Редактирование Участник:Xlikam/Даркнеты

Тут будет различная информация о сабжах
==I2P + Tor==
Сеть I2P очень удобна для обеспечения анонимности обмена данными между участниками сети, но только при условии, что все они находятся в ней самой, а не во внешнем интернете. Да, имеются шлюзы для доступа во внешний интернет из I2P, но они имеют множество ограничений и, как правило, работают очень медленно, делая работу во внешнем интернете крайне неудобной. Для того чтобы это исправить можно использовать связку I2P + Tor. Тогда вы при выходе за пределы I2P вашу анонимность будет обеспечивать Tor, что гораздо быстрее и удобнее outproxy.
Что для этого необходимо:
<br>
1. Зайти в менеджер туннелей [http://127.0.0.1:7657/i2ptunnel]
<br>
2. В появившемся окне менеджера нажать кнопку создать новый серверный туннель.
Точка доступа: 127.0.0.1 Порт: 8118 (Для HTTP-proxy) или 9050 (прямое обращение к Tor)
<br>
4. Сохраняем изменения.
<br>
5. ????
<br>
6. PROFIT!
Скриншоты потом вставлю.
==Создаём защищённый eepsite==
В первую очередь нам понадобится веб-сервер. 
Я выбрал nginx, так как считаю его наиболее безопасным.
Итак, что нам нужно сделать:
<br>
1. Скачиваем исходник последней стабильной версии [http://nginx.org/download], редактируем файл src/http/ngx_http_header_filter_module.c
Находим эти строчки:
<br>
static char ngx_http_server_string[] = "Server: nginx" CRLF;
<br>
static char ngx_http_server_full_string[] = "Server: " NGINX_VER CRLF;
<br>
и изменяем их, например так:
<br>
static char ngx_http_server_string[] = "Secured webserver" CRLF;
<br>
static char ngx_http_server_full_string[] = "Server: Secured webserver 0.3"  CRLF;
<br>
Это осложнит определение настоящей версии сервера, что значительно повысит его безопасность.
<br>
2. Собираем сервер, отключив ненужные модули (список всех модулей можно получить запустив configure c флагом --help):
# ./configure --without-http_autoindex_module --without-http_ssi_module
# make
# make install
3. Конфигурируем сервер
<br>
Открываем файл /etc/nginx/nginx.conf и добавляем в него строчку "server_tokens off" Это скроет информацию о версии и типе сервера на страницах, отображаемых при ошибочный запросах клиента, что дополнительно повысит его безопасность.
<br>
Теперь изменим таймаут для повышения производительности<br>
client_body_timeout 10;<br>
client_header_timeout 10;<br>
keepalive_timeout 5 5;<br>
send_timeout 10;<br>
Защитимся от переполнения буфера:<br>
client_body_buffer_size 1K;<br>
client_header_buffer_size 1k; - увеличить, если сервер будет поддерживать загрузку файлов<br>
client_max_body_size 1k;<br>
large_client_header_buffers 2 1k;<br>
Увеличим количество соединений с одного ip-адреса, т.к. обращаться к серверу будем только с адреса 127.0.0.1<br>
limit_conn slimits 40;<br>
На всякий случай оставим только 3 метода обращения к серверу<br>
if ($request_method !~ ^(GET|HEAD|POST)$ ) <br>
{<br>
return 444;<br>
}<br>
Устанавливаем пароль на нужные нам папки:
<br># mkdir /etc/nginx/.htpasswd<br>
# htpasswd -c /etc/nginx/.htpasswd/passwd user1 - создаём файл паролей для пользователя user1
Добавляем в nginx.conf 
<br>location /private/ 
<br>{
<br>auth_basic "Restricted";
<br>auth_basic_user_file /etc/nginx/.htpasswd/passwd;
<br>}
<br>
Для пущей паранойи будем использовать SSL
<br>
Создаём сертификат:
# cd /etc/nginx
# openssl genrsa -des3 -out server.key 1024
# openssl req -new -key server.key -out server.csr
# cp server.key server.key.org
# openssl rsa -in server.key.org -out server.key
# openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
Пишем в nginx.conf<br>
server {<br>
server_name localhost;<br>
listen 443;<br>
ssl on;<br>
ssl_certificate /etc/nginx/server.crt;<br>
ssl_certificate_key /etc/nginx/server.key;<br>
access_log /etc/nginx/logs/ssl.access.log;<br>
error_log /etc/nginx/logs/ssl.error.log;<br>
}<br>
Перезагружаем сервер:
<br>/etc/init.d/nginx reload
<br>Для ещё большей паранойи разместим каталог сервера на отдельном разделе диска или даже флешке, шифрованном truecrypt-ом
<br>Скачиваем установщик truecrypta отсюда - http://www.truecrypt.org/downloads
<br>Устанавливаем, запускаем, шифруем флешку (Create Volume - Create a volume within a partition/drive - Hidden truecrypt volume - ???(подробнее завтра допилю))
Монтируем её через Select drive - Mount, правим /etc/fstab, предварительно переместив файлы сервера
<br>/dev/mapper/truecrypt1 /nginx ext4 defaults,nosuid,noexec,nodev 1 2
<br>5. Тут про запуск сервера из под KVM, допилю завтра.
