Izolacija zaštite

[CENTER]NAPOMENA: Konfiguracije su testirane samo na Linux Desktop, za Linux sa vlastitim serverom nije jos uvek preporuceno!!![/CENTER]

Od pre par godina citajuci razna podesavanja, konfiguracije na internetu i sajtovima o Linux Security uvek sam po malo bio ne siguran za svoju privatnost. Razne konfiguracije mi nekako nikada nisu bile sasvim dovoljne sve dok nisam naucio podesavanja u “iptables”+“ufw”. Zatim u browser zastiti “HttpEverywhere”+“NoScript” i naravno WebRTC detekcija koju iskljucujemo pomocu “about:config” i upisemo “media.peerconnection.enable” to kliknemo da bi postalo false. Da bi podesili “Izolaciju Zastite” potrebno je iskljuciti internet

  1. Otvarimo GUI zastitni zid odnosno “GUFW”, njega cemo podesiti da outgoing i incoming budu Deny, zatim cemu u njemu ukljuciti sledece portove za Allow a to su:
 CUPS,DNS,MultiDNS,HTTP,HTTPS,Web server(HTTP,HTTPS) 

GUFW slika
226577196d796866b2822c3ccb421b1ccc30097a.jpg

  1. Otvaramo Terminal prebacujemo se na “sudo su” ili “sudo -i”, zatim cemo prepisati
    odnosno kopirati ufw rules in console od GUFW GUI sledecim komandama:

TCP

 ufw deny 1:52/tcp && ufw deny 54:79/tcp && ufw deny 82:630/tcp && ufw deny 632:5352/tcp && ufw deny 5354:8079/tcp && ufw deny 8082:65535/tcp 

UDP

 ufw deny 1:52/udp && ufw deny 54:79/udp && ufw deny 82:630/udp && ufw deny 632:5352/udp && ufw deny 5354:8079/udp && ufw deny 8082:65535/udp 

Zatim cete izvrsiti reload

 ufw reload 

Ukratko objasnjenje zasto se dupliraju blokade ako je u “GUFW” grafickom dizajnu vec podesen firewall? Zato sto dupliranjem deny portova dajemo spajanje iptabeli ufw jacu zastitu koja nikako ne steti.

  1. Zatvarate “GUFW” i terminal u kom ste podesili ufw portove. Pre pokretanja interneta iskljucite backport repository i vrsite dopunu za linux komandom u novi otvoreni terminal:
 sudo apt-get update && sudo apt-get upgrade && sudo apt-get dist-upgrade 

Kad se zavrsio apdejt i nadogradnja ostalih programa uradite restart.

  1. Otvaramo novi terminal i ovog puta cemo instalirati mali dodatak za " iptables " koji ce kasnije omoguciti iptabeli da ima svoj bekap ukoliko dodje do brisanja zastitnog zida koji se cesto sam brise restartovanjem kompjutera.
 sudo apt-get install iptables-persistent 
  1. Skinucemo iptables konfigurisanu skriptu sa lokacije Pastebin Otvoricete skriptu i pronaci “enp0s20” zatim “desktop”
  • enp0s20 je ime moje network card, vi cete upisati vasu
    -desktop je /etc/hostaname za moj linux, vi cete upisati vas hostaname

Zatim cemo skripti dati naziv recimo da se zove “fire” i jos jedno bitnije je prepisacemo joj admin prava otvaranjem terminala do lokacije skinute skripte na primer, ukoliko je skripta u Downloads mi cemo izvrsiti.

 cd Downloads 
 chmod +x ./fire  
  ./fire 

Kad smo izvrsili iptables konfiguraciju, pokrenucemo komandu “save” kako se nebi konfiguracije tabele
izgubile posle restartovanja komandom:

  sudo netfilter-persistent save  

-Ukoliko dodje do slucajnog brisanja iptables konfiguracije, vasim cackanjem pokrenucete komandu za bekapovanje.

