что вы думете о Tails
как относитесь к этому лайв сд/юсб
как оцениваете безопасность, удобство, полноту представленных программ для нужд
доверяете ли, поддерживаете ли проект(и как) ну и в таком духе.
https://tails.boum.org
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
Нормы пользования. Некоторые права на материалы сайта защищены по условиям лицензии CreativeCommons. Движок
openSpace 0.8.25a и дизайн сайта © 2006-2007 Vlad "SATtva" Miller.
|
||||||||||||||||||||||||||
комментариев: 9796 документов: 488 редакций: 5664
"Идея заключается в том, чтобы оставить прямой доступ в сеть только двоим избранным — маршрутизаторам TOR и I2P.
Сначала ставим TOR из их собственного репозитория (в официальном версия может быть устаревшей) по инструкции с официального сайта.Потом поставим и I2P, опять же из собственного PPA-репа разработчиков — инструкция.
Обратим внимание, что TOR сам по себе предоставляет только SOCKS5-прокси, и его поддержка есть не во всех программах. Поэтому установим Polipo — свободный HTTP-прокси:
sudo apt-get install polipo
Настроим его:
sudo nano /etc/polipo/config
Добавим в него строчку:
proxyPort = 8118
Ниже раскомментируем (или подправим, если что-то не так):
socksParentProxy = "localhost:9050"
socksProxyType = socks5
Сохраним. Перезапустим Полип:
sudo service polipo restart
Теперь настроим I2P:
sudo nano /etc/default/i2p
Включим запуск в качестве демона:
RUN_DAEMON="true"
Заодно видим в файле имя пользователя, от которого работает маршрутизатор — у меня это i2psvc
Сохраняем.
Запускаем: sudo service i2p start
Теперь узнаем пользователя, от которого работает TOR:
lsof -c tor
У меня это debian-tor.
И теперь — самое вкусное: рубим доступ в сеть всему, что не TOR и не I2P. Ещё раз — всему.
Вот готовый скрипт iptables-restore, только проверьте ещё раз имена пользователей.
Общая политика DROP, разрешён доступ всем на локалхост, I2P и TOR — во внешнюю сеть.
sudo nano /etc/iptables.up.rules
Содержимое:
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT DROP [0:0]
-A OUTPUT -d 127.0.0.1/32 -j ACCEPT
-A OUTPUT -m owner --uid-owner debian-tor -j ACCEPT
-A OUTPUT -m owner --uid-owner i2psvc -j ACCEPT
COMMIT
Откроем файл настройки сети:
sudo nano /etc/network/interfaces
Допишем команду загрузки правил:
pre-up iptables-restore < /etc/iptables.up.rules
У меня выглядит так:
auto lo
iface lo inet loopback
pre-up iptables-restore < /etc/iptables.up.rules
Поскольку управление сетью у меня идёт посредством network-manager — интерфейса eth0 в файле нет. Правила прописываются при поднятии лупбэка, но разницы нет, поскольку эти правила едины для всех интерфейсов.
Загрузим правила в iptables. Можно перезапустить сеть, но мы сделаем так:
sudo iptables-restore < /etc/iptables.up.rules
Готово! Крепость построена, ров вырыт, лучники на стенах выставлены. Но мы ещё не раздали пропуска её жителям! Исправим.
Для доступа во внешний интернет лучше применять TOR, HTTP-интерфейс которого у нас на 8118 порту.
nano /.bashrc
Допишем в конец:
export http_proxy="http://127.0.0.1:8118/"
Теперь в терминале просто
bash
При этом шелл перечитает свой конфиг. Однако apt, без которого в Убунте — как без воды (и ни туды, и ни сюды), чихать хотел на эту переменную окружения. Разъясним ему персонально внутриобъектный режим нашей крепости:
sudo nano /etc/apt/apt.conf.d/proxy
Там должно быть:
Acquire::http::Proxy "http://127.0.0.1:8118/";
Сохраняем, закрываем.
Ну вот вроде и всё. Теперь осталось поставить браузер (если чем-то не нравится установленный по умолчанию Фокси) и начинать пользоваться не очень быстрым, зато защищённым со всех сторон доступом. И повторюсь — программа внутри виртуалки может быть нашпигована хоть тысячей закладок — данные она, может, и сольёт, только они будут анонимными. Вычислить внешний IP не удастся никому."
P.S. думаю, что данный пример настройки заслуживает прибывать где-нибудь в FAQ
комментариев: 9796 документов: 488 редакций: 5664
В FAQ подобное не включалось, потому что многие моменты спорны, у каждого свои плюсы и минусы, а у продвинутых пользователей свои предпочтения.
Наработки такого рода предлагается собирать
здесь.
В состав дистрибутива входит типичный набор сетевых приложений, таких как Firefox и Pidgin. Анонимный выход обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных используется шифрование с использованием TrueCrypt. Присутствует защита от анализа остаточных данных в памяти компьютера – в процессе завершения работы или при вытаскивании носителя, вся оперативная память очищается.