<br>6. Дополнительная защита из под selinux-a - http://sf.net/projects/selinuxnginx/
# tar -zxvf se-ngix_1_0_10.tar.gz
# cd se-ngix_1_0_10/nginx
# make
# /usr/sbin/semodule -i nginx.pp
7. PHP<br>
Если вы всё-таки решили использовать на вашем сайте язык PHP, что довольно опасно, то стоит настроить его должным образом
Редактируем файл /etc/php/php.ini
<br>disable_functions = phpinfo, system, mail, exec - отключение опасных функций
<br>max_execution_time = 10
<br>max_input_time = 60
<br>memory_limit = 8M
<br>post_max_size = 8M
<br>upload_max_filesize = 2M
<br>display_errors = Off
<br>safe_mode = On
<br>sql.safe_mode = On
<br>safe_mode_exec_dir = /secured/ - путь к каталогу, из которого можно выполнять внешние команды
<br>expose_php = Off
<br>log_errors = On - логи
<br>allow_url_fopen = Off
<br>8. Скрываем сервер от внешнего интернета
<br>iptables -A INPUT -m state --state NEW -p tcp -s 127.0.0.1 --dport 80 -j ACCEPT
<br>iptables -A INPUT --dport 80 -j REJECT
<br>Этим мы скроем наш сервер от всех подключений, кроме тех, что из I2P.
<br>Теперь, когда наш сервер достаточно защищён создаём серверные туннели к http и https [http://127.0.0.1:7657/i2ptunnel/].
Там же отключаем неиспользуемые туннели если таковые имеются.
10. Регистрация в DNS.
Заходим на сайт [stats.i2p] и регистрируемся там.
@@ Строка 1: / Строка 1: @@
-{{Навигация|Криптоконспирология}}
-{{stub|help=yes|См. TODO}}
 Тут будет различная информация о сабжах
+==I2P + Tor==
-== I2P + Tor ==
+Сеть I2P очень удобна для обеспечения анонимности обмена данными между участниками сети, но только при условии, что все они находятся в ней самой, а не во внешнем интернете. Да, имеются шлюзы для доступа во внешний интернет из I2P, но они имеют множество ограничений и, как правило, работают очень медленно, делая работу во внешнем интернете крайне неудобной. Для того чтобы это исправить можно использовать связку I2P + Tor. Тогда вы при выходе за пределы I2P вашу анонимность будет обеспечивать Tor, что гораздо быстрее и удобнее outproxy.
-Сеть I2P очень удобна для обеспечения анонимности обмена данными между участниками сети, но только при условии, что все они находятся в ней самой, а не во внешнем интернете. Да, имеются шлюзы для доступа во внешний интернет из I2P, но они имеют множество ограничений и, как правило, работают очень медленно, делая работу во внешнем интернете крайне неудобной. Исправить ситуацию можно посредством связки I2P + Tor. Тогда при выходе за пределы I2P вашу анонимность будет обеспечивать Tor, что гораздо быстрее и удобнее outproxy.
 Что для этого необходимо:
-# Зайти в [http://127.0.0.1:7657/i2ptunnel менеджер туннелей].
