Tor: выходная нода своими руками


Хотелось бы на время сна (или постоянно) становится выходной нодой для Tor-пользователей. В связи с этим появилось несколько вопросов:

1. Какие порты нужно открывать для того, чтобы можно было работать как выходная нода?
2. Достаточно ли будет разрешить только исходящие порты?
3. Нужно ли что-нибудь дополнительно настраивать для большей безопасности? Или же можно просто скачать Tor Browser Bundle и запустить его на какой-нибудь Ubuntu?

Комментарии
Гость (21/04/2013 00:02)   
Топиков на тему было куча:

Достаточно ли будет разрешить только исходящие порты?

Нет.

Какие порты нужно открывать для того, чтобы можно было работать как выходная нода?

Об этом есть на сайте Tor.
Гость (21/04/2013 04:08)   
Своих проблем мало, чужие себе хотите? Выходная тор нода это большое паливо. У себя дома – идиотизм граничащий с премией Дарвина.
Гость (21/04/2013 11:36)   
Спасибо за ответ! А выходную ноду так и не получилось сделать, в журнале сообщалось «Ваш DNS-провайдер взломан» — что только не делал, всё равно это сообщение выдавалось.

Своих проблем мало, чужие себе хотите? Выходная тор нода это большое паливо. У себя дома – идиотизм граничащий с премией Дарвина.

Не думаю, что они смогут что-либо доказать. Я ведь не виноват в том, что кто-то взломал мой компьютер и начал хулиганить в Интернете. И вообще, я соседу ночью компьютер поставил чиститься от вирусов, а они вылезли и начали вредить.
Гость (21/04/2013 11:51)   
Своих проблем мало, чужие себе хотите?
может он наследник генерала КГБ ФСБ или родственник первых лиц государства? пусть покуражится )))
Гость (21/04/2013 12:34)   
смех смехом, а вот постоянно задаешься вопросом, особенно в ситуации с россией, а кто содержит выходные узлы при такой ответственности? ну явно не физ лицо из Бронкса или Ново- ебуново лопухова.
— unknown (21/04/2013 19:03)   
Немногочисленные общественные организации[link6]. Опять же, чаще с дедиками или колокейшеном в датацентрах, персонал которых теоретически всегда может протроянить или как-то иначе вытащить из этих узлов ключи для дешифровки трафика.
Гость (21/04/2013 19:50)   
в действительности, ведь не обязательно ставить выходную ноду на физ машину? можно ведь поставить на VPS. правда скорость какая будет и с администрированием можно попалиться.
— unknown (21/04/2013 21:14)   
Это тоже небезопасный вариант, если не для владельца, то для безопасности самого сервера. Как с практической точки зрения (снятие копий, дампов, похищение ключей для перехвата расшифрованного трафика), так и с теоретической: в виртуалках крипто волшебным образом становится нестойким для могущественного противника, даже не имеющего к ним доступа.
Гость (21/04/2013 22:26)   
в виртуалках крипто волшебным образом становится нестойким для могущественного противника, даже не имеющего к ним доступа.

Подробности для интересующихся — в /comment57497[link7].
Гость (22/04/2013 00:33)   
Когда ещё иран с китаем не блочил тор протокол, было относительно много экситов которые вместо нужного ресурса показывали вязь или не показывали иероглифов про то что посещаемый сайт заблочен и надо помолиться или вспомнить мао. И тогда в проекте рассуждали на тему, а не пометить ли экситы как бэды, дескать миддлы нам нужны, а такая цензура незачем. Не успели обсудить до конца, протокол успешно придушили и больше экситов с цензурой не стало.

История повторяется, теперь с заставками и митмом ростелекома или глухих черных дыр корбин. Приятней когда провайдер экситов просто дропает пакеты до заблокированных IP адресов, тогда есть возможность у клиента переключиться на более лучший эксит. Но игроки рынка выступают за улучшение цензуры, поэтому дропать пакеты скоро будет некому, и русская вязь будет радовать пользователей торы. Успеют ли пометить все новые экситы с цензурой как бэды или РФ справится сама и избавит всех от мучений?
Гость (22/04/2013 10:20)   
Не думаю, что они смогут что-либо доказать. Я ведь не виноват в том, что кто-то взломал мой компьютер и начал хулиганить в Интернете. И вообще, я соседу ночью компьютер поставил чиститься от вирусов, а они вылезли и начали вредить.
Такие отмазки сочиняет каждый второй пойманный хакер, не считая каждого первого. Может быть органы разберутся и дело закроют, а может и нет. Хотите проверить?

смех смехом, а вот постоянно задаешься вопросом, особенно в ситуации с россией, а кто содержит выходные узлы при такой ответственности?
Какой-нибудь университет может себе позволить держать (коли есть юридический отдел отвечающий на абузы и желание руководства во всём этом замазываться), самые крупные екситы как раз в универах и стоят. Еще аноним купивший дедик может поставить там ексит который простоит до первой абузы, примерно от двух дней до недели. Потом придется убрать, или прощай сервер.
— unknown (22/04/2013 10:23)   

И даже вернут конфискованные на полгода электронные игрушки. И за помятый фейс в ходе укладывания на пол и поломанную дверь извинятся.
Гость (22/04/2013 10:56)   
Поднимая Tor ноду вы занимаетесь укрывательством преступников. Можно придумывать оправдания, борьбу с цензурой, с тоталитарными режимами, равенство братство и.т.д, но давайте не кривить душой отрицая факт – главный смысл Tor в укрывательстве преступников, прослойка легальных пользователей которые не делают ничего наказуемого существует лишь для укрытия в толпе, чтобы нельзя было хватать каждого пользователя Tor, величина этой прослойки неизвестна, если она вообще есть (скажите себе сами, не покривив душой, вы, пользуясь Tor, никогда не совершали наказуемое деяние? Вот то-то же.).
Я не буду давать моральные оценки, хорошо или плохо укрывать преступников, но раз вы этим занимаетесь – вы должны понимать риски и знать что будете делать если они сработают. Умный человек отличается от глупого тем что умный многого не сделает, как-бы чего не вышло, а глупый сделает все, авось пронесет.
— unknown (22/04/2013 11:12, исправлен 22/04/2013 11:23)   

