Как "заторить" сетевые консольные команды?
И опасна ли для анонимности работа демона ntpd?
Сетевые запросы от консольных команд типа "whois", "dig" и т.п. идут напрямую в сеть. Как их заторить?
Синхронизация времени также идет напрямую, может ли это угрожать анонимности при браузинге сайтов, получении почты и т.п.? Например, как-то выдавая нахождение тебя в том или ином часовом поясе, или, не дай бог, реальный ip?
Если угрожает, можно ли заторить эти запросы? И чтобы при этом получать правильную информацию о времени.
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 9796 документов: 488 редакций: 5664
Не забывайте, что большинство браузеров по умолчанию сообщают ваш числовой пояс. И если http-запросы с указанием часового пояса можно резать посредством privoxy, то с https сложнее (умеет только torbutton-плагин для firefox). Также, JS может стучать про уникальные параметры машины (там не только часовой пояс потенциально может быть, но и используемое разрешение экрана и т.д.). Есть много сайтов, котоырй тестируют вашу браузерную анонимность и позволяют узнать всё, что допускает браузер. Проверяйтесь там.
Используйте консольную тулзу proxychains. Кстати, dns-резолвинг она умеет делать через тор сама. Наряду с этим, умеет работать с цепочками произвольных проксей, а не только тором, который может быть лишь одной из проксей в цепочке (любители плести цепи заценят :) ).
Разве не стоит создать специального юзера, опираясь только на работу с настройками псевдопользователя?
комментариев: 9796 документов: 488 редакций: 5664
Приложения то (бразуер, почтовый клиент, ком. строка) работаю под обычными юзерами, как обеспечить чтобы в этих случаях обычный юзер работал только посредством псевдопользователя tor, и не ломился в сеть напрямую?!
комментариев: 9796 документов: 488 редакций: 5664
Не совсем понял, это правило заворачивает исходящий трафик из под псевдоюзера debian-tor в прокси, как я понимаю.
Однако сетевые приложения запускаются же не от него, а от других юзеров.
Пользователь, от имени которого запущен tor – это одно, а пользователи, которые работают с сетью через тор, т.е. шлют пакеты tor'у, работающему под вышеозначенным пользователем и слушающему на localhost:порт – другое.
Дык как надежно под Debian заторить приложения, однако оставив возможность соединяться не через тор, когда нет необходимости в его использовании?
комментариев: 9796 документов: 488 редакций: 5664
Только не нужно путать двух пользователей.
Для демона tor в системе искаробочно уже создан пользователь debian-tor с ограниченными правами. Для работы с заворачиванием трафика в Tor нужно дополнительно создать другого полноценного пользователя, в примере он назван tornet_user — не для демона, а для себя (для пользователя).
Для tornet_user в iptables задаётся правило, заворачивающее весь его трафик в tor.
Можно работать одновременно или поочередно с обычным, незаторенным юзером или с заторенным.
Примеры комманд, конфигов и правил приведены.
Общая простейшая схема не зависит ни от ОС, ни от, тем более, дистрибутива.
При необходимости настроить privoxy для обычного браузинга инета без тора, а также при желании сделать прозрачную торификацию (это посложнее, чем просто зарезать порты, и больше подводных камней), правила, соответственно, дорабатываются.
комментариев: 9796 документов: 488 редакций: 5664
Прозрачная торификация позволит работать любым программам через Tor, даже тем, которые не умеют socks (например иметь доступ к почте на скрытых сервисах). Но эти же программы могут слать уникальные/редкие/нефильтруемые/деанонимизирующие заголовки через сеть.
Злостный кошмар конфигурации — использование связки iptables-SELinux никем пока не был осуществлён.
Ещё есть способ через Xnest. Можно из физически одних иксов назапускать кучу "внутренних X-серверов" через Xnest, соответствующих разным пользователям с разными привелегиями (будет выглядеть как n десктопов, в каждом из которых свои окна/фреймы). Насколько это безопасно – пока не разбирался.