Advertisement
Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- apt-get update && apt-get install tor && apt-get upgrade && apt-get dist-upgrade
- APOMENA: Konfiguracije su testirane samo na Linux Desktop, za Linux sa vlastitim serverom nije jos uvek preporuceno!!!
- Od pre par godina citajuci razna podesavanja, konfiguracije na internetu i sajtovima o Linux Security
- uvek sam po malo bio ne siguran za svoju privatnost. Razne konfiguracije mi nekako nikada nisu bile sasvim dovoljne sve dok nisam naucio podesavanja u "iptables"+"ufw". Zatim u browser zastiti "HttpEverywhere"+"NoScript" i naravno WebRTC detekcija koju iskljucujemo pomocu "about:config" i upisemo "media.peerconnection.enable" to kliknemo da bi postalo false.
- Da bi podesili "Linux high isolated security" potrebno je bez interneta zapoceti.
- 1. Otvaramo GUI zastitni zid odnosno "GUFW", njega cemo podesiti da outgoing i incoming budu Deny, zatim cemu u njemu ukljuciti sledece portove za Allow a to su:
- Kod: Označi sve
- CUPS,DNS,MultiDNS,HTTP,HTTPS,Web server(HTTP,HTTPS)
- GUFW slika
- slika
- 2. Otvaramo Terminal prebacujemo se na "sudo su" ili "sudo -i", zatim cemo prepisati
- odnosno kopirati ufw rules in console od GUFW GUI sledecim komandama:
- TCP
- Kod: Označi sve
- ufw deny 1:52/tcp && ufw deny 54:79/tcp && ufw deny 82:630/tcp && ufw deny 632:5352/tcp && ufw deny 5354:8079/tcp && ufw deny 8082:65535/tcp
- UDP
- Kod: Označi sve
- ufw deny 1:52/udp && ufw deny 54:79/udp && ufw deny 82:630/udp && ufw deny 632:5352/udp && ufw deny 5354:8079/udp && ufw deny 8082:65535/udp
- -Zatim uradite komandu
- Kod: Označi sve
- ufw reload
- Ukratko objasnjenje zasto se dupliraju blokade ako je u "GUFW" grafickom dizajnu vec podesen firewall?
- Pokusajte port DNS ili drugi naziv iz Allow opcije da izbriste pomocu terminal$~ufw dobijate obavestenje
- da se te aplikacije ne nalaze u konsoli ufw vec u grafickom dizajnu GUFW zastitnom zidu, pa smo uradili dupliranje blokade i uz terminal za "ufw konsolu" u koju cete naravno opaziti da ne postoji blokada za portove:
- Kod: Označi sve
- 53,80,443,631,5353,8080
- 3. Zatvarate "GUFW" i terminal u kom ste podesili ufw portove. Pre pokretanja interneta iskljucite backport repository i vrsite dopunu za linux komandom u novi otvoreni terminal:
- Kod: Označi sve
- sudo apt-get update && sudo apt-get upgrade -y && sudo apt-get dist-upgrade
- Kad se zavrsio updejt sve tri komande restartovacete linux komandom " sudo reboot -f "
- I ponoviti jos jednom postupak broja 3. kako bi se uverili da ne postoji jos jedan nedostatak za updejtovanje.
- 4. Otvaramo novi terminal i ovog puta cemo instalirati mali dodatak za " iptables " koji ce kasnije omoguciti
- iptabeli da ima svoj bekap ukoliko dodje do brisanja zastitnog zida koji se cesto sam brise restartovanjem kompjutera.
- Kod: Označi sve
- sudo apt-get install iptables-persistent
- 5. Skinucemo iptables konfigurisanu skriptu sa lokacije Pastebin.
- http://pastebin.com/raw/RxSEUk30
- Otvoricete skriptu i pronaci "enp0s20" zatim "desktop"
- - enp0s20 je ime moje network card, vi cete upisati vasu
- -desktop je /etc/hostaname za moj linux, vi cete upisati vas hostaname
- Zatim cemo skripti dati naziv recimo da se zove "fire" i jos jedno bitnije je prepisacemo joj admin prava
- otvaranjem terminala do lokacije skinute skripte na primer, ukoliko je skripta u Downloads mi cemo izvrsiti.
- Kod: Označi sve
- cd Downloads
- Kod: Označi sve
- chmod +x ./fire
- -Zatim pokrenuti fire
- Kod: Označi sve
- ./fire
- (U slucaju!!!)
- Ukoliko se desi da se pojave neke greske u skripti mada je to retkost, uz pomoc tekst editora cemo kopirati
- sve tekstove iz skripte, na primer "select all" i desnim klikom misa "copy" zatim se vracamo u terminal i
- na crnom ekranu terminala ponovo desni klik i zatim "paste".
- Kad smo izvrsili iptables konfiguraciju pokrenucemo komandu "save" kako se nebi konfiguracije tabele
- izgubile posle restartovanja komandom:
- Kod: Označi sve
- sudo netfilter-persistent save
- -Ukoliko dodje do slucajnog brisanja iptables konfiguracije, vasim cackanjem pokrenucete komandu za bekapovanje.
- Kod: Označi sve
- sudo netfilter-persistent reload
- 6. Sledeca stvar je instaliranje dve bitne aplikacije "Bleachbit- cistac za linux" i
- "macchanger - automatska promena macadrese ukoliko koristite broadcast internet":
- Kod: Označi sve
- sudo apt-get install bleachbit macchanger macchanger-gtk
- macchanger-gtk ce vas pitati dal da sam automatski promeni adresu, vi birate 'Yes' zatim 'Enter'.
