Твоя анонимность. Установка Slik Guadrian.
Шалом! Silk Guardian — это программа, которая отключает ядро ОС, стирает ОЗУ, удаляет указанные пользователем данные и выключает компьютер, если она
замечает изменения в порте USB.
Если простым языком: когда кто-нибудь без вашего ведома вставит незнакомую флешку в ваше устройство, компьютер вырубится и очистит оперативную память.
Таким образом, у злоумышленника на руках окажутся не ваши данные, а зашифрованная болванка.
Дело в том, что недоброжелатель может запустить ПО для снятия слепка оперативной памяти, чтобы извлечь ключи шифрования, вот для чего скрипт очищает ОЗУ.
Вот одни из немногих способов применения этой программы:
- Представим, что недоброжелатель получил доступ к вашему компьютеру и
пытается что-то подключить к нему. Как вы поняли, как только он подключит свою периферию к нашему устройству, второе сразу выполнит команду стирания компрометирующих данных и отрубится. При повторной загрузке системы нашего недруга встретит окно запроса пароля от зашифрованного диска; - Допустим, вам нужно предусмотреть возможность мгновенного отключения
устройства. В этом случае мы можем до загрузки системы подключить к
компьютеру устройство не из доверенного списка, а затем загрузить систему, ввести пароль от диска и т. д. Система будет работать, но после того, как вы извлечете устройство, компьютер выключается и зашифруется;
Для начала нужно установить пакеты linux headers, git, gcc, make. Пишем в терминале:
# uname -r
Так мы узнаем версию ядра системы. У меня оно версии 5.10.34-1.
Теперь идём в пакетный менеджер, ищем там headers 510 и устанавливаем:
Этот пакет необходим, чтобы Silk Guardian работал как надо. К тому же он пригодится и для установки VirtualBox в будущем. После этого так же устанавливаем оставшиеся три пакета:
Git Gcc Make
Теперь установим сам модуль Silk Guardian.
# sudo su (вводим пароль администратора)
Без этого мы бы не смогли ничего делать в папке src.
# cd /usr/local/src
Это мы переходим в папку, в которую будем клонировать модуль.
Выполняем команду ls и убеждаемся, что папка пуста.
# git clone https://github.com/NateBrune/silk-guardian
/usr/local/src Выполняя следом команду ls мы убеждаемся, что появился каталог silk-guardian.
# cd silk-guardian
Входим в рабочий каталог и видим, что там располагается. На скриншоте изображены все команды по порядку:
Одним из четырех файлов в папке silk-guardian является config.h (посмотрите на GitHub, там есть список). Это — файл конфигурации, в него мы будем заносить список доверенных устройств и добавим путь к директориям, из которых нужно будет удалить компрометирующие материалы в случае экстренного отключения компьютера.
Давайте откроем файл конфигурации, используя текстовый редактор gedit.
# gedit config.h
Файл состоит из трёх частей: первая отвечает за то, какие файлы нужно удалить, вторая за то, сколько раз будет производиться цикл перезаписи (количество проходов) при удалении. Третья позволяет добавить устройства в доверенный список.
Если вы хотите, чтобы модуль удалял ваши файлы, то необходимо вписать следующее:
static char *remove_files[] = {
«/home/user/privatekey»,
«/home/user/sshnumber.pdf»,
«/home/obnal/mysecret»,
«/home/obnal/myhiddendata»,
NULL, /* Must be NULL terminated */
};Здесь "obnal" — имя пользователя.
Переходим ко второй части. По умолчанию количество проходов при удалении равно 3, но его можно увеличить или уменьшить. Учтите, что это влияет на скорость обработки, то есть вы выбираете между безопасностью и скоростью:
/* How many times to shred file. The more iterations the longer it takes. */ static char *shredIterations = «3»;
Теперь третья часть. Здесь нужно лишь добавить vid (vendor id) и pid (product id). Чтобы узнать все эти данные, нужно вставить в USB-порт устройство (мышь, клавиатуру, флешку и проч.) и выполнить команду:
# lsusb
Видим название устройства и копируем значение идентификаторов в файл
конфигураций. Например, если идентификаторы 80ee: 0021 и 1d6b: 0001, то в файле config.h нужно для каждого доверенного устройства создать строку:
{ USB_DEVICE (0×0000, 0×0000) }, со своими значениями vendor, product
/* List of all USB devices you want whitelisted (i.e. ignored) */
static conststruct usb_device_id whitelist_table[] = {
{ USB_DEVICE (0×80ee, 0×0021) },
{ USB_DEVICE (0×1d6b, 0×0001) },
};
Сохраняем документ. Теперь нам остается запустить модуль.
Вводим в терминале:
# make # make install # modprobe silk: Выводим модуль в боевое положение # gedit /etc/modules-load.d/modules.conf ( silk ): прописываем строку silk в открывшемся текстовом редакторе и сохраняем, добавляя модуль в автозагрузку.
Всё, модуль в рабочем состоянии, больше делать ничего не нужно. Если вам захочется отключить или удалить модуль, то делается это просто:
# modprobe -r silk: временно отключает модуль # rm -i /lib/modules/$(uname -r)/extra/silk.ko: удаляет модуль из системы # depmod -a
Теперь вы можете проверить результаты своих трудов, вставив в компьютер
устройство не из доверенного списка — система отключится.
Или вставьте устройство до загрузки, а когда система загрузилась, выньте — и она опять отключится. Получится экстренное отключение.
Вообще, можно не добавлять ни одно устройство в доверенные, а просто пользоваться второй опцией: если вы вставите флешку
до загрузки, ею можно будет пользоваться без проблем во время бодрствования ОС.
Тёмный Берег — Читает вся твоя синагога! А ест халу и дует шофар в моей курилке.
Strimer’s Weekdays — Канал контентщика Тёмного Берега.