Hvernig á að setja upp falinn Tor þjónustu eða .onion vefsíðu

fyrir bloggfærsluna mynd


Tor bakgrunnur

Onion Router (Tor) er eitt þekktasta netverndartæki. Hannað af ýmsum útibúum bandaríska varnarmálaráðuneytisins um miðjan tíunda áratuginn. Hugtakið „laukstýri“ er notað til að sjá hvernig það virkar. Netumferð er flutt inn í Tor netið og síðan skoppað í gegnum önnur Tor hnúður innan netsins áður en hún fer aftur út í tæra netið (sem þýðir venjulega internetið). Upphafspakkarnir eru dulkóðaðir með óþarfi og hver Tor hnútur á leiðinni aðeins afkóðar lagið sem það þarf til að vita hvað á að gera við pakkann. Vegna þessa lagskipta dulkóðunar veit enginn Tor hnút bæði uppruna og ákvörðunarstað netpakkans.

Það er önnur leið til að nota Tor. Í stað þess að nota það á VPN-líkan hátt til að slá inn, klóra og loka Tor, er mögulegt að keyra þjónustu eins og vefsíður inni í Tor netinu sjálfu. Í þessu tilfelli fer netumferð inn í Tor netið, en fer aldrei út. Þessi grein mun fjalla um grunnskrefin sem fylgja því að byggja upp Tor þjónustu.

Það eru tvær meginástæður til að reka Tor falna þjónustu:

  1. Að keyra þjónustu sem þú vilt fela og vera falin og ekki bundin við þig á nokkurn hátt. Þetta er Silk Road líkanið. Silkivegurinn var ólöglegur markaðstorg sem var falin þjónusta á Tor netunum. Vegna þess að það seldi ólöglegar vörur höfðu rekstraraðilar hagsmuni af því að vera enn hulin. En það er til fullt af löglegum síðum sem reknar eru af fólki sem vill vera falinn af pólitískum eða öðrum ástæðum.
  2. Til að bjóða öruggum og nafnlausum hætti fyrir gesti þína til að ná til þín, jafnvel þó að þér sé sama um síðuna sem er rakin til þín. Þetta er Facebook líkanið. Facebook rekur Tor þjónustu á https://www.facebookcorewwwi.onion. Vitanlega er engin tilraun til að fela það er Tor Facebook þjónusta; eigendur og rekstraraðilar eru vel þekktir.

Þó að tilgangur þessarar greinar sé síðarnefnda málið, hafa báðir mörg rekstraröryggi (OpSec) sem þú þarft að taka á. Einfaldlega að setja upp netþjón og setja upp Tor mun líklega ekki duga til að halda vefsíðunni þinni og sjálfsmynd þinni aðskilin lengi. Hversu mikilvægt það er fyrir þig er í réttu hlutfalli við stig þitt ofsóknarbrjálæði.

Setur upp Tor viðskiptavininn

Aðeins er hægt að nálgast Tor falna þjónustu í gegnum Tor tengd kerfi. Líkt og þú þyrfti að hleypa af stokkunum VPN til að fá aðgang að einhverju geo-lokuðu efni, þá þarftu að ræsa Tor til að fá aðgang að falinni þjónustu. Sem betur fer hefur það verið mjög auðvelt að setja upp og keyra Tor viðskiptavininn vegna mikillar vinnu Tor Project í gegnum árin.

Sjá einnig: Bestu VPN fyrir Tor

Þessi grein fjallar ekki um örugga uppsetningu Tor viðskiptavinar. Við þurfum bara að fá Tor viðskiptavin til að keyra til að komast áfram til að búa til falna Tor þjónustu. Þess vegna gætirðu viljað fara yfir ráðleggingar Tor Project um að nota Tor viðskiptavininn þinn rétt til að viðhalda nafnleynd þegar þú hefur fylgt grundvallarleiðbeiningum Tor viðskiptavinarins í þessari grein.

Það eru margir viðskiptavinir frá Tor fyrir margs konar palla. Dave Albaugh lagði endanlega leiðarvísir að því að nota Tor fyrir nafnlausa beit sem inniheldur nokkuð tæmandi lista. Í þessari grein ætlum við bara að skoða uppsetningu Tor-viðskiptavinsins á stóru þremur stýrikerfunum; Windows, macOS / OSX og Linux. Sömuleiðis er hægt að keyra Tor falna þjónustu á Windows eða hvaða Unix-líku kerfi og ég mun halda mig við grunn Linux uppsetningu.

