Операционная система для параноиков Qubes OS

SalatO

Сын Геббельса.
Регистрация
19 Июн 2017
Сообщения
136
Репутация
32
Реакции
116
Баллы
0
1. Подготовка

Нам понадобится более менее современный ноутбук\настольный компьютер с 64-битным процессором и минимум 4 гигами оперативы (я настоятельно рекомендую сразу поставить 8 гигов или больше) и 32 ГБ места на жетском диске ( чем больше тем луше!).

Лучше всего для работы системы подойдет ssd диск , на обычном HDD будет не так прикольно. Если ставите на карту памяти micro sd, то возможны лаги и подвисания, но в целом терпимо.

Помимо всего вышеперечисленного для установки нам понадобится абсолютно любая овер 5 гигов флешка для записи установочного образа.

2. Установка

Скачиваем iso образ последнего диструбитива Qubes OS 3.1.
www.qubes-os.org/downloads

Cкачиваем програму Rufus для записи образа на флешку овер 5 гигов.
rufus.akeo.ie

Запускаем Rufus, выбираем наш образ и запиливаем его на флешку.

Вставляем нашу микросд карту в ноут, перегружаем компьютер, в биосе выбираем загрузку с юсб, загружаемся с установочной флешки и видим красивый и удобный интерфейс. Выбираем нужную нам таймзону, добавляем RU раскладку клавы, выбираем нашу microsd карту, удаляем там все разделы и освобождаем свободное место. Разметку диска я выбрал стандартную, но по идее любая другая сойдет.

Важно! Шифровать или не шифровать?

Вы сразу увидите при установке опцию с полнодисковым шифрованием и выбором пароля. Если ставите на жесткий диск, то думать особо не нужно, шифруйте, шура. Но если шифруете именно Микросд карту, то есть риск повредить ваши данные из-за резкого выключения компьютера при глухом зависании (линукс файловые системы очень к этому чувствительны). Как вариант можете пилить шифрованные контейнеры для ваших нужд, а саму карту не шифровать, это увеличит скорость загрузки и избавит от необходимости каждый раз вводить пароль.
Если все-таки решили шифровать, то не выбирайте наглухо упоротые пароли на овердо*уя символов с разными регистрами. Выберите лучше какую-нибудь запоминающуся строчку\цитату и добавьте к ней _+-*?:%; Вот вам сервис от касперского, который примерное время брутфорса выдает на ваш пароль password.kaspersky.com
Например, пароль otdelksosethui будет подбираться 52 века, а otdelksosethui_ 515 веков.
Ну это, конечно, если чистым перебором всех вариантов, если есть словарь, то там проще, но ИМХО все эти заморочки с паролями сильно преувеличены, злоумышленнику куда проще кейлогер вам заслать\использовать уязвимости самого шифрования, чем даже начинать что-то брутить.

Жмем инсталл и идем гулять 1.5-2 часа.

Как только установите, грузимся с нашей карты и видим черный экран или красивое поле для ввода (иногда по-разному.)

В любом случае здесь нужно набрать на клаве наш пароль и нажать Enter.

Если диск не шифровали, то вообще ничего делать не надо, оно и само загрузится.

Грузит обычно долго, так что не пугайтесь, это один из небольших минусов данной оси.

При первой загрузке откроется стартинг менеджер, ничего не меняем, ставим галочку только на "Обновлять AppVm только через TOR (экспериментал)".
 

SalatO

Сын Геббельса.
Регистрация
19 Июн 2017
Сообщения
136
Репутация
32
Реакции
116
Баллы
0
3. Настройка Qubes-Vm-manager

Значит у нас есть основная система Lunux-Qubes (dom0), на которой запущена программа Qubes VM Manager. На ней мы и будем работать с нашими виртуалками. Выглядит это примерно так (правыое верхнее окно).

r2b1-appsmenu-3_w_600.png


DOM0 - это наша основная система, которая не имеет доступа к сети интернет в принципе и получает оный только в редких случаях обновления из официальных репозиториев Qubes (все остальные репозитории запрещены). Обновление запукается либо в cамом VM manager либо командой sudo qubes-dom0 update в терминале (запустить можно щелкнув правой кнопкой по рабочему столу и выбрав Konsole).

Управление в самом VM manager довольно простое и интуитивно понятное. Для запуска жмем кнопку старт, для остановки кнопку стоп и т.д, также есть опция автозапуска при старте системы в настройках каждого отдельного куба.