Среди новшеств, добавленных Tails 0.13:
Поддержка смены языка и раскладки клавиатуры через блок расширенных опций в конфигураторе;
Добавлены четыре рабочих стола в стиле Windows XP, позволяющих закамуфлировать текущий сеанс, переключившись на невинно выглядящий экран;
Поставка первой версии системы инкрементального обновления дистрибутива;
Почтовый клиент Claws Mail теперь сохраняет содержимое почтового ящика в свою директорию, начинающуюся с точки, а не в директорию /Mail;
Добавлена поддержка регулировки настроек беспроводной сети;
Возможность скрытия разделов TailsData от десктоп-приложений
Обновление версий прогрвамм: Tor 0.2.2.39, iceweasel 10.0.7esr-2, ядро Linux 3.2.23-1, I2P 0.9, WhisperBack 1.6;
В поставку включен GNOME System Monitor.
Запуск в режиме LiveCD – есть, установка на USB-флешку – то же есть.
А вот на HDD нигде не нашел.....
А то весьма смутило огромное количество приложений в Tails (в том числе не имеющих отношения к Internet – мультимедиа, графика) – они что, все настроены через работу только через Tor, как в этой статье http://neocaine.blogspot.com/2012/06/habrahabr.html ?
Или надо с этой настройкой самому париться?
Чем установка на флэшку отличается, по-вашему, от установки на диск?
Вроде да, читайте документацию. Там наверняка есть специальный режим или юзер для возможностей администрирования и настройки, который может ходить в обход Tor, а нормальному Tor-юзеру, конечно, запрещено.
а что оно вам даст? )) изменить вы в нем ничего не сможете. точнее только что то на сессию. затем он все потрет. и при повторной загрузке будет девственно чист. вот такая она амнезия )
Похоже нет, иначе таких встречных вопросов не задавали.
"Вроде есть" – а вроде нет, ответ в стиле брехуна Павлуши Глобы :)
Гость – к вам ничего личного, просто вспомнился этот брехун.
А теперь продолжаю для остальных, кому интересно.
Попробовал заюзать свежайший Tails. И какие вы думаете, я ощущения испытал?
– Горькое разочарование. Но обо все по порядку.
До того, как заюзать Tails, я долго носился с идеей создать самому настроить Tor-ориентированную систему, но поскольку "знаниев" не хватило, практического результата не достиг.
Поэтому махнул рукой и взял то, что лежало поближе – Tails.
Изначально представлял себе, что с учетом повышенных требований к безопасности в Tor во избежанение утечек, такой Tor-ориентированный дистр должен быть очень хорошо отлажен до последнего байта, в нем должно быть минимум косяков, а все лишние программы, не имеющие отношения к использованию Tor, должны быть заранее удалены разработчиками.
И вот, первый запуск Tails с DVD. Загодя приготовил флешку, чтобы переписать на нее окончательную систему.
Когда Tails начал грузиться, перевел экран в консольный режим и стал наблюдать за процессом загрузки.
Каково же было мое удивление, когда сразу посыпались ошибки!
Первая – что устройство ../sr0 занято и не может быть использовано.
Если это DVD привод, то это логично, потому что он как раз в этот момент используется для загрузки.
Но какого х... система проверяет его на занятость и интерпретирует ее как ошибку??
Это не ошибка вовсе, это – нормально, и разработчики должны были вообще убрать опрос DVD на этом этапе, а не пудрить нам мозги.
Далее – ошибка в отношении чего-то там ... /proc (дословно не помню, но на фотик снял).
Пазвольте – а какого х... отлаженная система на обычном среднестатистическом компе выдает ошибки для раздела процессов?
Это значит только одно: она – не отлажена!
Дальше – еще больше. Когда Tails загрузился, вошел в него и ... просто охренел! :(
Потому что ожидал, что в такой системе с повышеными требованиями к безопасности, будет только минимум программ, необходимый для сёрфинга в Tor.
Т.е. – это должен быть специализированный дистрибутив, каким его и позиционируют разработчики.
Здесь же увидел полный Гномовский букет без малейшего намёка на минимазацию и оптимизацию под Tor – тут вам и GIMP, и Open Office, и "Программирование Poedit", и "Видеоредактор Pitivi", и сканерная программа "Simple Scan", и "Редактор векторной графики Inscape" и прочия ля-ля тополя...
Вот скажите, на кой хрен в Tor-дистрибутиве нужен "DVD-рекордер Brasero" или "Программа копирования звуковых CD"? Только для одного – разбухания дистрибутива и образования паразитных каналов утечки!
Короче – я не знаю, что такого сделали разработчики для Tor, кроме как воткнули в обычный Debian Vidalia, новый браузер Iceweasel и клиента для сети I2P,
но с точки зрения отлаженности, безопасности и оптимизации, в обязательном порядке включающую в себя минимизацию числа приложений, Tails – не побоюсь этого слова – настоящее хавно!
Даже не буду писать "я ожидал большего", потому что оно к хавну не может иметь отношения.
PS. Посмотрим теперь, что представляет собой Либертино Лоретти, вышедшая из подвалов Лубянки.
(шутка :)
Впрочем, подумаю. Потому что после знакомства с этим якобы "Tor-дистром" опять захотелось вернуться к идее собрать самому систему.
По крайней мере существенно минимизировать ее состав, очистив от ненужного хавна, я сумею.
И если остальное отличие Tails от Debian заключается лишь в особой настройке Iptables, то и с этим я справлюсь тоже.