Auðveldasta leiðin til að koma Tor viðskiptavininum í gang á hvaða kerfi sem er er að setja upp Tor Browser Bundle. Það inniheldur herta útgáfu af Firefox og býr til SOCKS5 umboð á localhost host port 9150 sem önnur proxy-meðvituð forrit eins og SSH geta notað. Við munum þurfa SS-verndaða SSH til að setja upp falda þjónustu okkar.

Setur upp Tor vafra fyrir Windows

Til að setja upp Tor viðskiptavininn fyrir Windows skaltu fara beint á Tor síðuna. Gakktu úr skugga um að þú halir niður af raunverulegri vefsíðu torproject.org. Það eru margir andstæðingar Tor og því margar útgáfur af Tor viðskiptavininum í hættu á Netinu. Að hala niður beint af torproject.org tryggir að þú munt fá útgáfu laus við áttina. Það er líka GPG undirskrift fyrir hvert niðurhal á Tor síðuna sem þú getur borið saman við niðurhalið þitt til að tryggja enn meira sjálfstraust.

Smelltu á Download hnappinn og veldu Windows útgáfuna:

til að hlaða niður vefsíðu

til að hlaða niður Windows útgáfu

Tvísmelltu á skrána sem er hlaðið niður til að hefja uppsetningarferlið. Þú verður beðin um að velja tungumál og uppsetningarstað eins og öll venjuleg Windows uppsetningarferli. Þegar uppsetningunni er lokið sérðu nýjan Tor Browser á skjáborðinu þínu.

gluggar fyrir uppsetningarbúnað lokið

Fyrsta keyrsluferlið mun spyrja þig hvaða tegund af uppsetningu Tor þú þarft. Taktu eftir því hvernig Bein tengingarmöguleikinn er með tengihnapp meðan brú eða staðgengilsvalkostur er með Stilla hnappinn.

windows tor keyrir fyrst netuppsetning

Í flestum tilfellum virkar beinna tengingar möguleikinn tæknilega, en það eru tvær aðstæður þar sem þú gætir viljað velja annan kostinn. Bein tenging mun enn veita nafnleynd, en það verður augljóst fyrir áhorfandann að þú notar Tor sem þú vilt kannski ekki. Sumir internetþjónustuaðilar og net gætu einnig lokað fyrir Tor-tengingar eða þú gætir þurft að stilla proxy til að fá aðgang að Tor. Ef eitthvað af þessu á við, þá viltu velja annan kostinn til að setja upp brú eða stilla umboð.

windows tor bridge proxy skipulag 1

Bridge og proxy skipulag

Ef þú velur já við þessari spurningu opnast skjár þar sem þú getur virkjað brýr. Tor hnútar eru gefnir út þannig að allir sem vilja loka fyrir Tor aðgang á neti sínu þurfa einfaldlega að loka fyrir beiðnir sem eru ætlaðar þessum þekktu hnútum. Brú er einfaldlega óbirt Tor hnútur, því tengingar við hana verða líklega ekki læstar vegna þess að hún er ekki þekktur hnút. Veldu valkostinn Tengjast við brýr nema þú hafir þörf fyrir að tilgreina eigin brýr.

stillingar glugga tor bridges

Þú verður síðan fluttur á proxy-stillingarsíðuna.

windows tor bridge proxy skipulag 1

Ef þú velur nei við þessari spurningu fer framhjá skjánum fyrir brú og fer með þig beint á proxy-stillingarskjáinn.

windows tor setja upp umboð 2

Sláðu inn sérstakar umboðsupplýsingar þínar og smelltu á Tengja hnappinn. Þú verður að tengjast Tor netinu og Tor vafrinn mun ræsa.

gluggar tor tengdir

Smelltu á tengilinn Test Tor Network Settings til að staðfesta að þú hafir samband. IP-vistfangið sem þú sérð birt ætti ekki að vera þitt eigið.

windows tor prófa netstillingar

Ef þú hefur áhuga á að hætta hnútnum sem þér hefur verið úthlutað skaltu smella á Atlas hlekkinn til að uppgötva meira um hann.

