StasGabber
Light Weight
- Депозит
- $0
Необходима консультация и реализация. Нужно создать рабочую зону на удаленном сервере, для работы собственно. Доступ к ней через впн.
Runion
This is a sample guest message. Register a free account today to become a member! Once signed in, you'll be able to participate on this site by adding your own topics and posts, as well as connect with other members through your own private inbox!
Создание рабочей зоны, Ищу исполнителя
- Thread starter StasGabber
- Start date
StasGabber
Light Weight
- Депозит
- $0
Было бы отлично.
Всем Добра!
Я думаю многие из Вас видели в сети предложения о продаже удаленных рабочих столов тпо от очень компитентных людей, для максимально безопастной работы в сети, чтоб проворачивать свои черные делишки без каких-либо следлв. И логов нема и типо все чин-чинарем. Но все это как говорится стоит денег, но мы то ребята с головой(ведь она у нас не только для того, чтоб шапку носить)! Так что ниже я попытаюсь объяснить/рассказать Вам как сделать удаленное рабочее пространство с одноразовыми приложениями и даже системами достаточно простым способом на вашем собственном сервере. При этом висеть оно будет на домене онион в тор сети, и доступ можно получать из тор браузера, соответственно с шифрованием до сервера.
Сначала, имхо немного плюсов данного решения:
Добавляется слой защиты и конфиденциальности путем использования временных виртуальных контейнеров сервера через тор браузер;
Используется среда виртуализации рабочих столов для безопасного удаленного доступа;
Можно заюзать временные сессии Kali/ParrotOS для тестирования взломов и угроз;
Создается рабочее место для удаленного доступа с любого устройства и из любой точки мира;
Используйте совместные среды разработки/рабочие среды для взаимодействия/контроля ваших сотрудников.
Часть 1 - Развертывание
Для начала нам нужен подходящий хостер, с анонимной оплатой монеро и не требующий персональных данных. Также чтоб сервера находились в оффшорной юрисдикции. Для примера есть несколько вариантов - nicevps.net, njal.la, cryptoho.st(не реклама, просто с просторов сети), а так тут есть целый подфорум, так что думаю каждый подберет по своему карману и потребностям!
Выбирай любой или можешь использовать свой физический сервер где-либо(для полных параноиков). Но помни не в коем случае не бери компании которые не позволяют тебе оплачивать криптовалютой и находятся в ведении стран 14 глаз.
Почту для регистрации можете сделать на protonmail, либо поднять свою, я лично под чернуху еще со времен рашен силк роада, юза. zoho и не парюсь. Кстати они(протон) имеют онион домен, как и два из провайдеров выше. Сервер подобран и оплачен. По серверной ОС рекомендую ubuntu 22.04, для простоты, но тут каждый кузнец своего счастья. По характеристикам берите как минимум 8ГБ оперативый и 50-100+ ГБ жесткого диска желательно SSD/NVME.
Далее заходим на ssh сервера по предоставленному вам паролю.
Кстати можете пустить заход на ssh через tor:
Код:
Скопировать в буфер обмена
torsocks ssh root@server
Или пустить через firejail чтобы не оставлять на вашем пк следов, если вы уже заходите на различные сервера по ssh:
Код:
Скопировать в буфер обмена
firejail --noprofile --private ssh root@server
Мы будем использовать решение, которое зовется kasm workspaces, а именно их опенсорс community версию. Легко скачивается по прямой ссылке, также у них есть собственный скрипт установщик для всех зависимостей и настройк сервисов. На сервере следующие команды:
Код:
Скопировать в буфер обмена
wget "https://kasm-static-content.s3.amazonaws.com/kasm_release_1.13.0.002947.tar.gz"
tar -xvf kasm_release_1.13.0.002947.tar.gz
cd kasm_release/
./install.sh
После ожидаем завершения процесса установки, согласившись с развертыванием. Отлично все запущено и по итогу мы получаем данные для входов, обязательно сохраните их. Пример ниже:
Код:
Скопировать в буфер обмена
------------------------------------
username: admin@kasm.local
password:
------------------------------------
username: user@kasm.local
password:
------------------------------------
Kasm Database Credentials
------------------------------------
username: kasmapp
password:
------------------------------------
Kasm Redis Credentials
------------------------------------
password:
------------------------------------
Kasm Manager Token
------------------------------------
password:
------------------------------------
Kasm Guac Token
------------------------------------
password:
------------------------------------
Service Registration Token
------------------------------------
password:
------------------------------------
Теперь мы легко можем включать и выключать kasm сервисы:
Код:
Скопировать в буфер обмена
/opt/kasm/bin/start
/opt/kasm/bin/stop
Для kasm требуется много памяти, если на вашем сервере оперативы недостаточно можете сделать swap:
Код:
Скопировать в буфер обмена
sudo swapon /mnt/my.swap
sudo mkswap /mnt/my.swap
sudo fallocate -l 5g /mnt/my.swap
echo '/mnt/my.swap swap swap defaults 0 0' | sudo tee -a /etc/fstab
sudo chmod 600 /mnt/my.swap
В принципе у нас уже работает интерфейс на вашем айпи на порту 443, т.е. такая ссылка https://ip_server
ort
Но мы запустим тор онион домен для максимальной безопасности подключения к виртуалкам:
Код:
Скопировать в буфер обмена
sudo apt install tor
Редактируем nano /etc/tor/torrc
И в строке с hidden service оставляем все так:
Код:
Скопировать в буфер обмена
HiddenServiceDir /var/lib/tor/hidden_service/
HiddenServicePort 443 127.0.0.1:443
Далее перезапускаем тор:
Код:
Скопировать в буфер обмена
sudo service tor restart
И ваш домен будет лежать тут:
Код:
Скопировать в буфер обмена
cat /var/lib/tor/hidden_service/hostname
Его мы и будем использовать для полноценной работы.
