apt-get update && apt-get install tor && apt-get upgrade && apt-get dist-upgrade

1. apt-get update && apt-get install tor && apt-get upgrade && apt-get dist-upgrade
2.  
3. APOMENA: Konfiguracije su testirane samo na Linux Desktop, za Linux sa vlastitim serverom nije jos uvek preporuceno!!!
4.  
5. Od pre par godina citajuci razna podesavanja, konfiguracije na internetu i sajtovima o Linux Security
6. uvek sam po malo bio ne siguran za svoju privatnost. Razne konfiguracije mi nekako nikada nisu bile sasvim dovoljne sve dok nisam naucio podesavanja u "iptables"+"ufw". Zatim u browser zastiti "HttpEverywhere"+"NoScript" i naravno WebRTC detekcija koju iskljucujemo pomocu "about:config" i upisemo "media.peerconnection.enable" to kliknemo da bi postalo false.
7.  
8. Da bi podesili "Linux high isolated security" potrebno je bez interneta zapoceti.
9.  
10. 1. Otvaramo GUI zastitni zid odnosno "GUFW", njega cemo podesiti da outgoing i incoming budu Deny, zatim cemu u njemu ukljuciti sledece portove za Allow a to su:
11.  
12. Kod: Označi sve
13.      CUPS,DNS,MultiDNS,HTTP,HTTPS,Web server(HTTP,HTTPS)
14.  
15.  
16. GUFW slika
17. slika
18. 2. Otvaramo Terminal prebacujemo se na "sudo su" ili "sudo -i", zatim cemo prepisati
19. odnosno kopirati ufw rules in console od GUFW GUI sledecim komandama:
20.  
21. TCP
22.  
23. Kod: Označi sve
24.       ufw deny 1:52/tcp && ufw deny 54:79/tcp && ufw deny 82:630/tcp && ufw deny 632:5352/tcp && ufw deny 5354:8079/tcp && ufw deny 8082:65535/tcp  
25.  
26.  
27.  
28. UDP
29.  
30. Kod: Označi sve
31.       ufw deny 1:52/udp && ufw deny 54:79/udp && ufw deny 82:630/udp && ufw deny 632:5352/udp && ufw deny 5354:8079/udp && ufw deny 8082:65535/udp  
32.  
33.  
34.  
35. -Zatim uradite komandu
36.  
37. Kod: Označi sve
38.      ufw reload
39.  
40.  
41.  
42. Ukratko objasnjenje zasto se dupliraju blokade ako je u "GUFW" grafickom dizajnu vec podesen firewall?
43. Pokusajte port DNS ili drugi naziv iz Allow opcije da izbriste pomocu terminal$~ufw dobijate obavestenje
44. da se te aplikacije ne nalaze u konsoli ufw vec u grafickom dizajnu GUFW zastitnom zidu, pa smo uradili dupliranje blokade i uz terminal za "ufw konsolu" u koju cete naravno opaziti da ne postoji blokada za portove:
45.  
46. Kod: Označi sve
47.      53,80,443,631,5353,8080
48.  
49.  
50.  
51. 3. Zatvarate "GUFW" i terminal u kom ste podesili ufw portove. Pre pokretanja interneta iskljucite backport repository i vrsite dopunu za linux komandom u novi otvoreni terminal:
52.  
53. Kod: Označi sve
54.      sudo apt-get update && sudo apt-get upgrade -y && sudo apt-get dist-upgrade
55.  
56.  
57.  
58. Kad se zavrsio updejt sve tri komande restartovacete linux komandom " sudo reboot -f "
59. I ponoviti jos jednom postupak broja 3. kako bi se uverili da ne postoji jos jedan nedostatak za updejtovanje.
60.  
61. 4. Otvaramo novi terminal i ovog puta cemo instalirati mali dodatak za " iptables " koji ce kasnije omoguciti
62. iptabeli da ima svoj bekap ukoliko dodje do brisanja zastitnog zida koji se cesto sam brise restartovanjem kompjutera.
63.  
64. Kod: Označi sve
65.      sudo apt-get install iptables-persistent
66.  
67.  
68.  
69. 5. Skinucemo iptables konfigurisanu skriptu sa lokacije Pastebin.
