"Условная Безопаснсость"

[Raxmar]

Аннотация.

Посвящается Модератору, соблаговолившему удалить на хрен все посты без возможности восстановления.
Кому нужны ссылки- искать самим, в очередной раз вписываит ссылки нет ни какого желания.

Средняя часть (так вышло!) находится ниже под комментариями

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

1. Панацеи не существует.
2. Если Вам говорят, что это Удобно, знайте, Вас Отымеют, именно так.
3. Если хочешь сделать хорошо, сделай это сам!
Вкратце:
Самое лучшее -не пользоваться цифровыми вещами, совсем!
Работать на заводе, пить спиртное, и ругать власть на кухне, а интернет и смартфоны-это от лукавого!
При любом рассмотрении ситуации, знайте элементарную физику: энергия всегда постоянна, меняется только её вид.
КПД 100% не существует.
Из двух последних пунктов выведите аксиому (пункт 2 в начале статьи)

Данная писанина не принуждает ни кого к действиям, это ТОЛЬКО для ознакомления.
Мнение сугубо оценочное и субъективное, и всё, что вы будете делать из ниже перечисленного только на Вашей ответственности и совести.
Здесь не будут приводится мнения и оценки типа: "как страшно жить" или "Цифровизация нас загонит в анальное рабство-Берегитесь".
Если Вы Гуру, у Вас форк фряхи, гуи для лохов а gpg-так себе, так-как можно круче, это не для вас.
Если Вы считаете и убеждены, что установив на Windows антивирус (обязательно не Российский!), пользуясь впн и протон-майл энд тор, Вы по большей части защищены, и у Вас действительно строгое убеждение, то просьба, не писать всякую хрень, это не про вас. Читайте сколько хотите, но на самом деле не пишите (это будет просто хламом).
Если Вы выходите на улицу и понимаете, что окружающие какие-то странные, причём Все, и не понимаете как можно брать кредит на новый телефон имея З/П в 20к вечнодеревянных+семью, смотря и читая СМИ понимаете, что Вас банально пытаются за троллит, так-как ни какой корреляции между тем, что сказано и делами нет, то это для вас.
Будет много лишнего (для большинства, но это так или иначе необходимо для понимания -для чего это!)
Ссылок по большому не будет, кому интересно, вэлкам в любимые поисковики.
Нет, в данном тексте не будет «как это сделать на windows и виртуалбокс»
Прежде всего ответьте сами себе на вопрос: для чего Вам анонимность и конфиденциальность?
Кстати, это не одно и то-же.
К примеру: двуногое существо у всех на глазах самоудовлетворяется, но при этом не видно ни его лица, ни каких либо отличительных вещей на его теле, и картника не позволяет идентифицировать ни по коже ни по строению тела, ни по чему-это

Анонимность.
А теперь представьте - двуногое существо с открытым лицом, на участках тела наколки, хорошо видны глаза, но при этом закрыта картинка на месте его гениталий, хотя кисти рук находятся там, как предположение- он может в этот момент самоудовлетворяется! Это Конфиденциальность.

И да, придётся затрачивать средства! И не раз. Халявы, как Вы понимаете, не будет, ну её в принципе не существует.


Для осуществления задуманного придётся понять, что Linux и Linux, (угу)) не одно и то-же, а вернее Linux и Linux-libre, мало того, в Linux очищенном от блобов и Linux-libre так-же имеет различие от "Стандартного" Linux/
Кароче-"зверинец" дистров Linux плодится как кролики.

Для не искушённых это не имеет ни какого значения, а зря. Ядро Linux содержит части бинарного кода, которые могут не относится вообще ни к чему, но при этом каждый релиз/обновление в них что-то меняется madaidans-insecurities,(автор тихонько умалчивает о роли MacOs в его гонораре)(в большинстве случаев, это не имеет ни какого отношения к самой работе ядра, просто обновления) да именно так, обновления ради обновлений! И на фоне этого в ядро попадает , а программистов много, не нужные вещи(для ядра)но не для другого, в простонародии- блобы! Но они могут работать Не на ядро, а на своих хозяев, при этом действительно отследить это становится всё сложнее.

Чувак, RMS, троль и в рот мне ноги(требуется войти в систему!), после того как не удалось перевести Linux на GPL.v3 даже после того как было ослаблена версия новой лицензии, по сравнению с первоначальным проектом по соглашению с Торвальдсом. крепко призадумался и решил (не только он))) повыпиливать из ядра Linux всё, что ни на есть хреновое! Получилась Linux без блобов аля RMS и Linux-libre.
Для тех кто не понимает: ядро Linux под GPL.v2, казалось бы ну и чё?, но нашлась небольшая конторка,Тивоизация которая сделала казалось-бы не возможное, нашла "баг" в самой лицензии, ну и как и полагается при капитализме, начала интенсивно это использовать.
Нет (на вопрос умных двуногих: но как-же!!!), сообществу Linux - насрать, так-как и в любом обществе есть 99% населения.
Кароче, имеем ядро, которое можно вставлять куда угодно и при этом ещё и собирать данные, используя ресурсы этого ядра со всех пользователей, без их ведома! (Привет Ведроид!)и все встраиваимые штучки, приветики! Да, да, Ваш любимый тостер на линуксе.
алсо. Бубунта в своё время накосячила с каким-то там приложением, и не отключила по умолчанию отсыл отчётов, поднялся шум, бубунта признала, извинилась......но прошло время. и всё на своих местах. Бубунта собирает метаданные (не только она, а практически все дистры) и не парится, ибо всем как всегда.
Естественно ни кто не отменяет связь самой OS со своими серверами как в момент установки так и в последующим(это так-же будет учитываться при проведении каких-либо действий со стороны «злоумышленника». Включая время, логи, что и как ставили, с какого устройства когда запускалась виртуалка и т.д.)
Приступим.
Выбор машинки.
Любой intel до 2008 Intel Active Management Technology(есть исключения для последующих год-два!?, нужно смотреть и проверять) или AMD до 2011 trustzone(есть исключения для последующих год-два!?, нужно смотреть и проверять)
Проверка некоторых уязвимостей проца spectre-meltdown-checker (искать самим)
( в реальности все компы, только технология была на низком уровне и отслеживание с привязкой было не совсем уж и точным, да и биг дата тогда только зарождалась, но..) Просто о том как вас можно официально поиметь.
Да, к сожалению. Если Вам говорят, это чушь, ну.. тогда просто читайте.
Не нужно использовать SSD, с ними много проблем, во первых- менее надёжны и долговечны, во вторых- хранение, если на блинах HDD удаление-это удаление(условно, об этом ниже) то на SSD удаление-это преремещение на другую микруху, и даже fstrim -all может не помочь!
После того, как Вы "удалили" файл (из корзины) он не удаляется, мало того, что система оставляет "хвосты", так и с самого диска не происходит удаление, а только затирание.
По существу всё, что только попало на цифровой носитель остаётся там навсегда. Другое дело как эту информацию вытащить.
Как затирать информация на Win. здесь не рассматривается, ибо само действо (использование) является полным ахтунгом. Кто против>в топку.
На Linux/GNU системах затираем нулями с просмотром выполнения

sudo dd if=/dev/urandom of=/dev/sdX status=progress

где X Ваш диск.
Но и это не спасёт, если некие товарищи добудут к вашему компу доступ. А именно к свопу. Или к оперативке, (как физически так и "удалённо" если к примеру Ваша память на частоте 2.5Ггц , это касается и виртуалок, да-да, мой юный хацкер, твоя новая оператива, потенциальна опасна)

sudo apt-get install secure-delete

смотрим где наш своп

cat /proc/swaps

к примеру
/dev/dm-2
закрываем

sudo swapoff /dev/dm-2

Отключаем его полностью:
в /etc/fstab

nano /etc/fstab

комментруем строку:
'#' перед '/ swapfile'

Удаление директории srm -r /имя_папки(директории)/
sdmem -f (Быстро затираем оперативную память, менее безопасно)
(для упёртых там есть хелп)

Затирание свободного места нулями.(после того как удалили командами выше)

sudo sfill -l -l /

Как Вы понимаете, на всё необходимо время.
Но и эти методы не спасут Вас, если цена вопроса выше нежели "взлом" Вашего компа.
Для примера.
В конце 90-х из каждого чайника лилось про Овечку Долли, Последний шум по поводу клонировани был в 2011 году, и... И всё! Вы не найдёте практически ни каких упоминания про данную технологию, даже используя

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Зато...

Помните телефончики сони, нокиа, эриксон начала нулевых? Владельцы тех телефонов у представить не могли в то время, что через пару десятков лет в их кармане будет устройство, которое мощнее в сотни а то и в тысячи раз Пентиум 4.
Так вот, Если Вы считаете, что опустив в синильную кислоту жесткий диск тем самым полностью стёрли всё информация, смею Вас заверить..это не так!.
Безусловно, всё та-же - Цена вопроса.Но при желании....
Да-да, фантастика. Это и необходимо, что-бы так думали. Мир не меняется.

Хвосты.
После выключения компа, в системе, после Вашей работе остаются разные файлики, ну там, для обеспечения при новой загрузки быстрого доступа к тем файлам, что были использованы до отключения и проч.
Вот они-то и есть то, на чём и ловят..
BleachBit, штука , которая позволяет удалять многое что (внимание, удалить может всё, внимательно выбирайте!)
Индексирование трекера
История Bash
Журналы USB
Недавние списки в различных приложениях со следами недавно открывавшихся документов.
Журналы Linux
журналы браузера
многое чего...
По умолчанию выбрана директория очистки кэша, можно добавлять своё.
Проблема заключается не в количестве супер-пупер приложений и девайсов, а в банальной лени и мечтаний аля: "сойдёт и так", но полумеры в цифровом мире на работают. И ошибку Всегда допускает сам пользователь, ибо - Олень.

