Ставим пароль и шифруем Whonix + VM на SSD

[CyberSec RuTOR]

Через команды

passwt

или

subo passwd root

можно. Смысла зеро. Пароль стоит на запущенной системе, нужен для выполнения части команд. Скопировать файл .vdi с VM = обойти пароль.

Через настройки Oracle VM

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

→ скачать + установить VirtualBox Extension Pack

Настроить (оранжевая шестерня) → общие → расширенные → шифрование дисков → AES-256 → установить пароль → повторить на второй машине.

Надёжно. Запрос пароля до загрузки ядра VM. Можно сочетать с методом, о котором далее.

Подключить SSD накопитель → щелчок правой кнопкой мыши → файловая система: NTFS → размер единицы распределения: 4096 байт → быстрое форматирование → накопитель готов.

VeraCrypt → создать том → создать зашифрованный файл-контейнер → обычный том VeraCrypt → выбрать файл → открыть папку накопителя + задать название → размер тома = 25 ГБ (сам накопитель на 32 ГБ (28.9 ГБ))/60 ГБ (сам накопитель на 64 ГБ)/124 ГБ (сам накопитель на 128 ГБ) → ждём от 45 минут → выход.

VeraCrypt → любой свободный том → щелчок правой кнопкой мыши → выбрать и смонтировать файл → ищите свой файл на накопителе → выбираете → введите пароль.

Oracle VM → щелчок правой кнопкой мыши Gateway → переместить → локальный диск с накопителем → ок → ждём.

Oracle VM → щелчок правой кнопкой мыши Workstation → переместить → локальный диск в разделе с накопителем → ок → ждём.

Предупреждение: если скопированы только файлы с расширением .vdi, нет .vbox

Oracle VM → Создать → Папка ВМ: Другой + папка накопителя Gateway → образ ISO: ничего не выбрано → ОС: Linux → Дистрибутив: Debian → укажите виртуальный жёсткий диск → использовать виртуальный существующий жёсткий диск → выбирайте файл Gateway с накопителя с расширением .vdi → готово.

Oracle VM → Создать → Папка ВМ: Другой + папка накопителя Workstation → образ ISO: ничего не выбрано → ОС: Linux → Дистрибутив: Debian → укажите виртуальный жёсткий диск → использовать виртуальный существующий жёсткий диск → выбирайте файл Workstation с накопителя с расширением .vdi → готово.

Проверьте 1:

Gateway: Дисплей → Видеопамять → 32 МБ

Workstation: Дисплей → Видеопамять → 256 МБ

Проверьте 2:

Workstation → настроить → сеть → Адаптер 1 → тип подключения: внутренняя сеть.

Gateway → настроить → сеть → Адаптер 1 тип подключения: NAT → Адаптер 2: включить + внутренняя сеть + имя Whonix

Сначала запустите Gateway → настройте → используйте для работы Workstation .

Завершение работы:

Oracle VM Workstation → остановить → выключить.

Oracle VM Gateway → остановить → выключить.

VeraCrypt → выбрать том с VM → размонтировать → достаём накопитель.

Чтобы установить и использовать на новой хост системе предварительно установите Oracle VM + VeraCrypt. Портативное решение рассмотрим в след. материале.

 

[Удалённый пользователь 549065]

Через команды

или

можно. Смысла зеро. Пароль стоит на запущенной системе, нужен для выполнения части команд. Скопировать файл .vdi с VM = обойти пароль.

Через настройки Oracle VM

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

→ скачать + установить VirtualBox Extension Pack

Настроить (оранжевая шестерня) → общие → расширенные → шифрование дисков → AES-256 → установить пароль → повторить на второй машине.

Надёжно. Запрос пароля до загрузки ядра VM. Можно сочетать с методом, о котором далее.

Подключить SSD накопитель → щелчок правой кнопкой мыши → файловая система: NTFS → размер единицы распределения: 4096 байт → быстрое форматирование → накопитель готов.

VeraCrypt → создать том → создать зашифрованный файл-контейнер → обычный том VeraCrypt → выбрать файл → открыть папку накопителя + задать название → размер тома = 25 ГБ (сам накопитель на 32 ГБ (28.9 ГБ))/60 ГБ (сам накопитель на 64 ГБ)/124 ГБ (сам накопитель на 128 ГБ) → ждём от 45 минут → выход.

VeraCrypt → любой свободный том → щелчок правой кнопкой мыши → выбрать и смонтировать файл → ищите свой файл на накопителе → выбираете → введите пароль.