+<br>
-# В появившемся окне менеджера нажать кнопку создать новый серверный туннель.
+. Зайти в менеджер туннелей [http://127.0.0.1:7657/i2ptunnel]
-# Точка доступа: 127.0.0.1. Порт: 8118 (Для HTTP-proxy) или 9050 (прямое обращение к Tor через SOCKS).
+<br>
-# Программа connect (пакет connect-proxy в Дебиане и Убунте)
+. В появившемся окне менеджера нажать кнопку создать новый серверный туннель.
-# Сохраняем изменения.
+Точка доступа: 127.0.0.1 Порт: 8118 (Для HTTP-proxy) или 9050 (прямое обращение к Tor)
-# ????
+<br>
-# PROFIT!
+. Сохраняем изменения.
-''Скриншоты потом вставлю.''
+<br>
+. ????
-== Утилиты командной строки через TOR ==
+<br>
-Зайти по ssh на обычный сервер:
+. PROFIT!
-  ssh -o ProxyCommand='connect -5 -S localhost:9050 %h %p' user@server.com
+Скриншоты потом вставлю.
+==Создаём защищённый eepsite==
-Зайти по ssh на скрытый сайт:
+В первую очередь нам понадобится веб-сервер.
-  ssh -o ProxyCommand='connect -R remote -5 -S localhost:9050 %h %p' user@serverfxnnckztbn.onion
+Я выбрал nginx, так как считаю его наиболее безопасным.
+Итак, что нам нужно сделать:
-Скачать через TOR:
+<br>
-  curl --socks5 localhost:9050 http://www.fbi.gov/logo.png
+. Скачиваем исходник последней стабильной версии [http://nginx.org/download], редактируем файл src/http/ngx_http_header_filter_module.c
+Находим эти строчки:
-Скачать через TOR (с подделкой user agent):
+<br>
-  curl --socks5 localhost:9050 -A "Opera/9.25 (Windows NT 6.0; U; en)" http://www.fbi.gov/logo.png
+static char ngx_http_server_string[] = "Server: nginx" CRLF;
+<br>
-Зайти на сайт (осторожно, возможна [http://www.dnsleaktest.com/ течка DNS], так как там SOCKS4):
+static char ngx_http_server_full_string[] = "Server: " NGINX_VER CRLF;
-  links2 -socks-proxy localhost:9050 http://www.fbi.gov/
+<br>
+и изменяем их, например так:
-== Настройка nginx для работы в даркнете ==
+<br>
-В первую очередь нам понадобится веб-сервер.
+static char ngx_http_server_string[] = "Secured webserver" CRLF;
-''Я выбрал nginx, так как считаю его наиболее безопасным.''
+<br>
-Итак, понеслась:
+static char ngx_http_server_full_string[] = "Server: Secured webserver 0.3"  CRLF;
-* Скачиваем исходник последней стабильной версии [http://nginx.org/download], редактируем файл '''src/http/ngx_http_header_filter_module.c'''
+<br>
-Находим строчки:
+Это осложнит определение настоящей версии сервера, что значительно повысит его безопасность.
-  static char ngx_http_server_string[] = "Server: nginx" CRLF;
+<br>
-  static char ngx_http_server_full_string[] = "Server: " NGINX_VER CRLF;
+. Собираем сервер, отключив ненужные модули (список всех модулей можно получить запустив configure c флагом --help):
-и меняем их, к примеру, на:
+# ./configure --without-http_autoindex_module --without-http_ssi_module
-  static char ngx_http_server_string[] = "Server: suckhttpd" CRLF;
+# make
-  static char ngx_http_server_full_string[] = "Server: suckhttpd/1.0" CRLF;
+# make install
-Разумеется, вместо suckhttpd нужно подставить существующий сервер, желательно с большим количеством уязвимостей (старенький Apache или IIS самое то). Это осложнит определение настоящей версии сервера, взломщики потратят время на проверку сервера на наличие уязвимостей, которых у него может не быть.
+. Конфигурируем сервер
+<br>
-* Собираем сервер, отключив ненужные модули (список всех модулей можно получить, запустив configure c флагом --help):
+Открываем файл /etc/nginx/nginx.conf и добавляем в него строчку "server_tokens off" Это скроет информацию о версии и типе сервера на страницах, отображаемых при ошибочный запросах клиента, что дополнительно повысит его безопасность.
