Экстренный чемоданчик цифрового мира. Часть 1

Путь диджитал анархиста.

Cитуация сейчас вокруг нас меняется не то, что каждый день, а каждые 10 минут. Поэтому, сейчас в цифровом пространстве лучше уповать только на себя, а сторонним компаниям доверять 50/50. Не одним ВПН'ом едины мы.

Этот гайд я пишу с целью сохранить связи между всеми нами, количество которых снижается с каждой минутой.

Мой манифест:

Я не преследую каких-то политико-экономических целей в этом гайде. Я только хочу, чтобы кто-то еще узнал о том, как сохранить и преумножить (лично для себя) идею Интернета о глобальной децентрализованной сети. Также моя цель - показать, что стать более самостоятельным элементом в цифровом мире - задача не такая сложная, какой может казаться.

Все, о чем пойдет речь в данном гайде я использую не один день и даже не один месяц, поэтому на некоторую долю объективности претендовать могу.

Приступим к становлению на путь диджитал анархизма:

У настоящего диджитал анархиста нет цели, только флешка с линуксом.

1) Линукс и все, все, все.

Ставь линукс и не ленись. Ставь и изучай. Хотя бы на виртуалку. Современные дистрибутивы не так страшны, как лет 20 назад. Везде есть приятный графический интерфейс (ну все же лучше, чем у Шindows), куча софта для любых задач и даже возможность запускать игрушки через Steam Proton.

Система и софт работают ощутимо быстрее, чем Винда, что может оживить древнее железо. К железу требования намного меньше. Например Manjaro 21.x прекрасно себя чувствует на 2Гб ОЗУ.

Софт, в большинстве своем, с открытым исходным кодом и абсолютно бесплатный (ну не совсем, но да. Нюансы лицензии GPL).

В целом, комп на линуксе - это ТВОЙ КОМП. Ты сам решаешь, что с ним делать и как делать, вплоть до смены графического окружения с KDE на GNOME, хоть каждый день.

А если еще терминал освоишь (что тоже не так сложно, дело привычки) - вообще боженькой станешь.

Дистрибутивы, которые я рекомендую:

Экстренный чемоданчик цифрового мира. Часть 1
Экстренный чемоданчик цифрового мира. Часть 1
  • Rosa Linux (для патриотов): https://www.rosalinux.ru/ Кроме шуток - система российская, но годная, в отличие от Астра Линукс. Рекомендую ставить редакцию с KDE Plasma 5.
Экстренный чемоданчик цифрового мира. Часть 1

2) Tails. Чемоданчик безопасности.

Заведи себе флешку с Tails. Не спрашивай. Пили. Пригодится.

Даже если ты ничего не покупаешь на одной интересной торговой площадке.

Ты ведь не заходишь на площадку с телефона или винды?

Tails - это ультимативный инструмент кибербезопасности и защита от терморектального криптоанализа.

По сути - это полноценный линукс дистрибутив, основанный на Debian, но живущий на флешке, имеющий двойное дно (хранилище Persistant) и пускающего ВЕСЬ трафик через тор. До кучи: из коробки доступны удобные инструменты для работы с шифрованием и PGP, а так же инструментарий для зачистки жестких дисков и ОЗУ.

Система работает ровно до тех пор, пока флешка вставлена. Как только флешка будет извлечена, вся сессия и ОЗУ зачистится. Этакая экстренная кнопка.

Экстренный чемоданчик цифрового мира. Часть 1

3) PGP и VeraCrypt. Шифруемся, девачки.

Что такое PGP и с чем его едят, можно почитать на википедии (еще не заблокировали). Если кратко, то PGP - это два ключа: открытый (публичный) и закрытый (приватный).

Открытый ключ нужен для шифрования данных. Можно хоть на заборе написать. С его помощью можно только зашифровать отправляемые данные, либо проверить их подлинность. Генерируется из закрытого ключа.

Закрытый ключ должен в месте к которому есть доверие. Лучше на отдельном физическом носителе. В природе существуют еще специальные криптографические хранилища, но это совсем для зажиточных буржуев. Пролетала еще инфа о записи PGP на NFC метки.

Применений у PGP масса. Самые распространение из них:

  • Шифрование и подпись файлов.
  • Обмен электронной почтой.
  • Двухфакторная аутентификация.
  • Операции с криптой.
  • Создание самоподписанных сертификатов.

Инструменты для работы с PGP встроены почти в любой дистрибутив линукса и называются GNUPG. На мой взгляд, GNUPG абсолютно проклятый инструмент, которым пользоваться, что в анусе живого голубя ковыряться.