Всегда запускайте ваши кубы последовательно, один за другим, если будете запускать одновременно несколько, то система может присвоить двум разным виртуалкам одинаковые мак-адреса и выдаст ошибку.

Важно: при первой установке у вас будут немного другие названия,чем указаны ниже, например, sys firewall это proxy vm, а sys-whoinix это whoinix gateway. Вы можете менять имена как вам вздумается.

SYS-NET - это куб запущенный по шаблону операционки fedora-23, к которому по-умолчанию подключены наши сетевые драйвера (встроенный адаптер вай фай и сетевая карта для подключения по кабелю). Проверить это можно выбрав настройки данного куба и зайдя во вкладку devices, там в правой колонке будет 2 устройства такого вида "ethernet controller:...".

Важно: если нам надо подключить внешний usb wi-fi адаптер, то необходимо добавить нужный нам юсб контроллер. С этим могут возникнуть трудности, у меня, например, все usb 2.0 порты наглухо отказывались работать с кубом sys-net, но проблему успешно решило указание usb 3.0 порта.

Заходим в раздел devices нашего куба, убираем с правой колонки все ethernet controller.. (если они нам не нужны) и добавляем порт юсб 3.0 в который воткнут наш wifi-адаптер.

Также учитывайте, что если вы грузите систему именно через usb, то данный порт не удастся перенаправить на виртуалку по понятным причинам.

Когда куб sys-net запустится, мы увидим в правом нижнем углу иконку с сетью, где можно выбрать нужную нам wifi сеть и ввести к ней пароль. Также здесь можно настроить OPENVPN (VPN-connections-Configure VPN), вбив уже готовый файл конфигурации .ovpn или введя все данные вручную и указав путь ко всем необходимым сертификатам и введя логин и пароль (см. инфу на сайте твоего vpn-провайдера). Правда поднимать vpn на этом кубе совсем необязательно, ведь для этого есть специальные proxy-vm.

Для удобства можешь переименовать куб sys-net в INTERNET или WIFI

PROXY-VM - этот куб сделан специально для настройки впнов, проксей, туннелей, дедиков и прочего, с него уже при дефолтной настройке траф идет на наши рабочие кубы app-vm. Обратите внимание, что в настройках данного куба в разделе basic в поле Netvm указан sys-net, это значит что трафик сюда будет идти именно с sys-net, но мы при желании можем указать там любую созданную виртуалку, причем это можно делать и при включенном кубе.

Важно: чтобы у нас появилась на панели иконка с сетью, как в Net-vm, то разделе Servises данного куба нужно добавить nerwork-manager.

Прокси-вм и нет-вм можно создавать сколько угодно много. Например, если у вас есть два wifi-адаптера (встроенный в ноут и внешний юсб), то вы можете создать для каждого из них по своему кубу, подключаться к разным сетям и распределять уже дальше траффик по разным прокси-вм и апп-вм в любом порядке, который взбредет вам в голову.

Для удобства прокси вм можно назвать VPN1,VPN2, SSH, DED и т.д.

WHONIX - GW (whoinix gateway он же шлюз) - это виртуалка на которую по дефолтным настройкам траффик идет с прокси вм. Whoinix входит в последние версии Qubes по дефолту, что есть очень заебись. В данном кубе весь траффик шифруется через сеть ТОР, после чего его можно направлять на любую другую виртуалку.

Важно: все вышеперечисленные кубы это полноценные операционные системы, в которых мы можете запускать браузер\файловый менеджер\консоль и т.д.

TEMPLATE-VM или шаблоны операционок.
Шаблоны - это уникальная фича Xen гипервизора. Суть проста, шаблон (template) - это обычная виртуалка, на которую мы устанавливаем свежие бновления,ставим весь нужный нам софт, делаем необходимые настройки. После чего по этому шаблону можно штамповать бесконечное множество обычных рабочих кубов (апп-вм, прокси-вм и нет-вм) т.е это полностью исключает необходимость по 100 раз делать одно и тоже и позволяет экономить место на диске. Удобно до ахуения.

Еще стоит добавить, что настройки клавиатурной раскладки копируются автоматом из dom0 во все кубы, так что нам не надо постоянно это все вбивать.

Важно: установите обязательно горячие клавиши на смену раскладки клавиатуры.