Oracle VM → щелчок правой кнопкой мыши Gateway → переместить → локальный диск с накопителем → ок → ждём.

Oracle VM → щелчок правой кнопкой мыши Workstation → переместить → локальный диск в разделе с накопителем → ок → ждём.

Предупреждение: если скопированы только файлы с расширением .vdi, нет .vbox

Oracle VM → Создать → Папка ВМ: Другой + папка накопителя Gateway → образ ISO: ничего не выбрано → ОС: Linux → Дистрибутив: Debian → укажите виртуальный жёсткий диск → использовать виртуальный существующий жёсткий диск → выбирайте файл Gateway с накопителя с расширением .vdi → готово.

Oracle VM → Создать → Папка ВМ: Другой + папка накопителя Workstation → образ ISO: ничего не выбрано → ОС: Linux → Дистрибутив: Debian → укажите виртуальный жёсткий диск → использовать виртуальный существующий жёсткий диск → выбирайте файл Workstation с накопителя с расширением .vdi → готово.

Проверьте 1:

Gateway: Дисплей → Видеопамять → 32 МБ

Workstation: Дисплей → Видеопамять → 256 МБ

Проверьте 2:

Workstation → настроить → сеть → Адаптер 1 → тип подключения: внутренняя сеть.

Gateway → настроить → сеть → Адаптер 1 тип подключения: NAT → Адаптер 2: включить + внутренняя сеть + имя Whonix

Сначала запустите Gateway → настройте → используйте для работы Workstation .

Завершение работы:

Oracle VM Workstation → остановить → выключить.

Oracle VM Gateway → остановить → выключить.

VeraCrypt → выбрать том с VM → размонтировать → достаём накопитель.

Чтобы установить и использовать на новой хост системе предварительно установите Oracle VM + VeraCrypt. Портативное решение рассмотрим в след. материале.

Самая лаконичная инструкция, какая только попадалась моим глазам

 

[MisterTwiste56]

Было интересно почитать, еще понимание было как это использовать)

 

[CyberSec RuTOR]

Было интересно почитать, еще понимание было как это использовать)

нормальное готовое решение, требует внешней/внутренней донастройки для защиты данных от получения к ним доступа при получении физического доступа к устройству. Безопаснее VDS. Стабильнее Tails. Не требователен к железу, как Qubes.

 

[inkeeper33]

Хотел у Вас поинтересоваться вот на какой счёт, есть такая разновидность "атаки" как атака файла подкачки, а именно его используют вируталки + в него же выгружается оперативная память. Что вы думаете?

 

[xxx4chhh]

полезная статья спасибо

 

[JIoBaHoB]

Хотел у Вас поинтересоваться вот на какой счёт, есть такая разновидность "атаки" как атака файла подкачки, а именно его используют вируталки + в него же выгружается оперативная память. Что вы думаете?
Посмотреть вложение 2458424

Отключить файл подкачки, докупить оперативки если не хватает. Есть готовые сборки линукс в которых уже это сделано.

 

[Edwin Card]

Через команды

или

можно. Смысла зеро. Пароль стоит на запущенной системе, нужен для выполнения части команд. Скопировать файл .vdi с VM = обойти пароль.

Через настройки Oracle VM

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

→ скачать + установить VirtualBox Extension Pack

Настроить (оранжевая шестерня) → общие → расширенные → шифрование дисков → AES-256 → установить пароль → повторить на второй машине.

Надёжно. Запрос пароля до загрузки ядра VM. Можно сочетать с методом, о котором далее.

Подключить SSD накопитель → щелчок правой кнопкой мыши → файловая система: NTFS → размер единицы распределения: 4096 байт → быстрое форматирование → накопитель готов.

VeraCrypt → создать том → создать зашифрованный файл-контейнер → обычный том VeraCrypt → выбрать файл → открыть папку накопителя + задать название → размер тома = 25 ГБ (сам накопитель на 32 ГБ (28.9 ГБ))/60 ГБ (сам накопитель на 64 ГБ)/124 ГБ (сам накопитель на 128 ГБ) → ждём от 45 минут → выход.

VeraCrypt → любой свободный том → щелчок правой кнопкой мыши → выбрать и смонтировать файл → ищите свой файл на накопителе → выбираете → введите пароль.

Oracle VM → щелчок правой кнопкой мыши Gateway → переместить → локальный диск с накопителем → ок → ждём.

Oracle VM → щелчок правой кнопкой мыши Workstation → переместить → локальный диск в разделе с накопителем → ок → ждём.

