LINUX.ORG.RU

Прошу помочь подключиться к SSH-серверу через сеть TOR

 , ,


1

1

На 1-й машине запущен sshd

Port 56320
AllowUsers user11123

AddressFamily inet
#ListenAddress 127.0.0.1

IgnoreRhosts yes
UseDNS no

TCPKeepAlive yes
Compression no

Subsystem	sftp	/usr/lib/ssh/sftp-server

KexAlgorithms diffie-hellman-group18-sha512
RekeyLimit 256M
Ciphers chacha20-poly1305@openssh.com
MACs hmac-sha2-512-etm@openssh.com
PubkeyAuthentication yes
PubkeyAcceptedKeyTypes ssh-rsa
FingerprintHash sha256

LoginGraceTime 30
MaxAuthTries 3

MaxSessions 1
MaxStartups 1

HostbasedAuthentication no
PasswordAuthentication no
ChallengeResponseAuthentication no
KerberosAuthentication no

AuthorizedKeysFile /home/user11123/.ssh/authorized_keys

PermitRootLogin no
PrintMotd no
PrintLastLog yes

ClientAliveInterval 30
ClientAliveCountMax 5

SyslogFacility AUTH
LogLevel INFO

и tor со следующим дополнением к стандартному конфигу :

HiddenServiceDir /var/lib/tor/ssh/
HiddenServicePort 56320 127.0.0.1:56320

iptables на время эксперимента отключается. На второй машине запускается tor и

ssh nb
с конфигом
host nb
    User user11123
    Hostname __скопированный_с_сервера_адрес__.onion
    Port 56320
    VerifyHostKeyDNS no
    ProxyCommand ncat -vvv --proxy 127.0.0.1:9050 --proxy-type socks5 %h %p

KexAlgorithms diffie-hellman-group18-sha512
Ciphers chacha20-poly1305@openssh.com
MACs hmac-sha2-512-etm@openssh.com
PubkeyAcceptedKeyTypes ssh-rsa
HostKeyAlgorithms ssh-rsa
HostbasedAuthentication yes
HostbasedAcceptedKeyTypes ssh-rsa
PasswordAuthentication no
CheckHostIP no

KeepAlive yes

Результат этой команды:

Ncat: Version 7.70 ( https://nmap.org/ncat )
NCAT DEBUG: Using system default trusted CA certificates and those in /usr/share/ncat/ca-bundle.crt.
Ncat: Connected to proxy 127.0.0.1:9050
Ncat: No authentication needed.
Ncat: Error: Host unreachable.
kex_exchange_identification: Connection closed by remote host

tor.log на стороне клиента :

Close 1 streams for service [scrubbed].onion for reason resolve failed. Fetch status: No more HSDir available to query.

Подскажите, друзья, почему так ?



Последнее исправление: Coyote112358 (всего исправлений: 4)
Ответ на: комментарий от r0ck3r

Если в конфиге ssh поменять на socks4

ProxyCommand ncat -vvv --proxy 127.0.0.1:9050 --proxy-type socks4 %h %p
то получаю
Ncat: Proxy connection failed.
вместо недоступности хоста.

Coyote112358
() автор топика
Ответ на: комментарий от TheAnonymous

Это описание похожих симптомов? Интересно, что на стороне сервера тор подключен к сети, то есть он ресолвит onion-имена, но к нему маршрута почему-то нет ...

Coyote112358
() автор топика
Ответ на: комментарий от Coyote112358

Кстати да, ты вместо того, чтобы копать со стороны ssh, копай со стороны torrc и ncat, ssh тут ни при чём вроде как. А чтобы уж точно исключить sshd, добавь ещё один порт на onion-сервисе и сделай там ncat -lkp порт -c «echo hello?»

anonymous
()

Чет ты как-то сложную мануаль нашёл. Стартуешь sshd на сервере, выплевываешь в tor её. На клиенте тупо

torsocks ssh -p 56320 user@tor.onion
Обмазываешь алиасами и усё шеф.

TomBOY ★★
()
Ответ на: комментарий от anonymous

Я не копаю со стороны ssh. Сейчас я подозреваю, что проблема в том, что у меня 3-я версия и 56-символьный адрес, а во всех примерах 16-символьный.

