forum.opennet.ru - "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." (48)

"Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..."

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..."	+/–
Сообщение от opennews (ok) on 13-Дек-16, 00:30
Разработчики анонимной сети Tor представили (https://lists.torproject.org/pipermail/tor-dev/2016-December...) первый выпуск проекта sandboxed-tor-browser (https://trac.torproject.org/projects/tor/wiki/doc/TorBrowser...) (выпуск 0.0.1 был пропущен, поэтому сразу сформирован 0.0.2), в рамках которого подготовлена прослойка для запуска Tor Browser в изолированном окружении, не позволяющем получить информацию о системе и параметрах сетевого подключения в случае успешной эксплуатации уязвимостей (https://www.opennet.dev/opennews/art.shtml?num=45588) в браузере и выполнении кода атакующих. Разработка пока имеет статус экспериментальной альфа-версии. Изоляция обеспечивается при помощи контейнера, сформированного через инструментарий bubblewrap (https://github.com/projectatomic/bubblewrap) с использованием технологии seccomp-bpf и пространств имён ядра Linux. Для упрощения загрузки, установки, обновления, настройки и запуска Tor Browser в контейнере подготовлен специальный интерфейс на GTK+. Директории ~/Desktop и ~/Downloads внутри контейнера отражаются на внешние директории ~/.local/share/sandboxed-tor-browser/tor-browser/Browser/Desktop и ~/.local/share/sandboxed-tor-browser/tor-browser/Browser/Downloads. Для вывода звука опционально может использоваться PulseAudio. В настоящее время поддерживается только сборка из исходных текстов (https://gitweb.torproject.org/tor-browser/sandboxed-tor-brow.../) для Linux, бинарные пакеты обещают сформировать на этой неделе. Поддерживается только установка на 64-разрядных системах. Из временных ограничений, которые скоро будут устранены отмечаются: невозможность многоязычного ввода с использованием сервисов, подобных I-Bus, отсутствие поддержки подключаемого транспорта meek (https://trac.torproject.org/projects/tor/wiki/doc/meek), неработоспособность службы уведомлений о наличии обновлений (обновления устанавливаются отдельной утилитой). Из ограничений, которые из соображений безопасности скорее всего останутся нереализованными, выделяются: транспорт FTE (https://fteproxy.org/), ускорение 3D-графики (доступен программный рендеринг, но аппаратный запрещён из-за достаточно опасных обращений к драйверам), вывод на принтер (поддерживается печать в файл), использование Tor Browser для обращений к чему-либо, кроме сети Tor. URL: https://lists.torproject.org/pipermail/tor-dev/2016-December... Новость: http://www.opennet.dev/opennews/art.shtml?num=45667
Ответить \| Правка \| Cообщить модератору

Оглавление

Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., SpiritOfStallman, 00:30 , 13-Дек-16, (1)

Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., Гентушник, 01:01 , 13-Дек-16, (2) +6

Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., AnotherReality, 01:34 , 13-Дек-16, (3) +2

Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., Гентушник, 07:46 , 13-Дек-16, (12)

Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., PnDx, 12:35 , 13-Дек-16, (28) –1

Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., Аноним, 10:18 , 10-Авг-17, (45) +1

Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., Ilya Ryabinin, 00:16 , 11-Мрт-18, (48)

Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., leap42, 03:23 , 13-Дек-16, (4) –2

Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., Аноним, 04:32 , 13-Дек-16, (5)

Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., leap42, 05:52 , 13-Дек-16, (7) –1

Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., Аноним, 07:03 , 13-Дек-16, (10) +1

Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., leap42, 11:36 , 13-Дек-16, (26)

Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., Мишко, 13:15 , 13-Дек-16, (29) +1

Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., leap42, 05:57 , 13-Дек-16, (8)
Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., leap42, 06:07 , 13-Дек-16, (9)

Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., Мишко, 13:16 , 13-Дек-16, (30)

Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., Аноним, 17:59 , 13-Дек-16, (32) –2

Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., Аноним, 10:23 , 13-Дек-16, (22) +1

Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., Аноним, 08:47 , 13-Дек-16, (14)

Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., Аноним, 09:24 , 13-Дек-16, (15)

Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., Аноним, 11:19 , 13-Дек-16, (25)

Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., Аноним, 10:33 , 10-Авг-17, (46)

Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., Нанобот, 10:07 , 13-Дек-16, (20)
Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., vi, 17:46 , 13-Дек-16, (31)

Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., vi, 18:31 , 13-Дек-16, (33)

Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., Аноним, 10:51 , 10-Авг-17, (47)

Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., Аноним, 09:57 , 13-Дек-16, (18)
Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., Аноним, 07:01 , 14-Дек-16, (41)

Minix в студию, Аноним, 05:41 , 13-Дек-16, (6)

Minix в студию, Аноним, 07:08 , 13-Дек-16, (11) +1
Minix в студию, Аноним, 10:00 , 13-Дек-16, (19)
Minix в студию, ANISEND, 10:09 , 13-Дек-16, (21)

Minix в студию, Аноним, 11:44 , 13-Дек-16, (27) +3

Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., Меломан1, 08:09 , 13-Дек-16, (13) +2

Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., DR94, 21:08 , 13-Дек-16, (35)
Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., Аноним, 22:46 , 13-Дек-16, (37) –1

Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., DR94, 01:17 , 14-Дек-16, (40)

Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., Аноним, 23:36 , 13-Дек-16, (39) –1

Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., Аноним, 09:29 , 13-Дек-16, (16)

Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., Аноним, 10:25 , 13-Дек-16, (23)

Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., Ващенаглухо, 09:54 , 13-Дек-16, (17)
Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., Аноним, 10:51 , 13-Дек-16, (24)
Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., Аноним, 19:00 , 13-Дек-16, (34)

Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., Аноним, 21:16 , 13-Дек-16, (36)

Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., Аноним, 23:09 , 13-Дек-16, (38) +1

Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., Аноним, 12:45 , 14-Дек-16, (42)

Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., Тот_Самый_Анонимус, 13:08 , 14-Дек-16, (43) –3
Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..., Аноним, 00:20 , 16-Дек-16, (44)

Сообщения по теме [Сортировка по времени | RSS]

1. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." +/–

Сообщение от SpiritOfStallman (ok) on 13-Дек-16, 00:30

А почему бы не использовать виртуалку, а не новую прослойку, у которой свои баги и заморочки в подарок?
Есть ли возможность узнать что-то особое о хосте, из виртуалбокса к примеру?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." +6 +/–

Сообщение от Гентушник (ok) on 13-Дек-16, 01:01

Виртуалку можно использовать и сейчас, но у неё большие накладные расходы.
Если виртуалку каждый раз не пересоздавать при запуске тор-браузера, то если браузер взломают и понапихают в гостевую ОС бекдоров, то они будут жить там долгое время.
Т.е. даже если секьюрити баг в тор-браузере в обновлении закроют, то зараза всё равно останется в системе.
bubblewrap насколько я понял каждый раз пересоздаёт контейнер, так что время жизни потенциальной заразы ограничено временем работы тор-браузера. А при обновлении с исправлениями уязвимостей зараза уже не переедет в новый контейнер.
Насчёт безопасности прослоек - bubblewrap использует ядерные namespaces, так что безопасность по большей степени зависит от них, а не от этой утилиты (хотя в ней конечно тоже могут быть баги).