-  # ./configure --without-http_autoindex_module --without-http_ssi_module
+<br>
-  # make
+Теперь изменим таймаут для повышения производительности<br>
-  # make install
+client_body_timeout 10;<br>
-* Конфигурируем сервер
+client_header_timeout 10;<br>
-* Открываем файл /etc/nginx/nginx.conf и добавляем в него строчку «server_tokens off». Это скроет информацию о версии и типе сервера на страницах, отображаемых при ошибочный запросах клиента, что дополнительно повысит его безопасность.
+keepalive_timeout 5 5;<br>
+send_timeout 10;<br>
-Теперь изменим таймаут для повышения производительности:
+Защитимся от переполнения буфера:<br>
-  client_body_timeout 10;
+client_body_buffer_size 1K;<br>
-  client_header_timeout 10;
+client_header_buffer_size 1k; - увеличить, если сервер будет поддерживать загрузку файлов<br>
-  keepalive_timeout 5 5;
+client_max_body_size 1k;<br>
-  send_timeout 10;
+large_client_header_buffers 2 1k;<br>
+Увеличим количество соединений с одного ip-адреса, т.к. обращаться к серверу будем только с адреса 127.0.0.1<br>
-Защитимся от <del>переполнения буфера</del> (ЩИТО?):
+limit_conn slimits 40;<br>
-  client_body_buffer_size 1K;
+На всякий случай оставим только 3 метода обращения к серверу<br>
-  client_header_buffer_size 1k; # увеличить, если сервер будет поддерживать загрузку файлов
+if ($request_method !~ ^(GET|HEAD|POST)$ ) <br>
-  client_max_body_size 1k;
+{<br>
-  large_client_header_buffers 2 1k;
+return 444;<br>
+}<br>
-Увеличим количество соединений с одного ip-адреса, так как обращаться к серверу будем только с адреса 127.0.0.1:
-  limit_conn slimits 40;
-На всякий случай оставим только 3 метода обращения к серверу (кому хватит меньше, можно оставить меньше):
-  if ($request_method !~ ^(GET|HEAD|POST)$) {
-    return 444;
-  }
 Устанавливаем пароль на нужные нам папки:
-  # mkdir /etc/nginx/htpasswd
+<br># mkdir /etc/nginx/.htpasswd<br>
-  # htpasswd -c /etc/nginx/htpasswd/passwd user1 # создаём файл паролей для пользователя user1
+# htpasswd -c /etc/nginx/.htpasswd/passwd user1 - создаём файл паролей для пользователя user1
 Добавляем в nginx.conf
-  location /private/ {
+<br>location /private/
-    auth_basic "Restricted";
+<br>{
-    auth_basic_user_file /etc/nginx/htpasswd/passwd;
+<br>auth_basic "Restricted";
-  }
+<br>auth_basic_user_file /etc/nginx/.htpasswd/passwd;
+<br>}
-* Скрываем сервер от внешнего интернета. Для этого нужно проследить, чтобы в настройках сайта везде было <code>listen 127.0.0.1:80</code>, а не <code>listen 0.0.0.0:80</code> или <code>listen 80</code> (то же самое для порта 443). Можно дополнительно заблокировать порт 80 через iptables (эффект пропадает при перезагрузке):
+<br>
-  iptables -A INPUT -m state --state NEW -p tcp -s 127.0.0.1 --dport 80 -j ACCEPT
+Для пущей паранойи будем использовать SSL
-  iptables -A INPUT --dport 80 -j REJECT
+<br>
-Этим мы скроем наш сервер от прямых подключений.
-* Перезагружаем сервер:
-  /etc/init.d/nginx reload
-== Шифрование диска ==
-=== Truecrypt ===
-Для ещё большей паранойи разместим каталог сервера на отдельном разделе диска или даже флешке, шифрованном truecrypt-ом.
-Скачиваем установщик truecrypta [http://www.truecrypt.org/downloads отсюда].
-Устанавливаем, запускаем, форматируем флешку для работы с truecrypt-ом.