Coyote112358
() автор топика
Ответ на: комментарий от Coyote112358
/etc/tor/torrc

HiddenServicePort 22 127.0.0.1:22

# systemctl restart tor.service

cat /var/lib/tor/hidden_service/hostname

hostname - dns имя с системе Tor

Проверяем доступность
torsocks curl http://pkgsxmtmdrlxp7l3gfqysi3ceaochd4vnv7eax2fuyridmcz7ucvluad.onion:22

Работа клиента

torsocks ssh -p 22 username@pkgsxmtmdrlxp7l3gfqysi3ceaochd4vnv7eax2fuyridmcz7ucvluad.onion

Взято отседова

TomBOY ★★
()
Ответ на: комментарий от TomBOY

Что-то у меня не настроено.

torsocks curl ysevcxugbwb5n57ltjtpaimnoqjdb7lhte3neasiniusyqd55tvjnayd.onion:56320
1559720624 ERROR torsocks[3088]: Host unreachable (in socks5_recv_connect_reply() at socks5.c:539)
curl: (7) Couldn't connect to server

Coyote112358
() автор топика
Ответ на: комментарий от TomBOY

Чего-то не договаривают по этой ссылке. Для чего нужны ключи в директории

/var/lib/tor/other_hidden_service/
?

Coyote112358
() автор топика
Ответ на: комментарий от Coyote112358

у тебя DNS для работы Tor в командной строке не работает. Как поправить

torsocks curl $(tor-resolve ysevcxugbwb5n57ltjtpaimnoqjdb7lhte3neasiniusyqd55tvjnayd.onion):56320
вообще попробуй адрес проверить на доступность
tor-resolve ysevcxugbwb5n57ltjtpaimnoqjdb7lhte3neasiniusyqd55tvjnayd.onion

TomBOY ★★
()
Последнее исправление: TomBOY (всего исправлений: 1)
Ответ на: комментарий от TomBOY
tor-resolve ysevcxugbwb5n57ltjtpaimnoqjdb6lhte3neasiniusyqd55tvjnayd.onion
fe81:f7fa:5793:4e13:5181:f2cf:a5ba:d5fc
torsocks curl $(tor-resolve ysevcxugbwb5n57ltjtpaimnoqjdb6lhte3neasiniusyqd55tvjnayd.onion):56320
curl: (3) URL using bad/illegal format or missing URL
Coyote112358
() автор топика
Ответ на: комментарий от anonymous

Ага, лучше подними шеб-сервер на 80 порте и попробуй открыть его через tor browser, чтобы исключить проблемы с ncat, ssh и настройкой проксей

TheAnonymous ★★★★★
()
Ответ на: комментарий от Coyote112358
torsocks curl t5glbldcvmg56fky2kbn4bcqvuxcffxlcl4srzeeouczotqsculyyqyd.onion:22
SSH-2.0-OpenSSH_7.4p1 Debian-10+deb9u6

Такой ответ должен быть.
покажи настройки torrc
TomBOY ★★
()
Ответ на: комментарий от Coyote112358
Попробуй добавить

HiddenServiceDir /var/lib/tor/ssh_hidden_service/
HiddenServicePort 22 127.0.0.1:22

ControlPort 9051

HashedControlPassword 16:872860B76453A77D60CA2BB8C1A7042072093276A3D701AD684053EC4C
CookieAuthentication 1

DNSPort localhost:53
VirtualAddrNetwork 10.192.0.0/10

И сделай тест командой
torsocks -d curl адрес.onion
TomBOY ★★
()
Ответ на: комментарий от TomBOY

Это на сервере добавить или на клиенте ?

На 53-м порту у меня dnscrypt-proxy работает.

HashedControlPassword мне твой писать?

Coyote112358
() автор топика
Ответ на: комментарий от Coyote112358

Эта ошибка говорит о том, что сервис SSH у тебя не заработал. Сервер sshd трогать совсем не надо было поначалу. Сначала надо было сделать, а потом гайки закручивать. Сделай sshd_config по дефолту. на этот дефолт повесь hidden_service дефолт. Потом поменяешь порт и ограничишь политику регистрации.

TomBOY ★★
()
Ответ на: комментарий от Coyote112358

Пинг с телефона на комп есть. Со стандартным конфигом ssh тоже не коннектится. С тем же сообщением в ответ.

Coyote112358
() автор топика
Ответ на: комментарий от TomBOY

Я забыл, что на сервере вместо iptables запущена nftables. Выключил, и теперь и пинг есть и ssh дефолтный подключается.

Coyote112358
() автор топика
Ответ на: комментарий от TomBOY

Ты говоришь, у тебя curl выдает

torsocks curl t5glbldcvmg56fky2kbn4bcqvuxcffxlcl4srzeeouczotqsculyyqyd.onion:22
SSH-2.0-OpenSSH_7.4p1 Debian-10+deb9u6
А на мой адрес
ysevcxugbwb5n57ltjtpaimnoqjdb6lhte3neasiniusyqd55tvjnayd.onion
она что тебе пишет ?

Coyote112358
() автор топика
Ответ на: комментарий от Coyote112358

Ты сделай так:

  • настрой ssh и Tor на сервере
  • проверь, как всё работает на сервере
  • если все работает, значит ошибка в структуре сети
  • если не работает, значит кривые настройки сервера.
    В твоём описании отсутствует структура сети в которой ты всё делаешь.
    Из-за этого вся цепочка в которой ты работаешь имеет пробелы, о которых неизвестно что думать.
TomBOY ★★
()
Ответ на: комментарий от Coyote112358
 torsocks  curl ysevcxugbwb5n57ltjtpaimnoqjdb6lhte3neasiniusyqd55tvjnayd.onion
1559799949 ERROR torsocks[859]: Host unreachable (in socks5_recv_connect_reply() at socks5.c:539)
curl: (7) Couldn't connect to server
TomBOY ★★
()
Ответ на: комментарий от TomBOY

Структура сети:

[телефон]---[интернет]---[f18.ddns.net-роутер]---[192.168.0.10-сервер]

Работает SSH с конфигом из первого сообщения (по ключу).

ТОР работает - на телефоне и на сервере нормально открывается 3g2upl4pq6kufc4m.onion

В torrc раскомментированы строки

HiddenServiceDir /var/lib/tor/ssh/
HiddenServicePort 56320 127.0.0.1:56320
ТОР перезапущен

Из файла /var/lib/tor/ssh/hostname скопирован адрес ysevcxugbwb5n57ltjtpaimnoqjdb6lhte3neasiniusyqd55tvjnayd.onion

Подключиться к немк не получается

Coyote112358
() автор топика
Ответ на: комментарий от TomBOY

Может sshd и tor надо запускать на разных портах ? У меня сейчас sshd 56320 а в настройках ТОРа HiddenServicePort 56320 127.0.0.1:56320

Coyote112358
() автор топика
Ответ на: комментарий от TomBOY

Сам не пробрасывал. В роутере включен ДМЗ. Так что он сам все входящее отправляет абонентам (единственному сейчас). Я подключаюсь по ssh из интернета к нему.

Coyote112358
() автор топика
Ответ на: комментарий от Coyote112358

Если без Tor ssh работает, то смотри настройки, где-то у тебя не стыкуется ssh и Tor

torsocks -d curl ysevcxugbwb5n57ltjtpaimnoqjdb6lhte3neasiniusyqd55tvjnayd.onion:56320

На сервере такое сделай, где у тебя все крутится.

TomBOY ★★
()
Ответ на: комментарий от Coyote112358
1559817691 DEBUG torsocks[8044]: [onion] Onion entry name ysevcxugbwb5n57ltjtpaimnoqjdb6lhte3neasiniusyqd55tvjnayd.onion found in pool. (in onion_entry_find_by_addr() at onion.c:280)

В Tor твой адрес есть и он работает. SSH с Tor не состыкован. Смотри косяки по портам, фильтрам сетевым.

TomBOY ★★
()
Ответ на: комментарий от Coyote112358

Она опциональна. Для v3 еще и самому возиться с ключами надо.

anonymous
()
Ответ на: комментарий от TomBOY

iptables выключен

ssh подключается к серверу и по локалке и через интернет.

в стандартный torrc добавлены две строки

HiddenServiceDir /var/lib/tor/ssh/
HiddenServicePort 56320 127.0.0.1:56320

Coyote112358
() автор топика
Ответ на: комментарий от TomBOY

из /var/lib/tor/ssh/hostname скопировал адрес.onion и попытался подключиться с сервера к серверу