Может кто-то просто стесняется факта просмотра никак ненаказуемого материала или не желает вторжения в личную жизнь, или для него важно всё то, что вы считаете лишь оправданием. Так можно говорить:"пользуясь наличными деньгами вы укрываете преступников; подвозя незнакомых людей на машине без досмотра и проверки, вы укрываете преступников; демонстрируя самую безобидную нелояльность текущим и быстроменяющимся взглядам в обществе, вы подстрекаете преступников" и т.д. до абсурда.


Может укрываются 3% героев, 2% преступников и 95% ничем невыдающихся пользователей. А ещё в такой же пропорции они пользуются другими какими-нибудь вещами.


Более того, можно также абсурдно-бездоказательно априори считать преступниками тех, кто выступает против анонимности. Преступниками иного рода, государственно-планетарного масштаба, которых ждёт суровый суд анонимусов ;)

Гость (22/04/2013 11:57)   

Каков закон пишут чужие мне люди. Мне посрать на их законы. Буду писать закон я — я по нему не буду преступником, всё чики.
Гость (22/04/2013 11:59)   
Вы даете моральные оценки которых хотелось бы избежать. А по-факту большая часть трафика Tor – это нарушение авторских прав и троллинг на форумах (сам этим балуюсь). Чуть меньше – всякая деятельность которую не хочется светить перед органами, это может быть как сильный криминал так и не очень. Все это так или иначе можно квалифицировать как правонарушения. Статистика не высосана из пальца а получена поднятием ексита со снифером около года назад (сервер был закрыт хостером из-за совершенного с него взлома, меня грозились сдать интерполу, но эксперимент предусмотрительно проводился из под тор и оплачивался яндекс-деньгами с анонимного аккаунта).
В последнее время добавилась еще одна категория пользователей – те кому нужен обход цензуры чтобы почитать википедию и бложики на вордпрессе, это пока не преступление (но завтра может стать).
Можно оправдывать или осуждать эти действия, но ставя ексит ноду у себя дома вы становитесь если не виновником то прямым сообщником всех этих деяний, именно так будут это трактовать правоохранительные органы. Объяснить суду про свободу и демократию будет как минимум затруднительно.
Гость (22/04/2013 12:10)   

Батенька, по себе других не судят.
— unknown (22/04/2013 12:12, исправлен 22/04/2013 12:15)   

Если бы закон соблюдался строго, а правосудие было бы идеально справедливым, то всегда бы можно было сделать подозреваемым в этом, но дальше требовались бы конкретные доказательства с перспективой развала дела или оправдания на суде. Правда, закон, что дышло в обе стороны: наказание невиновных, ненаказание виновных. Как для рядовых граждан (на удивление в ряде мелких случаев — на их правонарушения часто закрывают глаза), как для законоприменителей, как для самих законодателей.



Вот именно. Есть ещё такая неоправдываемая, но нужная человечеству категория, как герой-преступник: Мэннинг и некоторые другие информаторы WikiLeaks, к примеру. Может ради появления его одного раз в n лет стоило держать Tor, несмотря на все преступления, которые также совершались бы с этой сетью или совершились бы как-то иначе без неё.

Гость (22/04/2013 12:14)   
но ставя ексит ноду у себя дома вы становитесь если не виновником то прямым сообщником всех этих деяний, именно так будут это трактовать правоохранительные органы.
В РФ можно ничего не ставить, и даже не знать что такое компьютер, но сесть за ИТ, или как решит следователь, статьи. Или все забыли таксиста-хакера прокрутившего порно на рекламном видео-щите?

Завязывайте с веществами.
Гость (22/04/2013 12:17)   
Контора совсем стыд потеряла, хотя у них его и не было. Пришли рассказывать сказки про тор и сюда.
Гость (22/04/2013 12:50)   
А по-факту большая часть трафика Tor – это нарушение авторских прав и троллинг на форумах (сам этим балуюсь)
Нарушение т. н. авторских прав оно вне Tor'a в открытом нете на порядки выше. Без Tor'a троллить нельзя?
Преступления в Сети (в т. ч. серьезные) без Tor'a совершают, как правило.

Моральную и нравственную сторону дела оставлю в стороне. Да и техническую сторону разбирать не вижу смысла. Настроить может почти каждый. Дело в другом. Именно в ответственности и последствиях.

Если бы я поднимал выходную ноду, то, прежде всего, это было бы не спонтанное решение. Был бы информационный сайт с описанием ноды, целей, принципов и т. д. Обращать на это внимание и верить этому или нет – личное дело каждого. Скорее всего, если бы позволили финансы, поднял бы несколько нод в разных странах с полосой не уже 100 Мбит. Если обязательно нужно присутствие ноды в РФ, тоже поднял бы.

