попросит перезапустить наутилуса, делаем это и у нас в правой кнопке проводника появятся такие опции как безвозвратное удаление файлов с перезаписью, возможно шифрования файлов или папок и возможность открывать их с правами дминистратора:

С проводником закончили. Можно конечно еще добавить пакет nautilus-hide, но он годится только порнуху от мамки прятать, так что не наш вариант.

3. Делаем пароль на уничтожение ячеек шифрования.

Уничтожить данные за секунды невозможно, это миф. Но сделать их незвлекаемыми вполне, даже в стоковом cryptsetup есть фунция ERASE которая затирает все 8 ячеек с ключами шифрования. Команда для этого вот такая:

sudo cryptsetup luksErase <криптораздел>

где <криптораздел> это название шифрованного раздела диска или флешки (узнать его можно командой lsblk)

user@unknown:~$ lsblk
NAME                    MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda                       8:0    0 111,8G  0 disk
├─sda1                    8:1    0   731M  0 part  /boot
├─sda2                    8:2    0     1K  0 part
└─sda5                    8:5    0 111,1G  0 part
  └─sdb5_crypt          253:0    0 111,1G  0 crypt
    ├─ubuntu--vg-root   253:1    0 103,3G  0 lvm   /
    └─ubuntu--vg-swap_1 253:2    0   7,8G  0 lvm   [SWAP]

в моем случае это sda5, а значет команда будет:

sudo cryptsetup luksErase sda5

Повесив эту команду на ярлык или на комбинацию из трех клавиш вы получите кнопку уничтожения системы. Уничтожения из САМОЙ системы. Но это не позволит вам уничтожить ее, пока вы в нее не вошли, так что мы будем делать пароль, который нам позволит уничтожать систему изнутри, на запуске или даже просто при открытии флешки как носителя данных.

Открываем список репозиториев:

sudo nano /etc/apt/sources.list

Мышкой копируем в него репозиторий Kali Linux:

deb http://http.kali.org/kali kali-rolling main contrib non-free
# For source package access, uncomment the following line
# deb-src http://http.kali.org/kali kali-rolling main contrib non-free

После чего жмем ctrl+o, enter, ctrl+x и выполняем update:

sudo apt update

Что, не прокатило? NO_PUBKEY ED444FF07D8D0BF6? А ты как хотел. Думал настройка системы это просто? А ключи кто добавлять будет?

user@unknown:~$ gpg --keyserver keyserver.ubuntu.com --recv-key ED444FF07D8D0BF6
gpg: /home/user/.gnupg/trustdb.gpg: trustdb created
gpg: key ED444FF07D8D0BF6: public key "Kali Linux Repository <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1

user@unknown:~$ gpg --export --armor ED444FF07D8D0BF6 | sudo apt-key add -
OK

Все. Теперь все нормально будет:

sudo apt update

Апгрейдим криптсетап:

sudo apt install -y  cryptsetup cryptsetup-bin libcryptsetup12

Проверяем как все прошло:

sudo cryptsetup luksAddNuke /dev/sda5

Если запросил существуюший пароль от шифрования диска, то все ок:

4. Устанавливаем модуль Kali-Anonurf

sudo apt install -y git curl bleachbit
cd /etc
sudo git clone https://github.com/Und3rf10w/kali-anonsurf.git
cd kali-anonsurf
sudo ./installer.sh

Дожидаемся окончания установки модуля. После чего выполняем команды:

sudo anonsurf restart
anonsurf status

должно быть вот так:

Все, весь трафик машины теперь перенаправлен через tor. Команды управления модулем следующие:

sudo anonsurf start - заворачиваем трафик в tor
sudo anonsurf stop - возвращаемся в clearnet
sudo aninsurt restart - комбинация из stop + start
anonsurf ip - проверка текущего IP адреса
anonsurf status - проверка статуса

заходим на айпичек и проверяем все ли четко:

Как видно настройки браузера далеко не идеальны, однако все же мы завернули трафик через tor. Завернули ВЕСЬ трафик, весь без исключения.

5. Наращиваем броню:

Проверим еще раз наш индекс. Во! Уже 60. Куда лучше. Правильное бронирование должно быть именно таким - когда ты делаешь то, что реально нужно, и индекс растет. А не когда ты делаешь это по логам лайниса "накручивая" цифры лишь бы побольше чем у других они были "пыль в глаза пустить".

Добавим еще немного прочности:

sudo apt install -y libpam-tmpdir apt-listbugs apt-listchanges needrestart debsecan debsums fail2ban debian-goodies libpam-passwdqc chkrootkit

Снова делаем замеры:

Всё, 70 баллов, нормальный ход. Для мелких киберхулиганств за глаза хорош на сегодня. Итак дофига вам профессиональных секретов раскрыл. Занимайтесь.