Для многих работа с докером, питоном, и прочими го является чем-то само-самой разумеющее, а зря. Эта хрень на половину забита кодом, который ни когда не проверялся и имеет невообразимое количество уязвимостей.
46% Python-пакетов в репозитории PyPI содержат потенциально небезопасный код

4 000 000 общедоступных образов Docker, размещенных на Docker Hub, и обнаружили, что более половины из них имеют критические уязвимости
И так практически все языки… которые пользователь страстно «вталкивает» в свой комп.

Опять-же, для многих Двухфакторная авторизация и SSL(TLS) является панацеей, но ни тут-то было. Пользователь не понимает, что там где есть третье лицо, там нет ни какой секретности и безопасности. Для первого это всякие альфабеты, для второго центры сертификации(которые не имеют права работать на территории гос-ва, если не предоставляют Все ключи спец.,службам данного гос-ва), ведь большинство так и считает, что если в адресной строке горит предупреждение, или браузер категоричсески предупреждает о "опасном" с не верифицированном сертификатом,не защищённом сайте, то это действительно так!
Для пробы создайте свой сертификат на своём сервере и подпишите его (без Let'scrypt, а свой)
Без этого, да-же если сайт имеет https Вам в браузере выдаст предупреждение.
В третьих Злоумышленники могут получить «левый» сертификат. И перехватить данные, представившись вашим сайтом – никакое шифрование здесь не поможет.
Для предотвращения таких ситуаций Google и требует включения сертификатов в журналы Certificate Transparency, но насколько надежна такая система, пока неясно.
При чём не всегда "левый" является "левым", Серт.центры на полностью законных основаниях могут выдавать подменные сертификаты определённым службам по запросу.
Самое банально, что может хоть не много улучшить ситуацию это ТОР-браузер, по крайней мере, если необходимо хоть как-то обезопасить своё пребывание в сети.
Даже если полностью перелопатить Firefox (в ручную) такого как в TOR-браузере не добиться. Хотя для более серьёзных дел и он не подходит.
Таки да.
Вот тут-то и пригодится виртуалка.
Проблема в том, что более-менее машинок не много, а нужно минимум 4 ядра и 8 оперативы(это Минимум, так-как виртуалка будет работать в оперативе)

Заходим на сайт GNU
Качаем Trisquel (если при установке оного у Вас разрешение экрана не меняется под Ваши нужды, то придётся качать предыдущую версию и затем обновлять(долго!)) или PureOs (обе под Sistemd!) Если у Вас строгое решение по этому вопросу и Вы понимаете, что такое РедХат-троллинг, то что Вы тут ваще делаете?!) Для Вас фряхи и гик, последний прям там-же на GNU.
Почему эти два, ну вообще-то это единственные, которые можно использовать, первый на Ubuntu, второй на Debian, а учитывая остальные полтора! то выбор, мягко говоря, не столь-уж и велик.
Libreboot не рассматриваем. Если необходим
Заливаем на флешку, ставим,(всё в гуи, с мышкой и кнопочками"Продолжить" ну ток если не считать выбор языка)
При установке ставим пароль на шифрование всего диска. О паролях ниже.

Настраиваем систему под себя, я не о рюшечках и кружавчиках!
После установки отключаем своп.(если используете гуи установщик, где не выбираете разметку)

sudo apt update
sudo apt upgrade

Отключаем старые ядра. Если Вы используете систему для чего-то важного, не делайте этого, ибо возможности сохранки не будет.(в поисковик)
отключаем дамп

ulimit -c
sudo su
echo "fs.suid_dumpable=0" >> /etc/sysctl.conf
sysctl -p

Нижеследующее не обязательно (при использовании необходимо понимать, что многое придётся делать вручную при пользовании браузера)Не нужно менять что-либо в самом TOR-браузере
минимальный вариант(он-же подойдёт при использовании firefox-esr на виртуалке под системой user>vpn>whonix>vpn>internet)
Браузеры имеют так называемый "Отпечаток" Для примера, даже с полным отключением всего, что только можно

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

видит все ядра процессора и определяет действительную OS, по крайней мере видит, что Linux.

Создаёте файлик user.js
В него вставляем следующее:

Спойлер: Using firefox as a Confidential Browser

// disconnec Pocket
user_pref("extensions.pocket.api", "");
user_pref("extensions.pocket.enabled", false);
user_pref("extensions.pocket.site", "");
user_pref("extensions.pocket.oAuthConsumerKey", "");

// disconnec WebRTC
user_pref("media.peerconnection.enabled", false);
user_pref("media.peerconnection.ice.default_address_only", true);
user_pref("media.peerconnection.ice.no_host", true);
user_pref("media.peerconnection.ice.relay_only", true);
user_pref("media.peerconnection.ice.tcp", false);
user_pref("media.peerconnection.identity.enabled", false);
user_pref("media.peerconnection.turn.disable", true);
user_pref("media.peerconnection.use_document_iceservers", false);
user_pref("media.peerconnection.video.enabled", false);
user_pref("media.peerconnection.default_iceservers", "[]");

// disconnec Geolocation
user_pref("geo.enabled", false);
user_pref("geo.provider.ms-windows-location", false);
user_pref("geo.wifi.uri", "");

// Disabling asynchronous queries used for analytics
user_pref("beacon.enabled", false);
user_pref("browser.send_pings", false);
user_pref("browser.send_pings.require_same_host", false);

// Disabling performance metrics
user_pref("dom.enable_performance", false);
user_pref("dom.enable_performance_observer", false); user_pref("dom.enable_performance_navigation_timing", false);
user_pref("browser.slowStartup.notificationDisabled", false);

user_pref("network.predictor.enabled", false);
user_pref("network.predictor.enable-hover-on-ssl", false);
user_pref("network.prefetch-next", false); user_pref("network.http.speculative-parallel-limit", 0);

// Information about installed add-ons
user_pref("extensions.getAddons.cache.enabled", false);

// Disabling sensor access
user_pref("device.sensors.enabled", false);
user_pref("device.sensors.orientation.enabled", false);
user_pref("device.sensors.motion.enabled", false);

user_pref("device.sensors.proximity.enabled", false);
user_pref("device.sensors.ambientLight.enabled", false);
// Stop fingerprinting. These settings tell the browser to resist identification.

user_pref("dom.webaudio.enabled", false);
user_pref("privacy.resistFingerprinting", true);

// Overlapping network connection information
user_pref("dom.netinfo.enabled", false);
user_pref("dom.network.enabled", false);

// Disable the use of cameras, microphones, gamepads, virtual reality glasses and, together with the devices, the
//transfer of various
// media content, such as screenshots, etc. through the browser. We also turn off voice recognition.
user_pref("dom.gamepad.enabled", false);
user_pref("dom.gamepad.non_standard_events.enabled", false);
user_pref("dom.imagecapture.enabled", false);
user_pref("dom.presentation.discoverable", false);
user_pref("dom.presentation.discovery.enabled", false);
user_pref("dom.presentation.enabled", false);
user_pref("dom.presentation.tcp_server.debug", false);
user_pref("media.getusermedia.aec_enabled", false);
user_pref("media.getusermedia.audiocapture.enabled", false);
user_pref("media.getusermedia.browser.enabled", false);
user_pref("media.getusermedia.noise_enabled", false);
user_pref("media.getusermedia.screensharing.enabled", false);
user_pref("media.navigator.enabled", false);
user_pref("media.navigator.video.enabled", false);
user_pref("media.navigator.permission.disabled", true);
user_pref("media.video_stats.enabled", false);
user_pref("dom.battery.enabled", false);
user_pref("dom.vibrator.enabled", false);
user_pref("dom.vr.require-gesture", false);
user_pref("dom.vr.poseprediction.enabled", false);
user_pref("dom.vr.openvr.enabled", false);
user_pref("dom.vr.oculus.enabled", false);
user_pref("dom.vr.oculus.invisible.enabled", false);
user_pref("dom.vr.enabled", false);
user_pref("dom.vr.test.enabled", false);
user_pref("dom.vr.puppet.enabled", false);
user_pref("dom.vr.osvr.enabled", false);
user_pref("dom.vr.external.enabled", false);
user_pref("dom.vr.autoactivate.enabled", false);
user_pref("media.webspeech.synth.enabled", false);
user_pref("media.webspeech.test.enable", false);
user_pref("media.webspeech.synth.force_global_queue", false);
user_pref("media.webspeech.recognition.force_enable", false);
user_pref("media.webspeech.recognition.enable", false);

// Disabling telemetry and sending reports

// The browser collects telemetry data and signals developers when components crash. This can be disabled to increase anonymity.
user_pref("toolkit.telemetry.archive.enabled", false);
user_pref("toolkit.telemetry.bhrPing.enabled", false);
user_pref("toolkit.telemetry.cachedClientID", "");
user_pref("toolkit.telemetry.firstShutdownPing.enabled", false); user_pref("toolkit.telemetry.hybridContent.enabled", false);
user_pref("toolkit.telemetry.newProfilePing.enabled", false);
user_pref("toolkit.telemetry.previousBuildID", "");
user_pref("toolkit.telemetry.reportingpolicy.firstRun", false);
user_pref("toolkit.telemetry.server", "");
user_pref("toolkit.telemetry.server_owner", "");
user_pref("toolkit.telemetry.shutdownPingSender.enabled", false);
user_pref("toolkit.telemetry.unified", false);
user_pref("toolkit.telemetry.updatePing.enabled", false);
user_pref("datareporting.healthreport.infoURL", "");
user_pref("datareporting.healthreport.uploadEnabled", false);
user_pref("datareporting.policy.dataSubmissionEnabled", false);
user_pref("datareporting.policy.firstRunURL", "");
user_pref("browser.tabs.crashReporting.sendReport", false);
user_pref("browser.tabs.crashReporting.email", false);
user_pref("browser.tabs.crashReporting.emailMe", false);
user_pref("breakpad.reportURL", "");
user_pref("security.ssl.errorReporting.automatic", false);
user_pref("toolkit.crashreporter.infoURL", "");
user_pref("network.allow-experiments", false);
user_pref("dom.ipc.plugins.reportCrashUR", false);
user_pref("dom.ipc.plugins.flash.subprocess.crashreporter.enabled", false);

