gostr

1. http://www.tecmint.com/things-to-do-after-fedora-24-workstation-installation/
2. # hostnamectl set-hostname “tecmint-how-tos-guide”
3. Od pre par godina citajuci razna podesavanja, konfiguracije na internetu i sajtovima o Linux Security
4. uvek sam po malo bio ne siguran za svoju privatnost. Razne konfiguracije mi nekako nikada nisu bile sasvim dovoljne sve dok nisam naucio podesavanja u "iptables"+"ufw". Zatim u browser zastiti "HttpEverywhere"+"NoScript" i naravno WebRTC detekcija koju iskljucujemo pomocu "about:config" i upisemo "media.peerconnection.enable" to kliknemo da bi postalo false.
5.  
6. Da bi podesili "Linux high isolated security" potrebno je bez interneta zapoceti.
7.  
8. 1. Otvaramo GUI zastitni zid odnosno "GUFW", njega cemo podesiti da outgoing i incoming budu Deny, zatim cemu u njemu ukljuciti sledece portove za Allow a to su:
9.  
10. Kod: Označi sve
11.      CUPS,DNS,MultiDNS,HTTP,HTTPS,Web server(HTTP,HTTPS)
12.  
13.  
14. GUFW slika
15. slika
16. 2. Otvaramo Terminal prebacujemo se na "sudo su" ili "sudo -i", zatim cemo prepisati
17. odnosno kopirati ufw rules in console od GUFW GUI sledecim komandama:
18.  
19. TCP
20.  
21. Kod: Označi sve
22.       ufw deny 1:52/tcp && ufw deny 54:79/tcp && ufw deny 82:630/tcp && ufw deny 632:5352/tcp && ufw deny 5354:8079/tcp && ufw deny 8082:65535/tcp  
23.  
24.  
25.  
26. UDP
27.  
28. Kod: Označi sve
29.       ufw deny 1:52/udp && ufw deny 54:79/udp && ufw deny 82:630/udp && ufw deny 632:5352/udp && ufw deny 5354:8079/udp && ufw deny 8082:65535/udp  
30.  
31.  
32.  
33. -Zatim uradite komandu
34.  
35. Kod: Označi sve
36.      ufw reload
37.  
38.  
39.  
40. Ukratko objasnjenje zasto se dupliraju blokade ako je u "GUFW" grafickom dizajnu vec podesen firewall?
41. Pokusajte port DNS ili drugi naziv iz Allow opcije da izbriste pomocu terminal$~ufw dobijate obavestenje
42. da se te aplikacije ne nalaze u konsoli ufw vec u grafickom dizajnu GUFW zastitnom zidu, pa smo uradili dupliranje blokade i uz terminal za "ufw konsolu" u koju cete naravno opaziti da ne postoji blokada za portove:
43.  
44. Kod: Označi sve
45.      53,80,443,631,5353,8080
46.  
47.  
48.  
49. 3. Zatvarate "GUFW" i terminal u kom ste podesili ufw portove. Pre pokretanja interneta iskljucite backport repository i vrsite dopunu za linux komandom u novi otvoreni terminal:
50.  
51. Kod: Označi sve
52.      sudo apt-get update && sudo apt-get upgrade -y && sudo apt-get dist-upgrade
53.  
54.  
55.  
56. Kad se zavrsio updejt sve tri komande restartovacete linux komandom " sudo reboot -f "
57. I ponoviti jos jednom postupak broja 3. kako bi se uverili da ne postoji jos jedan nedostatak za updejtovanje.
58.  
59. 4. Otvaramo novi terminal i ovog puta cemo instalirati mali dodatak za " iptables " koji ce kasnije omoguciti
60. iptabeli da ima svoj bekap ukoliko dodje do brisanja zastitnog zida koji se cesto sam brise restartovanjem kompjutera.
61.  
62. Kod: Označi sve
63.      sudo apt-get install iptables-persistent
64.  
65.  
66.  
67. 5. Skinucemo iptables konfigurisanu skriptu sa lokacije Pastebin.
68. http://pastebin.com/raw/RxSEUk30
69. Otvoricete skriptu i pronaci "enp0s20" zatim "desktop"
70. - enp0s20 je ime moje network card, vi cete upisati vasu
71. -desktop je /etc/hostaname za moj linux, vi cete upisati vas hostaname
72.  
73. Zatim cemo skripti dati naziv recimo da se zove "fire" i jos jedno bitnije je prepisacemo joj admin prava
74. otvaranjem terminala do lokacije skinute skripte na primer, ukoliko je skripta u Downloads mi cemo izvrsiti.
75.  
76. Kod: Označi sve
77.      cd Downloads
78.  
79.  
80. Kod: Označi sve
81.      chmod +x ./fire
82.  
83.  
84. -Zatim pokrenuti fire
85.  
86. Kod: Označi sve
87.      ./fire
88.  
89.  
90.  
91. (U slucaju!!!)
92. Ukoliko se desi da se pojave neke greske u skripti mada je to retkost, uz pomoc tekst editora cemo kopirati
93. sve tekstove iz skripte, na primer "select all" i desnim klikom misa "copy" zatim se vracamo u terminal i
94. na crnom ekranu terminala ponovo desni klik i zatim "paste".
95.  
96. Kad smo izvrsili iptables konfiguraciju pokrenucemo komandu "save" kako se nebi konfiguracije tabele
97. izgubile posle restartovanja komandom:
98.  
99. Kod: Označi sve
100.      sudo netfilter-persistent save
101.  
102.  
103.  
104. -Ukoliko dodje do slucajnog brisanja iptables konfiguracije, vasim cackanjem pokrenucete komandu za bekapovanje.
105.  
106. Kod: Označi sve
107.      sudo netfilter-persistent reload
108.  
109.  
110.  
111. 6. Sledeca stvar je instaliranje dve bitne aplikacije "Bleachbit- cistac za linux" i
112. "macchanger - automatska promena macadrese ukoliko koristite broadcast internet":
113.  
114. Kod: Označi sve
115.      sudo apt-get install bleachbit macchanger macchanger-gtk
116.  
117.  
118. macchanger-gtk ce vas pitati dal da sam automatski promeni adresu, vi birate 'Yes' zatim 'Enter'.
119.  
120. 7. New kernel je takodje bitan za sigurnost Linux u ovom slucaju cemo instalirati verziju 4.6.4 za 32-bit ili 64-bit Terminal kroz root ukucati:
121.  
122. Kod: Označi sve
123.      cd /tmp
124.  
125.  
126. -za 32-bit
127.  
128. Kod: Označi sve
129.      wget \
130.     kernel.ubuntu.com/~kernel-ppa/mainline/v4.6.4/linux-headers-4.6.4-040604_4.6.4-040604.201607111332_all.deb
131.     \
132.     kernel.ubuntu.com/~kernel-ppa/mainline/v4.6.4/linux-headers-4.6.4-040604-generic_4.6.4-040604.201607111332_i386.deb \
133.     kernel.ubuntu.com/~kernel-ppa/mainline/v4.6.4/linux-image-4.6.4-040604-generic_4.6.4-040604.201607111332_i386.deb
134.  
135.  
136. Da bi uspesno izolirali linux od svih mogucih pretnji koje dolaze sa interneta mi cemo uz pomoc
137. "Firejail" i "Firetools" deb aplikacije izvrsiti sledece komande. Ali najpre ih skinuti sa sajta
138. u kom cete imati takodje mnogo objasnjenja. https://firejail.wordpress.com/ Otvoricemo terminal podesiti lokaciju do skinutih aplikacija firejail i firetools za instalaciju komandom:
139.  
140. Kod: Označi sve
141.      sudo dpkg -i *.deb; sudo apt-get install -f
142.  
143.  
144. firetools slika
145. slika
146. Da bi podesili "high security izolaciju" za firefox otvorite firetools i na firefox skrolujte na edit i upisite:
147.  
148. Kod: Označi sve
149.      firejail --seccomp  --dns=8.8.8.8 --dns=8.8.4.4 firefox -no-remote
150.  
151.  
152. slika 1
153. slika
154. slika 2
155. slika
156. Za Chromium browser takodje:
157.  
