id: Гость   вход   регистрация
текущее время 08:39 19/09/2021
Автор темы: Гость, тема открыта 01/10/2011 23:27 Печать
Категории: софт, анонимность, tor
создать
просмотр
ссылки

Tor Browser Bundle и пакетный Tor


Имеется хост под Debian, на котором установлен пакет Tor и имеются несколько прозрачно торифицированных юзеров.
Установил tor-browser-bundle, запускаю под торифицированным юзером – запускается от юзера vidalla, tor и firefox.
Т.е., как я понимаю, tor локальный запускается внутри tor'а системного, что замедляет соединение.
При этом, в рассылке уже не рекомендуют пользоваться iceweasel + tor, а настоятельно рекомендуют переходить на browser bundle.
Но хочется запускать бразуер под прозрачно торифицированным юзером. Что делать?!


 
На страницу: 1, ... , 7, 8, 9, 10, 11, ... , 16 След.
Комментарии
— unknown (11/06/2012 00:42)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Чуть лучше такой вариант.

Это так для пользователя tornet_user или $ANONYMOUS_UID по ссылке. Глобальные настройки файрволла "запретить всё" вне контекста анонимного пользователя здесь не рассматриваются принципиально. Это личное дело каждого.

Группа tbb-tor — это половинчатое решение. Она беспрепятственно выводит наружу весь трафик от TBB. В случае уязвимости в FF это будет и деанонимизирующий трафик. Единственно, что можно — это не пускать трафик на определённые порты (например DNS) и блокировать не-TCP протоколы. Это помогло защититься от случайных утечек в браузере такого вида.

Но поскольку разделить внутри группы сам FF и Tor невозможно (они оба запускаются видалией и поэтому будут иметь одну группу), пришлось пойти на такой компромисс.

Здесь нет возможности составить неущербное правило, поскольку защищаемое приложение в этом отношении ущербно. Если это сказать в мягкой формулировке, то разработчики с этим соглашаются и предлагают разрабатывать решения. "Спонсор Z" даже выделяет финансирование под это дело, а Роджер намекает на оплату (правда вероятно кому-то одному — как главному исполнителю, представителю или организатору).

Если не путаю, то DNS возможен и по tcp (хотя на практике это редко используется), поэтому во избежания утечек через этот порт лучше его заблокировать и обойтись без гипотетической возможности соединяться с такими входящими узлами.
— Гость (11/06/2012 02:03)   <#>

Казалось бы, надо делать как наоборот: запретить всё вне контекста анонимного пользователя, а потом написать «теперь добавляйте отдельные разрешающие правила на свой страх и риск для остального, что вам нужно в системе (помимо выхода анонимного пользователя в Tor), тщательно их анализируя». Иначе в чём смысле контроля на уровне firewall'а? Программы/юзеры, имеющие доступ в сеть, должны быть известны администратору поимённо, как и права доступа к этой сети.


А чем хуже такое компромиссное решение? Статистика через двойное заворачивание в Tor выкачивается довольно быстро, если Tor используется регулярно.


По ссылке речь идёт об ограничении функционала Tor Browser средствами SeLinux, что слишком далеко (и намного сложнее) от простой ручной заглушки «закрыть firewall'ом». Последняя в час X способна защитить от непосредственной утечки IP при любой узявимости, более слабой, чем local root.


Есть, если воспользоваться тем, как сделал Гость в /comment52149.
Unknown, вы перестаёте быть главным параноиком форума, разве так можно?
— Гость (11/06/2012 23:49)   <#>
Читаю я этот топик и не врубаюсь, чем не подходит решение, одобренное аж Mike Perry?
http://comments.gmane.org/gman.....ork.tor.general/2853
— Гость (12/06/2012 00:57)   <#>

