Kali linux информационная безопасность

Безопасность и защита Kali Linux

Kali Linux (ранее Backtrack Linux) — это Linux-дистрибутив на основе Debian, который используется хакерами для пентеста и форензики. Он также используется студентами, изучающими кибербезопасность, которые делают первые шаги в информационной безопасности. В статье, я покажу как правильно защитить и улучшить безопасность Kali Linux.

Безопасность и защита Kali Linux

Работать в Kali Linux с настройками по умолчанию — это плохая идея. Почему? Потому, что Kali с настройками по умолчанию легко взломать. Данный дистрибутив не ориентирован на высокий уровень безопасности, как популярная Tails OS, которая по умолчанию достаточно хорошо защищена.

Изменении пароля по умолчанию

При использовании старых версий Kali Linux (старше 2020.1), учетные данные по умолчанию:

Если используется версия новее, тогда учетные данные по умолчанию:

Использовать учетные данные по умолчанию — плохая привычка (и не только в Kali). Чтобы изменить логин и пароль, используйте команду:

Команда запросит пароль текущего пользователя (по умолчанию, если мы его еще не изменили). После чего необходимо дважды ввести новый пароль. Надежный пароль должен содержать как прописные, так и строчные буквы, а также символы и цифры.

Нужно помнить, что введенный пароль не будет отображаться по соображениям безопасности.

Учетная запись непривилегированного пользователя

Ранее пользователь root был пользователем Kali по умолчанию. Теперь все изменилось после обновления Kali Linux 2020.1. Теперь пользователем Kali по умолчанию является учетная запись пользователя без прав root .

Обновление Kali Linux

Разработчики выпускают новую версию каждый квартал. В плане безопасности, всегда стоит использовать свежую версию Kali. Для обновления используйте команду:

Изменение ключей SSH по умолчанию

Secure Shell или SSH — это сетевой протокол. Он используется для безопасного взаимодействия с компьютерами. SSH дает возможность аутентифицироваться без ввода паролей.

Есть два типа ключей SSH. Один публичный, а другой частный. Необходимо изменить наши публичные SSH-ключи, потому что у всех дистрибутивов они одинаковые, а генерация частных ключей будет гарантировать, что только аутентифицированные пользователи могут получить доступ.

Ключи SSH по умолчанию расположены в каталоге / etc / ssh . Мы не будем удалять старые ключи, а просто перенесем в другое безопасное место. Для этого используем команды:

Теперь все наши старые ключи SSH перемещены в каталог с именем old_keys .

Теперь создаем новые ключи:

Команда создаст новые ключи SSH:

Если мы столкнемся с какой-то проблемой, можно будет использовать резервные копии ключей SSH.

Анонимность в сети

Для анонимного интернет-серфинга используйте инструменты «NIPE» или «kalitorify». Для лучшей анонимность, рекомендую прочитать статью «Анонимность в Kali Linux с помощью Tor и Proxychains».

Мониторинг логов

Для мониторинга логов лучше использовать инструмент logcheck. Это консольная утилита, которая отправляет уведомления администратору о аномалиях в лог-файлах. Файлы журналов по умолчанию хранятся локально в / var / log .

С помощью инструментов top (установлен по умолчанию) или htop ( sudo apt install htop ) вы можете просматривать активность в реальном времени. В этом может помочь и xfce4-taskmanager.

Сканирование на наличие руткитов

Для безопасности Kali, необходимо регулярно сканировать систему на наличие вредоносных программ и руткитов. Можно проверить систему с помощью инструментов «Chkrootkit» или «Rkhunter». Чтобы не пересказывать, вот хороший мануал «Защита от руткитов в Linux».

Заключение

Хотя Kali Linux создан для атак, сама по себе система довольно безопасна. Использование Kali Linux внутри VMWare или VirtualBox в плане безопасности — еще лучше, но только при правильной настройке.