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." +2 +/–

Сообщение от AnotherReality (ok) on 13-Дек-16, 01:34

а это хорошая идея. С пересозданием виртуалки

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

12. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." +/–

Сообщение от Гентушник (ok) on 13-Дек-16, 07:46

> а это хорошая идея. С пересозданием виртуалки
Только после пересоздания нужно не забывать обновлять тор-браузер, ставить обновления ОС и прочее... Слишком много возни.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

28. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." –1 +/–

Сообщение от PnDx (ok) on 13-Дек-16, 12:35

1. Снапшот.
2. Браузер каждый раз пускаем со снапшота. Или ro, или откат перед каждым запуском.
3. Запускаем из основного контейнера, обновляем, новый снапшот.
Как-то так, с поправкой на возможности любимой среды виртуализации.
Сто́ит ли некоторое улучшение анонимности такой возни — отдельный вопрос…

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

45. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." +1 +/–

Сообщение от Аноним (??) on 10-Авг-17, 10:18

> 1. Снапшот.
> 2. Браузер каждый раз пускаем со снапшота. Или ro, или откат перед
> каждым запуском.
> 3. Запускаем из основного контейнера, обновляем, новый снапшот.
> Как-то так, с поправкой на возможности любимой среды виртуализации.
> Сто́ит ли некоторое улучшение анонимности такой возни — отдельный вопрос…
— Вторая свежесть — вот что вздор! Свежесть бывает только одна — первая, она же и последняя. А если осетрина второй свежести, то это означает, что она тухлая!»

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

48. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." +/–

Сообщение от Ilya Ryabinin on 11-Мрт-18, 00:16

В данном случае, аналогия не верна.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

4. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." –2 +/–

Сообщение от leap42 (ok) on 13-Дек-16, 03:23

>> но у неё большие накладные расходы
ну сколько можно эту чушь с грязношвабра повторять как мантру? вы сами то хоть тесты делали? 5% - накладные расходы на виртуализацию (в большинстве случаев так вообще 2-3%).

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." +/–

Сообщение от Аноним (??) on 13-Дек-16, 04:32

Пруфы в студию, ссылки на проведенные тесты, графики, и прочее... Газификацией луж занимаетесь товарищ...

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." –1 +/–

Сообщение от leap42 (ok) on 13-Дек-16, 05:52

в гугле забанили? вот результаты из топа выдачи:
https://habrahabr.ru/company/cloud4y/blog/282918/
https://major.io/2014/06/22/performance-benchmarks-kvm-vs-xen/

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." +1 +/–

Сообщение от Аноним (??) on 13-Дек-16, 07:03

Чушь, товарищ leap42, вы несёте. Чтобы накладные расходы были 2-3% нужно иметь топовые железяки.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

26. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." +/–

Сообщение от leap42 (ok) on 13-Дек-16, 11:36

с какого уровня начинаются топовые железки? на каком заканчиваются нетоповые? на каком основании сделаны выводы? ссылки на подтверждающие тесты будут?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

29. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." +1 +/–

Сообщение от Мишко on 13-Дек-16, 13:15

Да, да... Только кто учитывает, сколько затратится ОЗУ, сколько места на хранилище для виртуалки? Да и кому это интересно, если 1 гиг только на запуск (не забыть время загрузки), если 3-4 гига жестяка уходит под виртуалку? Все эти отчеты хороши только пока у тебя до пса ресурсов.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

8. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." +/–

Сообщение от leap42 (ok) on 13-Дек-16, 05:57

я в состоянии сам потестировать, чай не на винде сижу
а газификацией луж, дорогой аноним, занимаются апологеты докера

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." +/–

Сообщение от leap42 (ok) on 13-Дек-16, 06:07

вот ещё:
http://openstack-in-production.blogspot.ru/2015/08/kvm-and-h...
для тех, кто не осилит, кратко:
оверхед KVM в сценарии 4 гостя по 8 ядер = 2,5% (после тюнинга меньше)
оверхед Hyper-V в сценарии 4 гостя по 8 ядер = 0.8%

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

30. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." +/–

Сообщение от Мишко on 13-Дек-16, 13:16

> вот ещё:
> http://openstack-in-production.blogspot.ru/2015/08/kvm-and-h...
> для тех, кто не осилит, кратко:
> оверхед KVM в сценарии 4 гостя по 8 ядер = 2,5% (после
> тюнинга меньше)
> оверхед Hyper-V в сценарии 4 гостя по 8 ядер = 0.8%
Сколько оверхед по занятой памяти и жесткому диску?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

32. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." –2 +/–

Сообщение от Аноним (??) on 13-Дек-16, 17:59

> Сколько оверхед по занятой памяти и жесткому диску?
Ты бы ещё износ клавиатуры посчитал и пробег мыши, ей-богу. Даже если контейнеру для запуска понадобится 32Гб жёсткого диска и 8Гб RAM, какая разница? В каких реальных случаях тебе понадобится больше одного такого контейнера? А учитывая, что реально ему нужно будет 5-7 Гб HDD и 1-1,5 Гб RAM, говорить вообще не о чем.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

22. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." +1 +/–

Сообщение от Аноним (??) on 13-Дек-16, 10:23

А зачем пересоздавать, если можно откатить до снимка на начало работы. Обновить систему и обновить снимок.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

14. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." +/–

Сообщение от Аноним (??) on 13-Дек-16, 08:47

> Есть ли возможность узнать что-то особое о хосте, из виртуалбокса к примеру?
Ping из виртуалбокса без проблем раскроет IP-адрес основной системы, чтобы этого небыло нужно городить хитрый проброс всего трафика через tor proxy.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

15. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." +/–

Сообщение от Аноним (??) on 13-Дек-16, 09:24

Вас отрезали от ВПН?
Что там пинговать собираетесь?

