Безопасность Создание Live системы на флешке с зашифрованным persistence разделом

[Argos]

В данной статье я хочу продемострировать создание Live системы с зашифрованным persistence разделом, так же добавим пароль самоуничтожения для заголовка LUKS, чтобы с случае чего злоумышленники не смогли получить доступ к информации на нашей флешке. Данная инструкция предоставлена для новичков, поэтому в ней представлен упрощенный вариант установки системы, которая "из коробки" умеет работать с зашифрованным persistence разделом.

И так, приступаем к созданию такой системы:
В качестве дистрибутива может выступать Kali Linux, либо Parrot Security, в моем случае я буду использовать Parrot Home Edition с графическим окружением KDE (при использовании другой редакции ParrotOS или Kali Linux - порядок действий аналогичный)
Качаем нужный нам дистрибутив и записываем его на флешку любым удобным способом (из-под винды используйте программу rufus в режиме dd)
Команда для записи из-под линукс:

dd if=<путь_до_iso_образа> of=<путь_до_флешки>

Важно отметить, что лучше использовать высокоскоростную фшлешку минимум на 32гб
После записи, загружаемся с флешки и запускаем систему в Live режиме.
Открываем программу GParted и в списке дисков выбираем нашу флешку (обычно, это /dev/sdb):

На флешке 1 раздел, но на нем много свободного места, нам требуется сделать из этого свободного места отдельный раздел, который мы и будем использовать. Для этого последовательно выполняем следующие команды:
Следующие команды необходимо выполнять из-под root пользователя, поэтому вводим в терминале su и пароль root

wipefs /dev/sdb

Вывод должен быть примерно таким:
DEVICE OFFSET TYPE UUID LABEL
sdb 0x8001 iso9660 2021-11-10-04-58-07-00 Parrot kde-home 4.11.3
sdb 0x1fe dos
Обратите на значение в первой строчке в столбце OFFSET, оно нам понадобится в дальнейшем
Далее выполняемм следующую команду:

blkid /dev/sdb

После этого выполняем следующую команду (обратите внимение на значение из столбца OFFSET):

wipefs -o 0x8001 -f /dev/sdb

После этого у нас на флешке будет 3 раздела, 1 из которых будет пустой, его и будет использовать для раздела persistence
Жмём правой кнопкой по пустому разделу и выбираем пункт New, в открывшемся окне выставляем следующие настройки(будем использовать файловую систему btrfs для более быстрой работы системы):
Сохраняем изменения и закрываем GParted.
Пора зашифровать наш раздел, для этого выполнем следующую команду:

cryptsetup --verbose --verify-passphrase luksFormat /dev/sdb3

Вводим большими буквами YES и ваш пароль шифрования. Используйте только надежные пароли от 16 символов!
Теперь нам необходимо настроить наш раздел, для этого выполняем следующие команды:

cryptsetup luksOpen /dev/sdb3 my_part

После этой команды вводим наш пароль
Далее выполняем следующие команды:

mkfs.btrfs -L persistence /dev/mapper/my_part

e2label /dev/mapper/my_part persistence

Примонтируем наш раздел следующей командой:

mount /dev/mapper/my_part /mnt

Создадим конфигурационный файл:

echo "/ union" > /mnt/persistence.conf

Всё готов, размонтируем наш раздел и закроем зашифрованный том, выполнив следующие команды:

umount /mnt

cryptsetup luksClose /dev/mapper/my_part

На этом создание зашифрованного persistence раздела закончено, осталось загрузится в систему и добавить пароль самоуничтожения
При загрузке выбираем пункт "persistence encrypted"
Если вы всё сделали правильно, то система запросит пароль шифрования, вводим его и заходим в систему
Для установки пароля самоуничтожения выполним следующие команды:

sudo apt install cryptsetup-nuke-password

sudo dpkg-reconfigure cryptsetup-nuke-password

После этого придумываем пароль и вводим его
На этом первоначальная настройка системы закочена, после этого можно готовить её к работе, удалить ненужные программы и поставить нужные вам.

 

[Argos]

не будет. не путайте людей.
какая цель этой системы?


а что тут решать. с помощью 13 команд нельзя создать альтернативу Tails.

Подразумевается аналог Live дистрибутива с persistence разделом, согласен, написал не очень корректно
В конце я указал, что система требует доработки

Сообщение обновлено: 18 Янв 2022

не будет. не путайте людей.

