Linux 红队工作站终极迁移指南:EndeavourOS (LTS) + eBPF

核心架构: 物理机 Arch Linux (LTS) + 虚拟机1 Kali Linux + 虚拟机2 Windows
网络核心: daed (eBPF) @ Port 12345(默认端口)
构建策略: Proxy + AUR (官方源)

Part 1: 核心架构逻辑校验

此架构每一层设计均服务于特定核心诉求:

层级 选型 核心诉求匹配 逻辑校验 / 选择原因
OS EndeavourOS 效率 & 隐蔽 疑问: 既然是红队,为什么宿主机不用 Kali Linux
原因 (关键):
1. OpSec (行动安全): 宿主机必须干净。若宿主机直接运行攻击工具,易留下取证痕迹或被反向溯源。
2. 稳定性: Kali 基于 Debian Testing/Unstable,且包含大量冲突的黑客工具,作为主力日常系统极易崩溃(滚挂)。
3. 伪装: EndeavourOS 看起来就是个普通的开发者系统,更具迷惑性。Kali 应该只存在于虚拟机中,用完即焚。
Kernel LTS Kernel 容错 疑问: 既然用 Arch 为什么不用最新内核?
原因: 滚动更新的最新内核经常导致 VMware 模块编译失败。LTS 是生产力环境的“稳压器”。
Network daed (eBPF) 极致 疑问: 为什么不使用 V2RayN、Clash Verge Rev 或 GUI.for.SingBox?
原因:
1. 机制代差: V2RayN 与 GUI.for.SingBox (Linux版) 仍依赖 Tun 模式,高负载下 CPU 上下文切换消耗巨大;daed 独有 eBPF 技术直通内核,实现流量“零拷贝”。
2. 架构包袱: Clash Verge Rev 资源占用重且非原生支持新协议;桌面 GUI 工具无法在无头(Headless)服务器上高效运行。
Package Proxy + Paru 洁癖 疑问: 为什么不用方便的 archlinuxcn?
原因: 安全洁癖。拒绝引入第三方预编译包,只信任上游源码,消除供应链投毒风险。
Python uv (Rust) 极速 & 隔离 疑问: 为什么不用 pipx?
原因: uv 基于 Rust 编写,速度比 pipx 快 10-100 倍。更重要的是它能自动管理独立的 Python 版本,完美运行依赖旧版 Python 的红队 POC 脚本。

Part 2: 宿主机安装与基建

1. 系统安装 (EndeavourOS)

  • ISO: 下载最新版 EndeavourOS。
  • 安装器设置:
    • 引导: Systemd-boot (结构简单,不易崩)。
    • 内核 (⚠️): 勾选 linux-lts,取消 linux
    • 文件系统: Btrfs。

Logic Check: 选择 Btrfs 不是为了尝鲜,而是为了 Timeshift 秒级快照。在 Arch 这种滚动发行版上,”能回滚”等同于”不死之身”。

2. 网络 Bootstrap

  • 终端执行: (临时借用局域网代理)
1
2
3
# 请根据实际局域网代理地址修改
export all_proxy=[http://192.168.](http://192.168.)x.x:10808

3. 构建环境 (纯净模式)

1
2
3
4
5
sudo pacman -S --needed base-devel git
git clone [https://aur.archlinux.org/paru-bin.git](https://aur.archlinux.org/paru-bin.git)
cd paru-bin
makepkg -si

Logic Check: 手动编译 Paru 而不使用 pacman -S yay,是因为我们没有添加 CN 源。这是为了维持系统 “0 第三方源” 的绝对纯净状态。

Part 3: 网络层部署 (daed)

1. 安装与启动

1
2
3
paru -S daed-bin
sudo systemctl enable --now daed

2. 配置 (Port 12345)

  • 面板: http://localhost:2023
  • 端口: 确认 TCP/UDP/TProxy 均为 12345 (官方默认)。

Logic Check: 使用默认端口是为了降低记忆成本和运维复杂度,避免未来查阅官方文档时产生混淆。

3. 永久环境变量

编辑 ~/.bashrc

1
2
3
4
5
6
7
8
9
10
11
12
13
export host_ip=127.0.0.1
export PROXY_PORT=12345
export http_proxy="http://${host_ip}:${PROXY_PORT}"
export https_proxy="http://${host_ip}:${PROXY_PORT}"
export all_proxy="socks5://${host_ip}:${PROXY_PORT}"

# 安全别名:默认关闭高危远程服务,用时才开
alias start-remote='sudo systemctl start todeskd runsunloginclient'
alias stop-remote='sudo systemctl stop todeskd runsunloginclient'