Часть 2 - Изучение особенностей работы
Когда скажет, что сертификат не подтвержден. Подтверждаем внизу вручную. На самом деле в случае с онион доменом уже идет шифрование до вашего сервера, так что в нем нет нужды особо.
Логинимся с помощью админской учетки. И видим интерфейс системы. Сначала он у вас будет вообще пуст.
Кстати не забудьте в тор браузер кликнуть на предупреждение вверху адресной строки слева. И разрешить там html5 canvas, иначе у вас будет вместо курсора квадрат в сессиях.
Зайдите в раздел add registry. И добавьте там любой докер из подготовленных какой вам необходим:
После этого у вас, как и у меня будет в разделе workspaces выбор из ваших пространств. Скажем начнем работать с tor browser.
Каждый запуск создают отдельную виртуальную сессию в отдельном контейнере. Которая удаляется с прошествием времени, или лично по кнопке вами. Идеально подходит для того, чтобы отделить вашу деятельность от прямого траффика. Никакие корреляции по трафику здесь невозможны. Вы лишь подключается к картинке, далее все происходит на сервере.
Все сессии существует ровно выделенное время, которое можно настроить в основной админке.
Вы легко можете передавать файлы и скачивать из виртуалку через специальный промежуточный слой слева. А также работать с буфером обмена.
Каждой виртуалке можно назначить качество стрима, а также разрешение в доп настройках в случае если у вас подвисает что-либо. Выберите себе идеальный вариант работы.
Вы можете использовать дополнительный регистр приложений. Например этот - https://kasmregistry.linuxserver.io/1.0/
В идеале загружать свои докер контейнер по шаблону. Так можно существенно расширить функционал.
К слову на андрюша также работает идеально. Экран подстраивается, все максимально удобно.
Часть 3 - Различные кейсы для использования
К примеру вам присылают какой-то непонятный док документ. Открываем его в kasm сервере через libreoffice виртуалку;
Вам нужно анонимно пообщаться одноразово. Используем один из мессенджеров виртуалок telegram, signal, pidgin. После беседы просто удаляем сессию;
Нужно полноценное анонимное место для работы не очень квалицированных в безопасности сотрудников. Операторы,кураторы и тд. Предоставляем им user доступ к kasm с преднастроенным ubuntu;
Необходим протестировать на уязвимости какой-либо проект, но под рукой только телефон. Не беда, подключаемся к kasm и проводим все тесты в kali linux;
Кладмен не хочет, чтобы на его телефоне хранились какие-то данные на время работы в поле. Запускаем сессию kasm и скидываем туда все фотки через удобный элемент меню слева. Телефон чист. Вернувшись на хату, с пк и той же сессии kasm уже заливаем фото куда нужно;
Необходимо быстро скачать какой-то файл(ы) не нагружая основную систему, особенно если она со сложной цепочкой тор впн. Используем bittorrent виртуалку kasm.
Также из интересных ссылок которые стоит изучить, если вы хотите расширенных возможностей по подключению видеокарты или отдельных PWA приложений. Также можно изменить любые настройки по логам и прочим данным.
kasmweb.com
kasmweb.com
Заключение
Доверять свою безопасность посредникам выйдет куда дороже, чем просто изучить данный мануал.