Поднял бы давно уже дома и на подконтрольных площадках, если бы не одно "но". Вот дома работает нода на выход. Допустим. День, два, месяц. Спам с нее идет, можно заблокировать какие-то порты, насоздавать правил, ладно, не об этом. Ничего блокировать не стал бы, скорей всего. В итоге, приходит абуза, а вместе с ней менты. Обыск, протокол, изъятие, все дела. Оно нужно вам? Мне? Мне – нет. И если бы все упиралось в комп и разборки по ноде. Придя домой и проведя обыск, могут найти нежелательные материалы и пришить что-то еще. Тем более, если есть какие-то темы, которые требуют конфиденциальности. От веселых картинок, например, до коммерческой тайны. Да и противно, когда эти, чмошники в форме лезут в к вам в душу. Сопляки с позиции силы будут копаться в дорогих вам вещах, лезть в вашу жизнь, плюя и топчась в грязных ботинках у вас дома. У меня у самого родственники, как и каждого второго, имеют отношение к погонам. Для них честь, совесть, служба – не пустой звук. Но они уже в отставке. Да и силовик силовику рознь. Мент и военный – очень разные категории. Ментов у меня нет среди родни. Военные – есть. Ментура сделала сама себя, век не отмоешься. Даже на нормального, а их среди ментов не так и мало, думаю, большинство, смотришь как на мусора. А фигли ты в мусора пошел, если нормальный?

Поэтому считаю, ставить экзит можно где угодно, но не у себя дома. Если терять, конечно, нечего, то можно и дома. Даже у себя. Купить чипсов, попкорна. И ждать звонка в дверь. Или по телефону от прова сначала. И продолжения банкета с разъездами и общением с разными интересными и не очень людьми. Даже отделавшись легким испугом – это засвет. Потом может аукнуться, будете уже под колпаком.
Сам в будущем подумывааю финансировать ноды и поднимать их, как описал выше. Сейчас пока нет возможности. Вернее, возможность-то есть, хоть и ограниченная, но хотелось бы не просто так, поднял и до третьей абузы простоял и закрылся. Если делать, то, считаю, надо подходить серьезно. Изучить площадки, игроков, рынок, тенденции. Посмотреть на все пристальнее.
Гость (22/04/2013 14:04)   
Поднимая Tor ноду вы занимаетесь укрывательством преступников
коммерсант, нанимая ментов, спецов и т.д., для сбора компромата, конф инфы тоже нарушает закон. исполнители заказа в пагонах, используя свое слежебное положение, тоже нарушают закон. и что с этим делать? а как противостоять таким заказам? нанимать "ликвидаторов" проблем? или таких же? ДЕМАГОГИЯ!
Гость (22/04/2013 14:10)   
И даже вернут конфискованные на полгода электронные игрушки. И за помятый фейс в ходе укладывания на пол и поломанную дверь извинятся.
если бы силовики и фискалы отвечали "по-взрослому" за свои ошибки, то не было бы столько ошибок. а пока, остается лялякать о каких нравственных и моральных аспектах жизни в раше))) где попираются честь и достоинство граждан, как в каком-нибудь Береге слоновой кости, но там хоть не орут о демократии и правых нормах. вот так взяли и съели Кука ))
суды оценивают ваши честь и достоинство в 10 рублей, ну кто ж при таких условиях будет соблюдать чужие честь и достоинство.
Гость (22/04/2013 14:13)   
Ответ прост – власть не хочет наводить порядок, ибо это нужно начинать с себя. А так не хочется (!). Времени мало осталось, сланцевый газ не за горами... а еще столько нужно "сделать".
— unknown (22/04/2013 14:46)   

Все примеры взяты исключительно по материалам зарубежных источников, а пострадавшие от грубых действий правоохранительных органов находились в США, Германии и, если не ошибаюсь, в Австрии. На свои местные национальные особенности можете проецировать опыт зарубежных первопроходцев самостоятельно.
Гость (22/04/2013 21:03)   
Посвящается тому Гостю, который обличил всех пользователей Tor:
http://www.securitylab.ru/news/439710.php
Гость (30/04/2013 10:55)   
Есть такой проект: cloud.torproject.org, где предлагается запустить бридж в Amazon EC2.

1. Где то здесь писали, что в проекте ТОР стоит проблема наличия выходных нод. Думаю, проблем с бриджами нет, вследствие легкости их запуска?
2. Почему там же не предлагается запустить выходную TOR-ноду? Или скопление тор-нод на амазоне превратит его в глобального наблюдателя?

Поднимая Tor ноду вы занимаетесь укрывательством преступников

лично я скрываюсь от модераторов pgpru..))
— unknown (30/04/2013 11:41, исправлен 30/04/2013 11:41)   

Амазон толерантен к бриджам. У них и трафик небольшой, и проблемы с исходящими данными в открытую сеть отсутствуют. Экситы он может сам заблокировать.

— SATtva (30/04/2013 11:59)   
лично я скрываюсь от модераторов pgpru..))

Мы Вас не разыскиваем.
Гость (30/04/2013 13:02)   
запустить бридж в Amazon EC2 не бесплатно. пусть и небольшие деньги, но кредитку, данные будь добр предоставить.. можно левым путем, но требуется время. поэтому то это не активно продвигается.
Гость (30/04/2013 13:05)   
Экситы он может сам заблокировать.

Наверное, ноды вообще не рекомендуется запускать на VDS?

Мы Вас не разыскиваем.

Ну может вы собираете статистику или злоупотребляететроллите[link8] =))
Не обижайтесь, вы даже должны приветствовать атмосферу всеобщего недоверия..))
Гость (01/05/2013 02:37)   

Статистика не нужна. А если вы будете продолжать настаивать на том, что вас разыскивают, придётся вас доставить в подвалы Лубянки вне очереди[link9].
— SATtva (04/05/2013 10:07)   

Даже не собирался. :)
Гость (04/05/2013 13:58)   
не рекомендуется запускать на VDS?
почему?
Гость (04/05/2013 14:00)   
в подвалы Лубянки вне очереди.
старый проект, теперь и интерактивный?
Гость (04/05/2013 19:21)   
не рекомендуется запускать на VDS?
почему?