Это очень удобный и простой gui для gnupg. Так же в tails встроен инструмент, который может расшифровывать или зашифровывать содержимое буфера обмена.

VeraCrypt - система шифрованных контейнеров.

Бывший TrueCrypt. Говорят, что этот инструмент на столько устойчив, что им пользовались такие представители рода человеческого, как Садам Хусейн, Эдвард Сноуден и Джулиан Ассанж.

VeraCrypt - это форк TrueCrypt, развивающийся с 2014 года. Поддерживает алгоритмы шифрования: AES, Serpent, Twofish, Camellia, Кузнечик, а также комбинации этих алгоритмов.

Зачем он нужен? А затем, чтобы защититься от терморектального криптоанализа, который будут проводить злые дяди, обнаружившие твои запароленные архивы, ключи и прочие сесурные штуки. С помощью VeraCrypt создается контейнер с двойным дном и очень крутым шифрованием, можно хоть весь жесткий диск с ОС зашифровать. Но оставим это шифропанкам.

Нам же достаточно иметь парочку контейнеров с двойным дном. Один для ключей PGP, другой для прочих секретиков. Контейнеры монтируются в системе как обычные жесткие диски и не требуют пересборки. А сами файлы контейнеров можно замаскировать под обычные файлы.

Так как VeraCrypt доступна для всех ОС, а так же есть portable версия - это делает данный инструмент очень удобным для использования.

Совет по использованию. Выдели какую-нибудь хорошую и надежную флешку, забрось на нее дистрибутив ВерыКрипт под линуксы и портативную версию для винды. Сделай контейнер для ключей PGP и контейнер для всякой херни, которую просто не хочешь никому показывать.

4) Купи домен.

Домен дает очень большой простор для обособленного использования интернета. Обладая собственным доменом ты существенно меньше зависим от сторонних сервисов.

На своем домене можно держать впн сервер, прокси, облако, почту, мессенджеры и прочие радости цифровой жизни.

Почему именно reg.ru?

  • Он находится в российской юрисдикции, это означает, что домен не отвалится из-за нынешних событий в мире.
  • Без проблем работает оплата банковскими картами.
  • Довольно удобный интерфейс.
  • Яндекс почта для домена.
  • Адекватные цены (upd: уже не очень).
Экстренный чемоданчик цифрового мира. Часть 1

Есть еще https://www.freenom.com/, но люди активно жалуются, что домены отлетают спустя 6 месяцев, а так же ценник за продление довольно высокий.

Поэтому берем домен на reg.ru. Если в планах использование только стандартных портов (типа 80, 443), то подключаем Cloudflare DNS к домену. Cloudflare даст защиту от DDos и SSL сертификат для домена и поддоменов.

Экстренный чемоданчик цифрового мира. Часть 1

Если нужны кастомные порты, то остаемся на reg.ru ¯\_(ツ)_/¯.

Cертификацию придется проходить самому с помощью Let's Encrypt или ACME challenge.

Стоит позаботиться еще о том, чтобы у твоего сервера был статический внешний IP. Если такого нет, то как костыль можно использовать localtunnel https://github.com/localtunnel/localtunnel. Еще один вариант - ngrok.io, но работает он очень туго.

Ребяток с Ростелекомом, МГТС и МТС тупо помянем. Здоровья вам.

5) Matrix. Подключись к матрице, Нео.

Matrix — это открытый и децентрализованный протокол мгновенного обмена сообщениями, разрабатываемый энтузиастами из Matrix.org Foundation.

У протокола существует полноценная реализация федерации, которая позволяет бесшовно общаться, организовывать общие комнаты для общения пользователям разных серверов, совершать видео- и аудиозвонки.

Экстренный чемоданчик цифрового мира. Часть 1

Чем же сеть Матрикс лучше телеги или вотсапа какого-нибудь?

  • Децентрализация - возможность поднять свой сервер для подключения к сети Matrix.
  • Приватность - сквозное шифрование.
  • Групповые аудио- и видеозвонки для пользователей с разных серверов.
  • Отличное API для ботов.
  • Множество клиентов, в том числе браузерные и консольные.
  • Возможность проброски мостов из других мессенджеров и сервисов в матрикс.

Для быстрого старта можно просто воспользоваться клиентом Element.io и завести себе аккаунт на базовом сервере matrix.org.

Не стоит думать, что это какая-то ноунейм тема для красноглазиков.

На оф.сервере и в федерации много интересных тематических комнат известных организаций и брендов. Комнаты активны и поддерживаются сообществом, так что Matrix имеет полное право стать полноценной заменой Discord.

Экстренный чемоданчик цифрового мира. Часть 1

Помимо Element, существует еще другие клиенты.Например, FluffyChat https://fluffychat.im/

Доступен на все платформы, ровно так же, как и Element. Обладает богатым функционалом и приятным интерфейсом.

