Ինչպե՞ս ստեղծել թաքնված Tor ծառայություն կամ .onion կայք

tor բլոգում տեղադրված պատկեր է


Tor ֆոն

Սոխի երթուղիչը (Tor) ինտերնետի գաղտնիության ամենատարածված գործիքներից մեկն է: Մշակված է ԱՄՆ Պաշտպանության դեպարտամենտի տարբեր մասնաճյուղերի կողմից 1990-ականների կեսերին: «Սոխի երթուղիչ» տերմինը օգտագործվում է `օգնելով պատկերացնել իր գործելակերպը: Networkանցային երթևեկությունը տեղափոխվում է Tor ցանց, այնուհետև ցատկվում է ցանցի ներսում գտնվող այլ Tor հանգույցների միջոցով, նախքան այն դուրս գալով դեպի մաքուր ցանց (այսինքն ՝ սովորական ինտերնետ): Նախնական փաթեթները ավելորդ ծածկագրվում են, և ճանապարհի յուրաքանչյուր Tor հանգույցը միայն ապակոդավորում է այն շերտը, որը պետք է իմանա, թե ինչ պետք է անի փաթեթի հետ: Այս շերտավոր ծածկագրման պատճառով Tor- ի ոչ մի հանգույց չգիտի ինչպես ցանցային ցանկացած փաթեթի աղբյուրի, այնպես էլ նպատակակետի մասին.

Tor- ի օգտագործման մեկ այլ եղանակ էլ կա: Փոխանակելու այն, VPN- ի նման եղանակով ՝ մուտքագրելու, մագլցելու և այնուհետև դուրս գալու Թորից, հնարավոր է գործարկել ծառայություններ, ինչպիսիք են վեբ-կայքերը հենց Tor Tor- ի ներսում: Այս դեպքում ցանցային երթևեկությունը մտնում է Tor ցանց, բայց երբեք դուրս չի գալիս: Այս հոդվածում կներկայացվեն Tor ծառայության կառուցման հետ կապված հիմնական քայլերը.

Tor- ի թաքնված ծառայություն իրականացնելու երկու հիմնական պատճառ կա.

  1. Ծառայություն վարելու համար, որը դուք ցանկանում եք թաքցնել և մնալ թաքնված և որևէ կերպ կապված չէ ձեզ հետ: Սա Մետաքսի ճանապարհի մոդելն է: Մետաքսի ճանապարհը ապօրինի շուկա էր, որը գործում էր որպես Թոր ցանցերում թաքնված ծառայություն: Քանի որ այն վաճառում էր ապօրինի ապրանքներ, օպերատորները շահագրգռված էին թաքնված մնալու համար: Այնուամենայնիվ, կան բազմաթիվ իրավական կայքեր, որոնք վարում են մարդիկ, ովքեր ցանկանում են թաքնված մնալ քաղաքական կամ այլ պատճառով.
  2. Ձեր այցելուներին ապահով և անանուն միջոց ապահովելու համար, նույնիսկ եթե դուք չեք մտածում ձեզ վերագրվող կայքի մասին: Սա Facebook մոդելն է: Facebook- ը Tor ծառայություն է վարում ՝ https://www.facebookcorewwwi.onion: Ակնհայտ է, որ թաքնվելու ոչ մի փորձ չկա: որոնց տերերն ու օպերատորները հայտնի են.

Չնայած այս հոդվածի նպատակը վերջին դեպքն է, երկուսն էլ ունեն բազմաթիվ գործառնական անվտանգության (OpSec) վերաբերմունք, որը դուք պետք է լուծեք: Պարզապես վեբ սերվեր տեղադրելը և Tor- ը տեղադրելը, հավանաբար, բավարար չեն լինի ձեր կայքը և ձեր ինքնությունը երկար պահելու համար: Քեզ համար որքան կարևոր է, դա համահունչ է պարանոիայի մակարդակի հետ.

Tor հաճախորդի տեղադրում

Tor թաքնված ծառայություններին կարելի է հասնել միայն Tor միացված համակարգերի միջոցով: Շատ նման է, որ ձեզ հարկավոր է գործարկել VPN ՝ որոշ աշխարհաքաղված բովանդակության հասանելիություն ստանալու համար, հարկավոր է գործարկել Tor- ը ՝ թաքնված ծառայություններ մուտք գործելու համար: Բարեբախտաբար, Tor հաճախորդի տեղադրումն ու գործարկումը դարձել է ծայրաստիճան հեշտ `Tor Project- ի տարիների ընթացքում տքնաջան աշխատանքի շնորհիվ.

Տես նաեւ: Լավագույն VPN- ները Tor- ի համար

Այս հոդվածը ամենավերջին անվտանգ Tor հաճախորդի կայացման մասին չէ: Մենք պարզապես պետք է գործարկենք Tor հաճախորդին, որպեսզի տեղափոխվենք թաքնված Tor ծառայության ստեղծում: Հետևաբար, այս հոդվածում ձեր Tor- ի հիմնական կարգավորումների հրահանգներին հետևելուց հետո գուցե ցանկանաք վերանայել Tor Project- ի առաջարկությունները ձեր Tor հաճախորդին պատշաճ կերպով օգտագործելու համար ՝ անանունությունը պահպանելու համար.

