В брой, ние се доверяваме на мрежовата сигурност - работете безопасно под Linux

мрежовата

Изборът между openvpn и pptp е очевиден според мен. Естествено, ако вашата безопасност е важна за вас.

Инсталирането и конфигурирането на openvpn клиента не е особено трудно.

Изтеглете най-новата версия на източниците и баналната последователност "./configure", "make", "make install" решава всичко в повечето случаи.

Ако внезапно нямате ssl във вашата система, тогава първо ще трябва да го инсталирате.

Първоначално използването на openvpn е засенчено от липсата на GUI интерфейс, но това е въпрос на навик. Стартирането протича по следния начин:

"/usr/sbin/openvpn" - път до изпълнимия файл (може да е различен за вас);

"--config /home/user/job-disk/vpn/config.ovpn" - тук посочваме къде се намира конфигурацията на конкретна VPN услуга;

"--daemon" - с тази опция пускаме vpn като демон (според Windows - услуга), в резултат на което той няма да заема терминала вместо нас и да показва куп безинтересни съобщения за връзка със сървъра.

Изобщо не е необходимо ******** всеки път да пишете дълга команда за стартиране в терминала. Достатъчно е да регистрирате всичко в малък скрипт.

Когато използвах openvpn под linux, срещнах следните проблеми: Първо, openvpn работи с tun устройство (/dev/net/tun), до което само root има достъп по подразбиране. Не е препоръчително да променяте това. Достатъчно е да напишете в скрипта, за да стартирате openvpn с права на суперпотребител:

След това просто редактирайте sudo, или по-добре, въведете root паролата всеки път, когато стартирате.

И след това ги регистрирайте сами в resolv.conf, след като изтриете DNS записите на вашия доставчик. Между другото, това решава проблема със скриването им. В конзолата:

Това също може да се добави към скрипта за стартиране на openvpn. След тези манипулацииVPN трябва да работи без проблеми.

Използвам truecrypt за създаване на криптодиск. Все още не съм имал причини да предпочитам патентован софтуер пред него. Програмата също е конзолна. Стартиране на диалоговия прозорец за създаване на крипто диск:

Въпросите са елементарни. От съществено значение е само изборът на хеш и крипто алгоритми. Можете да намерите много мисли в мрежата за хакване на различни алгоритми, не знам дали това е вярно или спекулация, едно е ясно - Blowfish и Whirlpool никога не са споменавани в този контекст. Затова ги избрах.

Дискът се монтира с командата:

"/home/user/disk" - път до крипто-контейнерния файл;

"/home/user/job" е директорията, към която монтираме крипто-контейнера.

Също така има смисъл да напишете тази команда в скрипт.

Като цяло скриптът, който стартира VPN и монтира файла с крипто-контейнер, ще изглежда по следния начин:

Можете да го наименувате накратко, например работа, и да го поставите в съответната папка bin (например: /home/usr/bin).

В резултат на това, преди да започнете работа, ще бъде достатъчно да въведете в конзолата:

След това въведете паролата за крипто контейнера и root паролата, за да стартирате VPN.

Оказва се много по-бързо от щракането на прозорците с мишката.

Можете също така да добавите цялата рутина, която правите, преди да започнете работа, към скрипта. Например стартиране на месинджър, браузър и др.

За да се осигури същото бързо завършване на работата, е необходимо да се създаде скрипт, който ще: спре VPN, демонтира крипто-диска и възстанови resolv.conf в първоначалното му състояние.

Ще изглежда нещо подобно:

"sudo start-stop-daemon -K --exec /usr/sbin/openvpn" - използвайте малка програма start-stop-daemon за спиране на конкретен демон, демонът може да бъде дефинираннапример по местоположението на неговия изпълним файл. Инсталирането на start-stop-daemon, ако все още го нямате, е абсолютно банално.

"sleep 2s" - дайте кратка пауза, така че демонът да има време да спре.

"truecrypt -d" - демонтира всички крипто дискове в системата (въпреки че можете да посочите конкретен диск).

" > /etc/resolv.conf" - добре, тук връщаме предишното съдържание на resolv.conf на мястото им. Можете да го наименувате, например, спрете и го хвърлете до работа.

Естествено, този скрипт, подобно на предишния, може да бъде редактиран по ваша преценка. И да, не забравяйте да направите и двата файла (job и stop) изпълними.

За сигурна кореспонденция и комуникация ми се струва най-оптимално да се използва внедряването на PGP с отворен код - GPG.

Обикновено всички пакети, необходими за функционирането на GPG, са инсталирани със системата. Но дори и при отделна инсталация не трябва да възникват проблеми.

За да използвате gpg, ще трябва да създадете двойка ключове - публичен и частен. Първият можете да изпратите на всички, с които общувате. Те ще криптират всичко, което вашите колеги искат да ви прехвърлят (писма, месинджър съобщения, файлове). Ще бъде възможно да ги дешифрирате само с вашия личен ключ. Така че трябва да се съхранява особено внимателно.Струва ми се, че най-сигурният и приятелски комуникационен протокол е jabber. Е, най-добрият месинджър, базиран на него, е PSI. Прост и приятен интерфейс, поддръжка на всички функции на протокола jabber. Когато използвах PSI, срещнах само два проблема:

a) PSI не ви позволява да изберете директорията, в която да съхранявате регистрационните файлове на кореспонденцията. Най-малко трудоемкият начин да го накарате да записва регистрационни файлове в криптоконтейнера е да създадете папка с регистрационни файлове на място (разположена:/home/user/.psi/profiles/default/history) на символна връзка, която ще доведе до папката, където е монтиран крипто контейнерът (/home/user/job/). Например така:

По този начин историята на съобщенията ще бъде запазена на крипто диска, освен ако разбира се не забравите да го монтирате, преди да започнете работа.

b) за да използвате GPG комуникационно криптиране в PSI, трябва да поставите отметка на опцията „Използване на GnuPG агент“ в KGpg, т.к. без това, когато се свързвате със сървъра, диалоговият прозорец за въвеждане на паролата от вашия секретен ключ не се извиква, съответно връзката не се осъществява.За да осигурите сигурна комуникация в PSI, трябва:

отметнете "използвайте SSL криптиране", "игнорирайте SSL предупреждения";

премахнете отметката от опцията „Разрешаване на влизане в обикновен текст“;

кажете на PSI кой частен ключ ще използвате за дешифриране на съобщения; изпратете на вашия събеседник публичен ключ, който е двойка от вашия частен ключ;

получава от събеседника неговия публичен ключ и присвоява този ключ на неговия контакт в PSI (присвояване на OpenPGP ключ);

Кликнете върху иконата за заключване в прозореца за чат.

Вашият събеседник, разбира се, трябва да направи същото Малка забележка: когато използвате някои jabber сървъри в настройките на PSI, трябва ръчно да въведете хоста и порта на използвания сървър.

Избрах конзолата ProxyChains като програма за успокояване. Последните му версии без бъгове соксифицират почти целия необходим софтуер (с изключение на KDE браузъра Konqueror). Той е лишен от много излишни функции, но всичко, от което се нуждаете, присъства в него.

Настройването на програмата и добавянето на socks става чрез редактиране на файла proxychains.conf. В по-голямата част от случаите е достатъчно просто да добавите ред като този в края му:

Къде: "socks5" - указва типа socks или прокси (socks4,socks5, прокси);

"123.123.123.123 12345" - IP и порт на използваните чорапи. Програмата се стартира така:

Където proxychains е последвано от приложението (или пълния път до изпълнимия файл), което трябва да бъде proxychained.