Setur upp Tor vafrann fyrir macOS / OSX

Til að setja upp Tor viðskiptavininn á macOS / OSX, farðu á hina raunverulegu niðurhalssíðu Tor Project og veldu valinn Tor Browser for Mac.

Þú verður beðinn um að opna myndskrána og færa hana í forritamöppuna þína:

macos tor niðurhal hvetja

macos tor fara í forrit

Þú munt þá geta fundið Tor Browser forritið í ræsibrautinni. Fyrsta keyrsluferlið mun leiða þig í gegnum sömu brú og proxy-töframann og Windows útgáfan gerði. Þegar þú hefur klárað þetta rétt skaltu smella á Tengja hnappinn. Tor vafrinn mun ræsa. Smelltu á hlekkinn Test Tor Network Settings til að tryggja að hann virki rétt og sýni annað IP-tölu.

Setur upp Tor vafrann fyrir Linux

Linux Tor vafrinn er einn tvöfaldur keyranlegur sem hefur ekkert uppsetningarferli.

Linux torhleðsla hvetja

Taktu út renndu tjöru skrána og hún mun búa til tor-browser_en-US skrá með skrá sem heitir start-tor-browser.desktop í henni. Keyra þá skrá úr skelinni eða tvísmelltu á hana í skjalastjórninni þinni til að ræsa Tor vafra. Þetta mun ræsa hið þekkta fyrsta keyrsluferli sem gerir þér kleift að setja upp allar brýr eða næstur sem þú gætir þurft og tengja síðan við Tor. Ítarlegar leiðbeiningar um þá uppsetningu eru í Setja upp Tor vafra fyrir Windows í þessari grein.

Með því að smella á laukstáknið við hliðina á veffangastiku vafrans birtast upplýsingar um Tor hringrásina sem hefur verið stofnuð fyrir þig. Hringrásin er leiðin í gegnum Tor sem beiðni þín tók. Til dæmis, til að skoða vefsíðu Comparitech frá Kanada, fór ég inn í Tor netið í Frakklandi, skoppaði í gegnum Þýskaland og hélt út á tæran net í Hollandi.

upplýsingar um hringrás vafrans

Setja upp Tor þjónustu

Tor þjónustu notar ákveðna URL uppbyggingu. Í glæra netinu erum við vön að sjá efstu lén (TLDs) eins og .com, .net og mýgrútur annarra. TLD sem er ekki til í skýru netinu er .onion og öfugt, það er eini TLD sem er til í Tor netinu. Sem þýðir að ef þú reynir að tengjast Tor-þjónustu eins og Tor-síðu Facebook á https://www.facebookcorewwwi.onion án þess að vera tengdur við Tor, muntu ekki geta það. Vegna þessa nafngiftarsamnings vísa sumir til Tor þjónustu sem laukasíðu.

Öryggissjónarmið við uppsetningu

Við ætlum nú að setja upp Tor þjónustu með ódýrum Linux VPS. Hér er fyrsta kennslustundin í OpSec: vegna þess að ég hef ekki áhuga á Silk Road Model, ég er bara að kaupa VPS af skýjafyrirtæki sem mun að eilífu tengja mig á einhvern hátt við þennan netþjón. Þú ættir að nota netþjón sem endurspeglar áhyggjur þínar af tengslum við hann.

Önnur athugun er að tenging við þennan netþjóna við IP-tölu ISP þinn mun tengja þig við þessa þjónustu. Ef það er áhyggjuefni fyrir þig, þá eru tvær megin leiðir í kringum þetta. Ef þú hefur einhverja aðra viðeigandi aðferð til að tengjast þessu kerfi án þess að nota SSH geturðu sett upp Tor þjónustu þína með því að nota þessa aðferð og aldrei þurft að hafa áhyggjur af henni. En ef þú hefur enga leið til að tengjast öðrum netþjóni en SSH, geturðu notað SOCKS5 umboð sem Tor Browser veitir til að beina SSH umferð þinni í gegn. Hvort sem er ætti að koma í veg fyrir að IP-tölu ISP tengist þessum netþjóni.