// Setting up search information
user_pref("browser.search.geoSpecificDefaults", false);
user_pref("browser.search.geoSpecificDefaults.url", "");
user_pref("browser.search.geoip.url", "");
user_pref("browser.search.region", "US");
user_pref("browser.search.suggest.enabled", false);
user_pref("browser.search.update", false);

// Disabling push notifications
user_pref("dom.push.enabled", false);
user_pref("dom.push.connection.enabled", false);
user_pref("dom.push.serverURL", "");

// Here we remove possible DNS leakage over IPv6, disable DNS preemptive sending and configure DoH - DNS over HTTPS.
user_pref("network.dns.disablePrefetch", true);
user_pref("network.dns.disableIPv6", true);
user_pref("network.security.esni.enabled", true);
user_pref("network.trr.mode", 2);
user_pref("network.trr.uri", "

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

");

// Disabling redirects
user_pref("network.captive-portal-service.enabled", false);
user_pref("network.captive-portal-service.maxInterval", 0);
user_pref("captivedetect.canonicalURL", "");

// Preventing data leakage to Google servers

// With the default settings, Google is supposed to protect you from viruses and phishing. This is often a seful feature, but if you // know what you're doing and don't want Google watching, you can get rid of that scrutiny.
user_pref("browser.safebrowsing.allowOverride", false);
user_pref("browser.safebrowsing.blockedURIs.enabled", false);
user_pref("browser.safebrowsing.downloads.enabled", false);
user_pref("browser.safebrowsing.downloads.remote.block_dangerous", false);
user_pref("browser.safebrowsing.downloads.remote.block_dangerous_host", false);
user_pref("browser.safebrowsing.downloads.remote.block_potentially_unwanted", false);
user_pref("browser.safebrowsing.downloads.remote.block_uncommon", false);
user_pref("browser.safebrowsing.downloads.remote.enabled", false);
user_pref("browser.safebrowsing.malware.enabled", false);
user_pref("browser.safebrowsing.phishing.enabled", false);
user_pref("browser.safebrowsing.downloads.remote.url", "");
user_pref("browser.safebrowsing.provider.google.advisoryName", "");
user_pref("browser.safebrowsing.provider.google.advisoryURL", "");
user_pref("browser.safebrowsing.provider.google.gethashURL", "");
user_pref("browser.safebrowsing.provider.google.reportMalwareMistakeURL", "");
user_pref("browser.safebrowsing.provider.google.reportPhishMistakeURL", "");
user_pref("browser.safebrowsing.provider.google.reportURL", "");
user_pref("browser.safebrowsing.provider.google.updateURL", "");
user_pref("browser.safebrowsing.provider.google4.advisoryName", "");
user_pref("browser.safebrowsing.provider.google4.advisoryURL", "");
user_pref("browser.safebrowsing.provider.google4.dataSharingURL", "");
user_pref("browser.safebrowsing.provider.google4.gethashURL", "");
user_pref("browser.safebrowsing.provider.google4.reportMalwareMistakeURL", "");

// Disabling DRM
user_pref("browser.eme.ui.enabled", false);
user_pref("media.eme.enabled", false);

user_pref("browser.safebrowsing.enabled", false);
user_pref("dom.storage.enabled", false);
user_pref("network.dns.disablePrefetch ", false);
user_pref("network.http.sendSecureXSiteReferrer", false);
user_pref("network.proxy.socks_remote_dns", false);
user_pref("network.http.sendRefererHeader", 0);
user_pref("dom.storage.enabled ", false);

Keep in mind that security and privacy are always a trade-off with convenience. Some settings can significantly limit the functionality of sites, but greatly increase security and privacy when surfing. Which is more important is up to you.

Этот браузер для всяких нужд, обойти роскомнадзор и т.п. не привлекая особого внимания как провайдера так и СОРМ
Для серфинга сети по "нормальному" ставите что-то вроде эпифани, мидори...они не плохо работают как с гос. сайтами так и со всякими гуглами.
продолжение следует...

 

[Raxmar]

LUKS


Для этого нам и нужен был сервер с поддержкой dev-mapper. (желательно не один сервер!)


Как узнать поддерживает ли процессор моего сервера (ПК) набор инструкций AES-NI?

grep -Eq 'aes' /proc/cpuinfo && echo Yes || echo No

На нём будет хранить всё самое ценное для нас, и подальше от посторонних глаз.

Как выше было сказано, хостер может невозбранно смотреть что у Вас там на серваке

Логинимся на серваке

Устанавливаем утилиту

sudo apt install cryptsetup

Создаём том размером 512 Мб с названием dir-crypt(размер сами подбираете для своих целей) Вариант медленный!

dd if=/dev/urandom of=/root/dir-crypt bs=1M count=512

Преобразовываем в LUKS

cryptsetup -y luksFormat /root/dir-crypt

Отвечаете YES, большими буквами

Задаёте пароль. Здесь нет восстановления пароля, если забудете, лишитесь доступа!

Проверяем

file /root/dir-crypt

Разворачиваем контейнер

cryptsetup luksOpen /root/dir-crypt crypt-volume

Создать файловую систему:

mkfs.ext4 -j /dev/mapper/crypt-volume

Монтируем

mkdir /mnt/crypt-files

Зашифрованное устройство готово к использованию, осталось только смонтировать .

mount /dev/mapper/crypt-volume /mnt/crypt-files

Проверяем, копируем

cp -r /etc/ssh/ /mnt/crypt-files/

смотрим

df -h

Будет вывод примерно(у Вас будут свои данные):


Filesystem Size Used Avail Use% Mounted on

куча всего……...

/dev/mapper/crypt-volume 465M 1.3M 429M 2% /mnt/crypt-files


Для того, чтобы закончить работу с контейнером, надо его отмонтировать, а затем отключить:

cd /

umount /mnt/crypt-files

cryptsetup luksClose crypt-volume

У нас есть самый обычный файл, зашифрованный с помощью нашего пароля, данные которые недоступны постороннему, даже если он получит физический доступ к серверу.


Чтобы снова воспользоваться контейнером, надо будет его опять инициализировать и смонтировать:

cryptsetup luksOpen /root/dir-crypt crypt-volume

mount /dev/mapper/crypt-volume /mnt/crypt-files

Проблема данного метода состоит в возможных снимках и дампах Вашего VPS самим хостером.

Решаем эту проблему (сам том не удаляем а используем и далее, как вариант дополнительной защиты!) с помощью старого, доброго gpg.

Если вдруг Вы решили зашифровать файл/директоррию(папку) в LUKS используя встроенную утилиту Whonix то передать этот зашифрованный файл по ssh(shell/sftp) на сервер без изменения файла не получится.(?)


И так.

У Вас есть файл test (с любым расширением, какое у Вас будет)

Шифрование (только на своей рабочей станции (гостевая Whonix))

gpg --cipher-algo AES256 -c test

где используется алгоритм AES256 и симметричное шифрование -c


Будет предложено ввести пароль два раза (в некоторых вариантах систем пароль НЕ отображается!) (Если забудете пароль, лишитесь данных!)


получится файл test.gpg

Заливаете на сервер

sudo mc

Если не установлен mc, ставим (почему mc, привычней!)

sudo apt install mc

В левой(правой) выбираете Shell-соединение (не выбирайте SFTP -медленно и присутствуют ошибки передачи)

в окошке вводите свой логин@ip сервера

Ввод

Потребует, напишите

yes

Вводите пароль

Ждёте синхронизации

Копируете получившийся зашифрованный файл в Примонтированный том LUKS

Отмонтируете том.

Всё.


На сервере ни при каких обстоятельствах не расшифровываете свой файл, только после передачи его на Вашу рабочую машину.


Обратный порядок


mc

shell-соединение

копирование на свою машину

Расшифровываете (вводите пароль)

gpg test.gpg

Ищите свой файлик.


Таким-же методом и директорию /test, только перед шифрованием необходимо архивировать

tar -cvf test.tar.gz test

После расшифровки

выполнить

tar -xvf test.tar.gz

Пароли


С паролями обстоит всё очень плохо. Во первых их нужно запоминать или где-то хранить. Если хранить, то существует возможность вынужденно открыть пароли тем, кто это затребует, так-как они видят, что пароли есть (к примеру та-же утилита KeepPass.)


То-есть Вы вынуждены будете под видом паяльника возле Вашей задницы так или иначе открыть.

Если Вы думаете, что ребята будут задействовать НИИ для расшифровки Вашего пароля, то заблуждаетесь... Единственная проблема для них на тот момент будет наяти младшего и отправить его в ближайший магазин за пааяльником стоимостью 5 баксов


Другое дело если паролей там не будет! И Вы спокойно открываете и показываете, а на нет, как говорят, и суда нет.



При чём это касается и расшифровки жёсткого диска, по этой причине Не храните ни чего на своей машине и виртуалке

Но хранить то где-то нужно, (не рассматривается один или несколько паролей на все случаи, это бред)


В уме хранить...такое себе. Хотя...

Вам необходимо создать алгоритм хранения и использования паролей.


