id: Гость   вход   регистрация
текущее время 14:49 15/10/2018
Автор темы: Гость, тема открыта 20/04/2013 19:37 Печать
Категории: софт, анонимность, tor, свободный софт
http://www.pgpru.com/Форум/АнонимностьВИнтернет/TorВыходнаяНодаСвоимиРуками
создать
просмотр
ссылки

Tor: выходная нода своими руками


Хотелось бы на время сна (или постоянно) становится выходной нодой для Tor-пользователей. В связи с этим появилось несколько вопросов:


1. Какие порты нужно открывать для того, чтобы можно было работать как выходная нода?
2. Достаточно ли будет разрешить только исходящие порты?
3. Нужно ли что-нибудь дополнительно настраивать для большей безопасности? Или же можно просто скачать Tor Browser Bundle и запустить его на какой-нибудь Ubuntu?


 
На страницу: 1, 2, 3, 4, 5, 6 След.
Комментарии
— Гость (08/09/2014 01:36)   <#>
Но для Debian, как там пишут, можно ставить конвенционально. Типа security-патчи бэкпортят или как их там... В случае Tor'а новая уязвимость = выпуск новой версии, впрочем.
— unknown (08/09/2014 20:29)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Tor плохо бэкпортят, несмотря на то, что он на Debian изначально и разрабатывается и один из разработчиков входит в команду мэнтейнеров Debian. Только в самых критических случаях перевыпускают пакет с новой версией. Так что лучше и для Debian в /etc/apt/sources.list прописать репозиторий торпроджекта.
— Гость (13/09/2014 02:42)   <#>


что мешает:
$ sudo apt-get install vidalia

В Видалии ставьте хоть релей хоть бридж.

Насколько помню, видалиа не развивается.
— Гость (13/09/2014 03:52)   <#>

А чего там должно развиваться? Это ж GUI. Не нравится Видалиа, ставьте Arm.
А вообще посмотрите страницу загрузки для Вин. Там только Видалиа.
— Гость (13/09/2014 03:58)   <#>
Из сборок тор бундле убрали видалию начисто, ее предлагалось отдельно скачать.
— Гость (13/09/2014 09:21)   <#>
Отделяйте мухи от котлет..
Там все bundle. Tor Browser Bundle (TBB), правда последнее время просто ТВ, и Vidalia Bridge Bundle, Vidalia Relay Bundle, Vidalia Exit Bundle, Expert Bundle. Вы то о чем говорите? Что хотите добиться-то?
— Гость (13/09/2014 09:53)   <#>

А что значит отдельно скачать? Отдельно то ее нет. Ну хорошо, пусть когда нибудь появится видалия отдельно, как ее потом установить?
— Гость (13/09/2014 12:15)   <#>
Я имею в виду то, что сейчас под юниксом сборка Tor Browser Bundle идет без видалии, ранее в каком то из релизов ее предлагали скачать отдельно такой же сборкой. А некоторый геморрой в том, что пришлось вручную править файл торрк, читать мануалы по изменению содержимого файла торрк дабы сделать его релеем, но не выходным. К вопросу "что я хочу" – скачал последнюю версию на сегодняшнее число, и заметил что содержимое файла торрк поменялось, а именно добавилось содержимое -



Вопросы -
1) что за новые строки с флеш- прокси конфигурацией?
2) Как обывателю на юниксе настраивать релей промежуточный, учитывая что сборок Tor Browser Bundle под юникс нет, и шевелить придеться мозгами, а не в ГУИ видалия, которую теперь убрали.
— unknown (13/09/2014 12:45, исправлен 13/09/2014 12:56)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Вот и выросло поколение пользователей типа юниксов…


Поставьте системный Tor (не из Bundle, а из пакета, и лучше не из своего дистра, а из репозитория торпроджекта) и поправьте в его конфиге пару строчек, не читайте, что сейчас осталось здесь, а смотрите здесь, хотя в попытке угодить чайникоподобным юзерам у торпроджекта на главных страницах вся документация теперь отвратительная. Читайте маны.


В простейшем случае в /etc/tor/torrc нужно будет выбрать опции ORPort, DirPort (хотя это с какого-то момента обещают убрать — статистика и соединения будут идти по одному порту), ExitPolicy reject *:*. Наверное, придёться задать RelayBandwithRate и RelayBandwithBurst, ну и про остальные опции в разделе конфига "Relays" хорошо бы почитать в мане, чтобы подумать над их выбором.



Это не для обычных промежуточных релеев, а для бриджей или их клиентов.

