SHARE
TWEET

Untitled

a guest Jul 31st, 2016 158 Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
  1. apt-get update && apt-get install tor && apt-get upgrade && apt-get dist-upgrade
  2.  
  3. APOMENA: Konfiguracije su testirane samo na Linux Desktop, za Linux sa vlastitim serverom nije jos uvek preporuceno!!!
  4.  
  5. Od pre par godina citajuci razna podesavanja, konfiguracije na internetu i sajtovima o Linux Security
  6. uvek sam po malo bio ne siguran za svoju privatnost. Razne konfiguracije mi nekako nikada nisu bile sasvim dovoljne sve dok nisam naucio podesavanja u "iptables"+"ufw". Zatim u browser zastiti "HttpEverywhere"+"NoScript" i naravno WebRTC detekcija koju iskljucujemo pomocu "about:config" i upisemo "media.peerconnection.enable" to kliknemo da bi postalo false.
  7.  
  8. Da bi podesili "Linux high isolated security" potrebno je bez interneta zapoceti.
  9.  
  10. 1. Otvaramo GUI zastitni zid odnosno "GUFW", njega cemo podesiti da outgoing i incoming budu Deny, zatim cemu u njemu ukljuciti sledece portove za Allow a to su:
  11.  
  12. Kod: Označi sve
  13.      CUPS,DNS,MultiDNS,HTTP,HTTPS,Web server(HTTP,HTTPS)
  14.  
  15.  
  16. GUFW slika
  17. slika
  18. 2. Otvaramo Terminal prebacujemo se na "sudo su" ili "sudo -i", zatim cemo prepisati
  19. odnosno kopirati ufw rules in console od GUFW GUI sledecim komandama:
  20.  
  21. TCP
  22.  
  23. Kod: Označi sve
  24.       ufw deny 1:52/tcp && ufw deny 54:79/tcp && ufw deny 82:630/tcp && ufw deny 632:5352/tcp && ufw deny 5354:8079/tcp && ufw deny 8082:65535/tcp  
  25.  
  26.  
  27.  
  28. UDP
  29.  
  30. Kod: Označi sve
  31.       ufw deny 1:52/udp && ufw deny 54:79/udp && ufw deny 82:630/udp && ufw deny 632:5352/udp && ufw deny 5354:8079/udp && ufw deny 8082:65535/udp  
  32.  
  33.  
  34.  
  35. -Zatim uradite komandu
  36.  
  37. Kod: Označi sve
  38.      ufw reload
  39.  
  40.  
  41.  
  42. Ukratko objasnjenje zasto se dupliraju blokade ako je u "GUFW" grafickom dizajnu vec podesen firewall?
  43. Pokusajte port DNS ili drugi naziv iz Allow opcije da izbriste pomocu terminal$~ufw dobijate obavestenje
  44. da se te aplikacije ne nalaze u konsoli ufw vec u grafickom dizajnu GUFW zastitnom zidu, pa smo uradili dupliranje blokade i uz terminal za "ufw konsolu" u koju cete naravno opaziti da ne postoji blokada za portove:
  45.  
  46. Kod: Označi sve
  47.      53,80,443,631,5353,8080
  48.  
  49.  
  50.  
  51. 3. Zatvarate "GUFW" i terminal u kom ste podesili ufw portove. Pre pokretanja interneta iskljucite backport repository i vrsite dopunu za linux komandom u novi otvoreni terminal:
  52.  
  53. Kod: Označi sve
  54.      sudo apt-get update && sudo apt-get upgrade -y && sudo apt-get dist-upgrade
  55.  
  56.  
  57.  
  58. Kad se zavrsio updejt sve tri komande restartovacete linux komandom " sudo reboot -f "
  59. I ponoviti jos jednom postupak broja 3. kako bi se uverili da ne postoji jos jedan nedostatak za updejtovanje.
  60.  
  61. 4. Otvaramo novi terminal i ovog puta cemo instalirati mali dodatak za " iptables " koji ce kasnije omoguciti
  62. iptabeli da ima svoj bekap ukoliko dodje do brisanja zastitnog zida koji se cesto sam brise restartovanjem kompjutera.
  63.  
  64. Kod: Označi sve
  65.      sudo apt-get install iptables-persistent
  66.  
  67.  
  68.  
  69. 5. Skinucemo iptables konfigurisanu skriptu sa lokacije Pastebin.