Такая модель не нужна для хранения Ваших паролей и логинов от социальных сетей, разного рода ресурсов Гос. органов и прочее. То-есть от Вашей прямой цифровой личности. Храните как раз эти данные в KeepPass

Во первых, часть паролей (именно часть каждого из паролей, а не "Часть" -кол-во ) храните в открытом виде. это может быть как текст, заголовок чего-либо или то, что придёт Вам на ум (и только Вам)


Следующую часть храните на серверах под gpg
А третью часть в уме.
Алгоритм примерный, каждый пользователь решает сам.
Не храните пароли от серверов на Вашей машине (виртуалке) Алгоритм придумываете сами
По факту на вашей машине Не должно быть возможность входа (и даже хоть какое-то упоминание) в ваши сервера


BleachBit после каждого сеанса Вам в помощь (удаление истории bash)

Как вариант очистить историю bash

cat /dev/null > ~/.bash_history && history -c

Это временно, история может не удалиться, для полного отключения как истории так истории не посредственно в терминале (Вы не будете видеть переключая клавишами «вверх» «вниз») в файле .bashrc_whonix

HISTSIZE=0

HISTFILESIZE=0

Для резерва usb под LUKS-ом в клетке фарадея,(большой вопрос при использовании данного девайса для гаджета, ARM не декларирует Все возможности приёмо-передающего устройства в чипе, включая отличные частоты от общепринятых стандартов)

завернутую в непромокамый контейнер и спрятанный в укромном месте за пару десятков (сотен) км, ну что-бы не было соблазна типа: Сейчас если не получится, всё-равно есть флэшка, она спасёт.


Она только для экстренных ситуация.


Сама флэшка имеет ту-же (возможно!)способность что и ssd запись на другое хранение, так-что она ни при каких обстоятельствах не может быть в пределах видимости «злоумышленника».


UPD Usb носитель не долговечен! Боится магнетизма и облучения (как радиационного так и тысяч других)


Немного о шифровании usb
ext4 как многие другие фс являются журналируемыми, и тем самым постоянно переписывают данные на носители, что плохо влияет на USB флэшки, которые имеют ограниченное количество перезаписи.

Можно использовать fat, но тогда методом LUKS у Вас не получится зашифровать (этот метод только для Linux ситем)

Но есть очень не плохая фс под названием btrfs, вот с ней и нужно шифровать в ZuluCrypt (выбираете LUKS2)

-----------------------


Гаджеты.


Вы задумывались по чему в мире есть только одна компания, которая разрабатывает чипы для мобильных устройств? Интел и остальную мелочь не учитываем, в некоторых ещё хуже обстоят дела.
Казалось-бы, рынок, конкуренция!
Нет, мир не капитализма, тот в котором мы живём, а хрен знает чего…
ARM только разрабатывает.
Вендоры производят, куалкомы и т. д.
Но при этом сама ARM передаёт вендорам только необходимую информация о чипе, для драйверов, эту-же информацию она передаёт и производителям OS Гуглу и Эпплу и менее значимым.

Можно поискать о роли ARM TrustZone как в самих чипах ARM таки в процессорах AMD (те не стали даже заморачиваться как Intel).


В общих чертах.


Внутри чипа есть не только проц, память, модули связи и всякое остальное, но и сам модуль TrustZone , в который входит Свой процессор, Своя оперативка, Свой жесткий диск и Своя OS и Полный доступ ко всей системе как к «железу» так и к OS.

Поставщики услуг, операторы мобильных сетей(MNO), разработчики операционных систем, разработчики приложений, производители устройств, поставщики платформ и поставщики микросхем являются основными заинтересованными сторонами, вносящими свой вклад в усилия по стандартизации TEE.

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

AMD лицензировала и включила технологию TrustZone в свою технологию защищённых процессоров. AMD, включенные в некоторые, но не во все продукты, включают процессор Cortex-A5 для обеспечения безопасной обработки. Фактически, ядро Cortex-A5 TrustZone было включено в более ранние продукты AMD, но не было включено из-за нехватки времени.

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Ребята из Purism (Это который Librem 5) так и не смогли полностью вычистить чип. Выходом стали физические блокираторы по сходству PinePhone.

Что ни как не спасает ситуацию (связь-то нужна!). Даже переписанные драйвера на вай-фай не спасают, TrustZone перехватывает сигнал.

Единственное что помогает Полное шифрование, на уровне OS, но и оно не спасет он знает, куда оно идёт. Это касается всех процов интел и амд (соответственно) с 2008 и 2011 (с некоторыми процами без оного).

Портативные устройства мобильной связи (например, смартфоны) содержат две операционные системы. Основную программную платформу взаимодействия с пользователем дополняет вторая, низкоуровневая проприетарная операционная система реального времени, обслуживающая радиооборудование. Исследования показали, что такие низкоуровневые операционные системы уязвимы перед вредоносными базовыми станциями, способными получить контроль над мобильным устройством

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Все, без исключения современны процессоры ARM, включая кнопочные (без андроида), железяки крипто-кошельков имеют это

Если интересна специализация, то посмотрите сколько "весит" приложение Сбера на плэй маркете и соберите вэб-ап на андроид студио сами, а ведь по функционалу то-же самое!
Тот-же Сбер не раз размещал вакансии со знанием trustzone
Казалось-бы, ну и хрен с ними, пусть знают, они-же иностранцы..., но не всё так радужно.


SAP, HANA, Oracle и остальные…

В цифровом мире нет ни чего обособленного, если информация появилась в сети то так или иначе она будет подвергнута обработки для последующей или продажи или использовании в других назначениях. Как вариант тупо хранить до определённого момента.

Вся инфа так или иначе стекается в обработки биг даты, то-есть..

Пользователь создавая цифровую личность делает некоторые «телодвижения» (поведенческие данные) и на основании этого оператор присваивает этой личности те или иные характеристики.


Ни кому из власти не нужны ни какие «персональные данные» они и так всё знают, но вот связать эти данные с поведенческими это труд. А в нашем мире всё и вся продаётся, надеюсь не нужно объяснять, что службы (любые) имеют бюджет, и в зависимости от результатов своей деятельности будут надеяться на увеличение этого бюджета.

И всё упирается в пресловутую «Цена вопроса»
Если создать акк в соц.сети и написать там о РПЦ нелицеприятное, то утром постучатся в двери. (утрируя)
Если создать акк в соц.сети использую хотя-бы впн(создание второго впн через тор) то утром не постучатся.
Но если перейти дорогу скажем на пару млн. баксов, то и это не поможет.

И да, все ребята в чёрном так или иначе сотрудничают с биг датой, и плевать им на всякие санкции, «деньги не пахнут».

Это о том, что многие считают «я никому не нужен»и «это-же зарубежное»

Много инфы тут(ссылки нет), в том числе о разных видах деанона и сохранении анонимности и приватности. А так-же про использовании телефонов, хотя это, как высказался RMS «Подарок для Сталина».

Да и вообще, определить, что Вы пользовались сначала одним телефоном(выключив) затем вторым, не составляет ни какого труда.
Научитесь пользоваться картами, обыкновенными, печатными.
Научитесь определять положение на местности.
На вопрос, а что без телефона, ответ может быть: «боюсь всего цифрового, ну вот страх у меня такой»
Как удалит всю инфу из сети.


Вкратце — ни как.
Если кто-то думает, что удалив из гугла аккаунт, гугл о нём больше ни чего не знает..то, прям и не знаю, такие действительно есть, кто так думает?

Если что-то попало в сеть, а тем более к IT гигантам, там оно и останется, и будет использоваться против Вас.
Вы не задумывались почему большинство услуг Бесплатные?
Ведь за эти услуги платят разрабам , маркетологам и прочему блуду.
В «Бесплатном» товаром является сам пользователь, и только он и есть движущая сила этого бизнеса.
Как когда-то сказали «Это гугл должен платить пользователем, что-бы они пользовались его услугами»


Google начала брать деньги с правоохранителей за пользовательские данные(искать самим)

Платит ЗА ВСЁ только конечный пользователь, ни одна компания и фирма, ни одно учреждение ни чего ни каких налогов и сборов НЕ платит, это всё учитывается в формировании цены, которую заплатит Конечный пользователь, то-есть мы с вами.
Иными словами, нет- ни кто не удалит Ваши данные со своих серверов.
Их проанализируют, составят цепочки связей и упакуют в архив, который будет виден программному обеспечению для быстрой связи в случае чего.

Не много практики.

VPN

1.Создайте firefox как выше описано (с полной вставкой)
2.Зайдите на гугл.
3.Примите условия.
4.Можете себя поздравить, Вы создали Новую цифровую личность, да она уже на «особом виду» так-как ваш ip где-то посреди Атлантического океана….


1.Создайте firefox как выше описано (с полной вставкой)
2.Зайдите на гугл.
3.Зайдите в настройки и отключите всё что там есть (именно сначала включить, затем выключить)
4.Можете себя поздравить, Вы создали Новую цифровую личность, да она уже на «особом виду» так-как ваш ip где-то посреди Атлантического океана….


Мало того, Вашу личность начали усиленно мониторить.. «а накой хер он всё поотключал?»
1.Создайте firefox как выше описано (с полной вставкой)
2.Зайдите на гугл.
3.Зайдите в настройки и … попробуйте просто выйти, ни чего там не делая.

… им необходимы Ваши действия, в противном случае Вы не можете использовать данный ресурс.


Если кто не читает «Лицензионные соглашения» и всякое такое. К просмотру Саус Парк.Человекайподоножка.


Для каждой цели в интернете научитесь делать Новую личность. Будь то регистрация на каком-то ресурсе или связь с кем-либо.
Научитесь писать разными «языками», как правила, пунктуация, манера изъяснения.
И Не храните на своём устройстве что-либо, что может привести к Вашим делам.
Не заливайте на интернет ресурсы какие-либо файлы, ни одна утилита не удаляет Все метаданные.