70. http://pastebin.com/raw/RxSEUk30
71. Otvoricete skriptu i pronaci "enp0s20" zatim "desktop"
72. - enp0s20 je ime moje network card, vi cete upisati vasu
73. -desktop je /etc/hostaname za moj linux, vi cete upisati vas hostaname
74.  
75. Zatim cemo skripti dati naziv recimo da se zove "fire" i jos jedno bitnije je prepisacemo joj admin prava
76. otvaranjem terminala do lokacije skinute skripte na primer, ukoliko je skripta u Downloads mi cemo izvrsiti.
77.  
78. Kod: Označi sve
79.      cd Downloads
80.  
81.  
82. Kod: Označi sve
83.      chmod +x ./fire
84.  
85.  
86. -Zatim pokrenuti fire
87.  
88. Kod: Označi sve
89.      ./fire
90.  
91.  
92.  
93. (U slucaju!!!)
94. Ukoliko se desi da se pojave neke greske u skripti mada je to retkost, uz pomoc tekst editora cemo kopirati
95. sve tekstove iz skripte, na primer "select all" i desnim klikom misa "copy" zatim se vracamo u terminal i
96. na crnom ekranu terminala ponovo desni klik i zatim "paste".
97.  
98. Kad smo izvrsili iptables konfiguraciju pokrenucemo komandu "save" kako se nebi konfiguracije tabele
99. izgubile posle restartovanja komandom:
100.  
101. Kod: Označi sve
102.      sudo netfilter-persistent save
103.  
104.  
105.  
106. -Ukoliko dodje do slucajnog brisanja iptables konfiguracije, vasim cackanjem pokrenucete komandu za bekapovanje.
107.  
108. Kod: Označi sve
109.      sudo netfilter-persistent reload
110.  
111.  
112.  
113. 6. Sledeca stvar je instaliranje dve bitne aplikacije "Bleachbit- cistac za linux" i
114. "macchanger - automatska promena macadrese ukoliko koristite broadcast internet":
115.  
116. Kod: Označi sve
117.      sudo apt-get install bleachbit macchanger macchanger-gtk
118.  
119.  
120. macchanger-gtk ce vas pitati dal da sam automatski promeni adresu, vi birate 'Yes' zatim 'Enter'.
121.  
122. 7. New kernel je takodje bitan za sigurnost Linux u ovom slucaju cemo instalirati verziju 4.6.4 za 32-bit ili 64-bit Terminal kroz root ukucati:
123.  
124. Kod: Označi sve
125.      cd /tmp
126.  
127.  
128. -za 32-bit
129.  
130. Kod: Označi sve
131.      wget \
132.     kernel.ubuntu.com/~kernel-ppa/mainline/v4.6.4/linux-headers-4.6.4-040604_4.6.4-040604.201607111332_all.deb
133.     \
134.     kernel.ubuntu.com/~kernel-ppa/mainline/v4.6.4/linux-headers-4.6.4-040604-generic_4.6.4-040604.201607111332_i386.deb \
135.     kernel.ubuntu.com/~kernel-ppa/mainline/v4.6.4/linux-image-4.6.4-040604-generic_4.6.4-040604.201607111332_i386.deb
136.  
137.  
138. Da bi uspesno izolirali linux od svih mogucih pretnji koje dolaze sa interneta mi cemo uz pomoc
139. "Firejail" i "Firetools" deb aplikacije izvrsiti sledece komande. Ali najpre ih skinuti sa sajta
140. u kom cete imati takodje mnogo objasnjenja. https://firejail.wordpress.com/ Otvoricemo terminal podesiti lokaciju do skinutih aplikacija firejail i firetools za instalaciju komandom:
141.  
142. Kod: Označi sve
143.      sudo dpkg -i *.deb; sudo apt-get install -f
144.  
145.  
146. firetools slika
147. slika
148. Da bi podesili "high security izolaciju" za firefox otvorite firetools i na firefox skrolujte na edit i upisite:
149.  
150. Kod: Označi sve
151.      firejail --seccomp  --dns=8.8.8.8 --dns=8.8.4.4 firefox -no-remote
152.  
153.  
154. slika 1
155. slika
156. slika 2
157. slika
158. Za Chromium browser takodje:
159.  