Экстренный чемоданчик цифрового мира. Часть 1

6) Собственный matrix сервер.

Общедоступные сервера matrix и федерация - это все хорошо. Но у нас цель стать независимым, так что будем поднимать свой сервер. И сеть поддержим и себя обеспечим бесперебойной связью (ну почти).

А еще добавим сюда большие возможности для ботов.

Для поднятия сервера нужен свой домен, SSL сертификат и открытый порт 8448 на роутре.

Есть несколько реализаций серверов matrix. Все они на этой странице.

Экстренный чемоданчик цифрового мира. Часть 1

Самый распространенный сервер и рекомендуемый командой разработчиков - Synapse. Доступен под архитектуры amd64 и arm64. Требует установки PostgreSQL. Есть Docker контейнер, в котором уже все настроено и надо только запустить с нужными параметрами.

Запуск Synapse через Docker (тестировалось на Manjaro):

git clone https://github.com/matrix-org/synapse sudo pacman -S docker docker run -it --rm --mount type=volume,src=synapse-data,dst=/data -e SYNAPSE_SERVER_NAME=my.matrix.host -e SYNAPSE_REPORT_STATS=yes matrixdotorg/synapse:latest generate sudo docker run -d --name synapse --mount type=volume,src=synapse-data,dst=/data -p 8448:8448 matrixdotorg/synapse:latest sudo docker exec -it synapse register_new_matrix_user http://localhost:8008 -c /data/homeserver.yaml --help sudo docker exec -it synapse register_new_matrix_user http://localhost:8008 -c /data/homeserver.yaml -u admin -p 12345678 -a

Лично у меня не было устройства на котором я мог бы поднять Synapse, поэтому мой взгляд пал на Conduit - очень легковесный, простой в настройке сервер со встроенной СУБД.

А еще он работает на всех ARM процессорах, в том числе на armv7 и даже Samsung Exynos.

Именно поэтому мой матрикс сервер крутится именно на Conduit, который поднят на OrangePi PC.

Короче говоря, Conduit можно поднять даже на андроид смартфоне, используя termux.

В целом, кондуит более шустрый и легковесный, нежели Synapce, но он не имеет почти никакого админ-интерфейса и некоторые app-services интегрировать с ним намного сложнее.

При настройке сервера нужно обратить внимание на то, что для клиента и федерации требуется ОБЯЗАТЕЛЬНОЕ наличие сертификата.

Если сервер не находится за Cloudflare, то сертификат нужно сделать с помощью certbot или других средств от Let's Encrypt. Об этом я писал выше.

Но, как показала практика, с Cloudflare и федерацией есть проблемы из-за непоняток с пробросом портов через фаеволы Cloudflare. Просто имейте это ввиду.

7) Личное облачное хранилище.

Для начала дам рекомендацию все таки иметь пару аккаунтов облачных хранилищ у компаний. Лучше всего иметь одно российское облако и одно забугорное.

  • Яндекс.диск. Дают 10 гб на старте, хватит для большинства задач.
  • Mega.nz. Дают 25 гб на старте, сервера в Новой Зеландии, что далеко от российской юрисдикции. Все файлы, по заверениям разработчиков, шифруются.

На этом все. Переходим к основной теме.

Первое и самое главное: нужно обеспечить себе нормальный объем хранилища. Практика показывает, что для личного облака 32гб будет мало. Самый оптимальный объем - 128гб. Хватит точно для всех важных данных. Возможно и не самых важных. Никто не мешает в будущем расшириться. Может быть даже NAS собрать уже.

Главный флагман личных облачных хранилищ - Next Cloud.

Очень мощный продукт. Есть клиенты для всех десктопных систем с синхронизацией содержимого. Есть клиенты для IOS и Android. Есть готовые iso образы системы с nextcloud из коробки.

Довольно интересная вещь - Nextcloud talk. Представляет собой чат и систему видеосвязи среди пользователей облака.

Облачное хранилище с клиентами для всех десктопных и мобильных платформ. Поддерживает синхронизацию содержимого и версии файлов. Намного легковеснее NextCloud и более легок в настройке. Более того, сервер можно поднять на Windows.

ownCloud. Почти полный аналог Nextcloud.

Есть клиенты для всех платформ. Есть адекватная веб версия и довольно функциональная веб админ панель.

Распространяется в виде docker контейнера, так что установка идет буквально в пару команд. Но можно и поставить вручную.

WebDAW. Максимальный минимализм.

