Tor: выходная нода своими руками
Хотелось бы на время сна (или постоянно) становится выходной нодой для Tor-пользователей. В связи с этим появилось несколько вопросов:
1. Какие порты нужно открывать для того, чтобы можно было работать как выходная нода?
2. Достаточно ли будет разрешить только исходящие порты?
3. Нужно ли что-нибудь дополнительно настраивать для большей безопасности? Или же можно просто скачать Tor Browser Bundle и запустить его на какой-нибудь Ubuntu?
Ссылки
[link1] https://www.pgpru.com/comment61212
[link2] https://www.pgpru.com/forum/anonimnostjvinternet/propusknajasposobnostjtornody
[link3] https://www.pgpru.com/comment36632
[link4] https://www.pgpru.com/forum/anonimnostjvinternet/zapuskatjilinetexitnodevrossii
[link5] https://www.pgpru.com/forum/anonimnostjvinternet/zapuskinastrojjkatoruzlov
[link6] https://www.torservers.net/partners.html
[link7] https://www.pgpru.com/comment57497
[link8] https://www.pgpru.com/comment63814
[link9] https://www.pgpru.com/comment26771
[link10] https://www.pgpru.com/biblioteka/rukovodstva/setevajaanonimnostj/prodvinutoeispoljzovanietorvunix/razdeljnoeispoljzovanietorbrowserssistemnymtoriprozrachnajatorifikacija
[link11] https://www.torproject.org/docs/debian.html.en
[link12] http://deb.torproject.org/torproject.org/
[link13] https://www.torproject.org/docs/tor-doc-relay.html.en
[link14] https://www.torproject.org/docs/tor-relay-debian.html.en
[link15] https://www.pgpru.com/comment77662
[link16] https://lists.torproject.org/pipermail/tor-talk/2012-August/025296.html
[link17] https://www.pgpru.com/comment85099
[link18] http://www.libertarium.ru/sorm_bsc
[link19] http://old.computerra.ru/offline/2001/393/8860/print.html
[link20] https://www.pgpru.com/comment88963
[link21] https://www.pgpru.com/chernowiki/rukovodstva/vpsopenvpntorbridgeobfs4socks5
[link22] https://www.pgpru.com/comment96375
Топиков на тему было куча:
Нет.
Об этом есть на сайте Tor.
Своих проблем мало, чужие себе хотите? Выходная тор нода это большое паливо. У себя дома – идиотизм граничащий с премией Дарвина.
Спасибо за ответ! А выходную ноду так и не получилось сделать, в журнале сообщалось «Ваш DNS-провайдер взломан» — что только не делал, всё равно это сообщение выдавалось.
Не думаю, что они смогут что-либо доказать. Я ведь не виноват в том, что кто-то взломал мой компьютер и начал хулиганить в Интернете. И вообще, я соседу ночью компьютер поставил чиститься от вирусов, а они вылезли и начали вредить.
может он наследник генерала
КГБФСБ или родственник первых лиц государства? пусть покуражится )))смех смехом, а вот постоянно задаешься вопросом, особенно в ситуации с россией, а кто содержит выходные узлы при такой ответственности? ну явно не физ лицо из Бронкса или Ново-
ебуноволопухова.Немногочисленные общественные организации[link6]. Опять же, чаще с дедиками или колокейшеном в датацентрах, персонал которых теоретически всегда может протроянить или как-то иначе вытащить из этих узлов ключи для дешифровки трафика.
в действительности, ведь не обязательно ставить выходную ноду на физ машину? можно ведь поставить на VPS. правда скорость какая будет и с администрированием можно попалиться.
Это тоже небезопасный вариант, если не для владельца, то для безопасности самого сервера. Как с практической точки зрения (снятие копий, дампов, похищение ключей для перехвата расшифрованного трафика), так и с теоретической: в виртуалках крипто волшебным образом становится нестойким для могущественного противника, даже не имеющего к ним доступа.
Подробности для интересующихся — в /comment57497[link7].
Когда ещё иран с китаем не блочил тор протокол, было относительно много экситов которые вместо нужного ресурса показывали вязь или не показывали иероглифов про то что посещаемый сайт заблочен и надо помолиться или вспомнить мао. И тогда в проекте рассуждали на тему, а не пометить ли экситы как бэды, дескать миддлы нам нужны, а такая цензура незачем. Не успели обсудить до конца, протокол успешно придушили и больше экситов с цензурой не стало.