Предупреждение: если скопированы только файлы с расширением .vdi, нет .vbox

Oracle VM → Создать → Папка ВМ: Другой + папка накопителя Gateway → образ ISO: ничего не выбрано → ОС: Linux → Дистрибутив: Debian → укажите виртуальный жёсткий диск → использовать виртуальный существующий жёсткий диск → выбирайте файл Gateway с накопителя с расширением .vdi → готово.

Oracle VM → Создать → Папка ВМ: Другой + папка накопителя Workstation → образ ISO: ничего не выбрано → ОС: Linux → Дистрибутив: Debian → укажите виртуальный жёсткий диск → использовать виртуальный существующий жёсткий диск → выбирайте файл Workstation с накопителя с расширением .vdi → готово.

Проверьте 1:

Gateway: Дисплей → Видеопамять → 32 МБ

Workstation: Дисплей → Видеопамять → 256 МБ

Проверьте 2:

Workstation → настроить → сеть → Адаптер 1 → тип подключения: внутренняя сеть.

Gateway → настроить → сеть → Адаптер 1 тип подключения: NAT → Адаптер 2: включить + внутренняя сеть + имя Whonix

Сначала запустите Gateway → настройте → используйте для работы Workstation .

Завершение работы:

Oracle VM Workstation → остановить → выключить.

Oracle VM Gateway → остановить → выключить.

VeraCrypt → выбрать том с VM → размонтировать → достаём накопитель.

Чтобы установить и использовать на новой хост системе предварительно установите Oracle VM + VeraCrypt. Портативное решение рассмотрим в след. материале.

Пример: рабочая машина Ubuntu, в ней замаскированный под системный файл криптоконтейнер Veracrypt, в нем workstation и gateway + еще всякие чувствительные файлы.
Включаем virtual box > монтируем контейнер > подключаем файлы workstation и gateway из контейнера к Virtual box > запуск системы.

Ув. Cybersec, насколько это безопасная связка? Или лучше использовать отдельный SSD? Остаются ли в Убунту следы? Есть какие то рекомендуемые настройки для такой схемы? Как лучше завершать сессию, чтобы минимизировать возможный компромат?

Отдельно интересует момент логов, в случае изъятия ПК могут обнаружить, что VirtualBox запускал систему из непонятного файла который на деле является криптоконтейнером?
Задача скрыть факт использования самого Хуникс и естественно не выдать криптоконтейнер.

 

[netasvor]

Пример: рабочая машина Ubuntu, в ней замаскированный под системный файл криптоконтейнер Veracrypt, в нем workstation и gateway + еще всякие чувствительные файлы.
Включаем virtual box > монтируем контейнер > подключаем файлы workstation и gateway из контейнера к Virtual box > запуск системы.

Ув. Cybersec, насколько это безопасная связка? Или лучше использовать отдельный SSD? Остаются ли в Убунту следы? Есть какие то рекомендуемые настройки для такой схемы? Как лучше завершать сессию, чтобы минимизировать возможный компромат?

Отдельно интересует момент логов, в случае изъятия ПК могут обнаружить, что VirtualBox запускал систему из непонятного файла который на деле является криптоконтейнером?
Задача скрыть факт использования самого Хуникс и естественно не выдать криптоконтейнер.

Начнём с того, что маскируй или не маскируй - всем всё будет понятно. Спрятать контейнер под видом пдф - это для личного успокоения. Связка базовая, но юбунту не лучший вариант для хост‑системы ввиду телеметрии. Конечно, по сути, она соберёт только инфу о том, когда ты открыл/закрыл контейнер и иные второстепенные логи, но тем не менее. Если привык к ней, перепрыгни хотя бы на дебиан и на него люкс поставь. Прятать контейнер под другой иконкой и рассчитывать на это бесполезно там далеко не дураки работают. Лучше всего в данном случае поставь скрипт на unmount контейнера и послед. выключение системы по одной кнопке (если включат и постараются вытащить дампы свои сфотом на флешке - люкс не пустит). А потом надейся, что ты не особо нужный кадр и помимо ребят с автоматами нет дяди с жидким азотом и рюкзачком. Ну и самое главное, как по мне - это ключевой файл от контейнера на микросд. как её утилизировать - придумай сам, но это сильно поможет, когда дядя с азотом ничего не сможет сделать и возьмёт паяльник

 

[JIoBaHoB]

Настроить (оранжевая шестерня) → общие → расширенные → шифрование дисков → AES-256 → установить пароль → повторить на второй машине.

Для чего в виртуалке включать шифрование, если все диски лежат в зашифрованном контейнере?