Прозрачная торификация рута

И еще такой вопрос, раз уж речь зашла про nmap. А зачем многие его опции работают от рута, как это способствует безопасности? Типа чтобы браузерный эксплойт не мог его запустить?

Некоторые низкоуровневые операции с сетевым стеком требуют работы с "сырыми" сокетами. Для этого нужны привилегии рута.

nmap/tcpdump работают с / видят пакеты в сети как есть. Значит один пользователь можно видеть что делает другой, что именно он шлёт в сеть и т.д. А вдруг там пароли открытым текстом? Это небезопасно, потому требуется рут.

что будет, если в правилах прозрачной торификации прописать юзера с UID==0 ?

root c точки зрения iptables точно такой же юзер, как и все остальные. Для прозрачной торификации важно только одно — пользователь, от имени которого запущен Tor, должен ходить в сеть напрямую, без прозрачной торификации, а все остальные (включая рута) уже могут эту "прозрачку" использовать (а могут и нет — как настроите). Если Tor запущен от рута, то рута прозрачно торифицировать не получится — это просто логически самопротиворечиво, ибо Tor-клиент соединяется с Tor'ом напрямую, а не через Tor.

nmap/tcpdump работают с / видят пакеты в сети как есть. Значит один пользователь можно видеть что делает другой, что именно он шлёт в сеть и т.д. А вдруг там пароли открытым текстом? Это небезопасно, потому требуется рут.

Это понятно. Все-таки UNIX – многопользовательская система. Но если у меня все пользователи суть профили одного физического юзера, те. меня, грешнаго?!

Если Tor запущен от рута, то рута прозрачно торифицировать не получится — это просто логически самопротиворечиво, ибо Tor-клиент соединяется с Tor'ом напрямую, а не через Tor.

При старте системы, скрипт запуска Tor'а стартует от рута, а затем передается юзеру debian-tor.

если у меня все пользователи суть профили одного физического юзера, те. меня, грешнаго?!

Зачем программе, имеющей доступ к одному из ваших профилей, иметь доступ к данным из другого вашего профиля? Может быть вы не хотите их друг с другом связывать.

Ну вот, торифицировал, все замечательна пашет.
Помниться было где-то обсуждение по этому вопросу, так никто из Гуру не посоветовал это сделать.
Может unknown'у включить это в фак? Или лучше сначала в рассылке самого тора обсудить?!

Могут ли быть в этом случае какие-либо побочные проблемы с функционированием системы?!

Не знаю точно, но кажется можно создать другого пользователя и включить его в группу root. Так и привилегий будет хватать и расфайрволлить по разным юзерам в Tor можно.

Некоторые кривые приложения проверяют только id == 0, так что одного включения в группу может не хватить.

После того, как я прозрачно торифицировал root, не было проблем с получением обновлений через Tor.
Однако на днях заметил, что некоторые утилиты, запускаемые от прозрачно торифицированного root, ведут себя не так, как те же утилиты, запускаемые от просто прозрачно торифицированного обычного юзера.
Так, напримет, если натравить nmap на ip роутера в своей локальной сети, то он nmap'ит неизвестно что, подозреваю, что какую-то Tor-ноду:
1/tcp open tcpmux 3/tcp open compressnet 4/tcp open unknown 6/tcp open unknown 7/tcp open echo 9/tcp open discard 13/tcp open daytime 17/tcp open qotd 19/tcp open chargen 20/tcp open ftp-data 21/tcp open ftp 22/tcp open ssh 23/tcp open telnet 24/tcp open priv-mail 25/tcp open smtp 26/tcp open rsftp 30/tcp open unknown 32/tcp open unknown 33/tcp open dsp
И далее идет огромный листинг tcp-портов. По-видиму, это даже не Tor-нода, а вся сеть Tor :), ибо он показывает туеву хучу tcp-портов как открытую.
Если же тот же nmap я натравливаю на роутер из под прозрачно-торифицированного root'а, то она почему-то nmap'ит именной мой роутер:
All 1000 scanned ports on 192.168.1.102 are filtered MAC Address: xxxxxxxxxxxx (Unknown) Nmap done: 1 IP address (1 host up) scanned in 21.38 seconds

