|
Все изложенное ниже моё личное мнение основанное на опыте и знаниях! В свое время задумался о защите своих данных и о некой анонимности. И первый вопрос стал в выборе операционной системы для десктопа. Виндоус отмел сразу, так как он изначально против анонимности и годится только для игрушек и проф програм. Сам пользовался техникой мак изначально на нем и остановился но позже решил отказаться. Оставался линукс, перебрал основные дистрибутивы и выбот пал на Убунту: понравилась дружилюбностью интерфейса, возможностью максимально уйти от терминала, большим сообществом как на русском так и на английском. Плюс возможность зашифровать диск перед установкой системы. Итак со вступлеием закончим и приступим к установке и настройке. Ах да еще пара моментов: использовать будем в основном ПО с открытым исходным кодом, скачиваем только с официальных и провереных источников, на стоит доверять непонять кому так как не исключено что туда что-нибудь добавили, например))) Далее буду писать для Русского варианта установки, кто выбирет английски там по аналогии, сам использую английский. <a class="tagcutflag" onclick="obj=this.parentNode.childNodes[1].style; tmp=(obj.display!='block') ? 'block' : 'none'; obj.display=tmp; return false;" title="для просмотра нажмите сюда">[+] Установка системы</a>идем на сайт UBUNTU и качаем последнюю LTS сбороку( LTS - это длительная поддержка, выходят раз в 2 года), если комп слабенький то лучше использовать XUBUNTU. KUBUNTU - если фанаты красивого оформления встиле винды и ресурсы позволяют. Записываем на диск или создаем флешку с помощью UNetbootin - Homepage and Downloads Загружаемся с помошью диска/флешки, выбираем пункт Install ubuntu(или установить если ру версия) Настраиваем подключение к интернету если запросит(например ВиФи) Далее ставим галочки на "Скачать обновления при установки" и "Установить сторонее програмное обесперчение " Далее выбираем Стереть диск и установить убунту, Зашифровать диск и Использовать LVM и жмем установить сейчас. https://image.prntscr.com/image/0308...ae210f9ad6.png Далее система попросит установить пароль зашифрованного диска, рекомендую создавать сложный для подбора но легкий для запоминания(как пример несколько слов русских но набранных английской раскладке или фраза разделенные спецсимволами, фраза "хер вы вскроете" превращается в [th!ds!dcrhjtnt ) Галочка "переписать пустое пространство" не позволит востановить с диска то что было на нем до установки, но несколько продлит время установки https://image.prntscr.com/image/8f9c...2e72a203e8.png Жмем установить сейчас, соглашаемся с изменениями на диске "продолжить" Настраиваем часовой пояс, затем раскладку клавиатуры. Создаем пользователя и пароль пользователя, делая пароли помните что вам их вводить при каждом включении и пароли на шифрование диска и проль пользователя это РАЗНЫЕ пароли!!! Шифровать домашнюю папку нет смысла, входить автомотически не ставьте ни в коем случае, далее запускается установка. По завершению извлекаем загрузочный диск/флеш и перегружаемся. <a class="tagcutflag" onclick="obj=this.parentNode.childNodes[1].style; tmp=(obj.display!='block') ? 'block' : 'none'; obj.display=tmp; return false;" title="для просмотра нажмите сюда">[+] Ставим необходимое ПО</a> https://image.prntscr.com/image/8133...fe3a15d484.png Загрузились первый раз, подключились к интернету, ставим необходимые пакеты, я приведу пример того что стоит у меня. Многое можно поставить используя Менеждер приложений, но я сторонник терминала, итак базовые приложения которые нужны в принципе почти всем: ПРИ УСТАНОВКЕ ПРИЛОЖЕНИЙ ЗАПРАШИВАЕТСЯ ПАРОЛЬ - ЭТО ПАРОЛЬ ВАШЕГО ПОЛЬЗОВАТЕЛЯ, КОТОРОГО СОЗДАВАЛИ ПРИ УСТАНОВКЕ В ТЕРМИНАЛЕ ЧТОБЫ ВЫПОЛНИТЬ КОМАНДУ ОТ ИМЕНИ СУПЕР ПОЛЬЗОВАТЕЛЯ ИСПОЛЬЗУЕТСЯ КОМАНДА "SUDO" и пароль вашего пользователя https://image.prntscr.com/image/0000...dc951054a7.pnghttps://image.prntscr.com/image/971d...e04bee3927.png И так: #Обновимся Code: <pre class="alt2" dir="ltr" style=" margin: 0px; padding: 6px; border: 1px solid rgb(0, 0, 0); width: 640px; height: 34px; text-align: left; overflow: auto; background: rgb(37, 37, 37) none repeat scroll 0% 0%; border-radius: 5px; font-size: 11px; text-shadow: none;">sudo apt-get update</pre> #Поставим набор приложений Code: <pre class="alt2" dir="ltr" style=" margin: 0px; padding: 6px; border: 1px solid rgb(0, 0, 0); width: 640px; height: 34px; text-align: left; overflow: auto; background: rgb(37, 37, 37) none repeat scroll 0% 0%; border-radius: 5px; font-size: 11px; text-shadow: none;">sudo apt-get install git exfat-fuse exfat-utils pidgin pidgin-otr encfs libpam-encfs network-manager-openvpn-gnome libgcrypt20-dev libpurple-dev libwebp-dev gettext gimp virtualbox p7zip mc remmina gedit encfs libpam-encfs unrar</pre> #Перезапустим NM(network_manager) Code: <pre class="alt2" dir="ltr" style=" margin: 0px; padding: 6px; border: 1px solid rgb(0, 0, 0); width: 640px; height: 34px; text-align: left; overflow: auto; background: rgb(37, 37, 37) none repeat scroll 0% 0%; border-radius: 5px; font-size: 11px; text-shadow: none;">sudo systemctl restart network-manager</pre> Можно еще поставить PSI+ Tor Browser PlayOnLinux, они есть в центре приложений так что можно и через графический интерфейс центра приложений Ставим VeraCrypt Качаем https://sourceforge.net/projects/ver...?source=navbarили https://veracrypt.codeplex.com/wikipage?title=Downloadsи распаковываем качаем фаил последней версии типа veracrypt-1.19-setup.tar.bz2 заходим в распакованую папку, правая кнопка открыть в терминале в терменале выполняем скрипт установки который GUI для нашей разрядности 32 или 64 соответственно Code: <pre class="alt2" dir="ltr" style=" margin: 0px; padding: 6px; border: 1px solid rgb(0, 0, 0); width: 640px; height: 34px; text-align: left; overflow: auto; background: rgb(37, 37, 37) none repeat scroll 0% 0%; border-radius: 5px; font-size: 11px; text-shadow: none;">sudo sh нужный_нам_скрипт_из_папки_G UI.sh</pre> Использование такое же как в винде. <a class="tagcutflag" onclick="obj=this.parentNode.childNodes[1].style; tmp=(obj.display!='block') ? 'block' : 'none'; obj.display=tmp; return false;" title="для просмотра нажмите сюда">[+] Настройка маршрутизации</a> Я решил что без впн моему компу в интернете делать нечего, если вы согласны с моим решением вот вам пример реализации. Использовать будем встроенные средства системы. Использовать свой впн сервер или покупной дело каждого плюсы и минусы есть у обоих решений, если кому интересно будет изложу свои соображения и опыт в данном вопросе. Кстати ВПН должен уже быть настроен, все для него вы уже утановили, осталось только настроить его в системе, обычно инструкции