Лучшая операционная система для анонимности и безопасности Qubes OS (практика)

В данном топике практическая часть настройки Qubes OS + Whoinix, с теорией вы можете ознакомиться здесь

1. Подготовка


Нам понадобится более менее современный ноутбукнастольный компьютер с 64-битным процессором и минимум 4 гигами оперативы (я настоятельно рекомендую сразу поставить 8 гигов или больше) и 32 ГБ места на жетском диске ( чем больше тем луше!).

Лучше всего для работы системы подойдет ssd диск , на обычном HDD будет не так прикольно. Если ставите на карту памяти micro sd, то возможны лаги и подвисания, но в целом терпимо.

Помимо всего вышеперечисленного для установки нам понадобится абсолютно любая овер 5 гигов флешка для записи установочного образа.

2. Установка

Скачиваем iso образ последнего диструбитива Qubes OS 3.1.
Download Qubes OS | Qubes OS Project

Cкачиваем програму Rufus для записи образа на флешку овер 5 гигов.
Rufus - Create bootable USB drives the easy way

Запускаем Rufus, выбираем наш образ и запиливаем его на флешку.

Вставляем нашу микросд карту в ноут, перегружаем компьютер, в биосе выбираем загрузку с юсб, загружаемся с установочной флешки и видим красивый и удобный интерфейс. Выбираем нужную нам таймзону, добавляем RU раскладку клавы, выбираем нашу microsd карту, удаляем там все разделы и освобождаем свободное место. Разметку диска я выбрал стандартную, но по идее любая другая сойдет.

Важно! Шифровать или не шифровать?


Вы сразу увидите при установке опцию с полнодисковым шифрованием и выбором пароля. Если ставите на жесткий диск, то думать особо не нужно, шифруйте, шура. Но если шифруете именно Микросд карту, то есть риск повредить ваши данные из-за резкого выключения компьютера при глухом зависании (линукс файловые системы очень к этому чувствительны). Как вариант можете пилить шифрованные контейнеры для ваших нужд, а саму карту не шифровать, это увеличит скорость загрузки и избавит от необходимости каждый раз вводить пароль.
Если все-таки решили шифровать, то не выбирайте наглухо упоротые пароли на овердо*уя символов с разными регистрами. Выберите лучше какую-нибудь запоминающуся строчкуцитату и добавьте к ней _+-*?:%; Вот вам сервис от касперского, который примерное время брутфорса выдает на ваш пароль Kaspersky Lab: Secure Password Check
Например, пароль otdelksosethui будет подбираться 52 века, а otdelksosethui_ 515 веков.
Ну это, конечно, если чистым перебором всех вариантов, если есть словарь, то там проще, но ИМХО все эти заморочки с паролями сильно преувеличены, злоумышленнику куда проще кейлогер вам заслатьиспользовать уязвимости самого шифрования, чем даже начинать что-то брутить.

Жмем инсталл и идем гулять 1.5-2 часа.

Как только установите, грузимся с нашей карты и видим черный экран или красивое поле для ввода (иногда по-разному.)

В любом случае здесь нужно набрать на клаве наш пароль и нажать Enter.

Если диск не шифровали, то вообще ничего делать не надо, оно и само загрузится.


Грузит обычно долго, так что не пугайтесь, это один из небольших минусов данной оси.

При первой загрузке откроется стартинг менеджер, ничего не меняем, ставим галочку только на Обновлять AppVm только через TOR (экспериментал).

3. Настройка Qubes-Vm-manager

Значит у нас есть основная система Lunux-Qubes (dom0), на которой запущена программа Qubes VM Manager. На ней мы и будем работать с нашими виртуалками. Выглядит это примерно так (правыое верхнее окно).



DOM0 - это наша основная система, которая не имеет доступа к сети интернет в принципе и получает оный только в редких случаях обновления из официальных репозиториев Qubes (все остальные репозитории запрещены). Обновление запукается либо в cамом VM manager либо командой sudo qubes-dom0 update в терминале (запустить можно щелкнув правой кнопкой по рабочему столу и выбрав Konsole).