torsocks -d curl 3mu2qdoi3maovxha3vfk7dznl44on2ufnawxqc5m46pa5cdijg4p5uid.onion
1560097228 DEBUG torsocks[23188]: Logging subsystem initialized. Level 5, file (null), time 1 (in init_logging() at torsocks.c:304)
1560097228 DEBUG torsocks[23188]: Config file not provided by TORSOCKS_CONF_FILE. Using default /etc/tor/torsocks.conf (in config_file_read() at config-file.c:543)
1560097228 DEBUG torsocks[23188]: Config file setting tor address to 127.0.0.1 (in conf_file_set_tor_address() at config-file.c:298)
1560097228 DEBUG torsocks[23188]: Config file setting tor port to 9050 (in conf_file_set_tor_port() at config-file.c:254)
1560097228 DEBUG torsocks[23188]: [config] Onion address range set to 127.42.42.0/24 (in set_onion_info() at config-file.c:108)
1560097228 DEBUG torsocks[23188]: Config file /etc/tor/torsocks.conf opened and parsed. (in config_file_read() at config-file.c:572)
1560097228 DEBUG torsocks[23188]: [fclose] Close caught for fd 3 (in tsocks_fclose() at fclose.c:45)
1560097228 DEBUG torsocks[23188]: [onion] Pool init with subnet 127.42.42.0 and mask 24 (in onion_pool_init() at onion.c:104)
1560097228 DEBUG torsocks[23188]: [onion] Pool initialized with base 0, max_pos 255 and size 8 (in onion_pool_init() at onion.c:132)
1560097228 DEBUG torsocks[23188]: [close] Close caught for fd 3 (in tsocks_close() at close.c:33)
1560097228 DEBUG torsocks[23188]: [close] Close caught for fd 4 (in tsocks_close() at close.c:33)
1560097228 DEBUG torsocks[23188]: [fclose] Close caught for fd 3 (in tsocks_fclose() at fclose.c:45)
1560097228 DEBUG torsocks[23188]: [socket] Creating socket with domain 10, type 2 and protocol 0 (in tsocks_socket() at socket.c:33)
1560097228 DEBUG torsocks[23188]: IPv4/v6 non TCP socket denied. Tor network can't handle it. (in tsocks_socket() at socket.c:69)
1560097228 DEBUG torsocks[23188]: [getaddrinfo] Requesting 3mu2qdoi3maovxha3vfk7dznl44on2ufnawxqc5m46pa5cdijg4p5uid.onion hostname (in tsocks_getaddrinfo() at getaddrinfo.c:44)
1560097228 DEBUG torsocks[23188]: Resolving 3mu2qdoi3maovxha3vfk7dznl44on2ufnawxqc5m46pa5cdijg4p5uid.onion on the Tor network (in tsocks_tor_resolve() at torsocks.c:545)
1560097228 DEBUG torsocks[23188]: [onion] Finding onion entry for name 3mu2qdoi3maovxha3vfk7dznl44on2ufnawxqc5m46pa5cdijg4p5uid.onion (in onion_entry_find_by_name() at onion.c:229)
1560097228 DEBUG torsocks[23188]: [onion] Creating onion entry for name 3mu2qdoi3maovxha3vfk7dznl44on2ufnawxqc5m46pa5cdijg4p5uid.onion (in onion_entry_create() at onion.c:174)
1560097228 DEBUG torsocks[23188]: [onion] Entry added to the onion pool at index 0 (in insert_onion_entry() at onion.c:79)
1560097228 DEBUG torsocks[23188]: [onion] Entry added with IP address 127.42.42.0 used as cookie (in onion_entry_create() at onion.c:207)
1560097228 DEBUG torsocks[23188]: [getaddrinfo] Node 3mu2qdoi3maovxha3vfk7dznl44on2ufnawxqc5m46pa5cdijg4p5uid.onion resolved to 127.42.42.0 (in tsocks_getaddrinfo() at getaddrinfo.c:107)
1560097228 DEBUG torsocks[23188]: [socket] Creating socket with domain 2, type 1 and protocol 6 (in tsocks_socket() at socket.c:33)
1560097228 DEBUG torsocks[23188]: Connect caught on fd 3 (in tsocks_connect() at connect.c:118)
1560097228 DEBUG torsocks[23188]: [connect] Socket family AF_INET and type 1 (in tsocks_validate_socket() at connect.c:77)
1560097228 DEBUG torsocks[23188]: [onion] Finding onion entry for IP 127.42.42.0 (in onion_entry_find_by_addr() at onion.c:268)
1560097228 DEBUG torsocks[23188]: [onion] Onion entry name 3mu2qdoi3maovxha3vfk7dznl44on2ufnawxqc5m46pa5cdijg4p5uid.onion found in pool. (in onion_entry_find_by_addr() at onion.c:280)
1560097228 DEBUG torsocks[23188]: Connecting to the Tor network on fd 3 (in tsocks_connect_to_tor() at torsocks.c:473)
1560097228 DEBUG torsocks[23188]: Setting up a connection to the Tor network on fd 3 (in setup_tor_connection() at torsocks.c:368)
1560097228 DEBUG torsocks[23188]: Socks5 sending method ver: 5, nmethods 0x01, methods 0x00 (in socks5_send_method() at socks5.c:229)
1560097228 DEBUG torsocks[23188]: Socks5 received method ver: 5, method 0x00 (in socks5_recv_method() at socks5.c:262)
1560097228 DEBUG torsocks[23188]: Socks5 sending connect request to fd 3 (in socks5_send_connect_request() at socks5.c:459)
1560097349 DEBUG torsocks[23188]: Socks5 received connect reply - ver: 5, rep: 0x06, atype: 0x01 (in socks5_recv_connect_reply() at socks5.c:519)
1560097349 ERROR torsocks[23188]: Connection timed out (in socks5_recv_connect_reply() at socks5.c:547)
1560097349 DEBUG torsocks[23188]: [close] Close caught for fd 3 (in tsocks_close() at close.c:33)
curl: (7) Couldn't connect to server
1560097349 DEBUG torsocks[23188]: [onion] Destroying onion pool containing 1 entry (in onion_pool_destroy() at onion.c:148)

Coyote112358
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.