Biglbon Blek Rev C (5. deo) – Biglbon Blek kao Tor egzit
Vodič od prvog dana (5. deo)
Autor: Nenad Marjanović
Da bismo bolje razumeli konfiguraciju Tor servera, treba posebno obratiti pažnju na konfiguracioni fajl /etc/tor/torrc. Vrednosti u podešavanjima variraju od resursa kojima raspolažemo. Ukoliko želimo da se bavimo administracijom izlaznog (eng. Exit) noda, za to je potrebna brza internet konekcija i, naravno, više raspoložive radne memorije (eng. RAM – Random Access Memory).
Biglbon Blek rev. C (BBB – eng. BeagleBone Black Rev C) raspolaže sa 512MBRAM-a, što nam ipak ostavlja određene mogućnosti pri parametriranju našeg prvog izlaznog noda. Sve što treba da uradimo je da ograničimo izlaznu politiku na određene portove. U prošlom broju LiBRE! časopisa pokazali smo konfigurisanje transfer servera.
ExitPolicy reject *.*
Ovo u prevodu znači da naš server služi isključivo za transfer ka izlaznom serveru. U redakciji smo počeli da testiramo određena podešavanja i, nakon višemesečnog testiranja, došli smo do zaključka da je moguće podržati servise kao što su SSH, IRC, IRC(s), FTP, SMTP(s), IMAP(s), POP3(s), XMPP, GIT i OpenPHP HKP bez problema na već postojećem transfer nodu. Da bismo dodali ova pravila, potrebno je izmeniti torrc fajl, odnosno pre unosa ExitPolicy reject *.* treba upisati sledeća pravila.
ExitPolicy accept *:22 # ssh ExitPolicy accept *:465 # smtps (SMTP over SSL) ExitPolicy accept *:993 # imaps (IMAP over SSL) ExitPolicy accept *:994 # ircs (IRC over SSL) ExitPolicy accept *:995 # pop3s (POP3 over SSL) ExitPolicy accept *:5222 # xmpp ExitPolicy accept *:6660-6669 # IRC ExitPolicy accept *:6697 # IRC SSL ExitPolicy accept *:9418 # git ExitPolicy accept *:11371 # OpenPGP hkp (http keyserver protocol) ExitPolicy reject *:*
Prevedeno – prihvati komunikaciju za navedene servise, ostale odbij.
Kao što možete primetiti, nigde nismo podržali portove 443 i 80, ali njih i ne preporučujemo na ovako malim uređajima. Čak i ako ste u situaciji da posedujete adekvatnu brzinu internet konekcije, podržite komunikaciju na portu 443, ali ne i portu 80, ipak, ovo su opcije kojima moramo posvetiti duži period testiranja. I, ukoliko ne želite da vaš server bude korišćen za maliciozni mejl marketing (eng. SPAM), ne otvarajte port 25.
Više dostupnih izlaznih pravila možete naći na ovoj lokaciji: https://trac.torproject.org/projects/tor/wiki/doc/ReducedExitPolicy. Kako raspolažemo sa više mogučnosti pri podešavanju servera, kada smo u prilici možemo testirati nove portove i limit BBB Rev C uređaja, sa druge strane ipak ne treba preterivati sa brojem izlaznih portova zbog mogućih zakonskih peripetija usled saobraćaja koji prolazi kroz izlazni server.
Tor zastave
Po pravilima Tor zajednice, svaki server dobija zastavice (eng. Flags) na osnovu funkcija koje obavlja.
- Stable
- Fast
- HSDir
- Exit
- Valid
- Running
su samo neke od zastavica, ali najbitnije su Fast (brz), Valid (validan) i Running (u funkciji). Exit (izlaz) zastavica je rezervisana za servere sa dovoljnim resursima. Međutim, ako vaš server ne dobije ovu zastavicu, a vi ste omogućili port 443, to ne znači da niste učesnik izlaznog saobraćaja, već samo da naš BBB nije dovoljno dugo u mreži ili niste dali dovoljno resursa izlaznom serveru.
Nakon nekoliko sati aktivnosti status našeg servera možemo proveriti na sledećim adresama:
U polje pretrage unesite nadimak servera i dobićete informacije o Tor serveru nad kojim vršite administraciju.
Sigurnost Tor servera
Biti administrator servera odnosi se na brigu o sigurnosti uređaja koji je dostupan javnosti. Podešavanja se odnose pre svega na SSH konekciju i zaštitni zid (eng. Firewall). Zlatna pravila su sledeća:
- ne koristiti standardni port za konekciju na server (uvek podesiti vrednost iznad 20000);
- dodajte novog korisnika na server i isključite logovanje za rut (eng. root) korisnika;
- kreirajte SSH ključ za konekciju na server, zato što korišćenje lozinki nije preporučljivo zbog mogućih brutalnih napada na rut nalog korisnika.
***
U narednom broju nastavljamo sa pisanjem o podešavanju izlaznog Tor servera sa akcentom na zaštitu servera i korisnika te pravljenje kopije serverskih konfiguracionih fajlova, kao i o naprednijoj politici zaštite SSH servera upotrebom tehnike geolokalizacije administratora servera.