-Осторожно, при этом находящиеся на флешке данные будут удалены, а не зашифрованы.
-# Create Volume
-# Create a volume within a partition/drive
-# Hidden truecrypt volume
-# Select drive
-# Выбираем алгоритм хеширования и шифрования, лучше всего AES и SHA-512
-# Задаём пароль посложнее или выбираем один или несколько ключевых файлов. Ключевой файл можно сгенерировать или выбрать в качестве такового любой файл или даже папку (в таком случае все находящиеся в ней файлы станут ключевыми).
-# Жмём Format и начинаем быстро двигать мышкой, чем дольше — тем лучше
-После окончания форматирования она будет автоматически смонтирована как /dev/mapper/truecryptX, где X — число от 1 до 50
-Монтируем её через Select drive — Mount, правим /etc/fstab, предварительно переместив файлы сервера
-* /dev/mapper/truecryptX /nginx ext4 defaults, nosuid, noexec, nodev 1 2
-* [http://sf.net/projects/selinuxnginx/ Дополнительная защита из под selinux-a]
-  # tar -zxvf se-ngix_1_0_10.tar.gz
-  # cd se-ngix_1_0_10/nginx
-  # make
-  # /usr/sbin/semodule -i nginx.pp
-=== LUKS ===
-todo
-== PHP ==
-Если вы всё-таки решили использовать на вашем сайте язык PHP, что довольно опасно, то стоит настроить его должным образом.
-Редактируем файл /etc/php/php.ini
-  disable_functions = phpinfo, system, mail, exec # отключение опасных функций
-  max_execution_time = 10
-  max_input_time = 60
-  memory_limit = 8M
-  post_max_size = 8M
-  upload_max_filesize = 2M
-  display_errors = Off
-  safe_mode = On
-  sql.safe_mode = On
-  safe_mode_exec_dir = /secured/ # путь к каталогу, из которого можно выполнять внешние команды
-  expose_php = Off
-  log_errors = On # логи
-  allow_url_fopen = Off
-== Создаём eepsite ==
-* Теперь, когда наш сервер достаточно защищён, создаём [http://127.0.0.1:7657/i2ptunnel/ серверные туннели] к http и https.
-* Там же отключаем неиспользуемые туннели, если таковые имеются.
-* Регистрация в DNS.
-Заходим на сайт [http://stats.i2p stats.i2p] и регистрируемся там.
-== Создаём onion site ==
-* Устанавливаем TOR.
-* Убедиться, что «SocksPort 0» (то есть тор работает только как сервер, а не как клиент).
-* Редактируем /etc/tor/torrc: HiddenServiceDir и HiddenServicePort соответствуют папке с ключом к сайту и таблицей соответствия портов. По умолчанию несколько таких записей уже есть, но они закомментированы.
-  HiddenServiceDir /var/lib/tor/hidden_service/
-  HiddenServicePort 80 127.0.0.1:80
-  HiddenServicePort 22 127.0.0.1:22
-В этом примере проброшены 80 (HTTP) и 22 (SSH) порты. Для большей безопасности имеет смысл для SSH-сервера выделить отдельный onion site (на том же компьютере), дабы управление сайтом было сложнее соотнести с самим сайтом.
-* Если есть публичный IP-адрес, имеет смысл поднять промежуточную ноду тора, чтобы запутать прослушивающих дополнительным трафиком:
-  ORPort 9001
-  ExitPolicy reject *:*
-Имей в виду, что IP-адрес попадет в публичный [http://torstatus.blutmagie.de/ip_list_all.php/Tor_ip_list_ALL.csv список серверов тора]. Увеличится или уменьшится при этом риск — решать тебе.
-* Перезапустить тор:
-  /etc/init.d/tor reload
-Есть [https://github.com/katmagic/Shallot программа] для создания ключей onion-сайта с именем, заданным шаблоном. Например, для «^lurkmore» может получиться «lurkmore77r3lur3.onion», если немного подождать.
-== SSL ==
-Для пущей паранойи можно использовать SSL (в принципе, данные так надежно шифруются, что на пути между клиентом и скрытым сайтом их невозможно прочитать или подменить). Но SSL не повредит, от греха подальше.
 Создаём сертификат:
-  # cd /etc/nginx
+# cd /etc/nginx
-  # openssl genrsa -des3 -out server.key 1024
+# openssl genrsa -des3 -out server.key 1024
-  # openssl req -new -key server.key -out server.csr
+# openssl req -new -key server.key -out server.csr
-  # cp server.key server.key.org
+# cp server.key server.key.org
-  # openssl rsa -in server.key.org -out server.key
+# openssl rsa -in server.key.org -out server.key
-  # openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
+# openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
-Пишем в nginx.conf:
+Пишем в nginx.conf<br>
-  server {
+server {<br>
-    listen 127.0.0.1:443;
+server_name localhost;<br>
-    server_name localhost;
+listen 443;<br>
-    ssl on;
+ssl on;<br>
-    ssl_certificate /etc/nginx/server.crt;
+ssl_certificate /etc/nginx/server.crt;<br>
-    ssl_certificate_key /etc/nginx/server.key;
+ssl_certificate_key /etc/nginx/server.key;<br>
-    access_log /etc/nginx/logs/ssl.access.log;
+access_log /etc/nginx/logs/ssl.access.log;<br>
-    error_log /etc/nginx/logs/ssl.error.log;
+error_log /etc/nginx/logs/ssl.error.log;<br>
-  }
+}<br>
+Перезагружаем сервер:
-== TODO ==
+<br>/etc/init.d/nginx reload
-* http://www.domains4bitcoins.com/ http://dot-bit.org
+<br>Для ещё большей паранойи разместим каталог сервера на отдельном разделе диска или даже флешке, шифрованном truecrypt-ом
-* VPS
+<br>Скачиваем установщик truecrypta отсюда - http://www.truecrypt.org/downloads
-* хостеры, принимающие [[bitcoin]]: http://www.bitvps.com/ https://en.bitcoin.it/wiki/Virtual_private_server
+<br>Устанавливаем, запускаем, шифруем флешку (Create Volume - Create a volume within a partition/drive - Hidden truecrypt volume - ???(подробнее завтра допилю))
-* bitcoin-анонимайзеры
+Монтируем её через Select drive - Mount, правим /etc/fstab, предварительно переместив файлы сервера
-* IRC и Jabber в даркнетах
+<br>/dev/mapper/truecrypt1 /nginx ext4 defaults,nosuid,noexec,nodev 1 2
-* правка из hidden service
+<br>5. Тут про запуск сервера из под KVM, допилю завтра.
+<br>6. Дополнительная защита из под selinux-a - http://sf.net/projects/selinuxnginx/
+# tar -zxvf se-ngix_1_0_10.tar.gz
+# cd se-ngix_1_0_10/nginx
+# make
+# /usr/sbin/semodule -i nginx.pp
+. PHP<br>
+Если вы всё-таки решили использовать на вашем сайте язык PHP, что довольно опасно, то стоит настроить его должным образом
+Редактируем файл /etc/php/php.ini
+<br>disable_functions = phpinfo, system, mail, exec - отключение опасных функций
+<br>max_execution_time = 10
+<br>max_input_time = 60
+<br>memory_limit = 8M
+<br>post_max_size = 8M
+<br>upload_max_filesize = 2M
+<br>display_errors = Off
+<br>safe_mode = On
+<br>sql.safe_mode = On
+<br>safe_mode_exec_dir = /secured/ - путь к каталогу, из которого можно выполнять внешние команды
+<br>expose_php = Off
+<br>log_errors = On - логи
+<br>allow_url_fopen = Off
+<br>8. Скрываем сервер от внешнего интернета
+<br>iptables -A INPUT -m state --state NEW -p tcp -s 127.0.0.1 --dport 80 -j ACCEPT
+<br>iptables -A INPUT --dport 80 -j REJECT
+<br>Этим мы скроем наш сервер от всех подключений, кроме тех, что из I2P.
+<br>Теперь, когда наш сервер достаточно защищён создаём серверные туннели к http и https [http://127.0.0.1:7657/i2ptunnel/].
+Там же отключаем неиспользуемые туннели если таковые имеются.
+. Регистрация в DNS.
+Заходим на сайт [stats.i2p] и регистрируемся там.