Не логинюсь по ssh к серверу по адресу скрытого сервиса
Сконфигурировал скрытый сервис следующим образом:
Пытаюсь залогиниться:
ssh user@somedomain.onion
somedomain.oninon's password:
– ввожу пароль, упорно отвергает три раза и выдает: Permission denied (publickey,password).
Как будто как пароль неправильный. По ip логинюсь влет.
В чем может быть причина?
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 11558 документов: 1036 редакций: 4118
Не пойму, в чем дело.
На удаленном сервере логи изучал, там ни в логах тора, ни в auth.log вообще нет ничего по поводу коннекта.
Ага, посмотрел в auth.log на локальной машине, там действительно локальный ssh-сервер отверг подключение из-за неправильного пароля.
Кстати, msmtp тоже не хочет коннектиться к скрытым сервисам тора из консоли/терминала под прозрачно торифицированным юзером (к обычным серверам – с публичными dns – коннектиться).
А как сделать, чтобы работало?!
Да, VirtualAddrNetwork у меня в torrc не прописано. А как его правильно прописать?
Все теперь работает, и ssh, и msmtp, только почему-то очень медленно, медленне, чем через Tor к ip.
комментариев: 11558 документов: 1036 редакций: 4118
Как я понимаю, если на сервере, например, запустить хотя бы промежуточную ноду Tor и коннектиться к нему через скрытый сервис, пакеты идущие по ssh к срытому сервису маскируются в составе пакетов, идущих через ноду?
Как я вижу по netstat, там не видно никаких специальных внешних соединений по ssh, есть только внутренние с localhost:произв. порт на localhost:ssh-порт.
Интересно, серьезный противник, контролирующий сеть где сервер, и, возможно, "нагнувший" провайдера сервера, может выделить пакеты, идущие в рамках такого коннекта, из общей массы, или нет? Например, для проведения последующей атаки пересечения?
Так то, когда коннектишься через Tor к ip, там сразу "невооруженным" видно соединение по ssh, идущее с того или иного Tor-exit'а.
комментариев: 9796 документов: 488 редакций: 5664
А соединения со скрытыми сервисами вообще происходят часто очень медленно. Там и протокол получения дескриптора и нахождения точки встречи замедляют дело и цепочка узлов длиннее.
С одной стороны как бы да и не очень хорошо оснащённому противнику (именно уровня ISP — наблюдающему все входящие и исходящие соединения ноды и имеющему возможность подсчитывать сколько вошло, сколько вышло трафика по различным параметрам) ничего не видно. Но этот трафик нельзя считать полноценно покрывающим, так как выделение проходящих цепочек Tor-ноды от собственно создаваемых ею, реализуется для ISP самыми простыми видами статистического анализа.
Похожий вопрос внесён в FAQ. с разницей лишь, что там ситуация для клиента, а не скрытого сервиса, что не особо принципиально.
комментариев: 9796 документов: 488 редакций: 5664
Вот только перенаправляя трафик с помощью VirtualAddrNetwork на группы неиспользуемых адресов вместо локалхоста и не используя этот перехват упоминаемым там dns-proxy-tor у пользователя ничего лишнего не уйдёт в сеть? Или может нужно ещё и файрволл под эти адреса как-то специфично подправить?