Tor-сборка с улучшенной анонимностью "под ключ"
Я обычный пользователь Internet, хотя тема анонимности мне далеко небезразлична, поэтому регулярно использую Tor-клиент на CentOS 6.
Однако недавно используемый клиент стал сигнализировать о том, что он устарел, и пришлось предпринимать попытки перейти на новый, уже TBB.
С учетом имеющихся на этом сайте материалов и переписки с форумчанами пришел к выводу, что лучше использовать "сэндивич" – внизу ОС с Xen, в которой запускается клиентская ОС, в которой уже и используется сам Tor.
В такой конфигурации Tor-системы утечка сведений о "железе" в Internet минимизируется, а степень анонимности повышается.
Если при этом еще реализовать при каждом запуске клиентской ОС разворачивание ее из архивного образа, то анонимность еще более повысится.
В своих экспериментах в качестве базовой и клиентской ОС использовал CentOS пятой ветки – 5.8, поскольку она больше нацелена на Xen, чем шестая.
Однако эксперименты с ними пока завершились провалом, о чем и сообщил в топике "Какой бы ОС вы доверили свой Tor ?" на 5-й странице
https://www.pgpru.com/forum/an....._comments=1#comments
В общем, безрезультатная возня с TBB 2.3.25-2 вкупе с CentOS 5.8 порядком утомила, но зато возникла новая идея :)
Идея состоит в том, чтобы использовать в качестве базовой и клиентской ОС OpenBSD, отличающейся, как известно, от других BSD, не говоря уже о Линуксах, просто железобетонной безопасности ввиду особого подхода ее разработчиков.
Конечно, в который раз самостоятельно попытался настроить OpenBSD хотя бы на работу в качестве обычной базовой десктопной оси с Иксами, чтобы обвыкнуться.
Скачал текущую 5.2, установил ее с максимальным использованием имеющихся пакетов (base52, comp52, xbase52, xserv52, xfont52...), но в результате не получил не то что Gnome или хотя бы XFCE, а какие-то дремучие окна, в котором тикали часики и можно было двигать мышкой – и это весь функционал :(
Конечно, совсем не просто линуксоиду, привыкшему к комфорту и удобствам Linux, разбираться в дебрях недружелюбной BSD, уж во всяком случае это занятие точно не для меня.
Да и не только не для меня – многие тысячи рядовых пользователей Internet скажут то же самое.
Однако воспользоваться возможностями анонимизации своего пребывания в Internet желают многие.
Натолкнул на эту идею монументальный труд господина unknown "Раздельный запуск Torbrowser от нескольких пользователей с общим системным Tor-процессом и локальная прозрачная торификация"
https://www.pgpru.com/bibliote.....rachnajatorifikacija
Поэтому к вам, unknown, который на "ты" и с Линуксом, и с BSD, у меня большая просьба:
– Пожалуйста, создайте для нас, рядовых пользователей Internet, готовую сборку на основе OpenBSD & Xen & TBB под "ключ".
Как ее представляю:
1. Базовая OpenBSD устанавливается как обычно, без Иксов
2. На ней настраивается Xen
3. В Xen устанавливается клиентская OpenBSD с Иксами и локализацией
4. В клиентской OpenBSD устанавливается TBB (собственно, запускается его стартовый скрипт).
Казалось бы, тут нет ничего особеного.
На самом деле особенность есть и состоит в том, что большинство действий (кроме п.1) совершается с помощью скрипта, который все это автоматически настраивает, избавляя неподготовленных пользователей от мучительных траханий (извините за выражение) с BSD.
Ведь BSD не по зубам не только виндузятникам, но и многим линуксоидам тоже.
В чем будет преимущество такой сборки под "ключ"?
1. Во-первых, тысячи тысяч обыкновенных пользователей смогут с легкостью использовать самые новейшие достижения безопасности и аноминости, заложенные в OpenBSD и Tor/TBB.
2. Во-вторых, поскольку у них всех появятся системы, ничем не отличающиеся друг от друга как близнецы-братья (кроме системного времени и IP), то их индивидуальная анонимность возрастет многократно.
3. Ну и наконец, мы, обыкновенные пользователи Internet, скажем вам огромное спасибо! :)
Нисколько не хочу обидеть других крипто-экспертов, обитающих на этом форуме, многие из которых наверняка обладают такими же знаниями и опытом, просто вышеуказанная работа unknown подтолкнула обращение к нему, хотя участие в этом проекте может принять конечно же любой из вас.
Прошу извинить меня за некоторую безграмотность и косноязычие в такой деликатной сфере, как криптография.
комментариев: 9796 документов: 488 редакций: 5664
Вы меня с кем-то путаете :) Или явно переоцениваете мои возможности.
