Оффлайн
- Регистрация
- 12.01.18
- Сообщения
- 1.064
- Реакции
- 189
- Репутация
- 10
Все манипуляции, описанные в статье, проводились на Kali 64 bit с графическим окружением Gnome 3.
За работоспособность на другой разрядности или окружении я не ручаюсь. Все делаете на свой страх и риск!
Для начала узнаем какая разрядность у вашей системы:
Затем качаем образ только
Записываем его на флешку обьемом от 4 Gb с помощью утилиты
Будем устанавливать Kali Linux на полностью зашифрованную файловую систему.
После первого входа в систему отключим swap через Меню-Утилиты-Диски. Это самый быстрый способ:
Отключен ли swap, можно посмотреть в Системном мониторе:
Проверяем, чтобы репозитории в /etc/apt/sources.list имели вид:
Сделаем, чтобы при каждом подключении к сети mac менялся на рандомный.
Для этого содержимое файла /etc/NetworkManager/NetworkManager.conf меняем на:
Теперь правильно и безопасно настроим ssh, ведь без него никуда:
В файле конфигурации /etc/ssh/sshd_config меняем:
На:
Порт 22 меняем на любой нестандартный (в нашем случае 2282) для защиты от брутфорса.
PermitRootLogin no запрещает другим машинам подключаться к root пользователю на нашей машине.
Возможно в дальнейшем вы обзаведетесь своим VPS. Поэтому советую подключаться к нему не по паролю, а создать ключ, так как это безопасней:
Жмем Enter несколько раз. Сгенерированный ключ /root/.ssh/id_rsa.pub потом поместите на свой сервер.
Так же не советую добавлять службу ssh в автозагрузку, а стартовать/выключать командами:
Теперь важный момент в статье. Сделаем пароль самоуничтожения заголовков зашифрованного диска.
Файлы luksheader.back и luksheader.back.enc храним на зашифрованной с помощью LUKS
(можно сделать с помощью Меню-Утилиты-Диски) microsd флешке где нибудь вне дома.
Идеально подойдет какое нибудь гнездо в лесу.
Вот теперь пора бы нам обновить систему:
Так же скорее всего запросит, поэтому удаляем ненужные пакеты:
Если в будущем хотим получать обновления по https, то выполняем:
Проверяем, чтобы репозитории в /etc/apt/sources.list имели вид:
И снова обновим систему:
Софт. Почему именно такой? Дальше будет описание, зачем нужен каждый инструмент:
За работоспособность на другой разрядности или окружении я не ручаюсь. Все делаете на свой страх и риск!
Для начала узнаем какая разрядность у вашей системы:
Код:
grep -qP ’^flags\s*:.*\blm\b’ /proc/cpuinfo && echo 64-bit || echo 32-bit
You must be registered for see images attach
Затем качаем образ только
You must be registered for see links
и сверяем контрольные суммы методом:
Код:
sha256sum kali-linux-2017.3-amd64.isoЗаписываем его на флешку обьемом от 4 Gb с помощью утилиты
You must be registered for see links
Будем устанавливать Kali Linux на полностью зашифрованную файловую систему.
You must be registered for see images attach
После первого входа в систему отключим swap через Меню-Утилиты-Диски. Это самый быстрый способ:
You must be registered for see images attach
Отключен ли swap, можно посмотреть в Системном мониторе:
You must be registered for see images attach
Проверяем, чтобы репозитории в /etc/apt/sources.list имели вид:
Код:
deb http://http.kali.org/kali kali-rolling main contrib non-free
# deb-src http://http.kali.org/kali kali-rolling main contrib non-freeДля этого содержимое файла /etc/NetworkManager/NetworkManager.conf меняем на:
Код:
[main]
plugins=ifupdown,keyfile
[ifupdown]
managed=false
[connection]
wifi.cloned-mac-address=random
[connection]
ethernet.cloned-mac-address=random
Код:
update-rc.d -f ssh remove
update-rc.d -f ssh defaults
cd /etc/ssh/
mkdir insecure_original_default_kali_keys
mv ssh_host_* insecure_original_default_kali_keys/
dpkg-reconfigure openssh-server
Код:
# Port 22
# PermitRootLogin without-password
Код:
Port 2282
PermitRootLogin noPermitRootLogin no запрещает другим машинам подключаться к root пользователю на нашей машине.
Возможно в дальнейшем вы обзаведетесь своим VPS. Поэтому советую подключаться к нему не по паролю, а создать ключ, так как это безопасней:
Код:
ssh-keygen -t rsaТак же не советую добавлять службу ssh в автозагрузку, а стартовать/выключать командами:
Код:
service ssh start
service ssh stop
Код:
cryptsetup luksAddNuke /dev/sda5
Enter any existing passphrase: Ваша фраза шифрования
Enter new passphrase for key slot: Пароль самоуничтожения
Verify passphrase: Повтор пароля самоуничтожения
cryptsetup luksHeaderBackup --header-backup-file luksheader.back /dev/sda5
file luksheader.back
openssl enc -aes-256-cbc -salt -in luksheader.back -out luksheader.back.enc
enter aes-256-cbc encryption password: Пароль для зашифрованного заголовка
Verifying - enter aes-256-cbc encryption password: Повтор пароля для зашифрованного заголовка
ls -lh luksheader.back*
file luksheader.back*(можно сделать с помощью Меню-Утилиты-Диски) microsd флешке где нибудь вне дома.
Идеально подойдет какое нибудь гнездо в лесу.
Вот теперь пора бы нам обновить систему:
Код:
apt-get update && apt-get dist-upgrade
Код:
apt autoremove
Код:
apt install apt-transport-https
Код:
deb https://http.kali.org/kali kali-rolling main non-free contrib
# deb-src https://http.kali.org/kali kali-rolling main non-free contrib
Код:
apt-get update && apt-get dist-upgradeСофт. Почему именно такой? Дальше будет описание, зачем нужен каждый инструмент:
Код:
apt-get install mat steghide network-manager-openvpn-gnome secure-delete keepassx pidgin pidgin-otr etherape irssi tor lighttpd virtualboxmat - удаление метаданных в файлах
steghide - позволяет скрывать информацию методом стеганографии
network-manager-openvpn-gnome - нужен для настройки VPN
secure-delete - предназначен для безвозвратного удаления данных и удаления остаточной информации
keepassx - для безопасного хранение паролей
pidgin и pidgin-otr - джаббер клиент с OTR шифрованием. Это вам не телега!
etherape - анализатор пакетов/инструмент для мониторинга трафика
irssi - консольный IRC-клиент
tor и lighttpd - в представлении не нуждается. Пригодится, как начиная от банального использования утилиты torsocks, так и до подьема своего ресурса в сети Tor.
virtualbox - виртуальная машина, которая может пригодиться для установки Whonix
steghide - позволяет скрывать информацию методом стеганографии
network-manager-openvpn-gnome - нужен для настройки VPN
secure-delete - предназначен для безвозвратного удаления данных и удаления остаточной информации
keepassx - для безопасного хранение паролей
pidgin и pidgin-otr - джаббер клиент с OTR шифрованием. Это вам не телега!
etherape - анализатор пакетов/инструмент для мониторинга трафика
irssi - консольный IRC-клиент
tor и lighttpd - в представлении не нуждается. Пригодится, как начиная от банального использования утилиты torsocks, так и до подьема своего ресурса в сети Tor.
virtualbox - виртуальная машина, которая может пригодиться для установки Whonix