id: Гость   вход   регистрация
текущее время 17:55 28/03/2024
Автор темы: Piano, тема открыта 21/10/2016 18:50 Печать
Категории: анонимность, операционные системы
создать
просмотр
ссылки

Пишем Howto для Onion Pi


Начало здесь.


Ну вот, наконец, и в нашей деревне праздник – приехала долгожданная "малина"!
Raspberry Pi 3 Model B V1.2 – последняя модель! :)


Сначала "для поиграться" залил на нее X-вую версию Raspbian – 2016-09-23-raspbian-jessie.img.
ОС построена на основе Debian 8 Jessie, DE- моя любимая LXDE.


Что порадовало – затяжной этап инсталляции, как во всех Линуксах, здесь отсутствует как класс, и система сразу настроена на все встроенные железки – Ethernet, WiFi, Bluetooth и пр., никаких поисков и установки драйверов не требуется, все работает "из коробки".
Загрузился моментально! И вся дальнейшая работа порадовала своей скоростью: тест 7zip показал почти однаковую скорость с Atom-компьютером на 1,8 Мгц (у которого 2 ядра, а в данном PI – 4).
Данный дистрбутив включал в себя OpenOffice, браузер Chromium, игры, математику и множество всякой всячины.
OpenOffice Writer загружается всего за 2 секунды :)
Chromium по Интернету бегает довольно сносно, но легкое притормаживание пристутствует.
Все местные точки доступа по WiFi видны, подключение к домашней точке по WPA2 происходит без проблем.
Видеосистема тоже хороша – можно спокойно смотреть видео 1080.


В-общем, если смотреть на экран, то создается впечатление, что работаешь на обыкновенном ноутбуке, и никогда не подумаешь, что основа этого "ноутбука" представляет собой миниатюрную плату размерами 50x90 мм.


Наигравшись с Иксами, приступил к главной задаче – настройке Onion Pi по инструцкции, представленной на https://learn.adafruit.com/set.....ccess-point?view=all


Для этого залил на PI консольную версию Rasbian – 2016-09-23-raspbian-jessie-lite.img


< Продолжение следует >


 
На страницу: 1, 2, 3, 4 След.
Комментарии
— Гость_ (22/10/2016 00:55)   профиль/связь   <#>
комментариев: 450   документов: 10   редакций: 13
Ещё раз говорю: заведите документ в черновиках и редактируйте, сколько влезет. Комментарии – не место для редактируемых инструкций. Тем более, размазывать одну вещь по десятку коментов не нужно.


NAT для тор-шлюза тоже не нужен.


Если вы делали то, что пишете, 77.88.55.66 – IP яндекса.


Спасибо, что дали всем знать ваши прошитые в железе и едва ли изменяемые параметры. Если ваше железо попадёт когда-либо на эксперитзу, нагулив эти MAC- и IPv6-адреса, она с удовольствием подошьёт ваши комментарии в сети к делу.
— Piano (22/10/2016 01:09, исправлен 22/10/2016 02:13)   профиль/связь   <#>
комментариев: 110   документов: 17   редакций: 16

Документ заведу в черновиках, когда будет что редактировать.
А пока идет сбор, накопление информации и ее обсуждение с вами всеми с целью создания работоспособного Howto.


Поэтому как раз здесь это удобнее всего делать.
Когда получится создать полностью рабочий Howto – тогда и перейду в вики-раздел для его окончательного оформления.


NAT для тор-шлюза тоже не нужен.

Вон как? Т.е. вы предлагает использовать его как мост?
Тогда какого ж ... эти разработчики его подсунули?


Что теперь из черновика исключить – весь раздел 12?


По поводу засвеченных hw-адресов как-то особо не волнуюсь.
Да, есть такие адреса, но кому они принадлежат – хз, поскольку неизвестно, кто есть я.
Тем более что ключевая фраза здесь – "Если ваше железо попадёт когда-либо на эксперитзу", что вряд ли, поскольку не собираюсь на нем совершать противоправные действия, наоборот – защищаться от посягательства на частную жизнь известными методами, которые (пока) законодательством не запрещены.
Когда "пока" закончится, сделаю на нем медиаплеер :)


Да, так что делаем по проблеме раздачи адресов клиентам?
Она пока упорно не решается.

— Гость_ (22/10/2016 21:36)   профиль/связь   <#>
комментариев: 450   документов: 10   редакций: 13

Вы упорно не понимаете назначение черновиков. Они и есть для того, чтобы складывать черновые наработки в одном месте, редактируя их хоть по тысяче раз. Когда документ более-менее готов, он может быть перемещён из ченовиков в библиотеку.