  70. http://pastebin.com/raw/RxSEUk30
  71. Otvoricete skriptu i pronaci "enp0s20" zatim "desktop"
  72. - enp0s20 je ime moje network card, vi cete upisati vasu
  73. -desktop je /etc/hostaname za moj linux, vi cete upisati vas hostaname
  74.  
  75. Zatim cemo skripti dati naziv recimo da se zove "fire" i jos jedno bitnije je prepisacemo joj admin prava
  76. otvaranjem terminala do lokacije skinute skripte na primer, ukoliko je skripta u Downloads mi cemo izvrsiti.
  77.  
  78. Kod: Označi sve
  79.      cd Downloads
  80.  
  81.  
  82. Kod: Označi sve
  83.      chmod +x ./fire
  84.  
  85.  
  86. -Zatim pokrenuti fire
  87.  
  88. Kod: Označi sve
  89.      ./fire
  90.  
  91.  
  92.  
  93. (U slucaju!!!)
  94. Ukoliko se desi da se pojave neke greske u skripti mada je to retkost, uz pomoc tekst editora cemo kopirati
  95. sve tekstove iz skripte, na primer "select all" i desnim klikom misa "copy" zatim se vracamo u terminal i
  96. na crnom ekranu terminala ponovo desni klik i zatim "paste".
  97.  
  98. Kad smo izvrsili iptables konfiguraciju pokrenucemo komandu "save" kako se nebi konfiguracije tabele
  99. izgubile posle restartovanja komandom:
  100.  
  101. Kod: Označi sve
  102.      sudo netfilter-persistent save
  103.  
  104.  
  105.  
  106. -Ukoliko dodje do slucajnog brisanja iptables konfiguracije, vasim cackanjem pokrenucete komandu za bekapovanje.
  107.  
  108. Kod: Označi sve
  109.      sudo netfilter-persistent reload
  110.  
  111.  
  112.  
  113. 6. Sledeca stvar je instaliranje dve bitne aplikacije "Bleachbit- cistac za linux" i
  114. "macchanger - automatska promena macadrese ukoliko koristite broadcast internet":
  115.  
  116. Kod: Označi sve
  117.      sudo apt-get install bleachbit macchanger macchanger-gtk
  118.  
  119.  
  120. macchanger-gtk ce vas pitati dal da sam automatski promeni adresu, vi birate 'Yes' zatim 'Enter'.
  121.  
  122. 7. New kernel je takodje bitan za sigurnost Linux u ovom slucaju cemo instalirati verziju 4.6.4 za 32-bit ili 64-bit Terminal kroz root ukucati:
  123.  
  124. Kod: Označi sve
  125.      cd /tmp
  126.  
  127.  
  128. -za 32-bit
  129.  
  130. Kod: Označi sve
  131.      wget \
  132.     kernel.ubuntu.com/~kernel-ppa/mainline/v4.6.4/linux-headers-4.6.4-040604_4.6.4-040604.201607111332_all.deb
  133.     \
  134.     kernel.ubuntu.com/~kernel-ppa/mainline/v4.6.4/linux-headers-4.6.4-040604-generic_4.6.4-040604.201607111332_i386.deb \
  135.     kernel.ubuntu.com/~kernel-ppa/mainline/v4.6.4/linux-image-4.6.4-040604-generic_4.6.4-040604.201607111332_i386.deb
  136.  
  137.  
  138. Da bi uspesno izolirali linux od svih mogucih pretnji koje dolaze sa interneta mi cemo uz pomoc
  139. "Firejail" i "Firetools" deb aplikacije izvrsiti sledece komande. Ali najpre ih skinuti sa sajta
  140. u kom cete imati takodje mnogo objasnjenja. https://firejail.wordpress.com/ Otvoricemo terminal podesiti lokaciju do skinutih aplikacija firejail i firetools za instalaciju komandom:
  141.  
  142. Kod: Označi sve
  143.      sudo dpkg -i *.deb; sudo apt-get install -f
  144.  
  145.  
  146. firetools slika
  147. slika
  148. Da bi podesili "high security izolaciju" za firefox otvorite firetools i na firefox skrolujte na edit i upisite:
  149.  
  150. Kod: Označi sve
  151.      firejail --seccomp  --dns=8.8.8.8 --dns=8.8.4.4 firefox -no-remote
  152.  
  153.  
  154. slika 1
  155. slika
  156. slika 2
  157. slika
  158. Za Chromium browser takodje:
  159.  