Не то, чтоб не рекомендуется, а скорее не самый лучший способ (а других часто вообще нет). Админ легко может получить полный доступ к виртуальной ОС и её содержимому, ключам ноды и т.д. Считается, что получение доступа к dedicated server будет для администратора хостинга посоложнее + можно воспользоваться уловками с привязкой к железу и обфускацией кода. Ничто не идеально, но затраты админов в последнем случае вырастут.
— unknown (04/05/2013 21:31)   
Virtual Private Server (VPS), Virtual Dedicated Server (VDS) — желательно просто DS, не virtual.
Гость (09/08/2014 04:29)   
Держу exit-ноды, отбиваю абузы, наткнулся на такой баг в Tor:
В torrc прописано ExitPolicy reject 217.112.34.0/23:*, но Tor это игнорирует, нужно дублировать в iptables чтобы точно работало:
# iptables -L -v -n
Chain INPUT (policy ACCEPT 3883M packets, 3084G bytes)
 pkts bytes target     prot opt in     out     source     destination
 
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source     destination
 
Chain OUTPUT (policy ACCEPT 4111M packets, 3158G bytes)
 pkts bytes target     prot opt in     out     source     destination
  265 19532 DROP       all  --  *      *       0.0.0.0/0  XXX.XXX.XX.0/23
Почему так?
Гость (04/09/2014 21:34)   
К стати теперь на сайте тора лежат

Vidalia Bridge Bundle
Vidalia Relay Bundle
Vidalia Exit Bundle

то есть мост, релей и исходящая нода. Так как в линуксе нет таких сборок – отредактил файл торрк как Relay Bundle – за это в росии никто плохого не скажет, ибо нода промежуточная, а пользу сети приношу.
— unknown (04/09/2014 22:09)   
В Linux надёжнее поставить системный Tor[link10]. Если статья вас пугает, то настраивать себе прозрачную торификацию и работу торбраузера через системный тор необязательно. Можно только поставить системный тор и настроить как релей, а TBB использовать с опциями по умолчанию.
Гость (04/09/2014 23:57)   
конфигурационный файл торрк претерпел изменения, скажите чтоб не искать что там именно добавили – что то с флешем, какое то fte proxy

## fteproxy configuration
ClientTransportPlugin fte exec ./Tor/PluggableTransports/fteproxy.bin --managed

## obfsproxy configuration
ClientTransportPlugin obfs2,obfs3 exec ./Tor/PluggableTransports/obfsproxy.bin managed
## flash proxy configuration
#
# Change the second number here (9000) to the number of a port that can
# receive connections from the Internet (the port for which you
# configured port forwarding).
ClientTransportPlugin flashproxy exec ./Tor/PluggableTransports/flashproxy-client --register :0 :9000
Гость (05/09/2014 00:05)   


@unknown, не всегда.

Смотри[link11] там второй пункт, после Debian, Убунту:


И с Raspbian какие-то косяки.
— SATtva (05/09/2014 20:07)   

Там речь о том, что не надо ставить Tor из системного репозитория (по причине медленных обновлений), а не о том, чтобы не использовать Tor в виде системного демона.
— unknown (05/09/2014 21:11)   
Вот именно. Иначе говоря, если вы ставите системный Tor не из официальных сборок торпроджекта[link12] с пакетом под ваш дистрибутив, а из сборок мантейнеров своего дистрибутива или ещё из какого места, то это ваши убунтопроблемы.
Гость (06/09/2014 00:09)   

что мешает:
$ sudo apt-get install vidalia

В Видалии ставьте хоть релей хоть бридж.
Гость (08/09/2014 01:36)   
Но для Debian, как там пишут, можно ставить конвенционально. Типа security-патчи бэкпортят или как их там... В случае Tor'а новая уязвимость = выпуск новой версии, впрочем.
— unknown (08/09/2014 20:29)   
Tor плохо бэкпортят, несмотря на то, что он на Debian изначально и разрабатывается и один из разработчиков входит в команду мэнтейнеров Debian. Только в самых критических случаях перевыпускают пакет с новой версией. Так что лучше и для Debian в /etc/apt/sources.list прописать репозиторий торпроджекта.
Гость (13/09/2014 02:42)   


что мешает:
$ sudo apt-get install vidalia

В Видалии ставьте хоть релей хоть бридж.

Насколько помню, видалиа не развивается.
Гость (13/09/2014 03:52)   

А чего там должно развиваться? Это ж GUI. Не нравится Видалиа, ставьте Arm.
А вообще посмотрите страницу загрузки для Вин. Там только Видалиа.
Гость (13/09/2014 03:58)   
Из сборок тор бундле убрали видалию начисто, ее предлагалось отдельно скачать.
Гость (13/09/2014 09:21)   
Отделяйте мухи от котлет..
Там все bundle. Tor Browser Bundle (TBB), правда последнее время просто ТВ, и Vidalia Bridge Bundle, Vidalia Relay Bundle, Vidalia Exit Bundle, Expert Bundle. Вы то о чем говорите? Что хотите добиться-то?
Гость (13/09/2014 09:53)   

А что значит отдельно скачать? Отдельно то ее нет. Ну хорошо, пусть когда нибудь появится видалия отдельно, как ее потом установить?
Гость (13/09/2014 12:15)   
Я имею в виду то, что сейчас под юниксом сборка Tor Browser Bundle идет без видалии, ранее в каком то из релизов ее предлагали скачать отдельно такой же сборкой. А некоторый геморрой в том, что пришлось вручную править файл торрк, читать мануалы по изменению содержимого файла торрк дабы сделать его релеем, но не выходным. К вопросу "что я хочу" – скачал последнюю версию на сегодняшнее число, и заметил что содержимое файла торрк поменялось, а именно добавилось содержимое -