История повторяется, теперь с заставками и митмом ростелекома или глухих черных дыр корбин. Приятней когда провайдер экситов просто дропает пакеты до заблокированных IP адресов, тогда есть возможность у клиента переключиться на более лучший эксит. Но игроки рынка выступают за улучшение цензуры, поэтому дропать пакеты скоро будет некому, и русская вязь будет радовать пользователей торы. Успеют ли пометить все новые экситы с цензурой как бэды или РФ справится сама и избавит всех от мучений?
Такие отмазки сочиняет каждый второй пойманный хакер, не считая каждого первого. Может быть органы разберутся и дело закроют, а может и нет. Хотите проверить?
Какой-нибудь университет может себе позволить держать (коли есть юридический отдел отвечающий на абузы и желание руководства во всём этом замазываться), самые крупные екситы как раз в универах и стоят. Еще аноним купивший дедик может поставить там ексит который простоит до первой абузы, примерно от двух дней до недели. Потом придется убрать, или прощай сервер.
И даже вернут конфискованные на полгода электронные игрушки. И за помятый фейс в ходе укладывания на пол и поломанную дверь извинятся.
Поднимая Tor ноду вы занимаетесь укрывательством преступников. Можно придумывать оправдания, борьбу с цензурой, с тоталитарными режимами, равенство братство и.т.д, но давайте не кривить душой отрицая факт – главный смысл Tor в укрывательстве преступников, прослойка легальных пользователей которые не делают ничего наказуемого существует лишь для укрытия в толпе, чтобы нельзя было хватать каждого пользователя Tor, величина этой прослойки неизвестна, если она вообще есть (скажите себе сами, не покривив душой, вы, пользуясь Tor, никогда не совершали наказуемое деяние? Вот то-то же.).
Я не буду давать моральные оценки, хорошо или плохо укрывать преступников, но раз вы этим занимаетесь – вы должны понимать риски и знать что будете делать если они сработают. Умный человек отличается от глупого тем что умный многого не сделает, как-бы чего не вышло, а глупый сделает все, авось пронесет.
Может кто-то просто стесняется факта просмотра никак ненаказуемого материала или не желает вторжения в личную жизнь, или для него важно всё то, что вы считаете лишь оправданием. Так можно говорить:"пользуясь наличными деньгами вы укрываете преступников; подвозя незнакомых людей на машине без досмотра и проверки, вы укрываете преступников; демонстрируя самую безобидную нелояльность текущим и быстроменяющимся взглядам в обществе, вы подстрекаете преступников" и т.д. до абсурда.
Может укрываются 3% героев, 2% преступников и 95% ничем невыдающихся пользователей. А ещё в такой же пропорции они пользуются другими какими-нибудь вещами.
Более того, можно также абсурдно-бездоказательно априори считать преступниками тех, кто выступает против анонимности. Преступниками иного рода, государственно-планетарного масштаба, которых ждёт суровый суд анонимусов ;)
Каков закон пишут чужие мне люди. Мне посрать на их законы. Буду писать закон я — я по нему не буду преступником, всё чики.
Вы даете моральные оценки которых хотелось бы избежать. А по-факту большая часть трафика Tor – это нарушение авторских прав и троллинг на форумах (сам этим балуюсь). Чуть меньше – всякая деятельность которую не хочется светить перед органами, это может быть как сильный криминал так и не очень. Все это так или иначе можно квалифицировать как правонарушения. Статистика не высосана из пальца а получена поднятием ексита со снифером около года назад (сервер был закрыт хостером из-за совершенного с него взлома, меня грозились сдать интерполу, но эксперимент предусмотрительно проводился из под тор и оплачивался яндекс-деньгами с анонимного аккаунта).
В последнее время добавилась еще одна категория пользователей – те кому нужен обход цензуры чтобы почитать википедию и бложики на вордпрессе, это пока не преступление (но завтра может стать).
Можно оправдывать или осуждать эти действия, но ставя ексит ноду у себя дома вы становитесь если не виновником то прямым сообщником всех этих деяний, именно так будут это трактовать правоохранительные органы. Объяснить суду про свободу и демократию будет как минимум затруднительно.