Управление в самом VM manager довольно простое и интуитивно понятное. Для запуска жмем кнопку старт, для остановки кнопку стоп и т.д, также есть опция автозапуска при старте системы в настройках каждого отдельного куба.

Всегда запускайте ваши кубы последовательно, один за другим, если будете запускать одновременно несколько, то система может присвоить двум разным виртуалкам одинаковые мак-адреса и выдаст ошибку.


Важно: при первой установке у вас будут немного другие названия,чем указаны ниже, например, sys firewall это proxy vm, а sys-whoinix это whoinix gateway. Вы можете менять имена как вам вздумается.

SYS-NET - это куб запущенный по шаблону операционки fedora-23, к которому по-умолчанию подключены наши сетевые драйвера (встроенный адаптер вай фай и сетевая карта для подключения по кабелю). Проверить это можно выбрав настройки данного куба и зайдя во вкладку devices, там в правой колонке будет 2 устройства такого вида ethernet controller:....

Важно: если нам надо подключить внешний usb wi-fi адаптер, то необходимо добавить нужный нам юсб контроллер. С этим могут возникнуть трудности, у меня, например, все usb 2.0 порты наглухо отказывались работать с кубом sys-net, но проблему успешно решило указание usb 3.0 порта.

Заходим в раздел devices нашего куба, убираем с правой колонки все ethernet controller.. (если они нам не нужны) и добавляем порт юсб 3.0 в который воткнут наш wifi-адаптер.

Также учитывайте, что если вы грузите систему именно через usb, то данный порт не удастся перенаправить на виртуалку по понятным причинам.

Когда куб sys-net запустится, мы увидим в правом нижнем углу иконку с сетью, где можно выбрать нужную нам wifi сеть и ввести к ней пароль. Также здесь можно настроить OPENVPN (VPN-connections-Configure VPN), вбив уже готовый файл конфигурации .ovpn или введя все данные вручную и указав путь ко всем необходимым сертификатам и введя логин и пароль (см. инфу на сайте твоего vpn-провайдера). Правда поднимать vpn на этом кубе совсем необязательно, ведь для этого есть специальные proxy-vm.

Для удобства можешь переименовать куб sys-net в INTERNET или WIFI

PROXY-VM - этот куб сделан специально для настройки впнов, проксей, туннелей, дедиков и прочего, с него уже при дефолтной настройке траф идет на наши рабочие кубы app-vm. Обратите внимание, что в настройках данного куба в разделе basic в поле Netvm указан sys-net, это значит что трафик сюда будет идти именно с sys-net, но мы при желании можем указать там любую созданную виртуалку, причем это можно делать и при включенном кубе.

Важно: чтобы у нас появилась на панели иконка с сетью, как в Net-vm, то разделе Servises данного куба нужно добавить nerwork-manager.

Прокси-вм и нет-вм можно создавать сколько угодно много. Например, если у вас есть два wifi-адаптера (встроенный в ноут и внешний юсб), то вы можете создать для каждого из них по своему кубу, подключаться к разным сетям и распределять уже дальше траффик по разным прокси-вм и апп-вм в любом порядке, который взбредет вам в голову.

Для удобства прокси вм можно назвать VPN1,VPN2, SSH, DED и т.д.


WHONIX - GW (whoinix gateway он же шлюз) - это виртуалка на которую по дефолтным настройкам траффик идет с прокси вм. Whoinix входит в последние версии Qubes по дефолту, что есть очень заебись. В данном кубе весь траффик шифруется через сеть ТОР, после чего его можно направлять на любую другую виртуалку.

Важно: все вышеперечисленные кубы это полноценные операционные системы, в которых мы можете запускать браузерфайловый менеджерконсоль и т.д.


TEMPLATE-VM или шаблоны операционок.
Шаблоны - это уникальная фича Xen гипервизора. Суть проста, шаблон (template) - это обычная виртуалка, на которую мы устанавливаем свежие бновления,ставим весь нужный нам софт, делаем необходимые настройки. После чего по этому шаблону можно штамповать бесконечное множество обычных рабочих кубов (апп-вм, прокси-вм и нет-вм) т.е это полностью исключает необходимость по 100 раз делать одно и тоже и позволяет экономить место на диске. Удобно до ахуения.