Вопросы -
1) что за новые строки с флеш- прокси конфигурацией?
2) Как обывателю на юниксе настраивать релей промежуточный, учитывая что сборок Tor Browser Bundle под юникс нет, и шевелить придеться мозгами, а не в ГУИ видалия, которую теперь убрали.
— unknown (13/09/2014 12:45, исправлен 13/09/2014 12:56)   

Вот и выросло поколение пользователей типа юниксов…


Поставьте системный Tor (не из Bundle, а из пакета, и лучше не из своего дистра, а из репозитория торпроджекта) и поправьте в его конфиге пару строчек, не читайте, что сейчас осталось здесь[link13], а смотрите здесь[link14], хотя в попытке угодить чайникоподобным юзерам у торпроджекта на главных страницах вся документация теперь отвратительная. Читайте маны.


В простейшем случае в /etc/tor/torrc нужно будет выбрать опции ORPort, DirPort (хотя это с какого-то момента обещают убрать — статистика и соединения будут идти по одному порту), ExitPolicy reject *:*. Наверное, придёться задать RelayBandwithRate и RelayBandwithBurst, ну и про остальные опции в разделе конфига "Relays" хорошо бы почитать в мане, чтобы подумать над их выбором.



Это не для обычных промежуточных релеев, а для бриджей или их клиентов.

Гость (16/09/2014 02:10)   

Оно очень приятно лезть руками в логику работы дистра. Первый же вопрос — как он будет проверять ключи? Откуда они возьмутся? Как проверить валидность устанавливаемых ключей для нового репа? А как это соотнести с правильной проверкой подписей[link15]? Я вроде не новичок, но поглядел на их инструкцию, и мне стало тоскливо, а что про других говорить?
— unknown (16/09/2014 13:24, исправлен 18/09/2014 23:12)   

Правильная проверка подписей из схемы по приведённому вами коменту нужна для TBB, который не ставится из пакета. При установе пакетов всё автоматизировано так, что многие, к сожалению, не знают всей логики того, что происходит под капотом. Единственное, где там можно проколоться — внести фальшивый GnuPG-ключ в пакетный менеджер.



Там минимум вмешательства: добавка ключа стороннего репозитория и прописывание его в конфиге. Это штатная опция.



Все пакеты дистра заверены его подписью. Пакет без подписи поставить невозможно. В том числе пакет с кейрингом всех мантейнеров Debian. Если поставить этот пакет из дистра, то вы будете иметь подпись мантейнера, которого зовут Peter Palfrader. Он в топроджекте отвечает за упаковку пакетов для Debian. Но вам его ключ сам по себе не нужен. Вам нужен ключ торпроджекта:


gpg --keyserver keys.gnupg.net --search-keys 0xA3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89


gpg --keyserver keys.gnupg.net --recv-keys 0xA3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89


Но этому отпечатку, который вы видите на форуме, доверять нельзя. Нельзя просто так скопировать его с форума, может его подменило АНБ.


Скачанный ключ надо проверить:


gpg --list-sigs 0xA3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89


По идее, там должна быть подпись Питера из кейринга мэнтейнеров Debian. Но у меня в системе это работало только на момент первоначальной установки. Сейчас такая проверка не срабатывает. Придётся обновить ключ Питера с сервера. Из известных и доверяемых по множеству источников ключей я вижу, что ключ deb.keyrings.org заверен подписями Питера, Роджера и Эндрю Льюмана.


Т.е. доверие от вашего рабочего дистра автоматически протягивается к ключам всех разработчиков Tor вообще — они взаимоподписаны. Можно ещё упомянуть, что сам дистр Debian вы можете скачивать с серверов, подконтрольных потенциальному противнику (АНБ). Вы ведь также проверяете его по подписи и умеете это делать. А иначе, зачем вам крипто, Tor и всё сопутствующее?


Только после того, как вы сами проверили и поняли все взаимоотношения ключей (а не тупо скопировали отпечатки с форума), только тогда вы можете помещать ключ торпроджекта в свой пакетный менеджер:


gpg --export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | sudo apt-key add -


Затем можете прописать репозиторий топроджекта в конфиг /etc/apt/sources.list


Туда надо прописать:


Затем, через sudo или рута:
apt-get update
apt-get upgrade
apt-get install tor tor-geoipdb deb.torproject.org-keyring



Представил как я поглядел на инструкцию, на вроде не новичка и мне стало тоскливо :( Неновичок хочет поставить Tor-ноду, при этом не хочет разбираться в азах работы с GnuPG и со своим дистром, которые касаются его безопасности и безопасности пользователей, которые будет обслуживать его Tor-узел.


Радует только man из команды tor-gencert, предназначенной для запуска корневых директорий:


BUGS
This probably doesn’t run on Windows. That’s not a big issue, since we don’t really want authorities to be running on Windows anyway

Разработчики позаботились хотя бы о том, чтобы корневые директории нельзя было запустить на Windows и из стандартных гуёв, типа Видалии. Может, было бы лучше не доверять никаким операторам узлов, неспособным сконфигурировать Tor? Или разработчики считают, что лучше небезопасный, кем и как попало запущенный Tor-узел, ведь заведомо злоумышленный Tor-узел всё равно будет сконфигурирован правильно? Также, ещё раз возникает вопрос, что не нужно привлекать специально операторов узлов, у которы нет своей мотивации, например деньгами и пожертвованиями через Bitcoin. Иначе, толпа таких «не совсем новичков» массово понаставит что-угодно и как-попало, лишь бы побыстрее получить вознаграждение, наплевав на безопасность своих Tor-узлов.

