Kali Linux mit verschlüsselter USB Persistenz

Die Live-Version von Kali Linux verfügt im Standard-Boot-Menü über zwei Persistenz-Optionen, die den permanenten Erhalt von Daten ermöglichen. Somit können alle während eines Penetrationstests gesammelten Dokumente, Testergebnisse und Konfigurationen auf dem USB-Stick erhalten bleiben und stehen nach einem Neustart erneut zur Verfügung. Diese Daten werden in einer eigenen Partition auf dem USB-Laufwerk gespeichert.

Da es sich bei Penetrationstest oftmals um sehr sensible Daten handelt, lassen sie sich zusätzlich durch LUKS verschlüsseln. Diese Anleitung zeigt die notwendigen Schritte, um einen USB-Stick für die Live-Version von Kali Linux zu erzeugen, eine zusätzliche Partition für die permanenten Daten einzurichten und diese zu verschlüsseln.

Sie benötigen einen USB-Sick (ab 8 GB). Nachdem Sie die Live-Version von Kali Linux erstellt haben, müssen noch einige Einstellungen vorgenommen werden, die man am besten auf einem Linux-System ausführt.

So geht man Schritt für Schritt vor:

Schritt 1 – Aktuelle Version von Kali herunterladen und auf USB-Sick übertragen

Die jeweils aktuelle Version von Kali Linux finden Sie immer auf der Webseite der Entwickler.

Grundsätzlich haben Sie mehrere Möglichkeiten Kali auf den USB-Stick zu übertragen.  Wer Windows nutzen möchte, den empfehle ich den Win32 DiskImager. Er kann u.a. hier heruntergeladen werden. Die Übertragung geht damit problemlos vonstatten.

Wer Linux nutzen möchte, der muss zunächst feststellen, welche Partitionen auf dem USB-Stick erzeugt wurden. In der Regel sind das /dev/sdb1 und  /dev/sdb2. Das folgende Bild zeigt die Ausgabe des Befehls fdisk –l.

Bevor Sie den nächsten Schritt ausführen, sollten Sie die weitere Vorgehensweise verstehen. Der Befehl dd dient zum bit-genauen Kopieren. Somit werden Daten Bit-für-Bit bzw. Byte-für-Byte ausgelesen und wieder geschrieben. In unserem speziellen Fall wird die ISO-Datei (if=) gelesen und auf den USB-Datenträger in die Partition /dev/sdb (of=) geschrieben. Dies erfolgt in unserem Beispiel in  512k Blöcken (bs=512k). Zum Ausführen benötigen Sie root-Rechte.

Der vollständige Befehl lautet:

dd if=kali-linux-2018.1-amd64.iso of=/dev/sdb bs=512k

Die Erstellung des USB-Laufwerks kann einige Zeit in Anspruch nehmen Leider liefert der dd-Befehl keine Rückmeldung bis er abgeschlossen ist. Wenn Ihr Laufwerk jedoch über eine Zugriffsanzeige verfügt, wird es wahrscheinlich von Zeit zu Zeit flackern. Sobald dd das Laufwerk fertiggestellt hat, wird eine Zusammenfassung ausgegeben.

 

Schritt 2 – Persistenz einrichten und Partition verschlüsseln

Nachdem der USB-Stick mit Kali beschrieben wurde, empfehle ich ein Linux-System zu nutzen, um die Persistenz-Option einzurichten. Im Video nutze ich z.B.  Ubuntu, um eine verschlüsselte Partition (in der Regel /dev/sdb3/) zu erstellen.

Das folgende Bash-Skript (setup.sh) soll helfen, den Vorgang zu automatisieren. In den Kommentaren finden Sie die entsprechenden Erläuterungen. Wenn ein Nutzer dieses Skript ausführt, muss er weitere Eingaben am Bildschirm tätigen und eine Passphrase festlegen. Ein Zugriff auf das verschlüsselte Laufwerk wird dann zukünftig nur noch über dieses Kennwort möglich sein.

Im Grunde muss der Anwender nur drei Anpassungen vornehmen. In Zeile 8 wird die heruntergeladene Kali iso-Datei angegeben. Zeile 11 enthält die Bezeichnung der Partiotion auf dem USB-Stick. Diese ist in der Regel /dev/sdb/. In Zeile 14 wird die Größe des USB-Sticks in GB angegeben.

Schritt 3 – Kali mit persistent Funktion starten

Nun sollte ein PC mit den angefertigten USB-Stick gestartet werden. Stellen Sie sicher, dass die Bootreihenfolge entsprechend umgestellt wurde und wählen Sie nach dem Start von Kali die entsprechende Funktion im Boot-Menü aus. Beachten Sie auch hier, dass beim Hochfahren des Systems die Passphrase für die verschlüsselte Partition abgefragt wird.

Es hat alles funktioniert, wenn die gemachten Änderungen z.B. im Verzeichnis /Documents beim Neustart erhalten bleiben. Viel Spaß beim Testen!

Das nachfolgende Video zeigt die Vorgehensweise Schritt für Schritt.

2 Gedanken zu “Kali Linux mit verschlüsselter USB Persistenz

  1. Hallo,
    bei mir ist der USB-Stick /dev/sdg. Du schreibst, dass man in Zeite 11 die Bezeichnung der Partiotion des Sticks anpassen muss. Ich gehe davon auc, dass ich das in Zeile 24 und 25 auf machen muss. Ist das richtig?

    • Klar, das habe ich übersehen. Die Zeilen müssen natürlich auch angepasst werden. In Deinem speziellen Fall wäre es
      /dev/sdg3.

      Ich würde aber hier auch die Variable nehmen, die auch schon verwendet wurde. Ich würde dies wie folgt abändern:

      $partition”3″

Schreibe einen Kommentar