Задний ход в DarkWeb: различия между версиями

Материал из ALT Linux Wiki
Строка 78: Строка 78:
#Задать для доступа к сайтам <code>.i2p</code> одноимённый профиль, а к сайтам <code>.onion</code> и прочим недоступным — тор-прокси, по мере надобности пополняя список другими блокируемыми сайтами:
#Задать для доступа к сайтам <code>.i2p</code> одноимённый профиль, а к сайтам <code>.onion</code> и прочим недоступным — тор-прокси, по мере надобности пополняя список другими блокируемыми сайтами:
#:[[Файл:SiteList.png|Список сайтов]]
#:[[Файл:SiteList.png|Список сайтов]]
{|class="mw-collapsible mw-collapsed"
{|class="mw-collapsible mw-collapsed wikitable"
!В режиме редактирования исходного кода (можно попросту скопипастить) список выглядит так:
!В режиме редактирования исходного кода (можно попросту скопипастить) список выглядит так... &nbsp;
|-
|-
|<source lang="bash">
|<source lang="bash">

Версия от 11:22, 6 июля 2023

Введение

Для хождения с собственного линукса по сайтам в зонах .i2p, .onion и прочим, напрямую недоступным, достаточно настроить несколько утилит. Приготовим остренького — макарошки с чесноком и луком:

  • макарошки — «запутывающий» (obfuscating) прокси obfs4, без которого теперь не работает...
  • лук — прокси TORsocks (The Onion Router) как добавка к «луковому» маршрутизатору;
  • чеснок же — самостоятельный демон для протокола «невидимого» интернета i2pd (Invisible Internet Protocol daemon) с «чесночным» (garlic) построением маршрутов.

И завернём всё это в лаваш-плагин для браузера — вот вам и хрестоматийный «пирожок с вермишелью».

«Невидимый» интернет

Установить и запустить i2pd: 

# apt-get install -y i2pd
# systemctl enable --now i2pd

По адресу http://localhost:7070/ через браузер (хоть текстовый) доступны такие плюшки как:

  • проверка работоспособности демона;
  • наблюдение за его процессами-туннелями-транспортами;
  • смена некоторых настроек (например, понятный язык для веб-консоли) на время сессии (навсегда — через конфиг);
  • остановка-перезапуск...

и прочие.

Памятка: в дистрибутиве старая версия 2.38.0-alt1; в Сизифе новая 2.41.0-alt1, но со старыми юнитами-конфигами — на момент правки статьи лучше пересобрать пакет i2pd-2.41.0-alt2.src.rpm из приложения № 10772 к отчёту в багзилле № 42746.

«Луковый» прокси

  1. Установить пакеты:
    • torsocks (автоматом подтягивающий основной сервис tor, если тот ещё не установлен),
    • obfs4 («путаник», добавляющий тору способы миновать РКНовские блокировки по «мостикам») и
    • lsof (для проверки результата).
  2. Добавить в конфиг тора /etc/tor/torrc опцию, включающую предоставленные пакетом obfs4 настройки со списком мостов (об их обновлении см. ниже).
  3. После чего (пере)запустить сам сервис и удостовериться, что тор слушает на нужном порту.

Суммарно выглядит примерно так: 

# apt-get update && apt-get install -y torsocks obfs4 lsof
# echo "%include /etc/tor/obfs4.torrc" >>/etc/tor/torrc
# systemctl restart (или enable --now) tor
# lsof -ni :9050
...
COMMAND  PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
tor     2778 _tor    6u  IPv4  27181      0t0  TCP 127.0.0.1:9050 (LISTEN)

Обновление мостов для обфускатора

  1. Скачать свежий обновлятор мостиков (например, в /etc/tor/) и сделать короткий симлинк:
    # ln -s tor-relay-scanner-0.0.9.pyz tor-relay-scanner
  2. Создать скриптец для их обновления с последующим подсовыванием тору (например, /usr/local/sbin/obfuscator): 
    #!/bin/sh

