Запуск и настройка Tor-узлов

По умолчанию Tor-сервер слушает на 9001, зеркалирует на 9030; но если на машине не заняты порты 443 и 80, то рекомендуется использовать их. Во второй раз сконфигурировалось на порты с меньшими номерами. Разумеется они и в том, и в другом случае должны быть открыты, это же публично доступный сервер.

Вероятно в вашей первоначальной установке были порты с большими номерами и вэб-сайт их не просканил. Вы бы проверили то или другое. А то, что-то откуда-то скачали, что как-то само настроилось, а что там при этом происходит, "а фиг знает".

How to Run a Secure Tor Server читали? И это вроде уже рекомендовали.

И на всякий случай, Mike Perry недавно предупредил в рассылке, что

Hrmm. You probably shouldn't be running an exit router on your home
Internet connection, either. To my knowledge, no one has ever had
their door kicked in in the USA for running an exit router, but there
have been phone calls and visits. In other countries, people have had
all of their computing equipment seized, and in rare cases, have had
charges brought against them for copyrighted or other material found
that was completely unrelated to Tor.

It's best to keep your home connection running as middle or bridge
only, unless you are fully prepared for the risks of increased
attention to your home.

Наверняка так оно и есть сайт http://2ip.ru/ сканирует только наиболее опасные порты. А значит не все. Вероятно, порты с более высокими номерами он попросту не увидел.
Я уже около трёх лет изучаю вопросы анонимности и безопасности, но мои знания всё равно остаются поверхностными. И я по-прежнему допускаю ошибки. Сложно изучать материал самостоятельно, особенно когда не имеешь системного образования в данной области. Чего только стоит вопрос шифрования дискового пространства. За два часа изучения, я понял теорию, но пока не разобрался, как это работает. И так по каждому нюансу.
А на счёт «an exit router», наверное демократия заканчивается там, где …

А на счёт «an exit router», наверное демократия заканчивается там, где …

Его фраза оборвалась на полуслове, как неожиданно вдруг...

В Ubuntu такого нет. Все порты закрыты наглухо. Почему так и нормально ли это?

netstat -a | grep LISTENпокажет"кто что слушает".

а порты,имеющие отношения к Tor:
sockstat |grep tor

Почему же оборвалась? Где Вы увидели полуслово? Для Вас неожиданно, Вы ожидали чего-то большего? По-моему мысль закончена. Нет? Включайте логику. Она же у Вас иметься? А у меня, если Вы не заметили, есть имя? Без него, Ваше умозаключение выглядит несколько оскорбительным. Вы так не считаете? Я может и не гуру по многим вопросам, но оскорблять себя никому не позволю. Даже Вам.

Я мог не понять Вашей логики, а вы моего юмора. Ну непонятно же что-там у вас произошло в процессе рассуждений о демократии (вдруг бы посреди предложения дверь вылетела и влетели люди с наручниками), зато мы знаем, что с вами всё хорошо. По-крайней мере ничего оскорбительного и в мыслях не было, уверяю!

Уважаемый Николай, редкий случай, когда человек пытающийся разобраться очень настойчиво, пусть при этом и немного наивно, в течении всего диалога вызывает только положительные эмоции и вообще импонирует. Надеюсь, у вас всё будет получаться с каждым разом лучше и лучше, а слегка шутливый тон в ответах и комментариях пожалуйста не принимайте на свой счёт.

Дело в том, очевидно, что перед контролирующими органами стоит ряд важных задач по обеспечению безопасности граждан их государств. И усиление анонимности, благодаря ряду механизмов, значительно затрудняют их работу. Потому что к диссидентам и журналистам, из ряда стран с отсталыми режимами, попутно присоединяться побочные элементы. Такие как преступники, любители детской порнографии, террористы. И как с ними в таких случаях бороться, неясно. Потому и громят серваки. А что ещё остаётся? Группа энтузиастов, при поддержке пару сотен таких как я (кому некуда выплеснуть свою дурь – это я исключительно о себе), существенно подрывают национальную безопасность. Но, были бы деньги. С какой бы стороны не был бы профессионал, если он таков, он трудно победим. Например, приходят для чего, чтобы потушить сервер. А если, каждый включит свой исходящий узел на час и сразу же упадёт на дно. А таких тысячи. Смысл к нему приходить и ходоков не хватит. Можно размещать мобильные серваки в труднодоступных ничейных местах. И т.д. Были бы деньги и желание чудить. Даже я это понимаю. А профи?

Не а. У меня дверь бронированная. Пришлось бы потратить хоть пару минут что бы выбить. Я бы тогда и не начал писать. Тем более я пишу в текстовом редакторе, а уж затем переношу в окошко. Дабы избежать опечаток. Ну, наивность есть мальох. Чувствую пробелы в своих познаниях – не чувствую себя уверенно в этой теме. А что? Потому и спрашиваю столько. Характер у меня такой, докапываюсь до всего. Родители меня за это критикуют. Балбес говорят и лентяй. Ну, спасибо за тёплые слова]]:Username: )))))))))

# nmap -O -vvv -A <IP вырезан> Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2010-12-23 03:15 DNS resolution of 1 IPs took 0.04s. Initiating SYN Stealth Scan against <IP вырезан> [1680 ports] at 03:15 The SYN Stealth Scan took 21.25s to scan 1680 total ports. Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port Host <IP вырезан> appears to be up ... good. Interesting ports on <IP вырезан>: Not shown: 1642 closed ports PORT STATE SERVICE VERSION 7/tcp filtered echo 20/tcp filtered ftp-data 21/tcp filtered ftp 22/tcp filtered ssh 23/tcp filtered telnet 25/tcp filtered smtp 53/tcp filtered domain 80/tcp filtered http 110/tcp filtered pop3 119/tcp filtered nntp 143/tcp filtered imap 210/tcp filtered z39.50 389/tcp filtered ldap 443/tcp filtered https 587/tcp filtered submission 623/tcp filtered unknown 664/tcp filtered unknown 873/tcp filtered rsync 888/tcp filtered accessbuilder 993/tcp filtered imaps 994/tcp filtered ircs 995/tcp filtered pop3s 1433/tcp filtered ms-sql-s 1434/tcp filtered ms-sql-m 1503/tcp filtered imtc-mcs 1935/tcp filtered rtmp 2401/tcp filtered cvspserver 3306/tcp filtered mysql 3389/tcp filtered ms-term-serv 5001/tcp filtered commplex-link 5060/tcp filtered sip 5190/tcp filtered aol 5900/tcp filtered vnc 6667/tcp filtered irc 8080/tcp filtered http-proxy 9991/tcp filtered issa 9999/tcp filtered abyss 11371/tcp filtered pksd Too many fingerprints match this host to give specific OS details TCP/IP fingerprint: SInfo(V=4.11%P=i686-pc-linux-gnu%D=12/23%Tm=4D12B0C8%O=-1%C=1) T5(Resp=Y%DF=N%W=1000%ACK=S++%Flags=AR%Ops=) T6(Resp=Y%DF=N%W=1000%ACK=S%Flags=AR%Ops=) T7(Resp=Y%DF=N%W=1000%ACK=S++%Flags=AR%Ops=) PU(Resp=N) Nmap finished: 1 IP address (1 host up) scanned in 25.355 seconds Raw packets sent: 1826 (80.940KB) | Rcvd: 1647 (75.762KB)

А вот пример машины, где сервисы реально не запущены:
# nmap -O -vvv -A 192.168.0.1 Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2010-12-23 03:20 Initiating ARP Ping Scan against 192.168.0.1 [1 port] at 03:20 The ARP Ping Scan took 0.04s to scan 1 total hosts. DNS resolution of 1 IPs took 0.01s. Initiating SYN Stealth Scan against 192.168.0.1 [1680 ports] at 03:20 The SYN Stealth Scan took 37.61s to scan 1680 total ports. Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port Host 192.168.0.1 appears to be up ... good. All 1680 scanned ports on 192.168.0.2 are filtered MAC Address: XX:XX:XX:XX:XX:XX (Unknown) Too many fingerprints match this host to give specific OS details TCP/IP fingerprint: SInfo(V=4.11%P=i686-pc-linux-gnu%D=12/23%Tm=4D12B21B%O=-1%C=-1%M=0018F3) T5(Resp=N) T6(Resp=N) T7(Resp=N) PU(Resp=N) Nmap finished: 1 IP address (1 host up) scanned in 46.147 seconds Raw packets sent: 3385 (150.930KB) | Rcvd: 7 (388B) # nmap -version Nmap version 4.11 ( http://www.insecure.org/nmap/ )
Поэтому меня ваша конфигурация смущает. Проверял вчера, но инет оборвался — не смог отправить.

