Война в Украине

Все мы знаем, какой пиздец сейчас происходит с Украиной и одной известной вам страной-победительницей-фашизма. Если вы хотите почитать об этом, помочь актуализировать информацию или высказать свое мнение — можете сделать это в статье Война в Украине и в обсуждении.

Участник:Xlikam/Даркнеты — различия между версиями

Материал из Urbanculture
Перейти к: навигация, поиск
(Всё, что не успел допилю завтра, буду рад, если кто-нибудь подправит ошибки и разметку.)
(so far...)
Строка 1: Строка 1:
 
Тут будет различная информация о сабжах
 
Тут будет различная информация о сабжах
==I2P + Tor==
+
 
Сеть I2P очень удобна для обеспечения анонимности обмена данными между участниками сети, но только при условии, что все они находятся в ней самой, а не во внешнем интернете. Да, имеются шлюзы для доступа во внешний интернет из I2P, но они имеют множество ограничений и, как правило, работают очень медленно, делая работу во внешнем интернете крайне неудобной. Для того чтобы это исправить можно использовать связку I2P + Tor. Тогда вы при выходе за пределы I2P вашу анонимность будет обеспечивать Tor, что гораздо быстрее и удобнее outproxy.
+
== I2P + Tor ==
 +
Сеть I2P очень удобна для обеспечения анонимности обмена данными между участниками сети, но только при условии, что все они находятся в ней самой, а не во внешнем интернете. Да, имеются шлюзы для доступа во внешний интернет из I2P, но они имеют множество ограничений и, как правило, работают очень медленно, делая работу во внешнем интернете крайне неудобной. Исправить ситуацию можно посредством связки I2P + Tor. Тогда при выходе за пределы I2P вашу анонимность будет обеспечивать Tor, что гораздо быстрее и удобнее outproxy.
 +
 
 
Что для этого необходимо:
 
Что для этого необходимо:
<br>
+
# Зайти в менеджер туннелей [http://127.0.0.1:7657/i2ptunnel]
1. Зайти в менеджер туннелей [http://127.0.0.1:7657/i2ptunnel]
+
# В появившемся окне менеджера нажать кнопку создать новый серверный туннель.
<br>
+
# Точка доступа: 127.0.0.1 Порт: 8118 (Для HTTP-proxy) или 9050 (прямое обращение к Tor)
2. В появившемся окне менеджера нажать кнопку создать новый серверный туннель.
+
# Сохраняем изменения.
Точка доступа: 127.0.0.1 Порт: 8118 (Для HTTP-proxy) или 9050 (прямое обращение к Tor)
+
# ????
<br>
+
# PROFIT!
4. Сохраняем изменения.
+
''Скриншоты потом вставлю.''
<br>
+
 
5. ????
+
== Создаём защищённый eepsite ==
<br>
+
В первую очередь нам понадобится веб-сервер.
6. PROFIT!
+
''Я выбрал nginx, так как считаю его наиболее безопасным.''
Скриншоты потом вставлю.
+
Итак, понеслась:
==Создаём защищённый eepsite==
+
# Скачиваем исходник последней стабильной версии [http://nginx.org/download], редактируем файл '''src/http/ngx_http_header_filter_module.c'''
В первую очередь нам понадобится веб-сервер.  
+
Находим строчки<br />
Я выбрал nginx, так как считаю его наиболее безопасным.
+
<code>static char ngx_http_server_string[] = «Server: nginx» CRLF;<br />
Итак, что нам нужно сделать:
+
static char ngx_http_server_full_string[] = "Server: " NGINX_VER CRLF;</code><br />
<br>
+
и меняем их, к примеру, на:<br />
1. Скачиваем исходник последней стабильной версии [http://nginx.org/download], редактируем файл src/http/ngx_http_header_filter_module.c
+
<code>static char ngx_http_server_string[] = «Secured webserver» CRLF;<br />
Находим эти строчки:
+
static char ngx_http_server_full_string[] = «Server: Secured webserver 0.CRLF;</code>
<br>
+
static char ngx_http_server_string[] = "Server: nginx" CRLF;
+
<br>
+
static char ngx_http_server_full_string[] = "Server: " NGINX_VER CRLF;
+
<br>
+
и изменяем их, например так:
+
<br>
+
static char ngx_http_server_string[] = "Secured webserver" CRLF;
+
<br>
+
static char ngx_http_server_full_string[] = "Server: Secured webserver 0.3"  CRLF;
+
<br>
+
 
Это осложнит определение настоящей версии сервера, что значительно повысит его безопасность.
 