Батенька, по себе других не судят.
Если бы закон соблюдался строго, а правосудие было бы идеально справедливым, то всегда бы можно было сделать подозреваемым в этом, но дальше требовались бы конкретные доказательства с перспективой развала дела или оправдания на суде. Правда, закон, что дышло в обе стороны: наказание невиновных, ненаказание виновных. Как для рядовых граждан (на удивление в ряде мелких случаев — на их правонарушения часто закрывают глаза), как для законоприменителей, как для самих законодателей.
Вот именно. Есть ещё такая неоправдываемая, но нужная человечеству категория, как герой-преступник: Мэннинг и некоторые другие информаторы WikiLeaks, к примеру. Может ради появления его одного раз в n лет стоило держать Tor, несмотря на все преступления, которые также совершались бы с этой сетью или совершились бы как-то иначе без неё.
В РФ можно ничего не ставить, и даже не знать что такое компьютер, но сесть за ИТ, или как решит следователь, статьи. Или все забыли таксиста-хакера прокрутившего порно на рекламном видео-щите?
Завязывайте с веществами.
Контора совсем стыд потеряла, хотя у них его и не было. Пришли рассказывать сказки про тор и сюда.
Нарушение т. н. авторских прав оно вне Tor'a в открытом нете на порядки выше. Без Tor'a троллить нельзя?
Преступления в Сети (в т. ч. серьезные) без Tor'a совершают, как правило.
Моральную и нравственную сторону дела оставлю в стороне. Да и техническую сторону разбирать не вижу смысла. Настроить может почти каждый. Дело в другом. Именно в ответственности и последствиях.
Если бы я поднимал выходную ноду, то, прежде всего, это было бы не спонтанное решение. Был бы информационный сайт с описанием ноды, целей, принципов и т. д. Обращать на это внимание и верить этому или нет – личное дело каждого. Скорее всего, если бы позволили финансы, поднял бы несколько нод в разных странах с полосой не уже 100 Мбит. Если обязательно нужно присутствие ноды в РФ, тоже поднял бы.
Поднял бы давно уже дома и на подконтрольных площадках, если бы не одно "но". Вот дома работает нода на выход. Допустим. День, два, месяц. Спам с нее идет, можно заблокировать какие-то порты, насоздавать правил, ладно, не об этом. Ничего блокировать не стал бы, скорей всего. В итоге, приходит абуза, а вместе с ней менты. Обыск, протокол, изъятие, все дела. Оно нужно вам? Мне? Мне – нет. И если бы все упиралось в комп и разборки по ноде. Придя домой и проведя обыск, могут найти нежелательные материалы и пришить что-то еще. Тем более, если есть какие-то темы, которые требуют конфиденциальности. От веселых картинок, например, до коммерческой тайны. Да и противно, когда эти, чмошники в форме лезут в к вам в душу. Сопляки с позиции силы будут копаться в дорогих вам вещах, лезть в вашу жизнь, плюя и топчась в грязных ботинках у вас дома. У меня у самого родственники, как и каждого второго, имеют отношение к погонам. Для них честь, совесть, служба – не пустой звук. Но они уже в отставке. Да и силовик силовику рознь. Мент и военный – очень разные категории. Ментов у меня нет среди родни. Военные – есть. Ментура сделала сама себя, век не отмоешься. Даже на нормального, а их среди ментов не так и мало, думаю, большинство, смотришь как на мусора. А фигли ты в мусора пошел, если нормальный?
Поэтому считаю, ставить экзит можно где угодно, но не у себя дома. Если терять, конечно, нечего, то можно и дома. Даже у себя. Купить чипсов, попкорна. И ждать звонка в дверь. Или по телефону от прова сначала. И продолжения банкета с разъездами и общением с разными интересными и не очень людьми. Даже отделавшись легким испугом – это засвет. Потом может аукнуться, будете уже под колпаком.
Сам в будущем подумывааю финансировать ноды и поднимать их, как описал выше. Сейчас пока нет возможности. Вернее, возможность-то есть, хоть и ограниченная, но хотелось бы не просто так, поднял и до третьей абузы простоял и закрылся. Если делать, то, считаю, надо подходить серьезно. Изучить площадки, игроков, рынок, тенденции. Посмотреть на все пристальнее.
