Статья Безопасный пингвин. Усиливаем защиту Kali Linux
Введение
Ты уже видел кучу разных статей по обзорам или работе этого знаменитого дистрибутива. С самого его рождения и до наших времен новости о Kali Linux доносятся почти из каждого утюга. Сама операционка как ты помнишь предназначена для пентеста и в этом ей почти нет равных. Но не будем забывать, что основа нашей деятельности — это обеспечение безопасности. И для выполнения этой задачи прежде всего стоит начать с самих себя. Поэтому в этой статье я расскажу пару приемов и методик, по которым ты сделаешь работу в этой операционной системе немного безопаснее и надежнее.
План работы
Перед началом рекомендую ознакомиться с основам работы в Linux и его командами. Если ты владеешь этими знаниями, то в настройке безопасности системы для чего ничего сложного не будет. Сама конфигурация является базовой и я не стану затрагивать анонимизацию в браузере и установку того же Tor вместе с прокси. Статьи по этой теме ты найдешь на форуме. Ну а по плану я расскажу тебе как обеспечить физическую защиту операционной системы, также мы заставим систему игнорировать не нужные нам пакеты. Установим подобие антивируса, в случае если произойдет заражение. Научимся искать и логировать подозрительную информацию, а также познакомимся с расширениями для браузера, которые сделают твой серфинг более безопасным. Приступим к работе.
Защита по периметру
Первым делом стоит позаботится о физической защите своего устройства. Нет, я сейчас не про двухфакторную аутентификацию или изоляции ноутбука в защитный кейс при завершении работы. Прежде всего стоит ставить хорошие пароли на систему. Если ты планируешь ставить Kali на устройство, то во время установки создай надежный пароль и запомни/запиши его, чтобы не потерять. В любой другой ситуации, когда Линукс уже давно работает, а сносить систему максимально лень вспомни самую базовую команду passwd. С ее помощью можно сменить пароль от учетной записи без root прав. Таким образом ты обезопасишь себя от брутфорса или ручного подбора дефолных паролей.
Сетевая безопасность
Скорее всего ты знаешь, что для того, чтобы узнать какая машина находится в сети следует использовать команду ping. Работает она за счет отправки ICMP пакета на хост и его возврат с последующим открытием и чтением. После этого выводится скорость доставки и другая информация о соединении. Если ты случайно спалил свой IP адрес, то можешь не волноваться так как сейчас я покажу, как заставить систему отправлять пакеты такого типа в игнорирование.
Для этого открываем терминал и пишем следующую команду:
После этого откроется текстовый редактор и высветится предупреждение о том, что ты можешь нанести вред системе. Игнорируем его, переходим в конец файла и добавляем следующую строку:
net.ipv4.icmp_echo_ignore_all = 1Чтобы система снова начала реагировать на ICMP пакеты замени единицу на ноль. Переходим обратно в терминал и для применения изменений пишем такую команду:
Готово! Проверяем результат при помощи той же команды ping. Чтобы узнать свой айпишник открой новое окно и введи ifconfig. Подтверди действия и смотри цифры после inet. Результат работы ты можешь видеть ниже:
Также не будем забывать про существование протокола SSH, который позволяет безопасно подключится к нашему устройству. При установки все дистрибутивы используют единый публичный ключ и откопать его на просторах интернета будет не так сложно. Поэтому давай исправим ситуацию и сгенерируем новые ключи, чтобы никакой умник не смог к нам подключится.
Для этого используем все тот же добрый терминал. Открываем его и переходим в каталог системы:
Воспользуемся правами суперпользователя и создадим бекап наших старых ключей. Это сделано на тот случай, если вся работа пойдет не по плану.