Пуск-System tools- System settings-input devices-layouts -mainshortcuts

Список установленных по дефолту шаблонов (покрашены в черный цвет):

WHONIX-WS (рабочая станция workstation) - дебиан бейсд дистрибутив заточенный под максимальную безопасность и анонимность. Изначально настроен так, что может принимать только трафик пропущенный через тор в whoinix-gw (сам whoinix-gw принимает любой траффик хоть после 5 впнов в тор пускайте
biggrin.png
) т.е. если вы попробуете подключить Whoinix-ws к обычному proxy-ws кубу, то войти в интернет никак не выйдет.
ХУИНИКС это основная наша рабочая лощадка для черных дел, простая и надежная. Для удобства вместо Тор-браузера запускаем здесь iceweasel (клон firefox для debian без лишней еботы) и ставим любой браузерный впн (zenmate,например). У меня бывало скорость доходила до 6 мб (конечно зависит от самой сетки вайфай). Ролики 720p на ютубе идут отлично.

(Zenmate дают на халяву 3 месяца премиума ВПН за репост ВК, загуглите.)

По плагинам в браузере мастхэв это no-script (защита от нехороших скриптов, которые нам могут подсунуть недоброжелатели) и self-destructed cookies (кукисы уничтожаются автоматически, т.е. на наши учетки никто не залогинится по кукам), все остальное добавляется по желанию и степени параноидальности.

Как устанавливать софт на шаблоне Whoinix-ws?
Открываем start menu (синяя кнопочка q в нижем левом углу) выбираем template-whoinix-ws и konsole.
вводим в появившемся терминале:

sudo apt-get install имя нужной нам софтины
например
sudo apt-get install keepassx - установит менеджер паролей кипасикс
sudo apt-get install libreoffice - установит оффисный софт
sudo apt-get install pidgin - это скайп, айсикью, жаба,телеграм...любой мессенджер в одной голубиной софтине
sudo apt-get install transmission - торрент-клиент

sudo apt-get install openvpm - впн-клиент

На шаблоне debian 8 установка приложений аналогичная

FEDORA-23 - популярный дистр линукс ru.wikipedia.org/wiki/Fedora славится тем, что на нем впервые вводят всякие новаторские фичи,поэтому можно установить какой-нибудь редкий софт, которого нет на debian. По дефолту используется для создания net-vm и proxy-vm. Использовать ли его для ваших рабочих кубов, решайте сами.

Тут для установки приложений в консоли нужно вводить.

sudo yum install имяприложения

Здесь можно почитать подробней про установку софта на Федора.

fedoraproject.org/wiki/Yum/ru

WHOINIX-GW - шаблон хуиникс шлюза для торификации трафа, по нему можно создавать сколько угодно подобных шлюзов. Устанавливать здесь ничего не нужно, только запускать обновления. Жмем кнопку update в vm manager или ввводим в терминале

sudo apt-get update && sudo apt-get dist upgrade

DEBIAN 8 - ну про дебилиан я уже и так много написал во вводной части, в отличие от хуиникса, это чистая debian система без лишних наворотов и ее можно подключать к любому proxyvm. Можете создать на данном шаблоне рабочий куб "KARDING" для подключения к кубу, на котором настроен прокси\дед нужной нам страны и города. Можете наставить туда всякого хакерского софта как в Кали Линукс и начать кулхацкерить (вроде как есть даже специальные скрипты для установки).

С шаблонами закончили, теперь идут непосредственно наши рабочие виртуалки, можете менять там цвета\названия\ исполльзуемые шаблоны под свои нужды, создавать\удалять сколько угодно новых. Примерную схему использования я описал в вводной части.
 

SalatO

Сын Геббельса.
Регистрация
19 Июн 2017
Сообщения
136
Репутация
32
Реакции
116
Баллы
0
4. Работа с ярлыками

Добавление новых приложений

Легче пареной репы, жмем пуск, выбираем нужный нам куб, жмем по add more shortcuts и выбираем свежеустановленное приложение. Как устанавливать новый софт на самом template-vm см. выше.

Запуск приложений

Жмем пуск, выбираем нужный куб и приложение.

iceweasel - это браузер, icedove -это почтовик , dolphine - это менеджер файлов ну и т.д. Ярлык на рабочий стол добавляется правой кнопкой мыши - add to desctop

Можно также запускать приложения через консоль dom0

Qvm-run -a имякуба "имяприложения - доп.опция"

Например данная команда запустит на кубе Whoinix-ws браузер iceweasel в режиме выбора профиля (можно создать сколько угодно разных профилей и запускать их одновременно, хотели кучу параллельно запущенных браузеров на одном кубе, получайте).