По схожим поводам я давал какие-то комментарии. Я хронически не дружу с виртуализацией, у меня лично другие, интересные лично мне требования к анонимности. Мне интересно было завести потенциально пусть и не слишком защищённый в плане анонимности проект, но зато более более гибкий, менее ресурсоёмкий и простой в обслуживании.
Это оказалось проще сделать запуском параллельных иксов, разведением юзеров фаерволлом и придавливанием их SELinux по мере возможности. Возможностей оказалось не так мало — например SELinux при определённых настройках не даёт читать TBB никакого каталога кроме своего собственного, не даёт читать никакой программе файл со связкой ключей GnuPG (кроме самой gnupg), не даёт запускать серверы из под юзера, делает бесполезным получение рута в системе, ограничивает чтение списка процессов и др. Несмотря на это, выполнение произвольного кода тем не менее приведёт к деанону массой других косвенных способов, но меня устраивает такой компромисс.
У меня развёрнуто до шести анонимных профилей параллельно. Некоторые из них мало важны, там накидано масса инфы, закладок и пр. идентифицирующей информации, которую не жалко, если стянут. Создание профилей и управление ими не требует практически никаких системных ресурсов и усилий по поддержанию конфигурации. Копирование информации между ними шифровано через GnuPG по локальной почте. А вот разворачивать по 6 штук виртуалок и каждую держать в актуальном состоянии со всеми обновлениями — увольте. Да ещё и делать актуальный универсальный проект на продакшн.
Роджер искал разработчиков на полноценное скрещивание TBB с SELinux или хотя бы с псевдовиртуализацией в связке TBB-LXC-SELinux и даже намекал на заинтересованность спонсоров, но посмотрев тему, я критически оценил свои возможности, решил, что не потяну.
В OpenBSD заложена некая своя концепция безопасности, анонимность из коробки не заложена ИМХО ни в какой ОС.
TAILS им в зубы.
Прошу Вас более детально раскрыть эту тему, если это конечно возможно.
Заранее благодарен.
комментариев: 9796 документов: 488 редакций: 5664
Пока также не могу рекомендовать это как созревшее готовое решение по ряду причин.
Для серверов в минимальной конфигурации оно ещё как-то может быть использовано (и то, если есть роскошь ставить параноидальную безопасность выше бесперебойности работы и продакшн-дедлайнов, когда всё может отвалиться в какой-то момент после обновления и потребует правки). Для десктопа (да ещё и не редхатовского) — очень глючно. Если только на поэкспериментировать и подождать (годы) более вменяемой интеграции.
А чем вам tails не угодил? Там есть и i2p в том числе.
Кроме того, вряд ли он локализован.
Уже только из-за этих двух недостатков он неинтересен.
Для OpenBSD нет ни DomU, ни dom0-ядра, поэтому она может пойти максимум как гостевая ОС при условии поддержки виртуализации хардварно.
Вообще-то там стоит полный (и зачастую неадекватный, да) минимал. Предполагается, что вы потом сами установите с портов/пакетов тот оконный менеджер, что вам нужен, тот терминал, те расцветки, те шрифты и т.д., после чего внешне ваша система ничем не будет отличаться от того же настроенного Linux.
Проброс видеокарты в domU? Это тонкое извращение, для очень опытный любителей :) Например, у меня не получилось пробросить даже звуковую (пробовал NetBSD в domU и в dom0). Может быть, следующий раз получится, но руки до него пока не дошли.
Закладки не накидывают, а
подбрасываютвстраивают :)Если не критично то, что у разных профилей будут одинаковые ОС и их версии, то можно держать одну виртуалку, котрая будет обновляться, а потом её тупо клонировать в нужное количество разных виртуальных машин.
Критика тут.
Один из гостей хвалился тем, что запускает Tails в виртуалке, и у него всё прекрасно работает.
Надеюсь, интерфейс не надо локализовывать? А ввод кириллицы в иксах достигается выполнением одной команды (переключение по капслоку, собственно капслок-функция будет доступна через shift+капслок):
– можно запускать в вирт машине.
– русский интерфейс + камуфлированный под XP.
учим мат часть (!).
Если не даже не говорить о размере – то со списком преимуществ можно ознакомиться здесь http://www.opennet.ru/opennews/art.shtml?num=34724
Из минусов – Gentoo, автор то правильно мыслит на счет размера дистра, т.к. и косяков меньше, да и самому приятнее. Но это не о Gentoo, т.к. гемора с ней предостаточно при компилляции, а в анонимности оперативность сборки своей "крепости" очень важна. Да и полно других дистров, которые поменьше и постабильнее будут. Тот же http://www.slitaz.org/ к примеру. Вторым минусом я бы назвал выпиливание i2p из дистра. Т.к. TOR – это просто средство для серфинга по залоченным сайтам.
А так – Tails выигрывает у Liberte только в том, что он на Debian основан.
Мб автор Liberte образумится и пересоберет свое творение, тогда даже коммунити образуется вокруг.