Կան բազմաթիվ Tor հաճախորդներ `տարբեր հարթակների համար: Dave Albaugh- ը գրված է Անանուն զննման համար Tor- ի օգտագործման վերջնական ուղեցույցը, որը պարունակում է բավականին սպառիչ ցուցակ: Այս հոդվածում մենք պարզապես կանդրադառնանք Tor- ի հաճախորդի տեղադրումը մեծ երեք գործառնական համակարգերում. Windows, macOS / OSX և Linux: Նմանապես, Tor- ի թաքնված ծառայությունը կարող է գործարկվել Windows- ում կամ ցանկացած Unix- ի նման համակարգ, և ես կցանկանայի Linux- ի հիմնական կարգավորմանը.

Clientանկացած համակարգով Tor հաճախորդին գործարկելու ամենադյուրին ճանապարհը Tor Browser Bundle- ի տեղադրումն է: Այն պարունակում է Firefox- ի կարծրացված տարբերակ և ստեղծում է SOCKS5 վստահված անձ, localhost- ի հյուրընկալող պորտի վրա 9150, որը կարող է օգտագործել այլ վստահված անձինք, ինչպիսիք են SSH- ը: Մեզ անհրաժեշտ կլինի Tor- ի պաշտպանված SSH- ը `մեր թաքնված ծառայությունը կարգավորելու համար.

Windows- ի համար Tor բրաուզերի տեղադրում

Tor հաճախորդը Windows- ի համար տեղադրելու համար անմիջապես այցելեք Tor կայքը: Համոզվեք, որ ներբեռնում եք իրական torproject.org կայքից: Համացանցում կան Tor- ի շատ հակառակորդներ և, հետևաբար, Tor- ի հաճախորդի շատ վարկաբեկիչ վարկածներ: Ուղղակիորեն torproject.org- ից ներբեռնումն ապահովում է, որ դուք կստանաք տարբերակ ՝ չխեղդելով: Tor- ի կայքում առկա յուրաքանչյուր ներբեռնման համար կա նաև GPG ստորագրություն, որը կարող եք համեմատել ձեր ներբեռնման հետ `նույնիսկ ավելի մեծ վստահության համար.

Կտտացրեք Ներբեռնման կոճակը և ընտրեք Windows տարբերակը:

Tor կայքի բեռնման կոճակը

tor բեռնելու Windows տարբերակը

Տեղադրման գործընթացը սկսելու համար կրկնակի կտտացրեք ներբեռնված ֆայլը: Ձեզանից կառաջարկվի ընտրել լեզու և տեղադրման վայր, ինչպես ցանկացած այլ ստանդարտ Windows տեղադրման գործընթաց: Տեղադրման ավարտից հետո ձեր աշխատասեղանին կտեսնեք նոր Tor Browser.

windows tor տեղադրիչը ավարտված է

Առաջին գործարկման գործընթացը ձեզ հարց կտա, թե ինչ տեսակի Tor- ի տեղադրումն է ձեզ հարկավոր: Ուշադրություն դարձրեք, թե ինչպես Ուղղակի կապի տարբերակը ունի Միացման կոճակ, մինչդեռ կամուրջը կամ տեղական վստահված անձի տարբերակը Կազմաձևման կոճակ ունի.

windows tor առաջին գործարկել ցանցի կարգավորումը

Շատ դեպքերում ուղիղ միացման տարբերակը տեխնիկապես կաշխատի, բայց կան երկու իրավիճակ, երբ գուցե ցանկանաք ընտրել երկրորդ տարբերակը: Ուղղակի կապը դեռ անանունություն կապահովի, բայց դիտորդի համար ակնհայտ կլինի, որ դուք օգտագործում եք Tor- ը, որը գուցե չցանկանաք: Բացի այդ, որոշ ISP- ներ և ցանցեր կարող են ակտիվորեն արգելափակել Tor կապերը, կամ ձեզ հարկավոր է կարգավորել վստահված անձ ՝ Tor- ին մուտք գործելու համար: Եթե ​​դրանցից որևէ մեկը դիմում է, դուք կցանկանաք ընտրել երկրորդ տարբերակը `կամուրջ տեղադրելու կամ վստահված անձին կարգաբերելու համար.

windows tor Bridge վստահված անձի կարգաբերում 1

Bridge և վստահված անձի կարգաբերում

Այս հարցին այո ընտրելը կբացի էկրան, որտեղ դուք կարող եք կամուրջներ միացնել: Tor հանգույցները հրապարակվում են, որպեսզի յուրաքանչյուրը, ով ցանկանում է արգելափակել Tor- ի հասանելիությունը իրենց ցանցում, պարզապես պետք է արգելափակի այս հայտնի հանգույցների համար նախատեսված պահանջները: Կամուրջը պարզապես չհրապարակված Tor հանգույց է, ուստի դրա հետ կապերը, ամենայն հավանականությամբ, չեն արգելափակվի, քանի որ դա հայտնի հանգույց չէ: Քանի դեռ ձեր կամուրջները որոշելու անհրաժեշտություն չկա, ընտրեք «Միացեք դեպի տրամադրված կամուրջներ» տարբերակը.

Windows Tor կամուրջների կազմաձևում

Դրանից հետո ձեզ կտանեն վստահված անձի կազմաձևման էջ.

windows tor Bridge վստահված անձի կարգաբերում 1

Այս հարցի համար ոչ ընտրություն կատարելը շրջանցելու է կամրջի կազմաձևման էկրանին և ուղղակիորեն կտանի վստահված անձի կազմաձևման էկրանին.

windows tor- ը ստեղծել վստահված անձ 2

Մուտքագրեք ձեր հատուկ վստահված անձի տեղեկությունները և կտտացրեք Միացնել կոճակը: Դուք միացված կլինեք Tor ցանցին և գործարկվի Tor բրաուզերը.

windows- ի ջահը միացված է

Կտտացրեք Test Tor Network Settings հղմանը ՝ հաստատելու համար, որ դուք միացված եք: Ձեր կողմից ցուցադրված IP հասցեն չպետք է լինի ձեր սեփականը.

windows tor test ցանցային պարամետրեր

Եթե ​​ձեզ հետաքրքրում է ձեզ նշանակված ելքի հանգույցը, կտտացրեք Atlas հղմանը ՝ դրա մասին ավելի շատ տեղեկություններ իմանալու համար.