если станет известен IP моим недоброжелателям, то если они попытаются собрать побольше информации обо мне путём взлома. Но, они ламеры. У них не хватит ума это сделать.

Надо исходить из того, что один недоброжелательно может попросить других, кто всё умеет. И вообще, в целом, в криптографии/ИБ принято разделять защиту на 2 класса: против спецслужб сильнейших стран мира и против младшей сестры (т.е. либо всё, либо ничего). В качестве рабочей гипотезы лучше считать, что ваш противник силён, а уж обстоятельств, из-за которых ваша защита по факту окажется намного слабей вами предполагаемой, всегда хватает — не стоит на этот счёт беспокоиться :)

открываешь дисковод, формат диск С, новая ОС

Форматирование, как и обычное удаление файла, не уничтожает физически данные на диске — оно лишь переразмечает файловую систему, прописывая в ряд ключевых блоков какие-то метаданные. Чтобы уничтожить сами данные, нужны программы-шреддеры, но и они не вполне решают проблему: программы сами создают и удаляют массу файлов, не используя шреддер. Именно поэтому даже если пользователь руками трёт какие-то файлы, панацеи нет. В контексте же так называемых "журналируемых файловых систем" этот вопрос ещё больше усложняется.

по вашому совету переключил CCleaner на семикратное затирание.

Для современных дисков, пожалуй, достаточно и трёх: /comment26486. Также см. /comment33193 и, применительно к флэш, /comment23780.

Чего только стоит вопрос шифрования дискового пространства. За два часа изучения, я понял теорию, но пока не разобрался, как это работает.

Если рыть глубоко, то мало кто понимает какой-либо вопрос досконально. Имелось в виду лишь то, что в Ubuntu это легко делается на уровне интерфейса (с познаниями домохозяек). Т.е. можно включить, а потом разбираться как оно работает. Шифрование диска для пользователя и его программ совершенно прозрачно — они его никак на своём прикладном уровне не замечают.

а порты,имеющие отношения к Tor:sockstat |grep tor

sockstat есть только в BSD. В Linux можно смотреть соответствие между программами, портами и сетевыми соединениями так:# netstat -apn | lessЕсли надо поглядеть на каких портах компьютер слушает — дать команду# netstat -lpn | less (выход из режима просмотра экрана вверх/вниз через less — нажатием q). Нюанс в том, что не под рутом нельзя поглядеть какой программе принадлежат порты (опция p), а в BSD'шном netstat'е её в принципе нет, потому для ассоциации прога-порт используется sockstat.

P.S.: у нас, на pgpru, принято ставить мягкий знак только в тех глаголах, которые этого заслужили (и вообще следить за орфографией, пунктуацией и грамотностью речи). В честь катастрофы с "ь" в рунете даже есть сайт на домене первого уровня: http://tsya.ru/ — будьте добры ознакомиться.

...(опция p),а в BSD'шном netstat'е её в принципе нет,потому для ассоциации прога-порт используется sockstat.

Hеправда.
Такая опция есть.Можно использовать ее,можно sockstat,всегда же есть как минимум три решения)
По большому же счету,netstat НЕ является аналогом sockstat потому,что не способен выдать то количество информации, которое может предоставить sockstat.
Про рута непонятно,не получается запустить netstat из-под юзера?

Hеправда. Такая опция есть.Можно использовать ее,можно sockstat,всегда же есть как минимум три решения)

Да, был несколько неточек в формулировках. Итак, manual-pages для netstat для FreeBSD, OpenBSD и NetBSD. Как видим, опция -p действительно во всех мануалах наличествует, но означает совершенно не то, что в Linux, где
-p, --program Show the PID and name of the program to which each socket belongs.
в то время как в *BSD это
-p protocol Restrict the output to protocol, which is either a well-known name for a protocol or an alias for it. Some protocol names and aliases are listed in the file /etc/protocols. The program will complain if protocol is unknown. If the -s option is specified, the per-protocol statistics are displayed. Otherwise the states of the matching sockets are shown.
Т.е. поглядеть какая программа породила заданное сетевое соединение средствами netstat в BSD нельзя. И решение тут только одно. Ну, по крайней мере, я других не знаю.

