анонимные live-cd (live-usb)
Чем может быть оправданно использование Live-cd систем типа The Amnesic Incognito Live System (Tails)? Какие преимущества и недостатки имеют подобные решения? Что предпочесть, стандартный набор vidalia (tor, privoxy/polipo, firefox+torbutton) или Tails?
P.S. Создатели Tails заявляют, что – all outgoing connections to the Internet are forced to go through the Tor network (все исходящие соединения с Интернетом "вынуждены идти" через сеть Tor), в таком случае, обязательно ли наличие torbutton, насколько безопасно использовать flash, email клиент ftp и т.д.?
спасибо
Конкретно эта задача вроде бы в Tails была решена, искаропки. Проверьте только, что там именно TorBrowser в сборке, а не обычный firefox (иначе не имеет смысла).
А когда настраиваешь свою ОС, ты сам себе хозяин, можешь сделать всё под себя и для себя. Как можно сравнивать LiveCD Tails и просто ОС, установленную на жёсткий диск?!
Если про безопасность при нулевых изменениях в систем, Tails, пожалуй, получше будет, но вот захотите ли вы в нём долго работать — это другой вопрос.
С кастомизацией не ясно, что может нужно будет изменить. Вроде бы при работе с тором опасно менять дефолтовый конфиг, так как будешь отличаться от других и соответственно анонимность падает. Да и альтернативы нет. Винда небезопасна, изучать убунту или другой подобный дистрибутив весьма трудоемко.
Например. Конечно, речь шла не о конфиге Tor'а.
Если Убунта — это трудоёмко, то у меня нет комментариев. Хуже то, что в Убунте уже столько вредных для анонимности и безопасности свистелок, что она скоро мало чем будет отличаться от той же винды.
Можно примеры? Только пакет от амазона не предлагать.
Короче, намного проще Debian довести до нормального юзабельного состояния, чем выкорчёвывать всю эту опасную юзерофилию из убунты.
*А чтобы оно было в убунте, надо скачивать специальный Alternate CD, где при установке можно включить шифрование всего. Хотя говорят, что новых версиях планируют включить эту опцию.
**Она может шифроваться или быть вообще на отдельном шифрованном разделе/носителе.
с этим может помочь файервол (iptables)?
так Tails и JonDO – Debian заточенный для анонимности с возможности при загрузке работать в режиме safedisk.
имхо, то что человеку, не желающему настраивать unix систему, нужно. просто он сам этого не понимает.))
а разбирающиеся здесь дают тонкости, которые он не понимает. и это его сбивает, чтобы определится.
но это мое мнение. )
Спасибо всем, кто отвечает мне))
Уязвимость в firefox позволит злоумышленнику отправить пакеты в сеть напрямую. iptables не регулирует IPv6-трафик, потому что вообще это вне его компетенции. Фильтрацию IPv6 осуществляет, на самом деле, ip6tables, только вот многие ли об этом знают? :) Тем более, раз с IPv6 машина не работает, его проще отключить, а не настраивать firewall под него.
Может, особенно, если угроза внешняя, из сети. Если внутренняя, то поможет, но ограниченно: Из-за того, что owner неприменим к входящим пакетам, фильтровать по юзерам, от которых запущены программы, слушающие на соответствующих портах, не получится.
Т.е. если в ОС два пользователя, где один делает, что хочет, а второй типа анонимен, то анонимность второго разрушить — миллион способов. По открытию портов нет ничего аналогичного umask для файлов: один открывает порт, а все могут туда посылать. Это как если бы любой создаваемый вами файл в ОС был бы доступен на чтение и запись всем пользователям системы.
Я не стал выше писать про неUbuntu-специфичные тонкости, типа проблемы ICMP: какие бы правила iptables/pf ни были, пакеты ping'а, запущенные любым пользователем, реально будут посылаться от root'а, т.е. ping — суидная программа. Одним словом, любой заточенный на анонимность конфиг iptables/pf должен полностью запрещать ICMP.
Вообще, была идея сделать подборку казусов и опубликовать их в wiki, типа «подводные камни анонимности, которые рано или поздно все осознают», но это как-нибудь потом...
Да, наверно. Он ещё примерно одинаковые вопросы задаёт в разных топиках. Я ему уже ответил, что пусть пока ставит Tails и не мучается.
Qubes — вроде да, тут пару человек отписывались о своём опыте, но мало что рассказали, а Debian-таки всё же требует :)