коммерсант, нанимая ментов, спецов и т.д., для сбора компромата, конф инфы тоже нарушает закон. исполнители заказа в пагонах, используя свое слежебное положение, тоже нарушают закон. и что с этим делать? а как противостоять таким заказам? нанимать "ликвидаторов" проблем? или таких же? ДЕМАГОГИЯ!
если бы силовики и фискалы отвечали "по-взрослому" за свои ошибки, то не было бы столько ошибок. а пока, остается лялякать о каких нравственных и моральных аспектах жизни в раше))) где попираются честь и достоинство граждан, как в каком-нибудь Береге слоновой кости, но там хоть не орут о демократии и правых нормах. вот так взяли и съели Кука ))
суды оценивают ваши честь и достоинство в 10 рублей, ну кто ж при таких условиях будет соблюдать чужие честь и достоинство.
Ответ прост – власть не хочет наводить порядок, ибо это нужно начинать с себя. А так не хочется (!). Времени мало осталось, сланцевый газ не за горами... а еще столько нужно "сделать".
Все примеры взяты исключительно по материалам зарубежных источников, а пострадавшие от грубых действий правоохранительных органов находились в США, Германии и, если не ошибаюсь, в Австрии. На свои местные национальные особенности можете проецировать опыт зарубежных первопроходцев самостоятельно.
Посвящается тому Гостю, который обличил всех пользователей Tor:
http://www.securitylab.ru/news/439710.php
Есть такой проект: cloud.torproject.org, где предлагается запустить бридж в Amazon EC2.
1. Где то здесь писали, что в проекте ТОР стоит проблема наличия выходных нод. Думаю, проблем с бриджами нет, вследствие легкости их запуска?
2. Почему там же не предлагается запустить выходную TOR-ноду? Или скопление тор-нод на амазоне превратит его в глобального наблюдателя?
лично я скрываюсь от модераторов pgpru..))
Амазон толерантен к бриджам. У них и трафик небольшой, и проблемы с исходящими данными в открытую сеть отсутствуют. Экситы он может сам заблокировать.
Мы Вас не разыскиваем.
запустить бридж в Amazon EC2 не бесплатно. пусть и небольшие деньги, но кредитку, данные будь добр предоставить.. можно левым путем, но требуется время. поэтому то это не активно продвигается.
Наверное, ноды вообще не рекомендуется запускать на VDS?
Ну может вы собираете статистику или
злоупотребляететроллите[link8] =))Не обижайтесь, вы даже должны приветствовать атмосферу всеобщего недоверия..))
Статистика не нужна. А если вы будете продолжать настаивать на том, что вас разыскивают, придётся вас доставить в подвалы Лубянки вне очереди[link9].
Даже не собирался. :)
почему?
старый проект, теперь и интерактивный?
Не то, чтоб не рекомендуется, а скорее не самый лучший способ (а других часто вообще нет). Админ легко может получить полный доступ к виртуальной ОС и её содержимому, ключам ноды и т.д. Считается, что получение доступа к dedicated server будет для администратора хостинга посоложнее + можно воспользоваться уловками с привязкой к железу и обфускацией кода. Ничто не идеально, но затраты админов в последнем случае вырастут.
Virtual Private Server (VPS), Virtual Dedicated Server (VDS) — желательно просто DS, не virtual.
Держу exit-ноды, отбиваю абузы, наткнулся на такой баг в Tor:
В torrc прописано ExitPolicy reject 217.112.34.0/23:*, но Tor это игнорирует, нужно дублировать в iptables чтобы точно работало:
К стати теперь на сайте тора лежат
Vidalia Bridge Bundle
Vidalia Relay Bundle
Vidalia Exit Bundle
то есть мост, релей и исходящая нода. Так как в линуксе нет таких сборок – отредактил файл торрк как Relay Bundle – за это в росии никто плохого не скажет, ибо нода промежуточная, а пользу сети приношу.
В Linux надёжнее поставить системный Tor[link10]. Если статья вас пугает, то настраивать себе прозрачную торификацию и работу торбраузера через системный тор необязательно. Можно только поставить системный тор и настроить как релей, а TBB использовать с опциями по умолчанию.