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

25. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." +/–

Сообщение от Аноним (??) on 13-Дек-16, 11:19

> Вас отрезали от ВПН?
Зная IP VPN наделённые властью могут надавить на провайдера VPN и узнать реальный IP клиента. Как выход можно весь трафик заворачивать в Tor, но это скорее исключение из правил. Обычно не парятся и запускают Tor в виртуальной машине (Tails запускают). Как думайте ловят всех этих владельцев притонов в onion-зоне? Попадаются именно на таких мелочах и неосторожности.
> Что там пинговать собираетесь?
свой внешний хост, на котором высветится не интранет адрес виртуальной машины, а уже оттранслированный IP клиента или адрес VPN (см. ответ выше).

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

46. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." +/–

Сообщение от Аноним (??) on 10-Авг-17, 10:33

>> Вас отрезали от ВПН?
> Зная IP VPN наделённые властью могут надавить на провайдера VPN и узнать
> реальный IP клиента. Как выход можно весь трафик заворачивать в Tor,
> но это скорее исключение из правил. Обычно не парятся и запускают
> Tor в виртуальной машине (Tails запускают). Как думайте ловят всех этих
> владельцев притонов в onion-зоне? Попадаются именно на таких мелочах и неосторожности.
Вся эта возня с законами о https://www.opennet.dev/opennews/art.shtml?num=46944 нужна по многим причинам, но одна из них ИМХО, государство в лице всей вертикали, и прочие присосавшиеся, да простые работники (и создание новых рабочих мест), что бы не ударить лицом в грязь должно осваивать больше средств, чем крутится на том рынке с которым пытаются бороться. А то как то несолидно выглядит ;)
Вот бы посмотреть статистику как именно попадаются.
Там ведь специалисты работают. У них уже наверняка наработаны методы.
Максимум ИМХО при передаче бабла.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

20. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." +/–

Сообщение от Нанобот (ok) on 13-Дек-16, 10:07

а это только если пользоваться конфигурацией по-умолчанию (заточеную под удобство использования)

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

31. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." +/–

Сообщение от vi (ok) on 13-Дек-16, 17:46

>> Есть ли возможность узнать что-то особое о хосте, из виртуалбокса к примеру?
> Ping из виртуалбокса без проблем раскроет IP-адрес основной системы, чтобы этого небыло
> нужно городить хитрый проброс всего трафика через tor proxy.
Хитрый, говорите...
# # Add group and user
# groupadd -g 17500 whowho
# useradd -m -s /bin/sh -G whowho -c "Wgotsy" wgotsy
# passwd wgotsy
# su - wgotsy
$ mkdir ~/opt
$ cd ~/opt
# # Download and install tor-browser
# #
# # https://www.torproject.org/download/download-easy.html#linux
$ wget -c https://www.torproject.org/dist/torbrowser/6.0.7/tor-browser...
$ wget -c https://www.torproject.org/dist/torbrowser/6.0.7/tor-browser...
# #
# # https://www.torproject.org/projects/torbrowser.html.en#downl...
# #
# # Linux Instructions
# #
# # !!! Do not unpack or run TBB as root. !!!
# #
# # Download the architecture-appropriate file above, save it somewhere, then run one of the following two commands to extract the package archive:
# #
# # tar -xvJf tor-browser-linux32-6.0.7_LANG.tar.xz
# #
# # or (for the 64-bit version):
# #
$ tar -xvJf tor-browser-linux64-6.0.7_LANG.tar.xz
# #
# # (where LANG is the language listed in the filename).
# #
# # Once that's done, switch to the Tor browser directory by running:
# #
$ cd tor-browser_LANG
# #
# # (where LANG is the language listed in the filename).
# #
# # To run Tor Browser, click either on the Tor Browser or the Tor Browser Setup icon or execute the start-tor-browser.desktop file in a terminal:
# #
# # !!! Do not unpack or run TBB as root. !!!
# #
$ ./start-tor-browser.desktop
# #
# # !!! Do not unpack or run TBB as root. !!!
# #
# # This will launch Tor Launcher and once that connects to Tor, it will launch Firefox.
# #

# # Get user gid
$ id
uid=17222(wgotsy) gid=17222(wgotsy) группы=17222(wgotsy),24(cdrom),25(floppy),29(audio),30(dip),44(video),46(plugdev),60(games),104(scanner),107(bluetooth),109(netdev),17500(whowho)
$ exit
$ su - root
Make firewall rules
# echo '
:
TOTOR_GID="17222"
if test -z "${TOTOR_GID}" ; then exit ; fi
LOCAL_TOR_PORTS="9150,9151"
REMOTE_TOR_PORTS="9050"
REMOTE_TOR_HOST="192.168.57.62"

## OUTPUT ##
# Clear previous output firewall rules
# Re-create OUTPUT-torify-clnt if it doesn't exist
ipt_all -N OUTPUT-torify-clnt || true
ipt_all -F OUTPUT-torify-clnt || true
ipt_all -D OUTPUT -m owner --gid-owner "${TOTOR_GID}" -j OUTPUT-torify-clnt || true
ipt_all -I OUTPUT -m owner --gid-owner "${TOTOR_GID}" -j OUTPUT-torify-clnt || true
ipt_all -A OUTPUT-torify-clnt -m owner ! --gid-owner "${TOTOR_GID}" -j RETURN
#ipt_all -A OUTPUT-torify-clnt -j LOG
##ipt_all -A OUTPUT-torify-clnt -m tcp -p tcp -m owner --gid-owner "${TOTOR_GID}" -j DROP
##ipt_all -A OUTPUT-torify-clnt -m udp -p udp -m owner --gid-owner "${TOTOR_GID}" -j DROP
##ipt_all -A OUTPUT-torify-clnt -m owner --gid-owner "${TOTOR_GID}" -j DROP

