Tor Browser Bundle и пакетный Tor
Имеется хост под Debian, на котором установлен пакет Tor и имеются несколько прозрачно торифицированных юзеров.
Установил tor-browser-bundle, запускаю под торифицированным юзером – запускается от юзера vidalla, tor и firefox.
Т.е., как я понимаю, tor локальный запускается внутри tor'а системного, что замедляет соединение.
При этом, в рассылке уже не рекомендуют пользоваться iceweasel + tor, а настоятельно рекомендуют переходить на browser bundle.
Но хочется запускать бразуер под прозрачно торифицированным юзером. Что делать?!
Может быть, позже к ней и появится доверие... но пока тихо.
Изначально аргумент стоял про простые вещи (на уровне утюга или починить протекающий кран). Конечно, я не буду спорить, что для сложных вещей всё обстоит именно так, как вы описали. В проблеме нахождения ссылок на pgpru.com, кстати, гугл сам по себе не сильно поможет. Здесь важнее помнить, что обсуждалось, а что нет (а могло обсуждаться несколько лет назад и совершенно не понятно по какому поводу и в каком контексте). Приходится вспоминать контекст, перебирать слова, пользуясь нетривиальными эвристиками и спецификой индексации pgpru.com в гугле. Какие-то термины могли быть написаны по русски, какие-то — в транслите или по английски. Если не иметь чутья, как они могли быть написаны, нужный пост не нагуглить. Иногда приходится делать десятки запросов к гуглу [как к оракулу :)], постепенно уточняя слова для поиска. Вообще, по методам «как нагуглить древний пост на pgpru.com, когда уже ничего не помнишь» можно отдельную мини-статью написать.
Была как-то проблема (дерматология), идёшь к врачу. Он, не делая никаких анализов, выслушивает, визуально смотрит и через 5 минут выдаёт рецепт. Типа, идите, пользуйтесь, через месяц можете прийти снова. Через месяц, естественно, ничего не проходит. Проблему надо решать, иду к другому врачу, уже в другой стране и с другим менталитетом. Всё повторяется, только объём рецепта и средств растёт. Снова никаких анализов и куча экстраполяций. В конце концов, меня это задалбывает, я снова иду, уже в другую клинику и требую анализов. Они, выслушав мою историю, разводят руками, делают простейшие анализы, не имеющие отношения к делу (типа сифилса), и таки соглашаются дать направление в центральный КВД. Там тётка, умудрённая опытом, кандидат наук, качает головой, говорит всё, что она думает о моих предыдущих врачах и сразу предварительно ставит диагноз. Дальше идут формальные анализы, которые потом гипотезу
подтверждаютне противоречат. Итог: неинфекционно и неизлечимо, смритесь и живите с этим. После такого негативного опыта, когда я повторно столкнулся с дерамтологией, я трезво оценил, что очереди на приём, потеря часов на ожидание и дорогу, оплата врача и т.д. — мне дешевле будет пол дня погуглить и самому разобраться что есть, как есть и чем лечить. Так была, например, однажды самодиагностирована и вылечена чесотка. И я уверяю вас, я пока гуглил, из интернета узнал о ней больше, чем среднестатистический врач. Знакомые, учащиеся на биологических и медицинских специальностях потом мне сказали в голос: врач ценен только тем, что у него есть аппаратура провести анализы. Как их интерпретировать, они сами не очень-то знают. У нас (да и за бугром), извините, развал во всём. Теоретически — да, каждый должен знать своё дело. Сферический физик в вакууме должен уметь решать уравнения Лапласа в неизвращённой геометрии или вычислять интегралы. Реальный физик обычно этого не умеет. Те, кто действительно знают свою профессию — единицы. В медицине — то же самое. Экстраполируя то, что знали мои сокурсники по математике/физике на медицину (а у нас был рейтинговый вуз, первые места по всем классификациям), я б сказал что ни в жисть к ним лечиться не пошёл, будь они медиками. Главная мораль — не кидаться в крайности, но и голову на плечах иметь. То, что я пишу, обычно снимается не с потолка, а, увы, опыт наступания на грабли. Конечно, хороший медик — это хорошо, если знаешь, по знакомству. Но, как мне сказали местные про итальянскую медицину, «идти лечить зубы или просто к фиг знает какому врачу наобум» — это часто подписывать себе приговор. Те же студенты-биологи и фармацевты с соседних факультетов, ходили к ним максимум за анализами. Всё остальное — голова и гугл.комментариев: 9796 документов: 488 редакций: 5664
Простота вещей понятие относительное – простые для кого? Если вам просто, почему вы думаете, что и всем остальным тоже?