160. Kod: Označi sve
161.      firejail --seccomp  --dns=8.8.8.8 --dns=8.8.4.4 Chromium -no-remote
162.  
163.  
164.  
165. Da bi se zastitili od WebRTC. Otvorite firefox ukoliko koristite i upisite "about:config" zatim u adres baru ukucate: "media.peerconnection.enable" i klik kako bi to postalo false naredba iskljucuje WebRTC detekciju. Zatim instalirate addon "HttpEverywhere" i "NoScript" i "PinPatrol" ali zapamtite moze doci do usporavanja
166. vaseg browser-a, zato birate sami koliko addon-a instalirate po mom misljenju najbolje samo dva.
167.  
168. -BITNA NAPOMENA-
169. Sledeca komanda se radi shell cackanjem, i nije preporucena za totalne pocetnike koji nemaju zivaca
170. za refix greske.
171. Ukoliko ste spremni za potpunu izolaciju vaseg Linux desktopa mozete izolirati komandom:
172.  
173. Kod: Označi sve
174.      usermod --shell /usr/bin/firejail vasusername
175.  
176.  
177. slika pre linux izolacije
178. slika
179. slika posle linux izolacije
180. slika
181. -usermod ce izolirati sve moguce komande kroz bash, shell, telnet, sudo i root komande kao i lozinku pa i kradju fajlova poput citanja shadow fajla i ostalo, ukoliko vam je kojim slucajem backdoor u vas linux i on bice izolovan i haker nece imati nikakvog pristupa fajlovima kao ni vasem kucanju sa tastature.
182. slika vise informativnih komandi izolacije
183. slika
184.  
185. -Rekonfiguracija zajednickog memorijiskog prostora ( shared memory )
186. Prema zadatim postavkama, zajednicki memorijski prostor (/run/shm) je montiran za citanje/pisanje, uz mogucnost da se izvrsi program. To je navedeno u sigurnosnoj zajednici kao ranjivost, s mnogim podvizima dostupnih na kojima se koristi "/run/shm" napadajuci pokrenute usluge. Za vecinu desktop i server konfiguracija, to je pozeljno da bude to kao read-only dodavanje sledecoj linije na datoteke "/etc/fstab."
187.  
188. Kod: Označi sve
189.      gedit /etc/fstab
190.  
191.  
192. -zatim upisite na dnu
193.  
194. Kod: Označi sve
195.      none /run/shm tmpfs defaults,ro 0 0
196.  
197.  
198.  
199. Medjutim, postoje programi koji nece raditi ako je montiran "/run/shm" za citanje kao sto je google chrome. Ako koristite chrome za browser "/run/shm" treba da se montira za citanje/pisanje i trebalo bi dodati sledecu liniju umesto gornje:
200.  
201. Kod: Označi sve
202.      none /run/shm tmpfs rw,noexec,nosuid,nodev 0 0
203.  
204.  
205.  
206. Vratimo se firefox podesavanju i objasnjenju kao i vecini ostalih podesavanja koja su priznata
207.  
208. slika
209. slika
210.  
211.  
212.  
213.  
214.  
215. https://vikingvpn.com/cybersecurity-wiki/browser-security/guide-hardening-mozilla-firefox-for-privacy-and-security
216.  
217.  
218.  
219.  
220.  
221.  
222. [img]http://img2.uploadhouse.com/fileuploads/22695/22695812f6e9400326119305820ddd19c1ebceee.jpg[/img]
223. [img]http://img1.uploadhouse.com/fileuploads/22695/22695811e475ed4e517e467118143f1f6a575f64.jpg[/img]
224. [img]http://img0.uploadhouse.com/fileuploads/22695/22695810928654680a2263a03432a0c5f7b06db1.jpg[/img]
225. [img]http://img9.uploadhouse.com/fileuploads/22695/22695809d7394a105de1f13d7ee274ba6b0217f1.jpg[/img]
226. [img]http://img4.uploadhouse.com/fileuploads/22695/22695814cf641e78f971d0e8f38078a80f4859cb.jpg[/img]
227. [img]http://img3.uploadhouse.com/fileuploads/22695/22695813bcbbf2a1b722fafb951685dab365e877.jpg[/img]