Qvm-run -a Whoinix-ws "iceweasel -no-remote -p"

Также мы можем прописать команду для запуска в настройках ярлыка на рабочем столе, добавив нужную строчку в поле command.

5. Работа с буфером обмена

Например нам нужно скопировать текст из куба BANDITISM в куб KARDING.

Выделяем в кубе бандитизм текст, жмем ctrl+c, затем жмем ctrl+shift+c
Открываем куб ******* жмем ctrl+shift+v после чего жмем ctrl+ v

Cначала немного непривычно, но потом уже фигачишь на автомате.

6.Копирование файлов с куба на куб

Выбираем в файловом менеджере виртуалки нужный файл, щелкаем правой кнопкой и выбираем опцию переместить\ скопировать на другую vm. Вводим имя нужного куба и жмем отправить, после чего файл появится в папке home/user/documents/qubesincomming у куба-адрессата
Естественно, что оба куба должны быть включены.
--- Сообщения объединены, 29 май 2017 ---
7.Открытие файла в песочнице

Щелкаем правой кнопкой по файлу, выбираем open in disposal vm. После чего запустится специальная отдельная ось, в которой будет окно редактирования файла. Как только закончите, песочница навсегда удалится.

8. Что делать если лагает\тормозит\зависает?

Попробуй отредактировать в настройках куба кол-во оперативной памяти до оптимального объема. Помню я как-то пробовал смотреть 720p видосы в кубе на котором 400 мб оперативы, а потом еще удивлялся почему экран в черных полосах.

Отличная опция в advanced настройках куба "include in memory balancing". Указываем минимум и максимуум, ставим галочку и вся наша память распределяется автоматически в зависимости от нужд виртуалки.

Если у тебя всего 4 гига оперативы, то не удивляйся, что у тебя вдруг все наглухо встанет после одновременного запуска 5-7 кубов. Так что учись грамотно распределять ресурсы компа для своих нужд.

Сам процессор система сильно не грузит, так что бюджетные компы с докупленной оперативой должны нормально работать.

Важно: в первые часы использования QUBES OS может вызвать дикое желание немедленно от нее избавиться и поскорей вернуться на обычный Линукс\Виндоус. Как только все настроите и привыкните, данное желание пропадает и уже сложно будет заставить себя включить другую систему. 9. Достали линуксы, хочу Windows куб

Да можно и так. Только учти, что это все займет 20 гигов места для установки Windows 7 со всеми обновлениями .

10. ....
Ман далеко не закончен и будет дополняться. Я постараюсь отвечать на все ваши вопросы\дополнения\возникающие проблемы и допиливать постоянно новые пункты.
Тек кто дружат с английским могут ознакомиться с официальной документацией кубов. Там довольно неплохо описано решение большинства проблем.
www.qubes-os.org/doc

11. Добавление команд в автозапуск куба

Если вы захотите прописать что-либо в автозапуск любой вм, то это легко можно сделать отредактировав файл rc.local

cd /rw/config

sudo nano rc.local

убираем знак # перед !./bin/sh

вводим нужные нам команды, например

sudo openvpn путькнашемуконфигу (ovpn или conf)

автоматически подключит нас к нашему впн серверу при запуске куба.

сохранить измения в текстовом редакторе нано ctrl+0 , выйти crtl + x

теперь нужно сделать скрипт исполняемым, для этого вводим

sudo chmod +x /rw/config/rc.local

Перегружаем куб и радуемся.

12.Как избежать dns-leaks ?

Например, вы подключились на прокси-вм кубе к впн, ваш айпишник поменялся на страну сервера впн , но dns по прежнему отображается от русского провайдера (проверить можно whoer.net).

В обычном линуксе это делается редактированием файла /etc/resolv.conf

добавляем туда всего две строчки

nameserver 8.8.8.8

nameserver 8.8.4.4

(публичные днс гугл)

Но если мы сделаем так в нашем кубе, то после перезагрузки все изменения исчезнут (незабываем, что все виртуалки создаются по шаблону).