конфигурационный файл торрк претерпел изменения, скажите чтоб не искать что там именно добавили – что то с флешем, какое то fte proxy
## fteproxy configuration
ClientTransportPlugin fte exec ./Tor/PluggableTransports/fteproxy.bin --managed
## obfsproxy configuration
ClientTransportPlugin obfs2,obfs3 exec ./Tor/PluggableTransports/obfsproxy.bin managed
## flash proxy configuration
#
# Change the second number here (9000) to the number of a port that can
# receive connections from the Internet (the port for which you
# configured port forwarding).
ClientTransportPlugin flashproxy exec ./Tor/PluggableTransports/flashproxy-client --register :0 :9000
@unknown, не всегда.
Смотри[link11] там второй пункт, после Debian, Убунту:
И с Raspbian какие-то косяки.
Там речь о том, что не надо ставить Tor из системного репозитория (по причине медленных обновлений), а не о том, чтобы не использовать Tor в виде системного демона.
Вот именно. Иначе говоря, если вы ставите системный Tor не из официальных сборок торпроджекта[link12] с пакетом под ваш дистрибутив, а из сборок мантейнеров своего дистрибутива или ещё из какого места, то это ваши убунтопроблемы.
что мешает:
$ sudo apt-get install vidalia
В Видалии ставьте хоть релей хоть бридж.
Но для Debian, как там пишут, можно ставить конвенционально. Типа security-патчи бэкпортят или как их там... В случае Tor'а новая уязвимость = выпуск новой версии, впрочем.
Tor плохо бэкпортят, несмотря на то, что он на Debian изначально и разрабатывается и один из разработчиков входит в команду мэнтейнеров Debian. Только в самых критических случаях перевыпускают пакет с новой версией. Так что лучше и для Debian в /etc/apt/sources.list прописать репозиторий торпроджекта.
что мешает:
$ sudo apt-get install vidalia
В Видалии ставьте хоть релей хоть бридж.
Насколько помню, видалиа не развивается.
А чего там должно развиваться? Это ж GUI. Не нравится Видалиа, ставьте Arm.
А вообще посмотрите страницу загрузки для Вин. Там только Видалиа.
Из сборок тор бундле убрали видалию начисто, ее предлагалось отдельно скачать.
Отделяйте мухи от котлет..
Там все bundle. Tor Browser Bundle (TBB), правда последнее время просто ТВ, и Vidalia Bridge Bundle, Vidalia Relay Bundle, Vidalia Exit Bundle, Expert Bundle. Вы то о чем говорите? Что хотите добиться-то?
А что значит отдельно скачать? Отдельно то ее нет. Ну хорошо, пусть когда нибудь появится видалия отдельно, как ее потом установить?
Я имею в виду то, что сейчас под юниксом сборка Tor Browser Bundle идет без видалии, ранее в каком то из релизов ее предлагали скачать отдельно такой же сборкой. А некоторый геморрой в том, что пришлось вручную править файл торрк, читать мануалы по изменению содержимого файла торрк дабы сделать его релеем, но не выходным. К вопросу "что я хочу" – скачал последнюю версию на сегодняшнее число, и заметил что содержимое файла торрк поменялось, а именно добавилось содержимое -
Вопросы -
1) что за новые строки с флеш- прокси конфигурацией?
2) Как обывателю на юниксе настраивать релей промежуточный, учитывая что сборок Tor Browser Bundle под юникс нет, и шевелить придеться мозгами, а не в ГУИ видалия, которую теперь убрали.
Вот и выросло поколение пользователей типа юниксов…
Поставьте системный Tor (не из Bundle, а из пакета, и лучше не из своего дистра, а из репозитория торпроджекта) и поправьте в его конфиге пару строчек, не читайте, что сейчас осталось здесь[link13], а смотрите здесь[link14], хотя в попытке угодить чайникоподобным юзерам у торпроджекта на главных страницах вся документация теперь отвратительная. Читайте маны.
В простейшем случае в /etc/tor/torrc нужно будет выбрать опции ORPort, DirPort (хотя это с какого-то момента обещают убрать — статистика и соединения будут идти по одному порту), ExitPolicy reject *:*. Наверное, придёться задать RelayBandwithRate и RelayBandwithBurst, ну и про остальные опции в разделе конфига "Relays" хорошо бы почитать в мане, чтобы подумать над их выбором.
Это не для обычных промежуточных релеев, а для бриджей или их клиентов.
Оно очень приятно лезть руками в логику работы дистра. Первый же вопрос — как он будет проверять ключи? Откуда они возьмутся? Как проверить валидность устанавливаемых ключей для нового репа? А как это соотнести с правильной проверкой подписей[link15]? Я вроде не новичок, но поглядел на их инструкцию, и мне стало тоскливо, а что про других говорить?
Правильная проверка подписей из схемы по приведённому вами коменту нужна для TBB, который не ставится из пакета. При установе пакетов всё автоматизировано так, что многие, к сожалению, не знают всей логики того, что происходит под капотом. Единственное, где там можно проколоться — внести фальшивый GnuPG-ключ в пакетный менеджер.
Там минимум вмешательства: добавка ключа стороннего репозитория и прописывание его в конфиге. Это штатная опция.
Все пакеты дистра заверены его подписью. Пакет без подписи поставить невозможно. В том числе пакет с кейрингом всех мантейнеров Debian. Если поставить этот пакет из дистра, то вы будете иметь подпись мантейнера, которого зовут Peter Palfrader. Он в топроджекте отвечает за упаковку пакетов для Debian. Но вам его ключ сам по себе не нужен. Вам нужен ключ торпроджекта:
gpg --keyserver keys.gnupg.net --search-keys 0xA3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89
gpg --keyserver keys.gnupg.net --recv-keys 0xA3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89
Но этому отпечатку, который вы видите на форуме, доверять нельзя. Нельзя просто так скопировать его с форума, может его подменило АНБ.
Скачанный ключ надо проверить:
gpg --list-sigs 0xA3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89
По идее, там должна быть подпись Питера из кейринга мэнтейнеров Debian. Но у меня в системе это работало только на момент первоначальной установки. Сейчас такая проверка не срабатывает. Придётся обновить ключ Питера с сервера. Из известных и доверяемых по множеству источников ключей я вижу, что ключ deb.keyrings.org заверен подписями Питера, Роджера и Эндрю Льюмана.
Т.е. доверие от вашего рабочего дистра автоматически протягивается к ключам всех разработчиков Tor вообще — они взаимоподписаны. Можно ещё упомянуть, что сам дистр Debian вы можете скачивать с серверов, подконтрольных потенциальному противнику (АНБ). Вы ведь также проверяете его по подписи и умеете это делать. А иначе, зачем вам крипто, Tor и всё сопутствующее?
Только после того, как вы сами проверили и поняли все взаимоотношения ключей (а не тупо скопировали отпечатки с форума), только тогда вы можете помещать ключ торпроджекта в свой пакетный менеджер:
gpg --export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | sudo apt-key add -
Затем можете прописать репозиторий топроджекта в конфиг /etc/apt/sources.list
Туда надо прописать:
Затем, через sudo или рута:
apt-get update
apt-get upgrade
apt-get install tor tor-geoipdb deb.torproject.org-keyring
Представил как я поглядел на инструкцию, на вроде не новичка и мне стало тоскливо :( Неновичок хочет поставить Tor-ноду, при этом не хочет разбираться в азах работы с GnuPG и со своим дистром, которые касаются его безопасности и безопасности пользователей, которые будет обслуживать его Tor-узел.
Радует только man из команды tor-gencert, предназначенной для запуска корневых директорий:
Разработчики позаботились хотя бы о том, чтобы корневые директории нельзя было запустить на Windows и из стандартных гуёв, типа Видалии. Может, было бы лучше не доверять никаким операторам узлов, неспособным сконфигурировать Tor? Или разработчики считают, что лучше небезопасный, кем и как попало запущенный Tor-узел, ведь заведомо злоумышленный Tor-узел всё равно будет сконфигурирован правильно? Также, ещё раз возникает вопрос, что не нужно привлекать специально операторов узлов, у которы нет своей мотивации, например деньгами и пожертвованиями через Bitcoin. Иначе, толпа таких «не совсем новичков» массово понаставит что-угодно и как-попало, лишь бы побыстрее получить вознаграждение, наплевав на безопасность своих Tor-узлов.
Спасибо за подробный разбор.
Я так понял, что она нужна для всего критичного софта. Если его подписало n уполномоченных человек, членов проекта, нужно сверить подписи их всех. Подписи в Debian, как я понимаю, иные: там есть один ключ, им подписывается конкретный пакет. Или apt-get поддерживает в т.ч. и сверку нескольких подписей на пакете?