Надо было дописать, что на данную систему можно поставить whonix на KVM и использовать уже whonix, таким образом вы получите Live дистрибутив с whonix, что является более хорошей альтернативой Tails, т.к. в самой Tails виртуализации нет

 

[EZRAsquatter]

На этом первоначальная настройка системы закочена

На втором этапе обязательно утановить:
1. Anonsurf от Палинуро (разраб Parrot Sequrity OS) - позволит завернуть весь трафик в Tor.
2. Проверить робит ли пакет nyx. Если нет, то установть обязательно. Нужен для диагностики Tor.
3. Удобнее смотреть за цепочками в OnionCirquits. Вернее через какие цепочки идёт связб до того или иного ресурса.
4. Я бы доустановил пакет cryptsetup-nuke-password Запуск через dpkg-reconfigure cryptsetup-nuke-password
Nuke вообще очень полезная вещь. Может сохранить свободы лет так двадцать.
5. Для тюнинга в анонсёрфе обязательно указать не использовать красные мосты из {ru} {ua} {by} {kz} и ноунеймы типа {??}
А вот уже после всего этого можно чутка расслабить булки и накатывать софтинки типа месенджеров и криптокошельков.

 

[Argos]

На втором этапе обязательно утановить:
1. Anonsurf от Палинуро (разраб Parrot Sequrity OS) - позволит завернуть весь трафик в Tor.
2. Проверить робит ли пакет nyx. Если нет, то установть обязательно. Нужен для диагностики Tor.
3. Удобнее смотреть за цепочками в OnionCirquits. Вернее через какие цепочки идёт связб до того или иного ресурса.
4. Я бы доустановил пакет cryptsetup-nuke-password Запуск через dpkg-reconfigure cryptsetup-nuke-password
Nuke вообще очень полезная вещь. Может сохранить свободы лет так двадцать.
5. Для тюнинга в анонсёрфе обязательно указать не использовать красные мосты из {ru} {ua} {by} {kz} и ноунеймы типа {??}
А вот уже после всего этого можно чутка расслабить булки и накатывать софтинки типа месенджеров и криптокошельков.

Anonsurf предустановлен в паррот, вместо всех последующих действий надо поставить whonix и использовать проброс сетевого адаптера на шлюз, после этого работать через хуникс, на счет пароля самоуничтожения согласен

 

[EZRAsquatter]

место всех последующих действий надо поставить whonix и использовать проброс сетевого адаптера на шлюз

Для стационарной работы, согласен, отличный варик без протечек трафика. С Виртуалбоксом думаю любой справится что бы запустить связку Хост-Шлюз.
А для перемещения всё же лучше флэшка. Дома с компа, на даче или с берега моря с ноута.
Кстати дома ничего не мешает использовать флэшку как диск виртуальной машины, что бы работать в двух системах одновременно - домашняя для ютуба, хостовая для работы. Удобно и безопасно =)

 

[Argos]

Для стационарной работы, согласен, отличный варик без протечек трафика. С Виртуалбоксом думаю любой справится что бы запустить связку Хост-Шлюз.
А для перемещения всё же лучше флэшка. Дома с компа, на даче или с берега моря с ноута.
Кстати дома ничего не мешает использовать флэшку как диск виртуальной машины, что бы работать в двух системах одновременно - домашняя для ютуба, хостовая для работы. Удобно и безопасно =)

Я имел ввиду поставить хуникс на эту live систему, чтоб хуникс был на флешке

 

[cloudhaze]

есть флеха на 16 гб какой дистрик подойдет для такой чисто чтоб в сети сапортом работать, рассматривал кодачи и как то даже юзал ее о больно замудреная) и как то не уверен я в ней

 

[Argos]

есть флеха на 16 гб какой дистрик подойдет для такой чисто чтоб в сети сапортом работать, рассматривал кодачи и как то даже юзал ее о больно замудреная) и как то не уверен я в ней

Parrot OS или Tails подойдет

 

[PARAbell04ek]

нужна флешка с ос кто может предоставить такую платную услугу ) я конечно могу сам заморочиться! но блин я очень долго буду разбираться в этом всём!

Сообщение обновлено: 4 Мар 2023

или если можно то ссылку на пошаговую инструкцию как всё это сделать самому! ))

 

[Bakitorgani]

нужна флешка с ос кто может предоставить такую платную услугу ) я конечно могу сам заморочиться! но блин я очень долго буду разбираться в этом всём!

Сообщение обновлено: 4 Мар 2023

или если можно то ссылку на пошаговую инструкцию как всё это сделать самому! ))

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

 

[Fetuchini]

Для установки пароля самоуничтожения выполним следующие команды:

sudo apt install cryptsetup-nuke-password

sudo dpkg-reconfigure cryptsetup-nuke-password

После этого придумываем пароль и вводим его
На этом первоначальная настройка системы закочена, после этого можно готовить её к работе, удалить ненужные программы и поставить нужные вам.

Подскажите пожалуйста, как убедиться в том, что пароль самоуничтожения сработает? Можно как-то проверить ввести этот пароль, чтобы заново потом всю систему не переустанавливать?

 

[Argos]

Подскажите пожалуйста, как убедиться в том, что пароль самоуничтожения сработает? Можно как-то проверить ввести этот пароль, чтобы заново потом всю систему не переустанавливать?

Сделать резервную загловка LUKS, но данный метод уже устарел и гайд неактуальный