Это осложнит определение настоящей версии сервера, что значительно повысит его безопасность.
<br>
+
# Собираем сервер, отключив ненужные модули (список всех модулей можно получить, запустив configure c флагом --help):
2. Собираем сервер, отключив ненужные модули (список всех модулей можно получить запустив configure c флагом --help):
+
<nowiki># ./configure --without-http_autoindex_module --without-http_ssi_module
# ./configure --without-http_autoindex_module --without-http_ssi_module
+
 
# make
 
# make
# make install
+
# make install</nowiki>
3. Конфигурируем сервер
+
# Конфигурируем сервер
<br>
+
# Открываем файл /etc/nginx/nginx.conf и добавляем в него строчку «server_tokens off» Это скроет информацию о версии и типе сервера на страницах, отображаемых при ошибочный запросах клиента, что дополнительно повысит его безопасность.
Открываем файл /etc/nginx/nginx.conf и добавляем в него строчку "server_tokens off" Это скроет информацию о версии и типе сервера на страницах, отображаемых при ошибочный запросах клиента, что дополнительно повысит его безопасность.
+
<br />
<br>
+
Теперь изменим таймаут для повышения производительности<br />
Теперь изменим таймаут для повышения производительности<br>
+
client_body_timeout 10;<br />
client_body_timeout 10;<br>
+
client_header_timeout 10;<br />
client_header_timeout 10;<br>
+
keepalive_timeout 5 5;<br />
keepalive_timeout 5 5;<br>
+
send_timeout 10;<br />
send_timeout 10;<br>
+
Защитимся от переполнения буфера:<br />
Защитимся от переполнения буфера:<br>
+
client_body_buffer_size 1K;<br />
client_body_buffer_size 1K;<br>
+
client_header_buffer_size 1k; — увеличить, если сервер будет поддерживать загрузку файлов<br />
client_header_buffer_size 1k; - увеличить, если сервер будет поддерживать загрузку файлов<br>
+
client_max_body_size 1k;<br />
client_max_body_size 1k;<br>
+
large_client_header_buffers 2 1k;<br />
large_client_header_buffers 2 1k;<br>
+
Увеличим количество соединений с одного ip-адреса, так как обращаться к серверу будем только с адреса 127.0.0.1<br />
Увеличим количество соединений с одного ip-адреса, т.к. обращаться к серверу будем только с адреса 127.0.0.1<br>
+
limit_conn slimits 40;<br />
limit_conn slimits 40;<br>
+
На всякий случай оставим только 3 метода обращения к серверу<br />
На всякий случай оставим только 3 метода обращения к серверу<br>
+
if ($request_method !~ ^(GET|HEAD|POST)$) <br />
if ($request_method !~ ^(GET|HEAD|POST)$ ) <br>
+
{<br />
{<br>
+
return 444;<br />
return 444;<br>
+
}<br />
}<br>
+
 
Устанавливаем пароль на нужные нам папки:
 
Устанавливаем пароль на нужные нам папки:
<br># mkdir /etc/nginx/.htpasswd<br>
+
<br /># mkdir /etc/nginx/.htpasswd<br />
# htpasswd -c /etc/nginx/.htpasswd/passwd user1 - создаём файл паролей для пользователя user1
+
# htpasswd -c /etc/nginx/.htpasswd/passwd user1 — создаём файл паролей для пользователя user1
Добавляем в nginx.conf  
+
Добавляем в nginx.conf
<br>location /private/  
+
<br />location /private/
<br>{
+
<br />{
<br>auth_basic "Restricted";
+
<br />auth_basic «Restricted»;
<br>auth_basic_user_file /etc/nginx/.htpasswd/passwd;
+
<br />auth_basic_user_file /etc/nginx/.htpasswd/passwd;
<br>}
+
<br />}
<br>
+
<br />
 
