Вернуться на главную

Вернуться   Форум выживальщиков » Полезно для всех » Компьютерная грамотность
Все разделы прочитаны
Регистрация Справка Календарь

Важная информация

Ответ
 
Опции темы Опции просмотра
Старый 10.11.2013, 17:01
  post #1
globalnode
Выживальщик
 
Аватар для globalnode
 
Регистрация: 10.11.2013
Адрес: Серпухов
Сообщений: 121
Сказал(а) спасибо: 12
Поблагодарили 85 раз(а) в 47 сообщениях
По умолчанию Мой компьютер - моя цифровая крепость.

Хочу показать один из способов как построить защищённую систему для безопасного приёма, передачи, хранения и обработки конфиденциальных и иных опасных данных. Ни для кого не секрет, что сейчас различные лица и организации пытаются удушить свободу как самого интернета, так и его пользователей, и зачастую им это удаётся. Поэтому сейчас мы попробуем соорудить небольшую, но прочную крепость внутри нашего компьютера.

Что нам потребуется?

Во-первых, это компьютер достаточной производительности с большим объёмом оперативной памяти. Его операционная система значения не имеет, поскольку устанавливаемое на него ПО кроссплатформенно. В этой статье я буду пользоваться операционной системой Debian версии 7.0.3 Wheezy.
Во-вторых, программное обеспечение. Я перечислю его в порядке, в котором оно потребуется в построении системы:
Код:
1) JRE (wiki.debian.org/JRE)
2) Python (wiki.debian.org/Python)
3) TOR (www.torproject.org/docs/debian)
4) I2P (www.i2p2.de/debian.html‎)
5) Polipo (packages.debian.org/sid/polipo)
6) Любой браузер.

Перед тем как все устанавливать шифруем наш домашний раздел /home, я выбрал 1024-х битно шифрование AES. Более подробно о шифровании раздела можно узнать тут


Сначала ставим TOR из их собственного репозитория, так как в официальном могут быть устаревшие версии пакетов.
Код:
# aptitude install tor
# aptitude install i2p
Обратим внимание, что TOR сам по себе предоставляет только SOCKS5-прокси, и его поддержка есть не во всех программах. Поэтому установим Polipo — свободный HTTP-прокси:
Код:
# aptitude install polipo
Далее нам необходимо его настроить, поэтому правим конфиг любым удобным вам редактором.
Код:
# vim /etc/polipo/config
Добавим в него строчку:
Код:
proxyPort = 8118
Ниже раскомментируем (или подправим, если что-то не так):
Код:
socksParentProxy = "localhost:9050"
socksProxyType = socks5
Сохраним. Перезапустим Полип:
Код:
# service polipo restart
Теперь настроим I2P:
Код:
# vim /etc/default/i2p
Включим запуск в качестве демона:
Код:
RUN_DAEMON="true"
Заодно видим в файле имя пользователя, от которого работает маршрутизатор — у меня это i2psvc.
Сохраняем.
Запускаем:
Код:
# service i2p start
Теперь узнаем пользователя, от которого работает TOR:
Код:
# lsof -c tor
У меня это debian-tor.

И теперь — самое вкусное: рубим доступ в сеть всему, что не TOR и не I2P. Ещё раз — ВСЕМУ.
Общая политика DROP, разрешён доступ всем на локалхост, I2P и TOR — во внешнюю сеть. Вот скрипт для фаервола iptables (отредактируйте от рута /etc/iptables.up.rules):
Код:
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT DROP [0:0]
-A OUTPUT -d 127.0.0.1/32 -j ACCEPT
-A OUTPUT -m owner --uid-owner debian-tor -j ACCEPT
-A OUTPUT -m owner --uid-owner i2psvc -j ACCEPT
COMMIT
Откроем файл настройки сети:
Код:
# vim /etc/network/interfaces
Допишем команду загрузки правил:
Код:
pre-up iptables-restore < /etc/iptables.up.rules
У меня выглядит так:
Код:
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet dhcp
pre-up iptables-restore < /etc/iptables.up.rules
Вообще правила прописываются при поднятии лупбэка, но разницы нет, поскольку эти правила едины для всех интерфейсов.
Загрузим правила в iptables. Можно перезапустить сеть, но мы сделаем так:
Код:
# iptables-restore < /etc/iptables.up.rules
Готово! Крепость построена, ров вырыт, лучники на стенах выставлены. Но мы ещё не раздали пропуска её жителям! Исправим.
Для доступа во внешний интернет лучше применять TOR, HTTP-интерфейс которого у нас на 8118 порту.
Код:
$ vim ~/.bashrc
Допишем в конец файла строчку:
Код:
export http_proxy="http://127.0.0.1:8118/"
Потом перезапустим переменную окружения:
Код:
$ . ~/.bashrc
Тперь надо настроить менеджер пакетов (пользователи не Debian-based дистрибутивов могут этот шаг пропустить):
Код:
# vim /etc/apt/apt.conf.d/proxy
Там должно быть:
Код:
Acquire::http::Proxy "http://127.0.0.1:8118/";
Незабудьте точку с запятой в конце!!!
Сохраняем, закрываем.

Прописываем наш прокси-сервер в браузере. Готово.

Но хочу предупредить, что даже такая схема не гарантирует 100% анонимности и безнаказанности. Поэтому используйте свою голову, прежде чем что-либо делать в Интернете.

---

Вообще в данной схеме хорошо бы поднять ttdnsd + pdnsd, т.е. принудительное проксирование днс запросов и проброс их в TOR. Со стороны приложений это будет выглядеть как обычный DNS сервер, а при множественных DNS запросах, непосредственно сам запрос будет только раз для домена, потом моментом будет вылетать из кэша. Схема такая: UDP dns -> proxy -> TCP dns запрос -> TOR.

Либо как вариант с тоннелированием всего трафика через тор используя redsocks + tor + ttdnsd + pdnsd



Но мне лень.
globalnode вне форума   Ответить с цитированием
2 пользователя(ей) сказали cпасибо:
Goblin_13 (09.06.2017), Артемиус (10.11.2013)
Это может быть интересно
Старый 10.11.2013, 17:06
  post #2
Mih@il
Выживальщик
 
Аватар для Mih@il
 
Регистрация: 11.04.2011
Адрес: Санкт-Петербург
Сообщений: 3,613
Сказал(а) спасибо: 3,864
Поблагодарили 6,016 раз(а) в 2,207 сообщениях
По умолчанию

а есть смысл так напрягаться, что бы закончить цепочку продуктом так скомпроментировавшей себя (в свете недавних разоблачений о глобальной слежке) корпорацией гугл ?

и меня так же мучает вопрос - Вы уверены что сервисы "Тор" никому не подконтрольны (имею в виду иностранные спецслужбы) ? а так мы сами к ним по колпак залезем

""Я всегда думал что демократия - это власть народа, но вот товарищ Рузвельт мне доходчиво объяснил, что демократия - это власть американского народа. "
ИВ Сталин
Mih@il вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
СЕРЖ66 (09.06.2017)
Старый 10.11.2013, 17:09
  post #3
sds-nick
Выживальщик
 
Регистрация: 09.11.2010
Адрес: Прокопьевск
Сообщений: 247
Сказал(а) спасибо: 118
Поблагодарили 158 раз(а) в 105 сообщениях
По умолчанию

1. теперь тоже самое для винды 7
2. скан справки из отдела кадров увд (фсб) что вы там не работаете, (уж параноить так до конца)
3. вируальная машина которая обнуляется после каждого сеанса
sds-nick вне форума   Ответить с цитированием
Старый 10.11.2013, 17:30
  post #4
globalnode
Выживальщик
 
Аватар для globalnode
 
Регистрация: 10.11.2013
Адрес: Серпухов
Сообщений: 121
Сказал(а) спасибо: 12
Поблагодарили 85 раз(а) в 47 сообщениях
По умолчанию

Цитата:
Сообщение от Mih@il Посмотреть сообщение
а есть смысл так напрягаться, что бы закончить цепочку продуктом так скомпроментировавшей себя (в свете недавних разоблачений о глобальной слежке) корпорацией гугл ?
Гугл в схеме исключительно как пример. Тут может быть что угодно, начиная от целевого сервера ФСБ и заканчивая компьютером коллеги из соседнего офиса.

Цитата:
Сообщение от Mih@il Посмотреть сообщение
и меня так же мучает вопрос - Вы уверены что сервисы "Тор" никому не подконтрольны (имею в виду иностранные спецслужбы) ? а так мы сами к ним по колпак залезем
Не уверен. Поэтому и написал что 100% анонимности быть не может никогда. Но я уверен в нескольких серверах, бэкдоры в которых лично сам оставил в некоторых местах по всей России и ближнем зарубежье (ибо уволили, а нынешние админы раздолбаи, не увидят незначительное увеличесние трафика; PROFIТ!)

Цитата:
Сообщение от sds-nick Посмотреть сообщение
1. теперь тоже самое для винды 7
2. скан справки из отдела кадров увд (фсб) что вы там не работаете, (уж параноить так до конца)
3. вируальная машина которая обнуляется после каждого сеанса
1. Virtualbox, надеюсь дальше поймете.
2. Работаю я в совершенно противоположной сфере деятельности, я физик-атомщик.
3. Либо вирталка с зашифрованным диском по алгоритму AES (от 256-бит и выше), для венды можно использовать TrueCrypt.

