Tor Browser Bundle и пакетный Tor
Имеется хост под Debian, на котором установлен пакет Tor и имеются несколько прозрачно торифицированных юзеров.
Установил tor-browser-bundle, запускаю под торифицированным юзером – запускается от юзера vidalla, tor и firefox.
Т.е., как я понимаю, tor локальный запускается внутри tor'а системного, что замедляет соединение.
При этом, в рассылке уже не рекомендуют пользоваться iceweasel + tor, а настоятельно рекомендуют переходить на browser bundle.
Но хочется запускать бразуер под прозрачно торифицированным юзером. Что делать?!
комментариев: 9796 документов: 488 редакций: 5664
Это так для пользователя tornet_user или $ANONYMOUS_UID по ссылке. Глобальные настройки файрволла "запретить всё" вне контекста анонимного пользователя здесь не рассматриваются принципиально. Это личное дело каждого.
Группа tbb-tor — это половинчатое решение. Она беспрепятственно выводит наружу весь трафик от TBB. В случае уязвимости в FF это будет и деанонимизирующий трафик. Единственно, что можно — это не пускать трафик на определённые порты (например DNS) и блокировать не-TCP протоколы. Это помогло защититься от случайных утечек в браузере такого вида.
Но поскольку разделить внутри группы сам FF и Tor невозможно (они оба запускаются видалией и поэтому будут иметь одну группу), пришлось пойти на такой компромисс.
Здесь нет возможности составить неущербное правило, поскольку защищаемое приложение в этом отношении ущербно. Если это сказать в мягкой формулировке, то разработчики с этим соглашаются и предлагают разрабатывать решения. "Спонсор Z" даже выделяет финансирование под это дело, а Роджер намекает на оплату (правда вероятно кому-то одному — как главному исполнителю, представителю или организатору).
Если не путаю, то DNS возможен и по tcp (хотя на практике это редко используется), поэтому во избежания утечек через этот порт лучше его заблокировать и обойтись без гипотетической возможности соединяться с такими входящими узлами.
Казалось бы, надо делать как наоборот: запретить всё вне контекста анонимного пользователя, а потом написать «теперь добавляйте отдельные разрешающие правила
на свой страх и рискдля остального, что вам нужно в системе (помимо выхода анонимного пользователя в Tor), тщательно их анализируя». Иначе в чём смысле контроля на уровне firewall'а? Программы/юзеры, имеющие доступ в сеть, должны быть известны администратору поимённо, как и права доступа к этой сети.А чем хуже такое компромиссное решение? Статистика через двойное заворачивание в Tor выкачивается довольно быстро, если Tor используется регулярно.
По ссылке речь идёт об ограничении функционала Tor Browser средствами SeLinux, что слишком далеко (и намного сложнее) от простой ручной заглушки «закрыть firewall'ом». Последняя в час X способна защитить от непосредственной утечки IP при любой узявимости, более слабой, чем local root.
Есть, если воспользоваться тем, как сделал Гость в /comment52149.
Unknown, вы перестаёте быть главным параноиком форума, разве так можно?
http://comments.gmane.org/gman.....ork.tor.general/2853
Тем, что Майка Перри траблы вот такого рода не интересуют как класс. Некоторые пользователи с таким положением дел не согласны, а потому пытаются выработать приемлемое решение. Короче говоря, любая экспуатируемая узявимость в firefox из TBB (не путать с самим Tor) или программах, работающих под торифицированным юзером, — и «здравствуй, деанон!» сразу.
Какой-то поток бреда...Вас решение по ссылке выше чем конкретно не устраивает и вынуждает красноглазить так, как здесь на 9 страницах предлагают?
Нахрена? Использовать сразу "--no-remоte -profile ..." религия не позволяет?
Расскажите нам, как технически сделать Только учтите сразу, что пользователь Tor — системный (соответствует записи tor:*:XXXX:XXXX:Torifier:/var/chroot/tor:/sbin/nologin) и запускать программы от чужого пользователя может только root. Более того, лишняя дыра в виде видалии для контроля используемого Tor`а тоже не нужна (в нами предлагаемом решении её нет).
а что мешает взять обычный FF и настроить его, как это делают разработчики Тор? и не придется ждать запуска связанной Видалии. в чем проблема то??
Если вас это по каким-то причинам не устраивает, есть sudo.
Ну исключите ее из вашего конкретного решения, какие проблемы опять же?
Навесить tor button поверх обычного firefox? Не получится. Для анонимности нужны вещи, которые на уровне примочки в виде tor button не реализовать. Потому приходится использовать специальный браузер. Но, беда, он не идёт отдельно, а только в связке с видалией и своим внутренним Tor`ом. Обсуждалось в /comment48273 и было у нас в новостях (ссылку быстро не нашёл). Если кто-то не следит за темой и ресурсом, а потом приходит через пол года с претензиями «я ничего не понял», это его проблемы. Я уже задолбался гуглить и тыкать в ранее бывшие ссылки и обсуждения (их ещё и читать не хотят).
«Развязать» связку не получается. Напишите инструкцию (и протестите решение) о том, что и как поменять в start-tor-browser-скроипте, чтобы всё снова могло работать отдельно — мы с удовольствием ознакомимся.
Как? См. выше.
Как со стенкой разговариваю. Вам привели ссылку на решение. Вы не понимать по-англицке? Чайник в никсах? Ну так и скажите и вежливо попросите перевести или объяснить. То, что вам легче тридцать три раза заворачивать тор в тор и гневно писать о том, что разработчики все поломали – ваши проблемы, лично я в таком случае свое время тратить на объяснения не буду.
Нет, переводить не надо, а вот объяснить можно, а то в упор не вижу связи между вашей ссылкой и задачей из /comment53277.
Рут с графическими приложениями? Или sudo с ними? No way.