SSH með Tor umboð

Ef þú ert að nota PuTTY geturðu stillt það í Proxy-glugganum:

proxy-stillingar fyrir kítti

Með því að nota Linux eða macOS geturðu notað SSH með ProxyCommand rökinni með því að nota réttu $ SERVERIP og $ USERNAME fyrir netþjóninn þinn. Að nota IP í staðinn fyrir hvaða hýsingarheiti sem þú gætir búið til ætti að koma í veg fyrir DNS leka:

$ ssh $ SERVERIP -l $ USERNAME -o ProxyCommand ="nc -X 5 -x localhost: 9150% h% p"

Ég sé þetta í netþjóninum:

5. feb 16:34:34 host-172-20-0-101 sshd [11269]: Samþykkt lykilorð fyrir $ USERNAME frá 65.19.167.131 höfn 22323 ssh2

Og við getum haft samband við Tor Atlas til að staðfesta að 65.19.167.131 IP er Tor útgönguskipti í Bandaríkjunum, svo allt lítur vel út.

Þegar Tor er sett upp á netþjóninum geturðu einnig ákveðið að setja upp SSH Tor þjónustu og tengjast síðan með því að nota .onion heiti fyrir þjónustuna þína. Sú skipun lítur svona út og þar sem Tor nálgast beiðnir sést IP-staður heimsins í SSH-skránni.

$ ssh $ YOURSERVICENAME.onion -l $ USERID -o ProxyCommand ="nc -X 5 -x localhost: 9150% h% p" [email protected]$YOURSERVICENAME.onion lykilorð: Síðasta innskráning: Sun 5. feb 20:47:10 2017 frá 127.0.0.1

Setur upp Tor

Bættu Tor geymslunni við uppsetningarheimildir þínar. Tor gæti verið fáanlegt í dreifingarupplýsingunum þínum en það gæti verið úrelt. Líklega er best að búa til endurhverf skrá eins og /etc/yum.repos.d/tor.repo með raunverulegu endurhverfu Tor verkefninu með eftirfarandi færslum:

[tor] nafn = Tor repo virkt = 1 baseurl = https: //deb.torproject.org/torproject.org/rpm/el/6/$basearch/ gpgcheck = 1 gpgkey = https: //deb.torproject.org/ torproject.org/rpm/RPM-GPG-KEY-torproject.org.asc

Settu síðan upp Tor:

sudo yum setja tor

Þú getur fundið Debian og Ubuntu pakka í https://deb.torproject.org/torproject.org/dists/ skránni; uppfærðu stillingarnar hér að ofan eftir þörfum fyrir dreifingu þína.

Skoðaðu / etc / tor / torrc skrána. Það lágmark sem þú þarft að hafa virkt í þessari skrá er eftirfarandi:

RunAsDaemon 1 DataDirectory / var / lib / tor

Þú gætir líka viljað flytja DNS-fyrirspurnir þínar í gegnum Tor. Þetta mun þvinga allt DNS í gegnum Tor með því að bæta þessu við torrc fle (nota eitthvað gildi fyrir VirtualAddrNetworkIPv4 sem er skynsamlegt á netþjóninum þínum):

VirtualAddrNetworkIPv4 10.192.0.0/10 AutomapHostsOnResolve 1 TransPort 9040 TransListenAddress 127.0.0.1 DNSPort 53

Til að gera það verður þú einnig að segja netþjóninum þínum að leysa DNS á localhost. Það er hægt að gera með því að breyta /etc/resolv.conf til að segja kerfinu þínu að leysa með því að nota localhost í staðinn fyrir hvaða nafnaþjóna það er stillt í bili.

nameserver 127.0.0.1

Endurræstu síðan lausnarmann þinn:

sudo þjónustunet endurræstu

Það eru frekari upplýsingar um DNS og nálægð almennt á Tor Project síðu hér.

Útbúin raunveruleg þjónusta (vefur, SSH)

Tor-þjónusta getur verið bókstaflega hvers konar þjónusta sem þú munt sjá keyra á hreinu netinu. Ég ætla að nota vefþjón sem dæmi, nota sléttan Nginx (áberandi Engine X) netþjóninn. Tor mun keyra fyrir framan Nginx og proxy allar beiðnir. Ég er að nota CentOS fyrir þessar leiðbeiningar svo að flestar þessar skipanir virka fyrir alla rauða hatt sem byggir á Red Hat. Þú getur notað apt get í staðinn fyrir yum á Debian-byggðum kerfum eins og Ubuntu og skrárnar sem ég nefni geta verið á aðeins mismunandi stöðum.

Settu upp Nginx með pakkastjóra dreifingarinnar þinnar.

sudo yum settu upp nginx

Mundu að Tor er að fara í umboðsbeiðnir fyrir netþjóninn. Þetta þýðir að Nginx ætti aðeins að hlusta á localhost tengin. Ef Nginx hlustar einnig á netviðmót tengd Internetinu, þá átu á hættu að falin þjónusta þín sé tiltæk á skýrum netinu. Til að binda Nginx við localhost eingöngu skaltu finna default.conf skrána og uppfæra sjálfgefna netþjóninn. Í hverfi sem byggir á RPM er sjálfgefna stillingaskráin venjulega hér:

sudo vi /etc/nginx/conf.d/default.conf

Bættu localhost við sjálfgefna hlustatilskipunina svo hún lítur svona út:

hlustaðu localhost: 80 default_server; server_name _; rót / usr / deila / nginx / html;

Endurræstu Nginx:

sudo serice nginx endurræsa

Prófaðu bæði localhost tengi 80 og internetaðgangsgátt 80. Á netþjóninum sjálfum:

# krulla -IL localhost HTTP / 1.1 200 OK netþjónn: nginx / 1.10.2 Dagsetning: Sun, 5. Febrúar 2017 20:13:33 GMT Innihaldstegund: texti / html Innihaldslengd: 3698 Síðast breytt: mán. 31. okt. 2016 12:37:31 GMT Tenging: halda lífi ETag: "58173b0b-e72" Samþykkja svið: bæti

Slökkt á þjóninum:

$ krulla -IL 170.75.162.213 krulla: (7) Mistókst að tengjast 170.75.162.213 höfn 80: Tengingu hafnað

Þrátt fyrir að það geti verið einhver upplýsingalækningur í þessum hausum sem ætti að takast á við, þá er uppsetning tengingarinnar ágæt. Meira um haus í OpSec hlutanum síðar.

Næsta skref er að segja Tor að hlusta á umferð á ytra netviðmótið í höfn 80 og síðan umboð fyrir þá umferð til Nginx uppsetningarinnar.

sudo vim / etc / tor / torrc

Bætið við eftirfarandi línum í lokin. Snið HiddenServicePort tilskipunarinnar er höfnin sem þú vilt að Tor samþykki tengingar við og síðan IP: PORT til að framselja beiðnina til. Í þessu tilfelli viljum við að Tor hlusti á venjulegu HTTP tengi 80 og síðan umboð aftur til Nginx dæmisins okkar í höfn 80 á localhost. Þú getur ályktað um þetta að þú getir einnig fengið aðskilnað afturenda og ekki bara staðbundna þjónustu með Tor.

HiddenServiceDir / var / lib / tor / http_hs / HiddenServicePort 80 127.0.0.1:80

Endurræstu tor:

sudo þjónusta aftur endurræst

Til að komast að nafni á nýju HTTP Tor þjónustunni þinni skaltu skoða hostname skráina á HiddenServiceDir sem tilgreindur er í torrc skránni. Þetta er raunverulega heiti HTTP þjónustunnar sem myndað er fyrir þessa grein en líklega virkar það ekki lengur við birtingu:

köttur / var / lib / tor / http_hs / hostname

zhsluuuvqvstkzey.onion

Eftir 10 mínútur eða það mun það virka á Tor og þú munt geta komið því upp í Tor vafranum.

http tor þjónusta

Athugaðu mismunandi Tor hringrás sem laukþjónusta notar. Það kemur Tor ekki af internetinu eins og fyrra dæmið um að nota Tor til að komast á Comparitech síðuna gerði. Þetta er vegna þess að .onion síður eru aðeins í Tor.

http tor þjónustubraut

Þú getur nú bætt við fleiri þjónustu eins og Tor SSH þjónustu eða eitthvað annað. Settu bara upp þjónustuna sem þú vilt nota og bættu svo við HiddenService tilskipunum tveimur við torrc þinn og endurræstu Tor.