Не мост, а SOCKS-прокси. Тор на RP слушает на портах на локальном IP, на эти порты посылают трафик клиенты. Правда, придётся всех либо принудительно, либо штатно соксифицировать, но обычно проблем с этим нет. Альтернатива (дырявая и не такая надёжная) – прозрачная проксификация/торификация, и это опять не NAT. Это редирект. NAT делается для обычных домашних сетей обычных домохозяек, это случай прозрачной пересылки трафика из локалки в интернет без какой бы то ни было анонимности.


Всё исключить, выбросить все рекомендации из сети и самому переписать заново с умом, но вы ж не осилите, а другим это неинтересно.


Лень разбирать этот комбайнер.
— Piano (22/10/2016 22:35, исправлен 22/10/2016 22:43)   профиль/связь   <#>
комментариев: 110   документов: 17   редакций: 16
Лень разбирать этот комбайнер.

Жаль, жаль. А как все хорошо начиналось! :)
Для других отмечу, что "разбирать этот комбайнер" не требуется, поскольку он логически не отличается от системы на PC, т.е тот же Debian и все прочее.
Поэтому если бы на PC было готовое такое решение – Howto для Tor-шлюза с раздачей по WiFi, то оно практически без изменений могло быть перенесено на PI.


но вы ж не осилите, а другим это неинтересно.

Конечно не осилю. Но может найдутся те, кому интересно заменить для Tor прожорливый шумный ящик на экономичную бесшумную и крохотную коробочку.
Я ведь не только ради одного себя здесь столько старался, поскольку надеялся, что именно на этом форуме найдутся заинтересованные желающие сделать Tor на чем-либо другом, кроме стандартного PC.


Подожду еще немного таких желающих. Не найдутся – что ж, придется сделать на нем медиаплеер или еще какую-нибудь полезную вещицу.

— loginuser (23/10/2016 08:04)   профиль/связь   <#>
комментариев: 11   документов: 0   редакций: 0
надо рестартить сервисы после правки конфигов.
и минутное гугление дало аналогичные мануалы, вот на хабре пример.
— Piano (23/10/2016 21:44, исправлен 23/10/2016 22:14)   профиль/связь   <#>
комментариев: 110   документов: 17   редакций: 16
надо рестартить сервисы после правки конфигов.

Даже перегружал систему :) но это не помогает, причина глубже.


и минутное гугление дало аналогичные мануалы, вот на хабре пример.

Есть у меня и эта статья, и не только она.
Но кто даст гарантию, можно ли им верить? Писак нынче много развелось всяких, но их профессиональный уровень под вопросом.
Взялся к примеру, я за мануал (вернее, скопище манулов) от Onion Pi, так Гость_ тут же его забраковал.
Не зря ведь я разместил будущий Howto не на каком-нибудь сборище балаболов как на ЛОР, а именно на pgpru.com, где присутствуют специалисты по безопасности.
Присутствуют, да, но к сожалению, их лень сильнее креативного желания что-нибудь сделать ;)


Может, их надо заинтересовать? На сайте красуется призыв "Сделайте денежное пожертвование через Bitcoin, WebMoney, Яндекс.Деньги", так я готов пожертвовать 2000 рублей тому известному здесь специалисту, кто сделает полноценное хавту.

— Piano (24/10/2016 00:15, исправлен 24/10/2016 00:16)   профиль/связь   <#>
комментариев: 110   документов: 17   редакций: 16

Молчите? Ну-ну. Так и быть, переброшу эти малину на другой трудовой фронт – сделаю медиа-центр, совмещенный с торент-качалкой. Тем более все для это его есть, достаточно подключить к USB внешнний HDD-карман и можно юзать.


А Tor-шлюз, видимо, придется сооружать на OpenWrt или еще на чем-то таком ходовом.
Как раз подвернулась заметка об интересном Tor-проекте PORTAL.
Позабавило, что это не просто Tor-шлюз, а еще (если правильно понял) и генератор случайной болтовни Bananaphone, еще больше маскирующий и запутывающий истинный трафик пользователя :)

— Гость_ (24/10/2016 13:06, исправлен 24/10/2016 13:11)   профиль/связь   <#>
комментариев: 450   документов: 10   редакций: 13

Wi-Fi в силу своей исконной закрытости крайне геморрогичен. Тестировать надо на связке ПК-ПК без планшетов, выставляя согласованные параметры на обеих концах связи. Если iwconfig на клиенте показывает статус connected/associated, то дальше можно назначать вручную IP и проверять сеть. Если всё это прошло, можно отлаживать DHCP. Когда всё отлажено, можно заменить ПК-клиент на планшет-клиент, где с диагностикой проблем существенно хуже. Никто так не делает: запустить всё сразу и начать ломать голову, почему кобмайн не работает.