Гость (17/09/2014 03:31)   
Спасибо за подробный разбор.


Я так понял, что она нужна для всего критичного софта. Если его подписало n уполномоченных человек, членов проекта, нужно сверить подписи их всех. Подписи в Debian, как я понимаю, иные: там есть один ключ, им подписывается конкретный пакет. Или apt-get поддерживает в т.ч. и сверку нескольких подписей на пакете?


DA — вообще не массовые решения. Их всего штук 10, все друг друга знают лично, могут договориться запускать их на чём угодно.
— unknown (17/09/2014 11:37, исправлен 17/09/2014 11:41)   

Там один ключ на все пакеты. Все мэнтейнеры имеют свои индивидуальные ключи и возможно даже подписывают апдейты своими ключами, но наружу это не попадает. Скорее всего, через внутренние коммуникации между ними принимается решение о доверии к апдейту, включаемому в апт, а снаружи можно проверить только подпись этим единственным ключом.


Более того, безопасность самого ключа, заверяющего дистры в пакете — это какое-то совсем непонятное obscurity. Кто его генерит, в каком подвале он храниться, как его используют для оперативной подписи большого числа срочных апдейтов, можно ли его стащить с сервера, можно ли им подписать какой-то левак, проникнув в команду разрабов. А Debian — это тысячи пакетов, у каждого м.б. по несколько разработчиков, лично они друг друга не знают. Ключ этот никем не подписан. Доверие к нему тянется только через кейринги от предыдущих выпусков дистров. Бардак и непонятки с выпуском самого этого нового ключа также бывали (наподобие, ключ выпущен, а в кейринг включить забыли, пару человек в рассылке спрашивает, а можно ли скачивать новый Debian, подписанный непонятно чем — впрочем это касается не подписи пакетов в текущем apt, а другого ключа — ключа дистра, это разные ключи, для Live-версии ещё какой-то отдельный ключ, толком их взаимоотношения нигде не расписано и возможно, только малая часть параноиков в мире разгребает этот бардак с подписями). Радует только то, что Debian раз в несколько лет приходиться обновлять — проверил один раз ключи, поставил, настроил и забыл на несколько лет, как оно там. Это касается и установки системного Tor: до выпуска нового релиза Debian ключ обычно не меняется, а если будет баг, как недавно в начале сентября, когда у Питера истёк ключ и он его неверно в начале продлил, то такой баг быстро приводит к ошибкам в apt, баг-репортам и исправлению кейринга через апдейт посредством самого apt.


С другой стороны, если кто-то может скомпрометировать архитектуру безопасности апдейтов Debian через утечку ключа, то тогда любой пользователь Debian может уже поверх этого особенно себе безопасность не накручивать.

Гость (18/12/2014 02:00)   
Кто-нибудь дайте простой рецепт как сегодня с меньшим гимороем запустить relay! Интересует как и в последней сборке под винды (без vidalia) так и под nix и Tails.
Гость (20/12/2014 04:55)   
Кто-то стуканул профессору Янгу, и он выложил на cryptome.org разоблачение, оказывается Сноуден тут не балду пинает, и не по шлюхам ходит, а поднимает выходную ноду в 1000 mbps, что есть 1 гигабит. Название с изюминкой "The Signal".

Прямая ссылка http://cryptome.org/2014/12/snowden-on-tor.htm

Цитата
Hi guys,

I've been running a kind-of 1gbps (voxility style 1gbps) exit server on
Debian for a couple months, and while it started out very fast, it's
gotten much slower over time. The server itself hasn't slowed down —
if I do speed tests, it still pulls 25MB/s (bytes not bits) with no
problem (on top of the tor load), but it never seems to push more than
10-12MB/s through the tor network, even if I run 6 tor processes with
each separated onto a private cpu core. Even if I stop the other tor
processes and revert to a single-tor-instance server, it doesn't reach
the old 20 MB/s anymore.



@Гость (18/12/2014 02:00) <#>
Кто-нибудь дайте простой рецепт как сегодня с меньшим гимороем запустить relay! Интересует как и в последней сборке под винды (без vidalia) так и под nix и Tails.


Почитай этот тред: https://lists.torproject.org/p.....2-August/025296.html[link16]
Тут он выложил прямо свои конфиги.




Also, please dummy-check my configs (just the main instance):

*torrc:*

Nickname 00Teh0Signul00
ContactInfo Administrator <yopackets BT lavabit dot com>

ORPort 10001
DirPort 10030
SocksPort 10050

RunAsDaemon 1
DisableDebuggerAttachment 0

BandwidthBurst 125 MB
BandwidthRate 80 MB

RelayBandwidthRate 80 MB
RelayBandwidthBurst 125 MB

MyFamily $F7360D25BF58BD1CD4E10199619B585A59CB5912,
$374FF6496AB55D44208E6718110736FB88B339F6,
$B3AFCD13E7683757083FAACD6B579B7D35DBD220,
$8937E37AE18C4FEA062915D9CE3C4E3A55499966,
$26F728EF33D03C054B9417FAE92C809DCDEF5ED4

ExitPolicy accept *:10000
ExitPolicy reject 0.0.0.0/8:*
ExitPolicy reject 169.254.0.0/16:*
ExitPolicy reject 10.0.0.0/8:*
ExitPolicy reject 172.16.0.0/12:*