UPD. данные ssh, которые появляются после установления связи с Вашим сервером, при окончании работы необходимо удалять Whonix в дирректории /home/user/.ssh/ удалите всё.

 

[misa amane]

Будут еще перезаливы других статей? хотел знания освежить, может чего-то процитировать и тут.... Все статьи удалены.

 

[LEGAL_DIPLOMAT]

Аннотация.


1. Панацеи не существует.
2. Если Вам говорят, что это Удобно, знайте, Вас Отымеют, именно так.
3. Если хочешь сделать хорошо, сделай это сам!
Вкратце:
Самое лучшее -не пользоваться цифровыми вещами, совсем!
Работать на заводе, пить спиртное, и ругать власть на кухне, а интернет и смартфоны-это от лукавого!
При любом рассмотрении ситуации, знайте элементарную физику: энергия всегда постоянна, меняется только её вид.
КПД 100% не существует.
Из двух последних пунктов выведите аксиому (пункт 2 в начале статьи)

Данная писанина не принуждает ни кого к действиям, это ТОЛЬКО для ознакомления.
Мнение сугубо оценочное и субъективное, и всё, что вы будете делать из ниже перечисленного только на Вашей ответственности и совести.
Здесь не будут приводится мнения и оценки типа: "как страшно жить" или "Цифровизация нас загонит в анальное рабство-Берегитесь".
Если Вы Гуру, у Вас форк фряхи, гуи для лохов а gpg-так себе, так-как можно круче, это не для вас.
Если Вы считаете и убеждены, что установив на Windows антивирус (обязательно не Российский!), пользуясь впн и протон-майл энд тор, Вы по большей части защищены, и у Вас действительно строгое убеждение, то просьба, не писать всякую хрень, это не про вас. Читайте сколько хотите, но на самом деле не пишите (это будет просто хламом).
Если Вы выходите на улицу и понимаете, что окружающие какие-то странные, причём Все, и не понимаете как можно брать кредит на новый телефон имея З/П в 20к вечнодеревянных+семью, смотря и читая СМИ понимаете, что Вас банально пытаются за троллит, так-как ни какой корреляции между тем, что сказано и делами нет, то это для вас.
Будет много лишнего (для большинства, но это так или иначе необходимо для понимания -для чего это!)
Ссылок по большому не будет, кому интересно, вэлкам в любимые поисковики.
Нет, в данном тексте не будет «как это сделать на windows и виртуалбокс»
Прежде всего ответьте сами себе на вопрос: для чего Вам анонимность и конфиденциальность?
Кстати, это не одно и то-же.
К примеру: двуногое существо у всех на глазах самоудовлетворяется, но при этом не видно ни его лица, ни каких либо отличительных вещей на его теле, и картника не позволяет идентифицировать ни по коже ни по строению тела, ни по чему-это

Анонимность.
А теперь представьте - двуногое существо с открытым лицом, на участках тела наколки, хорошо видны глаза, но при этом закрыта картинка на месте его гениталий, хотя кисти рук находятся там, как предположение- он может в этот момент самоудовлетворяется! Это Конфиденциальность.

И да, придётся затрачивать средства! И не раз. Халявы, как Вы понимаете, не будет, ну её в принципе не существует.


Для осуществления задуманного придётся понять, что Linux и Linux, (угу)) не одно и то-же, а вернее Linux и Linux-libre, мало того, в Linux очищенном от блобов и Linux-libre так-же имеет различие от "Стандартного" Linux/
Кароче-"зверинец" дистров Linux плодится как кролики.

Для не искушённых это не имеет ни какого значения, а зря. Ядро Linux содержит части бинарного кода, которые могут не относится вообще ни к чему, но при этом каждый релиз/обновление в них что-то меняется madaidans-insecurities,(автор тихонько умалчивает о роли MacOs в его гонораре)(в большинстве случаев, это не имеет ни какого отношения к самой работе ядра, просто обновления) да именно так, обновления ради обновлений! И на фоне этого в ядро попадает , а программистов много, не нужные вещи(для ядра)но не для другого, в простонародии- блобы! Но они могут работать Не на ядро, а на своих хозяев, при этом действительно отследить это становится всё сложнее.

Чувак, RMS, троль и в рот мне ноги(требуется войти в систему!), после того как не удалось перевести Linux на GPL.v3 даже после того как было ослаблена версия новой лицензии, по сравнению с первоначальным проектом по соглашению с Торвальдсом. крепко призадумался и решил (не только он))) повыпиливать из ядра Linux всё, что ни на есть хреновое! Получилась Linux без блобов аля RMS и Linux-libre.
Для тех кто не понимает: ядро Linux под GPL.v2, казалось бы ну и чё?, но нашлась небольшая конторка,Тивоизация которая сделала казалось-бы не возможное, нашла "баг" в самой лицензии, ну и как и полагается при капитализме, начала интенсивно это использовать.
Нет (на вопрос умных двуногих: но как-же!!!), сообществу Linux - насрать, так-как и в любом обществе есть 99% населения.
Кароче, имеем ядро, которое можно вставлять куда угодно и при этом ещё и собирать данные, используя ресурсы этого ядра со всех пользователей, без их ведома! (Привет Ведроид!)и все встраиваимые штучки, приветики! Да, да, Ваш любимый тостер на линуксе.
алсо. Бубунта в своё время накосячила с каким-то там приложением, и не отключила по умолчанию отсыл отчётов, поднялся шум, бубунта признала, извинилась......но прошло время. и всё на своих местах. Бубунта собирает метаданные (не только она, а практически все дистры) и не парится, ибо всем как всегда.
Естественно ни кто не отменяет связь самой OS со своими серверами как в момент установки так и в последующим(это так-же будет учитываться при проведении каких-либо действий со стороны «злоумышленника». Включая время, логи, что и как ставили, с какого устройства когда запускалась виртуалка и т.д.)
Приступим.
Выбор машинки.
Любой intel до 2008 Intel Active Management Technology(есть исключения для последующих год-два!?, нужно смотреть и проверять) или AMD до 2011 trustzone(есть исключения для последующих год-два!?, нужно смотреть и проверять)
Проверка некоторых уязвимостей проца spectre-meltdown-checker (искать самим)
( в реальности все компы, только технология была на низком уровне и отслеживание с привязкой было не совсем уж и точным, да и биг дата тогда только зарождалась, но..) Просто о том как вас можно официально поиметь.
Да, к сожалению. Если Вам говорят, это чушь, ну.. тогда просто читайте.
Не нужно использовать SSD, с ними много проблем, во первых- менее надёжны и долговечны, во вторых- хранение, если на блинах HDD удаление-это удаление(условно, об этом ниже) то на SSD удаление-это преремещение на другую микруху, и даже fstrim -all может не помочь!
После того, как Вы "удалили" файл (из корзины) он не удаляется, мало того, что система оставляет "хвосты", так и с самого диска не происходит удаление, а только затирание.
По существу всё, что только попало на цифровой носитель остаётся там навсегда. Другое дело как эту информацию вытащить.
Как затирать информация на Win. здесь не рассматривается, ибо само действо (использование) является полным ахтунгом. Кто против>в топку.
На Linux/GNU системах затираем нулями с просмотром выполнения

sudo dd if=/dev/urandom of=/dev/sdX status=progress

где X Ваш диск.
Но и это не спасёт, если некие товарищи добудут к вашему компу доступ. А именно к свопу. Или к оперативке, (как физически так и "удалённо" если к примеру Ваша память на частоте 2.5Ггц , это касается и виртуалок, да-да, мой юный хацкер, твоя новая оператива, потенциальна опасна)

sudo apt-get install secure-delete

смотрим где наш своп

cat /proc/swaps

к примеру
/dev/dm-2
закрываем

sudo swapoff /dev/dm-2

Отключаем его полностью:
в /etc/fstab

nano /etc/fstab

комментруем строку:
'#' перед '/ swapfile'

Удаление директории srm -r /имя_папки(директории)/
sdmem -f (Быстро затираем оперативную память, менее безопасно)
(для упёртых там есть хелп)

Затирание свободного места нулями.(после того как удалили командами выше)

sudo sfill -l -l /

Как Вы понимаете, на всё необходимо время.
Но и эти методы не спасут Вас, если цена вопроса выше нежели "взлом" Вашего компа.
Для примера.
В конце 90-х из каждого чайника лилось про Овечку Долли, Последний шум по поводу клонировани был в 2011 году, и... И всё! Вы не найдёте практически ни каких упоминания про данную технологию, даже используя

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Зато...

Помните телефончики сони, нокиа, эриксон начала нулевых? Владельцы тех телефонов у представить не могли в то время, что через пару десятков лет в их кармане будет устройство, которое мощнее в сотни а то и в тысячи раз Пентиум 4.
Так вот, Если Вы считаете, что опустив в синильную кислоту жесткий диск тем самым полностью стёрли всё информация, смею Вас заверить..это не так!.
Безусловно, всё та-же - Цена вопроса.Но при желании....
Да-да, фантастика. Это и необходимо, что-бы так думали. Мир не меняется.

Хвосты.
После выключения компа, в системе, после Вашей работе остаются разные файлики, ну там, для обеспечения при новой загрузки быстрого доступа к тем файлам, что были использованы до отключения и проч.
Вот они-то и есть то, на чём и ловят..
BleachBit, штука , которая позволяет удалять многое что (внимание, удалить может всё, внимательно выбирайте!)
Индексирование трекера
История Bash
Журналы USB
Недавние списки в различных приложениях со следами недавно открывавшихся документов.
Журналы Linux
журналы браузера
многое чего...
По умолчанию выбрана директория очистки кэша, можно добавлять своё.
Проблема заключается не в количестве супер-пупер приложений и девайсов, а в банальной лени и мечтаний аля: "сойдёт и так", но полумеры в цифровом мире на работают. И ошибку Всегда допускает сам пользователь, ибо - Олень.

