Анонимное рабочее пространство в онион без посредников

[Unique Projects]

Анонимное рабочее пространство в онион без посредников


Вы не раз видели эти предложения по аренде удаленных рабочих столов от якобы компетентных людей, для максимально безопасной работы без следов. И дескать и логи не ведут и все шикарно.

Сегодня я расскажу вам, как сделать удаленный рабочее пространство с одноразовыми приложениями и даже системами достаточно простым способом на вашем собственном сервере. При этом висеть оно будет на домене онион в тор сети, и доступ можно получать из тор браузера, соответственно с шифрованием до сервера.

Плюсы данному решения

1. Добавляется слой защиты и конфиденциальности путем использования временных виртуальных контейнеров сервера через тор браузер.​

2. Используется среда виртуализации рабочих столов для безопасного удаленного доступа.​

3. Можно заюзать временные сессии Kali/ParrotOS для тестирования взломов и угроз.​

4. Создается рабочее место для удаленного доступа с любого устройства и из любой точки мира.​

5. Используйте совместные среды разработки/рабочие среды для взаимодействия/контроля ваших сотрудников.​

Итак, приступим!


Часть 1 - Развертывание

Для начала нам нужен подходящий хостер, с анонимной оплатой монеро и не требующий персональных данных.
Также сервера находятся в оффшорной юрисдикции.

Есть несколько вариантов - nicevps.net, njal.la, cryptoho.st
Выбирай один из них. Или можешь использовать свой физический сервер где-либо(для полных параноиков). Но помни не в коем случае не бери компании которые не позволяют тебе оплачивать криптовалютой и находятся в ведении стран 14 глаз.

Почту для регистрации можете сделать на protonmail. Кстати они имеют онион домен, как и два из провайдеров выше.

Сервер подобран и оплачен. По серверной ОС рекомендую ubuntu 22, для простоты. По характеристикам берите как минимум 8ГБ оперативый и 50-100+ ГБ жесткого диска желательно SSD/NVME

Далее заходим на ssh сервера по предоставленному вам паролю.

Кстати можете пустить заход на ssh через tor

torsocks ssh root@server

Или пустить через firejail чтобы не оставлять на вашем пк следов, если вы уже заходите на различные сервера по ssh.

firejail --noprofile --private ssh root@server

Мы будем использовать решение, которое зовется kasm workspaces, а именно их опенсорс community версию. Легко скачивается по прямой ссылке, также у них есть собственный скрипт установщик для всех зависимостей и настройк сервисов. На сервере следующие команды

wget "https://kasm-static-content.s3.amazonaws.com/kasm_release_1.13.0.002947.tar.gz"
tar -xvf kasm_release_1.13.0.002947.tar.gz
cd kasm_release/
./install.sh

После ожидаем завершения процесса установки, согласившись с развертыванием.

Отлично все запущено и по итогу мы получаем данные для входов, обязательно сохраните их. Пример ниже.

------------------------------------
username: [email protected]
password:
------------------------------------
username: [email protected]
password:
------------------------------------

Kasm Database Credentials
------------------------------------
username: kasmapp
password:
------------------------------------

Kasm Redis Credentials
------------------------------------
password:
------------------------------------

Kasm Manager Token
------------------------------------
password:
------------------------------------

Kasm Guac Token
------------------------------------
password:
------------------------------------

Service Registration Token
------------------------------------
password:
------------------------------------

Теперь мы легко можем включать и выключать kasm сервисы.

/opt/kasm/bin/start
/opt/kasm/bin/stop

Для kasm требуется много памяти, если на вашем сервере оперативы недостаточно можете сделать swap.

sudo swapon /mnt/my.swap
sudo mkswap /mnt/my.swap
sudo fallocate -l 5g /mnt/my.swap
echo '/mnt/my.swap swap swap defaults 0 0' | sudo tee -a /etc/fstab
sudo chmod 600 /mnt/my.swap

В принципе у нас уже работает интерфейс на вашем айпи на порту 443.
То есть такая ссылка https://айпи_сервера


Но мы запустим тор онион домен для максимальной безопасности подключения к виртуалкам.

sudo apt install tor

Редактируем nano /etc/tor/torrc
И в строке с hidden service оставляем все так.