Еще стоит добавить, что настройки клавиатурной раскладки копируются автоматом из dom0 во все кубы, так что нам не надо постоянно это все вбивать.


Важно: установите обязательно горячие клавиши на смену раскладки клавиатуры.

Пуск-System tools- System settings-input devices-layouts -mainshortcuts


Список установленных по дефолту шаблонов (покрашены в черный цвет):

WHONIX-WS (рабочая станция workstation) - дебиан бейсд дистрибутив заточенный под максимальную безопасность и анонимность. Изначально настроен так, что может принимать только трафик пропущенный через тор в whoinix-gw (сам whoinix-gw принимает любой траффик хоть после 5 впнов в тор пускайте ) т.е. если вы попробуете подключить Whoinix-ws к обычному proxy-ws кубу, то войти в интернет никак не выйдет.
ХУИНИКС это основная наша рабочая лощадка для черных дел, простая и надежная. Для удобства вместо Тор-браузера запускаем здесь iceweasel (клон firefox для debian без лишней еботы) и ставим любо

7. Открытие файла в песочнице

Щелкаем правой кнопкой по файлу, выбираем open in disposal vm. После чего запустится специальная отдельная ось, в которой будет окно редактирования файла. Как только закончите, песочница навсегда удалится.


8. Что делать если лагаеттормозитзависает?

Попробуй отредактировать в настройках куба кол-во оперативной памяти до оптимального объема. Помню я как-то пробовал смотреть 720p видосы в кубе на котором 400 мб оперативы, а потом еще удивлялся почему экран в черных полосах.


Отличная опция в advanced настройках куба include in memory balancing. Указываем минимум и максимуум, ставим галочку и вся наша память распределяется автоматически в зависимости от нужд виртуалки.

Если у тебя всего 4 гига оперативы, то не удивляйся, что у тебя вдруг все наглухо встанет после одновременного запуска 5-7 кубов. Так что учись грамотно распределять ресурсы компа для своих нужд.

Сам процессор система сильно не грузит, так что бюджетные компы с докупленной оперативой должны нормально работать.

Важно: в первые часы использования QUBES OS может вызвать дикое желание немедленно от нее избавиться и поскорей вернуться на обычный ЛинуксВиндоус. Как только все настроите и привыкните, данное желание пропадает и уже сложно будет заставить себя включить другую систему.



9. Достали линуксы, хочу Windows куб

Да можно и так. Только учти, что это все займет 20 гигов места для установки Windows 7 со всеми обновлениями .



10. ....
Ман далеко не закончен и будет дополняться. Я постараюсь отвечать на все ваши вопросыдополнениявозникающие проблемы и допиливать постоянно новые пункты.
Тек кто дружат с английским могут ознакомиться с официальной документацией кубов. Там довольно неплохо описано решение большинства проблем.
https://www.qubes-os.org/doc/

11. Добавление команд в автозапуск куба


Если вы захотите прописать что-либо в автозапуск любой вм, то это легко можно сделать отредактировав файл rc.local


cd /rw/config

sudo nano rc.local


убираем знак # перед !./bin/sh

вводим нужные нам команды, например

sudo openvpn путькнашемуконфигу (ovpn или conf)

автоматически подключит нас к нашему впн серверу при запуске куба.


сохранить измения в текстовом редакторе нано ctrl+0 , выйти crtl + x


теперь нужно сделать скрипт исполняемым, для этого вводим

sudo chmod +x /rw/config/rc.local

Перегружаем куб и радуемся.


12. Как избежать dns-leaks ?


Например, вы подключились на прокси-вм кубе к впн, ваш айпишник поменялся на страну сервера впн , но dns по прежнему отображается от русского провайдера (проверить можно whoer.net).

В обычном линуксе это делается редактированием файла /etc/resolv.conf

добавляем туда всего две строчки

nameserver 8.8.8.8

nameserver 8.8.4.4

(публичные днс гугл)

Но если мы сделаем так в нашем кубе, то после перезагрузки все изменения исчезнут (незабываем, что все виртуалки создаются по шаблону).