Свой сервер, свое понимание, одноразовые системы в докер, удобство разделения и даже работа на мобильных устройствах.
Теперь друг, ты сможешь сделать себе максимально безопасное рабочее место в сети. Удачи в работе!
Видео для понимания удобства использования:
Из интересных особенностей - Persistent volume
По умолчанию все сессии живут час с момента последнего использования. И вся информация удаляется.
Но если нам нужно, сохранить какие-то данные скажем скачанные файлы, настройки и тд.
Можно создать постоянный раздел и подключать его к нужным контейнерам.
На сервере прописываем следующие команды:
Код:
Скопировать в буфер обмена
sudo mkdir /var/kasm_user_share
sudo chown 1000:1000 /var/kasm_user_share/
echo "test" > /var/kasm_user_share/test.txt
Далее заходим в раздел Workspaces и выбираем нужное пространство . В нем идем в Volume Mappings
И вписываем следующее:
Код:
Скопировать в буфер обмена
{
"/var/kasm_user_share":{
"bind":"/share",
"mode":"rw",
"uid": 1000,
"gid": 1000,
"required": true,
"skip_check": false
}
}
Теперь в вашей выбранном пространстве(контейнере) при запуске по пути /share можно класть файлы для постоянного сохранения.
Также удобная вещь зайдя в раздел sessions, вы можете сохранить текущее состояние вашего контейнера как отдельный докер контейнер.
Скажем сделали подходящий вам набор программ настроек и сохраняем состояние. Впоследствии это будет такой же одноразовый контейнер но с удобным стартом.
Вы также можете запустить впн шлюз в отдельном докере для каждого контейнера.
Подробная инструкция - https://kasmweb.com/docs/develop/how_to/vpn_sidecar.html
И сделать подключение через ваш kasm сервер к сторонним серверам по rdp,vnc,ssh
kasmweb.com
Решение крайне расширяемо и масштабируемо.
Всем спасибо, на пиво с плющками сюда:
XMR: 42ZSNiEko7798YG6dtec74iAtLYRiBfBTZkPmWUBpjVZGpVYiyhE6X4L7KjiUoUNkkgbhzc4H53Z5AcC49SNFcq81imMZVG
BTC: bc1qpr2fcxvuxlx07skz9lj7whkvqhvqc7tsqzhaxd
Я думаю многие из Вас видели в сети предложения о продаже удаленных рабочих столов тпо от очень компитентных людей, для максимально безопастной работы в сети, чтоб проворачивать свои черные делишки без каких-либо следлв. И логов нема и типо все чин-чинарем. Но все это как говорится стоит денег, но мы то ребята с головой(ведь она у нас не только для того, чтоб шапку носить)! Так что ниже я попытаюсь объяснить/рассказать Вам как сделать удаленное рабочее пространство с одноразовыми приложениями и даже системами достаточно простым способом на вашем собственном сервере. При этом висеть оно будет на домене онион в тор сети, и доступ можно получать из тор браузера, соответственно с шифрованием до сервера.
Сначала, имхо немного плюсов данного решения:
Добавляется слой защиты и конфиденциальности путем использования временных виртуальных контейнеров сервера через тор браузер;
Используется среда виртуализации рабочих столов для безопасного удаленного доступа;
Можно заюзать временные сессии Kali/ParrotOS для тестирования взломов и угроз;
Создается рабочее место для удаленного доступа с любого устройства и из любой точки мира;
Используйте совместные среды разработки/рабочие среды для взаимодействия/контроля ваших сотрудников.
Часть 1 - Развертывание
Для начала нам нужен подходящий хостер, с анонимной оплатой монеро и не требующий персональных данных. Также чтоб сервера находились в оффшорной юрисдикции. Для примера есть несколько вариантов - nicevps.net, njal.la, cryptoho.st(не реклама, просто с просторов сети), а так тут есть целый подфорум, так что думаю каждый подберет по своему карману и потребностям!
Выбирай любой или можешь использовать свой физический сервер где-либо(для полных параноиков). Но помни не в коем случае не бери компании которые не позволяют тебе оплачивать криптовалютой и находятся в ведении стран 14 глаз.
Почту для регистрации можете сделать на protonmail, либо поднять свою, я лично под чернуху еще со времен рашен силк роада, юза. zoho и не парюсь. Кстати они(протон) имеют онион домен, как и два из провайдеров выше. Сервер подобран и оплачен. По серверной ОС рекомендую ubuntu 22.04, для простоты, но тут каждый кузнец своего счастья. По характеристикам берите как минимум 8ГБ оперативый и 50-100+ ГБ жесткого диска желательно SSD/NVME.