Теперь перемещаем всю информацию и файлы в этот каталог:
На всякий случай перекрестимся, помолимся и сделаем пару сотен копий нашей операционной системы на внешний накопитель. Все сделал? Переходи в новое окно и внимательно вводи такую команду:
sudo dpkg-reconfigure openssh-serverМожешь убрать по дальше руки от клавиатуры, чтобы ничего не накосячить и в результате ты получишь свежие, только что созданные публичные ключи. В консоли все выглядит следующим образом:
Если у тебя появились две последние строчки это означает, что служба SSH не запущена на твоем устройстве. Чтобы это исправить, тебе требуется ввести такую команду:
Аналогичная команда stop заставляет службу прекратить свою работу. Ну а чтобы понять, какие порты у тебя на устройстве используются и активны в этот момент используй такую команду:
sudo ss -tulwn | grep LISTEN- Показать только сокеты TCP в Linux (-t)
- Показать только сокеты UDP (-u)
- Показать прослушивающие сокеты (-l)
- Не разрешать имена сервисов (-n)
xce4-taskmanager — простое в использовании приложение для мониторинга и управления запущенными процессами. Поддерживается на многих дистрибутивах Linux (в последних версиях Kali пакет предустановлен). Отображается процессы в виде древа и имеет функцию фильтрации всех данных.
top — команда Linux, работает по аналогии с диспетчером задач, имеет множество флагов и более простой интерфейс. Также можно настроить интервал отображения информации о процессах. Способен отображать только те программы, которые используют ресурсы процессора.
Какой диспетчер использовать в системе решать тебе, ну а если не хочешь каждый раз запускать лишнюю программу, то давай рассмотрим утилиту logcheck. Ее главная задача отслеживать системные лог-файлы на подозрительную активность. Всю информацию и сигналы тревоги она отправляет прямо тебе на почту. Для работы устанавливай программу при помощи apt-get и теперь давай глянем нашу конфигурацию:
grep ^[^#] /etc/logcheck/logcheck.conf
- REPORTLEVEL — уровень отладочной информации (workstation, server, paranoid). В целях проверки работоспособности стоит выставлять paranoid.
- SENDMAILTO — поле отвечающее за адрес, куда будут доставляться все письма с активностью.
- MAILASATTACH — параметр отправки сообщения при помощи вложений.
- FQDN — использовать или нет доменное имя устройства в заголовке письма (включить если в сети больше одного устройства).
- TMP — альтернативная директория для временных файлов logcheck.
nano -w /etc/cron.hourly/logcheck.cronТеперь в случаи подозрительной активности система будет отправлять всю информацию тебе на почту. Также, чтобы сделать защиту более эффективнее накинем на нашу систему антивирус, с помощью которого ты сможешь проверять файлы на наличие подозрительной активности.
chkrootkit — предназначена для поиска враждебного кода и иных подозрительных событий в системе. Имеет несколько модулей и расширенный арсенал для поиска угроз.
Модули chkwtmp и chklastlog пытаются обнаруживать факты удаления записей из системных журналов wtmp и lastlog, но полное обнаружение всех изменений этих файлов не гарантируется.
Модуль chkproc проверяет файлы /proc для обнаружения скрытых от команд ps и readdir системных вызовов, которые могут быть связаны с троянскими модулями LKM. Вы можете использовать эту команду с флагом -v для вывода более подробного отчета.
Рассмотрим на примере эту утилиту. Для этого переходим в терминал и попробуем отследить все приложения, которые используют сниффинг:
Из скриншота чуть выше ты мог уже заметить, что в моей системе сниффинг проводит только менеджер сети, поэтому волноваться здесь не о чем. В остальном ты можешь воспользоваться
, чтобы ознакомиться с полным списком функций.
Подводим итоги
При помощи таких небольших манипуляций в системе я описал тебе как достичь базовой безопасности в операционной системе Kali Linux. Конечно, до идеала еще далеко и как минимум следует установить браузер тор и прокси сервера. Но это уже переходит в тему анонимности и поэтому я не стал ее затрагивать в этой статье. Также теперь ты можешь быть уверен в том, что в случаи заражения системы ты точно будешь знать когда и как это произошло.
Статья Как настроить Kali Linux в плане безопасности и анонимности
Но я не буду описывать специфические инструменты, их предназначение и использование. Я расскажу как безопасно настроить систему в плане безопасности и анонимности, которая сейчас очень актуальна. Чтобы бедный несчастный новичок не рыскал по поиску форума и гугле, пытаясь получить ответы. Именно для этого я решил собрать наработанный материал в одном месте.