- 7. New kernel je takodje bitan za sigurnost Linux u ovom slucaju cemo instalirati verziju 4.6.4 za 32-bit ili 64-bit Terminal kroz root ukucati:
- Kod: Označi sve
- cd /tmp
- -za 32-bit
- Kod: Označi sve
- wget \
- kernel.ubuntu.com/~kernel-ppa/mainline/v4.6.4/linux-headers-4.6.4-040604_4.6.4-040604.201607111332_all.deb
- \
- kernel.ubuntu.com/~kernel-ppa/mainline/v4.6.4/linux-headers-4.6.4-040604-generic_4.6.4-040604.201607111332_i386.deb \
- kernel.ubuntu.com/~kernel-ppa/mainline/v4.6.4/linux-image-4.6.4-040604-generic_4.6.4-040604.201607111332_i386.deb
- Da bi uspesno izolirali linux od svih mogucih pretnji koje dolaze sa interneta mi cemo uz pomoc
- "Firejail" i "Firetools" deb aplikacije izvrsiti sledece komande. Ali najpre ih skinuti sa sajta
- u kom cete imati takodje mnogo objasnjenja. https://firejail.wordpress.com/ Otvoricemo terminal podesiti lokaciju do skinutih aplikacija firejail i firetools za instalaciju komandom:
- Kod: Označi sve
- sudo dpkg -i *.deb; sudo apt-get install -f
- firetools slika
- slika
- Da bi podesili "high security izolaciju" za firefox otvorite firetools i na firefox skrolujte na edit i upisite:
- Kod: Označi sve
- firejail --seccomp --dns=8.8.8.8 --dns=8.8.4.4 firefox -no-remote
- slika 1
- slika
- slika 2
- slika
- Za Chromium browser takodje:
- Kod: Označi sve
- firejail --seccomp --dns=8.8.8.8 --dns=8.8.4.4 Chromium -no-remote
- Da bi se zastitili od WebRTC. Otvorite firefox ukoliko koristite i upisite "about:config" zatim u adres baru ukucate: "media.peerconnection.enable" i klik kako bi to postalo false naredba iskljucuje WebRTC detekciju. Zatim instalirate addon "HttpEverywhere" i "NoScript" i "PinPatrol" ali zapamtite moze doci do usporavanja
- vaseg browser-a, zato birate sami koliko addon-a instalirate po mom misljenju najbolje samo dva.
- -BITNA NAPOMENA-
- Sledeca komanda se radi shell cackanjem, i nije preporucena za totalne pocetnike koji nemaju zivaca
- za refix greske.
- Ukoliko ste spremni za potpunu izolaciju vaseg Linux desktopa mozete izolirati komandom:
- Kod: Označi sve
- usermod --shell /usr/bin/firejail vasusername
- slika pre linux izolacije
- slika
- slika posle linux izolacije
- slika
- -usermod ce izolirati sve moguce komande kroz bash, shell, telnet, sudo i root komande kao i lozinku pa i kradju fajlova poput citanja shadow fajla i ostalo, ukoliko vam je kojim slucajem backdoor u vas linux i on bice izolovan i haker nece imati nikakvog pristupa fajlovima kao ni vasem kucanju sa tastature.
- slika vise informativnih komandi izolacije
- slika
- -Rekonfiguracija zajednickog memorijiskog prostora ( shared memory )
- Prema zadatim postavkama, zajednicki memorijski prostor (/run/shm) je montiran za citanje/pisanje, uz mogucnost da se izvrsi program. To je navedeno u sigurnosnoj zajednici kao ranjivost, s mnogim podvizima dostupnih na kojima se koristi "/run/shm" napadajuci pokrenute usluge. Za vecinu desktop i server konfiguracija, to je pozeljno da bude to kao read-only dodavanje sledecoj linije na datoteke "/etc/fstab."
- Kod: Označi sve
- gedit /etc/fstab
- -zatim upisite na dnu
- Kod: Označi sve
- none /run/shm tmpfs defaults,ro 0 0
- Medjutim, postoje programi koji nece raditi ako je montiran "/run/shm" za citanje kao sto je google chrome. Ako koristite chrome za browser "/run/shm" treba da se montira za citanje/pisanje i trebalo bi dodati sledecu liniju umesto gornje:
- Kod: Označi sve
- none /run/shm tmpfs rw,noexec,nosuid,nodev 0 0
- Vratimo se firefox podesavanju i objasnjenju kao i vecini ostalih podesavanja koja su priznata
- slika
- slika
- https://vikingvpn.com/cybersecurity-wiki/browser-security/guide-hardening-mozilla-firefox-for-privacy-and-security
- [img]http://img2.uploadhouse.com/fileuploads/22695/22695812f6e9400326119305820ddd19c1ebceee.jpg[/img]
- [img]http://img1.uploadhouse.com/fileuploads/22695/22695811e475ed4e517e467118143f1f6a575f64.jpg[/img]
- [img]http://img0.uploadhouse.com/fileuploads/22695/22695810928654680a2263a03432a0c5f7b06db1.jpg[/img]
- [img]http://img9.uploadhouse.com/fileuploads/22695/22695809d7394a105de1f13d7ee274ba6b0217f1.jpg[/img]
- [img]http://img4.uploadhouse.com/fileuploads/22695/22695814cf641e78f971d0e8f38078a80f4859cb.jpg[/img]
- [img]http://img3.uploadhouse.com/fileuploads/22695/22695813bcbbf2a1b722fafb951685dab365e877.jpg[/img]
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement