Ubuntu - интернет только через впн + базовая настройка + шифрование диска и облака.

1nd1go
Оффлайн
Регистрация
26.05.17
Сообщения
7
Реакции
1
Репутация
4
Все изложенное ниже моё личное мнение основанное на опыте и знаниях!

В свое время задумался о защите своих данных и о некой анонимности. И первый вопрос стал в выборе операционной системы для десктопа.

Виндоус отмел сразу, так как он изначально против анонимности и годится только для игрушек и проф програм. Сам пользовался техникой мак изначально на нем и остановился но позже решил отказаться. Оставался линукс, перебрал основные дистрибутивы и выбот пал на Убунту: понравилась дружилюбностью интерфейса, возможностью максимально уйти от терминала, большим сообществом как на русском так и на английском. Плюс возможность зашифровать диск перед установкой системы.

Итак со вступлеием закончим и приступим к установке и настройке.
Ах да еще пара моментов: использовать будем в основном ПО с открытым исходным кодом, скачиваем только с официальных и провереных источников, на стоит доверять непонять кому так как не исключено что туда что-нибудь добавили, например)))

Далее буду писать для Русского варианта установки, кто выбирет английски там по аналогии, сам использую английский.

Установка системы
идем на сайт UBUNTU и качаем последнюю LTS сбороку( LTS - это длительная поддержка, выходят раз в 2 года), если комп слабенький то лучше использовать XUBUNTU.
KUBUNTU - если фанаты красивого оформления встиле винды и ресурсы позволяют.

Записываем на диск или создаем флешку с помощью UNetbootin - Homepage and Downloads
Загружаемся с помошью диска/флешки, выбираем пункт Install ubuntu(или установить если ру версия)
Настраиваем подключение к интернету если запросит(например ВиФи)
Далее ставим галочки на "Скачать обновления при установки" и "Установить сторонее програмное обесперчение "
Далее выбираем Стереть диск и установить убунту, Зашифровать диск и Использовать LVM и жмем установить сейчас.
030838dbf6aa406aa29a1bae210f9ad6.png

Далее система попросит установить пароль зашифрованного диска, рекомендую создавать сложный для подбора но легкий для запоминания(как пример несколько слов русских но набранных английской раскладке или фраза разделенные спецсимволами, фраза "хер вы вскроете" превращается в [th!ds!dcrhjtnt )
Галочка "переписать пустое пространство" не позволит востановить с диска то что было на нем до установки, но несколько продлит время установки
8f9c47696a464ea2acd31c2e72a203e8.png

флеш и перегружаемся.
Ставим необходимое ПО
813327c33c7f460fa3627efe3a15d484.png

Загрузились первый раз, подключились к интернету, ставим необходимые пакеты, я приведу пример того что стоит у меня. Многое можно поставить используя Менеждер приложений, но я сторонник терминала, итак базовые приложения которые нужны в принципе почти всем:

ПРИ УСТАНОВКЕ ПРИЛОЖЕНИЙ ЗАПРАШИВАЕТСЯ ПАРОЛЬ - ЭТО ПАРОЛЬ ВАШЕГО ПОЛЬЗОВАТЕЛЯ, КОТОРОГО СОЗДАВАЛИ ПРИ УСТАНОВКЕ В ТЕРМИНАЛЕ ЧТОБЫ ВЫПОЛНИТЬ КОМАНДУ ОТ ИМЕНИ СУПЕР ПОЛЬЗОВАТЕЛЯ ИСПОЛЬЗУЕТСЯ КОМАНДА "SUDO" и пароль вашего пользователя
0000a1695a194957a24628dc951054a7.png

971d0a4cbfa74e7cb7071ee04bee3927.png

И так:
#Обновимся

Code:
sudo apt-get update
#Поставим набор приложений
sudo apt-get install git exfat-fuse exfat-utils pidgin pidgin-otr encfs libpam-encfs network-manager-openvpn-gnome libgcrypt20-dev libpurple-dev libwebp-dev gettext gimp virtualbox p7zip mc remmina gedit encfs libpam-encfs unrar
#Перезапустим NM(network_manager)

Code:
sudo systemctl restart network-manager
Можно еще поставить PSI+ Tor Browser PlayOnLinux, они есть в центре приложений так что можно и через графический интерфейс центра приложений

Ставим VeraCrypt
Качаем или и распаковываем
качаем фаил последней версии типа veracrypt-1.19-setup.tar.bz2
заходим в распакованую папку, правая кнопка открыть в терминале
в терменале выполняем скрипт установки который GUI для нашей разрядности 32 или 64 соответственно

Code:
sudo sh нужный_нам_скрипт_из_папки_GUI.sh
Использование такое же как в винде.

Настройка маршрутизации

Я решил что без впн моему компу в интернете делать нечего, если вы согласны с моим решением вот вам пример реализации. Использовать будем встроенные средства системы.
Использовать свой впн сервер или покупной дело каждого плюсы и минусы есть у обоих решений, если кому интересно будет изложу свои соображения и опыт в данном вопросе.
Кстати ВПН должен уже быть настроен, все для него вы уже утановили, осталось только настроить его в системе, обычно инструкции есть у провайдеров, например ТЫЦ
В примере вы подключены к интернету через роутер у которого адрес 192.168.0.1
И так приступаем к настройке iptables:

#удалим все существующие правила

Code:
sudo iptables -F && sudo iptables -t nat -F
# разрешаем трафик в локальной сети

Code:
sudo iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
sudo iptables -A OUTPUT -d 192.168.0.0/24 -j ACCEPT
где 192.168.1.0/24 ваша локальная сеть при условии, что вы подключены к интернету через роутер у которого адрес 192.168.0.1.