Последний раз редактировалось globalnode; 10.11.2013 в 17:33.. Причина: ответ, чтобы не мультиипостить
globalnode вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
Mih@il (10.11.2013)
Старый 10.11.2013, 17:47
  post #5
Mih@il
Выживальщик
 
Аватар для Mih@il
 
Регистрация: 11.04.2011
Адрес: Санкт-Петербург
Сообщений: 3,613
Сказал(а) спасибо: 3,864
Поблагодарили 6,016 раз(а) в 2,207 сообщениях
По умолчанию

Цитата:
Сообщение от globalnode Посмотреть сообщение
3. Либо вирталка с зашифрованным диском по алгоритму AES (от 256-бит и выше), для венды можно использовать TrueCrypt.
Вполне приемлемое решение для отдельных домашних ПК, сам пользуюсь чисто виртуалкой для серфинга в сети, так как скрывать на домашнем ПК нечего, то диск не шифрую, жене на рабочий ноут поставлен еще и TrueCrypt на весь системный диск, если ПК "уйдет", то хрен с него чего выковырнут и трояны с виртуалки в основную машину при всем желании не залезут.

Для офисов могу рекомендовать похожее решение - на всех компах инета нет в природе, им пользуются как опубликованным терминальным приложением. В итоге исключается умышленная или случайная утечка инфы из корпоративной сети и отсутствие внешней угрозы.

Но в наше время все пофигисты и под правами админа по жизни сидят на своих личных компах, где уж тут так заморачиваться ))), так что народ даже читать это не будет.

""Я всегда думал что демократия - это власть народа, но вот товарищ Рузвельт мне доходчиво объяснил, что демократия - это власть американского народа. "
ИВ Сталин
Mih@il вне форума   Ответить с цитированием
Старый 10.11.2013, 18:11
  post #6
globalnode
Выживальщик
 
Аватар для globalnode
 
Регистрация: 10.11.2013
Адрес: Серпухов
Сообщений: 121
Сказал(а) спасибо: 12
Поблагодарили 85 раз(а) в 47 сообщениях
По умолчанию

Цитата:
Сообщение от Mih@il Посмотреть сообщение
Но в наше время все пофигисты и под правами админа по жизни сидят на своих личных компах, где уж тут так заморачиваться ))), так что народ даже читать это не будет.
Низачто. От админа сижу только для конфигурирования системы и установки софта.


А те которые "под правами админа по жизни сидят на своих личных компах", сами себе злобные буратины.
globalnode вне форума   Ответить с цитированием
Старый 08.06.2017, 22:32
  post #7
ginn
Новичок
 
Регистрация: 07.06.2017
Адрес: Питер
Сообщений: 4
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию

Большой брат следит за тобой... А серьезно, частной жизни уже неосталось
ginn вне форума   Ответить с цитированием
Старый 08.06.2017, 22:44
  post #8
LV426
Banned

За спам, оскорбления, мат или просто неадекватные сообщения на форуме
 
Регистрация: 09.08.2011
Адрес: LV426
Сообщений: 19,744
Сказал(а) спасибо: 4,887
Поблагодарили 19,731 раз(а) в 9,463 сообщениях
По умолчанию

Цитата:
Сообщение от ginn Посмотреть сообщение
А серьезно, частной жизни уже неосталось
Навалом

LV426 вне форума   Ответить с цитированием
Старый 10.06.2017, 16:52
  post #9
username
Выживальщик
 
Аватар для username
 
Регистрация: 23.02.2014
Адрес: 42
Сообщений: 541
Сказал(а) спасибо: 1,590
Поблагодарили 340 раз(а) в 217 сообщениях
По умолчанию

навалом )
Изображения
Тип файла: jpg uomo.jpg (42.0 Кб, 13 просмотров)

Если между свободой и безопасностью народ выбирает безопасность, в конечном итоге он теряет и то и другое. Б. Франклин.
username вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
Tyler Durden (10.06.2017)
Старый 13.06.2017, 06:09
Городской партизан
Выживальщик
 
Аватар для Городской партизан
 
Регистрация: 17.03.2016
Адрес: Омск
Сообщений: 1,487
Сказал(а) спасибо: 574
Поблагодарили 1,026 раз(а) в 610 сообщениях
По умолчанию

Честно говоря, я не совсем понимаю маньяков компьютерной "безопасности" От кого прячемся и зачем? Вы что, американский шпион? Если вы не ведете никакой преступной и антигосударственной деятельности, вы нахрен не нужны никаким спецслужбам, а выживание у нас в стране вроде как не запрещено

К сожалению, большинство интересует вопрос - А носите ли вы в дневное время на голове кастрюлю? (с) Сообщение от MiksTool
Городской партизан вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
АсПирин (13.06.2017)
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Мой дом - моя крепость Panich Терроризм и криминал 141 25.04.2016 15:24


Текущее время: 04:00. Часовой пояс GMT +3.