Здоровая критика и дополнения приветствуются.
Все манипуляции, описанные в статье, проводились на Kali 64 bit с графическим окружением Gnome 3.
За работоспособность на другой разрядности или окружении я не ручаюсь. Все делаете на свой страх и риск!
Для начала узнаем какая разрядность у вашей системы:
grep -qP ’^flags\s*:.*\blm\b’ /proc/cpuinfo && echo 64-bit || echo 32-bit
Затем качаем образ только
sha256sum kali-linux-2017.3-amd64.isoБудем устанавливать Kali Linux на полностью зашифрованную файловую систему.
Как это сделать написано в статье на форуме. Более развернутого гайда я не встречал.
Прелести именно этой установки я обьяснять не буду Возможно вы поймете это позже.
После первого входа в систему отключим swap через Меню-Утилиты-Диски. Это самый быстрый способ:
Не надо пользоваться моей инструкцией с перезаписью swap из этой темы.
Она для уже юзанной системы, а на свежеустановленной достаточно указанного выше!
Отключен ли swap, можно посмотреть в Системном мониторе:
Проверяем, чтобы репозитории в /etc/apt/sources.list имели вид:
deb http://http.kali.org/kali kali-rolling main contrib non-free # deb-src http://http.kali.org/kali kali-rolling main contrib non-freeСделаем, чтобы при каждом подключении к сети mac менялся на рандомный.
(Спасибо @z3RoTooL за прекрасную подсказку в своей статье)
Для этого содержимое файла /etc/NetworkManager/NetworkManager.conf меняем на:
[main] plugins=ifupdown,keyfile [ifupdown] managed=false [connection] wifi.cloned-mac-address=random [connection] ethernet.cloned-mac-address=randomupdate-rc.d -f ssh remove update-rc.d -f ssh defaults cd /etc/ssh/ mkdir insecure_original_default_kali_keys mv ssh_host_* insecure_original_default_kali_keys/ dpkg-reconfigure openssh-server# Port 22 # PermitRootLogin without-passwordPort 2282 PermitRootLogin noПорт 22 меняем на любой нестандартный (в нашем случае 2282) для защиты от брутфорса.
PermitRootLogin no запрещает другим машинам подключаться к root пользователю на нашей машине.
Возможно в дальнейшем вы обзаведетесь своим VPS. Поэтому советую подключаться к нему не по паролю, а создать ключ, так как это безопасней:
Жмем Enter несколько раз. Сгенерированный ключ /root/.ssh/id_rsa.pub потом поместите на свой сервер.
Так же не советую добавлять службу ssh в автозагрузку, а стартовать/выключать командами:
service ssh start service ssh stopТеперь важный момент в статье. Сделаем пароль самоуничтожения заголовков зашифрованного диска.
По сути без них он превращается просто в кирпич. По этой теме есть прекрасная статья на форуме.
Позволю себе сократить этот процесс до минимума:
cryptsetup luksAddNuke /dev/sda5 Enter any existing passphrase: Ваша фраза шифрования Enter new passphrase for key slot: Пароль самоуничтожения Verify passphrase: Повтор пароля самоуничтожения cryptsetup luksHeaderBackup --header-backup-file luksheader.back /dev/sda5 file luksheader.back openssl enc -aes-256-cbc -salt -in luksheader.back -out luksheader.back.enc enter aes-256-cbc encryption password: Пароль для зашифрованного заголовка Verifying - enter aes-256-cbc encryption password: Повтор пароля для зашифрованного заголовка ls -lh luksheader.back* file luksheader.back*Файлы luksheader.back и luksheader.back.enc храним на зашифрованной с помощью LUKS
(можно сделать с помощью Меню-Утилиты-Диски) microsd флешке где нибудь вне дома.
Идеально подойдет какое нибудь гнездо в лесу.
Вот теперь пора бы нам обновить систему:
apt-get update && apt-get dist-upgrade