id: Гость   вход   регистрация
текущее время 20:50 28/03/2024
Автор темы: Гость, тема открыта 06/02/2013 15:52 Печать
Категории: анонимность
http://www.pgpru.com/Форум/АнонимностьВИнтернет/УлучшениеБезопасностиИАнонимностиTor
создать
просмотр
ссылки

Улучшение безопасности и анонимности Tor


Предлагаю объединиться здесь по вопросам улучшения безопасности и анонимности Tor своими, так сказать силами.
А также предостережение от возможных типичных ошибок пользователя Tor.


Первое, что меня натолкнуло на эту тему – Skype, который подозревается в негласном сборе данных на компьютерах,
из-за чего некоторые умельцы "заганяют" в Chroot.
Возможно, и по отношению к Tor следует делать такое ограничение?
Если да, то очень бы хотелось ознакомится с дельными и простыми советами, как это практически делается.


 
Комментарии
— unknown (06/02/2013 16:23)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
/comment34713
Для Tor есть готовый модуль SELinux, если он слегка устаревает от текущей версии, то легко допиливается находу.
— Гость (06/02/2013 19:27)   <#>
Даже не читая комент, уже пробила нервная дрожь :) – ведь Selinux не для "средних умов", и многие это достижение научной мысли RH просто не в состоянии осилить из-за достаточной сложности настройки, даже некоторые администраторы его отключают, чтобы не парится.
Может, есть что-то попроще?

Но если нет, то пожалуйста, дайте нам всем простую пошаговую настройку Selinux для Tor. Типа HowTo.
(та, что в коменте, недостаточно проста для новичков и неоднозначна).
— unknown (06/02/2013 20:32)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Всё не так сложно. Особенно, если скрестить это с этим, то получается идеально.

К сожалению для самого Торбраузера (а это главный вектор уязвимости) готового модуля нет, а использовать для переделывания мозилловский модуль нереально. Поэтому есть смысл выделить Tor отдельным системным демоном и только его и защитить, благо как раз для этой цели готовый SELinux-модуль почти работает. К нему нужно скомпилить свой дополнительный модуль с небольшими добавками.

Параллельный запуск анонимизированных юзеров под разными иксами тоже отлично подходит под эту схему: на анонимизированных юзеров можно наложить удушающие контексты SELinux и порадоваться беспомощности этих анонимов (ни пингов им, ни ifconfig, ни в большую часть /proc ни заглянуть, ни sudo выполнить, ни в чужой каталог, кроме распакованного TBB в собственном /home ничего не записать, ни посмотреть, а полученный через su рут не имеет никаких прав — это всё по умолчанию).

А для обычной работы и управления самим SELinux, оставить несвязанного пользователя — в других иксах. Ну и в довесок, доп. защита массе программ — gnupg, rsync, ssh, mplayer (если нет желания специально красноглазить, то особой настройки и присмотра также не требует) и т.д. Если какой-то модуль глючит и сильно мешает работать — можно или попытаться дописать к нему правила, скомпилив свой довесок или его просто выгрузить, не отключая весь SELinux. Причём это больше будет касаться только некоторых программ, запускаемых из-под "связанных" пользователей только или только системных демонов.

Всё никак не собраться и не написать материал по накопленным настройкам. Плюс, на некоторых машинах SELinux конфликтует с видеодрайверами и несовместим с иксами, так что может не взлететь в принципе.
— Гость (06/02/2013 22:39)   <#>
Понимаете, unknown, вы так все красиво рассказываете, что заслушаешься как колыбельной сказке :)
Но попробуйте стать на другую сторону: нас, неопытных юзверей, большинство из которых освоило только виндовс (поэтому о них речь не идет), вторые в совершенстве освоило никсы (поэтому им помощь не нужна), и третьи, осваивающие линукс и занимающие промежуточное положение.
Но пока они там его освоят, из-за недостатков знаний и промахов в настройке они утратят анонимность и их возьмут за ж. Ложка хороша ведь к обеду, а не после него.
Среди них – журналисты, свидетели преступлений, "источники" важных сведений и т.п. Многих из них просто уничтожают, поскольку они наивно доверились Интернету как средсту переписки.
Могли бы вы выкроить время и уделить его нуждам непросвещенных пользователей, которым нужна защита в виде анонимности?
Как в переписке, так и в серфинге. Понимаю, что излагаю путанно, но сижу за компом и ощущаю спиной, как эти TCP/IP пробивают бреши и обходят защиту в Tor и похищают мои документы и анонимность.
Вы излагаете свои познания как профессор со степенью, а нам бы прикладные, осязаемые вещи нужно. Поскольку многие глубоко Линукс изучать не будут, он для них всего лишь инструмент для выполнения своих жизненных задач. К примеру, как водители – под капот им лучше заглядывать поменьше, а вот баранку они должны уметь крутить мастерски.
Поэтому нам Howto побольше бы...
— Гость (07/02/2013 01:07)   <#>

Разные модели угрозы предполагает соответственно разные модели защиты. Для групп риска, описанных выше, подходит минимальный уровень защиты, выражающийся в пользовании коробочным TBB и любой ОС. При желании защиту можно дополнить полным шифрованием системы и т. д.


