Kali heeft begin dit jaar een zogenaamde 'rolling release' uitgebracht, waardoor je steeds over de nieuwste releases van tools kunt beschikken, wat imho in de snel veranderende wereld van cybersecurity een goed idee is. Merkwaardig genoeg is dit OS, dat is ontworpen voor gebruik als security tool, nog steeds zelf inherent onveilig, als je besluit het niet van een Live CD of live USB stick te draaien, maar het wilt installeren op harde schijf of op een persistent USB stick. Het gebruiken van een persistent Kali installatie is natuurlijk logischer, je wilt immers van de voordelen van een rolling release profiteren door de laatste software bij de hand te hebben.
Bij mijn pogingen om 2016.1 te installeren, een half jaar geleden, liep ik echter tegen het probleem aan dat het ophalen en installeren van de updates Kali kapot maakte; ik bleef daarna zitten met een leeg scherm. Ik heb echt van alles geprobeerd, maar moest uiteindelijk tot de conclusie komen dat een bijgewerkte versie van Kali 2016.1 RR er gewoon niet inzat.
Om te vermijden dat ik Kali op basis van mijn gemoedstoestand ging beschrijven, en ik door de beheerder van deze site op het matje zou worden geroepen vanwege extreem grof taalgebruik, belediging, bedreiging en sex met schapen, besloot ik om te wachten op 2016.2 en te kijken of dat beter uitpakte. En zie: een tijdje geleden kwam 2016.2 uit, en na het doen van de updates op een luks encrypted persistent usb install werkte alles! (min of meer) Ik wil daarom alleen nog even over de eerste release zeggen, dat ik het jammer vind dat het snel uitbrengen van nieuwe functionaliteit bij sommige distro's prioriteit heeft over het geven van een stabiele ervaring aan de gebruiker. Het is de reden dat Linux nog steeds niet geliefd is bij het grote publiek volgens mij, en dat terwijl distro's zoals Ubuntu allang hebben laten zien hoe het wél moet.
Laten we het dus maar snel over veiligheid hebben. Als je Kali vanaf DVD/USB start om een lokaal netwerk te scannen, dan is je eigen veiligheid natuurlijk niet zo belangrijk. Maar als je Kali op een persistent USB stick zet, en dus het OS de mogelijkheid geeft om veranderingen weg te schrijven in de eigen structuur, en zeker als je het internet op gaat, is het zaak dat je zelf ook beveiligd bent. 'De hacker gehackt' is toch wel het lulligste wat je kan overkomen.
er zijn een aantal standaard instellingen in Kali die inherent onveilig zijn. De meest in het oog lopende zijn:
- je kunt het default password van root (toor) wel veranderen, maar het wordt automatisch weer teruggezet naar 'toor' bij de volgende boot.
- je logt automatisch in als root.
- er is geen automatische update manager, en de grafische update tool zit verstopt.
Een kort overzichtje hoe je deze issues aanpakt, maar eerst een algemeen advies: veilig werken met Kali begint met een luks encrypted persistent install op een usb stick, met de walkthrough op kali.org is dat een eitje, werk daarna het OS altijd bij als je het opstart, de eerste keer gaat daar een paar uur overheen, maar daarna zou dat redelijk snel moeten verlopen. Verder wil ik nog even expliciet vermelden dat deze fixes allemaal door anderen zijn aangedragen, bronvermelding onderin. Ik heb alleen alles bij elkaar geharkt en door een bulllshit filter gegooid.
Komt ie:
- default root wachtwoord permanent veranderen.
hiervoor moet je een scriptje aanpassen dat bij boot het root wachtwoord op 'toor'zet:
open een terminal. Gebruik een teksteditor om het bestand 0031-root-password aan te passen zodat wijzigingen in het wachtwoord niet meer terug worden gedraaid bij een reboot. (leafpad /lib/live/config/0031-root-password) Zet gewoon een # voor de regel die begint met usermod en sla het gewijzigde bestand op. Daarna kun je met het commando passwd in de terminal het root wachtwoord permanent aanpassen. - automatisch inloggen als root.
Nu je het root account hebt beveiligd met een persoonlijk wachtwoord, wil je natuurlijk een account aanmaken met beperkte rechten, en alleen gebruik maken van root privileges wanneer dat nodig is. Gebruikers worden beheerd via het instellingen menu, dat bij Kali samen met wat andere functies een beetje verstopt zit achter het driehoekje helemaal rechts bovenin op je desktop (gereedschaps icoontje), of onder het grid icoon in de statusbalk links. Via ' Users' kan je een gebruiker met beperkte rechten toevoegen. Helaas was na de updates het instellingen menu niet stabiel en moest ik op ouderwertse Linux wijze terugvallen op de terminal: useradd <accountnaam>. Om de account te activeren moet er daarna nog een wachtwoord aan worden gekoppeld door passwd <accountnaam>. Allemaal niet zo moeilijk, zou je zeggen. Echter, na het aanmaken van deze account blijft het systeem inloggen als root. Dit wordt geforceerd door een ander opstart script, dat dus ook even moet worden aangepast:We openen weer een terminal: leafpad /etc/gdm3/daemon.conf en passen vervolgens de volgende twee regels naar wens aan.
AutomaticLoginEnable = true
AutomaticLogin = root
(Voor de echte Linux n00bs: een # voor de twee regels, of en regel 1 aanpassen naar 'false' zorgen voor een inlogscherm waarin je kan kiezen als welke gebruiker je wilt inloggen. Het aanpassen van de tweede regel naar de naam van de account met beperkte rechten zorgt voor automatisch inloggen met beperkte rechten.) -
updates en upgrades
Er is voor Kali een grafische update tool, maar die verstopt zit in het instellingen menu onder 'Details', maar dit werkte bij mij ook niet goed. Als (m.i. beter) alternatief kun je natuurlijk gebruik maken van aptitude via de terminal, waarbij je ook wat meer controle hebt over op welke wijze je wilt bijwerken: apt-get update om de nieuwste lijst van pakketten te krijgen en apt-get upgrade && apt-get dist-upgrade. (apt-get upgrade zorgt voor bijgewerkte pakketen, apt-get-dist-upgrade zorgt ervoor dat het systeem wordt geconfigureerd om altijd de laatst bijgewerkte pakketten altijd te gebruiken. Wil je geen risico lopen op een kapot Kali, dan is alleen apt-get upgrade uitvoeren waarschijnlijk veiliger. Wil je de nieuwste spullie, dan is apt-get upgrade && apt-get dist-upgrade the way to go)
Er komt natuurlijk wel meer kijken bij een veilig Linux systeem. Ik zou ook zeker niet zo ver gaan dat Kali geschikt is als OS om je dagelijkse dingetjes op te doen met de bovenstaande configuratie. Maar tegen de script kiddies out there ben je nu tenminste enigzins beschermd.
Bronnen:
Aanpassen log-in: