Vlákno názorů k článku Provoz anonymního serveru v doméně .onion přes Tor od onion_world - Zajimavy clanek, i kdyz potrebuje pokracovani, protoze nyni...
-
onion_world (neregistrovaný)
Zajimavy clanek, i kdyz potrebuje pokracovani, protoze nyni zatim jen popisuje "reseni" na pul...
Uvedeny priklad pouziti na servru, co se tyce h.i.d.d.e.n. s.e.r.v.i.c.e.s - je de facto nepouzitelny :-(Proc?
= DNS leaksJak uz v diskuzi naznacil "Jan Ťulák", reseni neodhaleni IP servru s bezicimi h.i.d.d.e.n s.e.r.v.i.c.e.s je pouze ve virtualizovane siti, skladajici se s nekolika virtualnimi PCs-OS, kdy jeden servr je prostrednik mezi HostOS a 1. virt. PC, ktery by mel mit 2 sitove karty.
1 karta pro spojeni s HostOS a druha pro spojeni s dalsimi virt. PCs-OS, ale nastavena jako na "internal only" - VirtuaBox, cili vnitrni sit mezi temi virt. PCs.
Na 1. virt. PC musi byt spravne a kvalitne nstavene iptables, na ostatnich -
c. 2 virt. PC by bezel Tor,
na c. 3 pak webserver (ne Apache, ten je prilis robustni a slozity pro anonymni nastaveni, resp. zamezeni veskerych moznych informaci o servru). Idealni wevservr, IMHO, nginx, lighttpd popr. cherokee.Pristup na tyto virt. PC z HostOS nebo uplne zvenci, by mel byt pouze pres ssh.
Utocnik, popr. v budoucnu objevena prip. chyba v Tor-u by mela zpusobit pouze to, ze utocnik by mel zustat uzavren pouze v te vnitrni siti mezi c. 2 - c. 3, nemit zadnout moznost poznat HostOS...
Proto uvedeny priklad je nepouzitelny, protoze jen blazen by si Tor rovnou spustil na hlavni (HostOS) servr...Mohli by jste p. Krcmar udelat pokracovani s podobne nastinenym scenarem, vcetne spravneho nastaveni iptables, s pouzitim v prostredi Debian (popr. pak i CentOS nebo RedHat) a s virt. sw: VirtualBox (a popr. i pak KVN apod.) ?
VirtualBox po nastaveni a vygenerovani vsech potrebnych virt. PCs/OSs lze pak z HostOS spoustet bez GUI, tedy v CLI ( VBoxManage startvm JmenoVirtPc )Pokud nebudete delat pokracovani, ani tenhle clanek nema moc veliky smysl, protoze v teto podobe je reseni nepouzitelne.
Predem dekuji (za vsechny zajemce) za pokracovani.
-
onion_world (neregistrovaný)
P.S. Po napsani vys uvedeneho, musim pak "pul hodiny" hledat a propisovat "ty zakazane slova", pac mi to vyhazuje, ze byl prispevek vyhodnocen jako spam :-(
Udelejte s tim neco, protoze je to uz trapne a ubohe, ani smesne ne, kdyz - nevim co, jestli snad spec. znaky nebo - zkratka hledani a meneni nekterych slov, aby byl prispevek prijat :-\
Dekuji. -
onion_world (neregistrovaný)
Mam od jednoho typka jedno 'know-how' s pouzitim Ubuntu 9.x server verze + dokonce on pouzil i trucrypt disk, ktery nejdriv musi otevrit a ma tam obsah web stranek (webservru), z HostOS se pripaji (kdyz chce brouzdat) pouze pres ssh.
Na brouzdani staci si bud stahnout z tor stranek jejich torbrowser nebo TAILS LiveCD.
Ale pro prozvoz 24/7, abys zabranil hacku websevru nebo Tor-u...
Mas snad lepsi reseni ? :)
Sem s nim, urcite nejen me bude zajimat :)A navic, pak kdyz to spustit v CLI, tak prumerne linux virt. OS nevezme vic RAM nez +/- 64-128 MB (musis si to vyladit tak, aby bezelo jen to nejnutnejsi). Takze se to da v pohode utahnout i na 2 GB RAM zeleze.
-
Peter S. (neregistrovaný)
Lepšie nemám, skôr ide o primeranosť riešenia ku tomu čo si akože chrániš... Ak robíš fakt tvrdú protizákonnú činnosť a prípadne točíš peniaze, tak rozhodne máš pravdu. ja som skôr mal na mysli nejakú neškodnu aktivitu, že ked ťa vypátrajú tak sa nič nedeje, resp. nikomu by si za vypátranie nestál...
-
onion_world (neregistrovaný)
"...ja som skôr mal na mysli nejakú neškodnu aktivitu, že ked ťa vypátrajú tak sa nič nedeje..."
Tvuj dotaz, IMHO, neni spravne staven - jedna se pouze ciste o technicke reseni:
jestli je hidden skutecne hidden nebo ne.
Ono vzdy o neco jde, tak jako pokud mas u sebe strelni zbran, take ji muzes protizakonne pouzit nebo take ne - jde spis o technicke zvladnuti pouziti...A Tor je velice specificka vec, ktera urcitym zpusobem funguje. To, jak a kcemu pouzijes hidden serv., je uz jijina zalezitost.
Me se jedna pouze o technickou stranku veci. -
OR (neregistrovaný)
DNS leaks:
SOCKS5 umoznuje dat FQDN v connect commandu. Tor ma navic ohackovany SOCKS tak, ze umoznuje A/PTR/CNAME dotazy. Plna podpora DNS casem bude (je to potrebne napr. kvuli XMPP a SRV zaznamum).Zatim "full DNS" lze ohackovat nainstalovanim unboundu lokalne a tunelovat dotazy na upstream resolver pres Tor se socat-em.
-
onion_world (neregistrovaný)
Zajimave cteni, ale muzes to napsat vice "cesky" ? :D LOL
Pochybuji, ze prumerny ctenar bude vubec tusit co tim myslis a uz vubec, jak to provest :D
Idealni by fakt bylo, napsat seriozni clanek - tech. reseni pro skutecne bezpecny provoz h.i.d.d.e.n. s.e.r.v.i.c.e.s...A to jeste v clanku neni zminka o onioncat, coz by v pokracovanich bylo take zajimave, jak, kdy (a proc) (ne)kombinovat Tor + onioncat.
jezisikriste zase ta d.bilni hlaska:
"Váš příspěvek byl vyhodnocen jak spam (v textu byla použita zakázaná slova) a nebude přijat. Pokud se domníváte, že zadáváte regulérní příspěvek, pošlete nám ho prosím e-mailem do redakce na adresu redakce (zavináč) root (tečka) cz" -
Vyjádřím se k hlášce o spamu: To druhé slovo se vyskytuje velmi často ve spamech, takže na něj filtr reaguje. Stačilo by použít český ekvivalent „skrytá služba“. Bohužel je to daň za to, že teď máme od spamu klid. Mimochodem jen na fórum to za posledních pár měsíců zkusilo přes 15K spambotů z Ruska. Většina z nich chrlí spam v angličtině, kde se nabízejí různé „služby,.půjčky, levné věci“ a podobně.
-
OR (neregistrovaný)
Podrobneji je to tady (Tails je liveCD Tor distribuce):
https://tails.boum.org/contribute/design/Tor_enforcement/
Misto unboundu pouzivaji ttdnsd, ktery se pres Tor proste pripoji ke Google DNS serverum. Tudiz vsechny DNS dotazy ze systemu jdou pres Tor.
-
onion_world (neregistrovaný)
TAILS je, pokud se nepletu, primarne urcen pro "brouzdani", podobne jako kdyz si stahnes "Tor browser" a pripojis se na Tor.
Jak by jsi si predstavil komplexni reseni (na Linuxu samozrejme, o win$ se nema asi moc smysl bavit :D), ze bys poskytoval sluzby "hidden serv..." 24/7, cili jak uz bylo zminene, musis mit spusten Tor, pak webservr a popr. db (MySql, postgree nebo Python apod.) a u vseho musis hodne nastaveni zmenit a prizpusobit speficikemu Tor prostredi.
Jak si tohle vse predstavujes jako komplex?
Pouziti TAILS to za tebe neudela, pro brouzdani, ci uz Tails spustis ve Vboxu nebo primo nabootujes z mechaniky je to ok, ale jako hidden sluzbu, IMHO ne.
Ale podivam se na ten odkaz.A pro tu virtualizaci hraje fakt, jak uz bylo take zmineno, ze pokud by v budoucnu se objevil nejaky bug, hole atd. v Tor-u nebo ostatnich vecech (webservr, db), nesmi dojit k hacku/ovladnuti celeho (produkcniho) servru.
-
OR (neregistrovaný)
Ja jsem puvodne reagoval jenom na DNS leaks. Jinak reseni s tema virtualy je celkem dobre vymysleno.
Co by jeste slo udelat:
virtual 1:
- Tor, forwarduje connectiony na virtual 2 kde bezi webserver, DB, unbound
- socat tunel pres Tor na nektery verejny rekurzivni DNS, povolime aby se sem mohl pripojit unbound z vedlejsiho virtualu (treba pres redirect atp)
- do iptables by slo povolit jenom IP adresy Tor relayu. Nejak rozumne vygenerovat binarni strom skriptem, aby to nemelo linearni slozitost. Viz taky iptables target NFQUEUE (musi se ale updatovat protoze Tor directory se meni)virtual 2:
- web server s databazi, host-only network, unbound se pripojuje na ten socat tunel slouzicimu jako forwarder, v /etc/resolv.conf adresa na 127.0.0.1 (unbound)
Extra: na virtualu 2 pouzit grsecurity (nebo neco podobneho), web server a DB dat do skupiny, ktera nemuze vytvorit TCP/UDP spojeni (na DB pujde pres local socket). A skompilovat vsechno rucne (Tor, webserver, unbound), vypnout nepotrebne featury, zapnout veci jako PIE, ASLR, mit monoliticky kernel bez modulu (zakazat navic blbosti typu firewire)... Tady mi prijde hardened gentoo jako idealni. Pro vyssi level paranoie zapnout RBAC. Bude to spousta prace, ale bylo by mozne z toho udelat distribuci, takze se to bude delat jenom jednou.
BTW proc vubec potrebujeme DNS na virtualu s web/db? Tam staci "miniserver", ktery bude odpovidat na vsechno SERVFAIL nebo NXDOMAIN.
-
OR (neregistrovaný)
A *rozhodne* bych se vyhnul pouzivani PHP-based veci. Krome toho, ze nemaji zrovna dobrou povest kdyz jde o bezpecnost, vyvojari PHP maji podivny pristup k opravovani chyb:
Prve, misto toho, aby opravili skutecny bug, tak to obesli limitovanim poctu promennych jenom v requestu (hashtabulky se budou pouzivat i jinde) a patchem vytvorili novou, horsi diru.