Далее заходим на ssh сервера по предоставленному вам паролю.
Кстати можете пустить заход на ssh через tor:
Код:
Скопировать в буфер обмена
torsocks ssh root@server
Или пустить через firejail чтобы не оставлять на вашем пк следов, если вы уже заходите на различные сервера по ssh:
Код:
Скопировать в буфер обмена
firejail --noprofile --private ssh root@server
Мы будем использовать решение, которое зовется kasm workspaces, а именно их опенсорс community версию. Легко скачивается по прямой ссылке, также у них есть собственный скрипт установщик для всех зависимостей и настройк сервисов. На сервере следующие команды:
Код:
Скопировать в буфер обмена
wget "https://kasm-static-content.s3.amazonaws.com/kasm_release_1.13.0.002947.tar.gz"
tar -xvf kasm_release_1.13.0.002947.tar.gz
cd kasm_release/
./install.sh
После ожидаем завершения процесса установки, согласившись с развертыванием. Отлично все запущено и по итогу мы получаем данные для входов, обязательно сохраните их. Пример ниже:
Код:
Скопировать в буфер обмена
------------------------------------
username: admin@kasm.local
password:
------------------------------------
username: user@kasm.local
password:
------------------------------------
Kasm Database Credentials
------------------------------------
username: kasmapp
password:
------------------------------------
Kasm Redis Credentials
------------------------------------
password:
------------------------------------
Kasm Manager Token
------------------------------------
password:
------------------------------------
Kasm Guac Token
------------------------------------
password:
------------------------------------
Service Registration Token
------------------------------------
password:
------------------------------------
Теперь мы легко можем включать и выключать kasm сервисы:
Код:
Скопировать в буфер обмена
/opt/kasm/bin/start
/opt/kasm/bin/stop
Для kasm требуется много памяти, если на вашем сервере оперативы недостаточно можете сделать swap:
Код:
Скопировать в буфер обмена
sudo swapon /mnt/my.swap
sudo mkswap /mnt/my.swap
sudo fallocate -l 5g /mnt/my.swap
echo '/mnt/my.swap swap swap defaults 0 0' | sudo tee -a /etc/fstab
sudo chmod 600 /mnt/my.swap
В принципе у нас уже работает интерфейс на вашем айпи на порту 443, т.е. такая ссылка https://ip_server
ortНо мы запустим тор онион домен для максимальной безопасности подключения к виртуалкам:
Код:
Скопировать в буфер обмена
sudo apt install tor
Редактируем nano /etc/tor/torrc
И в строке с hidden service оставляем все так:
Код:
Скопировать в буфер обмена
HiddenServiceDir /var/lib/tor/hidden_service/
HiddenServicePort 443 127.0.0.1:443
Далее перезапускаем тор:
Код:
Скопировать в буфер обмена
sudo service tor restart
И ваш домен будет лежать тут:
Код:
Скопировать в буфер обмена
cat /var/lib/tor/hidden_service/hostname
Его мы и будем использовать для полноценной работы.
Часть 2 - Изучение особенностей работы
Когда скажет, что сертификат не подтвержден. Подтверждаем внизу вручную. На самом деле в случае с онион доменом уже идет шифрование до вашего сервера, так что в нем нет нужды особо.
Логинимся с помощью админской учетки. И видим интерфейс системы. Сначала он у вас будет вообще пуст.
Кстати не забудьте в тор браузер кликнуть на предупреждение вверху адресной строки слева. И разрешить там html5 canvas, иначе у вас будет вместо курсора квадрат в сессиях.
Зайдите в раздел add registry. И добавьте там любой докер из подготовленных какой вам необходим:
После этого у вас, как и у меня будет в разделе workspaces выбор из ваших пространств. Скажем начнем работать с tor browser.
Каждый запуск создают отдельную виртуальную сессию в отдельном контейнере. Которая удаляется с прошествием времени, или лично по кнопке вами. Идеально подходит для того, чтобы отделить вашу деятельность от прямого траффика. Никакие корреляции по трафику здесь невозможны. Вы лишь подключается к картинке, далее все происходит на сервере.
Все сессии существует ровно выделенное время, которое можно настроить в основной админке.
Вы легко можете передавать файлы и скачивать из виртуалку через специальный промежуточный слой слева. А также работать с буфером обмена.
Каждой виртуалке можно назначить качество стрима, а также разрешение в доп настройках в случае если у вас подвисает что-либо. Выберите себе идеальный вариант работы.