Решается ситуация очень просто, нам нужно создать файл resolv.conf в папке /home (там хранятся все пользовательские данные конкретной виртуалки и она остается всегда неизменной) и прописать в rc.local (см.п.11), чтобы этот файл заменял resolv.conf в папке /etc при автостарте. Делается это следующим образом:

cоздаем файл resolv.conf в текстовом редакторе нано.


sudo nano /home/resolv.conf


добавляем туда две строчки:

nameserver 8.8.8.8

nameserver 8.8.4.4

Жмем ctrll+o для сохранения, ctrl +x для выхода.
открываем в редакторе нано конфиг рс.локал


sudo nano /rw/config/rc.local


Прописываем туда команду, чтобы файл из папки home при старте виртуалки заменял файл в папке /etc

sudo cp /home/resolv.conf /etc/resolv.conf
Жмем ctrll+o для сохранения, ctrl +x для выхода.





13. Как cменить mac адресс wi-fi адаптера на net-vm

(актуально для всех linux)

Зачем менять мак-адрес это большая тема (см. темы про вардрайвинг и соседский инет), но если вкратце, то для наибольшей безопасности желательно переодически менять точки доступа, а мак-адрес поставить на автоматическую смену при каждом включении системы после чего навсегда про него забыть. Для достижения этой цели, нужно установить прогу macchanger на нашей template vm.

sudo apt-get install macchanger на debian

sudo yum install macchanger на fedora-23


Далее запускаем нашу виртуалку, с которой мы подключаемся к вай-фаю и вводим в терминале.

ifconfig, где мы увидим список всех сетевых устройств. Встроенный wifi адаптер обычно называется wlan0 на обычном пингвине (в qubes os что-то вроде wlo0so)
мак адрес указан после строчки ether и имеет вид вроде 32:d8:73:d3:54:e3

Далее выключаем наш адаптер

sudo ifconfig wlo0so down

Выставляем cлучайный мак с помощью уже установленой утилиты macchanger

sudo machanger wl0so -a

Включаем наш адаптер

sudo ifconfig wlo0so up

Снова выводим список сетевых устройств и проверям, что мак поменялся.
ifconfig

Для того, чтобы это происходило автоматически с каждым запуском системы прописываем эти три команды в rc.local см. пункт 11

sudo ifconfig wlo0so down

sudo machanger wl0so -a

sudo ifconfig wlo0so up


Ну и в качестве завершения.


На**нуть такую систему (если исключить все СИ приемы, где вы сами помогаете атакующему) это задача мягко говоря не простая . Вот ответ по поводу деанона Whoinix от пользователя Redbear (надеюсь он не будет против, что я его сообщение выложу на общее рассмотрение).

На вопрос невозможно ответить, недостаточно информации. Никто не настраивает такую систему только для того, чтобы проверять, можно его сдеанонить или нет. Допустим (самый жесткий вариант), что ты крадешь какие-то правительственные секреты.
Тогда надо перебирать один за другим части твоей системы - искать эксплоиты под браузер, плагины браузера и т.д. Реально, 0day под FF будет стоить под 80к минимум. При этом, нет никаких шансов на то, что эти деньги отобьются. Возможно, что есть закладки (рядовому хакеру это недоступно, нужно быть в команде программистов, кто пишет софт) или ненайденные баги в софте (опять таки, тут суммы большие гуляют) - но надо сначала определить, что именно ты используешь.
Если отбросить возможность того, что те, кто тебя будут искать, могут контролировать твой трафик на каком-то из участков цепочки, то это уже гиблое дело... Не найдут, не взломают, не вычислят

Ну я думаю на этом пока все.

Устанавливайте, тестируйте, отписывайтесь в теме

horoshui manyal po qubes os) pruyatno chutat u vse ponumat )) praktikoval GW na VB+kali/parrot/arch/ ez pantest/sql/bruteforse u t.d. Teper mojno smelo testut qubes)) nadeuys skoro uz alpha vuidet subgraph u tam mojno bedet shalut