— Гость (16/09/2014 02:10)   <#>

Оно очень приятно лезть руками в логику работы дистра. Первый же вопрос — как он будет проверять ключи? Откуда они возьмутся? Как проверить валидность устанавливаемых ключей для нового репа? А как это соотнести с правильной проверкой подписей? Я вроде не новичок, но поглядел на их инструкцию, и мне стало тоскливо, а что про других говорить?
— unknown (16/09/2014 13:24, исправлен 18/09/2014 23:12)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Правильная проверка подписей из схемы по приведённому вами коменту нужна для TBB, который не ставится из пакета. При установе пакетов всё автоматизировано так, что многие, к сожалению, не знают всей логики того, что происходит под капотом. Единственное, где там можно проколоться — внести фальшивый GnuPG-ключ в пакетный менеджер.



Там минимум вмешательства: добавка ключа стороннего репозитория и прописывание его в конфиге. Это штатная опция.



Все пакеты дистра заверены его подписью. Пакет без подписи поставить невозможно. В том числе пакет с кейрингом всех мантейнеров Debian. Если поставить этот пакет из дистра, то вы будете иметь подпись мантейнера, которого зовут Peter Palfrader. Он в топроджекте отвечает за упаковку пакетов для Debian. Но вам его ключ сам по себе не нужен. Вам нужен ключ торпроджекта:


gpg --keyserver keys.gnupg.net --search-keys 0xA3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89


gpg --keyserver keys.gnupg.net --recv-keys 0xA3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89


Но этому отпечатку, который вы видите на форуме, доверять нельзя. Нельзя просто так скопировать его с форума, может его подменило АНБ.


Скачанный ключ надо проверить:


gpg --list-sigs 0xA3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89


По идее, там должна быть подпись Питера из кейринга мэнтейнеров Debian. Но у меня в системе это работало только на момент первоначальной установки. Сейчас такая проверка не срабатывает. Придётся обновить ключ Питера с сервера. Из известных и доверяемых по множеству источников ключей я вижу, что ключ deb.keyrings.org заверен подписями Питера, Роджера и Эндрю Льюмана.


Т.е. доверие от вашего рабочего дистра автоматически протягивается к ключам всех разработчиков Tor вообще — они взаимоподписаны. Можно ещё упомянуть, что сам дистр Debian вы можете скачивать с серверов, подконтрольных потенциальному противнику (АНБ). Вы ведь также проверяете его по подписи и умеете это делать. А иначе, зачем вам крипто, Tor и всё сопутствующее?


Только после того, как вы сами проверили и поняли все взаимоотношения ключей (а не тупо скопировали отпечатки с форума), только тогда вы можете помещать ключ торпроджекта в свой пакетный менеджер:


gpg --export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | sudo apt-key add -


Затем можете прописать репозиторий топроджекта в конфиг /etc/apt/sources.list


Туда надо прописать:


Затем, через sudo или рута:
apt-get update
apt-get upgrade
apt-get install tor tor-geoipdb deb.torproject.org-keyring



Представил как я поглядел на инструкцию, на вроде не новичка и мне стало тоскливо :( Неновичок хочет поставить Tor-ноду, при этом не хочет разбираться в азах работы с GnuPG и со своим дистром, которые касаются его безопасности и безопасности пользователей, которые будет обслуживать его Tor-узел.


Радует только man из команды tor-gencert, предназначенной для запуска корневых директорий:


BUGS
This probably doesn’t run on Windows. That’s not a big issue, since we don’t really want authorities to be running on Windows anyway

Разработчики позаботились хотя бы о том, чтобы корневые директории нельзя было запустить на Windows и из стандартных гуёв, типа Видалии. Может, было бы лучше не доверять никаким операторам узлов, неспособным сконфигурировать Tor? Или разработчики считают, что лучше небезопасный, кем и как попало запущенный Tor-узел, ведь заведомо злоумышленный Tor-узел всё равно будет сконфигурирован правильно? Также, ещё раз возникает вопрос, что не нужно привлекать специально операторов узлов, у которы нет своей мотивации, например деньгами и пожертвованиями через Bitcoin. Иначе, толпа таких «не совсем новичков» массово понаставит что-угодно и как-попало, лишь бы побыстрее получить вознаграждение, наплевав на безопасность своих Tor-узлов.

— Гость (17/09/2014 03:31)   <#>
Спасибо за подробный разбор.