DA — вообще не массовые решения. Их всего штук 10, все друг друга знают лично, могут договориться запускать их на чём угодно.
Там один ключ на все пакеты. Все мэнтейнеры имеют свои индивидуальные ключи и возможно даже подписывают апдейты своими ключами, но наружу это не попадает. Скорее всего, через внутренние коммуникации между ними принимается решение о доверии к апдейту, включаемому в апт, а снаружи можно проверить только подпись этим единственным ключом.
Более того, безопасность самого ключа, заверяющего дистры в пакете — это какое-то совсем непонятное obscurity. Кто его генерит, в каком подвале он храниться, как его используют для оперативной подписи большого числа срочных апдейтов, можно ли его стащить с сервера, можно ли им подписать какой-то левак, проникнув в команду разрабов. А Debian — это тысячи пакетов, у каждого м.б. по несколько разработчиков, лично они друг друга не знают. Ключ этот никем не подписан. Доверие к нему тянется только через кейринги от предыдущих выпусков дистров. Бардак и непонятки с выпуском самого этого нового ключа также бывали (наподобие, ключ выпущен, а в кейринг включить забыли, пару человек в рассылке спрашивает, а можно ли скачивать новый Debian, подписанный непонятно чем — впрочем это касается не подписи пакетов в текущем apt, а другого ключа — ключа дистра, это разные ключи, для Live-версии ещё какой-то отдельный ключ, толком их взаимоотношения нигде не расписано и возможно, только малая часть параноиков в мире разгребает этот бардак с подписями). Радует только то, что Debian раз в несколько лет приходиться обновлять — проверил один раз ключи, поставил, настроил и забыл на несколько лет, как оно там. Это касается и установки системного Tor: до выпуска нового релиза Debian ключ обычно не меняется, а если будет баг, как недавно в начале сентября, когда у Питера истёк ключ и он его неверно в начале продлил, то такой баг быстро приводит к ошибкам в apt, баг-репортам и исправлению кейринга через апдейт посредством самого apt.
С другой стороны, если кто-то может скомпрометировать архитектуру безопасности апдейтов Debian через утечку ключа, то тогда любой пользователь Debian может уже поверх этого особенно себе безопасность не накручивать.
Кто-нибудь дайте простой рецепт как сегодня с меньшим гимороем запустить relay! Интересует как и в последней сборке под винды (без vidalia) так и под nix и Tails.
Кто-то стуканул профессору Янгу, и он выложил на cryptome.org разоблачение, оказывается Сноуден тут не балду пинает, и не по шлюхам ходит, а поднимает выходную ноду в 1000 mbps, что есть 1 гигабит. Название с изюминкой "The Signal".
Прямая ссылка http://cryptome.org/2014/12/snowden-on-tor.htm
Цитата
@Гость (18/12/2014 02:00) <#>
Почитай этот тред: https://lists.torproject.org/p.....2-August/025296.html[link16]
Тут он выложил прямо свои конфиги.
Это был тёплый август, четверг: Thu Aug 23 00:16:54 UTC 2012
Врядли у тебя 1gbps, так что такая *nix настройка для твоей машины вероятно будет валидной, где-то дальше там продолжение должно быть, Роджер или кто-нибудь расскажут, как правильно.
Ага[link17]. Только не тут, а ещё там.
Вопрос следующий. Если прийти в офис к провайдеру (всё официально, вплоть до бумажного оформления или заключения не типового договора, а индивидуально составленного с помощью юриста) и сказать, так и так, подключаюсь к вам, такой-то такой-то законопослушный гражданин. Целью подключения является борьба с цензурой, предоставление приватности и предоставление выходной ноды Tor для пользователей. Этим шагом, возможно, снимается ответственность с абонента за возможную вредоносную активность с этой ноды. Утопия в наших широтах, но
засветитьсяпопробовать можно, наверное, пока не ввелиответственность за юзанье анонимайзэров.Да тебе выпишут мандат-индульгенцию.
Пусть выписывают. Для начала можно разослать на почту крупных провайдеров запросы и посмотреть, каков будет ответ. И светиться не придётся.
Если с какого-то адреса, принадлежащего провайдеру "Телеком", проводится атака, то провайдер не несет за это ответсвенности, отвечает абонент. По этой логике, абонент не несет ответственности за противоправные действия третьих лиц. Одновременно с этим можно повесить на адрес заглушку, что все противоправные действия запрещены, владелец ноды ответственности не несет и т. д.
У себя поднимать экзит я не буду, по крайней мере в этой стране в обозримом будущем, а вот разослать письма попробую,
отпискирезультаты запросов опубликую в этой теме.Еще во времена ссср
евреиумные люди знали, что с нашим государством играть в такие игры нельзя (как впрочем и со многими другими)лучше оставаться в подполье, так безопаснееБудет примерно как с "Баярд-Славия Коммуникейшнс"[link18]. Не по сути дела, а по форме тяжбы. Ну попробуйте, если интересно.
На данном сайте ссылка на интересную статью[link19] Статья любопытна еще тем, что данные вопросы поднимались почти 15 лет назад )
А материалы того сайта с тех пор вроде и не обновлялись )
Уважаемые, вы зря развели полемику, или может я ошибаюсь?
https://cloud.torproject.org/
Типа все упирается в то, что в инете полно провайдеров, которые
готовы сдать тебе в аренду так называемый выделенный сервер. На него ты можеш
накотить нужную тебе винду-линуксу, а на нее ТОР, либо вообше запустить ТОР
с RAM диска (TOR RAM DISK). Ну и гоняй с этого сервака, палево исключено,
главное безпалевно анонимно приобрести такой сервак, а вот это уже сложнее.
Есть у кого идее как анонимно приобрести дидекейтный выделенный сервак?
Не то, чтоб не рекомендуется, а скорее не самый лучший способ (а других часто вообще нет). Админ легко может получить полный доступ к виртуальной ОС и её содержимому, ключам ноды и т.д. Считается, что получение доступа к dedicated server будет для администратора хостинга посоложнее + можно воспользоваться уловками с привязкой к железу и обфускацией кода. Ничто не идеально, но затраты админов в последнем случае вырастут.
Да, выделенный дедикейтный сервак это решение всех проблем. Ты ведь можеш воротить на нем чехочеш,
вплоть до шифрования всей опирационки. Так что если сервак и вскроют, то врятли получат доступ к самой операционке
и ее содержимому. Зашифровать весь диск, еще лудше.
вот полюбуйтесь, за 40 баксов все че захочеш https://www.1and1.com/dedicated-server
Многие (большинство) хостеров легко выключают tor-экситы (тема то про них, а не про бриджи) и расторгают контракт с пользователем. Также как и торрентокачалки и пр.
Ну не так все плохо, иначе бы не было предложений vpn для торрентокачания.
Тоесть предлагаете повесить выходную ноду через vpn который для торрентов?
Чтобы выходной трафик с ноды заварачивался в этот ВПН а с ниго уже выходил в интернет?
И входной.
В рассылке где-то было, что некоторые тор-узлы настроены на работу с трафиком через VPN.
А ну так это можно, можно даже простой бридж пустить через ВПН
Типа ты запускаеш ТОР которому указываеш конектица не напрямую а через VPN
шобы он туда сюда через ВПН гонял
А чем выходная отличается от бриджа? тотже тор, значит указываем сначало приконектица к vpn
Отсюда тебя тоже[link20] надо вайпнуть?
На сайте проекта тора говорится что можно пускать трафик тора по разным схемам через впн.
Но при этом говорится что такя схема пускания трафика через впн сильно снижает и без того низкую скорость работы тора.
Связи с различными блокировками сейчас это как никогда актуально выкладываю свой фаил конфигурации torrc для выходной ноды тестировал на Debian работает как часы фактическую работоспособность любой ноды можно посмотреть на сайте Tor Network Status https://torstatus.blutmagie.de/
Rulan46rth, спасибо за инфу. Но не подскажет ли кто, как в никсах быстро и наименее безопасно для системы (чтоб не открыть дыры) настроить промежуточную(!) ноду? После убирания этой функции в Vidalia это стало нетривиальным! :( И возможно ли это поднять только с TBB или нужно ставить системный Tor?
Адаптируйте это[link21]
PS
Адаптировав себе, выложите нам.
А то мы уж было подумали вас либо посадили/убили[link22] за три года вашего тут отсутствия :)