Bash-скрипты

Браузер в любом случае надо запускать от отдельного юзера, он к файлам доступа иметь не будет (в гугле полно инфы)
А свои данные (которые критичны) можно хранить на hidden truecrypt контейнере, и открывать его тогда, когда он нужен.
У меня в системе ничего никуда не ломится без моего ведома, и ещё есть интересный проект douaneapp.com, это гуёвый per-application firewall для линукс, похож на Little Snitch в маке. Он спрашивает перед тем, как дать доступ какой-либо программе в инет.

А ещё есть крутая утилита в линуксе - xpra. Это Screen for X.
Можно редиректить попискельно любую программу или целый десктоп. (это гораздо безопаснее и быстрее ssh -X)
Когда мне срочно нужно зайти в жабу, а под рукой безопасного инета нет, я коннекчусь через hidden service на свой ssh, и включаю pidgin на удалённом компе, а он отрисовывается на моём, и в трее и везде.
Хотите, сделайте себе виртуальную машину (можно LXC), и редиректите себе нужные проги в свой десктоп.

Но опять же, если запускать браузер от отдельного юзера, то проблема c доступом к файлам через уязвимости решается.
Можно даже закинуть пару строк в apparmor и давать браузеру доступ только к папке ~/Downloads

А можно пример использования этой утилиты?

Например, так я запускаю Skype (заставили) из изолированной виртуальной машины KVM, весь трафик который идёт через Tor -> OpenVPN (+скрипты подмены голоса)

В виртуальной машине:

xpra start :100 --start-*****=skype

В своём десктопе:

user@local:~ > cat ~/bin/runskype 
#!/bin/bash
while(true); do
nohup xpra attach ssh:[email protected]:100
sleep 10 #если виртуальная машина не включена, пытаться  соединиться раз в 10 секунд
done

Таким образом скайп полностью интегрирован в рабочий стол и полностью изолирован. У него отдельная аудиокарта и наушники с миком. Микрофон включается тоже скриптом, если вдруг его включат без ведома.

На виртуальной машине даже не нужен X-сервер или графическая оболочка. Всё вместе в оперативке весит 22MB (VM+Skype)

Самое интересное, что я из другого места, подключаясь через hidden-service к своему рабочему компу, и также включаю себе скайп (он не прерывается, всегда работает) или PSI+, которые подключены по безопасным интернет-каналам удалённо, с любого места.

P.S. Можно даже запускать со смарфона/планшета с прошивой Replicant/Cyenogenmod/Ubuntu touch, например psi+ или skype через tor-hidden-service по SSH

Редактировался gerc (2014-11-04 13 ч.)

Советую делать скрипты на zsh, вместо bash. У zsh более приятный синтаксис.

Автосмена MAC адреса

(опробовано на Kali Linux)

Создаем скрипт:

#!/bin/bash

ifconfig
ifconfig wlan0 down
macchanger -h
macchanger wlan0 -r
ifconfig wlan0 up
ifconfig
echo "MAC updated..."
exit 0

если у вас не встроенный вай-фай адаптер, а usb-свисток, то пишем не wlan0 а wlan1 (ну или какой он там у вас).

Кидаем скрипт в /bin/

Вводим в терминале:

chmod +x /bin/wlan0

А потом:

wlan0

После каждого входа в систему вводите wlan0.
Можно поместить в автозагрузку (Приложения=>Системные=>Параметры=>Запускаемые приложения), чтобы само mac-адрес рандомило. Но для этого нужно чтобы стояла галочка на "Беспроводная связь"...

Плюсую, macchanger полезен, можно добавить ещё rfkill block bluetooth в этот скрипт (ибо нафиг нужен включенный bluetooth)

Это да. Но на некоторых моделях ноутбуков (в Kali Linux) встроенный bluetooth находит и подрубает автоматом а на некоторых нет. ПРОВЕРЕНО. У меня вообще встроенный не находил. Использую USB-bluetooth...