Вы можете использовать дополнительный регистр приложений. Например этот - https://kasmregistry.linuxserver.io/1.0/
В идеале загружать свои докер контейнер по шаблону. Так можно существенно расширить функционал.
К слову на андрюша также работает идеально. Экран подстраивается, все максимально удобно.
Часть 3 - Различные кейсы для использования
К примеру вам присылают какой-то непонятный док документ. Открываем его в kasm сервере через libreoffice виртуалку;
Вам нужно анонимно пообщаться одноразово. Используем один из мессенджеров виртуалок telegram, signal, pidgin. После беседы просто удаляем сессию;
Нужно полноценное анонимное место для работы не очень квалицированных в безопасности сотрудников. Операторы,кураторы и тд. Предоставляем им user доступ к kasm с преднастроенным ubuntu;
Необходим протестировать на уязвимости какой-либо проект, но под рукой только телефон. Не беда, подключаемся к kasm и проводим все тесты в kali linux;
Кладмен не хочет, чтобы на его телефоне хранились какие-то данные на время работы в поле. Запускаем сессию kasm и скидываем туда все фотки через удобный элемент меню слева. Телефон чист. Вернувшись на хату, с пк и той же сессии kasm уже заливаем фото куда нужно;
Необходимо быстро скачать какой-то файл(ы) не нагружая основную систему, особенно если она со сложной цепочкой тор впн. Используем bittorrent виртуалку kasm.
Также из интересных ссылок которые стоит изучить, если вы хотите расширенных возможностей по подключению видеокарты или отдельных PWA приложений. Также можно изменить любые настройки по логам и прочим данным.
Manual Intel or AMD GPU configuration — Kasm 1.15.0 documentation
Manually mount in Linux supported GPUS into a workspaces session for graphics acceleration.
kasmweb.com
Progressive Web App (PWA) — Kasm 1.15.0 documentation
How to launch Kasm Workspaces as a Progressive Web App on all platforms.
kasmweb.com
Заключение
Доверять свою безопасность посредникам выйдет куда дороже, чем просто изучить данный мануал.
Свой сервер, свое понимание, одноразовые системы в докер, удобство разделения и даже работа на мобильных устройствах.
Теперь друг, ты сможешь сделать себе максимально безопасное рабочее место в сети. Удачи в работе!
Видео для понимания удобства использования:
Из интересных особенностей - Persistent volume
По умолчанию все сессии живут час с момента последнего использования. И вся информация удаляется.
Но если нам нужно, сохранить какие-то данные скажем скачанные файлы, настройки и тд.
Можно создать постоянный раздел и подключать его к нужным контейнерам.
На сервере прописываем следующие команды:
Код:
Скопировать в буфер обмена
sudo mkdir /var/kasm_user_share
sudo chown 1000:1000 /var/kasm_user_share/
echo "test" > /var/kasm_user_share/test.txt
Далее заходим в раздел Workspaces и выбираем нужное пространство . В нем идем в Volume Mappings
И вписываем следующее:
Код:
Скопировать в буфер обмена
{
"/var/kasm_user_share":{
"bind":"/share",
"mode":"rw",
"uid": 1000,
"gid": 1000,
"required": true,
"skip_check": false
}
}
Теперь в вашей выбранном пространстве(контейнере) при запуске по пути /share можно класть файлы для постоянного сохранения.
Также удобная вещь зайдя в раздел sessions, вы можете сохранить текущее состояние вашего контейнера как отдельный докер контейнер.
Скажем сделали подходящий вам набор программ настроек и сохраняем состояние. Впоследствии это будет такой же одноразовый контейнер но с удобным стартом.
Вы также можете запустить впн шлюз в отдельном докере для каждого контейнера.
Подробная инструкция - https://kasmweb.com/docs/develop/how_to/vpn_sidecar.html
И сделать подключение через ваш kasm сервер к сторонним серверам по rdp,vnc,ssh
Fixed Infrastructure — Kasm 1.15.0 documentation
Connecting Kasm Workspaces to fixed RDP, VNC, SSH, or KasmVNC endpoints.
kasmweb.com
Решение крайне расширяемо и масштабируемо.
Всем спасибо, на пиво с плющками сюда:
XMR: 42ZSNiEko7798YG6dtec74iAtLYRiBfBTZkPmWUBpjVZGpVYiyhE6X4L7KjiUoUNkkgbhzc4H53Z5AcC49SNFcq81imMZVG
BTC: bc1qpr2fcxvuxlx07skz9lj7whkvqhvqc7tsqzhaxd