## IPv4 OUTPUT in table nat ##
# Clear previous output firewall rules
# Re-create OUTPUT-torify-clnt if it doesn't exist
ipt_inet -t nat -N OUTPUT-torify-clnt || true
ipt_inet -t nat -F OUTPUT-torify-clnt || true
ipt_inet -t nat -D OUTPUT -m owner --gid-owner "${TOTOR_GID}" -j OUTPUT-torify-clnt || true
ipt_inet -t nat -I OUTPUT -m owner --gid-owner "${TOTOR_GID}" -j OUTPUT-torify-clnt || true
ipt_inet -t nat -A OUTPUT-torify-clnt -m owner ! --gid-owner "${TOTOR_GID}" -j RETURN
ipt_inet -t nat -A OUTPUT-torify-clnt -m tcp -p tcp -m multiport -d localhost --destination-ports "${LOCAL_TOR_PORTS}" -j RETURN
ipt_inet -t nat -A OUTPUT-torify-clnt -m udp -p udp -m multiport -d localhost --destination-ports "${LOCAL_TOR_PORTS}" -j RETURN
ipt_inet -t nat -A OUTPUT-torify-clnt -m tcp -p tcp -d "${REMOTE_TOR_HOST}" --dport "${REMOTE_TOR_PORTS}" -j RETURN
ipt_inet -t nat -A OUTPUT-torify-clnt -m udp -p udp -d "${REMOTE_TOR_HOST}" --dport "${REMOTE_TOR_PORTS}" -j RETURN
ipt_inet -t nat -A OUTPUT-torify-clnt -j LOG
ipt_inet -t nat -A OUTPUT-torify-clnt -m tcp -p tcp -j DNAT --to-destination "${REMOTE_TOR_HOST}":"${REMOTE_TOR_PORTS}"
ipt_inet -t nat -A OUTPUT-torify-clnt -m udp -p udp -j DNAT --to-destination "${REMOTE_TOR_HOST}":"${REMOTE_TOR_PORTS}"

## IPv6 OUTPUT in table mangle ##
# Clear previous output firewall rules
# Re-create OUTPUT-torify-clnt if it doesn't exist
ipt_inet6 -t mangle -N OUTPUT-torify-clnt || true
ipt_inet6 -t mangle -F OUTPUT-torify-clnt || true
ipt_inet6 -t mangle -D OUTPUT -m owner --gid-owner "${TOTOR_GID}" -j OUTPUT-torify-clnt || true
ipt_inet6 -t mangle -I OUTPUT -m owner --gid-owner "${TOTOR_GID}" -j OUTPUT-torify-clnt || true
ipt_inet6 -t mangle -A OUTPUT-torify-clnt -m owner ! --gid-owner "${TOTOR_GID}" -j RETURN
ipt_inet6 -t mangle -A OUTPUT-torify-clnt -m tcp -p tcp -m multiport -d localhost --destination-ports "${LOCAL_TOR_PORTS}" -j RETURN
ipt_inet6 -t mangle -A OUTPUT-torify-clnt -m udp -p udp -m multiport -d localhost --destination-ports "${LOCAL_TOR_PORTS}" -j RETURN
ipt_inet6 -t mangle -A OUTPUT-torify-clnt -j LOG
#ipt_inet6 -t mangle -A OUTPUT-torify-clnt -m tcp -p tcp -j DNAT --to-destination "${REMOTE_TOR_HOST}":"${REMOTE_TOR_PORTS}"
#ipt_inet6 -t mangle -A OUTPUT-torify-clnt -m udp -p udp -j DNAT --to-destination "${REMOTE_TOR_HOST}":"${REMOTE_TOR_PORTS}"
ipt_inet6 -t mangle -A OUTPUT-torify-clnt -j DROP
' > /etc/My_Favorit_Firewall/rules/60torify-client.rules
# service My_Favorit_Firewall reload

Далее (в следующей части) настройка Tor (запускаемого вместе с tor-browser-ом) and Tor-browser (хотя его как раз настраивать не надо) от пользователя.
;)

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

33. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." +/–

Сообщение от vi (ok) on 13-Дек-16, 18:31

ipt_inet -t nat -A OUTPUT-torify-clnt -m tcp -p tcp -j DNAT --to-destination "${REMOTE_TOR_HOST}":"${REMOTE_TOR_PORTS}"
ipt_inet -t nat -A OUTPUT-torify-clnt -m udp -p udp -j DNAT --to-destination "${REMOTE_TOR_HOST}":"${REMOTE_TOR_PORTS}"
It's a shame! One line is lost.
+ ipt_inet -t nat -A OUTPUT-torify-clnt -j DNAT --to-destination "${REMOTE_TOR_HOST}"

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

47. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." +/–

Сообщение от Аноним (??) on 10-Авг-17, 10:51

> ipt_inet -t nat -A OUTPUT-torify-clnt -m tcp -p tcp -j DNAT --to-destination
> "${REMOTE_TOR_HOST}":"${REMOTE_TOR_PORTS}"
> ipt_inet -t nat -A OUTPUT-torify-clnt -m udp -p udp -j DNAT --to-destination
> "${REMOTE_TOR_HOST}":"${REMOTE_TOR_PORTS}"
> It's a shame! One line is lost.
> + ipt_inet -t nat -A OUTPUT-torify-clnt -j DNAT --to-destination "${REMOTE_TOR_HOST}"
Выше вот интересные комменты.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

18. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." +/–

Сообщение от Аноним (??) on 13-Дек-16, 09:57

А ты новость прочитай еще раз, там прямо даже ответ есть.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

41. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." +/–

Сообщение от Аноним (??) on 14-Дек-16, 07:01

Меньше требует памяти.
Но вм лучше. Лучше использовать вм

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Minix в студию" +/–

Сообщение от Аноним (??) on 13-Дек-16, 05:41

Таненбаум уж 30 лет назад говорил, и Minix спроектирован так, что всё должно быть изначально в песочницах. Ядро следит за тем - какой песочнице какие права выдаются.
Обновления независимые и обратимые.
А теперь:
- Андроид права и jail
- IOS права и jail
- Systemd jail
- FreeBSD
- Docker
- LXC
- RKT
- OpenVZ
- Snaps
- Flatpack
...
Я знаю что это разного применения утилы.
Но Вам не кажется, что изоляция/песочница - вполне может быть одна?
Они все используют Cgroups/Namespaces. Все работают от рута.
Так может уже пора что-то одно написать?
In Minix everything but the micro-kernel is a user process.
Я о том, что он показал, что нам надо - ещё 30 лет назад. А мы пропустили сквозь уши, пишем разные велосипеды но в итоге идём к тому-же самому. Только с полным бардаком.
Как и команда ядра теперь думает как в монолитном ядре отделить от него драйвера.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Minix в студию" +1 +/–