ExitPolicy accept *:20
ExitPolicy accept *:21
ExitPolicy accept *:22
ExitPolicy accept *:23
ExitPolicy accept *:53
ExitPolicy accept *:69
ExitPolicy accept *:80
ExitPolicy accept *:443
ExitPolicy accept *:465
ExitPolicy accept *:563
ExitPolicy accept *:587
ExitPolicy accept *:992-995
ExitPolicy accept *:1863
ExitPolicy accept *:5190
ExitPolicy accept *:5500
ExitPolicy accept *:5800
ExitPolicy accept *:5900
ExitPolicy accept *:6660-6669
ExitPolicy accept *:6891-6901
ExitPolicy accept *:10001
ExitPolicy accept *:9001
ExitPolicy accept *:9090

ExitPolicy reject *:*


*sysctl* (straight c&p [minus the nf_conntrack entries] from Moritz'
excellent guide. nf_conntrack is not currently used on my server):

net.core.rmem_max = 33554432
net.core.wmem_max = 33554432
net.ipv4.tcp_rmem = 4096 87380 33554432
net.ipv4.tcp_wmem = 4096 65536 33554432
net.core.rmem_default = 524287
net.core.wmem_default = 524287
net.core.optmem_max = 524287
net.core.netdev_max_backlog = 300000
net.ipv4.tcp_mem = 33554432 33554432 33554432
net.ipv4.tcp_max_orphans = 30000
net.ipv4.tcp_max_syn_backlog = 300000
net.ipv4.tcp_fin_timeout = 4
vm.min_free_kbytes = 65536

net.ipv4.tcp_keepalive_time = 60
net.ipv4.tcp_keepalive_intvl = 10
net.ipv4.tcp_keepalive_probes = 3
net.ipv4.ip_local_port_range = 1025 65530
net.core.somaxconn = 30720
net.ipv4.tcp_max_tw_buckets = 2000000
net.ipv4.tcp_timestamps = 0


*ifconfig -a:*

eth0 Link encap:Ethernet HWaddr e8:39:35:4d:d6:53
inet addr:93.114.43.156 Bcast:93.114.43.191 Mask:255.255.255.192
inet6 addr: fe80::ea39:35ff:fe4d:d653/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:5605736 errors:0 dropped:0 overruns:0 frame:0
TX packets:5380620 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:20000
RX bytes:4696777991 (4.3 GiB) TX bytes:4190572765 (3.9 GiB)
Interrupt:20 Memory:fe400000-fe420000

eth0:1 Link encap:Ethernet HWaddr e8:39:35:4d:d6:53
inet addr:93.114.40.194 Bcast:93.114.40.255 Mask:255.255.255.192
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:20 Memory:fe400000-fe420000

eth0:2 Link encap:Ethernet HWaddr e8:39:35:4d:d6:53
inet addr:93.114.43.233 Bcast:93.114.43.255 Mask:255.255.255.192
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:20 Memory:fe400000-fe420000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:2294 errors:0 dropped:0 overruns:0 frame:0
TX packets:2294 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:4315831 (4.1 MiB) TX bytes:4315831 (4.1 MiB)


*resolv.conf:*

nameserver 184.169.143.224
nameserver 79.172.201.120
nameserver 84.22.106.2
nameserver 8.8.8.8
nameserver 4.2.2.2
nameserver 209.244.0.3
nameserver 8.26.56.26
nameserver 198.153.192.1


Thanks again!


Это был тёплый август, четверг: Thu Aug 23 00:16:54 UTC 2012

Врядли у тебя 1gbps, так что такая *nix настройка для твоей машины вероятно будет валидной, где-то дальше там продолжение должно быть, Роджер или кто-нибудь расскажут, как правильно.
— unknown (20/12/2014 15:56)   
Ага[link17]. Только не тут, а ещё там.
Гость (23/02/2015 22:02)   
Вопрос следующий. Если прийти в офис к провайдеру (всё официально, вплоть до бумажного оформления или заключения не типового договора, а индивидуально составленного с помощью юриста) и сказать, так и так, подключаюсь к вам, такой-то такой-то законопослушный гражданин. Целью подключения является борьба с цензурой, предоставление приватности и предоставление выходной ноды Tor для пользователей. Этим шагом, возможно, снимается ответственность с абонента за возможную вредоносную активность с этой ноды. Утопия в наших широтах, но засветиться попробовать можно, наверное, пока не ввели ответственность за юзанье анонимайзэров.
Гость (23/02/2015 23:15)   

Да тебе выпишут мандат-индульгенцию.
Гость (24/02/2015 01:38)   

Пусть выписывают. Для начала можно разослать на почту крупных провайдеров запросы и посмотреть, каков будет ответ. И светиться не придётся.

Если с какого-то адреса, принадлежащего провайдеру "Телеком", проводится атака, то провайдер не несет за это ответсвенности, отвечает абонент. По этой логике, абонент не несет ответственности за противоправные действия третьих лиц. Одновременно с этим можно повесить на адрес заглушку, что все противоправные действия запрещены, владелец ноды ответственности не несет и т. д.

У себя поднимать экзит я не буду, по крайней мере в этой стране в обозримом будущем, а вот разослать письма попробую, отписки результаты запросов опубликую в этой теме.
Гость (24/02/2015 20:01)   

Еще во времена ссср евреи умные люди знали, что с нашим государством играть в такие игры нельзя (как впрочем и со многими другими) лучше оставаться в подполье, так безопаснее
— unknown (24/02/2015 20:29)   
Будет примерно как с "Баярд-Славия Коммуникейшнс"[link18]. Не по сути дела, а по форме тяжбы. Ну попробуйте, если интересно.
Гость (26/02/2015 00:52)   

На данном сайте ссылка на интересную статью[link19] Статья любопытна еще тем, что данные вопросы поднимались почти 15 лет назад )
— unknown (26/02/2015 09:46)   

А материалы того сайта с тех пор вроде и не обновлялись )
Гость (26/02/2015 11:23)   
Уважаемые, вы зря развели полемику, или может я ошибаюсь?



https://cloud.torproject.org/

Типа все упирается в то, что в инете полно провайдеров, которые
готовы сдать тебе в аренду так называемый выделенный сервер. На него ты можеш
накотить нужную тебе винду-линуксу, а на нее ТОР, либо вообше запустить ТОР
с RAM диска (TOR RAM DISK). Ну и гоняй с этого сервака, палево исключено,
главное безпалевно анонимно приобрести такой сервак, а вот это уже сложнее.