Для пущей паранойи будем использовать SSL
 
Для пущей паранойи будем использовать SSL
<br>
+
<br />
 
Создаём сертификат:
 
Создаём сертификат:
 
# cd /etc/nginx
 
# cd /etc/nginx
Строка 79: Строка 68:
 
# openssl rsa -in server.key.org -out server.key
 
# openssl rsa -in server.key.org -out server.key
 
# openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
 
# openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
Пишем в nginx.conf<br>
+
Пишем в nginx.conf<br />
server {<br>
+
server {<br />
server_name localhost;<br>
+
server_name localhost;<br />
listen 443;<br>
+
listen 443;<br />
ssl on;<br>
+
ssl on;<br />
ssl_certificate /etc/nginx/server.crt;<br>
+
ssl_certificate /etc/nginx/server.crt;<br />
ssl_certificate_key /etc/nginx/server.key;<br>
+
ssl_certificate_key /etc/nginx/server.key;<br />
access_log /etc/nginx/logs/ssl.access.log;<br>
+
access_log /etc/nginx/logs/ssl.access.log;<br />
error_log /etc/nginx/logs/ssl.error.log;<br>
+
error_log /etc/nginx/logs/ssl.error.log;<br />
}<br>
+
}<br />
 
Перезагружаем сервер:
 
Перезагружаем сервер:
<br>/etc/init.d/nginx reload
+
<br />/etc/init.d/nginx reload
<br>Для ещё большей паранойи разместим каталог сервера на отдельном разделе диска или даже флешке, шифрованном truecrypt-ом
+
<br />Для ещё большей паранойи разместим каталог сервера на отдельном разделе диска или даже флешке, шифрованном truecrypt-ом
<br>Скачиваем установщик truecrypta отсюда - http://www.truecrypt.org/downloads
+
<br />Скачиваем установщик truecrypta отсюда — http://www.truecrypt.org/downloads
<br>Устанавливаем, запускаем, шифруем флешку (Create Volume - Create a volume within a partition/drive - Hidden truecrypt volume - ???(подробнее завтра допилю))
+
<br />Устанавливаем, запускаем, шифруем флешку (Create Volume — Create a volume within a partition/drive — Hidden truecrypt volume — ???(подробнее завтра допилю))
Монтируем её через Select drive - Mount, правим /etc/fstab, предварительно переместив файлы сервера
+
Монтируем её через Select drive — Mount, правим /etc/fstab, предварительно переместив файлы сервера
<br>/dev/mapper/truecrypt1 /nginx ext4 defaults,nosuid,noexec,nodev 1 2
+
<br />/dev/mapper/truecrypt1 /nginx ext4 defaults, nosuid, noexec, nodev 1 2
<br>5. Тут про запуск сервера из под KVM, допилю завтра.
+
<br />5. Тут про запуск сервера из под KVM, допилю завтра.
<br>6. Дополнительная защита из под selinux-a - http://sf.net/projects/selinuxnginx/
+
<br />6. Дополнительная защита из под selinux-a — http://sf.net/projects/selinuxnginx/
 
# tar -zxvf se-ngix_1_0_10.tar.gz
 
# tar -zxvf se-ngix_1_0_10.tar.gz
 
# cd se-ngix_1_0_10/nginx
 
# cd se-ngix_1_0_10/nginx
 
# make
 
# make
 
# /usr/sbin/semodule -i nginx.pp
 
# /usr/sbin/semodule -i nginx.pp
7. PHP<br>
+
7. PHP<br />
 
Если вы всё-таки решили использовать на вашем сайте язык PHP, что довольно опасно, то стоит настроить его должным образом
 
Если вы всё-таки решили использовать на вашем сайте язык PHP, что довольно опасно, то стоит настроить его должным образом
 