158. Kod: Označi sve
159.      firejail --seccomp  --dns=8.8.8.8 --dns=8.8.4.4 Chromium -no-remote
160.  
161.  
162.  
163. Da bi se zastitili od WebRTC. Otvorite firefox ukoliko koristite i upisite "about:config" zatim u adres baru ukucate: "media.peerconnection.enable" i klik kako bi to postalo false naredba iskljucuje WebRTC detekciju. Zatim instalirate addon "HttpEverywhere" i "NoScript" i "PinPatrol" ali zapamtite moze doci do usporavanja
164. vaseg browser-a, zato birate sami koliko addon-a instalirate po mom misljenju najbolje samo dva.
165.  
166. -BITNA NAPOMENA-
167. Sledeca komanda se radi shell cackanjem, i nije preporucena za totalne pocetnike koji nemaju zivaca
168. za refix greske.
169. Ukoliko ste spremni za potpunu izolaciju vaseg Linux desktopa mozete izolirati komandom:
170.  
171. Kod: Označi sve
172.      usermod --shell /usr/bin/firejail vasusername
173.  
174.  
175. slika pre linux izolacije
176. slika
177. slika posle linux izolacije
178. slika
179. -usermod ce izolirati sve moguce komande kroz bash, shell, telnet, sudo i root komande kao i lozinku pa i kradju fajlova poput citanja shadow fajla i ostalo, ukoliko vam je kojim slucajem backdoor u vas linux i on bice izolovan i haker nece imati nikakvog pristupa fajlovima kao ni vasem kucanju sa tastature.
180. slika vise informativnih komandi izolacije
181. slika
182.  
183. -Rekonfiguracija zajednickog memorijiskog prostora ( shared memory )
184. Prema zadatim postavkama, zajednicki memorijski prostor (/run/shm) je montiran za citanje/pisanje, uz mogucnost da se izvrsi program. To je navedeno u sigurnosnoj zajednici kao ranjivost, s mnogim podvizima dostupnih na kojima se koristi "/run/shm" napadajuci pokrenute usluge. Za vecinu desktop i server konfiguracija, to je pozeljno da bude to kao read-only dodavanje sledecoj linije na datoteke "/etc/fstab."
185.  
186. Kod: Označi sve
187.      gedit /etc/fstab
188.  
189.  
190. -zatim upisite na dnu
191.  
192. Kod: Označi sve
193.      none /run/shm tmpfs defaults,ro 0 0
194.  
195.  
196.  
197. Medjutim, postoje programi koji nece raditi ako je montiran "/run/shm" za citanje kao sto je google chrome. Ako koristite chrome za browser "/run/shm" treba da se montira za citanje/pisanje i trebalo bi dodati sledecu liniju umesto gornje:
198.  
199. Kod: Označi sve
200.      none /run/shm tmpfs rw,noexec,nosuid,nodev 0 0
201.  
202.  
203.  
204. Vratimo se firefox podesavanju i objasnjenju kao i vecini ostalih podesavanja koja su priznata
205.  
206. slika
207. slika
208.  
209.  
210.  
211.  
212.  
213. https://vikingvpn.com/cybersecurity-wiki/browser-security/guide-hardening-mozilla-firefox-for-privacy-and-security
214.  
215.  
216.  
217.  
218.  
219.  
220. [img]http://img2.uploadhouse.com/fileuploads/22695/22695812f6e9400326119305820ddd19c1ebceee.jpg[/img]
221. [img]http://img1.uploadhouse.com/fileuploads/22695/22695811e475ed4e517e467118143f1f6a575f64.jpg[/img]
222. [img]http://img0.uploadhouse.com/fileuploads/22695/22695810928654680a2263a03432a0c5f7b06db1.jpg[/img]
223. [img]http://img9.uploadhouse.com/fileuploads/22695/22695809d7394a105de1f13d7ee274ba6b0217f1.jpg[/img]
224. [img]http://img4.uploadhouse.com/fileuploads/22695/22695814cf641e78f971d0e8f38078a80f4859cb.jpg[/img]
225. [img]http://img3.uploadhouse.com/fileuploads/22695/22695813bcbbf2a1b722fafb951685dab365e877.jpg[/img]