Параноїдальне встановлення Debian
Краще надавати перевагу встановленню операційної системи з CD або DVD диску бо на цей носій, на відміну від флешки, неможливо щось дописати. Образ системи завантажуйте з офіційного сайту Debian. Краще встановлювати мінімальну систему (netinst), а потім додавати необхідні програми. Завантажуйте також SHA512SUMS та Signature для перевірки цілісності образу. Після скачування перевіряємо контрольні суми та підпис:
fdisk -l /dev/sdX # дізнатися кількість секторів на флешці
dd if=/dev/sdX count=XXXXXX status=progress | sha256sum # зчитати з флешки потрібну кількість секторів і перевірити контрольну суму
gpg --verify SHA256SUMS.sign SHA256SUMS # перевірити цифровий підпис у контрольних сум
Та записуємо образ на диск або флешку. Для запису зручно використовувати програму UNetbootin.
Встановлення Debian
- відключаємося від інтернету, ми оновимось і встановимо усе необхідне після налаштування системи;
- пароль суперкористувача залишаємо порожнім щоб користуватися лише sudo;
- вибираємо автоматичну розмітку диску з шифруванням, усі файли на одному розділі;
- якщо знадобиться ручна розмітка створюємо наступні розділи:
- ext2 - 200 Mib - /boot
- ext4 - від 32 Gib - Шифрований розділ > Налаштувати шифрування томів > Точка монтування “/”
- SWAP
- записуємо зміни на диск;
- не скануємо диск і не використовуємо дзеркало архіву, не приймаємо участі у популярності пакетів;
- дочекатися пропозиції встановити GRUB;
- відмовляємося від встановлення додаткових програм;
- перейти у консоль комбінацією
alt+F2
; - ввести команду
chroot/target/bash
; - встановити
bash-completion
та вийтиexit
; - повертаємось до встановлення системи
alt+F1
; - не встановлюємо ніяких додаткових програм;
- встановлюємо GRUB;
- система встановлена.
Якщо налаштоване шифрування системи, для знищення усіх данних можна використати команду:
dd if=/dev/urandom of=/de v/sdXY bs=1M count=16 ; sync # затирає перші 16MiB даних на диску
Для генерації і зберігання надійних паролей використовуємо KeePassX.
Налаштування системи
- після завантаження редактуємо
/etc/apt/sources.list
, видаляємо або закоментовуємо наступні репозиторії
deb https://deb.debian.org/debian-security buster/updates main
deb https://deb.debian.org/debian buster main
deb https://deb.debian.org/debian buster-updates main
- зберігаємо зміни і виходимо, підключаємо інтернет і оновлюємось
sudo apt update
; - встановлюємо
tor
таapt-transport-tor
; - знову редактуємо
sources.list
і вписуємо репозиторії наступним чином:
deb tor+https://deb.debian.org/debian-security buster/updates main
deb tor+https://deb.debian.org/debian buster main
deb tor+https://deb.debian.org/debian buster-updates main
- оновлюємося і встановлюємо усі необхідні програми.
Замість https-репозиторіїв можна підключити onion-репозиторіїї список яких можна знайти тут.