Решается ситуация очень просто, нам нужно создать файл resolv.conf в папке /home (там хранятся все пользовательские данные конкретной виртуалки и она остается всегда неизменной) и прописать в rc.local (см.п.11), чтобы этот файл заменял resolv.conf в папке /etc при автостарте. Делается это следующим образом:

cоздаем файл resolv.conf в текстовом редакторе нано.

sudo nano /home/resolv.conf

добавляем туда две строчки:

nameserver 8.8.8.8

nameserver 8.8.4.4

Жмем ctrll+o для сохранения, ctrl +x для выхода.
открываем в редакторе нано конфиг рс.локал

sudo nano /rw/config/rc.local

Прописываем туда команду, чтобы файл из папки home при старте виртуалки заменял файл в папке /etc

sudo cp /home/resolv.conf /etc/resolv.conf
Жмем ctrll+o для сохранения, ctrl +x для выхода.
--- Сообщения объединены, 29 май 2017 ---
13. Как cменить mac адресс wi-fi адаптера на net-vm

(актуально для всех linux)

Зачем менять мак-адрес это большая тема (см. темы про вардрайвинг и соседский инет), но если вкратце, то для наибольшей безопасности желательно переодически менять точки доступа, а мак-адрес поставить на автоматическую смену при каждом включении системы после чего навсегда про него забыть. Для достижения этой цели, нужно установить прогу macchanger на нашей template vm.

sudo apt-get install macchanger на debian

sudo yum install macchanger на fedora-23

Далее запускаем нашу виртуалку, с которой мы подключаемся к вай-фаю и вводим в терминале.

ifconfig, где мы увидим список всех сетевых устройств. Встроенный wifi адаптер обычно называется wlan0 на обычном пингвине (в qubes os что-то вроде wlo0so)
мак адрес указан после строчки ether и имеет вид вроде 32:d8:73:d3:54:e3

Далее выключаем наш адаптер

sudo ifconfig wlo0so down

Выставляем cлучайный мак с помощью уже установленой утилиты macchanger

sudo machanger wl0so -a

Включаем наш адаптер

sudo ifconfig wlo0so up

Снова выводим список сетевых устройств и проверям, что мак поменялся.
ifconfig

Для того, чтобы это происходило автоматически с каждым запуском системы прописываем эти три команды в rc.local см. пункт 11

sudo ifconfig wlo0so down

sudo machanger wl0so -a

sudo ifconfig wlo0so up

Ну и в качестве завершения.

На**нуть такую систему (если исключить все СИ приемы, где вы сами помогаете атакующему) это задача мягко говоря не простая . Вот ответ по поводу деанона Whoinix от пользователя Redbear (надеюсь он не будет против, что я его сообщение выложу на общее рассмотрение).

"На вопрос невозможно ответить, недостаточно информации. Никто не настраивает такую систему только для того, чтобы проверять, можно его сдеанонить или нет. Допустим (самый жесткий вариант), что ты крадешь какие-то правительственные секреты.
Тогда надо перебирать один за другим части твоей системы - искать эксплоиты под браузер, плагины браузера и т.д. Реально, 0day под FF будет стоить под 80к минимум. При этом, нет никаких шансов на то, что эти деньги отобьются. Возможно, что есть закладки (рядовому хакеру это недоступно, нужно быть в команде программистов, кто пишет софт) или ненайденные баги в софте (опять таки, тут суммы большие гуляют) - но надо сначала определить, что именно ты используешь.
Если отбросить возможность того, что те, кто тебя будут искать, могут контролировать твой трафик на каком-то из участков цепочки, то это уже гиблое дело... Не найдут, не взломают, не вычислят"

Ну я думаю на этом пока все.

Устанавливайте, тестируйте, отписывайтесь в теме
 

Memento_ mori

АДВОКАТ
Регистрация
5 Окт 2016
Сообщения
1.123
Репутация
1.179
Реакции
1.565
Баллы
0
Прочёл все от начала до конца. Понял, что я точно не программист. Точнее понял, что только что убил 5 мин своего времени впустую, ибо вообще ничего не понял, о чём был монолог автора. Без обид.
 

Neofix

Follow the white smoke
Мес†ный
Я не отписываю трип-репорты
Регистрация
15 Июн 2017
Сообщения
2.808
Репутация
2.190
Реакции
4.637
Баллы
2.532
Вещества
MJ
Мое общение с этой осью прекратилось на втором месяце за ненадобностью. Так то к ней можно прикрутить кучу модулей, что доведут некоторые крайне важные анонимные процессы до автоматизма. Также запускали гташечку))
 
Сверху Снизу