МАНУАЛ ПО АНОНИМНОСТИ|ЧАСТЬ 3
Установка и настройка Slik Guadrian
Silk Guardian – это программа, которая отключает ядро ОС, стирает ОЗУ (оперативнуюпамять), удаляет указанные пользователем данные и выключает компьютер, если она
замечает изменения на порте USB.
Если простым языком: когда кто-нибудь без вашего ведома вставит незнакомую флешку
в ваше устройство, компьютер вырубится и очистит оперативную память. Таким образом,
у злоумышленника на руках окажутся не ваши данные, а зашифрованная болванка.
Дело в том, что недоброжелатель может запустить ПО для снятия слепка оперативной
памяти, чтобы извлечь ключи шифрования, вот для чего скрипт очищает ОЗУ.
Вот одни из немногих способов применения этой программы:
1. Представим, что недоброжелатель получил доступ к вашему компьютеру и
пытается что-то подключить к нему. Как вы поняли, как только он подключит свою
периферию к нашему устройству, второе сразу выполнит команду стирания
компрометирующих данных и отрубится. При повторной загрузке системы нашего
недруга встретит окно запроса пароля от зашифрованного диска;
2. Допустим, вам нужно предусмотреть возможность мгновенного отключения
устройства. В этом случае мы можем до загрузки системы подключить к
компьютеру устройство не из доверенного списка, а затем загрузить систему,
ввести пароль от диска и т.д. Система будет работать, но после того, как вы
извлечете устройство, компьютер выключается и зашифруется;
Начнем.
Для начала нужно установить пакеты linux headers, git, gcc, make.
Пишем в терминале:
# uname -r – так мы узнаем версию ядра системы. У меня оно версии 5.10.34-1
Теперь идем в пакетный менеджер, ищем там headers 510 и устанавливаем:
тот пакет необходим, чтобы Silk Guardian работал как надо. К тому же он пригодится
и для установки VirtualBox в будущем.
После этого так же устанавливаем оставшиеся три пакета:
Код:
Git
Gcc
Make
# sudo su (вводим пароль акдминистратора) – без этого мы бы не смогли в ничего
делать в папке src
# cd /usr/local/src – переходим в папку, в которую будем клонировать модуль.
Выполняем команду ls и убеждаемся, что папка пуста.
# git clone https://github.com/NateBrune/silk-guardian – клонируем модуль в папку
/usr/local/src Выполняя следом команду ls мы убеждаемся, что появился каталог silkguardian.
# cd silk-guardian – входим в рабочий каталог и видим, что там располагается
На скриншоте изображены все команды по порядку:
Одним из четырех файлов в папке silk-guardian является config.h (посмотрите на GitHub,
там есть список). Это – файл конфигурации, в него мы будем заносить список доверенных
устройств и добавим путь к директориям, из которых нужно будет удалить
компрометирующие материалы в случае экстренного отключения компьютера.
Давайте откроем файл конфигурации, используя текстовый редактор gedit
# gedit config.h
Файл состоит из трех частей: первая отвечает за то, какие файлы нужно удалить, вторая
за то, сколько раз будет производиться цикл перезаписи (количество проходов) при
удалении. Третья позволяет добавить устройства в доверенный список.
Если вы хотите, чтобы модуль удалял ваши файлы, то необходимо вписать следующее
(выделено красным):
static char *remove_files[] = {
"/home/user/privatekey",
"/home/user/sshnumber.pdf",
"/home/obnal/mysecret",
"/home/obnal/myhiddendata",
NULL, /* Must be NULL terminated */
};
Здесь obnal – имя пользователя.
Переходим ко второй части. По умолчанию количество проходов при удалении равно
3, но его можно увеличить или уменьшить. Учтите, что это влияет на скорость обработки,
то есть вы выбираете между безопасностью и скоростью:
/* How many times to shred file. The more iterations the longer it takes. */
static char *shredIterations = "3";
Теперь третья часть. Здесь нужно лишь добавить vid (vendor id) и pid (product id). Чтобы
узнать все эти данные, нужно вставить в USB-порт устройство (мышь, клавиатуру, флешку
и проч.) и выполнить команду:
#lsusb
Видим название устройства и копируем значение идентификаторов в файл
конфигураций. Например, если идентификаторы 80ee:0021 и 1d6b:0001, то в файле
config.h нужно для каждого доверенного устройства создать строку:
{ USB_DEVICE(0x0000, 0x0000) }, со своими значениями vendor, product
/* List of all USB devices you want whitelisted (i.e. ignored) */ static const
struct usb_device_id whitelist_table[] = {
{ USB_DEVICE(0x80ee, 0x0021) },
{ USB_DEVICE(0x1d6b, 0x0001) },
};
Сохраняем документ.
Теперь нам остается запустить модуль.
Вводим в терминале:
Код:
# make
# make install
# modprobe silk: Выводим модуль в боевое положение
# gedit /etc/modules-load.d/modules.conf ( silk ): прописываем строку silk в
открывшемся текстовом редакторе и сохраняем, добавляя модуль в автозагрузку.
Все, модуль в рабочем состоянии, больше делать ничего не нужно. Если вам захочется
отключить или удалить модуль, то делается это просто:
Код:
# modprobe -r silk: временно отключает модуль
# rm -i /lib/modules/$(uname -r)/extra/silk.ko: удаляет модуль из системы
# depmod -a
Теперь вы можете проверить результаты своих трудов, вставив в компьютер
устройство не из доверенного списка – система отключится.
Или вставьте устройство до загрузки, а когда система загрузилась, выньте – и она опять
отключится. Получится экстренное отключение. Вообще, можно не добавлять ни одно
устройство в доверенные, а просто пользоваться второй опцией: если вы вставите флешку
до загрузки, ею можно будет пользоваться без проблем во время бодрствования ОС.
Решайте сами, как использовать этот инструмент, а в следующей части мы разберем
Аварийное удаление заголовков LUKS
ФСЕХ ЛЮБЛЮ