Archiv der Kategorie: Cyberwarfare

Debian Colocation/Leased Server Full-Disk-Encryption

1. Grundsätzliches

Diese Anleitung beschreibt die Installationen von Debian Wheezy auf einem Server mittels Rettungssystem. Der Server ist nach der Installation weder gegen Angriffe aus dem Netzwerk abgesichert noch entspricht er dem Standard-Image des Providers. Durch den Einsatz einer Debian Basis-Installation fallen Überwachungsskripte und gepatchte Kernel des Providers weg. Das ist kein Zufall.

Das Ergebnis ist ein Minimalsystem für einen voll-verschlüsselten Server, der folgende Eigenschaften hat.

  • Möglichst unabhängig von der Provider-Infrastruktur
  • Minimalsystem
  • Full-Disk-Encryption (FDE) mit Entsperrung per SSH

Die Anleitung basiert auf dem Squeeze from Scratch HowTo von Sven Richter und stellt das Vorgehen zur Installation nach den Prinzipien meines Vortrags „Tauchfahrt mit Linux – Colocation Anti-Forensik“ dar. Die Folien führen in die Problemsituation und meinen Lösungsansatz ein und sind hier zu finden. Es wird davon ausgegangen, dass die Installation von einem Linux-System aus durchgeführt wird.

Debian Colocation/Leased Server Full-Disk-Encryption weiterlesen

Kali Linux Colocation/Leased Server Full-Disk-Encryption

Übersicht

Natürlich lässt sich jede Debian basierte Distribution nach dem im Artikel Debian Colocation/Leased Server Full-Disk-Encrytion vorgestellten Prinzip installieren. Dafür sind nur sehr wenige Änderungen notwendig. Hier die Anpassungen, um statt Debian Kali Linux zu installieren.

Es sind die Abschnitte 4.1 und 4.2 der Anleitung wie hier gezeigt zu ersetzen und die veränderten Paketquellen in Schritt 5.2 zu verwenden.

4.1 Debootstrap herunterladen und anpassen

mount -t tmpfs none /tmp
cd /tmp
wget http://archive.kali.org/kali/pool/main/d/debootstrap/debootstrap_1.0.48+kali1_all.deb

Sollte die debootstrap Quelle nicht mehr aktuell sein, kann der richtige Link hier eingesehen werden: http://archive.kali.org/kali/pool/main/d/debootstrap/

ar -xf debootstrap_1.0.48+kali1_all.deb
tar xzf data.tar.gz
tar xzf control.tar.gz

Jetzt muss geprüft werden, ob der Inhalt des Pakets unverändert im Rettungssystem angekommen ist. Jedes Debian Paket liefert eine Datei md5sums mit, die Prüfsummen über die enthaltenen Dateien enthält. Mit dem folgenden Einzeiler lässt sich die Integrität des debootstrap Pakets prüfen.

cat md5sums | cut -d " " -f 3 | xargs md5sum $1 > md5sums.local; diff md5sums md5sums.local

Der Befehl darf keine Ausgabe erzeugen, sonst sind Daten verändert worden.

Um jetzt per debootstrap installieren zu können, muss der Quelltext von debootstrap leicht angepasst werden.

nano usr/sbin/debootstrap

Die folgenden Zeilen entsprechend editieren

Suchen:

DEBOOTSTRAP_DIR=/usr/share/debootstrap

und ersetzen mit:

DEBOOTSTRAP_DIR=/tmp/usr/share/debootstrap

4.2 Installation durchführen

Um sicherzugehen, dass nur offizielle Pakete ohne Hintertüren auf dem neuen System installiert werden, müssen die Signaturen aller Pakete geprüft werden. Alle Debian Pakete sind durch öffentliche Schlüssel in einer Public-Key-Infrastruktur gesichert. Damit diese Signaturen geprüft werden können, muss der Hauptschlüssel des Debian Archivs wie folgt importiert werden.

wget -q -O - http://archive.kali.org/archive-key.asc | gpg --import

Mit dem Befehl gpg --list-keys wird geprüft, ob der Schlüssel erfolgreich importiert wurde. Ist das der Fall, kann das Grundsystem installiert werden.

usr/sbin/debootstrap --keyring=/root/.gnupg/pubring.gpg --arch=amd64 kali /mnt/ http://archive.kali.org/kali

Nach der Installation des Grundsystems erfolgt die Anmeldung über den chrootBefehl, um die weitere Einrichtung durchzuführen.

mount -t proc none /mnt/proc
mount -o bind /dev /mnt/dev
mount -t tmpfs none /mnt/tmp
mount -o bind /sys /mnt/sys
LANG=C chroot /mnt /bin/bash

Erzeugen die Befehle keine Fehlermeldung, wurde erfolgreich in das frisch installierte Debian gewechselt.

5.2 Ergänzung für Kali

Hier wird statt der angegebenen Quellen für Debian folgender Inhalt in die Datei /etc/apt/sources.list hinzugefügt.

deb http://http.kali.org/kali kali main non-free contrib
deb http://security.kali.org/kali-security kali/updates main contrib non-free
deb-src http://http.kali.org/kali kali main non-free contrib
deb-src http://security.kali.org/kali-security kali/updates main contrib non-free