Как "заторить" сетевые консольные команды?

ntpd? А разве он рабоет не по UDP?

как заторить всё в Линуксе

Например, как-то выдавая нахождение тебя в том или ином часовом поясе

export TZ=UTC

Про "NTP vs анонимность" вы уже не первый кто интересуется. Смотрите обсуждение здесь.

как-то выдавая нахождение тебя в том или ином часовом поясе

Не забывайте, что большинство браузеров по умолчанию сообщают ваш числовой пояс. И если http-запросы с указанием часового пояса можно резать посредством privoxy, то с https сложнее (умеет только torbutton-плагин для firefox). Также, JS может стучать про уникальные параметры машины (там не только часовой пояс потенциально может быть, но и используемое разрешение экрана и т.д.). Есть много сайтов, котоырй тестируют вашу браузерную анонимность и позволяют узнать всё, что допускает браузер. Проверяйтесь там.

Сетевые запросы от консольных команд типа "whois", "dig" и т.п. идут напрямую в сеть. Как их заторить?

Используйте консольную тулзу proxychains. Кстати, dns-резолвинг она умеет делать через тор сама. Наряду с этим, умеет работать с цепочками произвольных проксей, а не только тором, который может быть лишь одной из проксей в цепочке (любители плести цепи заценят :) ).

unknown, не подскажите, а что делать в Дебиане, где есть псевдопользователь Тор? А то на страничке написано, что типа кроме Дебиана.
Разве не стоит создать специального юзера, опираясь только на работу с настройками псевдопользователя?

А что мешает повесить на псевдопользовтаеля Tor сервис тора? Процедура вроде бы стандартная. Читайте man tor каким опциями это включается, смотрите логи ошибок при запуске, и проследите за тем, чтобы этот псевдопользовтель имел доступ на чтение к нужным ему файлам типа конфигов тор.

в Дебиане всё, что нужно сделать для псевдопользовтеля Tor, уже сделано. На нём кроме самого сервиса tor как-раз ничего лишнего не висит и не должно. Что вы ещё собираетесь к нему прикрутить?

unknown, а где можно почитать по тому, как устроена работа tor под Debian?
Приложения то (бразуер, почтовый клиент, ком. строка) работаю под обычными юзерами, как обеспечить чтобы в этих случаях обычный юзер работал только посредством псевдопользователя tor, и не ломился в сеть напрямую?!

В нашем FAQ по анонимности. Из вышеприведённой ссылки.

unknown, в ФАГе нашел такое:

Примечание 2: в системе Debian за сервисом тора закреплён отдельный пользователь debian-tor, так что вместо значения tor-uid можно указывать имя этого пользователя, что лучше, так как его имя в отличие от номера не предполагает изменений.

$IPTABLES -t nat -A OUTPUT -m owner --uid-owner debian-tor -j RETURN

Не совсем понял, это правило заворачивает исходящий трафик из под псевдоюзера debian-tor в прокси, как я понимаю.
Однако сетевые приложения запускаются же не от него, а от других юзеров.

Однако сетевые приложения запускаются же не от него, а от других юзеров.

Пользователь, от имени которого запущен tor – это одно, а пользователи, которые работают с сетью через тор, т.е. шлют пакеты tor'у, работающему под вышеозначенным пользователем и слушающему на localhost:порт – другое.

— Гость (19/12/2009 10:51),

Дык как надежно под Debian заторить приложения, однако оставив возможность соединяться не через тор, когда нет необходимости в его использовании?

В FAQ по анонимности объяснено как раз на примере Debian.

Только не нужно путать двух пользователей.

Для демона tor в системе искаробочно уже создан пользователь debian-tor с ограниченными правами. Для работы с заворачиванием трафика в Tor нужно дополнительно создать другого полноценного пользователя, в примере он назван tornet_user — не для демона, а для себя (для пользователя).

Для tornet_user в iptables задаётся правило, заворачивающее весь его трафик в tor.

Можно работать одновременно или поочередно с обычным, незаторенным юзером или с заторенным.

Примеры комманд, конфигов и правил приведены.

Дык как надежно под Debian заторить приложения, однако оставив возможность соединяться не через тор, когда нет необходимости в его использовании?

Общая простейшая схема не зависит ни от ОС, ни от, тем более, дистрибутива.

1. Создаётся 2 пользователя: usual_user и tor_user.
2. Запускается X-сервер на двух дисплеях одновременно: каждый под своего пользователя. Чтобы переключиться из тора в обычный браузинг достаточно, т.о., просто перейти из одних иксов в другие.
3. Настраивается firewall так, чтобы usual_user мог ходить в инет напрямую, а tor_user – только через тор. Закрываются все ненужные порты и IP для коннекта для юзера tor_user.
4. Сам тор запускается от имени некоего третьего пользователя с ограниченными правами, и добавляются соответствующие правила в firewall, позволяющие ему принимать пакеты от privoxy и отправлять их в инет.
5. Само privoxy запускается от имени некоего четвёртого пользователя с ограниченными правами, и добавляются соответствующие правила в firewall, позволяющие privoxy принимать пакеты от usual_user и отправлять их на localhost:порт, на котором запущен тор.

При необходимости настроить privoxy для обычного браузинга инета без тора, а также при желании сделать прозрачную торификацию (это посложнее, чем просто зарезать порты, и больше подводных камней), правила, соответственно, дорабатываются.

Использование двух иксов возможно предпочтительнее в плане безопасности, но тут есть вопросы удобства и личного предпочтения.

Прозрачная торификация позволит работать любым программам через Tor, даже тем, которые не умеют socks (например иметь доступ к почте на скрытых сервисах). Но эти же программы могут слать уникальные/редкие/нефильтруемые/деанонимизирующие заголовки через сеть.

Злостный кошмар конфигурации — использование связки iptables-SELinux никем пока не был осуществлён.

Использование двух иксов возможно предпочтительнее в плане безопасности, но тут есть вопросы удобства и личного предпочтения.

Ещё есть способ через Xnest. Можно из физически одних иксов назапускать кучу "внутренних X-серверов" через Xnest, соответствующих разным пользователям с разными привелегиями (будет выглядеть как n десктопов, в каждом из которых свои окна/фреймы). Насколько это безопасно – пока не разбирался.