  160. Kod: Označi sve
  161.      firejail --seccomp  --dns=8.8.8.8 --dns=8.8.4.4 Chromium -no-remote
  162.  
  163.  
  164.  
  165. Da bi se zastitili od WebRTC. Otvorite firefox ukoliko koristite i upisite "about:config" zatim u adres baru ukucate: "media.peerconnection.enable" i klik kako bi to postalo false naredba iskljucuje WebRTC detekciju. Zatim instalirate addon "HttpEverywhere" i "NoScript" i "PinPatrol" ali zapamtite moze doci do usporavanja
  166. vaseg browser-a, zato birate sami koliko addon-a instalirate po mom misljenju najbolje samo dva.
  167.  
  168. -BITNA NAPOMENA-
  169. Sledeca komanda se radi shell cackanjem, i nije preporucena za totalne pocetnike koji nemaju zivaca
  170. za refix greske.
  171. Ukoliko ste spremni za potpunu izolaciju vaseg Linux desktopa mozete izolirati komandom:
  172.  
  173. Kod: Označi sve
  174.      usermod --shell /usr/bin/firejail vasusername
  175.  
  176.  
  177. slika pre linux izolacije
  178. slika
  179. slika posle linux izolacije
  180. slika
  181. -usermod ce izolirati sve moguce komande kroz bash, shell, telnet, sudo i root komande kao i lozinku pa i kradju fajlova poput citanja shadow fajla i ostalo, ukoliko vam je kojim slucajem backdoor u vas linux i on bice izolovan i haker nece imati nikakvog pristupa fajlovima kao ni vasem kucanju sa tastature.
  182. slika vise informativnih komandi izolacije
  183. slika
  184.  
  185. -Rekonfiguracija zajednickog memorijiskog prostora ( shared memory )
  186. Prema zadatim postavkama, zajednicki memorijski prostor (/run/shm) je montiran za citanje/pisanje, uz mogucnost da se izvrsi program. To je navedeno u sigurnosnoj zajednici kao ranjivost, s mnogim podvizima dostupnih na kojima se koristi "/run/shm" napadajuci pokrenute usluge. Za vecinu desktop i server konfiguracija, to je pozeljno da bude to kao read-only dodavanje sledecoj linije na datoteke "/etc/fstab."
  187.  
  188. Kod: Označi sve
  189.      gedit /etc/fstab
  190.  
  191.  
  192. -zatim upisite na dnu
  193.  
  194. Kod: Označi sve
  195.      none /run/shm tmpfs defaults,ro 0 0
  196.  
  197.  
  198.  
  199. Medjutim, postoje programi koji nece raditi ako je montiran "/run/shm" za citanje kao sto je google chrome. Ako koristite chrome za browser "/run/shm" treba da se montira za citanje/pisanje i trebalo bi dodati sledecu liniju umesto gornje:
  200.  
  201. Kod: Označi sve
  202.      none /run/shm tmpfs rw,noexec,nosuid,nodev 0 0
  203.  
  204.  
  205.  
  206. Vratimo se firefox podesavanju i objasnjenju kao i vecini ostalih podesavanja koja su priznata
  207.  
  208. slika
  209. slika
  210.  
  211.  
  212.  
  213.  
  214.  
  215. https://vikingvpn.com/cybersecurity-wiki/browser-security/guide-hardening-mozilla-firefox-for-privacy-and-security
  216.  
  217.  
  218.  
  219.  
  220.  
  221.  
  222. [img]http://img2.uploadhouse.com/fileuploads/22695/22695812f6e9400326119305820ddd19c1ebceee.jpg[/img]
  223. [img]http://img1.uploadhouse.com/fileuploads/22695/22695811e475ed4e517e467118143f1f6a575f64.jpg[/img]
  224. [img]http://img0.uploadhouse.com/fileuploads/22695/22695810928654680a2263a03432a0c5f7b06db1.jpg[/img]
  225. [img]http://img9.uploadhouse.com/fileuploads/22695/22695809d7394a105de1f13d7ee274ba6b0217f1.jpg[/img]
  226. [img]http://img4.uploadhouse.com/fileuploads/22695/22695814cf641e78f971d0e8f38078a80f4859cb.jpg[/img]
  227. [img]http://img3.uploadhouse.com/fileuploads/22695/22695813bcbbf2a1b722fafb951685dab365e877.jpg[/img]
RAW Paste Data
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy. OK, I Understand
Not a member of Pastebin yet?
Sign Up, it unlocks many cool features!
 
Top