Верно, но ваш затык не в RP, а в Linux/UNIX как таковом.



Как вы сами сказали, RP здесь не принципиален.



Хороший вопрос. :)



На лоре в силу размера аудитории, бывает, проще получить ответ по узкоспециализированным вопросам. Когда гуглишь интересные темы, поисковик иногда выкидывает на лор, где даются направления, в какую сторону копать для решения задачи. Какой бы хороший специалист ни был тут, он не может объять всё необъятное. Linux – очень обширная тема, и многие вопросы, так сложилось (например, детальный аудит событий в ОС), здесь никогда не обсуждались.



Во-первых, не имея на руках железа тестировать образ на виртуалках – отдельная боль. Во-вторых, написание пошагового руководства с отладкой может занять не один день. В-третьих, различайте добровольные взносы в проект и оплату чьей-либо работы. Специалисты, обеспеченные заказами и/или постоянным местом работы, если им только не нужно это хауту для них самих, не будут тратить несколько дней своего времени за 2k рублей. Цены на такие услуги начинаются со 100 € за рабочий день.


Там много проблем. Первая проблема – установить минимальный линукс, где нет ничего лишнего. При всей кажущейся очевидности это не такая простая проблема, если вы ещё не съели зуб на разных инсталляторах и не понимаете, какие грабли повсюду раскиданы, что и как надо отключить, а что установить. Нигде вы полного списка действий, оптимизированного под анонимность, не найдёте, никто его не выписывал. Вторая проблема – вам нужен корректно настроенный сетевой экран. Тщательно написать и продумать правила – тоже нужно время, и там тоже много подводных камней. Пока всё это делается, может возникнуть третья проблема: Wi-Fi, DHCP, какие-то хардварные глюки, и это тоже отнимет время.


Нельзя перепрыгнуть через необходимый минимум. Вы сначала осваиваете Linux, учитесь настраиваете простые примеры и конфигурации, осваиваетесь с командной строкой и шеллом, а только потом переходите к настройке критических к безопасности систем. Нельзя сразу сесть на одноколёсный велосипед и поехать по канату, как циркач – сначала надо научиться ходить, потом бегать, потом ездить на обычном велике. Никто не пишет "хавту" по операциям на сердце. Деталей много, всего не учтёшь. Тот, кто использует how-to, должен понимать, что он делает и почему. How-to – оно в помощь, чтобы сэкономить собственный мозг, а не замена мозгам и знаниям.


Если вы вообще не понимаете, например, iptables, какую безопасность вы хотите получить слепо копируя строчки с чужих конфигов? Либо вам специалист преднастраивает готовую коробочку и говорит: вот сюда вотните провод, пропишите такие-то настройки у себя, и ничего не трогайте (это примерно то, что вы изначально хотели), либо вы делаете это сами, но с пониманием. Сами и без понимания – не получится, будет только самоуспокоение и ложное чувство защищённости.


Специалисты тоже ошибаются, у каждого за плечами десятки примеров глупых дыр, которые он у себя оставил и забыл про них, а что вы тогда хотите от себя и остальных? Весь современный софт – тяжёлый сложный многофункциональный и глючный комбайн, который разрабатывался тысячами людей на протяжении не одного десятилетия. Вам понадобится существенное количество времени, чтобы достаточно хорошо понять устройство только одной какой-то подсистемы и только текущей её версии (в следующих обязательно всё сломают), а таких подсистем безумного много, и все их них надо на каком-то уровне понимать.


Вообще, ни один вменяемый специалист не даст вам гарантий отсутствия ошибок в настройке, вероятность их наличия всегда выше нуля. Любой крупный проект (включая тор и PGP) – это, в том числе, история эпических факапов с фатальными уязвимостями. Никого они не обошли стороной. Кругом стандартный security theater в той или иной степени.

— просто_Гость (24/10/2016 20:44, исправлен 24/10/2016 20:44)   профиль/связь   <#>
комментариев: 92   документов: 0   редакций: 0

Есть у меня это коробка. Руки не доходят настроить. На сайте есть готовые прошивки и под Tor тоже.

— Piano (25/10/2016 00:29, исправлен 25/10/2016 00:44)   профиль/связь   <#>
комментариев: 110   документов: 17   редакций: 16

Млин, меня уже начинают напрягать ваша пространная беллетристика, м-р Гость_
Как тратить время на написание каких-то академических нравоучений на пол-экрана, так пожалуйста!
Как сделать что-то практически полезное – так то лень, то времени мало, то денег.
Остальные хоть благоразумно помалкивают, помятуя поговорку: "Не учите меня жить, лучше помогите материально практически".
Вообще, умнейшие люди на этом актуальнейшем все больше напоминают павианов, распушивших перья, кичясь громадными познаниями друг перед другом, но как доходит до практического дела – так (см. выше).
Да, всякие академические вики пишутся и складируются, но толку от них массовому пользователю?


Сегодня уже некогда, потому что получил помощь откуда не ждал, и есть уже первый успех, который сейчас вкушаю.
Причем достиг его за каких-то полчаса и бесплатно!!! (в отличие от дней, которые пока напрасно потратил здесь на уговоры).
Просто есть ресурсы и люди с другим, креативным подходом.
Завтра будут подробности, и пусть вам будет стыдно, академики вы наши...


PS. SAtva, а вам должно быть стыдно уже сейчас – во что превратился сайт под вашим предводительством? Какое-то запустение и затхлость. Жаль!
Ах, да, чуть не забыл – иногда еще юмор здесь мельтешит. Может, пора сайт переименовать?

— Гость_ (25/10/2016 01:54)   профиль/связь   <#>
комментариев: 450   документов: 10   редакций: 13

Во-первых, зарубите себе на носу: здесь никто никому ничем не должен. Всё, что кто-либо делает, делает по собственному желанию в свободное время. Это не стол заказов и не коммерческий call-центр, где ждут не долждутся ваших новых проблем, чтобы их героически всем миром за вас решать. Об этом в разное время разными словами здесь писало многие люди: 1, 2, 3.

Во-вторых, я регулярно настраиваю что-нибудь под себя, поэтому знаю, сколько времени это отнимает. С "академическими нравоучениями на пол экрана" это не идёт ни в какое сравнение. В-третьих, практически полезных инструкций на сайте столько, что хоть одним местом ешь, но вам они не нравятся, потому что своей объёмностью страху нагоняют. Вы упорно пытаетесь найти лёгкое решение сложных проблем, да ещё за чужой счёт, но таких решений нет.


Вы с meticulous не братья, случайно? Мне интересно, если бы вы обратились на лор, хабр или куда там сейчас популярно и поставили такую задачу, каков был бы результат? Вам тут же назначили бы постоянного консультанта, который не отходя от клавиатуры в тесном общении с вами решает ваш вопрос и по итогам пишет подробное how-to размером со статью? Или вам просто кинули бы ссылку вида "смотри туда, делается как-то так"? Что-то я не припомню, где бы писали развёрнутые how-to в ответ на вопросы.

Исключение – stackexchange и т.п. сайты, но для этого вопрос должен быть достаточно популярным и общим, а не таким, как у вас. Там могут отдельно обсудить проблемы Wi-Fi, проблемы DHCP или iptables, но нет такого, чтоб человек пришёл с желанием собрать комбайн, каждая часть которого ясна и хорошо описана в сети, а проблема только в том, что изучить эти части ему лень, и даже сформулировать чётко ядро проблемы (что именно не работает) без лишних подробностей – тоже лень, он просто выкидывает в тред поток сознания с непонятной копипастой и начинает кричать, что это не работает, разберитесь почему. На такие вопросы отвечать и там никто не будет.


Горим со стыда. Тушите.
— Piano (25/10/2016 02:20, исправлен 25/10/2016 02:22)   профиль/связь   <#>
комментариев: 110   документов: 17   редакций: 16

Отмазки "это все бесплатно, поэтому вам ничего никто не должен" слышу уже лет 10 – это позволяет вам и им подобным ничего не делать.
Завтра покажу вам, как другие люди делают по-настоящему полезные дела.
А может и нет – у меня тоже времени мало, но я его тратил здесь, пока не стал убеждаться, что взываю к стенке.


Да, чуть не забыл. Ваше предложение использовать Tor-прокси:


Не мост, а SOCKS-прокси

совершенно неинтересно ввиду необходимости заниматься соксификацией для некоторых приложений.
Tor-шлюз должен быть прозрачным, и десктоп даже не должен догадываться, что работает через Tor.


А насчет зарубите – вы сами зарубите (или отрубите) себе что-нибудь, а другим не указывайте.
Я до этого с вами вежливо разговаривал, но вы, оказывается, не переносите критику.
Однако стоило ли вам демонстрировать свои эмоциональные проблемы?

— Гость_ (25/10/2016 10:58)   профиль/связь   <#>
комментариев: 450   документов: 10   редакций: 13

А по сравнению с вами? Я потратил некоторое время, чтобы набрать для вас ряд простыней, разбирая ваши заблуждения, но пока ничего интересного не узнал для себя из ваших комментариев.


Все должны быть вам очень благодарны за то, что вы им позволили потратить своё время на вас?


Про эту необходимость я сказал сразу, а интересно или нет – зависит от конкретного случая.


Прозрачное проксирование имеет грабли в виде утечек пакетов в сеть. Что там на самом деле происходит и почему – тёмный лес. Вторая проблема – разведение разного софта по разным цепочкам тора. Пускать всё через один поток плохо для анонимности, т.к. ведёт к излишнему смешению разных профилей. В некоторых частных случаях всем этим можно пренебречь. Таков ли ваш слуай – не имею понятия, но, скорей всего, не таков, поэтому – вперёд, набивать шишки.


Не задавайте вопросы, что и как вам настраивать – не будете получать ответы, что вам делать. Всё просто. Хамство в ответ на потраченное на вас время – достойная компенсация, как я вижу, поэтому дальше давайте сами.
— гыук (25/10/2016 11:37)   профиль/связь   <#>
комментариев: 271   документов: 0   редакций: 0
Я думал здесь руклодство на 2 страницах.. Нууу..

Piano

Вы ж собирались установить Whonix-шлюз на Rpb. Чегойто передумали?
Зачем повторять "подвиг" Onion Pi?
В шапке не разглядел как планируется использовать сабж. Откуда инет и как клиенты подключаются?
ТЗ какое?
— Piano (25/10/2016 21:44, исправлен 25/10/2016 21:51)   профиль/связь   <#>
комментариев: 110   документов: 17   редакций: 16
Я думал здесь руклодство на 2 страницах.. Нууу..

Напишешь тут с такими икспертами, как же!


Вы ж собирались установить Whonix-шлюз на Rpb. Чегойто передумали?

Я не передумал. Планы у меня, так сказать, многоплановые – интересует и то, и другое, и третье.
Но прежде всего – заключить свои шпионские Андроиды в золотую клетку, т.к. полагаю, что от самый большой вред с точки зрения утечек.
Из-за этого, купив недавно шикарнейший смартфон, 2 месяца пользуюсь им только в автономе, не выпуская сеть, запихивая на него софт сугубо на флешке.
А все потому, что нет готовой технологии & хавту, как это сделать.


Но помощь пришла, и совсем не от pgpru, копал сам.
По порядку:


1. Сначала Нашел инетереснейший проект **PORTAL**
Однако он оказался заброшен


2. Далее выяснил, что на известных крохотных китайских роутерах семейства GL-iNet, содержащих 2 Ethernet-порта и 1 Wifi, давно клепают готовые прошивки с Тором!
И разумеется, бесплатно, никого ни о чем просить и кланятся не надо.
Соответственно два роутера
GL-iNet 6416A 150 Мбит/С 802.11 /b/g/n уже едут ко мне.


3. Но и это не все. На сайте о роутерах Keenetic, где люди занимаются реальными делами (а не плодят мало кому полезные бумаги), наше замечательную статью Tor на Keenetic.
У меня как раз был Keenetic. И при всей моей малограмотности в ваших криптографических и сетевых премудростях, мне хватило:
– полчаса, чтобы поднять Tor на Ethernet;
– примерно столько же на подъем Tor на WiFi.


И я впервые вышел на Андроиде в Сеть под Тором!!!
Вам не понять, как это было для меня важно и как оно меня обрадовало.


Поэтому я аплодирую стоя таким как TheBB, которые делают отличные легко воспроизводимые хавту от людей и для людей!
И думаю, он не одинок в своем понимании, что реально нужно большинству обычных пользователей, да и любых других пользовтелей, которым не нужны нотации от снобов, а нужны готовые решение.


Конечно, вы можете найти массу недостатков в данном решении, но это в сущности все, на что вы способны, вы даже этого не можете.


PS. Столько бился головой о непрошибаемую стену PGPRU.COM, а решение, оказывается, было совсем рядом – достаточно было щелкнть мышкой по другой, полезной ссылке!

На страницу: 1, 2, 3, 4 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3