WD=/etc/tor
LIST=obfsbridges.conf
CONF=$WD/conf.d/$LIST

cat $CONF >$WD/$LIST # бэкап конфига на случай неполучения нового списка.
python3 $WD/tor-relay-scanner --torrc -o $CONF

[ `wc -l $CONF  | awk '{print $1}'` -gt 0 ] && {
    sed -i /UseBridges/d $CONF
    serv tor reload
} || cat $WD/$LIST >$CONF
  3. И юнит для его периодического запуска (например, /lib/systemd/system/obfuscator.service): 
    [Unit]
Description = Update tor obfs4 bridges list

[Service]
ExecStart = /usr/local/sbin/%N

[Install]
WantedBy = doit@daily.target
    Последняя строчка задаёт периодичность обновления (как задействовать таймеры вместо кронтабов для служб такого рода, описано здесь). Сам на невыключающихся компах и серверах обновляю ежесуточно, а на командировочно-отпускном лапте — ежечасно (doit@hourly).
  4. Остаётся лишь оный обновлятор включить:
    # systemctl enable obfuscator

Браузерный плагин

Сам использовал FoxyProxy (для хрома и ЯБ или огнелиса) и SwitchyOmega, настройку коего и опишу.

  1. Добавить в браузер соответствующий плагин для хрома/ЯБ или огнелиса.
  2. В меню плагина Значок выбрать пункт автопереключения Меню
  3. Создать профиль i2p для сайтов в одноимённой зоне (протокол: HTTP, сервер: localhost, порт: 4447 — не проиллюстрировано, делать по аналогии со следующим пунктом).
  4. Второй профиль proxy — для .onion и прочих труднодоступных сайтов (протокол: SOCKS5, сервер: localhost, порт: 9050):
    Настройка прокси
  5. Задать для доступа к сайтам .i2p одноимённый профиль, а к сайтам .onion и прочим недоступным — тор-прокси, по мере надобности пополняя список другими блокируемыми сайтами:
    Список сайтов
В режиме редактирования исходного кода (можно попросту скопипастить) список выглядит так...   
[SwitchyOmega Conditions]
@with result

*.i2p +i2p
*baza-knig.ru +proxy
*.bookafan.website +proxy
*bookzip.ru +proxy
*.btmet.com +proxy
*citilink.ru +proxy
*.epicgames.com +proxy
*.facebook.com +proxy
*fantasy-worlds.org +proxy
*flibusta.* +proxy
*.freegogpcgames.com +proxy
*gmt-max.net +proxy
*intoupload.net +proxy
*kinobar.me +proxy
*kinogo.la +proxy
*kinosvit.tv +proxy
*kinotazz.ru +proxy
*.kritka.info +proxy
*.linkedin.com +proxy
*loveread.ec +proxy
*mechanics-games.* +proxy
*nnmclub.to +proxy
*.onion +proxy
*onion.live +proxy
*piratam.net +proxy
*rg-mechanics.* +proxy
*rgmechanics.* +proxy
*.rutor* +proxy
*rutor* +proxy
*.rutor.i* +proxy
*rutracker.org +proxy
*.santehnika1.ru +proxy
*seasonvar.ru +proxy
*.semyanich.com +proxy
*serialytut.me +proxy
*skidrowcpy.com +proxy
*steampowered.com +proxy
*.terraform.io +proxy
*.torgamez.com +proxy
*torlock.cc +proxy
*.torproject.org +proxy
*torrent* +proxy
*tracker.* +proxy
*.underver.se +proxy
*.vonos.net +proxy
*weebly.com +proxy
*xatab-repack* +proxy
*zenmoney.ru +proxy