HiddenServiceDir /var/lib/tor/hidden_service/
HiddenServicePort 443 127.0.0.1:443

Далее перезапускаем тор.

sudo service tor restart

И ваш домен будет лежать тут

cat /var/lib/tor/hidden_service/hostname

Его мы и будем использовать для полноценной работы.


Часть 2 - Изучение особенностей работы
Заходим на

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Когда скажет, что сертификат не подтвержден. Подтверждаем внизу вручную. На самом деле в случае с онион доменом уже идет шифрование до вашего сервера, так что в нем нет нужды особо.

Логинимся с помощью админской учетки. И видим интерфейс системы. Сначала он у вас будет вообще пуст.
Кстати не забудьте в тор браузер кликнуть на предупреждение вверху адресной строки слева. И разрешить там html5 canvas, иначе у вас будет вместо курсора квадрат в сессиях.

Зайдите в раздел add registry. И добавьте там любой докер из подготовленных какой вам необходим.

После этого у вас, как и у меня будет в разделе workspaces выбор из ваших пространств. Скажем начнем работать с tor browser.
Каждый запуск создают отдельную виртуальную сессию в отдельном контейнере. Которая удаляется с прошествием времени, или лично по кнопке вами. Идеально подходит для того, чтобы отделить вашу деятельность от прямого траффика. Никакие корреляции по трафику здесь невозможны. Вы лишь подключается к картинке, далее все происходит на сервере.

Все сессии существует ровно выделенное время, которое можно настроить в основной админке.

Вы легко можете передавать файлы и скачивать из виртуалку через специальный промежуточный слой слева. А также работать с буфером обмена.

Каждой виртуалке можно назначить качество стрима, а также разрешение в доп настройках в случае если у вас подвисает что-либо. Выберите себе идеальный вариант работы.

Вы можете использовать дополнительный регистр приложений. Например этот -

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

В идеале загружать свои докер контейнер по шаблону. Так можно существенно расширить функционал.

К слову на андроид также работает идеально. Экран подстраивается, все максимально удобно.


Часть 3 - Различные кейсы для использования

1. К примеру вам присылают какой-то непонятный док документ. Открываем его в kasm сервере через libreoffice виртуалку.​

2. Вам нужно анонимно пообщаться одноразово. Используем один из мессенджеров виртуалок telegram, signal, pidgin. После беседы просто удаляем сессию.​

3. Нужно полноценное анонимное место для работы не очень квалицированных в безопасности сотрудников. Операторы,кураторы и тд. Предоставляем им user доступ к kasm с преднастроенным ubuntu.​

4. Необходим протестировать на уязвимости какой-либо проект, но под рукой только телефон. Не беда, подключаемся к kasm и проводим все тесты в kali linux.​

5. Кладмен не хочет, чтобы на его телефоне хранились какие-то данные на время работы в поле. Запускаем сессию kasm и скидываем туда все фотки через удобный элемент меню слева. Телефон чист. Вернувшись на хату, с пк и той же сессии kasm уже заливаем фото куда нужно.​

6. Необходимо быстро скачать какой-то файл(ы) не нагружая основную систему, особенно если она со сложной цепочкой тор впн. Используем bittorrent виртуалку kasm.​

Также из интересных ссылок которые стоит изучить, если вы хотите расширенных возможностей по подключению видеокарты или отдельных PWA приложений. Также можно изменить любые настройки по логам и прочим данным.

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Заключение

Доверять свою безопасность посредникам выйдет куда дороже, чем просто изучить данный мануал.
Свой сервер, свое понимание, одноразовые системы в докер, удобство разделения и даже работа на мобильных устройствах.
Теперь друг, ты сможешь сделать себе максимально безопасное рабочее место в сети. Удачи в работе!

 

[meta_courier]

Спасибо за труд! Звучит очень заманчиво. Уточните пожалуйста пару моментов:
1) а домен .онион где регистрируется? Он платный? Или это только локальный домен для текущего пользователя?
2) с андроида я могу зайти в помощью любого клиента удаленного доступа. верно?

 

[Unique Projects]

Спасибо за труд! Звучит очень заманчиво. Уточните пожалуйста пару моментов:
1) а домен .онион где регистрируется? Он платный? Или это только локальный домен для текущего пользователя?
2) с андроида я могу зайти в помощью любого клиента удаленного доступа. верно?

1. Домен делается локально. Ключ генерится, выдается случайный домен onion.
2. Да, проверял. Без сторонних клиентов, чисто с браузера. Это в целом браузерное решение.

 

[CyberSec RuTOR]

Теперь друг, ты сможешь сделать себе максимально безопасное рабочее место в сети. Удачи в работе!

Где ж тут максимальная безопасность, если вы даже про защиту SSH-соединения не упомянули, вот так пользователь прочитает статью, возьмет себе хостинг, где вход по паролю, а у него SSH сбрутят и всё.
Раз уж вы пишите статью на конкурс да ещё про максимальную безопасность говорите, надо же ответственно подходить к написнию статьи и такие базовые моменты учитывать, хотя бы просто упомянуть о том, что 1ое, что необходимо сделать после приобретения VPS - защитить SSH-соединение

 

[Unique Projects]

Где ж тут максимальная безопасность, если вы даже про защиту SSH-соединения не упомянули, вот так пользователь прочитает статью, возьмет себе хостинг, где вход по паролю, а у него SSH сбрутят и всё.
Раз уж вы пишите статью на конкурс да ещё про максимальную безопасность говорите, надо же ответственно подходить к написнию статьи и такие базовые моменты учитывать, хотя бы просто упомянуть о том, что 1ое, что необходимо сделать после приобретения VPS - защитить SSH-соединение

SSH - это банальнейшая вещь, описанная почти везде. Цель данной статьи знакомство с новой технологией.
Описание же полностью настройки безопасного линукса выходит за рамки данной статьи.

Кроме того, предложенные мной хостинг-провайдеры по умолчанию генерируют уникальный длинный пароль, который не брутится.

 

[CyberSec RuTOR]

SSH - это банальнейшая вещь, описанная почти везде. Цель данной статьи знакомство с новой технологией.
Описание же полностью настройки безопасного линукса выходит за рамки данной статьи.

Учитесь высшей математике не выучив таблицу умножения, там лучше не делать

Описывать не надо, надо было упомянуть, что необходимо обезопасить SSH соединение

Сообщение обновлено: 27 Апр 2023

Кроме того, предложенные мной хостинг-провайдеры по умолчанию генерируют уникальный длинный пароль, который не брутится.

Неправильно, njal.la использует доступ по ключу, а не по паролю

 

[Unique Projects]

Описывать не надо, надо было упомянуть, что необходимо обезопасить SSH соединение

Логично. Но так можно про все сказать. Можно упомянуть и про настройку фаервалла, шифрование диска и много чего.

Учитесь высшей математике не выучив таблицу умножения, там лучше не делать

Еще раз эта статья не для экспертов, а для того чтобы заинтересовать людей, которым это нужно на практике, на начальном уровне знаний. В процессе работы некоторые вопросы всплывут и я отвечу в теме.

Неправильно, njal.la использует доступ по ключу, а не по паролю

Я про два других. njalla последний раз использовал эдак 5 лет назад. Тем более по ключу это еще лучше. Там еще по жабе вход угарный с otr был.

Argos ну хватит, у тебя есть много своих тем, где можно обучать людей таблице умножения.

 

[CyberSec RuTOR]

Логично. Но так можно про все сказать. Можно упомянуть и про настройку фаервалла, шифрование диска и много чего.

Тогда просто не надо вводить людей в заблуждение словами о том, что они получат "максимальную" защиту воспользовавшись вашими инструкциями

 

[Unique Projects]

что они получат "максимальную" защиту воспользовавшись вашими инструкциями

Плюсую. В конце для красного словца добавил. Имелось ввиду в целом, после собственного изучения.

 

[Unique Projects]

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Видео для понимания удобства использования

 

[Unique Projects]

Из интересных особенностей - Persistent volume
По умолчанию все сессии живут час с момента последнего использования. И вся информация удаляется.
Но если нам нужно, сохранить какие-то данные скажем скачанные файлы, настройки и тд.
Можно создать постоянный раздел и подключать его к нужным контейнерам.


На сервере прописываем следующие команды

sudo mkdir /var/kasm_user_share
sudo chown 1000:1000 /var/kasm_user_share/
echo "test" > /var/kasm_user_share/test.txt

Далее заходим в раздел Workspaces и выбираем нужное пространство . В нем идем в Volume Mappings

И вписываем следующее.

{
   "/var/kasm_user_share":{
      "bind":"/share",
      "mode":"rw",
      "uid": 1000,
      "gid": 1000,
      "required": true,
      "skip_check": false
   }
}

Теперь в вашей выбранном пространстве(контейнере) при запуске по пути /share можно класть файлы для постоянного сохранения.

Также удобная вещь зайдя в раздел sessions, вы можете сохранить текущее состояние вашего контейнера как отдельный докер контейнер.
Скажем сделали подходящий вам набор программ настроек и сохраняем состояние. Впоследствии это будет такой же одноразовый контейнер но с удобным стартом.

Сообщение обновлено: 28 Апр 2023

Вы также можете запустить впн шлюз в отдельном докере для каждого контейнера.
Подробная инструкция -

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

И сделать подключение через ваш kasm сервер к сторонним серверам по rdp,vnc,ssh

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Решение крайне расширяемо и масштабируемо.

 

[Unique Projects]

Старая тема, я в 2013 ещё такие делал

Что вы делали? надеюсь вы понимаете разницу между дедиком с обычной виндой которую вы делали и системой временных контейнеров на докер которая описана в моей статье

 

[Unique Projects]

Кому интересно. Демка полноценной убунту в браузере с помощью kasm -

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

 

[Beekeeper]

Где ж тут максимальная безопасность, если вы даже про защиту SSH-соединения не упомянули, вот так пользователь прочитает статью, возьмет себе хостинг, где вход по паролю, а у него SSH сбрутят и всё.
Раз уж вы пишите статью на конкурс да ещё про максимальную безопасность говорите, надо же ответственно подходить к написнию статьи и такие базовые моменты учитывать, хотя бы просто упомянуть о том, что 1ое, что необходимо сделать после приобретения VPS - защитить SSH-соединение

Хорошо что есть такая обратная связь, а то я тут глаза развесил)

 

[Unique Projects]

Хорошо что есть такая обратная связь, а то я тут глаза развесил)

Не волнуйся никто бы у тебя ssh не сбрутил. А так лучше потестируй ссылку выше. Там демка пример.

 

[aoki]

хороший гайд, полезно для ПАВ деятелей

 

[TurboNick]

да не только! вообще нормально для любого криминалаи параноика

Или просто для человека, который беспокоится о своей анонимности

 

[Simon.]

Подписываюсь на статьи автора.
Профессионально написано
Откуда известно про безопасность хостинга?
И откуда известно где он находится?

 

[PRIGO]

Интересное решение.
Для Даркнета его использовать конечно не буду,а вот для каких то белых проектов можно потестировать.

 

[PPashtetPPrivet]

Безопасность главное! Анонимность еще ничего не дает..