123455asdf 注：很强大！

来源：し掰搿嬲讎雠

Quote:加强保护自己不被控制/SNIFF/中毒/主动入侵

正文:

文件安全:

地球人都知道加密文件用truecrypt,恩，开源免费跨平台，使用简单。所以文件加密就不用说了:)直接做个分区吧！

网络与系统安全:

因为我经常带着本本奔波于"三个家",所以一般没接路由.

Host OS:Ubuntu 7.10 Kernel 2.6.22 I386

线路：pppoe-ADSL

workstation:(本人工作/学习大部分还是在win下，为了安全不得已啊！！！！！！)

下面就是主要的了:
server:

OS:win2k3
线路:bridge,可单独拨一个ADSL帐号.(大城市都绑定话机了...可俺们小城市没,于是用以前小区的号单独使用)

注意图里跟host一样，有一个真正通过adsl-pppoe获得的真是ip 124.132.XXX.XXX

用处:VPN+NAT
设置:vpn+nat是要特别设置的，否则nat不管用。上面什么东西都没放..只用来做server...设置了关机自动恢复到快照,所以并不怕被root...况且vpn自带的mppe 128我还是相信的,就算被控制，也影响不了其他OS.

PS:

如果你内存小,可以用freeBSD+pptp vpn server搭建,不要看BSD就害怕...其实设置教程满地都是了....

fuzz_OS:

OS:winXP pro
线路:本身不连网，通过vmware private network里的server的NAT接口上网。然后连到国外vpn．

设置:这就是做这么多工作要保护的对象了,大部分工作都在这进行，倒是不用装啥杀毒软件，防火墙.这样设置线路,远控之类的是反弹不回去的.....但防止中毒，一定要频繁还原快照.(快照还原可不怕FSD hook之类的哦,全盘回到保存状态！当然保存的快照要是干净的..)，所以我每次关机前把要存的东西放到与host的共享文件里，共享目录为/home/knell,不会影响到host系统安全！(重要东西都truecrypt了)

这里连接"127“是private network的server,连接"asd“是国外vpn，最终是通过"asd"访问Internet的．

最后的网络：
(我用ip-up+w3m脚本自动更新host的ip到sucker.3322.org,方法见wiki...)

经过外层国外vpn后，连SSH,可以发现里面的fuzz_os被完全罩在里面咯:)
注意，这时fuzz_OS公网的ip不是自己server的ip,也不是外面host的ip，而是国外vpn的ip


再解释下：
fuzz_os,也就是我主要的工作／学习系统，本身是不联网的，但是跟其他vmware虚拟机是在同一个private network下，于是通过vmware内网里的vpn server的NAT接口连接到互联网，再连接国外vpn,实现数据双重加密。连国外vpn的原因是,自己的vpn毕竟是直接用adsl拨的,万一做啥坏事就......（如果我用别人的ADSL帐号,就..........）

能这样做的主要因素，是,通过vmware的bridge,在我们这城市,可以拨两个ADSL...

这样，外面的host机虽然没经过vpn,但是我不用他搞任何阴谋，只是听听歌，聊聊天:)如果host被root(我只开了ssh与vnc....会被root么...)，也很难操作vmware的虚拟硬盘，而重要的东西又被truecrypt...fuzz_OS的网络又是受vmware private network里的vpn server加密的...所以至少一时半会很难控制到里面的fuzz_OS吧？....
至于vmware private network里的server,随便黑,都没关系,当然不会spoof到fuzz_os的数据传输....

最后要说：其实还是只用的一个真实网卡.......所以....