Твитнуть
Ещё один взгляд на безопасную и удобную работу
Добрый день, уважаемы жители форума.
Почитав ветки этого форума, посвященные безопасности, пришла к выводу что в большинстве случаев, пользователи пытаясь прикрыть себя создают излишний гемор и, порой, забивают гвозди микроскопом, уж извините за аллегорию.
Спора нет, для серьёзных дел, разбросанные по миру виртуальные сервера, соединенные в сложные сетки (о шифровании молчу, это само собой разумеющееся), с цепочками проксей между ними – действительно единственно верное решение. Ведь если делать - то делать красиво, думаю это кредо многих из собравшихся здесь.
Но большинство пользователей ведь не строит каких либо сервисов, они лишь их операторы, пользователи.
По сути эту тему следовало внести в ветку о LiveCD/USB, как о решении построенном на тех же принцыпах.
Используя данное решение, я спокойно работаю за компьютером, использую любую программу для скрытой работы, сохраняю все пароли в браузере, делаю закладки, вобщем весьма плодотворно и уютненько работаю, сохраняю любую интересную мне информацию, составляю планызахвата парижа. Не переживаю, если гости садятся за комп, что-кто где то наследит, также чхала на людей в масках.
Решение построенно на виртуальной машине.
В качестве гостевой системы для работы был выбран Debian7 по многим причинам, главная причина в том,, что в отличии от последних дистрибутивов убунты, в которых графическая подсистема основана на протоколе wayland, debian использует Х11. Прелесть работы данного протокола в том, что организована в виде серверно клиентского решения. То есть есть сама графическая система, формирующая GUI, а есть клиентская часть ответственная за то, чтобы принять пакетики от серверной части, и превратить их в ту красоту, что вы обычно наблюдаете на экранах. Так вот, обычно они располагаются на одной машине, но раскидать их можно друг от друга хоть на разные концы света. Мы же клиентскую часть выносим в винду, серверную оставляя на виртуалке. Между собой они общаются стандартно по SSH шифруя данные по AES(Возможности OpenSSH). Таким образом запуская виртуалку в хедлесс режиме и соединяясь с ней для загрузки окружения, мы работаем с программами своей, секретной, среды, как с локально установленными в хост системе. Есть ещё одна хорошая вещь, такая как прозрачное шифрование данных ecryptfs. То есть пока вы не ввели пароль сторонние пользователи видят белиберду(см. илюстрации), при получении пароля, ecryptfs применяет ключ для расшифровки и монтирует папку с белибердой в вашу home директорию. Таким образом получается прямо по Пушкину, данные браузера (кэш, куки и т.п.) в шифре, шифр в файле(VMDK),файл тоже в шифре(EFS под виндой ), EFS на флешке. В случае непредвиденных ситуаций, достаточно выдернуть флешку либо просто закрыть хедлесс консоль. В случае утери данные на флешке нечитаемы.
В гостевой системе стоит tor, privoxy(утилита запускающая любое приложение как дочерний процесс, и отправляющее траффик с него по цепочке из конфига), webmin(гибкая система администрирования с веб мордой, для того чтобы не лазить в виртуалку что-либо менять). Так же дропнут весь траффик, идущий не по\с цепи. Это решает проблемы такого рода, как тут
Ну вот пожалуй и всё, на мой взгляд это наиболее удобное решение для домашней работы под виндой. Хотелось бы услышать критику…
Иллюстрации тут
Почитав ветки этого форума, посвященные безопасности, пришла к выводу что в большинстве случаев, пользователи пытаясь прикрыть себя создают излишний гемор и, порой, забивают гвозди микроскопом, уж извините за аллегорию.
Спора нет, для серьёзных дел, разбросанные по миру виртуальные сервера, соединенные в сложные сетки (о шифровании молчу, это само собой разумеющееся), с цепочками проксей между ними – действительно единственно верное решение. Ведь если делать - то делать красиво, думаю это кредо многих из собравшихся здесь.
Но большинство пользователей ведь не строит каких либо сервисов, они лишь их операторы, пользователи.
По сути эту тему следовало внести в ветку о LiveCD/USB, как о решении построенном на тех же принцыпах.
Используя данное решение, я спокойно работаю за компьютером, использую любую программу для скрытой работы, сохраняю все пароли в браузере, делаю закладки, вобщем весьма плодотворно и уютненько работаю, сохраняю любую интересную мне информацию, составляю планызахвата парижа. Не переживаю, если гости садятся за комп, что-кто где то наследит, также чхала на людей в масках.
Решение построенно на виртуальной машине.
В качестве гостевой системы для работы был выбран Debian7 по многим причинам, главная причина в том,, что в отличии от последних дистрибутивов убунты, в которых графическая подсистема основана на протоколе wayland, debian использует Х11. Прелесть работы данного протокола в том, что организована в виде серверно клиентского решения. То есть есть сама графическая система, формирующая GUI, а есть клиентская часть ответственная за то, чтобы принять пакетики от серверной части, и превратить их в ту красоту, что вы обычно наблюдаете на экранах. Так вот, обычно они располагаются на одной машине, но раскидать их можно друг от друга хоть на разные концы света. Мы же клиентскую часть выносим в винду, серверную оставляя на виртуалке. Между собой они общаются стандартно по SSH шифруя данные по AES(Возможности OpenSSH). Таким образом запуская виртуалку в хедлесс режиме и соединяясь с ней для загрузки окружения, мы работаем с программами своей, секретной, среды, как с локально установленными в хост системе. Есть ещё одна хорошая вещь, такая как прозрачное шифрование данных ecryptfs. То есть пока вы не ввели пароль сторонние пользователи видят белиберду(см. илюстрации), при получении пароля, ecryptfs применяет ключ для расшифровки и монтирует папку с белибердой в вашу home директорию. Таким образом получается прямо по Пушкину, данные браузера (кэш, куки и т.п.) в шифре, шифр в файле(VMDK),файл тоже в шифре(EFS под виндой ), EFS на флешке. В случае непредвиденных ситуаций, достаточно выдернуть флешку либо просто закрыть хедлесс консоль. В случае утери данные на флешке нечитаемы.
В гостевой системе стоит tor, privoxy(утилита запускающая любое приложение как дочерний процесс, и отправляющее траффик с него по цепочке из конфига), webmin(гибкая система администрирования с веб мордой, для того чтобы не лазить в виртуалку что-либо менять). Так же дропнут весь траффик, идущий не по\с цепи. Это решает проблемы такого рода, как тут
Ну вот пожалуй и всё, на мой взгляд это наиболее удобное решение для домашней работы под виндой. Хотелось бы услышать критику…
Иллюстрации тут