 

[turbion]

по теме обосрался, перешел на личности? типичное поведение неудачника )

Так у меня хороший учитель же) Как ко мне так и я в ответ же) А в чем обосрался то? Про зависимости в линуксе слышал когда нибудь ? seahorse-nautilus это плагин и без основного пакета не установится даже

 

[WhoDaresWins]

Благодарю за инфу. Kali Linux не проще использовать?

 

[Kshaooanaa]

Это уже из разряда жесткой и неоправданной паранойи) Даже не стал читать весь этот бред до конца)
Нафиг нужен Seahorse, если шифруем все в LUKS? Бьем диск на 2 раздела, в первом разделе метров 500 под бут, остальное в LUKS. Отключаем пароль на вход юзера, иначе придется дважды вводить один и тот же пароль (можно конечно и разные, если пароль юзера будет отличен от пароля LUKS). А вот параметры шифрования лучше посильней прописать cipher: aes-cbc-essiv:sha512 (вроде по умолчанию 256 ставится)

Boot тоже надо шифровать если уж про безопасность говорить. Хотя даже зашифрованный boot и пароль grub с проверкой не поможет, если могут один раз подойти к компьютеру и оставить там "закладку" которая по сети отправит твой пароль от luks. К сожалению методов полной безопасности не существует, есть только меры по сокращению уязвимостей. Чтобы точно быть увереным в безопасности, надо физическую защиту организовать со слежением по камерам, а не програмками облеплятся. Про уязвимости криптоалгоритмов никто почти не пишет. В далёком 2011 ещё стало известно о взломе aes

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

, после чего не раз снова и снова находились лазейки в популярном алгоритме шифрования, но вы просто следуйте инструкциям в интернете про безопасность, мериетесь по ним своими познаниями, смешно выглядит.

Сообщение обновлено: 29 Июл 2020

Потому что они (ИМЕИ) уже давно как-то так сделано, что в принципе не меняются, и последние из смарфонов с такой возможностью - какие-то Нокии и вроде даже на ВиндоусФон были?

Я просто точно не помню, но кажется что-то такое читал, а сейчас вообще не могу инфы найти про это ((( Увидел Xposed Framework - но быстро понял, что они для других программ меняют, а не для опсоса...

Физически imei меняется на всех устройствах, сменой чипа. Но зачем нужно? Програмками менять, нужно искать с mtk65xx процессорами, андроид старые версии.

 

[turbion]

Boot тоже надо шифровать если уж про безопасность говорить. Хотя даже зашифрованный boot и пароль grub с проверкой не поможет, если могут один раз подойти к компьютеру и оставить там "закладку" которая по сети отправит твой пароль от luks. К сожалению методов полной безопасности не существует, есть только меры по сокращению уязвимостей. Чтобы точно быть увереным в безопасности, надо физическую защиту организовать со слежением по камерам, а не програмками облеплятся. Про уязвимости криптоалгоритмов никто почти не пишет. В далёком 2011 ещё стало известно о взломе aes

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

, после чего не раз снова и снова находились лазейки в популярном алгоритме шифрования, но вы просто следуйте инструкциям в интернете про безопасность, мериетесь по ним своими познаниями, смешно выглядит.

В общем то соглашусь с вами. Шифровать бут и выносить ключ на флешку, будет надежней. Но это нужно в случае физического доступа левых людей к пк и дальнейшей работой владельца за этим пк. То есть если пк просто изымут, то незашифрованный бут им ничем не поможет.
Про шифрование груба тоже в курсе. Но, насколько мне известно, незашифрованный груб так же не поможет вскрыть luks. Только пароль юзера сбросить (хотя ,опять же, как сбросить пароль юзера, если доступа к luks разделу нет). Поправьте если не прав.

 

[Kshaooanaa]

В общем то соглашусь с вами. Шифровать бут и выносить ключ на флешку, будет надежней. Но это нужно в случае физического доступа левых людей к пк и дальнейшей работой владельца за этим пк. То есть если пк просто изымут, то незашифрованный бут им ничем не поможет.
Про шифрование груба тоже в курсе. Но, насколько мне известно, незашифрованный груб так же не поможет вскрыть luks. Только пароль юзера сбросить (хотя ,опять же, как сбросить пароль юзера, если доступа к luks разделу нет). Поправьте если не прав.