Для многих работа с докером, питоном, и прочими го является чем-то само-самой разумеющее, а зря. Эта хрень на половину забита кодом, который ни когда не проверялся и имеет невообразимое количество уязвимостей.
46% Python-пакетов в репозитории PyPI содержат потенциально небезопасный код

4 000 000 общедоступных образов Docker, размещенных на Docker Hub, и обнаружили, что более половины из них имеют критические уязвимости
И так практически все языки… которые пользователь страстно «вталкивает» в свой комп.

Опять-же, для многих Двухфакторная авторизация и SSL(TLS) является панацеей, но ни тут-то было. Пользователь не понимает, что там где есть третье лицо, там нет ни какой секретности и безопасности. Для первого это всякие альфабеты, для второго центры сертификации(которые не имеют права работать на территории гос-ва, если не предоставляют Все ключи спец.,службам данного гос-ва), ведь большинство так и считает, что если в адресной строке горит предупреждение, или браузер категоричсески предупреждает о "опасном" с не верифицированном сертификатом,не защищённом сайте, то это действительно так!
Для пробы создайте свой сертификат на своём сервере и подпишите его (без Let'scrypt, а свой)
Без этого, да-же если сайт имеет https Вам в браузере выдаст предупреждение.
В третьих Злоумышленники могут получить «левый» сертификат. И перехватить данные, представившись вашим сайтом – никакое шифрование здесь не поможет.
Для предотвращения таких ситуаций Google и требует включения сертификатов в журналы Certificate Transparency, но насколько надежна такая система, пока неясно.
При чём не всегда "левый" является "левым", Серт.центры на полностью законных основаниях могут выдавать подменные сертификаты определённым службам по запросу.
Самое банально, что может хоть не много улучшить ситуацию это ТОР-браузер, по крайней мере, если необходимо хоть как-то обезопасить своё пребывание в сети.
Даже если полностью перелопатить Firefox (в ручную) такого как в TOR-браузере не добиться. Хотя для более серьёзных дел и он не подходит.
Таки да.
Вот тут-то и пригодится виртуалка.
Проблема в том, что более-менее машинок не много, а нужно минимум 4 ядра и 8 оперативы(это Минимум, так-как виртуалка будет работать в оперативе)

Заходим на сайт GNU
Качаем Trisquel (если при установке оного у Вас разрешение экрана не меняется под Ваши нужды, то придётся качать предыдущую версию и затем обновлять(долго!)) или PureOs (обе под Sistemd!) Если у Вас строгое решение по этому вопросу и Вы понимаете, что такое РедХат-троллинг, то что Вы тут ваще делаете?!) Для Вас фряхи и гик, последний прям там-же на GNU.
Почему эти два, ну вообще-то это единственные, которые можно использовать, первый на Ubuntu, второй на Debian, а учитывая остальные полтора! то выбор, мягко говоря, не столь-уж и велик.
Libreboot не рассматриваем. Если необходим
Заливаем на флешку, ставим,(всё в гуи, с мышкой и кнопочками"Продолжить" ну ток если не считать выбор языка)
При установке ставим пароль на шифрование всего диска. О паролях ниже.

Настраиваем систему под себя, я не о рюшечках и кружавчиках!
После установки отключаем своп.(если используете гуи установщик, где не выбираете разметку)

sudo apt update
sudo apt upgrade

Отключаем старые ядра. Если Вы используете систему для чего-то важного, не делайте этого, ибо возможности сохранки не будет.(в поисковик)
отключаем дамп

ulimit -c
sudo su
echo "fs.suid_dumpable=0" >> /etc/sysctl.conf
sysctl -p

Нижеследующее не обязательно (при использовании необходимо понимать, что многое придётся делать вручную при пользовании браузера)Не нужно менять что-либо в самом TOR-браузере
минимальный вариант(он-же подойдёт при использовании firefox-esr на виртуалке под системой user>vpn>whonix>vpn>internet)
Браузеры имеют так называемый "Отпечаток" Для примера, даже с полным отключением всего, что только можно

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

видит все ядра процессора и определяет действительную OS, по крайней мере видит, что Linux.

Создаёте файлик user.js
В него вставляем следующее:

Спойлер: Using firefox as a Confidential Browser

// disconnec Pocket
user_pref("extensions.pocket.api", "");
user_pref("extensions.pocket.enabled", false);
user_pref("extensions.pocket.site", "");
user_pref("extensions.pocket.oAuthConsumerKey", "");

// disconnec WebRTC
user_pref("media.peerconnection.enabled", false);
user_pref("media.peerconnection.ice.default_address_only", true);
user_pref("media.peerconnection.ice.no_host", true);
user_pref("media.peerconnection.ice.relay_only", true);
user_pref("media.peerconnection.ice.tcp", false);
user_pref("media.peerconnection.identity.enabled", false);
user_pref("media.peerconnection.turn.disable", true);
user_pref("media.peerconnection.use_document_iceservers", false);
user_pref("media.peerconnection.video.enabled", false);
user_pref("media.peerconnection.default_iceservers", "[]");

// disconnec Geolocation
user_pref("geo.enabled", false);
user_pref("geo.provider.ms-windows-location", false);
user_pref("geo.wifi.uri", "");

// Disabling asynchronous queries used for analytics
user_pref("beacon.enabled", false);
user_pref("browser.send_pings", false);
user_pref("browser.send_pings.require_same_host", false);

// Disabling performance metrics
user_pref("dom.enable_performance", false);
user_pref("dom.enable_performance_observer", false); user_pref("dom.enable_performance_navigation_timing", false);
user_pref("browser.slowStartup.notificationDisabled", false);

user_pref("network.predictor.enabled", false);
user_pref("network.predictor.enable-hover-on-ssl", false);
user_pref("network.prefetch-next", false); user_pref("network.http.speculative-parallel-limit", 0);

// Information about installed add-ons
user_pref("extensions.getAddons.cache.enabled", false);

// Disabling sensor access
user_pref("device.sensors.enabled", false);
user_pref("device.sensors.orientation.enabled", false);
user_pref("device.sensors.motion.enabled", false);

user_pref("device.sensors.proximity.enabled", false);
user_pref("device.sensors.ambientLight.enabled", false);
// Stop fingerprinting. These settings tell the browser to resist identification.

user_pref("dom.webaudio.enabled", false);
user_pref("privacy.resistFingerprinting", true);

// Overlapping network connection information
user_pref("dom.netinfo.enabled", false);
user_pref("dom.network.enabled", false);

// Disable the use of cameras, microphones, gamepads, virtual reality glasses and, together with the devices, the
//transfer of various
// media content, such as screenshots, etc. through the browser. We also turn off voice recognition.
user_pref("dom.gamepad.enabled", false);
user_pref("dom.gamepad.non_standard_events.enabled", false);
user_pref("dom.imagecapture.enabled", false);
user_pref("dom.presentation.discoverable", false);
user_pref("dom.presentation.discovery.enabled", false);
user_pref("dom.presentation.enabled", false);
user_pref("dom.presentation.tcp_server.debug", false);
user_pref("media.getusermedia.aec_enabled", false);
user_pref("media.getusermedia.audiocapture.enabled", false);
user_pref("media.getusermedia.browser.enabled", false);
user_pref("media.getusermedia.noise_enabled", false);
user_pref("media.getusermedia.screensharing.enabled", false);
user_pref("media.navigator.enabled", false);
user_pref("media.navigator.video.enabled", false);
user_pref("media.navigator.permission.disabled", true);
user_pref("media.video_stats.enabled", false);
user_pref("dom.battery.enabled", false);
user_pref("dom.vibrator.enabled", false);
user_pref("dom.vr.require-gesture", false);
user_pref("dom.vr.poseprediction.enabled", false);
user_pref("dom.vr.openvr.enabled", false);
user_pref("dom.vr.oculus.enabled", false);
user_pref("dom.vr.oculus.invisible.enabled", false);
user_pref("dom.vr.enabled", false);
user_pref("dom.vr.test.enabled", false);
user_pref("dom.vr.puppet.enabled", false);
user_pref("dom.vr.osvr.enabled", false);
user_pref("dom.vr.external.enabled", false);
user_pref("dom.vr.autoactivate.enabled", false);
user_pref("media.webspeech.synth.enabled", false);
user_pref("media.webspeech.test.enable", false);
user_pref("media.webspeech.synth.force_global_queue", false);
user_pref("media.webspeech.recognition.force_enable", false);
user_pref("media.webspeech.recognition.enable", false);

// Disabling telemetry and sending reports

// The browser collects telemetry data and signals developers when components crash. This can be disabled to increase anonymity.
user_pref("toolkit.telemetry.archive.enabled", false);
user_pref("toolkit.telemetry.bhrPing.enabled", false);
user_pref("toolkit.telemetry.cachedClientID", "");
user_pref("toolkit.telemetry.firstShutdownPing.enabled", false); user_pref("toolkit.telemetry.hybridContent.enabled", false);
user_pref("toolkit.telemetry.newProfilePing.enabled", false);
user_pref("toolkit.telemetry.previousBuildID", "");
user_pref("toolkit.telemetry.reportingpolicy.firstRun", false);
user_pref("toolkit.telemetry.server", "");
user_pref("toolkit.telemetry.server_owner", "");
user_pref("toolkit.telemetry.shutdownPingSender.enabled", false);
user_pref("toolkit.telemetry.unified", false);
user_pref("toolkit.telemetry.updatePing.enabled", false);
user_pref("datareporting.healthreport.infoURL", "");
user_pref("datareporting.healthreport.uploadEnabled", false);
user_pref("datareporting.policy.dataSubmissionEnabled", false);
user_pref("datareporting.policy.firstRunURL", "");
user_pref("browser.tabs.crashReporting.sendReport", false);
user_pref("browser.tabs.crashReporting.email", false);
user_pref("browser.tabs.crashReporting.emailMe", false);
user_pref("breakpad.reportURL", "");
user_pref("security.ssl.errorReporting.automatic", false);
user_pref("toolkit.crashreporter.infoURL", "");
user_pref("network.allow-experiments", false);
user_pref("dom.ipc.plugins.reportCrashUR", false);
user_pref("dom.ipc.plugins.flash.subprocess.crashreporter.enabled", false);

