id: Гость   вход   регистрация
текущее время 12:43 24/04/2024
Автор темы: Гость, тема открыта 14/01/2013 03:34 Печать
Категории: анонимность, инфобезопасность, операционные системы
http://www.pgpru.com/Форум/АнонимностьВИнтернет/ГотоваяTor-сборкаСУлучшеннойАнонимностью
создать
просмотр
ссылки

Tor-сборка с улучшенной анонимностью "под ключ"


Я обычный пользователь Internet, хотя тема анонимности мне далеко небезразлична, поэтому регулярно использую Tor-клиент на CentOS 6.
Однако недавно используемый клиент стал сигнализировать о том, что он устарел, и пришлось предпринимать попытки перейти на новый, уже TBB.
С учетом имеющихся на этом сайте материалов и переписки с форумчанами пришел к выводу, что лучше использовать "сэндивич" – внизу ОС с Xen, в которой запускается клиентская ОС, в которой уже и используется сам Tor.
В такой конфигурации Tor-системы утечка сведений о "железе" в Internet минимизируется, а степень анонимности повышается.
Если при этом еще реализовать при каждом запуске клиентской ОС разворачивание ее из архивного образа, то анонимность еще более повысится.


В своих экспериментах в качестве базовой и клиентской ОС использовал CentOS пятой ветки – 5.8, поскольку она больше нацелена на Xen, чем шестая.
Однако эксперименты с ними пока завершились провалом, о чем и сообщил в топике "Какой бы ОС вы доверили свой Tor ?" на 5-й странице
https://www.pgpru.com/forum/an....._comments=1#comments
В общем, безрезультатная возня с TBB 2.3.25-2 вкупе с CentOS 5.8 порядком утомила, но зато возникла новая идея :)


Идея состоит в том, чтобы использовать в качестве базовой и клиентской ОС OpenBSD, отличающейся, как известно, от других BSD, не говоря уже о Линуксах, просто железобетонной безопасности ввиду особого подхода ее разработчиков.
Конечно, в который раз самостоятельно попытался настроить OpenBSD хотя бы на работу в качестве обычной базовой десктопной оси с Иксами, чтобы обвыкнуться.
Скачал текущую 5.2, установил ее с максимальным использованием имеющихся пакетов (base52, comp52, xbase52, xserv52, xfont52...), но в результате не получил не то что Gnome или хотя бы XFCE, а какие-то дремучие окна, в котором тикали часики и можно было двигать мышкой – и это весь функционал :(


Конечно, совсем не просто линуксоиду, привыкшему к комфорту и удобствам Linux, разбираться в дебрях недружелюбной BSD, уж во всяком случае это занятие точно не для меня.
Да и не только не для меня – многие тысячи рядовых пользователей Internet скажут то же самое.
Однако воспользоваться возможностями анонимизации своего пребывания в Internet желают многие.


Натолкнул на эту идею монументальный труд господина unknown "Раздельный запуск Torbrowser от нескольких пользователей с общим системным Tor-процессом и локальная прозрачная торификация"
https://www.pgpru.com/bibliote.....rachnajatorifikacija


Поэтому к вам, unknown, который на "ты" и с Линуксом, и с BSD, у меня большая просьба:
– Пожалуйста, создайте для нас, рядовых пользователей Internet, готовую сборку на основе OpenBSD & Xen & TBB под "ключ".


Как ее представляю:


1. Базовая OpenBSD устанавливается как обычно, без Иксов
2. На ней настраивается Xen
3. В Xen устанавливается клиентская OpenBSD с Иксами и локализацией
4. В клиентской OpenBSD устанавливается TBB (собственно, запускается его стартовый скрипт).


Казалось бы, тут нет ничего особеного.
На самом деле особенность есть и состоит в том, что большинство действий (кроме п.1) совершается с помощью скрипта, который все это автоматически настраивает, избавляя неподготовленных пользователей от мучительных траханий (извините за выражение) с BSD.
Ведь BSD не по зубам не только виндузятникам, но и многим линуксоидам тоже.


В чем будет преимущество такой сборки под "ключ"?


1. Во-первых, тысячи тысяч обыкновенных пользователей смогут с легкостью использовать самые новейшие достижения безопасности и аноминости, заложенные в OpenBSD и Tor/TBB.
2. Во-вторых, поскольку у них всех появятся системы, ничем не отличающиеся друг от друга как близнецы-братья (кроме системного времени и IP), то их индивидуальная анонимность возрастет многократно.
3. Ну и наконец, мы, обыкновенные пользователи Internet, скажем вам огромное спасибо! :)


Нисколько не хочу обидеть других крипто-экспертов, обитающих на этом форуме, многие из которых наверняка обладают такими же знаниями и опытом, просто вышеуказанная работа unknown подтолкнула обращение к нему, хотя участие в этом проекте может принять конечно же любой из вас.