* +direct

Подборки ресурсов

Обратная связь

Системному администратору
AltHa • Apache2 • Api.php • APT в ALT Linux • Azure • BackUp/DayOfDayBackUp • Biarch • BIND • BIND SEC • Bootflash (VirtualBoot) • Capabilities • Changes/rpm • Compact3 (HostingInstallHowto) • Control • Control++ • Control++:Blacklist/Whitelist • CVE-Manager • DDNS • DhcpBind • EC2 • Egroupware • EjabberdJit • Enterprise Software • Etckeeper • Etcnet • Evmctl • Evms inside initrd • Features • Features/ChrootedServices • Firewall • Flussonic • Ganeti • Hadoop • Hbase • High Availability • IKVM • Infiniband • InstallOnFlash • IPMI • Ipmitool • Iptables • IPTV • Участник:IvanZakharyaschev/Что делать, если забыл имена пользователей • Участник:IvanZakharyaschev/Что делать, если забыл пароли (в т.ч. пароль root-а) • Участник:IvanZakharyaschev/Что делать, если затёр загрузчик системы • IvmanAutomount • Jupyter Notebook • LargeFiles • LDAP • Lotus • LXC • Mailman • Mailman and lighttpd • Utf8/MigrateToKoi8 • Migration • Moodle • Motion • MSSQL • Multipath • MultiSeat systemd • Multistation • MySQL • Nagios-plugins-smartmon • Netconsole • NetInstall • Netplan • NextCloud в контейнере • OpenLDAP • OpenNMS • OpenVZ • OpenVZ7 • Oracle10g • OracleALS40 • Starterkits/p7 • Starterkits/p8 • Polkit • Pppoptions • Pptpd • Puppet/Запуск puppetry (пример с libvirt) • PVE • RAID • Replace disk online • RoCE • Roundcube • S5000PAL • Samba • SCOM • Security • SelinuxOff • SerialLogin • SerialPortOverIP • Server Security • SharedTmpfsMaintainance • Sisyphus changes • Sisyphus-mirror • SMART-оповещения через Telegram • SPICE • SQLite • SSD • SSH • Starterkits • SwitchToSisyphus • Sysadmin • Systemd • SystemImager • Sysvinit • Tcb • TeXLivePackaging • UFW • Vargus • VideoMost • Web-cyradm • Wi-fi • WireGuard • Xen • Xymon • Zabbix • Zarafa • Zimbra • ZRAM/ZSWAP • Аутентификация по ключу • Безграничный DNS • Бот Telegram • Восстановление • Выявление сессий по ключу SSH • Двухфакторная аутентификация • Домен на openldap (устаревшее) • Доступ по SSH за NAT через TOR • Загрузочная USB Flash • Загрузочные флешки • Загрузчики • Задачи администратора • Задний ход в DarkWeb • Запрет командной строки • Контейнеры systemd-nspawn • Настройка FTP • Настройка rsync-сервера • НастройкаСервераПриложений • Обновление • Обновление ОС • Оборудование • Ограничение использования консолей • Ограничения интерфейса KDE • Отключение интерактивного входа • Переменные bash • ПроблемыДоступностиРазделов • Программы • Прозрачный прокси-сервер • РазбиениеДиска • Ресолвер • Синхронизация времени • Скачивание расширений Chromium • Таймеры systemd вместо crond • ТестированиеКомпьютера • Управление вентилятором Radeon RX-6xx0 • Управление пакетами • Установка UniFi Controller в контейнер LXC • УчётТрафика • Файловые системы • Шаблоны для развёртывания CT в PVE • Категория:Active Directory • Категория:Alterator • Категория:APT • Категория:Backup • Категория:DhcpBind • Категория:Etcnet • Категория:Features • Категория:FileSystems • Категория:FreeIPA • Категория:High Availability • Категория:Kernel • Категория:LDAP • Категория:Make-initrd • Категория:Monitoring • Категория:MySQL • Категория:Oracle • Категория:Power Management • Категория:Samba • Категория:Systemd • Категория:VPN • Категория:Xen • Категория:ZABBIX • Категория:Автомонтирование • Категория:Виртуализация • Категория:Загрузчики • Категория:Использование оборудования • Категория:Синхронизация времени • Категория:Шрифты