Я так понял, что она нужна для всего критичного софта. Если его подписало n уполномоченных человек, членов проекта, нужно сверить подписи их всех. Подписи в Debian, как я понимаю, иные: там есть один ключ, им подписывается конкретный пакет. Или apt-get поддерживает в т.ч. и сверку нескольких подписей на пакете?


DA — вообще не массовые решения. Их всего штук 10, все друг друга знают лично, могут договориться запускать их на чём угодно.
— unknown (17/09/2014 11:37, исправлен 17/09/2014 11:41)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Там один ключ на все пакеты. Все мэнтейнеры имеют свои индивидуальные ключи и возможно даже подписывают апдейты своими ключами, но наружу это не попадает. Скорее всего, через внутренние коммуникации между ними принимается решение о доверии к апдейту, включаемому в апт, а снаружи можно проверить только подпись этим единственным ключом.


Более того, безопасность самого ключа, заверяющего дистры в пакете — это какое-то совсем непонятное obscurity. Кто его генерит, в каком подвале он храниться, как его используют для оперативной подписи большого числа срочных апдейтов, можно ли его стащить с сервера, можно ли им подписать какой-то левак, проникнув в команду разрабов. А Debian — это тысячи пакетов, у каждого м.б. по несколько разработчиков, лично они друг друга не знают. Ключ этот никем не подписан. Доверие к нему тянется только через кейринги от предыдущих выпусков дистров. Бардак и непонятки с выпуском самого этого нового ключа также бывали (наподобие, ключ выпущен, а в кейринг включить забыли, пару человек в рассылке спрашивает, а можно ли скачивать новый Debian, подписанный непонятно чем — впрочем это касается не подписи пакетов в текущем apt, а другого ключа — ключа дистра, это разные ключи, для Live-версии ещё какой-то отдельный ключ, толком их взаимоотношения нигде не расписано и возможно, только малая часть параноиков в мире разгребает этот бардак с подписями). Радует только то, что Debian раз в несколько лет приходиться обновлять — проверил один раз ключи, поставил, настроил и забыл на несколько лет, как оно там. Это касается и установки системного Tor: до выпуска нового релиза Debian ключ обычно не меняется, а если будет баг, как недавно в начале сентября, когда у Питера истёк ключ и он его неверно в начале продлил, то такой баг быстро приводит к ошибкам в apt, баг-репортам и исправлению кейринга через апдейт посредством самого apt.


С другой стороны, если кто-то может скомпрометировать архитектуру безопасности апдейтов Debian через утечку ключа, то тогда любой пользователь Debian может уже поверх этого особенно себе безопасность не накручивать.

— Гость (18/12/2014 02:00)   <#>
Кто-нибудь дайте простой рецепт как сегодня с меньшим гимороем запустить relay! Интересует как и в последней сборке под винды (без vidalia) так и под nix и Tails.
— Гость (20/12/2014 04:55)   <#>
Кто-то стуканул профессору Янгу, и он выложил на cryptome.org разоблачение, оказывается Сноуден тут не балду пинает, и не по шлюхам ходит, а поднимает выходную ноду в 1000 mbps, что есть 1 гигабит. Название с изюминкой "The Signal".

Прямая ссылка http://cryptome.org/2014/12/snowden-on-tor.htm

Цитата
Hi guys,

I've been running a kind-of 1gbps (voxility style 1gbps) exit server on
Debian for a couple months, and while it started out very fast, it's
gotten much slower over time. The server itself hasn't slowed down —
if I do speed tests, it still pulls 25MB/s (bytes not bits) with no
problem (on top of the tor load), but it never seems to push more than
10-12MB/s through the tor network, even if I run 6 tor processes with
each separated onto a private cpu core. Even if I stop the other tor
processes and revert to a single-tor-instance server, it doesn't reach
the old 20 MB/s anymore.



@Гость (18/12/2014 02:00) <#>
Кто-нибудь дайте простой рецепт как сегодня с меньшим гимороем запустить relay! Интересует как и в последней сборке под винды (без vidalia) так и под nix и Tails.


Почитай этот тред: https://lists.torproject.org/p.....2-August/025296.html
Тут он выложил прямо свои конфиги.