Про рута непонятно,не получается запустить netstat из-под юзера?

Получается, но конкретно опцию -p, данную под обычным юзером, он тихо проигнорирует. Если знать какой именно программе соответствует сетевое соединение не нужно — можете командовать и от юзера.

То есть насколько я понял, у меня три десятка портов, на которых висят сервисы, которые можно взломать. И, один открытый порт, и некий закрытый, который также можно пробить. Правильно? И что практически это означает? В принципе Виндовс я обновляю ежедневно, EES – автоматически.
Основную ОС сменить затруднительно. Так как здесь у меня качественная программа для озвучивания текста, без неё сильно устают глаза. И в Убунту не показывают он-лайн каналы в браузере. А частые перезагрузки при работающем сервере ни к чему. Я же не один пользуюсь компьютером.
Я хочу сделать два одинаковых по размеру диска. Мегабайт на 10-30. На одном из них под завязку будет находиться файл (фильм, программа), другой пуст. Поработал на пустом, перекинул файл на него, работаешь на освободившемся. Пребывал экспериментировать – катит.
А на счёт вашей дискуссии и ссылок, буду читать и вдумываться. Если честно, понятно не многое. Единственное могу сказать, что BSD крайне сложна в установке. Около года я пытался её поставить. И только скачав DesktopBSD мне, после пару часового колдовства с дисками удалось установить. Но, сразу пропал интернет и в BSD и в Линукс. Но система конечно шустрая, при такой загрузке программами летает на ура.

насколько я понял, у меня три десятка портов, на которых висят сервисы, которые можно взломать. И, один открытый порт, и некий закрытый, который также можно пробить. Правильно? И что практически это означает?

Если честно, я затрудняюсь как правильно проинтерпретировать вывод nmap. Мне не вполне ясно, что значит filtered. В open source системах порт либо открыт, либо закрыт, отличить открытый, но зафайерволленный порт от попросту неоткрытого, насколько мне представляется, невозможно.

Основную ОС сменить затруднительно.

В будущем, когда будете лучше разбираться в теме, можете сделать одновременный запуск нескольких ОС на машине через технологии виртуализации.

Единственное могу сказать, что BSD крайне сложна в установке. Около года я пытался её поставить.

А зачем ставить BSD? Ну, просто "брать и ставить". А дальше-то что? Ну поставите вы её, а работать как с ней будете? Начинать надо с чтения книг по BSD, хотя бы даже с Федорчуковской, где подробно и в деталях описан процесс инсталляции и по ходу объясняется логика работы ОС. Кроме того, BSD вообще-то — профессиональная система, т.е. для тех, кто знает что это и зачем ему нужно. Это для тех, кто хочет понимать как компьютер обращается с его данными. Если хочется, чтобы "просто всё работало и не морочить голову", то BSD — очень плохой выбор. Именно поэтому вам выше я намекнул на Ubuntu.

Дистрибутив DesktopBSD ничем не отличаться от Виндовс 7. Разве что целым набором различных программ на все случаи жизни и необычайной быстротой в работе. Скачайте скриншоты тут http://www.desktopbsd.net/. А так графический инсталлятор, красивейший интерфейс… Я был в восторге, только вот интернет сбился. А без него…, сами понимаете.
Я почему то уверен, что защита у меня не плохая. Я долго шёл к ней. Тестил разные продукты и т.д. После Комодо и Касперыча XSpider 7
http://www.ptsecurity.com/ выкидывает список портов и уязвимостей до пола. А вот после Эсет пусто. Лишь имя компа и час отклика. Вот и глубина проработки трафика.
Ну, если что просканируйте меня еще раз. Может, удастся узнать что у находиться у меня на рабочем столе, в папках «Видео», «Изображения», «Документы», «Музыка» и т.д. Интересно всё-таки)))))))………