Есть у кого идее как анонимно приобрести дидекейтный выделенный сервак?
Гость (26/02/2015 12:00, исправлен 26/02/2015 12:26)   
не рекомендуется запускать на VDS?
почему?

Не то, чтоб не рекомендуется, а скорее не самый лучший способ (а других часто вообще нет). Админ легко может получить полный доступ к виртуальной ОС и её содержимому, ключам ноды и т.д. Считается, что получение доступа к dedicated server будет для администратора хостинга посоложнее + можно воспользоваться уловками с привязкой к железу и обфускацией кода. Ничто не идеально, но затраты админов в последнем случае вырастут.


Типа все упирается в то, что в инете полно провайдеров, которые
готовы сдать тебе в аренду так называемый выделенный сервер. На него ты можеш
накотить нужную тебе винду-линуксу, а на нее ТОР, либо вообше запустить ТОР
с RAM диска (TOR RAM DISK). Ну и гоняй с этого сервака, палево исключено,
главное безпалевно анонимно приобрести такой сервак, а вот это уже сложнее.
Есть у кого идее как анонимно приобрести дидекейтный выделенный сервак?

Да, выделенный дедикейтный сервак это решение всех проблем. Ты ведь можеш воротить на нем чехочеш,
вплоть до шифрования всей опирационки. Так что если сервак и вскроют, то врятли получат доступ к самой операционке
и ее содержимому. Зашифровать весь диск, еще лудше.


вот полюбуйтесь, за 40 баксов все че захочеш https://www.1and1.com/dedicated-server

— unknown (26/02/2015 12:28)   
Многие (большинство) хостеров легко выключают tor-экситы (тема то про них, а не про бриджи) и расторгают контракт с пользователем. Также как и торрентокачалки и пр.
Гость (26/02/2015 12:54)   

Ну не так все плохо, иначе бы не было предложений vpn для торрентокачания.
Гость (26/02/2015 13:40)   
Ну не так все плохо, иначе бы не было предложений vpn для торрентокачания.


Тоесть предлагаете повесить выходную ноду через vpn который для торрентов?
Чтобы выходной трафик с ноды заварачивался в этот ВПН а с ниго уже выходил в интернет?
— unknown (26/02/2015 13:46, исправлен 26/02/2015 13:46)   

И входной.
В рассылке где-то было, что некоторые тор-узлы настроены на работу с трафиком через VPN.

Гость (26/02/2015 14:06)   
И входной.
В рассылке где-то было, что некоторые тор-узлы настроены на работу с трафиком через VPN.


А ну так это можно, можно даже простой бридж пустить через ВПН

Типа ты запускаеш ТОР которому указываеш конектица не напрямую а через VPN
шобы он туда сюда через ВПН гонял

А чем выходная отличается от бриджа? тотже тор, значит указываем сначало приконектица к vpn
Гость (26/02/2015 16:58)   

Отсюда тебя тоже[link20] надо вайпнуть?
Гость (27/02/2015 09:04)   
На сайте проекта тора говорится что можно пускать трафик тора по разным схемам через впн.
Но при этом говорится что такя схема пускания трафика через впн сильно снижает и без того низкую скорость работы тора.
— Rulan46rth (24/04/2018 11:38, исправлен 24/04/2018 11:44)   

Связи с различными блокировками сейчас это как никогда актуально выкладываю свой фаил конфигурации torrc для выходной ноды тестировал на Debian работает как часы фактическую работоспособность любой ноды можно посмотреть на сайте Tor Network Status https://torstatus.blutmagie.de/



Ссылки
[link1] http://www.pgpru.com/comment61212

[link2] http://www.pgpru.com/forum/anonimnostjvinternet/propusknajasposobnostjtornody

[link3] http://www.pgpru.com/comment36632

[link4] http://www.pgpru.com/forum/anonimnostjvinternet/zapuskatjilinetexitnodevrossii

[link5] http://www.pgpru.com/forum/anonimnostjvinternet/zapuskinastrojjkatoruzlov

[link6] https://www.torservers.net/partners.html

[link7] http://www.pgpru.com/comment57497

[link8] https://www.pgpru.com/comment63814

[link9] http://www.pgpru.com/comment26771

[link10] http://www.pgpru.com/biblioteka/rukovodstva/setevajaanonimnostj/prodvinutoeispoljzovanietorvunix/razdeljnoeispoljzovanietorbrowserssistemnymtoriprozrachnajatorifikacija

[link11] https://www.torproject.org/docs/debian.html.en

[link12] http://deb.torproject.org/torproject.org/

[link13] https://www.torproject.org/docs/tor-doc-relay.html.en

[link14] https://www.torproject.org/docs/tor-relay-debian.html.en

[link15] http://www.pgpru.com/comment77662

[link16] https://lists.torproject.org/pipermail/tor-talk/2012-August/025296.html

[link17] http://www.pgpru.com/comment85099

[link18] http://www.libertarium.ru/sorm_bsc

[link19] http://old.computerra.ru/offline/2001/393/8860/print.html

[link20] http://www.pgpru.com/comment88963