// Setting up search information
user_pref("browser.search.geoSpecificDefaults", false);
user_pref("browser.search.geoSpecificDefaults.url", "");
user_pref("browser.search.geoip.url", "");
user_pref("browser.search.region", "US");
user_pref("browser.search.suggest.enabled", false);
user_pref("browser.search.update", false);

// Disabling push notifications
user_pref("dom.push.enabled", false);
user_pref("dom.push.connection.enabled", false);
user_pref("dom.push.serverURL", "");

// Here we remove possible DNS leakage over IPv6, disable DNS preemptive sending and configure DoH - DNS over HTTPS.
user_pref("network.dns.disablePrefetch", true);
user_pref("network.dns.disableIPv6", true);
user_pref("network.security.esni.enabled", true);
user_pref("network.trr.mode", 2);
user_pref("network.trr.uri", "

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

");

// Disabling redirects
user_pref("network.captive-portal-service.enabled", false);
user_pref("network.captive-portal-service.maxInterval", 0);
user_pref("captivedetect.canonicalURL", "");

// Preventing data leakage to Google servers

// With the default settings, Google is supposed to protect you from viruses and phishing. This is often a seful feature, but if you // know what you're doing and don't want Google watching, you can get rid of that scrutiny.
user_pref("browser.safebrowsing.allowOverride", false);
user_pref("browser.safebrowsing.blockedURIs.enabled", false);
user_pref("browser.safebrowsing.downloads.enabled", false);
user_pref("browser.safebrowsing.downloads.remote.block_dangerous", false);
user_pref("browser.safebrowsing.downloads.remote.block_dangerous_host", false);
user_pref("browser.safebrowsing.downloads.remote.block_potentially_unwanted", false);
user_pref("browser.safebrowsing.downloads.remote.block_uncommon", false);
user_pref("browser.safebrowsing.downloads.remote.enabled", false);
user_pref("browser.safebrowsing.malware.enabled", false);
user_pref("browser.safebrowsing.phishing.enabled", false);
user_pref("browser.safebrowsing.downloads.remote.url", "");
user_pref("browser.safebrowsing.provider.google.advisoryName", "");
user_pref("browser.safebrowsing.provider.google.advisoryURL", "");
user_pref("browser.safebrowsing.provider.google.gethashURL", "");
user_pref("browser.safebrowsing.provider.google.reportMalwareMistakeURL", "");
user_pref("browser.safebrowsing.provider.google.reportPhishMistakeURL", "");
user_pref("browser.safebrowsing.provider.google.reportURL", "");
user_pref("browser.safebrowsing.provider.google.updateURL", "");
user_pref("browser.safebrowsing.provider.google4.advisoryName", "");
user_pref("browser.safebrowsing.provider.google4.advisoryURL", "");
user_pref("browser.safebrowsing.provider.google4.dataSharingURL", "");
user_pref("browser.safebrowsing.provider.google4.gethashURL", "");
user_pref("browser.safebrowsing.provider.google4.reportMalwareMistakeURL", "");

// Disabling DRM
user_pref("browser.eme.ui.enabled", false);
user_pref("media.eme.enabled", false);

user_pref("browser.safebrowsing.enabled", false);
user_pref("dom.storage.enabled", false);
user_pref("network.dns.disablePrefetch ", false);
user_pref("network.http.sendSecureXSiteReferrer", false);
user_pref("network.proxy.socks_remote_dns", false);
user_pref("network.http.sendRefererHeader", 0);
user_pref("dom.storage.enabled ", false);

Keep in mind that security and privacy are always a trade-off with convenience. Some settings can significantly limit the functionality of sites, but greatly increase security and privacy when surfing. Which is more important is up to you.

Этот браузер для всяких нужд, обойти роскомнадзор и т.п. не привлекая особого внимания как провайдера так и СОРМ
Для серфинга сети по "нормальному" ставите что-то вроде эпифани, мидори...они не плохо работают как с гос. сайтами так и со всякими гуглами.
продолжение следует...

Друг) пара вопросов))
1. ты ноут подготовить по всем фичам можешь?)

2. норм параметры?

 

[dodickson]

Если соображаешь что-то, ответь плз по поводу гидры, если взяли сервера значит ли это что всем причастных вычислят ? Могли ли они зашифровать данные так, что их не смогут расшифровать ? И тд. Спасибо

 

[Raxmar]

Если соображаешь что-то, ответь плз по поводу гидры, если взяли сервера значит ли это что всем причастных вычислят ? Могли ли они зашифровать данные так, что их не смогут расшифровать ? И тд. Спасибо

1. Возможно. И не обязательно из-за шифрования.
2. Могли.
3. и тд?

 

[Antiprigar]

Хорошая статья от Raxmar.
Но даже в ней чувствуется легкий налет оптимизма с флёром it романтики. Они все равно найдут, даже без устройств и ip адресов. Конечно, церемониться не будут - устроят артналет или авиаудар. И кто то далеко в своем кабинете задумается о миллионах погибших гражданских и ошибках которые они допустили, потом снимет трубку спецсвязи и скажет :
"Подтверждаю воздушную атаку!
Срочно начать операцию "Возмездие"!"
Ударная группа из новейших СУ-57 с кучей авиабомб на борту типа каб-500 и х-38 взмоет в воздух для особо важной миссии по ликвидации врага номер 1 и секретных лабораторий производства оружия массового поражения.

 

[Hanterxp]

Привет может ты мне смог бы помочь,я новичок в плане безопасности в сети,но понимаю что одного впн для защиты мне не хватит,может есть какой мануал?Просто хочется начать двигаться а из-за того что не защищён стрёмно вообще что то начинать

 

[xmikx]

Подскажите где лучше всего купить прокси сервер.

 

[Raxmar]

Подскажите где лучше всего купить прокси сервер.

Для чего?

 

[Mr. Жировик]

Когда уставший от людей айтишник принял в первый раз лсд.

 

[havabodaboonta]

user>vpn>whonix>vpn>internet)

впн как я понимаю подымаются свои ? иначе вся информация будет утекать в третьи руки. Насколько актуален впн после тора для его сокрытия ? Ведь когда начнут раскручивать клубок, через впн выйдут на тор. Я так понял эта связка больше для легального пользования но что бы все равно трудно было найти)

 

[Raxmar]

впн как я понимаю подымаются свои ? иначе вся информация будет утекать в третьи руки. Насколько актуален впн после тора для его сокрытия ? Ведь когда начнут раскручивать клубок, через впн выйдут на тор. Я так понял эта связка больше для легального пользования но что бы все равно трудно было найти)

не нужно вырезать из контекста

(он-же подойдёт при использовании firefox-esr на виртуалке под системой user>vpn>whonix>vpn>internet)
Браузеры имеют так называемый "Отпечаток" Для примера, даже с полным отключением всего, что только можно

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

видит все ядра процессора и определяет действительную OS, по крайней мере видит, что Linux.

И да, статья не полная..полную попросту влом было повторять..:

Ставим на систему OpenVpn.

apt install openvpn

(как вариант из Приложений))
На данном этапе необходимо создать сервер vpn
Внимание!


Мы не часто об этом говорим, но VPN полностью основаны на доверии. Как потребитель, вы не знаете, какая компания лучше всего защитит вашу конфиденциальность. Вы не знаете законов о защите данных Сейшельских островов или Панамы. Вы не знаете, какие страны могут оказывать незаконное давление на компании, работающие в пределах их юрисдикции. Вы не знаете, кто на самом деле владеет и управляет VPN. Вы даже не знаете, какие иностранные компании атаковало АНБ для массового наблюдения. Все, что вы можете сделать, - это предположить, и надеяться, что вы угадали правильно.
Брюс Шнайер

Уязвимым звеном будет именно VPN
Трафик VPN чувствителен к Deep Packet Inspection (DPI) и отпечатку трафика веб-сайта , поэтому он неэффективен для сокрытия использования Whonix ™ и Tor от интернет-провайдера или опытных противников.
Даже открывая VPN на "своём" VPS VDS Вы ни как не защититесь от самого хостера и ребят, которые могут придти в гости к этому хостеру, как физически так и посредством закона, по которому он Обязан выдать данные.
Но нам всё-же (хоть так) необходимо защитить связь от провайдера и Со,по крайней мере, что-бы они не знали на данный момент, что пользуемся TOR-ом так что приходится выбирать из того, что есть.
На отсутствие горничной и дворник прокатит!
! Эта конфигурация вряд ли позволит скрыть использование Tor от глобального пассивного противника (GPA)(ссылка PDF)
Прокси-серверы не обеспечивают шифрование и не должны использоваться для попытки скрыть Tor
Ищите подходящий для себя ресурс, чем дешевле, тем лучше (в стране вероятного противника Вашей страны!)
На почту (Вашу действительную) приходят пасс и логин(зачастую вида root) (В дальнейшем этот впн используйте для мелких задач, а можете и забить на него)
В консоли(терминал) на своём компе:

sudo apt install ssh #установка ssh

ssh root(Ваш_логин_который_из_почты)@Ваш_IP_адрес_который_из_почты)
На появившийся вопрос ответьте

yes

На Вашем компе появиться ключ
и вводите пароль_который_пришёл_по_почте
!Внимание! Пароль при вводе НЕ отображается!
Вот ВЫ и на серваке....
обновляете репозиторий

apt update

ставите openvpn (просьба не отписывать-ручками точнее/лучше/и_т._д.)

curl -O

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

#скачиваете

Если нет curl
ставите

apt install curl

chmod +x openvpn-install.sh

Запускаете

./openvpn-install.sh

Подробно тут
Не нужно говорить о "опасном скрипте", что-бы причаститься, смотрите код.
Отдельно про udp и tcp

Есть глубокое заблуждение, что tcp скрывает трафик впн под видом обычного подключения https (443 порт), единственное что важно, это скорость и потеря пакетов, при tcp потеря значительно меньше но и скорость ниже, а при использовании VPN>TOR оба будут под tcp, что значительно уменьшит скорость.

Запускаем OpenVpn (данное действие запускается каждый раз при входе в систему, удобство от автоматического запуска при входе в систему Вас погубит и необходимо отсутствие строки запуска на Вашем хосте как сам .ovpn файл, который должен храниться на сервере под gpg)

sudo openvpn --config название Вашего файла, который Вы скачали с сервера.ovpn

Скачивать можно через mc,(упрощённый вариант, можно банально scp) об этом ниже в разделе LUKS
Для предотвращения деанона Вашего ip и Вашего использования TOR необходимо автоматически отключить интернет при обрыве VPN

sudo apt install ufw -y
sudo ifconfig

ищем строку
tun0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST> mtu 1500
создаём скрипт vpn_firewall.sh
с содержимым

#!/bin/bash
sudo ufw reset
sudo ufw default deny incoming
sudo ufw default deny outgoing
sudo ufw allow out on tun0 from any to any
sudo ufw enable

Этот скрипт сбросит значения firewall и назначит новые, чтобы весь трафик (исходящий и входящий) мог идти только через интерфейс tun0.
сразу создаём скрипт для отключения
vpn_unfirewall.sh

#!/bin/bash
sudo ufw reset
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw enable

скрипт установит значения по умолчанию (разрешить исходящий, запретить левый входящий трафик).
Теперь нужно сделать скрипты исполняемыми. Выполните команду:

sudo chmod +x firewall.sh unfirewall.sh

Подключитесь к вашему vpn. Запустите скрипт:

./vpn_firewall.sh

Будет выдан запрос - "Resetting all rules to installed defaults. Proceed with operation (y|n)?". Согласитесь нажав клавишу "y". Теперь весь трафик будет проходить только через впн и в случае разрыва связи с vpn интернет тоже пропадет. Обязательно протестируйте это.
Когда понадобится выключить firewall используйте команду:

sudo ufw disable

Чтобы включить — команду:

sudo ufw enable

статус ufw

sudo ufw status

Подробный

sudo ufw status verbose

================================


Ставим Qemu/KVM из репов.

Качаем Whonix и ставим по мануалу.https://www.whonix.org/wiki/KVM
Для тех, кто умеет глазами и не знаком с англцким:

!!! В мане есть ответы на возможные неполадки, как пример:
В импорте последней команды имижда может выдать ошибку, правиться вместо: <codec type='output'/> меняете на : <codec type='micro'/>
В мане убедительно просят не делать подключение флешки, а воспользоваться общей папкой.(копировать-то с хоста(Ваша машина)ведь нужно будет) По правде сказать и то, и второе не очень хорошо, а по сути и не нужно, так-как виртуалка в оперативке, и сохранение будет только на хосте, но если Вы будете копировать с виртуалки, то это будут компромат на Вас, а оно Вам нужно?
Копи-паст в системе Whonix отключен по дефолту (НЕ нужно его включать!)
Система, любая, оставляет за собой кучу всякое фигни (хвосты), будь то логи или кеш, но это-то можно удалить (Вы готовы это делать постоянно и ждать, даже если будете нажимать на "кнопочку" удалить всё, заблаговременно втиснув туда скрипт очистки?
А если необходимо быстро выключить систему, тогда как?
Но система ещё оставляет и в других местах информацию, о том, что и как и какими утилитами Вы пользовались, и на практике удалить буквально ВСЁ не представляется возможным. Так это устроено. По этой причине лучше не сохранять на жёстком диске что-либо из того, что Вас может привести к не очень приятным последствиям. То-есть НЕ копировать из виртуалки (Гостевой системы) на Вашу машину (хост).

НЕ при каких обстоятельствах НЕ заливайте на свою свежеустановленную систему какие-либо файлы, которые могут Вас скомпроментировать. Но в этой системе Вы можете хранить чеки, пароли от телеграма, зарубежных соц.сетей и всякой остальное хрени (которой Вы НЕ будете пользоваться, но будете зарегистрированны, с написанием ни кому не нужной чуши, ведь Вы-же социальная личность, не правда!?)
После установки виртуалки и испытания забейте оставшееся пространство нулями

sudo sfill -l -l /

Whonix- штука, в которой ВСЕ приложения работают с сетью только через TOR, мало того, она обновляется тоже только через TOR. А учитывая, что система по факту состоит из Двух операционок, одна шлюз, вторая рабочая, которая в свою очередь понятия не имеет, что там где-то есть какой-то интернет! При этом не задаётся вопросом, "А как я открываю без проблем сайт?" По умолчанию установлен Electrum и Monero wallet, при чём, в отличии от того-же Trisquel последних версий.
Ну , что-же, начинаем. Далее ни в коим случае не представляется как пособие, тем более для "хацкеров" ну типа таких (этичный хакинг), только для ознакомления!
У Вас: первое- система с впн, второе-гостевая с тор-ом, вот с неё-то и начинаем своё путешествие.
Вы получили систему пользователь>VPN>TOR>интернет. Казалось-бы, ну чЁ ещё нужно? "А дьявол кроется в деталях"
Снапшоты.
Прочтите для понимания (читать на сайте Whonix)
Перед использованием гостевой системы делайте снапшот (копию). Никогда не используйте гостевую систему для разных задач.

Основная система ни при каких обстоятельствах не учавствует в работе.
Мало того, Whonix предусматривает загрузку системы в лайф режиме,(при загрузке системы выбираете третий пункт) то-есть вся работа будет происходит в оперативной памяти, без использование жёсткого диска (Это не отменяет правило "хвостов", какие-то свои данные система так или иначе записывает, удаляете после каждого завершения работы Whonix)
========================
Если вдруг Вы захотели получить связку пользователь>VPN>TOR>VPN>интернет, Вам необходимо прочитать это
(читать на сайте Whonix)
==============


Трафик больше не разделяется на разных вкладках браузера - в сети Tor создается единый канал, и это может нарушить разделение локальных состояний в браузере Tor.
Если через VPN-соединение выполняются другие действия, такие как трафик SSH, трафик IRC, SMTP или обновления ОС, весь этот трафик находится рядом друг с другом.


Мало того, те «рекомендации в ютубе и на дарк форумах по созданию системы user>vpn>whonix>vpn>internet не соответствуют действительности, так-как в Whonix TOR использует сокс а не транспорт.
Примерно как по каждой полосе автодороги идёт свой транспорт, и ни где не пересекается, Вы добавляете впн, но он так-же идёт Только по своей полосе, при этом ни как не оказывая влияния на другие полосы. То-есть ТОР-браузер и другие утилиты будут по прежнему использовать свою полосу, не обращая внимания на очередную созданную Вами полосу впн.

Если хотите разобраться User → Tor → VPN → Internet (читать на сайте Whonix)
Впн в Whonix использовать можно, установкой Firefox-esr, соответственно он и будет «ходить» через впн, если по какой-то причине Вам необходим «белый» IP.

Необходим второй впн, который зареган будет на фиктивный адрес
Запускаете впн(первый)
Запускаете виртулку
В виртуалке запускаете браузер.
Ищите VPS с оплатой в крипте (не тот, который уже был)

================
Ваш адрес почты виден всем, и могут по нему Вас скомпрометировать. Значит нужен другой адрес, (одноразовая как-бы не всегда подходит, так-как могут возникнуть проблемы с оплатой сервака, а почты то уже и нет).

Но в любой момент можно приобрести новый сервер, так что пойдёт и одноразовая (всё делается через виртуалку)
Регаемся на том ресурсе(с одноразовой почтой), который позволяет оплачивать криптой (желательно монеро), Биткоин не анонимен, но как испытать-можно. И у которого есть возможность шифрования диска в ядре. dev-mapper (libdevmapper-dev)в виртуализации LXC не будет данного)





==========================

Сообщение обновлено: 16 Май 2022

впн как я понимаю подымаются свои ? иначе вся информация будет утекать в третьи руки.

Да.

 

[havabodaboonta]

не нужно вырезать из контекста

Не, я понимаю, что у тебя тут комплексная оценка системы. Я говорил только про пропуск трафика а не брал в целом всю статью

 

[psi0nic]

сильно тебя ТС паранойя кушает, из всего прочитанного не могу понять одно! почему ты не додумался сделать себе RSA-4096 ключ и на этот ключи уже по таймфреймам повесить свои пароли и прочее, копипаст конечно круто но вот как то на деле почти все с форумов говорят что палят именно на месте приёма, никто не собирается сидеть реально и расшифровывать твой траффик, слишком уж большой это кусок пирога, курьером не являюсь но безопасность сети можно ограничить фаерволом который отбросит пакеты на порт назначения)

 

[Булгаков 90-х]

Хороший гайд, спасибо

 

[_Frosty_]

Подскажите где лучше всего купить прокси сервер.

поищи тут темы !! на этом форуме!