Правда, если запустить с опциями, оно выдает такое:
~$ sudo nmap -sT -O 192.168.1.102 туева хуча открытых портов 60020/tcp open unknown 60443/tcp open unknown 61532/tcp open unknown 61900/tcp open unknown 62078/tcp open iphone-sync 63331/tcp open unknown 64623/tcp open unknown 64680/tcp open unknown 65000/tcp open unknown 65129/tcp open unknown 65389/tcp open unknown MAC Address: xxxxxxxxxxxxxxx (Unknown) Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port OS fingerprint not ideal because: Missing a closed TCP port so results incomplete No OS matches for host Network Distance: 1 hop

При этом mac-адрес моего роутера, действительно, 1 hop до него, но на нем открыто вообще-то только несколько портов, а не все tcp-порты. Похоже, что она частично nmap'ит роутер, частично – сеть Tor.
При этом tcpdump кажет как Tor-трафик (возможно общий, не от nmap, может частично от него), так и трафик между роутером и хостом.
Как это объяснить?
P.S. При выполнении sudo iptables -L -v -t nat вроде бы тоже видно dns-запросов и т.п., но есть следующая фигня.
У меня в настройках прозрачно торифицированы юзеры, а также, на всякий случай, несколько удаленных ip, чтобы по ошибке не законнектиться на них напрямую.
Во время исполнения указанной команде в tcpdump вижу следующее:
IP 192.168.1.1.mdns > 224.0.0.251.mdns: 0 PTR (QM)? 21.18.51.132.in-addr.arpa. (43)
Чо это за странный такой запрос на ip роутера?
При выполнении tcpdump на внешний интерфейс роутера (который коннектиться с ISP) вроде ничего такого коромольного не заметно...


OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 13.13 seconds

Поток сознания, который трудно распарсить. Не понятна схема вашей сети, как она настроена; где, откуда, под кем и что выполняется. Но попутно замечу, что nmap часто шлёт UDP/ICMP, а их Tor вообще не передаёт (за исключением проксирования DNS-запросов). nmap нельзя сделать от юзера, нужен root. Что вы сравниваете, не ясно. Как минимум есть 4 варианта из-под кого запустить nmap

1. root на Tor-рутере, прозрачно торифицированный.
2. root на Tor-рутере, нетрифицированный вообще.
3. root на постронней машине в локалке, для которой (машины) Tor-рутер делает прозрачную торификацию.

Я не думаю, что посылая какие-то левые tcp-пакеты через Tor-сеть можно эффективно сканировать Tor-ноды. А если на Tor-ноде ещё и firewall настроен, так вообще труба. Кроме того, мне кажется слишком невероятным, чтобы Tor-клиент без спецпатчей соглашался посылать пакеты в сеть, у которых dst IP локальный.

mdns

Multicast DNS? Где-то здесь есть винда?

— Гость (15/12/2011 00:45

root торифицированный на локальной машине в локальной сети
udp насколько я понимаю, настройки прозрачной торификации "режут"
Видимо, icmp
Я думаю, что открытые tcp-порты (все) – это не tor-нода, это nmap воспринимает весь Tor как большой роутер при сканировании по tcp
nmap выполняется от юзера, некоторые опции требуют рута, но не все

Multicast DNS? Где-то здесь есть винда?

На роутере самба стоит, снести наверное надо, винда в локальной сети так и не завелась :)

udp насколько я понимаю, настройки прозрачной торификации "режут"

Вообще, прозрачная торификация — не стандарт. Что пропишете в конфиге, то и будет. Можно резать, можно заворачивать на DNS-порт Tor'а и т.д.

А ntp (в дебиане работает от юзера ntp) тоже шлет пакеты в сеть от рута, как и ping?
Заметил, что ntp, если прозрачно торифицировать рут, перестает работать корректно.
Нужно открыть коннект для udp через port 123, чтобы этого избежать? Но ведь через него, гипотетически, что-то еще может утечь? (через этот порт)
Или время от времени "расторифицировать" рут и давать возможность обновить системное время, а потом обратно заторифицировать?
Что лучше?

Лучше руками выставить время. Хотя fingerprinting remote devices (была тут статья на тему) по отличию во времени может что-то такое существенное и даст, но мне слабо верится. Если так сильно боитесь, велкам ту виртуалки.

Гипотетически да, но пока предлагают открыть.

Обсуждение возможных решений (не для серьёзного самостоятельного использования — только для экспериментирования и выработки общего подхода!) здесь. Например, можно использовать HTP: выдёргивание времени из заголовков HTTP-ответов, но с точностью только до секунды и с до конца неясными проблемами.