# uv 自动补全
eval "$(uv generate-shell-completion bash)"

Part 4: 输入法部署 (Rime 雾凇)

1. 安装

1
2
paru -S fcitx5-im fcitx5-rime fcitx5-material-color

2. 环境变量 (必做)

编辑 /etc/environment 加入 GTK/QT 模块配置(确保输入法在所有应用中可用)。

3. 部署雾凇拼音

1
2
git clone [https://github.com/iDvel/rime-ice.git](https://github.com/iDvel/rime-ice.git) ~/.local/share/fcitx5/rime

Logic Check: 放弃原生拼音改用 Rime,是为了 隐私 (Privacy)。红队操作(如输入攻击 Payload 或敏感数据)不应被云拼音上传。Rime 是完全离线且智能的唯一解。

Part 5: 虚拟化与优化

1. 部署 VMware

1
2
3
paru -S linux-lts-headers vmware-workstation
sudo modprobe -a vmw_vmci vmmon

2. 性能优化 (禁用 CoW)

1
2
3
mkdir -p ~/vmware
chattr +C ~/vmware  # ⚠️ 关键步骤:禁用写时复制

Logic Check: Btrfs 的写时复制 (CoW) 会导致虚拟机镜像严重碎片化,性能下降 50% 以上。chattr +C 是 Btrfs 上运行虚拟机的 性能刚需

Part 6: 生产力软件栈 (洁癖版)

6.1 公文专用字体 (GB/T 9704-2012 标准)

补全“公文四体”,确保符合国家标准公文格式,避免排版错乱。

1
2
3
4
5
6
7
8
9
# 1. 标题: 方正小标宋 (红头专用)
# 2. 正文: 仿宋_GB2312 (必须带GB2312)
# 3. 一级标题: 黑体 (SimHei)
# 4. 二级标题: 楷体_GB2312 (必须带GB2312)
paru -S ttf-fzxiaobiaosong-b05s ttf-fangsong-gb2312 ttf-simhei ttf-kaiti-gb2312

# 刷新字体缓存
fc-cache -fv

Logic Check: 通过 AUR 安装字体可以将字体文件纳入包管理器 (pacman) 的管理范围,便于日后统一更新或卸载,避免手动复制文件导致的权限问题或“幽灵文件”,符合系统洁癖原则。

6.2 AI IDE 与开发工具链

1
2
3
4
5
6
7
8
9
10
11
12
# AI 辅助编码工具
paru -S google-antigravity-bin

# Kiro IDE & CLI (AI 终端工具)
paru -S kiro-ide-bin
curl -fsSL [https://cli.kiro.dev/install](https://cli.kiro.dev/install) | bash

# Python 终极工具管理器: uv (替代 pipx)
paru -S uv
# 安装 Python 工具 (自动创建独立环境)
uv tool install gemini-chat-cli

Logic Check:

  • 为什么用 uv? 它是 Python 生态的“降维打击”工具。相比 pipx,它安装速度极快(Rust 编写),并且能自动下载和管理特定的 Python 版本(例如 uv tool install --python 3.10 old-tool),完美契合红队需要运行老旧漏洞利用脚本的场景。
  • 系统洁癖: uv 使用全局内容寻址缓存,不同工具依赖相同的库时只占一份磁盘空间,且完全不污染宿主机环境。

6.3 容器化 (Podman)

1
2
paru -S podman podman-desktop-bin podman-docker

Logic Check: 选择 Podman 替代 Docker Desktop,因为 Docker Desktop 在 Linux 上是基于虚拟机的,资源开销大。Podman 是原生的,且更安全。

6.4 基础开发

1
2
paru -S visual-studio-code-bin tabby-bin

6.5 远程与通讯

1
2
3
4
5
6
7
8
# 远程 (默认禁用服务)
paru -S sunloginclient todesk-bin remmina freerdp

# 通讯 (沙盒/移植版)
paru -S telegram-desktop
paru -S com.tencent.wework.deepin-x11
paru -S wechat-universal-bwrap

Logic Check: 微信选用 bwrap 版而非官方 AppImage,是为了 权限控制。bwrap 限制了微信读取 .ssh 等敏感目录的能力。

6.6 办公与绘图

1
2
3
4
5
6
# Visio 替代
paru -S drawio-desktop-bin xmind

# 文档与下载
paru -S wps-office-cn ttf-wps-fonts motrix-bin

6.7 博客维护

1
2
3
paru -S hugo nodejs npm
sudo npm install -g hexo-cli