есть у провайдеров, например ТЫЦ В примере вы подключены к интернету через роутер у которого адрес 192.168.0.1 И так приступаем к настройке iptables: #удалим все существующие правила Code: <pre class="alt2" dir="ltr" style=" margin: 0px; padding: 6px; border: 1px solid rgb(0, 0, 0); width: 640px; height: 34px; text-align: left; overflow: auto; background: rgb(37, 37, 37) none repeat scroll 0% 0%; border-radius: 5px; font-size: 11px; text-shadow: none;">sudo iptables -F && sudo iptables -t nat -F</pre> # разрешаем трафик в локальной сети Code: <pre class="alt2" dir="ltr" style=" margin: 0px; padding: 6px; border: 1px solid rgb(0, 0, 0); width: 640px; height: 50px; text-align: left; overflow: auto; background: rgb(37, 37, 37) none repeat scroll 0% 0%; border-radius: 5px; font-size: 11px; text-shadow: none;">sudo iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT sudo iptables -A OUTPUT -d 192.168.0.0/24 -j ACCEPT</pre> где 192.168.1.0/24 ваша локальная сеть при условии, что вы подключены к интернету через роутер у которого адрес 192.168.0.1. # Разрешаем петлю Code: <pre class="alt2" dir="ltr" style=" margin: 0px; padding: 6px; border: 1px solid rgb(0, 0, 0); width: 640px; height: 50px; text-align: left; overflow: auto; background: rgb(37, 37, 37) none repeat scroll 0% 0%; border-radius: 5px; font-size: 11px; text-shadow: none;">sudo iptables -A INPUT -i lo -j ACCEPT sudo iptables -A OUTPUT -o lo -j ACCEPT</pre> #Разрешаем трафик DNS до серверов выбранных нами ДНС, в примере гугл Code: <pre class="alt2" dir="ltr" style=" margin: 0px; padding: 6px; border: 1px solid rgb(0, 0, 0); width: 640px; height: 82px; text-align: left; overflow: auto; background: rgb(37, 37, 37) none repeat scroll 0% 0%; border-radius: 5px; font-size: 11px; text-shadow: none;">sudo iptables -A INPUT -s 8.8.8.8 -j ACCEPT sudo iptables -A OUTPUT -d 8.8.8.8 -j ACCEPT sudo iptables -A INPUT -s 8.8.4.4 -j ACCEPT sudo iptables -A OUTPUT -d 8.8.4.4 -j ACCEPT</pre> #Разрешаем стандартный порт VPN Code: <pre class="alt2" dir="ltr" style=" margin: 0px; padding: 6px; border: 1px solid rgb(0, 0, 0); width: 640px; height: 50px; text-align: left; overflow: auto; background: rgb(37, 37, 37) none repeat scroll 0% 0%; border-radius: 5px; font-size: 11px; text-shadow: none;">sudo iptables -A OUTPUT -p udp --dport 1194 -j ACCEPT sudo iptables -A INPUT -p udp --sport 1194 -j ACCEPT</pre> #Открываем доступ к адресам VPN серверов, вместо "X.vpnserver.com" вставте необходимые сервера или IP адреса серверов Code: <pre class="alt2" dir="ltr" style=" margin: 0px; padding: 6px; border: 1px solid rgb(0, 0, 0); width: 640px; height: 82px; text-align: left; overflow: auto; background: rgb(37, 37, 37) none repeat scroll 0% 0%; border-radius: 5px; font-size: 11px; text-shadow: none;">sudo iptables -A INPUT -s 1.vpnserver.com -j ACCEPT sudo iptables -A OUTPUT -d 1.vpnserver.com -j ACCEPT sudo iptables -A INPUT -s 2.vpnserver.com -j ACCEPT sudo iptables -A OUTPUT -d 2.vpnserver.com -j ACCEPT</pre> #Разрешаем соединения для tun Code: <pre class="alt2" dir="ltr" style=" margin: 0px; padding: 6px; border: 1px solid rgb(0, 0, 0); width: 640px; height: 50px; text-align: left; overflow: auto; background: rgb(37, 37, 37) none repeat scroll 0% 0%; border-radius: 5px; font-size: 11px; text-shadow: none;">sudo iptables -A OUTPUT -o tun0 -j ACCEPT sudo iptables -A INPUT -i tun0 -j ACCEPT</pre> #Запрещаем все, что не указанно в правилах Code: <pre class="alt2" dir="ltr" style=" margin: 0px; padding: 6px; border: 1px solid rgb(0, 0, 0); width: 640px; height: 66px; text-align: left; overflow: auto; background: rgb(37, 37, 37) none repeat scroll 0% 0%; border-radius: 5px; font-size: 11px; text-shadow: none;">sudo iptables -P INPUT DROP sudo iptables -P OUTPUT DROP sudo iptables -P FORWARD DROP</pre> Настройка сохраниться до перезагрузки, чтобы сохранить настройки перманентно используем пакет iptables-persistent Устанавливаем: sudo apt-get install iptables-persistent При установке спросит сохранить ли настройки, СОГЛАШАЕМСЯ настройки будут в файлах Code: <pre class="alt2" dir="ltr" style=" margin: 0px; padding: 6px; border: 1px solid rgb(0, 0, 0); width: 640px; height: 50px; text-align: left; overflow: auto; background: rgb(37, 37, 37) none repeat scroll 0% 0%; border-radius: 5px; font-size: 11px; text-shadow: none;">/etc/iptables/rules.v4 /etc/iptables/rules.v6</pre> Далее настраиваем правила в iptables, путем правки этих файлов с правами суперпользователя, например: Code: <pre class="alt2" dir="ltr" style=" margin: 0px; padding: 6px; border: 1px solid rgb(0, 0, 0); width: 640px; height: 34px; text-align: left; overflow: auto; background: rgb(37, 37, 37) none repeat scroll 0% 0%; border-radius: 5px; font-size: 11px; text-shadow: none;">sudo nano /etc/iptables/rules.v4</pre> если править прям в консоли Code: <pre class="alt2" dir="ltr" style=" margin: 0px; padding: 6px; border: 1px solid rgb(0, 0, 0); width: 640px; height: 34px; text-align: left; overflow: auto; background: rgb(37, 37, 37) none repeat scroll 0% 0%; border-radius: 5px; font-size: 11px; text-shadow: none;">sudo gedit /etc/iptables/rules.v4</pre> если в графическом редакторе. <a class="tagcutflag" onclick="obj=this.parentNode.childNodes[1].style; tmp=(obj.display!='block') ? 'block' : 'none'; obj.display=tmp; return false;" title="для просмотра нажмите сюда">[+] Синхронизация в облаке с шифрованием</a> Нужы пакеты encfs libpam-encfs которые мы поставили в начале при настройке системы. Создаём в каталоге пользователя скрытую папку ~/.sinhro, в которой будут храниться данные в зашифрованном виде, и точку монтирования шифрованной файловой системы ~/sinhro: Code: <pre class="alt2" dir="ltr" style=" margin: 0px; padding: 6px; border: 1px solid rgb(0, 0, 0); width: 640px; height: 34px; text-align: left; overflow: auto; background: rgb(37, 37, 37) none repeat scroll 0% 0%; border-radius: 5px; font-size: 11px; text-shadow: none;">mkdir -p ~/.sinhro ~/sinhro</pre> Создадим шифрованную файловую систему EncFS для уже созданных нами каталогов: encfs ~/.sinhro ~/sinhro В процесе создания выбираем режим эксперта "x", далее AES "1" , размер ключа "256", размер блока по умолчению "просто Enter", алгоритм зашифровки "Null" - "3", остальные параметры по умолчанию, то есть просто жмем "Enter" до ввода пароля, ТУТ ВНИМАНИЕ, пароль вводим как у нашего пользователя! https://image.prntscr.com/image/ac33...c58280045a.png https://image.prntscr.com/image/1111...3f3b3dd2a1.png в итоге смонтируется раздел sinhro. а при добовлении файлов в папку sinhro или раздел sinhro, в скрытой папке .sinhro будут появляться зашифрованые файлы. https://image.prntscr.com/image/0735...8e56c2552a.png Настроим автоматическое монтировани при входе пользователя в систему: Редактируем файл «/etc/security/pam_encfs.conf»: Code: <pre class="alt2" dir="ltr" style=" margin: 0px; padding: 6px; border: 1px solid rgb(0, 0, 0); width: 640px; height: 34px; text-align: left; overflow: auto; background: rgb(37, 37, 37) none repeat scroll 0% 0%; border-radius: 5px; font-size: 11px; text-shadow: none;">sudo gedit /etc/security/pam_encfs.conf</pre> для того что бы отключить автоматическое размонтирование при простое закоментируем строку(закоментировать значит в начале строки поставить #: Code: <pre class="alt2" dir="ltr" style=" margin: 0px; padding: 6px; border: 1px solid rgb(0, 0, 0); width: 640px; height: 34px; text-align: left; overflow: auto; background: rgb(37, 37, 37) none repeat scroll 0% 0%; border-radius: 5px; font-size: 11px; text-shadow: none;"># encfs_default --idle=1</pre> раскомментируем строку: Code: <pre class="alt2" dir="ltr" style=" margin: 0px; padding: 6px; border: 1px solid rgb(0, 0, 0); width: 640px; height: 34px; text-align: left; overflow: auto; background: rgb(37, 37, 37) none repeat scroll 0% 0%; border-radius: 5px; font-size: 11px; text-shadow: none;">* .private private -v allow_other</pre> отредактируем её таким образом что бы указать созданные нами ранее каталоги: Code: <pre class="alt2" dir="ltr" style=" margin: 0px; padding: 6px; border: 1px solid rgb(0, 0, 0); width: 640px; height: 34px; text-align: left; overflow: auto; background: rgb(37, 37, 37) none repeat scroll 0% 0%; border-radius: 5px; font-size: 11px; text-shadow: none;">* .sinhro sinhro -v allow_other</pre> Именно эта строка указывает на автоматическое монтирование EncFS при входе пользователя в систему. Редактируем файл «/etc/fuse.conf»: Code: <pre class="alt2" dir="ltr" style=" margin: 0px; padding: 6px; border: 1px solid rgb(0, 0, 0); width: 640px; height: 34px; text-align: left; overflow: auto; background: rgb(37, 37, 37) none repeat scroll 0% 0%; border-radius: 5px; font-size: 11px; text-shadow: none;">sudo gedit /etc/fuse.conf</pre> где раскомментируем строку позволяющую опции монтирования не-root пользователям: user_allow_other И главное задаем дополнительную папку синхронизации для облока. Выбираем чтобы в облако синхронизировалась папка .sinhro. Облако выбираете сами ДропБокс, Мега, ГуглДиск - кому что нравиться. После всего Я еже пробую синхронизировать на виртуалку чтобы убедиться что все норм. На всех последующих машинах сначала синхронизируемся с облаком затем настраиваем шифрование, к тому же файл «.encfs6.xml» уже будет на месте, программа EncFS, при правильном указании каталогов, должна спросить у вас только пароль. Сведения о безопасности EncFS Согласно аудиту безопасности, выполненному Taylor Hornby (Defuse Security), текущая реализация Encfs уязвима или потенциально уязвима нескольким типам атак. Например, атакующий с правами чтения/записи шифрованных данных может понизить стойкость шифрования последующих данных без уведомления законного пользователя, или может использовать временной анализ для получения информации. Пока эти проблемы не будут устранены, encfs не должна рассматриваться безопасной для важных данных в случаях, где эти атаки возможны. |
| All times are GMT. The time now is 07:39 PM. |
Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.