LINUX.ORG.RU

proxychains — redirect connections through proxy servers

А torify — судя по названию велосипед, хз зачем, может прося для неосиляторов прокси-серверов обычных.

mandala ★★★★★
()
Ответ на: комментарий от Deleted

Любопитно, то есть получается что proxychains имеет потенциальную уязвимость и если прога передает данные не на уровне TCP то данные будут успешно отправлены в обход прокси. А Torsocks вроде как должен решать эту проблему.

Интересно в чем же тогда суть torify?

AligatorBkmz
() автор топика
Ответ на: комментарий от AligatorBkmz

https://linux.die.net/man/1/torify

Нашел более полную справку, странно, в моей системе ман не указывает это: «Both will leak ICMP data.»

Тобишь, надо блочить ICMP траффик.

$ iptables -I OUTPUT -d $IPADDR -p icmp -j DROP

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от Deleted

Возможно, и входящий трафик блочить надо. И хорошо бы cgroups использовать, ограничив правило на уровне отдельных приложений.

Deleted
()
Ответ на: комментарий от Deleted

Интересная инфа. Наталкивает на мысль заняться анализом сетевого трафика, что бы понять каким приложениям можно доверять.)) Ну или заблочить весь ICMP и юзать torsocks.

AligatorBkmz
() автор топика
Ответ на: комментарий от AligatorBkmz

Юзать torsocks для всего? Кто знает, какое приложение сливает инфу, а какое нет? А если оно в зависимости от фазы луны выходит в сеть, и о правилах знает лишь хакер? Задолбаешься мониторить. :)

Есть apparmor. В нем, кажись, можно указать правила вида «блокировать всё, что не разрешено». Таким образом, все приложения дистрибутива перевести на apparmor, разрешить сеть только тем приложениям, у кого это заявлено в работе, явно. И уже их пускать через torsocks, предварительно заблокировав icmp (возможно, это можно сделать правилами apparmor'a, хз).

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от Deleted

Извиняюсь за ссылку на ман с linux.die.net. Она не соответствует действительности.

Утечек ICMP по всей видимости нет.

https://share.riseup.net/#BKUO629EZw7PRBtn70L9AQ

Разработчики прокомментировали это так:

«Это, кажется, убедительным доказательством того, что эта конкретная утечка не существует. Это не гарантирует, что нет какой-то другой утечки где-то еще, о которой мы не подумали.»

Так что паранойя лишней не бывает. :)

Deleted
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.