Тем, что Майка Перри траблы вот такого рода не интересуют как класс. Некоторые пользователи с таким положением дел не согласны, а потому пытаются выработать приемлемое решение. Короче говоря, любая экспуатируемая узявимость в firefox из TBB (не путать с самим Tor) или программах, работающих под торифицированным юзером, — и «здравствуй, деанон!» сразу.
— Гость (12/06/2012 01:34)   <#>
и «здравствуй, деанон!» сразу.
это справедливо во всех случаях? и при прозрачной торификации и на уровне приложений?
— Гость (12/06/2012 01:50)   <#>
Дело не в прозрачной торификации, а в закрытии firewall`ом пакетов, идущих напрямую в сеть от торифицированного пользователя. Firewall потенциально позволяет обезопасить оба случая [как «прозрачную торификацию», так и «уровень приложений » (просто прокси)], но для этого нужно, чтобы Firefox из Tor Browser Bundle работал через Tor, запущенный под другим юзером (тогда firewall сможет надёжно фильтровать пакеты по принадлежности пользователю). В текущих же сборках сделали такую гадость, что TBB категорически отказывается нормально работать через чужой Tor (не тот, что в связке). Соответственно, приходится изобретать костыли: например, ждать, пока запустится внутренний Tor, выкачав статистику через дважды заторенное соединение (иначе браузер просто не запускается скриптом), а потом переключаться на внешний Tor в настройках TBB (раньше было достаточно указать «использовать прозрачную торификацию», теперь — руками указать IP:порт внешнего Tor`а).
— Гость (12/06/2012 01:56)   <#>

Какой-то поток бреда...Вас решение по ссылке выше чем конкретно не устраивает и вынуждает красноглазить так, как здесь на 9 страницах предлагают?
— Гость (12/06/2012 02:02)   <#>

Нахрена? Использовать сразу "--no-remоte -profile ..." религия не позволяет?
— Гость (12/06/2012 03:03)   <#>

Расскажите нам, как технически сделать
run vidalia+tor as user Tor and "TB/App/Firefox/firefox --no-remte -profile TBProfile" as default user A
Только учтите сразу, что пользователь Tor — системный (соответствует записи tor:*:XXXX:XXXX:Torifier:/var/chroot/tor:/sbin/nologin) и запускать программы от чужого пользователя может только root. Более того, лишняя дыра в виде видалии для контроля используемого Tor`а тоже не нужна (в нами предлагаемом решении её нет).
— Гость (12/06/2012 03:54)   <#>
В текущих же сборках сделали такую гадость, что TBB категорически отказывается нормально
весь комент копировать не буду..
а что мешает взять обычный FF и настроить его, как это делают разработчики Тор? и не придется ждать запуска связанной Видалии. в чем проблема то??
— Гость (12/06/2012 08:26)   <#>

Если вас это по каким-то причинам не устраивает, есть sudo.
Ну исключите ее из вашего конкретного решения, какие проблемы опять же?
— Гость (12/06/2012 13:50)   <#>

Навесить tor button поверх обычного firefox? Не получится. Для анонимности нужны вещи, которые на уровне примочки в виде tor button не реализовать. Потому приходится использовать специальный браузер. Но, беда, он не идёт отдельно, а только в связке с видалией и своим внутренним Tor`ом. Обсуждалось в /comment48273 и было у нас в новостях (ссылку быстро не нашёл). Если кто-то не следит за темой и ресурсом, а потом приходит через пол года с претензиями «я ничего не понял», это его проблемы. Я уже задолбался гуглить и тыкать в ранее бывшие ссылки и обсуждения (их ещё и читать не хотят).


«Развязать» связку не получается. Напишите инструкцию (и протестите решение) о том, что и как поменять в start-tor-browser-скроипте, чтобы всё снова могло работать отдельно — мы с удовольствием ознакомимся.


Как? См. выше.
— Гость (12/06/2012 14:23)   <#>


Как со стенкой разговариваю. Вам привели ссылку на решение. Вы не понимать по-англицке? Чайник в никсах? Ну так и скажите и вежливо попросите перевести или объяснить. То, что вам легче тридцать три раза заворачивать тор в тор и гневно писать о том, что разработчики все поломали – ваши проблемы, лично я в таком случае свое время тратить на объяснения не буду.
— Гость (12/06/2012 14:51)   <#>

Нет, переводить не надо, а вот объяснить можно, а то в упор не вижу связи между вашей ссылкой и задачей из /comment53277.
— Гость (12/06/2012 14:56)   <#>

Рут с графическими приложениями? Или sudo с ними? No way.
На страницу: 1, ... , 7, 8, 9, 10, 11, ... , 16 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3