From 27cc7773871a696527be97cca9358efba5da8ed5 Mon Sep 17 00:00:00 2001 From: Kirill Zholnay Date: Mon, 22 Nov 2021 09:56:02 +0200 Subject: [PATCH 1/7] some security additional --- src/ru/src/install.md | 1 + src/ru/src/pre-install.md | 14 ++++++-------- src/ru/src/security.md | 14 ++++++++++++-- src/ru/src/services.md | 1 + src/ru/src/team.md | 2 ++ 5 files changed, 22 insertions(+), 10 deletions(-) diff --git a/src/ru/src/install.md b/src/ru/src/install.md index 64d4f56..25f1eb7 100644 --- a/src/ru/src/install.md +++ b/src/ru/src/install.md @@ -1,4 +1,5 @@ # Установка и настройка +![Процесс установки](setup.svg) 1. Устанавливаем приложение (*скачать его можно* [*здесь*](https://f-droid.org/en/packages/pro.kherel.selfprivacy/)) 2. Запускаем приложение diff --git a/src/ru/src/pre-install.md b/src/ru/src/pre-install.md index 40f14b3..debedde 100644 --- a/src/ru/src/pre-install.md +++ b/src/ru/src/pre-install.md @@ -13,7 +13,7 @@ SelfPrivacy сервер создается поэтапно в течение 5. Подключение домена к DNS серверу 6. 🔑 Создание ключей 7. Установка -8.Подключение к сервисам 🎉 +8. Подключение к сервисам 🎉 Если кому-нибудь поручите эту задачу — лишитесь приватности. Для 100% независимости и контроля необходимо всё делать самостоятельно. @@ -99,13 +99,11 @@ API ключи — это почти то же самое, что и логин 5. Спускаемся в самый низ и видим поле **Create Custom Token** и кнопку **Get Started** с правой стороны. Нажимаем. 6. В поле **Token Name** даём своему токену имя. Можете покреативить и отнестись к этому как к наименованию домашнего зверька :) 7. Далее, у нас **Permissions**. В первом поле выбираем Zone. Во втором поле, по центру, выбираем **DNS**. В последнем поле выбираем **Edit**. -8. Далее, прямо под этой строчкой, нажимаем на **Add More**. Появится строка, аналогичная той, которую мы только что заполняли. -9. В первом поле новой строки выбираем, аналогично прошлой строке — **Zone**. Во втором поле — немного по другому. Тут мы выбираем то же самое, что и в первом — **Zone**. В третьем поле — выбираем **Read**. -10. Далее смотрим на **Zone Resources**. Под этой надписью есть строка с двумя полями. В первом должно быть **Include**, а во втором — **Specific Zone**. Как только Вы выберите **Specific Zone**, справа появится ещё одно поле. В нём выбираем наш домен. -11. Листаем в самый низ и нажимаем на синюю кнопку **Continue to Summary**. -12. Проверяем, всё ли мы правильно выбрали. Должна присутствовать подобная строка: ваш.домен — **DNS:Edit, Zone:Read**. -13. Нажимаем **Create Token**. -14. Копируем созданный токен, и сохраняем его в надёжном месте (желательно — в [менеджере паролей](https://keepassxc.org/download/)). +8. Далее смотрим на **Zone Resources**. Под этой надписью есть строка с двумя полями. В первом должно быть **Include**, а во втором — **Specific Zone**. Как только Вы выберите **Specific Zone**, справа появится ещё одно поле. В нём выбираем наш домен. +9. Листаем в самый низ и нажимаем на синюю кнопку **Continue to Summary**. +10. Проверяем, всё ли мы правильно выбрали. Должна присутствовать подобная строка: ваш.домен — **DNS:Edit, Zone:Read**. +11. Нажимаем **Create Token**. +12. Копируем созданный токен, и сохраняем его в надёжном месте (желательно — в [менеджере паролей](https://keepassxc.org/download/)). diff --git a/src/ru/src/security.md b/src/ru/src/security.md index 4502111..548f24b 100644 --- a/src/ru/src/security.md +++ b/src/ru/src/security.md @@ -1,11 +1,21 @@ # 🛡️ Безопасность _Отсутствие возможности у злоумышленника вторгнуться в вашу систему_ -- BugBounty (после v1) +- BugBounty $2000 за RCE найденный на сервере [hackit.one](). $1000 уже выплачена. - Регулярное сканирование на уязвимости -- Используем только открытый исходный код +- Используем только открытый исходный код, уязвимости в котором сообщество очень быстро устраняет +- Регулярное резервное копирование поможет, даже если хакер удалит все ваши данные с сервера. +- Оконечное шифрование в [Delta.chat](messenger.md). Невозможно прочесть ваши сообщения даже имея доступ к серверу +- Автоматическая установка обновлений +- Изоляция приложений на сервере +- F-Droid собирает из исходников наше ПО сами и проверяют на наличие зловредных функций. Спасибо команда F-Droid! +- В exodus можно убедиться в отсуствии каких-либо привелегий на вашем устройстве +- Через [TrackerControl](https://f-droid.org/en/packages/net.kollnig.missioncontrol.fdroid/) можете убедиться в отсуствии треккеров или чего-то подобного +- С помощью [PCAPdroid](https://f-droid.org/en/packages/com.emanuelef.remote_capture/) можете собрать весь трафик с нашего приложения и убдиться в отсутсвии какого-либо трафика кроме как с вашим сервером и сервис-провадерами. ## Как еще будем улучшать безопасность? +- Анонимизация логов на вашем сервере. Вы сам себе VPN-провайдер, который точно не хранит логов +- SDLC, проверка кода в статических анализаторах - hardware token (Nitrokey) - tang/clavis? - авто обновления с автоматическим откатом diff --git a/src/ru/src/services.md b/src/ru/src/services.md index 5df9cd7..6bb1db0 100644 --- a/src/ru/src/services.md +++ b/src/ru/src/services.md @@ -16,6 +16,7 @@ | SearX | 🗓️ | - | - | - | | XMPP | 🗓️ | - | - | - | | syncserver FF | 🗓️ | - | - | - | +| discourse | 🗓️ | - | - | - | | Jitsy | 🗓️ | - | - | - | | OwnCast | 🗓️ | - | - | - | | PeerTube | 🗓️ | - | - | - | diff --git a/src/ru/src/team.md b/src/ru/src/team.md index bfa63b2..b499c6d 100644 --- a/src/ru/src/team.md +++ b/src/ru/src/team.md @@ -20,6 +20,8 @@ - [Yunohsot](https://yunohost.org/) — открытый проект, но не очень стабильно. - [FreedomBox](https://freedombox.org) — открытый проект на ARM - [Tunrkeylinux](https://turnkeylinux.org) — готовое к использованию ПО для опытных пользователей +- [https://framasoft.org](https://framasoft.org) — облачный сервис уважающий приватность. Достойная альтернатива Google-Docs! +- https://sandstorm.io/ ### Полезное - https://ssd.eff.org From 024bd0cfc03de3147ae4c3c1dec4b2f31a7c687a Mon Sep 17 00:00:00 2001 From: Kirill Zholnay Date: Fri, 26 Nov 2021 10:14:39 +0200 Subject: [PATCH 2/7] add some --- src/ru/src/team.md | 2 ++ 1 file changed, 2 insertions(+) diff --git a/src/ru/src/team.md b/src/ru/src/team.md index b499c6d..1d58dcf 100644 --- a/src/ru/src/team.md +++ b/src/ru/src/team.md @@ -22,6 +22,8 @@ - [Tunrkeylinux](https://turnkeylinux.org) — готовое к использованию ПО для опытных пользователей - [https://framasoft.org](https://framasoft.org) — облачный сервис уважающий приватность. Достойная альтернатива Google-Docs! - https://sandstorm.io/ +- https://citadel.org +- https://disroot.org ### Полезное - https://ssd.eff.org From 0d9cb91d5fba65f6e6a0334351ac48421065d754 Mon Sep 17 00:00:00 2001 From: Illia Chub Date: Mon, 6 Dec 2021 21:09:26 +0200 Subject: [PATCH 3/7] Added CI/CD integration --- .drone.yml | 17 +++++++++++++++++ 1 file changed, 17 insertions(+) create mode 100644 .drone.yml diff --git a/.drone.yml b/.drone.yml new file mode 100644 index 0000000..25d4009 --- /dev/null +++ b/.drone.yml @@ -0,0 +1,17 @@ +--- +kind: pipeline +type: exec +name: default + +steps: +- name: translate + commands: + - ./translate_docs.sh main.py + - cd src/ru + - mdbook build + - cd ../../src/en + - mdbook build + - cd ../../src/ru + - scp -ri ~/.ssh/deploy book/ root@selfprivacy.org:/var/www/docs.selfprivacy.org/src/ru + - cd ../../src/en + - scp -ri ~/.ssh/deploy book/ root@selfprivacy.org:/var/www/docs.selfprivacy.org/src/en \ No newline at end of file From b61ad9eebfa5049e60b24431da05dff9c5f3c37f Mon Sep 17 00:00:00 2001 From: Illia Chub Date: Wed, 8 Dec 2021 07:02:02 +0200 Subject: [PATCH 4/7] Update '.drone.yml' --- .drone.yml | 9 +++------ 1 file changed, 3 insertions(+), 6 deletions(-) diff --git a/.drone.yml b/.drone.yml index 25d4009..af77d16 100644 --- a/.drone.yml +++ b/.drone.yml @@ -6,12 +6,9 @@ name: default steps: - name: translate commands: - - ./translate_docs.sh main.py + - cd /var/www/docs.selfprivacy.org + - translate_docs - cd src/ru - mdbook build - cd ../../src/en - - mdbook build - - cd ../../src/ru - - scp -ri ~/.ssh/deploy book/ root@selfprivacy.org:/var/www/docs.selfprivacy.org/src/ru - - cd ../../src/en - - scp -ri ~/.ssh/deploy book/ root@selfprivacy.org:/var/www/docs.selfprivacy.org/src/en \ No newline at end of file + - mdbook build \ No newline at end of file From 0d960cf8bc5cb5754f49cf6c7ca33e62f43144f0 Mon Sep 17 00:00:00 2001 From: Illia Chub Date: Wed, 8 Dec 2021 07:04:33 +0200 Subject: [PATCH 5/7] Update '.drone.yml' --- .drone.yml | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/.drone.yml b/.drone.yml index af77d16..b3786f8 100644 --- a/.drone.yml +++ b/.drone.yml @@ -7,7 +7,7 @@ steps: - name: translate commands: - cd /var/www/docs.selfprivacy.org - - translate_docs + - translate - cd src/ru - mdbook build - cd ../../src/en From cbe17d09ea83a9bcfc38a0287099e5dfd090288a Mon Sep 17 00:00:00 2001 From: Inex Code Date: Thu, 23 Dec 2021 14:32:40 +0300 Subject: [PATCH 6/7] Getting rid of HTML in pre-install.md --- src/ru/src/pre-install.md | 54 +++++++++++++++------------------------ 1 file changed, 21 insertions(+), 33 deletions(-) diff --git a/src/ru/src/pre-install.md b/src/ru/src/pre-install.md index debedde..205b7d4 100644 --- a/src/ru/src/pre-install.md +++ b/src/ru/src/pre-install.md @@ -17,8 +17,6 @@ SelfPrivacy сервер создается поэтапно в течение Если кому-нибудь поручите эту задачу — лишитесь приватности. Для 100% независимости и контроля необходимо всё делать самостоятельно. -
- ## Регистрация учётных записей Для устойчивости и приватности SelfPrivacy требует много учётных записей. Если всё держать в одном месте, получаем то, от чего бежали — все данные у одной компании. 🤦‍♀️ @@ -29,20 +27,21 @@ SelfPrivacy сервер создается поэтапно в течение 3. [CloudFlare](https://dash.cloudflare.com/login) — DNS сервер, где работает Ваш домен. 4. [Backblaze](https://secure.backblaze.com/user_signin.htm) — IaaS провайдер, для бесплатного хранения резервных копий Ваших данных в зашифрованном виде. -Регистрация заурядна, но иногда проверка учётной записи длится несколько дней или требует дополнительных документов. Поэтому используйте настоящие документы и заполняйте всё аккуратно. Провайдеры так защищаются от спамеров, ничего личного ) - -
+Регистрация заурядна, но иногда проверка учётной записи длится несколько дней или требует дополнительных документов. Поэтому используйте настоящие документы и заполняйте всё аккуратно. Провайдеры так защищаются от спамеров, ничего личного. ## Защита учётных записей - Чаще всего системы взламывают через самое слабое звено. Чтобы учётные записи не были таким звеном, пароли должны быть разными и сложными. MamaMilaRamu, как ни странно, плохой пароль, а отличные 🌈 — это парольная фраза: +Чаще всего системы взламывают через самое слабое звено. Чтобы учётные записи не были таким звеном, пароли должны быть разными и сложными. +`MamaMilaRamu`, как ни странно, плохой пароль, а отличные 🌈 — это парольная фраза: -

expert repose postwar anytime glimpse freestyle liability effects

+``` +expert repose postwar anytime glimpse freestyle liability effects +``` или -

}Rj;EtG:,M!bc4/|

+``` +}Rj;EtG:,M!bc4/| +``` Как такой пароль запомнить? Никак! Пароли не нужно запоминать, их надо создавать и хранить в [менеджере паролей](https://keepassxc.org/download/). Хотя один помнить придётся — пароль от менеджера паролей. @@ -50,13 +49,11 @@ SelfPrivacy сервер создается поэтапно в течение Я знаю, было сложно, но теперь Ваши данные защищены лучше, чем у 95% пользователей. Можете собой гордится! Я вот Вами горжусь 🤗 -
- # Покупка домена -## Включили второй фактор? Я серьёзно! Тогда переходим к интересному! +> Включили второй фактор? Я серьёзно! Тогда переходим к интересному! - +![NameCheap](https://selfprivacy.org/img/screencasts/nc-buy-domain.gif) Домен — это кусочек интернета, которому Вы даёте имя. Простор для творчества огромен, у Вас есть 63 символа + .com .org .icu и еще несколько сотен доменов после точки. Можно просто по фамилии выбрать, например ivanov.live или ivanov.health, а можно что-то творческое — shit-happens.shop @@ -71,26 +68,22 @@ SelfPrivacy сервер создается поэтапно в течение ## Подключение домена к DNS серверу После покупки, домен добавляем в CloudFlare: - +![Adding domain to Cloudflare](https://selfprivacy.org/img/screencasts/add-domain-to-cf.gif) На примере домена ruleit.stream мы выбрали бесплатный тариф и получили имена серверов: gail.ns.cloudflare.com и mattns.cloudflare.com, которые надо прописать у своего регистратора. В нашем случае NameCheap: - +![Namecheap to Cloudflare](https://selfprivacy.org/img/screencasts/nc-to-cf.gif) -Заодно проверяем, что у нас включено автопродление и защита персональных данных — WhoisGuard. Через несколько минут или, в худшем случае, до 2-ух суток настройки применятся. - -
+Заодно проверяем, что у нас включено автоматическое продление и защита персональных данных — WhoisGuard. Через несколько минут или, в худшем случае, до двух суток настройки применятся. # 🔑 Создание ключей -## API ключи API ключи — это почти то же самое, что и логин с паролем, только для программы, а не человека. Мобильное приложение SelfPrivacy с их помощью управляет сервисами во всех учётных записях вместо Вас. Удобно! Ключи хранить в [менеджере паролей](https://keepassxc.org/download/). Для NameCheap нам ключ не нужен, мы уже всё сделали. А управление доменом будет в CloudFlare. -
-## **CloudFlare** +## CloudFlare 1. Переходим по [ссылке](https://dash.cloudflare.com/) и авторизуемся в ранее созданном аккаунте. 2. В правом углу кликаем на иконку профиля (человечек в кружочке). Для мобильной версии сайта, в верхнем левом углу, нажимаем кнопку **Меню** (три горизонтальных полоски), в выпавшем меню, ищем пункт **My Profile**. @@ -105,11 +98,9 @@ API ключи — это почти то же самое, что и логин 11. Нажимаем **Create Token**. 12. Копируем созданный токен, и сохраняем его в надёжном месте (желательно — в [менеджере паролей](https://keepassxc.org/download/)). - +![Cloudflare token setup](https://selfprivacy.org/img/screencasts/CloudFlare.gif) -
- -## **Hetzner** +## Hetzner 1. Переходим по [ссылке](https://accounts.hetzner.com/login) и авторизуемся в ранее созданном аккаунте. 2. Заходим в созданный нами проект. Если такового нет — значит создаём. @@ -119,13 +110,11 @@ API ключи — это почти то же самое, что и логин 6. В поле **Description** даём нашему токену название (это может быть любое название, которое Вам нравится, сути оно не меняет). 7. Под полем **Description** видим возможность выбрать разрешения **PERMISSIONS**. Выбираем **Read & Write**. 8. Нажимаем **GENERATE API TOKEN**. -9. После этого, появиться окно с Вашим ключём. Записываем его в надёжном месте, или ещё лучше, сохраняем в [менеджере паролей](https://keepassxc.org/download/). +9. После этого, появиться окно с Вашим ключом. Записываем его в надёжном месте, или ещё лучше, сохраняем в [менеджере паролей](https://keepassxc.org/download/). - +![Hetzner token setup](https://selfprivacy.org/img/screencasts/Hetzner.gif) -
- -## **Backblaze** +## Backblaze 1. Переходим по [ссылке](https://secure.backblaze.com/user_signin.htm) и авторизуемся в ранее созданном аккаунте. 2. В левой части интерфейса выбираем **App Keys** в подкатегории **"Account"** @@ -133,7 +122,6 @@ API ключи — это почти то же самое, что и логин 4. Во всплывающем окне подтверждаем генерацию 5. Сохраняем _keyID_ и _applicationKey_ в надёжном месте. Например - в [менеджере паролей](https://keepassxc.org/download/) :) - -
+![Backblaze token setup](https://selfprivacy.org/img/screencasts/Backblaze.gif) **🎉 Поздравляю! Теперь Вы готовы использовать приватные сервисы.** \ No newline at end of file From 7153d1681948300fb38806f6133e01dbe9d94504 Mon Sep 17 00:00:00 2001 From: Kirill Zholnay Date: Sat, 25 Dec 2021 21:17:06 +0200 Subject: [PATCH 7/7] add new services --- src/ru/src/services.md | 4 +++- 1 file changed, 3 insertions(+), 1 deletion(-) diff --git a/src/ru/src/services.md b/src/ru/src/services.md index 6bb1db0..d40c575 100644 --- a/src/ru/src/services.md +++ b/src/ru/src/services.md @@ -17,11 +17,13 @@ | XMPP | 🗓️ | - | - | - | | syncserver FF | 🗓️ | - | - | - | | discourse | 🗓️ | - | - | - | -| Jitsy | 🗓️ | - | - | - | +| Jitsi | 🗓️ | - | - | - | | OwnCast | 🗓️ | - | - | - | | PeerTube | 🗓️ | - | - | - | | Matrix | 🗓️ | - | - | - | | Mumble | 🗓️ | - | - | - | +| AdGuard | 🗓️ | - | - | - | +| sist2 | 🗓️ | - | - | - | | Geo Serivce | 🗓️ | - | - | - | | Web-site | 🗓️ | - | - | - | | Dev services | 🗓️ | - | - | - |