sudo vim / etc / tor / torrc

HiddenServiceDir / var / lib / tor / ssh_hs / HiddenServicePort 22 127.0.0.1:22

Endurræstu Tor til að búa til þjónustulykla og nafn:

sudo þjónusta tor endurræstu sudo cat / var / lib / tor / ssh_hs / hostname oxxcatqaha6axbcw.onion

SSH inn úr einhverri annarri vél með laukheiti þínu:

ssh oxxcatqaha6axbcw.onion -l $ USERID -o ProxyCommand ="nc -X 5 -x localhost: 9150% h% p"

Lykilorð [email protected]: Síðasta innskráning: Sun 5. feb. 20:53:20 2017 frá 127.0.0.1

Þegar þú hefur staðfest að þú getur SSH notað laukanafnið, þá er það góður tími til að loka SSH af hreinu netinu. Aftengja þessa línu í / etc / ssh / sshd_config skránni:

#ListenAddress 0.0.0.0

Og breyttu því til að lesa:

ListenAddress 127.0.0.1

Og endurræstu SSH:

sudo þjónusta ssh endurræstu

Hafðu falinn þjónustu þína falinn (OpSec)

Rekstraröryggi (OpSec) er hugmyndin að það að safna upplýsingum sem eru aðgengilegar og að því er virðist óskyldar geta skapað mjög ákveðnar upplýsingar. Tor sjálfur er ákaflega góður í að nafngreina umferð en mennirnir eru hræðilegir við OpSec. Vegna þess hafa margir sem hafa notað Tor til ills verið auðkenndir.

Tor-málið sem er í hæsta máta er líklega Tor-vefurinn með Silk Road markaðnum. Stjórnendur beggja kynslóða þessarar síðu voru handteknir auk nokkurra söluaðila. Þótt fínu smáatriðin verði líklega aldrei að fullu þekkt, er í flestum tilfellum brotið á nafnleysi af ósviknum OpSec frekar en veikleika hjá sjálfum Tor. Hins vegar eru tilvik þar sem Tor netið sjálft kann að hafa verið í hættu.

Fregnir herma að andstæðingar Tor starfi Tor hnútum. Hugmyndin er sú að ef andstæðingur starfrækti nægjanlega gengi og útgöngusnúna væri hægt að framkvæma stórar umferðargreiningar til að bera kennsl á einstaka notendur. Aðgerðin FBI Onymous sem tók niður Silk Road 2.0 auk 400 annarra vefsvæða rak líklega Tor hnúta sem hluta af rannsóknargagnaöflun sinni. Fjöldi Tor liða sem var breytt til að breyta hausum til að sýna upplýsingar um umferðarflæði birtust í Tor netinu sem leiddi til handtökanna. Einnig hefur verið tekið fram að einn af hýsingaraðilum hýsti 129 af 400 vefsvæðum. Þetta getur þýtt að hýsingaraðilinn hafi lélega OpSec, eða það gæti þýtt að hann hafi unnið með löggæslu með því að veita upplýsingar um innri netþjóna sem eru ekki tiltækir venjulegum Tor notendum.

Hvað sem því líður, ef þú vilt vera í sundur frá Tor falinni þjónustu þinni, þá hefurðu mjög stórt verkefni fram undan þér. Fjárhagsáætlun og ákvörðun andstæðings þíns verður líklega ákvarðandi árangur frekar en nokkur skref sem þú tekur persónulega. En það er engin ástæða til að vera slöpp. Ben Tasker hefur skrifað umhugsunarvert verk á Tor OpSec sem ber að lesa. Hér eru nokkur atriði sem þú ættir að fara yfir til að tryggja að þú lekir ekki upplýsingum sem hægt er að nota til að bera kennsl á þig.

Tæknilegt OpSec

Öryggi er best framkvæmt í lögum; það er engin silfurskothylki ein stærð passar öllum öryggislíkönum. Við sjáum þetta í Tor arkitektúrnum að enginn eini hnút hefur nægar upplýsingar til að skerða notanda. Sömuleiðis, þegar þú setur upp Tor netþjóninn þinn og þjónustu, ættir þú ekki að treysta því að þeir séu stilltir með sérstaka notkunartilfelli í huga.

Eldveggur

Við stilltum upp tvö sýnishorn af Tor þjónustu okkar til að hlusta aðeins á localhost viðmótið. Þetta ætti að vera nóg til að koma í veg fyrir að þau séu fáanleg í skýru netinu. En það geta gerst sem eru undir stjórn þinni, svo það er skynsamlegt að bæta við lag af öryggi og eldvegg af öllum netþjóninum á öllum höfnum. Þetta mun koma í veg fyrir að þjónusta þín verði skyndilega aðgengileg á hreinu netinu vegna skaðlegra uppfærsla eða mannlegra mistaka.

Fyrirsagnir umsóknar

Það eru tvær ástæður til að útrýma eins mörgum hausum og mögulegt er í allri þjónustu þinni. Í fyrsta lagi geta þeir í raun afhent upplýsingar um kerfið þitt sem geta hjálpað til við að bera kennsl á hvar það er. Í öðru lagi, jafnvel þó að þeir láti ekki í té sérstakar upplýsingar, er hægt að nota öll gögn til að reyna að fingrafar miðlarans og tengja þau seinna við einhvern annan, þekktan, netþjón til að bera kennsl á þau.

Þú getur fjarlægt Nginx útgáfustrenginn með því að nota tilskipun server_tokens á netþjóni, staðsetningu eða http hluta Nginx stillingaskrárinnar.

nginx haus tákn á

sudo vim /etc/nginx/conf.d/default/com

Ég setti það í netþjónahlutann

netþjónn {server_tokens slökkt; hlustaðu localhost: 80 default_server; server_name _; …

Nú er útgáfan farin:

nginx haus tákn af

Þú getur gengið lengra með Nginx með því að nota Headers More eininguna. Með því geturðu stillt eða fjarlægt fjölbreyttari haus.

SSH

Sérstök íhugun SSH er fingrafar þjónustugreiningar. Þegar þú tengist fyrst við SSH netþjón, færðu tilkynningu um að kerfið þitt geti ekki staðfest auðkenni ytri kerfisins, með lykil fingrafar þjónsins, og spurt hvað þú vilt gera. Flest okkar samþykkja það og þá er almenningslykill þjónsins geymdur í skjalinu okkar bekende_hosts. Síðari tilraunir til að tengjast þeirri þjónustu hvetja okkur ekki meira:

$ ssh oxxcatqaha6axbcw.onion -l $ USERID -o ProxyCommand ="nc -X 5 -x localhost: 9150% h% p" Ekki er hægt að staðfesta áreiðanleika hýsilsins ‘oxxcatqaha6axbcw.onion ()’. RSA lykil fingrafar er SHA256: FroAZ5QibIdWgYyCajY3BxMQjR5XGQFwS1alTOarmQc. Ertu viss um að þú viljir halda áfram að tengjast (já / nei)? já Viðvörun: Bætti ‘oxxcatqaha6axbcw.onion’ (RSA) varanlega við listann yfir þekkta vélar. Lykilorð [email protected]:

Þessari línu er bætt við know_hosts skrána mína:

oxxcatqaha6axbcw.onion ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEArIR0Jn5fhY7kQxb37jBC1 + hRFZlxjrs4YsWf4DVJjjY7dlVzhN5mEnmBZMsNSk9
8ukJp9BysAp0GbPDYT2egCggHfX79806KSMBIuUiU + g6AsxsyZPjv8t2xRc7KBfqaDL2BVqOy1bnxUva1AsPHeRG / symeTA3
Zo + Qz0YVNMN + fPCS3YA7Bc7u1YbP6KLpwyFs + CEcJdH1mHiGTx2Z0l9q7atj8tAheO7livBpLacP0SPseQqkEfJ / GWVUB7cW
KB7S2N1dy1M9im883Lpgp9Xe2doy2vScNwb70tES4zZg08AjSsybLXzSdYTEUqSP6IS0YWBE1dqdlfw ==

Svo næst þegar ég skrái mig inn er skrefið ekki framkvæmt:

$ ssh oxxcatqaha6axbcw.onion -l $ USERID -o ProxyCommand ="nc -X 5 -x localhost: 9150% h% p" Lykilorð [email protected]: Síðasta innskráning: mán. 6 feb. 13:25:50 2017 frá 127.0.0.1

Vandinn við þetta liggur í þekktu_hosts skránni minni. Þar sem ég tengdi við netþjóninn minn fyrr með því að nota almenna IP og Tor proxy minn, þá er ég þegar með færslu fyrir það laukfingrafar undir öðru IP tölu:

170.75.162.213 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEArIR0Jn5fhY7kQxb37jBC1 + hRFZlxjrs4YsWf4DVJjjY7dlVzhN5mEnmBZMsNSLbr9B3Fzk
8ukJp9BysAp0GbPDYT2egCggHfX79806KSMBIuUiU + g6AsxsyZPjv8t2xRc7KBfqaDL2BVqOy1bnxUva1AsPHeRG / symeTA3
Zo + Qz0YVNMN + fPCS3YA7Bc7u1YbP6KLpwyFs + CEcJdH1mHiGTx2Z0l9q7atj8tAheO7livBpLacP0SPseQqkEfJ / GWVUB7cWK
B7S2N1dy1M9im883Lpgp9Xe2doy2vScNwb70tES4zZg08AjSsybLXzSdYTEUqSP6IS0YWBE1dqdlfw ==

Þetta er ansi öflugur fylgni. Það er næstum öruggt að IP-talan 170.75.162.213 hýsir Tor þjónustu mína á oxxcatqaha6axbcw.onion út frá þessum upplýsingum.

Þetta eru aðeins tvö dæmi um leiðir sem hægt er að fingraprenta þjónustu þína til að bera kennsl á síðar. Það er líklega engin leið að telja upp allar mögulegar leiðir sem hægt er að bera kennsl á þjónustu þína en hausar á forritum og hegðun eru góð regnhlífarefni til að skoða.

Atferlisleg OpSec

Það eru ekki tæknilegar leiðir sem þjónusta þín getur líka verið bundin við þig.

Spenntur

Hægt er að fylgjast með þjónustu þinni fyrir spenntur. Margar Tor-þjónustur eru ekki hýstar í hefðbundnum gagnaverum og mínar eingöngu tiltækar sporadískt. Samsvörun spenntur lotur geta gefið vísbendingar um tímabelti rekstraraðila eða vinnuáætlun.

Reikningsgögn

Það er lítið vit í því að nota Tor til nafnleyndar ef þú opnar vefsíðu og skráir þig síðan inn með auðkenndum upplýsingum. Ross Ulbricht, sakfelldur sem Dread Pirate Roberts frá Silk Road (v 1.0), var augljóslega afvegaleiddur af FBI umboðsmönnum á bókasafni og annar FBI umboðsmaður greip fartölvuna sína og hljóp. Ulbricht var skráður inn á Silk Road DRP reikninginn sinn. Augljóslega var Ulbricht þegar búið að bera kennsl á og var sett upp, en þessi örsmái félagsráðgjafi gerði FBI kleift að ná honum skráður inn á reikning þess sem þeir voru að leita að.

Fylgni notandanafns

Margir nota handföng eða dulnefni á internetinu til að fela raunverulegan sjálfsmynd þeirra. Í sumum tilvikum velja þeir snemma handfangið og hafa tilhneigingu til að standa við það eða nota það að minnsta kosti aftur og aftur. Þetta er slæmt OpSec.

Þó þetta hafi ekkert sérstaklega með Tor að gera, þá er það gott dæmi um hvernig hægt er að nota sögulegan reikningsgögn til að bera kennsl á fólk. Paul Combetta, tölvupóststjórnandi Hillary Clinton, var notuð af Reddit notendum sem „grjóthruni“ notandans sem var að leita upplýsinga um hvernig eigi að breyta viðtakendum tölvupósts um það leyti sem fréttir af einkapóstþjóninum Clintons komu upp á yfirborðið. Til er löng og auðvelt að rekja sögu Combetta með því að nota það handfang svo það gaf nánast enga nafnleynd yfirleitt.

Eins og varðandi OpSec tæknina, þá eru líklega engin takmörk fyrir því hvaða hegðun er hægt að safna og samsvara til að bera kennsl á rekstraraðila Tor þjónustu. Andstæðingur þinn verður einfaldlega að klárast af hugmyndum og peningum áður en þú gerir það.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me