Also, please dummy-check my configs (just the main instance):

*torrc:*

Nickname 00Teh0Signul00
ContactInfo Administrator <yopackets BT lavabit dot com>

ORPort 10001
DirPort 10030
SocksPort 10050

RunAsDaemon 1
DisableDebuggerAttachment 0

BandwidthBurst 125 MB
BandwidthRate 80 MB

RelayBandwidthRate 80 MB
RelayBandwidthBurst 125 MB

MyFamily $F7360D25BF58BD1CD4E10199619B585A59CB5912,
$374FF6496AB55D44208E6718110736FB88B339F6,
$B3AFCD13E7683757083FAACD6B579B7D35DBD220,
$8937E37AE18C4FEA062915D9CE3C4E3A55499966,
$26F728EF33D03C054B9417FAE92C809DCDEF5ED4

ExitPolicy accept *:10000
ExitPolicy reject 0.0.0.0/8:*
ExitPolicy reject 169.254.0.0/16:*
ExitPolicy reject 10.0.0.0/8:*
ExitPolicy reject 172.16.0.0/12:*

ExitPolicy accept *:20
ExitPolicy accept *:21
ExitPolicy accept *:22
ExitPolicy accept *:23
ExitPolicy accept *:53
ExitPolicy accept *:69
ExitPolicy accept *:80
ExitPolicy accept *:443
ExitPolicy accept *:465
ExitPolicy accept *:563
ExitPolicy accept *:587
ExitPolicy accept *:992-995
ExitPolicy accept *:1863
ExitPolicy accept *:5190
ExitPolicy accept *:5500
ExitPolicy accept *:5800
ExitPolicy accept *:5900
ExitPolicy accept *:6660-6669
ExitPolicy accept *:6891-6901
ExitPolicy accept *:10001
ExitPolicy accept *:9001
ExitPolicy accept *:9090

ExitPolicy reject *:*


*sysctl* (straight c&p [minus the nf_conntrack entries] from Moritz'
excellent guide. nf_conntrack is not currently used on my server):

net.core.rmem_max = 33554432
net.core.wmem_max = 33554432
net.ipv4.tcp_rmem = 4096 87380 33554432
net.ipv4.tcp_wmem = 4096 65536 33554432
net.core.rmem_default = 524287
net.core.wmem_default = 524287
net.core.optmem_max = 524287
net.core.netdev_max_backlog = 300000
net.ipv4.tcp_mem = 33554432 33554432 33554432
net.ipv4.tcp_max_orphans = 30000
net.ipv4.tcp_max_syn_backlog = 300000
net.ipv4.tcp_fin_timeout = 4
vm.min_free_kbytes = 65536

net.ipv4.tcp_keepalive_time = 60
net.ipv4.tcp_keepalive_intvl = 10
net.ipv4.tcp_keepalive_probes = 3
net.ipv4.ip_local_port_range = 1025 65530
net.core.somaxconn = 30720
net.ipv4.tcp_max_tw_buckets = 2000000
net.ipv4.tcp_timestamps = 0


*ifconfig -a:*

eth0 Link encap:Ethernet HWaddr e8:39:35:4d:d6:53
inet addr:93.114.43.156 Bcast:93.114.43.191 Mask:255.255.255.192
inet6 addr: fe80::ea39:35ff:fe4d:d653/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:5605736 errors:0 dropped:0 overruns:0 frame:0
TX packets:5380620 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:20000
RX bytes:4696777991 (4.3 GiB) TX bytes:4190572765 (3.9 GiB)
Interrupt:20 Memory:fe400000-fe420000

eth0:1 Link encap:Ethernet HWaddr e8:39:35:4d:d6:53
inet addr:93.114.40.194 Bcast:93.114.40.255 Mask:255.255.255.192
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:20 Memory:fe400000-fe420000

eth0:2 Link encap:Ethernet HWaddr e8:39:35:4d:d6:53
inet addr:93.114.43.233 Bcast:93.114.43.255 Mask:255.255.255.192
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:20 Memory:fe400000-fe420000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:2294 errors:0 dropped:0 overruns:0 frame:0
TX packets:2294 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:4315831 (4.1 MiB) TX bytes:4315831 (4.1 MiB)


*resolv.conf:*

nameserver 184.169.143.224
nameserver 79.172.201.120
nameserver 84.22.106.2
nameserver 8.8.8.8
nameserver 4.2.2.2
nameserver 209.244.0.3
nameserver 8.26.56.26
nameserver 198.153.192.1


Thanks again!


Это был тёплый август, четверг: Thu Aug 23 00:16:54 UTC 2012

Врядли у тебя 1gbps, так что такая *nix настройка для твоей машины вероятно будет валидной, где-то дальше там продолжение должно быть, Роджер или кто-нибудь расскажут, как правильно.
На страницу: 1, 2, 3, 4, 5, 6 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3