# Разрешаем петлю

Code:
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT
#Разрешаем трафик DNS до серверов выбранных нами ДНС, в примере гугл

Code:
sudo iptables -A INPUT -s 8.8.8.8 -j ACCEPT
sudo iptables -A OUTPUT -d 8.8.8.8 -j ACCEPT
sudo iptables -A INPUT -s 8.8.4.4 -j ACCEPT
sudo iptables -A OUTPUT -d 8.8.4.4 -j ACCEPT

#Разрешаем стандартный порт VPN

Code:
sudo iptables -A OUTPUT -p udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp --sport 1194 -j ACCEPT
#Открываем доступ к адресам VPN серверов, вместо "X.vpnserver.com" вставте необходимые сервера или IP адреса серверов

Code:
sudo iptables -A INPUT -s 1.vpnserver.com -j ACCEPT
sudo iptables -A OUTPUT -d 1.vpnserver.com -j ACCEPT
sudo iptables -A INPUT -s 2.vpnserver.com -j ACCEPT
sudo iptables -A OUTPUT -d 2.vpnserver.com -j ACCEPT
#Разрешаем соединения для tun

Code:
sudo iptables -A OUTPUT -o tun0 -j ACCEPT
sudo iptables -A INPUT -i tun0 -j ACCEPT
#Запрещаем все, что не указанно в правилах

Code:
sudo iptables -P INPUT DROP
sudo iptables -P OUTPUT DROP
sudo iptables -P FORWARD DROP
Настройка сохраниться до перезагрузки, чтобы сохранить настройки перманентно используем пакет iptables-persistent

Устанавливаем:

sudo apt-get install iptables-persistent

При установке спросит сохранить ли настройки, СОГЛАШАЕМСЯ
настройки будут в файлах

Code:
/etc/iptables/rules.v4
/etc/iptables/rules.v6
Далее настраиваем правила в iptables, путем правки этих файлов с правами суперпользователя, например:

Code:
sudo nano /etc/iptables/rules.v4
если править прям в консоли

Code:
sudo gedit /etc/iptables/rules.v4
если в графическом редакторе.

Синхронизация в облаке с шифрованием


Нужы пакеты encfs libpam-encfs которые мы поставили в начале при настройке системы.
Создаём в каталоге пользователя скрытую папку ~/.sinhro, в которой будут храниться данные в зашифрованном виде, и точку монтирования шифрованной файловой системы ~/sinhro:

Code:
mkdir -p ~/.sinhro ~/sinhro
Создадим шифрованную файловую систему EncFS для уже созданных нами каталогов:
encfs ~/.sinhro ~/sinhro
В процесе создания выбираем режим эксперта "x", далее AES "1" , размер ключа "256", размер блока по умолчению "просто Enter", алгоритм зашифровки "Null" - "3", остальные параметры по умолчанию, то есть просто жмем "Enter" до ввода пароля, ТУТ ВНИМАНИЕ, пароль вводим как у нашего пользователя!
ac333388ef7c415b84aa2ec58280045a.png

1111bab725f64f70a6a40a3f3b3dd2a1.png

в итоге смонтируется раздел sinhro. а при добовлении файлов в папку sinhro или раздел sinhro, в скрытой папке .sinhro будут появляться зашифрованые файлы.
07353e54d0fc405bbd100c8e56c2552a.png

Настроим автоматическое монтировани при входе пользователя в систему:
Редактируем файл «/etc/security/pam_encfs.conf»:

Code:
sudo gedit /etc/security/pam_encfs.conf
для того что бы отключить автоматическое размонтирование при простое закоментируем строку(закоментировать значит в начале строки поставить #:

Code:
# encfs_default --idle=1
раскомментируем строку:

Code:
* .private private -v allow_other
отредактируем её таким образом что бы указать созданные нами ранее каталоги:

Code:
* .sinhro sinhro -v allow_other
Именно эта строка указывает на автоматическое монтирование EncFS при входе пользователя в систему.

Редактируем файл «/etc/fuse.conf»:

Code:
sudo gedit /etc/fuse.conf
где раскомментируем строку позволяющую опции монтирования не-root пользователям:

user_allow_other

И главное задаем дополнительную папку синхронизации для облока. Выбираем чтобы в облако синхронизировалась папка .sinhro. Облако выбираете сами ДропБокс, Мега, ГуглДиск - кому что нравиться.

После всего Я еже пробую синхронизировать на виртуалку чтобы убедиться что все норм.

На всех последующих машинах сначала синхронизируемся с облаком затем настраиваем шифрование, к тому же файл «.encfs6.xml» уже будет на месте, программа EncFS, при правильном указании каталогов, должна спросить у вас только пароль.

Сведения о безопасности EncFS

Согласно аудиту безопасности, выполненному Taylor Hornby (Defuse Security), текущая реализация Encfs уязвима или потенциально уязвима нескольким типам атак. Например, атакующий с правами чтения/записи шифрованных данных может понизить стойкость шифрования последующих данных без уведомления законного пользователя, или может использовать временной анализ для получения информации.

Пока эти проблемы не будут устранены, encfs не должна рассматриваться безопасной для важных данных в случаях, где эти атаки возможны.
 
Последнее редактирование модератором:
  • Like
Реакции: Muma
Сверху Снизу