Источник

Статья Безопасный пингвин. Усиливаем защиту Kali Linux

Введение
Ты уже видел кучу разных статей по обзорам или работе этого знаменитого дистрибутива. С самого его рождения и до наших времен новости о Kali Linux доносятся почти из каждого утюга. Сама операционка как ты помнишь предназначена для пентеста и в этом ей почти нет равных. Но не будем забывать, что основа нашей деятельности — это обеспечение безопасности. И для выполнения этой задачи прежде всего стоит начать с самих себя. Поэтому в этой статье я расскажу пару приемов и методик, по которым ты сделаешь работу в этой операционной системе немного безопаснее и надежнее.

План работы
Перед началом рекомендую ознакомиться с основам работы в Linux и его командами. Если ты владеешь этими знаниями, то в настройке безопасности системы для чего ничего сложного не будет. Сама конфигурация является базовой и я не стану затрагивать анонимизацию в браузере и установку того же Tor вместе с прокси. Статьи по этой теме ты найдешь на форуме. Ну а по плану я расскажу тебе как обеспечить физическую защиту операционной системы, также мы заставим систему игнорировать не нужные нам пакеты. Установим подобие антивируса, в случае если произойдет заражение. Научимся искать и логировать подозрительную информацию, а также познакомимся с расширениями для браузера, которые сделают твой серфинг более безопасным. Приступим к работе.

Защита по периметру
Первым делом стоит позаботится о физической защите своего устройства. Нет, я сейчас не про двухфакторную аутентификацию или изоляции ноутбука в защитный кейс при завершении работы. Прежде всего стоит ставить хорошие пароли на систему. Если ты планируешь ставить Kali на устройство, то во время установки создай надежный пароль и запомни/запиши его, чтобы не потерять. В любой другой ситуации, когда Линукс уже давно работает, а сносить систему максимально лень вспомни самую базовую команду passwd. С ее помощью можно сменить пароль от учетной записи без root прав. Таким образом ты обезопасишь себя от брутфорса или ручного подбора дефолных паролей.

Сетевая безопасность
Скорее всего ты знаешь, что для того, чтобы узнать какая машина находится в сети следует использовать команду ping. Работает она за счет отправки ICMP пакета на хост и его возврат с последующим открытием и чтением. После этого выводится скорость доставки и другая информация о соединении. Если ты случайно спалил свой IP адрес, то можешь не волноваться так как сейчас я покажу, как заставить систему отправлять пакеты такого типа в игнорирование.

Для этого открываем терминал и пишем следующую команду:

После этого откроется текстовый редактор и высветится предупреждение о том, что ты можешь нанести вред системе. Игнорируем его, переходим в конец файла и добавляем следующую строку:

net.ipv4.icmp_echo_ignore_all = 1

Чтобы система снова начала реагировать на ICMP пакеты замени единицу на ноль. Переходим обратно в терминал и для применения изменений пишем такую команду:

Готово! Проверяем результат при помощи той же команды ping. Чтобы узнать свой айпишник открой новое окно и введи ifconfig. Подтверди действия и смотри цифры после inet. Результат работы ты можешь видеть ниже:

Также не будем забывать про существование протокола SSH, который позволяет безопасно подключится к нашему устройству. При установки все дистрибутивы используют единый публичный ключ и откопать его на просторах интернета будет не так сложно. Поэтому давай исправим ситуацию и сгенерируем новые ключи, чтобы никакой умник не смог к нам подключится.

Для этого используем все тот же добрый терминал. Открываем его и переходим в каталог системы:

Воспользуемся правами суперпользователя и создадим бекап наших старых ключей. Это сделано на тот случай, если вся работа пойдет не по плану.