  sudo netfilter-persistent reload  
  1. Sledeca stvar je instaliranje dve bitne aplikacije “Bleachbit- cistac za linux” i
    “macchanger - automatska promena macaddresse”:
 sudo apt-get install bleachbit macchanger macchanger-gtk   
  1. New kernel je takodje bitan za sigurnost Linux u ovom slucaju cemo instalirati verziju 4.6.3 Otvorite Terminal u root i ukucajte:
 wget http://in4serv.com.br/backup/kernel-4.6.3 
 sudo chmod +x kernel-4.6.3 
 ./kernel-4.6.3 
  • Kad se instalacija zavrsila restartujte Linux ‘sudo reboot -f’ i tokom ucitavanja Grub menu izaberite novi kernel 4.6.3

-LINUX ISOLATION

Da bi uspesno izolirali linux od svih mogucih pretnji koje dolaze sa interneta mi cemo uz pomoc “Firejail” i “Firetools” deb aplikacije izvrsiti sledece komande. Ali najpre ih skinuti sa sajta u kom cete imati takodje mnogo objasnjenja. Firejail Otvoricemo terminal podesiti lokaciju do skinutih aplikacija firejail i firetools za instalaciju komandom:

 sudo dpkg -i *.deb; sudo apt-get install -f 

firetools slika
226577214ee296c49eb2341669f1e3e9a370fc8c.jpg

Da bi podesili izolaciju za firefox otvorite firetools i na firefox skrolujte na edit i upisite:

  firejail --seccomp  --dns=8.8.8.8 --dns=8.8.4.4 firefox -no-remote 

slika 1
2265772209dec2068c15e67fd927e69606e0febd.jpg

slika 2
2265772335a3af29d76c9f9282ce4a4fbebe0df9.jpg

Za Chromium browser isti princip rada…

Da bi se zastitili od WebRTC. Otvorite firefox ukoliko koristite i upisite “about:config” zatim u adres baru ukucate: “media.peerconnection.enable” i klik kako bi to postalo false naredba iskljucuje WebRTC detekciju. Zatim instalirate addon “HttpEverywhere” i “NoScript”

Ukoliko ste spremni za potpunu izolaciju vaseg Linux desktopa mozete izolirati komandom:

     usermod --shell /usr/bin/firejail vasusername 

slika pre linux izolacije
2265772555f5b8df9470030598a1e01ea23cf774.jpg

slika posle linux izolacije
226577262a31977991ed104db4b8a3c4b747cb56.jpg

-usermod ce izolirati sve moguce komande kroz bash, shell, telnet, sudo i root komande, pogledaj sledecu sliku za vise informacija.

22657739db96d43a07a958b868fd9442ce55399a.jpg

Dupliranjem ne dobijaš nikakvu jaču zaštitu.

Nešto mi je ovo poznato, da li si ti možda učestvovao ovde Linux Firewall for all future ?

Ne samo sam proucio to sto je pisano, odradio po ovome sto sam ovde napisao i bez brige sam. Citao sam tamo vecinu stvari ali to sto je pisano tamo je nekako ne povezano, jedva sam se ja snasao.

@tomic Ако те интересујe приватност, у FF-у ти треба много више од једног boolean-а и две екстензије. Али морам да те упозорим - сморићеш се кад отвориш линк :smiley:

A comprehensive list of Firefox privacy and security settings - gHacks Tech News

Od kada se sors kernela skida s ove divlje stranice? :confused::confused:

@gagiD
Bar da je sors…ipak je samo gotov deb :smiley:

moze i original url , ovaj com dot br je proveren nema nikakve stete u skripti otvarao sam je u editoru proucio kodove koji su samo redirect

hoces original ?
Index of /~kernel-ppa/mainline i biras verziju imas 4.6.3 zatim 4.6.4 i 4.7rc

Nema u ovom slucaju i ti si provjerio ali vecina nece i ne zna da provjeri.