Это просто неграмотность паранойя.


Да, howto никогда не бывает много. А если почитать литературу и материалы на сайте, то вопросов станет в разы меньше. Решения искаропки хороши на начальном этапе. Потом же лучше брать из коробки, которая на собственных плечах.
— Гость (07/02/2013 02:06)   <#>

Для педо-нарков, которых вы включили в список, не надо бы давать никакой защиты – они того не заслуживают


Если у вас паранойя, это еще не значит, что за вами не следят


Странный вы человек... Много ли врачей освоили по совместительству профессию юриста? Инженера? Историка? Сантехника, наконец? В совершенстве, а не на "заочных курсах" за бабло.
А вы хотите, чтобы они еще и Линукс освоили с тонкостями с Тором вместе взятыми.
Вместе с тем некоторым из них нужна анонимность в силу различных причин. Вы же, вместо того, чтобы конкретно помочь, выдаете сырой полусыпродукт с рекомендацией разобраться самому.
Пойдите работать в автосалон и попытайтесь продавать некондиционные Мерседесы с пожеланием покупателю докрутить, досмазать, допилить и т.п.
Долго вы проработаете?
А на этом сайте, конечно, можно важно надувать щеки и изображать распальцованного знатока, который вместо того, чтобы помочь реально, раздает бесплатные советы "типа почитай и сделай сам".
От которых честно говоря, уж тошно. Потому что напоминает времена кривой недооси RH 5.2, от которых красноглазые фанаты, тем не менее, тащились и голосили, что круче ее быть не может.
Именно в те времена ими считалось, что для работы в Linux надо знания консоли, виая, бэша и прочих таинств, которые доступны только "особым людям" в белых халатах – им только нимбов не хватало.
Теперь же Linux практически доступен той же домохозяйке, что и Windows, можно садиться за Linux-компьютер и сразу работать благодаря интуитивно-понятному интерфейсу – может быть, вы это назовете регрессом?
Слава Богу, что времена таких придурков прошли, и Linux, как продукт, стал более совершенным, понятным, и как результат – более массовым. Это плохо?

Не надо нас учить – лучше помогите делом. Конкретным – сделайте законченный продукт. Если вы, конечно, имеете понятие, что такое продукт как таковой.
Ваша слабость в том, что вы специалист, и поэтому никак не можете понять другую сторону – потребителя продукта. Которому не надо полуфабрикат с тучей мануалов на иноземных языках

© Узкий специалист подобен флюсу – полнота его одностороння.
— Гость (07/02/2013 02:14)   <#>
<[Поэтому есть смысл]. все моменты цитировать не буду, но что для увереных пользователей польза, то для делетантов – стопор.в *nix начинающим не хватает gui. мало того что терминал с командами трудно осваивается, так еще наглядности, блин, никакой. я в iptables ковырялся-ковырялся..в результате основные правила с гугла срисовал. тонкие настройки пока не одолел (глаза болят)) полез в arno ну хоть что то видно и пошагово. ну и т.д.
— педо_нарк (07/02/2013 03:25)   <#>

Поддерживаю. Гость (07/02/2013 02:06) вообще не понимает, о чём говорит. В случаях, когда анонимность действительно нужна, вопрос о how-to не стоит. Такие how-to сами пишут, а не просят других его написать.


Раз вы так агрессивно настроены против педо-нарков, разбирайтесь со своими проблемами сами.


Хорошо сказано. :)


Уверенное пользование ПК — не тот уровень. Если знаний в том, что нужно лично вам, не хватает, есть гугл, форумы, рассылки, так что учитесь, как и педо-нарки вокруг вас.


Из гуя можно сделать 0.1% от того, что можно сделать из командной строки. Так всегда было, и так всегда будет. А в вашей винде удобной командной строки вообще нет, поэтому без написания программ ничего помимо тех 0.1% не доступно, что создаёт иллюзию понятности винды.


Всё хорошо, но не надо обольщаться:
С виду, благодаря всяким KDE и Compiz'ам, отличия и не столь очевидны, но "под капотом" (что нас и интересует с точки зрения безопасности системы и поддержки ею криптографических компонентов) они не имеют ничего общего. И именно заглянув под капот, становится очевидно, насколько уродлива, неудобна и нелогична Винда в сравнении с *nix-системами.


Для потребителей есть Tails и Qubes. Для более требовательных — только осваивать и собирать систему под свои нужды самим. Нет унифицированного профиля потребностей, у каждого свои модели угроз и рисков.


Странно, а педо-нарки на ура осваивают, попробуйте и вы: курите галлюциногенную смесь, потом урок к школе ведёте, потом читаете man iptables и сразу всё становится понятно.


Есть ли в этом смысл? Я не вижу его. Tor — последнее звено, он имеет доступ ко всей информации, которую пропускает, почти любая ошибка в нём будет фатальна на 100% даже без взлома вашей системы. Противник может слить через Tor ваш IP и список открываемых сайтов, если Tor-демон уязвим. Как защитить Tor от этого? Прописать, что он может логиниться только на guard-ноды? Так он всё равно через Tor сливать будет, вы это никак не заметите. Если в самом Tor заведётся червь, то кранты всем сразу. Если червь будет написан грамотно, то обнаружат его очень несразу, так как проявлять внешне он себя не будет никак. Один Tor-сервер будет заражать другой и своих клиентов, и так по цепочке.

PS И, умоляю, не надо делать из местной публики неземных гуру-специалистов. Все так же пришли на форум, с чего-то начинали, читали мануалы и иноземные книги, что-то поняли и уяснили, а в чём-то имеют пробелы до сих пор.
— Гость (07/02/2013 03:28)   <#>
Гость (07/02/2013 01:07), только сейчас понял прикол с цитированием. Ржу, не могу, держи 5. :D
— Гость (07/02/2013 04:00)   <#>

Не без этого. Все мы немного странные. Я могу сказать то же самое о вас.
На ваш комментарий я отвечу так.
Лично я получил больше знаний самообразованием, чем университетскими программами. Это касается как IT, в меньшей степени, так и других сфер, которые можно считать профессиональными в большей степени.
Дальше. Приучите себя к мысли, что за вас выполнять нужную вам же работу никто не будет. По мере возможностей я могу дополнить некоторые разделы сайта, однако у меня на себя времени не всегда хватает. Посмотрите на время публикации моего поста. Часовой пояс у меня UTC+6. Не от излишка свободного времени я не сплю.
Про линукс. Линукс – это не хорошо и не плохо. Линукс есть линукс. Со всеми его плюсами и минусами.



Я вас не учу и не пытаюсь учить. Научить нельзя, можно научиться. Не вижу смысла в продукте того формата, который вы предлагаете. Другому гостю что-то не понравится в нем, он попросит переписать под него. Или под всех и вся начать проект? Всем не угодишь. Вы вчитайтесь в название темы, вы ее автор, наверное. Что улучшать? Теоретически, улучшив все согласно ваших представлений, вы думаете, что оградите себя от потенциальных целенаправленных атак? Заблуждаетесь. Опасаетесь слива инфы через Tor? Не пользуйтесь им. Нет, хотите продолжать его использование? Тогда думайте, как минимизировать риски. Основывайтесь на уже имеющемся опыте, подгонятйте под свои нужды, в соответствии с опытом пользователей и своим собственным.
Кстати, я как раз могу понять потребности и ход мыслей как новичка, пользователя, так и специалиста. Равно как и понять их заблуждения относительно предмета. Заблуждений все же больше у новичков. Поэтому, хотите вы того или нет, вам придется либо набить свою коробку, что было откуда черпать, либо пользоваться искаробочными решениями. Еще раз повторю, в большинстве случаев второго вполне хватит для приемлемого уровня безопасности и анонимности.


Я не узкий и не специалист. Прекращайте эксплуатировать медицинскую тему и всякого рода сравнения. Да, у вас там медсестрички на потоке симпатичные?)


Держу;)
— Гость (07/02/2013 04:09)   <#>

Ваша слабость в том, что вы — тренер шпионов разведчиков и специальных подразделений, и поэтому никак не можете понять другую сторону – ваших подопечных. Которым не надо обучение много лет владению оружием, ведению боя, разведывательным операциям на вражеской охраняемой территории, знанию иностранных языков и умению входить в доверие противнику. Нужно просто хауту для шпионов-чайников.

Как-то так. Или даже вот так.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3