Прошу извинить меня за некоторую безграмотность и косноязычие в такой деликатной сфере, как криптография.



 
На страницу: 1, 2, 3, 4, 5, 6, 7 След.
Комментарии
— unknown (14/01/2013 09:43, исправлен 14/01/2013 10:01)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Вы меня с кем-то путаете :) Или явно переоцениваете мои возможности.


По схожим поводам я давал какие-то комментарии. Я хронически не дружу с виртуализацией, у меня лично другие, интересные лично мне требования к анонимности. Мне интересно было завести потенциально пусть и не слишком защищённый в плане анонимности проект, но зато более более гибкий, менее ресурсоёмкий и простой в обслуживании.


Это оказалось проще сделать запуском параллельных иксов, разведением юзеров фаерволлом и придавливанием их SELinux по мере возможности. Возможностей оказалось не так мало — например SELinux при определённых настройках не даёт читать TBB никакого каталога кроме своего собственного, не даёт читать никакой программе файл со связкой ключей GnuPG (кроме самой gnupg), не даёт запускать серверы из под юзера, делает бесполезным получение рута в системе, ограничивает чтение списка процессов и др. Несмотря на это, выполнение произвольного кода тем не менее приведёт к деанону массой других косвенных способов, но меня устраивает такой компромисс.


У меня развёрнуто до шести анонимных профилей параллельно. Некоторые из них мало важны, там накидано масса инфы, закладок и пр. идентифицирующей информации, которую не жалко, если стянут. Создание профилей и управление ими не требует практически никаких системных ресурсов и усилий по поддержанию конфигурации. Копирование информации между ними шифровано через GnuPG по локальной почте. А вот разворачивать по 6 штук виртуалок и каждую держать в актуальном состоянии со всеми обновлениями — увольте. Да ещё и делать актуальный универсальный проект на продакшн.


Роджер искал разработчиков на полноценное скрещивание TBB с SELinux или хотя бы с псевдовиртуализацией в связке TBB-LXC-SELinux и даже намекал на заинтересованность спонсоров, но посмотрев тему, я критически оценил свои возможности, решил, что не потяну.



В OpenBSD заложена некая своя концепция безопасности, анонимность из коробки не заложена ИМХО ни в какой ОС.



TAILS им в зубы.

— Гость (14/01/2013 10:13)   <#>
Возможностей оказалось не так мало — например SELinux при определённых настройках не даёт читать TBB никакого каталога кроме своего собственного, не даёт читать никакой программе файл со связкой ключей GnuPG

Прошу Вас более детально раскрыть эту тему, если это конечно возможно.
Заранее благодарен.
— unknown (14/01/2013 11:38, исправлен 14/01/2013 11:42)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Пока также не могу рекомендовать это как созревшее готовое решение по ряду причин.


  1. Одинаковая система на одном компе работает с SELinux, на другом — нет. Подозреваю, дело в разных видеокартах, что приводит к краху иксов. Как после этого можно рекомендовать пользоваться?
  2. Можно пользоваться только готовыми модулями и ролями. Написать свой модуль с нуля — нереально. Даже разработчики часто годами не могут их пофиксить. В принципе несложно самому перекомпилить готовый модуль, а лучше загрузить поверх него свой, который фиксит ошибки базового под свои потребности. Но так можно исправлять только мелкие недочёты. Некоторые дефотные модули пришлось просто отключить из-за глюков.
  3. Многое работает непонятно как, по-принципу "just works security" и "better than nothing security". От чего-то защищает, от чего-то нет. И непонятно, что там реально доделано.
  4. Даже если пользоваться готовыми версиями и модулей SELinux и всех программ (ядер, драйверов) только из дистра, масса убитого времени и нервов на поиск глюков гарантированы.

Для серверов в минимальной конфигурации оно ещё как-то может быть использовано (и то, если есть роскошь ставить параноидальную безопасность выше бесперебойности работы и продакшн-дедлайнов, когда всё может отвалиться в какой-то момент после обновления и потребует правки). Для десктопа (да ещё и не редхатовского) — очень глючно. Если только на поэкспериментировать и подождать (годы) более вменяемой интеграции.

— Гость (14/01/2013 12:45)   <#>
Вообще-то Xen дружит с OpenBSD примерно так же, как с виндой. Может оказаться, что лучше и портабельнее выбрать другие BSD, если их вообще выбирать.
— Гость (14/01/2013 12:53)   <#>
Ясно, спасибо. Тогда все-таки придется остановить свой выбор на Liberte. Хотя очень уж порой напрягает. Да и непонятно, почему автор решил i2p выпилить от туда.
— Гость (14/01/2013 16:45)   <#>
Ясно, спасибо. Тогда все-таки придется остановить свой выбор на Liberte. Хотя очень уж порой напрягает. Да и непонятно, почему автор решил i2p выпилить от туда.

А чем вам tails не угодил? Там есть и i2p в том числе.
— Гость (14/01/2013 17:05)   <#>
Ну там нет даже четверти того, что есть в Libertе, даже не говоря о размере. В Liberte один косяк – это Генту))) Можно сделать и на Damn Small Linux.
— Гость (14/01/2013 17:17)   <#>
Ну там нет даже четверти того, что есть в Libertе, даже не говоря о размере
можно попросить привести пример хотя бы важных преимуществ перед Tails?
— Гость (14/01/2013 17:19)   <#>
имхо, Tails более известен, а значит более массовый продукт, чем Libertе. пользователь Tor с первой страницы сталкивается с ссылкой на Tails.
— Гость (14/01/2013 19:50)   <#>
Tails – на флешке, имеющей прямой доступ к железу, поэтому будет сливать инфу о железе только в путь.
Кроме того, вряд ли он локализован.
Уже только из-за этих двух недостатков он неинтересен.
— Гость (14/01/2013 23:20)   <#>
использовать в качестве базовой и клиентской ОС OpenBSD

Для OpenBSD нет ни DomU, ни dom0-ядра, поэтому она может пойти максимум как гостевая ОС при условии поддержки виртуализации хардварно.

в результате не получил не то что Gnome или хотя бы XFCE, а какие-то дремучие окна, в котором тикали часики и можно было двигать мышкой – и это весь функционал :(

Вообще-то там стоит полный (и зачастую неадекватный, да) минимал. Предполагается, что вы потом сами установите с портов/пакетов тот оконный менеджер, что вам нужен, тот терминал, те расцветки, те шрифты и т.д., после чего внешне ваша система ничем не будет отличаться от того же настроенного Linux.

Как ее представляю:
1. Базовая OpenBSD устанавливается как обычно, без Иксов
2. На ней настраивается Xen
3. В Xen устанавливается клиентская OpenBSD с Иксами и локализацией

Проброс видеокарты в domU? Это тонкое извращение, для очень опытный любителей :) Например, у меня не получилось пробросить даже звуковую (пробовал NetBSD в domU и в dom0). Может быть, следующий раз получится, но руки до него пока не дошли.

там накидано масса инфы, закладок

Закладки не накидывают, а подбрасывают встраивают :)

А вот разворачивать по 6 штук виртуалок и каждую держать в актуальном состоянии со всеми обновлениями — увольте.

Если не критично то, что у разных профилей будут одинаковые ОС и их версии, то можно держать одну виртуалку, котрая будет обновляться, а потом её тупо клонировать в нужное количество разных виртуальных машин.

придется остановить свой выбор на Liberte

Критика тут.

Tails – на флешке, имеющей прямой доступ к железу, поэтому будет сливать инфу о железе только в путь.

Один из гостей хвалился тем, что запускает Tails в виртуалке, и у него всё прекрасно работает.

Кроме того, вряд ли он локализован.

Надеюсь, интерфейс не надо локализовывать? А ввод кириллицы в иксах достигается выполнением одной команды (переключение по капслоку, собственно капслок-функция будет доступна через shift+капслок):
$ setxkbmap -layout 'us,ru(winkeys)' -option 'grp:caps_toggle,grp_led:scroll'
— Гость (15/01/2013 00:02)   <#>
Уже только из-за этих двух недостатков он неинтересен.
все голословно.
– можно запускать в вирт машине.
– русский интерфейс + камуфлированный под XP.
учим мат часть (!).
— Гость (15/01/2013 00:08)   <#>
А ввод кириллицы в иксах достигается
имхо, нужно добавить в клавиатуру русский. переключение в Tails по Shift+Alt или прямым кликом в панеле на символ "Eng".
— Гость (15/01/2013 10:44)   <#>
можно попросить привести пример хотя бы важных преимуществ перед Tails?

Если не даже не говорить о размере – то со списком преимуществ можно ознакомиться здесь http://www.opennet.ru/opennews/art.shtml?num=34724
Из минусов – Gentoo, автор то правильно мыслит на счет размера дистра, т.к. и косяков меньше, да и самому приятнее. Но это не о Gentoo, т.к. гемора с ней предостаточно при компилляции, а в анонимности оперативность сборки своей "крепости" очень важна. Да и полно других дистров, которые поменьше и постабильнее будут. Тот же http://www.slitaz.org/ к примеру. Вторым минусом я бы назвал выпиливание i2p из дистра. Т.к. TOR – это просто средство для серфинга по залоченным сайтам.
А так – Tails выигрывает у Liberte только в том, что он на Debian основан.
Мб автор Liberte образумится и пересоберет свое творение, тогда даже коммунити образуется вокруг.
— Гость (15/01/2013 11:50)   <#>
JonDO так же на Debiane. у них есть JonDo Live-CD (English, 694 MB MB), это меньше Tails (899).
На страницу: 1, 2, 3, 4, 5, 6, 7 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3