Редактируем файл /etc/php/php.ini
 
Редактируем файл /etc/php/php.ini
<br>disable_functions = phpinfo, system, mail, exec - отключение опасных функций
+
<br />disable_functions = phpinfo, system, mail, exec — отключение опасных функций
<br>max_execution_time = 10
+
<br />max_execution_time = 10
<br>max_input_time = 60
+
<br />max_input_time = 60
<br>memory_limit = 8M
+
<br />memory_limit = 8M
<br>post_max_size = 8M
+
<br />post_max_size = 8M
<br>upload_max_filesize = 2M
+
<br />upload_max_filesize = 2M
<br>display_errors = Off
+
<br />display_errors = Off
<br>safe_mode = On
+
<br />safe_mode = On
<br>sql.safe_mode = On
+
<br />sql.safe_mode = On
<br>safe_mode_exec_dir = /secured/ - путь к каталогу, из которого можно выполнять внешние команды
+
<br />safe_mode_exec_dir = /secured/ — путь к каталогу, из которого можно выполнять внешние команды
<br>expose_php = Off
+
<br />expose_php = Off
<br>log_errors = On - логи
+
<br />log_errors = On — логи
<br>allow_url_fopen = Off
+
<br />allow_url_fopen = Off
<br>8. Скрываем сервер от внешнего интернета
+
<br />8. Скрываем сервер от внешнего интернета
<br>iptables -A INPUT -m state --state NEW -p tcp -s 127.0.0.1 --dport 80 -j ACCEPT
+
<br />iptables -A INPUT -m state --state NEW -p tcp -s 127.0.0.1 --dport 80 -j ACCEPT
<br>iptables -A INPUT --dport 80 -j REJECT
+
<br />iptables -A INPUT --dport 80 -j REJECT
<br>Этим мы скроем наш сервер от всех подключений, кроме тех, что из I2P.
+
<br />Этим мы скроем наш сервер от всех подключений, кроме тех, что из I2P.
<br>Теперь, когда наш сервер достаточно защищён создаём серверные туннели к http и https [http://127.0.0.1:7657/i2ptunnel/].
+
<br />Теперь, когда наш сервер достаточно защищён создаём серверные туннели к http и https [http://127.0.0.1:7657/i2ptunnel/].
 
Там же отключаем неиспользуемые туннели если таковые имеются.
 
Там же отключаем неиспользуемые туннели если таковые имеются.
 
10. Регистрация в DNS.
 
10. Регистрация в DNS.
 
Заходим на сайт [stats.i2p] и регистрируемся там.
 
Заходим на сайт [stats.i2p] и регистрируемся там.

Версия 23:17, 9 января 2013

Тут будет различная информация о сабжах

I2P + Tor

Сеть I2P очень удобна для обеспечения анонимности обмена данными между участниками сети, но только при условии, что все они находятся в ней самой, а не во внешнем интернете. Да, имеются шлюзы для доступа во внешний интернет из I2P, но они имеют множество ограничений и, как правило, работают очень медленно, делая работу во внешнем интернете крайне неудобной. Исправить ситуацию можно посредством связки I2P + Tor. Тогда при выходе за пределы I2P вашу анонимность будет обеспечивать Tor, что гораздо быстрее и удобнее outproxy.

Что для этого необходимо:

  1. Зайти в менеджер туннелей [1]
  2. В появившемся окне менеджера нажать кнопку создать новый серверный туннель.
  3. Точка доступа: 127.0.0.1 Порт: 8118 (Для HTTP-proxy) или 9050 (прямое обращение к Tor)
  4. Сохраняем изменения.
  5.  ????
  6. PROFIT!

Скриншоты потом вставлю.

Создаём защищённый eepsite

В первую очередь нам понадобится веб-сервер. Я выбрал nginx, так как считаю его наиболее безопасным. Итак, понеслась:

  1. Скачиваем исходник последней стабильной версии [2], редактируем файл src/http/ngx_http_header_filter_module.c

Находим строчки
static char ngx_http_server_string[] = «Server: nginx» CRLF;
static char ngx_http_server_full_string[] = "Server: " NGINX_VER CRLF;
и меняем их, к примеру, на:
static char ngx_http_server_string[] = «Secured webserver» CRLF;
static char ngx_http_server_full_string[] = «Server: Secured webserver 0.3» CRLF; Это осложнит определение настоящей версии сервера, что значительно повысит его безопасность.

  1. Собираем сервер, отключив ненужные модули (список всех модулей можно получить, запустив configure c флагом --help):

# ./configure --without-http_autoindex_module --without-http_ssi_module # make # make install

  1. Конфигурируем сервер
  2. Открываем файл /etc/nginx/nginx.conf и добавляем в него строчку «server_tokens off» Это скроет информацию о версии и типе сервера на страницах, отображаемых при ошибочный запросах клиента, что дополнительно повысит его безопасность.