Теперь перемещаем всю информацию и файлы в этот каталог:

На всякий случай перекрестимся, помолимся и сделаем пару сотен копий нашей операционной системы на внешний накопитель. Все сделал? Переходи в новое окно и внимательно вводи такую команду:

sudo dpkg-reconfigure openssh-server

Можешь убрать по дальше руки от клавиатуры, чтобы ничего не накосячить и в результате ты получишь свежие, только что созданные публичные ключи. В консоли все выглядит следующим образом:

Если у тебя появились две последние строчки это означает, что служба SSH не запущена на твоем устройстве. Чтобы это исправить, тебе требуется ввести такую команду:

Аналогичная команда stop заставляет службу прекратить свою работу. Ну а чтобы понять, какие порты у тебя на устройстве используются и активны в этот момент используй такую команду:

sudo ss -tulwn | grep LISTEN

• Показать только сокеты TCP в Linux (-t)
• Показать только сокеты UDP (-u)
• Показать прослушивающие сокеты (-l)
• Не разрешать имена сервисов (-n)

xce4-taskmanager — простое в использовании приложение для мониторинга и управления запущенными процессами. Поддерживается на многих дистрибутивах Linux (в последних версиях Kali пакет предустановлен). Отображается процессы в виде древа и имеет функцию фильтрации всех данных.

top — команда Linux, работает по аналогии с диспетчером задач, имеет множество флагов и более простой интерфейс. Также можно настроить интервал отображения информации о процессах. Способен отображать только те программы, которые используют ресурсы процессора.

Какой диспетчер использовать в системе решать тебе, ну а если не хочешь каждый раз запускать лишнюю программу, то давай рассмотрим утилиту logcheck. Ее главная задача отслеживать системные лог-файлы на подозрительную активность. Всю информацию и сигналы тревоги она отправляет прямо тебе на почту. Для работы устанавливай программу при помощи apt-get и теперь давай глянем нашу конфигурацию:

grep ^[^#] /etc/logcheck/logcheck.conf

• REPORTLEVEL — уровень отладочной информации (workstation, server, paranoid). В целях проверки работоспособности стоит выставлять paranoid.
• SENDMAILTO — поле отвечающее за адрес, куда будут доставляться все письма с активностью.
• MAILASATTACH — параметр отправки сообщения при помощи вложений.
• FQDN — использовать или нет доменное имя устройства в заголовке письма (включить если в сети больше одного устройства).
• TMP — альтернативная директория для временных файлов logcheck.

nano -w /etc/cron.hourly/logcheck.cron

Теперь в случаи подозрительной активности система будет отправлять всю информацию тебе на почту. Также, чтобы сделать защиту более эффективнее накинем на нашу систему антивирус, с помощью которого ты сможешь проверять файлы на наличие подозрительной активности.

chkrootkit — предназначена для поиска враждебного кода и иных подозрительных событий в системе. Имеет несколько модулей и расширенный арсенал для поиска угроз.

Модули chkwtmp и chklastlog пытаются обнаруживать факты удаления записей из системных журналов wtmp и lastlog, но полное обнаружение всех изменений этих файлов не гарантируется.

Модуль chkproc проверяет файлы /proc для обнаружения скрытых от команд ps и readdir системных вызовов, которые могут быть связаны с троянскими модулями LKM. Вы можете использовать эту команду с флагом -v для вывода более подробного отчета.

Рассмотрим на примере эту утилиту. Для этого переходим в терминал и попробуем отследить все приложения, которые используют сниффинг:

Из скриншота чуть выше ты мог уже заметить, что в моей системе сниффинг проводит только менеджер сети, поэтому волноваться здесь не о чем. В остальном ты можешь воспользоваться

, чтобы ознакомиться с полным списком функций.

Подводим итоги
При помощи таких небольших манипуляций в системе я описал тебе как достичь базовой безопасности в операционной системе Kali Linux. Конечно, до идеала еще далеко и как минимум следует установить браузер тор и прокси сервера. Но это уже переходит в тему анонимности и поэтому я не стал ее затрагивать в этой статье. Также теперь ты можешь быть уверен в том, что в случаи заражения системы ты точно будешь знать когда и как это произошло.

Источник