Տեղադրեք Tor զննարկիչը macOS / OSX- ի համար

Tor հաճախորդը macOS / OSX- ում տեղադրելու համար այցելեք իրական Tor Project ներբեռնման էջը և ընտրեք Tor Browser for Mac տարբերակը:.

Ձեզ կառաջարկվի բացել պատկերի ֆայլը և այն տեղափոխել ձեր ծրագրերի պանակ ՝

macos tor download prompt

macos tor- ը տեղափոխվում է ծրագրեր

Դրանից հետո դուք կկարողանաք գտնել Tor Browser հավելվածը Launchpad- ում: Առաջին գործարկման գործընթացը ձեզ կտանի նույն կամուրջի և վստահված անձի հրաշագործի միջոցով, որը արեց Windows- ի տարբերակը: Այն պատշաճ կերպով ավարտելուց հետո կտտացրեք Միացնել կոճակը: Գործարկվելու է Tor զննարկիչը: Կտտացրեք Test Tor Network Settings հղմանը, որպեսզի այն ճիշտ աշխատի և ցույց տա այլ IP հասցե.

Linux- ի համար Tor բրաուզերի տեղադրում

Linux Tor բրաուզերը մի երկուական գործադիր է, որը տեղադրման գործընթաց չունի.

linux tor download prompt

Արդյունահանեք zipped tar ֆայլը և այն կստեղծի tor-browser_en-US գրացուցակ, որի մեջ կա սկավառակ-զննարկիչ.desktop անունով ֆայլ: Գործարկեք այդ ֆայլը կեղևից կամ կրկնակի սեղմեք այն ձեր ֆայլերի մենեջերում ՝ Tor Tor Browser- ը գործարկելու համար: Սա կսկսի այժմ ծանոթ առաջին գործարկման գործընթացը, որը թույլ կտա ձեզ ստեղծել ցանկացած կամուրջ կամ վստահված անձ, որոնք ձեզ կարող են անհրաժեշտ, այնուհետև միանալ Tor- ին: Տվյալ կարգաբերման վերաբերյալ մանրամասն հրահանգները տեղադրված են Tor- ի զննարկիչը Windows- ի բաժնում.

Կտտացնելով սոխի պատկերակը զննարկչի հասցեի սանդղակի կողքին, կբացահայտի տեղեկատվություն Tor- ի միացման մասին, որը ստեղծվել է ձեզ համար: Շղթան Tor- ի այն անցուղին է, որը վերցրել է ձեր խնդրանքը: Օրինակ ՝ Կանադայից Comparitech- ի կայքը դիտելու համար ես մտա Ֆրանսիայում Tor ցանցը, ցատկեցի Գերմանիայի միջով և դուրս եկա Հոլանդիայի մաքուր ցանց:.

tor բրաուզերի միացման մասին տեղեկությունները

Tor ծառայության ստեղծում

Tor ծառայությունները օգտագործում են URL- ի հատուկ կառուցվածք: Պարզ ցանցում մենք սովոր էինք տեսնել Top-Level տիրույթներ (TLD), ինչպիսիք են .com, .net և այլոց անհամար կազմվածքներ: Մի TLD, որը գոյություն չունի մաքուր ցանցում .onion է, և, հակառակը, դա միակ TLD- ն է, որն առկա է Tor ցանցում: Նշանակում է, եթե փորձեք միանալ Tor ծառայությանը, ինչպիսին է Facebook- ի Tor կայքը https://www.facebookcorewwwi.onion, առանց Tor- ին միանալու, դուք չեք կարողանա: Այս անվանման կոնվենցիայի պատճառով որոշ մարդիկ Tor- ի ծառայություններն անվանում են սոխի վայրեր.

Անվտանգության նկատառումները տեղադրման ընթացքում

Մենք այժմ պատրաստվում ենք ստեղծել Tor ծառայություն ՝ օգտագործելով էժան Linux VPS: Ահա OpSec- ի առաջին դասը. Քանի որ ինձ չի հետաքրքրում Մետաքսի ճանապարհի մոդելը, ես պարզապես գնում եմ VPS- ը ամպային պրովայդերից, որը ընդմիշտ ինձ ինչ-որ կերպ կապելու է այս սերվերի հետ: Դուք պետք է օգտագործեք սերվեր, որը արտացոլում է ձեր մտահոգության մակարդակը դրա հետ կապված լինելու կապակցությամբ.

Մեկ այլ նկատառում է նաև այն, որ այս սերվերին ձեր ISP IP հասցեի հետ կապելը ձեզ ասոցացնելու է այս ծառայության հետ: Եթե ​​դա ձեզ համար հուզում է, ապա դրա շուրջ երկու հիմնական եղանակ կա: Եթե ​​այս համակարգին միանալու այլ հարմար եղանակ ունեք, առանց SSH օգտագործելու, կարող եք ստեղծել ձեր Tor ծառայություններն այդ մեթոդի կիրառմամբ և երբեք անհանգստանալ դրա մասին: Բայց եթե SSHSH- ից բացի այս սերվերին միանալու հնարավորություն չունեք, կարող եք օգտագործել Tor Browser- ի կողմից տրամադրված SOCKS5 վստահված անձը ձեր SSH- ի երթևեկությունը երթևեկելու համար: Eանկացած եղանակով պետք է խանգարվի ձեր ISP IP հասցեն կապվել այս սերվերի հետ.

SSH օգտագործելով Tor վստահված անձ

Եթե ​​դուք օգտագործում եք PuTTY- ը, կարող եք այն կազմաձևել Proxy պատուհանում.

putty վստահված անձի պարամետրերը

Օգտագործելով Linux- ը կամ macOS- ը, կարող եք օգտագործել SSH- ը ProxyCommand փաստարկով `օգտագործելով ճիշտ $ SERVERIP և $ USERNAME ձեր սերվերի համար: Օգտագործելով IP- ն, որը դուք կարող եք ստեղծել, պետք է կանխի DNS- ի արտահոսքը.

$ ssh $ SERVERIP -l $ USERNAME -o ProxyCommand ="nc -X 5-x տեղայնացում. 9150% ժամ% p"

Ես դա տեսնում եմ սերվերի տեղեկամատյաններում.

Փետր 5 16:34:34 host-172-20-0-101 sshd [11269]: Ընդունված գաղտնաբառ $ USERNAME- ից 65.19.167.131 նավահանգստից 22323 ssh2

Եվ մենք կարող ենք խորհրդակցել Tor Atlas- ին `հաստատելու համար, որ 65.19.167.131 IP- ն Tor ելքի հանգույց է ԱՄՆ-ում, այնպես որ ամեն ինչ լավ է թվում.

Երբ Tor- ը տեղադրվի սերվերի վրա, կարող եք նաև որոշել SSH Tor ծառայություն հիմնել, այնուհետև կապվել ՝ օգտագործելով .onion անվանումը ձեր ծառայության համար: Այդ հրամանը այսպիսին է թվում, և քանի որ Tor վստահված անձը խնդրում է, localhost- ի IP- ն դիտվում է SSH տեղեկամատյաններում.

$ ssh $ YOURSERVICENAME.onion -l $ USERID –o ProxyCommand ="nc -X 5-x տեղայնացում. 9150% ժամ% p" [email protected]$YOURSERVICENAME.onion- ի գաղտնաբառ. Վերջին մուտքը ՝ Sun Փետր 5, 20:47:10 2017-ին ՝ 127.0.0.1-ից

Տեղադրելով Tor- ը

Տեղադրեք Tor- ի պահոցը ձեր տեղադրման աղբյուրներին: Tor- ը կարող է հասանելի լինել ձեր բաշխումների ռեպոներում, բայց այն կարող է հնանալ: Հավանաբար լավագույնն է ստեղծել ռեպո ֆայլեր, ինչպիսիք են ՝ /etc/yum.repos.d/tor.repo, իրական Tor նախագծային ռեպոյի միջոցով ՝ օգտագործելով հետևյալ գրառումները.

[tor] name = Tor repo enabled = 1 baseurl = https: //deb.torproject.org/torproject.org/rpm/el/6/$basearch/ gpgcheck = 1 gpgkey = https: //deb.torproject.org/ torproject.org/rpm/RPM-GPG-KEY-torproject.org.asc

Այնուհետև տեղադրեք Tor:

sudo yum install tor

Debian և Ubuntu փաթեթները կարող եք գտնել https://deb.torproject.org/torproject.org/dists/ գրացուցակում; թարմացրեք վերը նշված կազմաձևերը, ինչպես անհրաժեշտ է ձեր բաշխման համար.

Նայեք / etc / tor / torrc ֆայլին: Այդ ֆայլում միացված ձեր նվազագույն նվազագույնը հետևյալն է.

RunAsDaemon 1 DataDirectory / var / lib / tor

Կարող եք նաև ցանկանալ երթուղայինացնել ձեր DNS հարցումները Tor- ի միջոցով: Սա կստիպի ձեր բոլոր DNS- ը Tor- ի միջոցով `սա ավելացնելով ձեր torrc փախչում (օգտագործեք որոշակի արժեք VirtualAddrNetworkIPv4- ի համար, որը իմաստ ունի ձեր սերվերում).

VirtualAddrNetworkIPv4 10.192.0.0/10 AutomapHostsOnResolve 1 TransPort 9040 TransListenAddress 127.0.0.1 DNSPort 53

Այդ աշխատանքը կատարելու համար դուք նույնպես պետք է ասեք ձեր սերվերին լուծելու DNS- ը տեղական ցանցում: Դա հնարավոր է անել, փոփոխելով /etc/resolv.conf- ը `ձեր համակարգին ասելու համար, որ լուծելու է տեղական գործադիրը, այլ անունների սերվերի փոխարեն, այն այժմ կազմաձևված է:.

nameserver 127.0.0.1

Այնուհետև վերագործարկեք ձեր լուծիչը.

sudo ծառայության ցանցի վերագործարկում

Այստեղ Tor Project էջում ավելի շատ տեղեկություններ կան DNS- ի և առհասարակ վստահված անձանց մասին.

Իրական ծառայության նախապատրաստում (վեբ, SSH)

Tor ծառայությունը կարող է լինել բառացիորեն ցանկացած տեսակի ծառայություն, որը դուք կտեսնեք, աշխատում է մաքուր ցանցում: Ես պատրաստվում եմ որպես վեբ սերվեր օգտագործել որպես օրինակ ՝ օգտագործելով նուրբ Nginx (արտասանված Engine X) վեբ սերվերը: Tor- ը կաշխատի Nginx- ի դիմաց և վստահված անձի բոլոր հայցերը: Ես CentOS- ի համար օգտագործում եմ այս հրահանգների համար, այնպես որ այդ հրամանների մեծ մասը կաշխատի Red Hat- ի վրա հիմնված ցանկացած խեղաթյուրման համար: Debian- ի վրա հիմնված համակարգերի վրա, ինչպիսիք են Ubuntu- ն, կարող եք օգտագործել yum- ի փոխարեն, և իմ նշած ֆայլերը կարող են լինել մի փոքր տարբեր վայրերում.

Տեղադրեք Nginx- ը `օգտագործելով ձեր բաշխման փաթեթի կառավարիչը.

sudo yum install nginx

Հիշեցնենք, որ Tor- ը պատրաստվում է վստահված անձի հայց ներկայացնել վեբ սերվերի համար: Սա նշանակում է, որ Nginx- ը պետք է միայն լսի տեղական նավահանգիստները: Եթե ​​Nginx- ը նաև լսում է ինտերնետին կցված ցանցի միջերեսները, ապա դուք վտանգի տակ եք դնում ձեր թաքնված ծառայության հասանելիությունը պարզ ցանցում: Nginx- ը միայն localhost- ին կապելու համար գտնեք default.conf ֆայլը և թարմացրեք ստանդարտ սերվերի ստանդարտը: RPM- ի վրա հիմնված distros- ում նախնական կազմաձևման ֆայլը սովորաբար այստեղ է.

sudo vi /etc/nginx/conf.d/default.conf

Տեղականին հասցնել ավելացնել լսել լռելյայն հրահանգին, որպեսզի այն այսպիսին է թվում.

լսել localhost. 80 default_server; սերվեր_name _; root / usr / share / nginx / html;

Վերագործարկեք Nginx:

sudo serice nginx- ի վերագործարկում

Փորձարկեք ինչպես տեղական, այնպես էլ տեղական 80 պորտը և ինտերնետին հասանելի 80 պորտը: Ինքնին սերվերի վրա.

# curl -IL localhost HTTP / 1.1 200 OK Server: nginx / 1.10.2 Ամսաթիվ ՝ Արև, 05 փետրվար 2017 20:13:33 GMT Բովանդակության-տեսակը ՝ տեքստ / html Բովանդակություն-երկարություն ՝ 3698 Վերջին փոփոխություն ՝ երկ, 31 հոկտ 2016 12:37:31 GMT Միացում ՝ պահպանել ETag: "58173b0b-e72" Ընդունում-միջակայքեր. Բայթ

Անջատել սերվերը.

$ curl -IL 170.75.162.213 curl: (7) Չհաջողվեց միանալ 170.75.162.213 պորտ 80-ին. Միացումը հրաժարվեց

Չնայած դրան, որ այդ վերնագրերում կարող է լինել տեղեկատվության արտահոսք, որը պետք է լուծվի, կապի կարգավորումը լավ տեսք ունի: Ավելի ուշ OpSec բաժնում վերնագրերի վերաբերյալ ավելի ուշ.

Հաջորդ քայլը Tor- ին ասելն է, որ լսել 80 ցանցի արտաքին ցանցի ինտերֆեյսի երթևեկությունը, այնուհետև վստահված անձի, որ տրաֆիկի ձեր տեղական Nginx տեղադրման համար.

sudo vim / etc. / tor / torrc

Վերջում ավելացրեք հետևյալ տողերը: HiddenServicePort հրահանգի ձևաչափը այն պորտն է, որի համար ցանկանում եք, որ Tor- ն ընդունի միացումները, այնուհետև IP. PORT- ը `վստահված անձի խնդրանքը վստահելու համար: Այս դեպքում մենք ուզում ենք, որ Tor- ը լսի ստանդարտ HTTP պորտ 80-ը, այնուհետև վստահված անձինք վերադառնան մեր Nginx- ի օրինակին `localhost- ի 80 պորտում: Դրանից կարող եք հետևել, որ կարող եք նաև վստահել առանձին հետևի ծայրերը, և ոչ միայն տեղական ծառայությունները Tor- ի հետ.

HiddenServiceDir / var / lib / tor / http_hs / HiddenServicePort 80 127.0.0.1:80

Վերագործարկեք tor:

sudo service tor- ի վերագործարկում

Ձեր նոր HTTP Tor ծառայության անունը պարզելու համար նայեք torrc ֆայլում նշված HiddenServiceDir- ի հյուրընկալող ֆայլին: Այս փաստացի HTTP ծառայության անունն է, որը ստեղծվել է այս հոդվածի համար, բայց, ամենայն հավանականությամբ, այն այլևս չի աշխատի հրապարակման պահին.

կատու / var / lib / tor / http_hs / hostname

zhsluuuvqvstkzey.onion

10 րոպեի ընթացքում դա կաշխատի Tor- ում, և դուք կկարողանաք այն բարձրացնել Tor բրաուզերում.

http tor ծառայություն

Նկատի ունեցեք տարբեր սարի միացում, որն օգտագործում է սոխի ծառայությունը: Դա Tor- ից ինտերնետ դուրս չի գալիս, քանի որ Tor- ն օգտագործել է Comparitech կայքին հասնելու համար: Դա այն է, որ .onion կայքերը միայն Tor- ի ներսում են.

http tor ծառայության սպասարկման միացում

Այժմ կարող եք ավելացնել ավելի շատ ծառայություններ, ինչպիսիք են Tor SSH ծառայությունը կամ ցանկացած այլ բան: Պարզապես տեղադրեք ծառայությունը, որը դուք ցանկանում եք օգտագործել, և ապա ավելացրեք HiddenService- ի երկու հրահանգը ձեր torrc- ին և վերագործարկեք Tor- ը.

sudo vim / etc. / tor / torrc

HiddenServiceDir / var / lib / tor / ssh_hs / HiddenServicePort 22 127.0.0.1:22

Վերագործարկեք Tor- ը `ծառայության ստեղները և անունն առաջացնելու համար.

sudo service tor վերագործարկել sudo cat / var / lib / tor / ssh_hs / hostname oxxcatqaha6axbcw.onion

SSH- ը մի այլ սարքից ՝ օգտագործելով ձեր սոխի անունը:

ssh oxxcatqaha6axbcw.onion -l $ USERID -o ProxyCommand ="nc -X 5-x տեղայնացում. 9150% ժամ% p"

[email protected] ի գաղտնաբառ. Վերջին մուտքը ՝ Sun Փետր 5, 20:53:20 2017-ից ՝ 127.0.0.1-ից

Հաստատելուց հետո դուք կարող եք SSH օգտագործել սոխի անունով, լավ ժամանակ է փակել SSH- ը մաքուր ցանցից: Անհամաձայնեցրեք այս տողը ձեր / etc / ssh / sshd_config ֆայլում.

#ListenAddress 0.0.0.0

Եվ փոխեք այն կարդալու համար.

ListenAddress 127.0.0.1

Եվ վերագործարկեք SSH:

sudo service ssh վերագործարկել

Թաքնված ձեր ծառայությունը պահեք թաքնված (OpSec)

Օպերացիոն անվտանգություն (OpSec) այն հասկացությունն է, որը հեշտությամբ հավաքելը, և, կարծես, կապ չունեցող, տեղեկատվությունը կարող է առաջացնել մի շատ հատուկ տեղեկատվություն: Tor- ն ինքնին չափազանց լավն է անանուն երթևեկի համար, բայց մարդիկ սարսափելի են OpSec- ում: Դրա պատճառով հաջողությամբ նույնականացան շատ մարդիկ, ովքեր օգտագործում էին Թոռը չարության համար.

Tor- ի ամենաբարձր ցուցանիշը, հավանաբար, Silk Road սև շուկայի Tor կայքը է: Ձերբակալվել են այդ կայքի երկու սերունդների ադմինիստրատորները, ինչպես նաև որոշ վաճառողներ: Թեև մանրուքները, հավանաբար, երբեք հայտնի չեն լինի, շատ դեպքերում անանունությունը կոտրվում է անփույթ OpSec- ով, այլ ոչ թե թուլություն Tor- ի մեջ: Այնուամենայնիվ, կան դեպքեր, երբ Tor ցանցը ինքնին կարող է վնասվել.

Տեղեկություններ կան, որ Tor- ի հակառակորդները գործում են Tor- ի հանգույցները: Գաղափարն այն է, որ եթե հակառակորդը բավականաչափ ռելեներ և ելքային հանգույցներ է գործել, ապա կարող է իրականացվել լայնածավալ երթևեկության վերլուծություն ՝ անհատական ​​օգտագործողներին հայտնաբերելու համար: FBI- ի գործողությունը, որը ոչնչացրեց Silk Road 2.0 – ը, ինչպես նաև 400 այլ կայքեր, հավանաբար գործարկում էր Tor հանգույցները ՝ որպես իր հետաքննության տվյալների հավաքման մաս: Մի շարք Tor ռելեներ, որոնք փոփոխվել են վերնագրերը փոխելու համար, որպեսզի բացահայտեն երթևեկության հոսքի մասին տեղեկությունները Tor- ի ցանցում, հայտնվեցին ձերբակալությունների արդյունքում: Նշվում է նաև, որ 400 կայքերից 129-ը հյուրընկալվել է մեկ վեբ հոստինգի կողմից: Սա կարող է նշանակել, որ հյուրընկալող պրովայդերը ունի վատ OpSec, կամ դա կարող է նշանակել, որ նա համագործակցել է իրավապահների հետ ՝ տրամադրելով ներքին սերվերի տեղեկատվություն, որը հասանելի չէ Tor- ի նորմալ օգտագործողներին:.

Ինչ էլ որ լինի, եթե ուզում եք տարանջատվել ձեր Tor- ի թաքնված ծառայությունից, ձեր առջև շատ մեծ խնդիր է դրված: Ձեր հակառակորդի բյուջեն և որոշումը, հավանաբար, կլինեն հաջողության որոշիչ գործոն, քան ձեր կողմից ձեռնարկված ցանկացած քայլ: Բայց դա անճիշտ լինել չի կարող: Ben Tasker- ը Tor OpSec- ի վրա մտածված մի կտոր է գրել, որն ընթերցում է: Ահա մի քանի բաներ, որոնք դուք պետք է վերանայեք, որպեսզի չթողնեք այն տեղեկատվությունը, որը կարող է օգտագործվել ձեզ նույնականացնելու համար.

Տեխնիկական OpSec

Անվտանգությունը լավագույնս կատարվում է շերտերում; արծաթյա փամփուշտ չկա, մի չափը համապատասխանում է անվտանգության բոլոր մոդելին: Մենք դա տեսնում ենք Tor ճարտարապետության մեջ այն մասին, որ ոչ մի հանգույց չունի բավարար տեղեկատվություն ՝ օգտագործողին վարկաբեկելու համար: Նմանապես, ձեր Tor սերվերը և ծառայությունները կարգավորելու ժամանակ չպետք է վստահեք, որ դրանք պետք է կազմաձևվեն ձեր հատուկ օգտագործման դեպքի հետ կապված:.

Firewall- ը

Մենք կազմաձևեցինք Tor- ի մեր երկու նմուշ ծառայությունները `լսելու միայն տեղական ցանցի միջերեսը: Սա պետք է բավարար լինի, որպեսզի դրանք չհասան ցանցի մեջ: Բայց կարող են պատահել այնպիսի բաներ, որոնք ձեր վերահսկողությունից դուրս են, ուստի իմաստ ունի բոլոր նավահանգիստների ամբողջ սերվերից անջատել անվտանգության և firewall- ի մի շերտ: Դա կանխելու է ձեր ծառայությունները հանկարծակի հասանելի դարձնել պարզ ցանցում `սխալ օգտագործման նորացման կամ մարդկային սխալի պատճառով.

Հայտերի վերնագրեր

Ձեր բոլոր ծառայություններում հնարավորինս շատ վերնագրեր վերացնելու երկու պատճառ կա: Նախ, նրանք կարող են իրականում տեղեկություններ տարածել ձեր համակարգի մասին, որոնք կարող են օգնել որոշել, թե որտեղ է գտնվում: Երկրորդ, նույնիսկ եթե նրանք նման առանձնահատուկ տեղեկատվություն չեն տարածում, բոլոր տվյալները կարող են օգտագործվել որպես սերվեր մատնահետք անելու փորձ, այնուհետև այն կապվելու է այլ, հայտնի, սերվերի հետ `այն պարզելու համար.

Կարող եք հեռացնել Nginx- ի տարբերակի շարքը `օգտագործելով server_tokens- ի հրահանգը ձեր Nginx կազմաձևման ֆայլի սերվերում, գտնվելու վայրում կամ http բաժնում:.

nginx վերնագրերի նշաններ

sudo vim /etc/nginx/conf.d/default/com

Ես այն դնում եմ սերվերի բաժնում.

սերվեր {server_tokens անջատված; լսել localhost. 80 default_server; սերվեր_name _; …

Հիմա վարկածն անհայտացել է.

nginx- ի վերնագրերի նշաններն անջատված են

Կարող եք ավելի հեռու գնալ Nginx- ով ՝ օգտագործելով «Headers More» մոդուլը: Դրանով դուք կարող եք սահմանել կամ հեռացնել վերնագրերի ավելի լայն տեսականի.

ՍՇ

SSH- ի հետ հատուկ ուշադրություն է դարձնում սերվերի նույնականացման մատնահետքը: Երբ դուք առաջին անգամ կապվում եք SSH սերվերին, ձեզ ծանուցվում է, որ ձեր համակարգը չի կարող հաստատել հեռավոր համակարգի ինքնությունը, որը ներկայացվել է սերվերի հիմնական մատնահետքերով և հարցրել է, թե ինչ եք ուզում անել: Մեզանից շատերը դա ընդունում են, իսկ այնուհետև սերվերի հանրային բանալին պահվում է մեր հայտնի_հոգիների ֆայլում: Այդ ծառայությանը միանալու հետագա փորձերը մեզ այլևս չեն հուշում.

$ ssh oxxcatqaha6axbcw.onion -l $ USERID –o ProxyCommand ="nc -X 5-x տեղայնացում. 9150% ժամ% p" Հյուրընկալողի «oxxcatqaha6axbcw.onion ()» -ի իսկությունը հնարավոր չէ հաստատել: RSA ստեղնաշարի մատնահետք է SHA256` FroAZ5QibIdWgYyCajY3BxMQjR5XGQFwS1alTOarmQc: Համոզվա՞ծ եք, որ ցանկանում եք շարունակել կապը (այո / ոչ): այո Զգուշացում. Մշտապես ավելացրել է «oxxcatqaha6axbcw.onion» – ը (RSA) հայտնի հյուրընկալողների ցուցակում: [email protected] ի գաղտնաբառ.

Այս տողը ավելացված է իմ know_hosts ֆայլում.

oxxcatqaha6axbcw.onion ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEArIR0Jn5fhY7kQxb37jBC1 + hRFZlxjrs4YsWf4DVJjjY7dlVzhN5mEnmBBs
8ukJp9BysAp0GbPDYT2egCggHfX79806KSMBIuUiU + g6AsxsyZPjv8t2xRc7KBfqaDL2BVqOy1bnxUva1AsPHeRG / symeTA3
Zo + Qz0YVNMN + fPCS3YA7Bc7u1YbP6KLpwyFs + CEcJdH1mHiGTx2Z0l9q7atj8tAheO7livBpLacP0SPseQqkEfJ / GWVUB7cW
KB7S2N1dy1M9im883Lpgp9Xe2doy2vScNwb70tES4zZg08AjSsybLXzSdYTEUqSP6IS0YWBE1dqdlfw ==

Այսպիսով, հաջորդ անգամ, երբ ես մուտք եմ գործում այդ քայլը, չի կատարվում:

$ ssh oxxcatqaha6axbcw.onion -l $ USERID –o ProxyCommand ="nc -X 5-x տեղայնացում. 9150% ժամ% p" [email protected] ի գաղտնաբառ. Վերջին մուտք ՝ երկուշաբթի 6 փետրվար 13:25:50 2017 թվականից ՝ 127.0.0.1-ից

Սրա հետ կապված խնդիրը կայանում է իմ հայտնի_հոստերի ֆայլում: Քանի որ ես ավելի վաղ եմ միացել իմ սերվերին `օգտագործելով հանրային IP- ն և իմ Tor վստահված անձը, ես արդեն ունեմ մուտք այդ սոխի մատնահետքին` այլ IP հասցեով.

170.75.162.213 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEArIR0Jn5fhY7kQxb37jBC1 + hRFZlxjrs4YsWf4DVJjjY7dlVzhN5mEnmBZMsNSLbr9B
8ukJp9BysAp0GbPDYT2egCggHfX79806KSMBIuUiU + g6AsxsyZPjv8t2xRc7KBfqaDL2BVqOy1bnxUva1AsPHeRG / symeTA3
Zo + Qz0YVNMN + fPCS3YA7Bc7u1YbP6KLpwyFs + CEcJdH1mHiGTx2Z0l9q7atj8tAheO7livBpLacP0SPseQqkEfJ / GWVUB7cWK
B7S2N1dy1M9im883Lpgp9Xe2doy2vScNwb70tES4zZg08AjSsybLXzSdYTEUqSP6IS0YWBE1dqdlfw ==

Սա բավականին հզոր հարաբերակցություն է: Գրեթե միանշանակ է, որ IP հասցեն 170.75.162.213 հյուրընկալում է իմ Tor ծառայությունը oxxcatqaha6axbcw.onion- ում `այս տեղեկատվության հիման վրա.

Սրանք ընդամենը երկու օրինակ են այն եղանակների միջոցով, որոնց միջոցով ձեր ծառայությունը կարող է մատնահետք լինել հետագայում նույնականացման համար: Հնարավոր չէ գտնել ձեր ծառայության ցանկացած հնարավոր ձևը թվարկելու հնարավորություն, բայց դիմումների վերնագրերը և վարքագիծը հովանոցային թեմաներ են, որոնք պետք է վերանայվեն:.

Վարքային OpSec

Կան ոչ տեխնիկական եղանակներ, որոնք կարող են կապված լինել նաև ձեր ծառայության հետ.

Uptime

Ձեր ծառայությունը կարող է դիտարկվել uptime- ի համար: Tor- ի շատ ծառայություններ հյուրընկալված չեն տվյալների ավանդական կենտրոններում, և ես միայն սպորտային հասանելի եմ: Ժամանակակից ցիկլերի հետ կապելը կարող է նախանշաններ հաղորդել օպերատորի ժամային գոտուն կամ աշխատանքային գրաֆիկին.

Հաշվի տվյալները

Տորն անանունության համար օգտագործելը քիչ իմաստ ունի, եթե մուտք եք գործում կայք, ապա մուտք եք գործում նույնականացվող տեղեկություններ: Ռոս Ուլբրիխտը, որը դատապարտվել է որպես Մետաքսի ճանապարհի Dread Pirate Roberts- ը (v 1.0), անհապաղ շեղվել է ՀԴԲ գործակալների կողմից գրադարանում, և ՀԴԲ-ի մեկ այլ գործակալ բռնեց իր նոութբուքը և վազեց: Ուլբրիխտը մուտք է գործել իր Silk Road DRP հաշիվ: Ակնհայտ է, որ Ուլբրիխտը արդեն նույնացվել էր և ստեղծվել էր, բայց այդ սոցիալական ինժեներության այդ փոքրաթիվ մասը ՀԴԲ-ին թույլ էր տալիս նրան բռնել իրեն մուտք գործելու մեջ, փնտրելով այն անձի հաշվին, որը նրանք փնտրում էին:.

Մականունի հարաբերակցությունը

Շատերը ինտերնետում օգտագործում են բռնակներ կամ կեղծանուններ ՝ իրական ինքնությունը թաքցնելու համար: Որոշ դեպքերում նրանք վաղվանից ընտրում են բռնակ և պարզապես հակված են դրանով կպչել, կամ գոնե ժամանակ առ ժամանակ կրկին օգտագործել: Սա վատ OpSec- ն է.

Թեև դա առանձնապես կապ չունի Tor- ի հետ, այն լավ օրինակ է այն բանի, թե ինչպես կարելի է պատմական հաշվի տվյալները օգտագործել մարդկանց նույնականացնելու համար: Հիլարի Քլինթոնի էլփոստի ադմինիստրատոր Փոլ Կոմբետտան թիրախավորված էր Reddit- ի օգտագործողների կողմից որպես օգտագործողի «քարե ստվարաթուղթ», որը տեղեկատվություն էր տրամադրում այն ​​մասին, թե ինչպես կարելի է փոփոխել էլփոստի ստացողներին այն ժամանակ, երբ Քլինթոնի անձնական էլփոստի սերվերի նորությունները հայտնվում են: Կա Combetta- ի երկար և հեշտ հետքերով պատմություն, որն օգտագործեց այդ բռնակը, այնպես որ այն գրեթե անանունություն չի ապահովում.

Ինչ վերաբերում է OpSec- ի տեխնոլոգիաներին, ապա, հավանաբար, չկա որևէ սահմանափակում այն ​​վարքագծի այն տեսակին, որը կարող է հավաքվել և կապված լինել Tor ծառայության օպերատորի նույնականացման համար: Ձեր հակառակորդը պարզապես ստիպված կլինի գաղափարներից և փողերից խուսափելուց առաջ.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map