Сообщение от Аноним (??) on 13-Дек-16, 07:08

Чего одно? Вы предлагаете для разных платформ одно писать? Нет, я понимаю ещё объединить flatpack и snaps. Я могу понять, что надо перенести из FreeBSD jail. Но что вы предлагаете на ведройде делать? Там и так всё анально разграничено и тогда им придётся архитектуру полностью менять. iOS туда же, да ещё и закрытое.
Docker нужен не для визуализации а для быстрого развёртывания софта в контейнере. Что-то типа chroot, но защищённый.
Одна утилита для одной цели, давайте будем придерживаться этого золотого правила, ок?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

19. "Minix в студию" +/–

Сообщение от Аноним (??) on 13-Дек-16, 10:00

А каждая команда пилит свой путь, истиннее, чем путь других команд. И недопиливает по чуть-чуть, что заставляет еще кого-то уже "свое" делать.
Таненбаум дядька легендарный, но систему свою кроме как пиарить как предтечу Линукса, особо не смог к делу пристроить. Этак можно и Ивана Грозного приплести, что он велел нехристям жить опричь российских людей - тоже песочница, да еще с firewall-ом, тьфу, заставой!
Сказать-то каждый может. Сделать - нет.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

21. "Minix в студию" +/–

Сообщение от ANISEND on 13-Дек-16, 10:09

Кажется. Нужно уходить с линуксов вообще. Только использовать прослойку для работы с оборудыванием на первое время. Вон Genode куда-то туда и идет.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

27. "Minix в студию" +3 +/–

Сообщение от Аноним (??) on 13-Дек-16, 11:44

> оборудыванием?
адназначна!

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

13. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." +2 +/–

Сообщение от Меломан1 on 13-Дек-16, 08:09

>Tor Browser в изолированном окружении
Socks proxy работать не будет и придется запускать еще один Tor. Почему все разработчики ПО считают, что компьютеры резиновые?
>5% - накладные расходы на виртуализацию (в большинстве случаев так вообще 2-3%).
Вы это скажите моему ноуту, может вас послушает и перестанет жрать память и проц.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." +/–

Сообщение от DR94 (ok) on 13-Дек-16, 21:08

Абсолютно та же ситуация, по ощущениям накладные расходы все 20-30% да и держать ось в коробке ради браузера, изврат как по мне...

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

37. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." –1 +/–

Сообщение от Аноним (??) on 13-Дек-16, 22:46

> Вы это скажите моему ноуту, может вас послушает и перестанет жрать память и проц.
Ноут. Жрёт память и проц. Бардак в голове ничего не жрёт?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

40. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." +/–

Сообщение от DR94 (ok) on 14-Дек-16, 01:17

Типичный ответ типичного анонима...

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

39. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." –1 +/–

Сообщение от Аноним (??) on 13-Дек-16, 23:36

> Socks proxy работать не будет и придется запускать еще один Tor.
Где это написано?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." +/–

Сообщение от Аноним (??) on 13-Дек-16, 09:29

Тема не новая:
https://blog.torproject.org/blog/q-and-yawning-angel
https://wiki.mozilla.org/Security/Sandbox

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." +/–

Сообщение от Аноним (??) on 13-Дек-16, 10:25

По первой ссылке интервью с автором sandboxed-tor-browser, первый релиз которого описан в обсуждаемой новости. Планировали создать уже давно, но пригодный для использования альфа-выпуск сделали только сейчас.
По второй ссылке никакой защиты от определения реального IP, в то время, как главной задачей sandboxed-tor-browse является защита от утечки IP в случае взлома браузера.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

17. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." +/–

Сообщение от Ващенаглухо (ok) on 13-Дек-16, 09:54

Возможно ли для этих целей использовать Linux Containers (LXC) ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." +/–

Сообщение от Аноним (??) on 13-Дек-16, 10:51

А чем это отличается от других контейнеров? Контейнер системд или просто chroot, например.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." +/–

Сообщение от Аноним (??) on 13-Дек-16, 19:00

Запускаю фф в firejail, а тор не нужен.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." +/–

Сообщение от Аноним (??) on 13-Дек-16, 21:16

Запускай в астрале,
там даже инета не надо

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

38. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." +1 +/–

Сообщение от Аноним (??) on 13-Дек-16, 23:09

А можно ли sandboxed-tor-browser запустить внутри firejail, запущенного внутри docker?
И насколько скажется на производительности?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

42. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." +/–

Сообщение от Аноним (??) on 14-Дек-16, 12:45

Мальчик: Дяденька, а можно я прыгну с 10 этажа?
Дяденька: Можно мальчик, но только 1 раз.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

43. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." –3 +/–

Сообщение от Тот_Самый_Анонимус on 14-Дек-16, 13:08

Раскрутка тора ведётся весьма активно. Кому-то это сильно нужно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

44. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..." +/–

Сообщение от Аноним (??) on 16-Дек-16, 00:20

>bubblewrap
Но... ведь... флатпак...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..."	+/–
Сообщение от SpiritOfStallman (ok) on 13-Дек-16, 00:30
А почему бы не использовать виртуалку, а не новую прослойку, у которой свои баги и заморочки в подарок? Есть ли возможность узнать что-то особое о хосте, из виртуалбокса к примеру?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..."	+6 +/–
	Сообщение от Гентушник (ok) on 13-Дек-16, 01:01
	Виртуалку можно использовать и сейчас, но у неё большие накладные расходы. Если виртуалку каждый раз не пересоздавать при запуске тор-браузера, то если браузер взломают и понапихают в гостевую ОС бекдоров, то они будут жить там долгое время. Т.е. даже если секьюрити баг в тор-браузере в обновлении закроют, то зараза всё равно останется в системе. bubblewrap насколько я понял каждый раз пересоздаёт контейнер, так что время жизни потенциальной заразы ограничено временем работы тор-браузера. А при обновлении с исправлениями уязвимостей зараза уже не переедет в новый контейнер. Насчёт безопасности прослоек - bubblewrap использует ядерные namespaces, так что безопасность по большей степени зависит от них, а не от этой утилиты (хотя в ней конечно тоже могут быть баги).
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..."	+2 +/–
	Сообщение от AnotherReality (ok) on 13-Дек-16, 01:34
	а это хорошая идея. С пересозданием виртуалки
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	12. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..."	+/–
	Сообщение от Гентушник (ok) on 13-Дек-16, 07:46
	> а это хорошая идея. С пересозданием виртуалки Только после пересоздания нужно не забывать обновлять тор-браузер, ставить обновления ОС и прочее... Слишком много возни.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	28. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..."	–1 +/–
	Сообщение от PnDx (ok) on 13-Дек-16, 12:35
	1. Снапшот. 2. Браузер каждый раз пускаем со снапшота. Или ro, или откат перед каждым запуском. 3. Запускаем из основного контейнера, обновляем, новый снапшот. Как-то так, с поправкой на возможности любимой среды виртуализации. Сто́ит ли некоторое улучшение анонимности такой возни — отдельный вопрос…
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	45. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..."	+1 +/–
	Сообщение от Аноним (??) on 10-Авг-17, 10:18
	> 1. Снапшот. > 2. Браузер каждый раз пускаем со снапшота. Или ro, или откат перед > каждым запуском. > 3. Запускаем из основного контейнера, обновляем, новый снапшот. > Как-то так, с поправкой на возможности любимой среды виртуализации. > Сто́ит ли некоторое улучшение анонимности такой возни — отдельный вопрос… — Вторая свежесть — вот что вздор! Свежесть бывает только одна — первая, она же и последняя. А если осетрина второй свежести, то это означает, что она тухлая!»
	Ответить \| Правка \| ^ к родителю #28 \| Наверх \| Cообщить модератору


	48. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..."	+/–
	Сообщение от Ilya Ryabinin on 11-Мрт-18, 00:16
	В данном случае, аналогия не верна.
	Ответить \| Правка \| ^ к родителю #45 \| Наверх \| Cообщить модератору


	4. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..."	–2 +/–
	Сообщение от leap42 (ok) on 13-Дек-16, 03:23
	>> но у неё большие накладные расходы ну сколько можно эту чушь с грязношвабра повторять как мантру? вы сами то хоть тесты делали? 5% - накладные расходы на виртуализацию (в большинстве случаев так вообще 2-3%).
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	5. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..."	+/–
	Сообщение от Аноним (??) on 13-Дек-16, 04:32
	Пруфы в студию, ссылки на проведенные тесты, графики, и прочее... Газификацией луж занимаетесь товарищ...
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	7. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..."	–1 +/–
	Сообщение от leap42 (ok) on 13-Дек-16, 05:52
	в гугле забанили? вот результаты из топа выдачи: https://habrahabr.ru/company/cloud4y/blog/282918/ https://major.io/2014/06/22/performance-benchmarks-kvm-vs-xen/
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	10. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..."	+1 +/–
	Сообщение от Аноним (??) on 13-Дек-16, 07:03
	Чушь, товарищ leap42, вы несёте. Чтобы накладные расходы были 2-3% нужно иметь топовые железяки.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	26. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..."	+/–
	Сообщение от leap42 (ok) on 13-Дек-16, 11:36
	с какого уровня начинаются топовые железки? на каком заканчиваются нетоповые? на каком основании сделаны выводы? ссылки на подтверждающие тесты будут?
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	29. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..."	+1 +/–
	Сообщение от Мишко on 13-Дек-16, 13:15
	Да, да... Только кто учитывает, сколько затратится ОЗУ, сколько места на хранилище для виртуалки? Да и кому это интересно, если 1 гиг только на запуск (не забыть время загрузки), если 3-4 гига жестяка уходит под виртуалку? Все эти отчеты хороши только пока у тебя до пса ресурсов.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	8. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..."	+/–
	Сообщение от leap42 (ok) on 13-Дек-16, 05:57
	я в состоянии сам потестировать, чай не на винде сижу а газификацией луж, дорогой аноним, занимаются апологеты докера
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	9. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..."	+/–
	Сообщение от leap42 (ok) on 13-Дек-16, 06:07
	вот ещё: http://openstack-in-production.blogspot.ru/2015/08/kvm-and-h... для тех, кто не осилит, кратко: оверхед KVM в сценарии 4 гостя по 8 ядер = 2,5% (после тюнинга меньше) оверхед Hyper-V в сценарии 4 гостя по 8 ядер = 0.8%
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	30. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..."	+/–
	Сообщение от Мишко on 13-Дек-16, 13:16
	> вот ещё: > http://openstack-in-production.blogspot.ru/2015/08/kvm-and-h... > для тех, кто не осилит, кратко: > оверхед KVM в сценарии 4 гостя по 8 ядер = 2,5% (после > тюнинга меньше) > оверхед Hyper-V в сценарии 4 гостя по 8 ядер = 0.8% Сколько оверхед по занятой памяти и жесткому диску?
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	32. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..."	–2 +/–
	Сообщение от Аноним (??) on 13-Дек-16, 17:59
	> Сколько оверхед по занятой памяти и жесткому диску? Ты бы ещё износ клавиатуры посчитал и пробег мыши, ей-богу. Даже если контейнеру для запуска понадобится 32Гб жёсткого диска и 8Гб RAM, какая разница? В каких реальных случаях тебе понадобится больше одного такого контейнера? А учитывая, что реально ему нужно будет 5-7 Гб HDD и 1-1,5 Гб RAM, говорить вообще не о чем.
	Ответить \| Правка \| ^ к родителю #30 \| Наверх \| Cообщить модератору


	22. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..."	+1 +/–
	Сообщение от Аноним (??) on 13-Дек-16, 10:23
	А зачем пересоздавать, если можно откатить до снимка на начало работы. Обновить систему и обновить снимок.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	14. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..."	+/–
	Сообщение от Аноним (??) on 13-Дек-16, 08:47
	> Есть ли возможность узнать что-то особое о хосте, из виртуалбокса к примеру? Ping из виртуалбокса без проблем раскроет IP-адрес основной системы, чтобы этого небыло нужно городить хитрый проброс всего трафика через tor proxy.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	15. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..."	+/–
	Сообщение от Аноним (??) on 13-Дек-16, 09:24
	Вас отрезали от ВПН? Что там пинговать собираетесь?
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	25. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..."	+/–
	Сообщение от Аноним (??) on 13-Дек-16, 11:19
	> Вас отрезали от ВПН? Зная IP VPN наделённые властью могут надавить на провайдера VPN и узнать реальный IP клиента. Как выход можно весь трафик заворачивать в Tor, но это скорее исключение из правил. Обычно не парятся и запускают Tor в виртуальной машине (Tails запускают). Как думайте ловят всех этих владельцев притонов в onion-зоне? Попадаются именно на таких мелочах и неосторожности. > Что там пинговать собираетесь? свой внешний хост, на котором высветится не интранет адрес виртуальной машины, а уже оттранслированный IP клиента или адрес VPN (см. ответ выше).
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору


	46. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..."	+/–
	Сообщение от Аноним (??) on 10-Авг-17, 10:33
	>> Вас отрезали от ВПН? > Зная IP VPN наделённые властью могут надавить на провайдера VPN и узнать > реальный IP клиента. Как выход можно весь трафик заворачивать в Tor, > но это скорее исключение из правил. Обычно не парятся и запускают > Tor в виртуальной машине (Tails запускают). Как думайте ловят всех этих > владельцев притонов в onion-зоне? Попадаются именно на таких мелочах и неосторожности. Вся эта возня с законами о https://www.opennet.dev/opennews/art.shtml?num=46944 нужна по многим причинам, но одна из них ИМХО, государство в лице всей вертикали, и прочие присосавшиеся, да простые работники (и создание новых рабочих мест), что бы не ударить лицом в грязь должно осваивать больше средств, чем крутится на том рынке с которым пытаются бороться. А то как то несолидно выглядит ;) Вот бы посмотреть статистику как именно попадаются. Там ведь специалисты работают. У них уже наверняка наработаны методы. Максимум ИМХО при передаче бабла.
	Ответить \| Правка \| ^ к родителю #25 \| Наверх \| Cообщить модератору


	20. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..."	+/–
	Сообщение от Нанобот (ok) on 13-Дек-16, 10:07
	а это только если пользоваться конфигурацией по-умолчанию (заточеную под удобство использования)
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	31. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..."	+/–
	Сообщение от vi (ok) on 13-Дек-16, 17:46
	>> Есть ли возможность узнать что-то особое о хосте, из виртуалбокса к примеру? > Ping из виртуалбокса без проблем раскроет IP-адрес основной системы, чтобы этого небыло > нужно городить хитрый проброс всего трафика через tor proxy. Хитрый, говорите... # # Add group and user # groupadd -g 17500 whowho # useradd -m -s /bin/sh -G whowho -c "Wgotsy" wgotsy # passwd wgotsy # su - wgotsy $ mkdir ~/opt $ cd ~/opt # # Download and install tor-browser # # # # https://www.torproject.org/download/download-easy.html#linux $ wget -c https://www.torproject.org/dist/torbrowser/6.0.7/tor-browser... $ wget -c https://www.torproject.org/dist/torbrowser/6.0.7/tor-browser... # # # # https://www.torproject.org/projects/torbrowser.html.en#downl... # # # # Linux Instructions # # # # !!! Do not unpack or run TBB as root. !!! # # # # Download the architecture-appropriate file above, save it somewhere, then run one of the following two commands to extract the package archive: # # # # tar -xvJf tor-browser-linux32-6.0.7_LANG.tar.xz # # # # or (for the 64-bit version): # # $ tar -xvJf tor-browser-linux64-6.0.7_LANG.tar.xz # # # # (where LANG is the language listed in the filename). # # # # Once that's done, switch to the Tor browser directory by running: # # $ cd tor-browser_LANG # # # # (where LANG is the language listed in the filename). # # # # To run Tor Browser, click either on the Tor Browser or the Tor Browser Setup icon or execute the start-tor-browser.desktop file in a terminal: # # # # !!! Do not unpack or run TBB as root. !!! # # $ ./start-tor-browser.desktop # # # # !!! Do not unpack or run TBB as root. !!! # # # # This will launch Tor Launcher and once that connects to Tor, it will launch Firefox. # # # # Get user gid $ id uid=17222(wgotsy) gid=17222(wgotsy) группы=17222(wgotsy),24(cdrom),25(floppy),29(audio),30(dip),44(video),46(plugdev),60(games),104(scanner),107(bluetooth),109(netdev),17500(whowho) $ exit $ su - root Make firewall rules # echo ' : TOTOR_GID="17222" if test -z "${TOTOR_GID}" ; then exit ; fi LOCAL_TOR_PORTS="9150,9151" REMOTE_TOR_PORTS="9050" REMOTE_TOR_HOST="192.168.57.62" ## OUTPUT ## # Clear previous output firewall rules # Re-create OUTPUT-torify-clnt if it doesn't exist ipt_all -N OUTPUT-torify-clnt \|\| true ipt_all -F OUTPUT-torify-clnt \|\| true ipt_all -D OUTPUT -m owner --gid-owner "${TOTOR_GID}" -j OUTPUT-torify-clnt \|\| true ipt_all -I OUTPUT -m owner --gid-owner "${TOTOR_GID}" -j OUTPUT-torify-clnt \|\| true ipt_all -A OUTPUT-torify-clnt -m owner ! --gid-owner "${TOTOR_GID}" -j RETURN #ipt_all -A OUTPUT-torify-clnt -j LOG ##ipt_all -A OUTPUT-torify-clnt -m tcp -p tcp -m owner --gid-owner "${TOTOR_GID}" -j DROP ##ipt_all -A OUTPUT-torify-clnt -m udp -p udp -m owner --gid-owner "${TOTOR_GID}" -j DROP ##ipt_all -A OUTPUT-torify-clnt -m owner --gid-owner "${TOTOR_GID}" -j DROP ## IPv4 OUTPUT in table nat ## # Clear previous output firewall rules # Re-create OUTPUT-torify-clnt if it doesn't exist ipt_inet -t nat -N OUTPUT-torify-clnt \|\| true ipt_inet -t nat -F OUTPUT-torify-clnt \|\| true ipt_inet -t nat -D OUTPUT -m owner --gid-owner "${TOTOR_GID}" -j OUTPUT-torify-clnt \|\| true ipt_inet -t nat -I OUTPUT -m owner --gid-owner "${TOTOR_GID}" -j OUTPUT-torify-clnt \|\| true ipt_inet -t nat -A OUTPUT-torify-clnt -m owner ! --gid-owner "${TOTOR_GID}" -j RETURN ipt_inet -t nat -A OUTPUT-torify-clnt -m tcp -p tcp -m multiport -d localhost --destination-ports "${LOCAL_TOR_PORTS}" -j RETURN ipt_inet -t nat -A OUTPUT-torify-clnt -m udp -p udp -m multiport -d localhost --destination-ports "${LOCAL_TOR_PORTS}" -j RETURN ipt_inet -t nat -A OUTPUT-torify-clnt -m tcp -p tcp -d "${REMOTE_TOR_HOST}" --dport "${REMOTE_TOR_PORTS}" -j RETURN ipt_inet -t nat -A OUTPUT-torify-clnt -m udp -p udp -d "${REMOTE_TOR_HOST}" --dport "${REMOTE_TOR_PORTS}" -j RETURN ipt_inet -t nat -A OUTPUT-torify-clnt -j LOG ipt_inet -t nat -A OUTPUT-torify-clnt -m tcp -p tcp -j DNAT --to-destination "${REMOTE_TOR_HOST}":"${REMOTE_TOR_PORTS}" ipt_inet -t nat -A OUTPUT-torify-clnt -m udp -p udp -j DNAT --to-destination "${REMOTE_TOR_HOST}":"${REMOTE_TOR_PORTS}" ## IPv6 OUTPUT in table mangle ## # Clear previous output firewall rules # Re-create OUTPUT-torify-clnt if it doesn't exist ipt_inet6 -t mangle -N OUTPUT-torify-clnt \|\| true ipt_inet6 -t mangle -F OUTPUT-torify-clnt \|\| true ipt_inet6 -t mangle -D OUTPUT -m owner --gid-owner "${TOTOR_GID}" -j OUTPUT-torify-clnt \|\| true ipt_inet6 -t mangle -I OUTPUT -m owner --gid-owner "${TOTOR_GID}" -j OUTPUT-torify-clnt \|\| true ipt_inet6 -t mangle -A OUTPUT-torify-clnt -m owner ! --gid-owner "${TOTOR_GID}" -j RETURN ipt_inet6 -t mangle -A OUTPUT-torify-clnt -m tcp -p tcp -m multiport -d localhost --destination-ports "${LOCAL_TOR_PORTS}" -j RETURN ipt_inet6 -t mangle -A OUTPUT-torify-clnt -m udp -p udp -m multiport -d localhost --destination-ports "${LOCAL_TOR_PORTS}" -j RETURN ipt_inet6 -t mangle -A OUTPUT-torify-clnt -j LOG #ipt_inet6 -t mangle -A OUTPUT-torify-clnt -m tcp -p tcp -j DNAT --to-destination "${REMOTE_TOR_HOST}":"${REMOTE_TOR_PORTS}" #ipt_inet6 -t mangle -A OUTPUT-torify-clnt -m udp -p udp -j DNAT --to-destination "${REMOTE_TOR_HOST}":"${REMOTE_TOR_PORTS}" ipt_inet6 -t mangle -A OUTPUT-torify-clnt -j DROP ' > /etc/My_Favorit_Firewall/rules/60torify-client.rules # service My_Favorit_Firewall reload Далее (в следующей части) настройка Tor (запускаемого вместе с tor-browser-ом) and Tor-browser (хотя его как раз настраивать не надо) от пользователя. ;)
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	33. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..."	+/–
	Сообщение от vi (ok) on 13-Дек-16, 18:31
	ipt_inet -t nat -A OUTPUT-torify-clnt -m tcp -p tcp -j DNAT --to-destination "${REMOTE_TOR_HOST}":"${REMOTE_TOR_PORTS}" ipt_inet -t nat -A OUTPUT-torify-clnt -m udp -p udp -j DNAT --to-destination "${REMOTE_TOR_HOST}":"${REMOTE_TOR_PORTS}" It's a shame! One line is lost. + ipt_inet -t nat -A OUTPUT-torify-clnt -j DNAT --to-destination "${REMOTE_TOR_HOST}"
	Ответить \| Правка \| ^ к родителю #31 \| Наверх \| Cообщить модератору