Теперь изменим таймаут для повышения производительности
client_body_timeout 10;
client_header_timeout 10;
keepalive_timeout 5 5;
send_timeout 10;
Защитимся от переполнения буфера:
client_body_buffer_size 1K;
client_header_buffer_size 1k; — увеличить, если сервер будет поддерживать загрузку файлов
client_max_body_size 1k;
large_client_header_buffers 2 1k;
Увеличим количество соединений с одного ip-адреса, так как обращаться к серверу будем только с адреса 127.0.0.1
limit_conn slimits 40;
На всякий случай оставим только 3 метода обращения к серверу
if ($request_method !~ ^(GET|HEAD|POST)$)
{
return 444;
}
Устанавливаем пароль на нужные нам папки:
# mkdir /etc/nginx/.htpasswd

  1. htpasswd -c /etc/nginx/.htpasswd/passwd user1 — создаём файл паролей для пользователя user1

Добавляем в nginx.conf
location /private/
{
auth_basic «Restricted»;
auth_basic_user_file /etc/nginx/.htpasswd/passwd;
}
Для пущей паранойи будем использовать SSL
Создаём сертификат:

  1. cd /etc/nginx
  2. openssl genrsa -des3 -out server.key 1024
  3. openssl req -new -key server.key -out server.csr
  4. cp server.key server.key.org
  5. openssl rsa -in server.key.org -out server.key
  6. openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

Пишем в nginx.conf
server {
server_name localhost;
listen 443;
ssl on;
ssl_certificate /etc/nginx/server.crt;
ssl_certificate_key /etc/nginx/server.key;
access_log /etc/nginx/logs/ssl.access.log;
error_log /etc/nginx/logs/ssl.error.log;
}
Перезагружаем сервер:
/etc/init.d/nginx reload
Для ещё большей паранойи разместим каталог сервера на отдельном разделе диска или даже флешке, шифрованном truecrypt-ом
Скачиваем установщик truecrypta отсюда — http://www.truecrypt.org/downloads
Устанавливаем, запускаем, шифруем флешку (Create Volume — Create a volume within a partition/drive — Hidden truecrypt volume — ???(подробнее завтра допилю)) Монтируем её через Select drive — Mount, правим /etc/fstab, предварительно переместив файлы сервера
/dev/mapper/truecrypt1 /nginx ext4 defaults, nosuid, noexec, nodev 1 2
5. Тут про запуск сервера из под KVM, допилю завтра.
6. Дополнительная защита из под selinux-a — http://sf.net/projects/selinuxnginx/

  1. tar -zxvf se-ngix_1_0_10.tar.gz
  2. cd se-ngix_1_0_10/nginx
  3. make
  4. /usr/sbin/semodule -i nginx.pp

7. PHP
Если вы всё-таки решили использовать на вашем сайте язык PHP, что довольно опасно, то стоит настроить его должным образом Редактируем файл /etc/php/php.ini
disable_functions = phpinfo, system, mail, exec — отключение опасных функций
max_execution_time = 10
max_input_time = 60
memory_limit = 8M
post_max_size = 8M
upload_max_filesize = 2M
display_errors = Off
safe_mode = On
sql.safe_mode = On
safe_mode_exec_dir = /secured/ — путь к каталогу, из которого можно выполнять внешние команды
expose_php = Off
log_errors = On — логи
allow_url_fopen = Off
8. Скрываем сервер от внешнего интернета
iptables -A INPUT -m state --state NEW -p tcp -s 127.0.0.1 --dport 80 -j ACCEPT
iptables -A INPUT --dport 80 -j REJECT
Этим мы скроем наш сервер от всех подключений, кроме тех, что из I2P.
Теперь, когда наш сервер достаточно защищён создаём серверные туннели к http и https [3]. Там же отключаем неиспользуемые туннели если таковые имеются. 10. Регистрация в DNS. Заходим на сайт [stats.i2p] и регистрируемся там.

Источник — «https://urbanculture.pro/index.php?title=Участник:Xlikam/Даркнеты&oldid=11635»