И вот поэтому важно, КТО говорит. ;)
комментариев: 9796 документов: 488 редакций: 5664
Теперь SOCKSPort, DNSPort и TransPort можно задавать в конфиге множество раз. Всех прозрачно торифицированных пользователей можно разнести файрволлом по разным портам. Пользователь на каждом порту получит свои цепочки.
Более того, поскольку это развитие прозрачной торификации предназначено изначально не для торбраузера, а для экспериментов с другими программами, то на каждую опцию определены ещё и политики. Две из них по умолчанию включены, их можно (но нежелательно) отключить, а можно включить дополнительные.
Даже из-под одного пользователя возможно будут запускаться одновременно несколько програм, поэтому нежелательно их связывание в одну цепочку. Для этого и предназначены политики. Дополнительно можно развязать цепочки при обращении по одному адресу, порту, протоколу.
Так что, хотя бы в порядке эксперимента с непараноидальными настройками, можно попробовать сначала связать несколько разных пользователей на общий системный тор-демон по разным портам и политикам. А затем можно попробовать повесить на него и разные торбраузеры.
Если локальные эксплойты не самая пугающая для вас угроза, то можно порадоваться тому, что правильное смешивание всех потоков одним демоном может потенциально давать больше статистической неразличимости между несколькими одновременно работающими пользователями.
Но проблема опять в том, что системный тор и тор в TBB различаются и опираются на разные версии OpenSSL.
Ну вот как, как такое может быть?! Неужели трудно вовремя обновлять системный Tor? Или правки, вносимые в TBB-Tor считаются некритичными для системного?
комментариев: 9796 документов: 488 редакций: 5664
Так и есть. Когда что-то критичное они одновременно обновляются. Но в браузерном обновления чаще и он менее стабильный. В браузерном также своя версия OpenSSL вместо системной. Возможно это позволяет различать на входящих узлах (менее вероятно, что на исходящих) трафик пользователя, порождённый TBB и системным тором.
v. 0.2.3.17-beta почему-то вышла под Linux вместо стабильного релиза с предупреждением о возможной куче ошибок.
Manual соответствует пока этому, см. про соотв. опции.
Если не работает, то нужно перед перезапуском остановить тор из TBB: он настроен автоматически садиться на свободный порт и может помешать системному тору, который должен запускаться раньше.Дело похоже в том, что /etc/init.d/tor stop не работает и нужно убить процесс явно: возможно действительно какие-то баги, надо разбираться.
Можно расклонировать в конфиге на нужное число портов SOCKSPort, TransPort, DNSPort.
Опцию SockListen Address нужно убрать как устаревшую.
Если не работает /etc/init.d/tor restart из комм. строки или ещё какие глюки, то в конфиге явно прописать:
комментариев: 9796 документов: 488 редакций: 5664
Кое-что полезное есть здесь. См. Tor Browser behind a transparent proxy or TorBOX в разделе manually. Это позволяет избавиться от видалии и локального тора и использовать Tor Browser с прозрачной торификацией, идущей хоть на системный тор, хоть на внешний роутер.
Если теперь повесить разных пользователей на разные слушающие порты системного тора, то можно и браузеры запускать одновременно.
Теперь осталось выяснить как использовать use new identity через Tor Button и открытый управляющий порт и повлияет ли она только на текущий порт или на все подключения по разным портам (что хуже).
Кое какие идеи, но с необходимостью использовать видалию могут быть здесь и здесь.
Там описано то, как уже обсуждалось в /comment52079, за исключением того, что теперь можно запустить TorBrowser без двойного заворачивания на самом старте (вопрос скорее технического удобства). Потом опцию «Transparent Torification (Requires custom transproxy or Tor router)» сломали. Дураку ясно, что работать она должна. Вот и вики пишет, что должна. Можно надеяться, что или её починили, или разработчики хотя бы согласны с тем, что она должна бы работать, как предполагалось.
Меня удивляет, что в настройках TBB до сих пор имеются все те десятки опций, регламентирующие использование TorBrowser'а без Tor. Изначально был TorButton, который позволял, как примочка, сделать «более безопасный» из стандартного firefox. Предполагалось, что пользователи будут по желанию переключаться между анонимным и неанонимным режимами. С тех пор утекло много воды, но до сих пор все эти опции по переходу в режим «Non-Tor» остались в настройках. Зачем они там? Неужто кто-то будет целево использовать специально предназначенный для Tor'а браузер в неанонимном режиме?
Несмотря на warning, там написанный, всё ещё осталась инфа про оперу:
Неужели они не знают, что такие настройки штатно обходятся, причём это — RFC? И как после этого можно доверять остальному из trac.torproject.org?