Все предыдущие решения представляли из себя отдельные комплексные продукты для организации облачных хранилищ. А что если хочется максимальной универсальности, совместимости и легковесности?

Решение - WebDAW.

Этот протокол на столько универсален, что его клиент встроен в проводник Windows и в большинство других ОС. WebDAW дает максимальную универсальность использования и максимальное быстродействие, как для клиента, так и для сервера. Посмотреть содержимое WebDAW можно хоть с браузера Opera Mini, запущенного на кнопочном телефоне (нет, это не шутка).

8) Каким файлообменником ты пользуешься?

Нет, не скайпом. И не телегой, упаси тебя святой Линукс.

Твой выбор - это P2P обмен. В частности обмен по протоколу BitTorrent. Но иногда бывают с этим сложности.

Вот несколько проверенных сервисов для P2P файлообмена:

  • Onionshare: https://onionshare.org/. Обмен файлами через сеть Tor. Его клиент в системе Tails идет из коробки. Для Windows клиент тоже имеется.
  • Toffeshare: https://toffeeshare.com/. Браузерный сервис Р2Р обмена файлами. Дает хорошую скорость передачи. Разработчики заявляют, что не собирают данные и телеметрию о передачах.
  • Transfer.sh: https://transfer.sh/. Не Р2Р, но хороший обменник с политикой конфиденциальности, без ограничений по объему файла и легкой интеграцией с curl.

9) Postfix. Почтовый сервер дома.

Postfix - наиболее распространенный и популярный почтовый сервер. Востребован, в основном, в корпоративном сегменте. Также широко используется для рассылок внутри локальной сети от локальных сервисов, таких как Git.

Экстренный чемоданчик цифрового мира. Часть 1

Postfix разработан как альтернатива Sendmail, более безопасная, простая и гибкая в настройке. Все основные Linux-дистрибутивы включают Postfix.

Что самое интересное, Postfix может успешно справляться с задачей почтового сервера уже с пустым файлом конфигурации. Например, если есть локальный GitLab, то он сможет без проблем рассылать уведомления юзерам на электронную почту. Правда, надо убедиться в том, что почтовый сервер получателя корректно увидит домен и сертификат сервера Postfix. Иначе письмо уйдет в спам.

Postfix поддерживает современные стандарты TSL, а также в него можно интегрировать PGP.

Если куплен домен не в .ru зоне, то можно обойтись без почтовых аккаунтов на заграничных ресурсах.

И выглядит такой адрес солиднее. Можно хоть крутым стартапером прикинуться с многотысячным капиталом в иностранной валюте.

Как бонус, можно рассылать с помощью bash-скриптов или по расписанию, используя cron.

  • Подробный и полный гайд по поднятию Postfix: https://losst.ru/ustanovka-postfix-ubuntu-s-dovecot

10) Мesh-сети и мессенджеры.

Mesh-сеть - это распределенная, одноранговая, ячеистая сеть, где каждый узел обладает равными правами.

О преимуществах и недостатках mesh-сетей подробно можно почитать здесь.

Основным недостатком является сложность запуска и необходимость в огромном количестве участников.

Преимуществ у таких видов сетей много, но ключевым является полная независимость вас от провайдера или власти, ведь вас невозможно отключить. И чем больше участников такой сети, тем она быстрее и устойчивее.

Учитывая сегодняшние реалии, данный способ связи стоит иметь в своем арсенале. Хотя бы в виде скачанных apk файлов.

Мессенджеры работающие на Mesh-сетях и не требующие интернета:

  • Briar: https://f-droid.org/ru/packages/org.briarproject.briar.android/. Открытый исходный код, все данные хранятся только на устройстве, нет привязки к почте или номеру телефона, а также есть функция экстренного удаления всех данных.
  • Bridgefy: https://bridgefy.me/. Работа без интернета, неплохой интерфейс, есть версия как для Android, так и для IOS.
  • Rumble: https://f-droid.org/en/packages/org.disrupted.rumble/. Мессенджер с возможностями микроблога.
  • FireChat. Не рекомендую использовать. Собирает телефонные номера.

З.Ы. Этот материал был мною опубликован еще в марте на Яндекс.Дзене. Так что не кидайтесь какашками.

Экстренный чемоданчик цифрового мира. Часть 1
1212
18 комментариев

А если не будет интернентов этих ваших?

Комментарий недоступен

У него комп с 4 гигами памяти

На своем домене можно держать впн сервер, прокси, облако, почту, мессенджеры и прочие радости цифровой жизни.

Что?

Имеется ввиду, что свой домен упрощает к ним доступ извне. Ну и сертификат ssl прикрутить к домену намного легче, чем к внешнему ip.

гайд о том как максимально усложнить себе жизнь?