Просто изымут если, ничего страшного, но кто изымет тоже важно. Российские мусорки ничего не смогут поделать с шифрованием. Но нельзя забывать, что зашифрованный диск никуда не выкинут, можно ведь посадить подкинув улики, а когда время придёт, расшифруют ваш диск и докинут к вашему сроку. Хотя будучи зная к кому идут и что он спец в технике, могли бы просто камер скрытых установить, ждать пока сам пароли введёт. Оперативку прошерстить могут кстати в поисках ключей. Например шифровать windows 10 64-bit, через veracrypt намного надёжней, чем шифровать linux+luks, хотя вариант с отправкой пароля на сервер при расшифровке не исключается. Так как veracrypt шифрует ключи в оперативной памяти и более надёжны его способы, плюс удобней один пароль вводить, чем 2 пароля шифрования в случае linux+luks шифрования boot разела. Более подробно можно почитать по ссылке про полнодисковое шифрование систем windows и linux:

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

 

[turbion]

...плюс удобней один пароль вводить, чем 2 пароля шифрования в случае linux+luks шифрования boot разела...

Это о чем речь? Если пароль юзера стоит на вход? Так можно же отключить запрос пароля юзера на входе, и для удобства сделать его таким же как пароль на luks

 

[Kshaooanaa]

Это о чем речь? Если пароль юзера стоит на вход? Так можно же отключить запрос пароля юзера на входе, и для удобства сделать его таким же как пароль на luks

Нет, не пароль юзера. При шифровании boot раздела, grub при включении запросит пароль для доступа к boot разделу, затем после ввода снова его же надо ввести уже для расшифровки системы.

Зачем для удобства делать пароль таким же как luks? Пароль пользователя можно отключить при логине, но сделать его отличным от luks, например когда отойти надо от места на несколько минут или автоблокировку включить при бездействии, чтобы не вводить большой пароль, а иметь маленький.

 

[Kshaooanaa]

Вот новость как раз сегодня вышла, как я и писал ранее:

Но нельзя забывать, что зашифрованный диск никуда не выкинут, можно ведь посадить подкинув улики, а когда время придёт, расшифруют ваш диск и докинут к вашему сроку.

Взломанный через пять лет после изъятия смартфон стал главной уликой в крупном расследовании
08:04 / 5 Августа, 2020

Через пять лет после изъятия австралийским криминалистам удалось взломать зашифрованное устройство BlackBerry.

Зашифрованное мобильное устройство BlackBerry, которое правоохранительным органам удалось взломать через пять лет после изъятия, стало главным доказательством в одном из самых продолжительных расследований дела о наркотрафике в Австралии.

Как сообщает издание Sydney Morning Herald, в апреле нынешнего года «технологические возможности» позволили криминалистам взломать принадлежавшее крупному дельцу зашифрованное устройство BlackBerry и извлечь более 300 сообщений, отправленных в течение одного месяца. Благодаря этому правоохранительные органы смогли арестовать еще пятерых предполагаемых участников преступного синдиката. Аресты были произведены в прошлом месяце в ходе нескольких рейдов в Сиднее и Дубае и стали кульминацией семилетнего расследования под кодовым названием Strike Force Millstream.

Вышеупомянутое устройство BlackBerry принадлежало преступному боссу Мэтью Бате (Matthew Battah). Оно стало вторым устройством BlackBerry, разблокированным в рамках данного расследования. Первый смартфон удалось взломать сотрудникам правоохранительных органов Канады в 2017 году. Извлеченная из него информация сыграла ключевую роль в суде над четырьмя мужчинами, также имевшими отношение к синдикату.

Подробнее:

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

 

[PANDORA]

Мануал частично утратил актуальность из за переработки некоторых пакетов или скриптов.

 

[PokerFace58]

Ничего не понятно. Но очень интересно

 

[kirinqoz]

Ну все понятно! Круто! Спасибо!

 

[Новое Оружие]

автору спасибо

 

[ShirleyFenette]

Нужно затестить как нибудь

 

[Dark Connect]

Не думаю что на убунте крутиться хорошая идея)

 

[ShirleyFenette]

Не думаю что на убунте крутиться хорошая идея)

Какой дистрибутив линукс сейчас лучше использовать, убунту мне не очень нравится, поднадоела

 

[TPACT]

Какой дистрибутив линукс сейчас лучше использовать, убунту мне не очень нравится, поднадоела

пользуюсь убунтой, устраивает

 

[ShirleyFenette]

пользуюсь убунтой, устраивает

На 32 бита сейчас убунта есть?

 

[TPACT]

На 32 бита сейчас убунта есть?

Ubuntu 20.04 LTS 32-битная, рекомендуют 64-битную

 

[universal177]

Это все не то пальто.. надо разделять белую и черную сторону вашей жизни.
Черную сторону можно вести где-нибудь на виртуальной машине с тем же Tails,
зачем придумывать велосипед, если вы не хакеры мирового уровня или шпионы?

 

[Olesya_O]

Топ гайд