	47. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..."	+/–
	Сообщение от Аноним (??) on 10-Авг-17, 10:51
	> ipt_inet -t nat -A OUTPUT-torify-clnt -m tcp -p tcp -j DNAT --to-destination > "${REMOTE_TOR_HOST}":"${REMOTE_TOR_PORTS}" > ipt_inet -t nat -A OUTPUT-torify-clnt -m udp -p udp -j DNAT --to-destination > "${REMOTE_TOR_HOST}":"${REMOTE_TOR_PORTS}" > It's a shame! One line is lost. > + ipt_inet -t nat -A OUTPUT-torify-clnt -j DNAT --to-destination "${REMOTE_TOR_HOST}" Выше вот интересные комменты.
	Ответить \| Правка \| ^ к родителю #33 \| Наверх \| Cообщить модератору


	18. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..."	+/–
	Сообщение от Аноним (??) on 13-Дек-16, 09:57
	А ты новость прочитай еще раз, там прямо даже ответ есть.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	41. "Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Bro..."	+/–
	Сообщение от Аноним (??) on 14-Дек-16, 07:01
	Меньше требует памяти. Но вм лучше. Лучше использовать вм
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

6. "Minix в студию"	+/–
Сообщение от Аноним (??) on 13-Дек-16, 05:41
Таненбаум уж 30 лет назад говорил, и Minix спроектирован так, что всё должно быть изначально в песочницах. Ядро следит за тем - какой песочнице какие права выдаются. Обновления независимые и обратимые. А теперь: - Андроид права и jail - IOS права и jail - Systemd jail - FreeBSD - Docker - LXC - RKT - OpenVZ - Snaps - Flatpack ... Я знаю что это разного применения утилы. Но Вам не кажется, что изоляция/песочница - вполне может быть одна? Они все используют Cgroups/Namespaces. Все работают от рута. Так может уже пора что-то одно написать? In Minix everything but the micro-kernel is a user process. Я о том, что он показал, что нам надо - ещё 30 лет назад. А мы пропустили сквозь уши, пишем разные велосипеды но в итоге идём к тому-же самому. Только с полным бардаком. Как и команда ядра теперь думает как в монолитном ядре отделить от него драйвера.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	11. "Minix в студию"	+1 +/–
	Сообщение от Аноним (??) on 13-Дек-16, 07:08
	Чего одно? Вы предлагаете для разных платформ одно писать? Нет, я понимаю ещё объединить flatpack и snaps. Я могу понять, что надо перенести из FreeBSD jail. Но что вы предлагаете на ведройде делать? Там и так всё анально разграничено и тогда им придётся архитектуру полностью менять. iOS туда же, да ещё и закрытое. Docker нужен не для визуализации а для быстрого развёртывания софта в контейнере. Что-то типа chroot, но защищённый. Одна утилита для одной цели, давайте будем придерживаться этого золотого правила, ок?
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору