Параноїдальне встановлення Debian

Краще надавати перевагу встановленню операційної системи з CD або DVD диску бо на цей носій, на відміну від флешки, неможливо щось дописати. Образ системи завантажуйте з офіційного сайту Debian. Краще встановлювати мінімальну систему (netinst), а потім додавати необхідні програми. Завантажуйте також SHA512SUMS та Signature для перевірки цілісності образу. Після скачування перевіряємо контрольні суми та підпис:

fdisk -l /dev/sdX # дізнатися кількість секторів на флешці

dd if=/dev/sdX count=XXXXXX status=progress | sha256sum # зчитати з флешки потрібну кількість секторів і перевірити контрольну суму

gpg --verify SHA256SUMS.sign SHA256SUMS # перевірити цифровий підпис у контрольних сум

Та записуємо образ на диск або флешку. Для запису зручно використовувати програму UNetbootin.

Встановлення Debian

  • відключаємося від інтернету, ми оновимось і встановимо усе необхідне після налаштування системи;
  • пароль суперкористувача залишаємо порожнім щоб користуватися лише sudo;
  • вибираємо автоматичну розмітку диску з шифруванням, усі файли на одному розділі;
  • якщо знадобиться ручна розмітка створюємо наступні розділи:
    • ext2 - 200 Mib - /boot
    • ext4 - від 32 Gib - Шифрований розділ > Налаштувати шифрування томів > Точка монтування “/”
  • SWAP
  • записуємо зміни на диск;
  • не скануємо диск і не використовуємо дзеркало архіву, не приймаємо участі у популярності пакетів;
  • дочекатися пропозиції встановити GRUB;
  • відмовляємося від встановлення додаткових програм;
  • перейти у консоль комбінацією alt+F2;
  • ввести команду chroot/target/bash;
  • встановити bash-completion та вийти exit;
  • повертаємось до встановлення системи alt+F1;
  • не встановлюємо ніяких додаткових програм;
  • встановлюємо GRUB;
  • система встановлена.

Якщо налаштоване шифрування системи, для знищення усіх данних можна використати команду:

dd if=/dev/urandom of=/de    v/sdXY bs=1M count=16 ; sync # затирає перші 16MiB даних на диску

Для генерації і зберігання надійних паролей використовуємо KeePassX.

Налаштування системи

  • після завантаження редактуємо /etc/apt/sources.list, видаляємо або закоментовуємо наступні репозиторії
deb https://deb.debian.org/debian-security buster/updates main
deb https://deb.debian.org/debian buster main
deb https://deb.debian.org/debian buster-updates main
  • зберігаємо зміни і виходимо, підключаємо інтернет і оновлюємось sudo apt update;
  • встановлюємо tor та apt-transport-tor;
  • знову редактуємо sources.list і вписуємо репозиторії наступним чином:
deb tor+https://deb.debian.org/debian-security buster/updates main
deb tor+https://deb.debian.org/debian buster main
deb tor+https://deb.debian.org/debian buster-updates main
  • оновлюємося і встановлюємо усі необхідні програми.

Замість https-репозиторіїв можна підключити onion-репозиторіїї список яких можна знайти тут.

14.12.2021
Tags: privacy  linux  tor  security