Tor Browser Bundle и пакетный Tor
Имеется хост под Debian, на котором установлен пакет Tor и имеются несколько прозрачно торифицированных юзеров.
Установил tor-browser-bundle, запускаю под торифицированным юзером – запускается от юзера vidalla, tor и firefox.
Т.е., как я понимаю, tor локальный запускается внутри tor'а системного, что замедляет соединение.
При этом, в рассылке уже не рекомендуют пользоваться iceweasel + tor, а настоятельно рекомендуют переходить на browser bundle.
Но хочется запускать бразуер под прозрачно торифицированным юзером. Что делать?!
Что-то они не особо активно отвечают в рассылке (разрабы), у меня уже закрались мысли, что американское правительство "нагнуло" их на то, чтобы они делали Tor для "бунтующих таджиков", а не для американцев/европейцев и в т.ч. русских.
А как правильно добавить запись об убийстве видалии в стартовый скрипт?
, чтоли?
комментариев: 9796 документов: 488 редакций: 5664
Вполне возможно, что они отмолчатся. Тем кто перегружен, или не может что-то сделать по независящим от него обстоятельствам неохота оправдываться. Проект разросся, а сил на доработку много чего нет. Они сами, думаю не рады, что им приходиться гнаться за Firefox'ом и быть от него в зависимости. Все эти фичастые браузеры похуже правительств. Куча других задач в проекте также не решено.
В сам стартовый скрипт дописать простую команду нельзя. Нужно ждать, пока Видалия соизволит запустить FF, проверив соединение с Tor. И только потом прибивать. На что может уходить дико много времени при двойной торификации в файрволлинге (но меньше, если скачанная статистика не потеряла актуальность). Нам ещё повезло, что они упустили код возврата ошибки 137. Если прибить всё без девятки, то Видалия штатно закрывается и штатно закрывает FF. Они могут в следующей версии обломать нас и с этим, если считают запрет запуска FF без Видалии необходимым.
Вот такой алиас можно использовать:
(Подразумевается, что в процессах ничего лишнего со словом Data не висит. Или тогда надо парсить вывод ps подробнее)
И запускать от имени пользователя (который запустил TBB-script), после того, как видалия запустит TBB-FF.
Я несколько дней назад написал такой тупой скрипт:
,
положил его в пользовательские bin'ы заторенных юзеров (чтобы отвязывать от терминала торбраузер).
До этого, грубо говоря, плевал на то, что видалия и tor от юзера висят в системе, сегодня решил их прибивать.
От руки делать влом, дописал в этот скрипт в конец:
Не работает, если убивается видалия сразу, не запустив браузер, он не запускается, эскпериментальным путем пришел к тому, что достаточно перед ними указать , меньше маловато.
Но допустил ошибку – т.к. по логике вещей если нажать °C до старта всей муйни, должна убиваться дальшейшая работа скрипта и не срабатывать комадны kill.
Однако, если после запуска скрипта и старта видалии нажать °C, то видалия тоже почему-то тоже убивается, хотя по логике вещей не должны исполняться команды pkill.
Записал скрипт в таком виде:
Также почему-то убивается видалия и браузер, даже после запуска последнего.
Как бы лучше этот сриптец переписать?
Так если они довели до ума рыжелиса, а потом навесили на него всякую муть типа видалии и локального тора, какие проблемы "чистый браузер" без довесков выложить?!
Наверное, Роберт или Майк не юзают это свое поделие, наверняка же ходят через прозрачно торифицированный юзер и как-то эту проблему для себя решили.
Или также мучаются как мы?!
Утверждается, что по уму при запуске сервис сохраняет свой pid в некотором файле. Дальше надо прочитать этот pid и убить его. Ну, как стартовые скрипты работают... Правда, когда всё не очень отлажено, а среда агрессивная, рано или поздно возникает ситуация, когда pid в файле не соответствует реальному, либо там пуст а процесс реально запущен и т.д. Так что ps — это истина в последней инстанции, и кроме как умного парсера, которые вытащит оттуда pid'ы и предложит их убить (можно даже интерактивный скрипт написать под это дело), мне ничего в голову не приходит.
комментариев: 9796 документов: 488 редакций: 5664
Отслеживать по таймауту слишком ненадёжно — может и три минуты провисеть. Можно отслеживать появление firefox и тогда сразу всё гасить. Потому что с дважды заторенным пользователем тоже лучше не работать, хотя бы из-за сетевых тормозов.
А вот почему убивается FF после того, как видалия его запустит, сложно сказать.
Я запускаю не из терминала, а из гуёвой пускалки. Затем меняю socks-port в FF вручную. И только затем (но сразу после этого) запускаю прибивающую команду в терминале. Может от последовательности действий завсисит.
Видалия — поделие то ещё. Может в каких-то KDE она и пашет, но приходится наблюдать пустую нераскрывающуюся рамку, пока она не сконнектится с Тором. Какой ужас они нам сделали!
Не знаю, как там Майк и Роберт, но ранее гости в теме давали ссылки на тикеты где ещё продолжается обсуждение:
https://trac.torproject.org/projects/tor/ticket/4192
https://trac.torproject.org/projects/tor/ticket/3994
Кстати, вот официальное решение юниксоидам, которое они предлагали раньше:
https://trac.torproject.org/projects/tor/ticket/2308
Используется таки видалия, но стыкуется с системным тором и права на неё типа перебиваются и системный torrc, что чуть лучше, но всё равно менее безопасно. Попробую предложить закрыть им этот тикет, который уже десять месяцев висит. И переименован он Роджером в "необходимость написания инструкции для использования видалии с тором, закружаемым при старте системы". Так и не написали ничего внятного. И таких тикетов масса.
[off]
ага, он его защищал, типа больше и не надо, а потом не выдержал и где-то потроллил по поводу идиотичности последних гномовских нововведений. Не помню, чем дело кончилось, может он с него ушёл. Или так, поворчал просто.
[/off]
Я попробовал сделать так:
Работает. Хотя я плохо разбираюсь в опциях printf, может есть более кошерное решение?!
комментариев: 9796 документов: 488 редакций: 5664
Уже начинаю сомневаться во всей этой затее. Может не стоит быть святее
Папы РимскогоРоджера Динглдайна и воспользоваться тикетом 2308?В системном торе разрешить в конфиге управляющий порт, туда же добавить хэш пароля. Этот пароль и порт прописать в видалии. Может в torbutton ещё также что-либо прописать.
Видалию так уж и быть, оставить. Она будет рулить системным тором. Также из встроенного ныне торбатона в TBB можно будет выбирать "new identity".
Может правила iptables подправить. Другие программы будут заворачиваться в тор как и раньше.
Вопросы остаются — не будет ли конфликта между одновременно/попеременно использующими общий тор разными браузерами со своими видалиями (если одну из них не закрыть во время использования другой)?
И какой потенциальный ущерб от управляющего порта? Слабые места и возможные грабли? В нём ранее были уязвимости, поэтому на него и накрутили пароли и куки. А ведь до этой версии TBB можно было бы обходиться и вообще без него. Сама Видалия с инетом соединений не имеет — коннектится только с локальным управляющим портом тора (а у нас он будет изменён с юзерского на системный). Если злоумышленник получит на неё права через браузер, что он может сделать? Можно ли ему перехватить пароль и заставить юзера соединяться с фэйковым тором?
Объяснять свой компромисс в этом вопросе разработчики не хотят или где-то есть более подробное обоснование их решений?
А вот этот пункт FAQ отчасти объясняет, что они делают только то, что им самим нравится или принимают полностью готовые решения (с формализованными объяснением, аргументацией, документацией и желательно уже в виде программной реализации).
В Help'е к Видалии и в первом пункте тикета для использования TBB рекомендуется вообще отключить системный Tor, так что похоже свой выбор они уже сделали.
Как минимум — понять какие звенья в используемой цепочке и слить их злоумышленнику через Tor. Никогда бы не открыл управляющий порт для доступа с правами торифицируемого юзера, если деанон реально критичен.
Команда Tor "слилась" под власти "большой восьмерки" и теперь всячески снижают анонимность сети Tor, чтобы она могла использоваться только против Китая и Ирана, а не против интересов властьимущих стран "золотого миллиарада"?!
Что-то мне изначально не понравилась эта идея с "To toggle or not to toggle"... Что-то изначально было в ней подозрительное...
Может, они перестанут поддерживать и пакеты системного Tor'а тоже?!
комментариев: 9796 документов: 488 редакций: 5664
[conspirology mode]
Пока в основном на бунтующих арабах тренируются. Как приехали оттуда, так сразу новую версию TBB выпустили, под них, вероятно, адаптированную.
И да, часть фич они выполняют по заказу спонсоров, каждый из которых обозначен буквой "A", "D", "E", "F".
Вот подробнее задачи каждого из спонсоров, но кто эти спонсоры не указано. Кто платит, тот, как говорится, и заказывает музыку.
[/conspirology mode]
И да, они пишут про продолжение поддержки Vidalia, TBB и т.п., но в самом по себе этом факте нет ничего плохого.
Может, они тайно доводят пожелания такого рода до команды Tor?
Остается надеятся, что Tor продолжает оставаться полезным для разведок с точки зрения, например, обеспечить возможность передачи данных из любой точки мира без возможности перехвата и деанонимизации.
Тогда, вероятно, его не будут ломать окончательно, делая недоступным для продвинутых юзеров, опасающихся вражеских действий властей крупнейших государств.
комментариев: 9796 документов: 488 редакций: 5664
Почему? Там зато теперь есть кнопка "сделать всё хорошо", т.е. анонимно запустить браузер, видалию и тор из-коробки одним кликом. Что должно привлечь толпы анонимусов, незнакомых со специфическими навыками, заработанными хронической паранойей.
Для поддержки серверов останется скорее всего обычный пакет, как есть. Не все же узлы держать на запущенных из под пользователя процессах.
это для винды, как и многое другое.