УНЯНЯ. У нас есть немножечко инфы
об этом пользователе. Мы знаем, что он понаписал,
порекомендовал и даже и то и другое сразу.
А ещё у нас есть RSS.
В этом выпуске: настройка i2p и tor inproxy, настройка коротких доменных имен для жизненно необходимых скрытых сервисов.
От идеи резолвить все прямо на .i2p и .onion мы отказались из соображений безопасности, наш конфиг unbound дропает такие реквесты, поэтому мы запустили inproxy на .i2p.puk и .onion.puk.
Поскольку криптосервер приватен, нам не нужен никакой tor2web. Мы будем использовать только nginx и privoxy.
Добавляем всякие репозитории, затем ставим nginx, privoxy, tor и i2p.
sudo sh -c 'echo "deb http://nginx.org/packages/debian/ jessie nginx" >> /etc/apt/sources.list'
sudo sh -c 'echo "deb http://deb.i2p2.no/ jessie main" >> /etc/apt/sources.list'
sudo sh -c 'echo "deb http://deb.torproject.org/torproject.org jessie main" >> /etc/apt/sources.list'
wget http://nginx.org/keys/nginx_signing.key
wget https://geti2p.net/_static/i2p-debian-repo.key.asc
gpg --with-fingerprint nginx_signing.key # 573B FD6B 3D8F BC64 1079 A6AB ABF5 BD82 7BD9 BF62
gpg --with-fingerprint i2p-debian-repo.key.asc # 7840 E761 0F28 B904 7535 49D7 67EC E560 5BCF 1346
sudo apt-keys add nginx_signing.key
sudo apt-keys add i2p-debian-repo.key.asc
gpg --keyserver keys.gnupg.net --recv 886DDD89
gpg --export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | sudo apt-key add -
rm nginx_signing.key i2p-debian-repo.key.asc
sudo apt-get update
sudo apt-get install nginx privoxy tor i2p deb.torproject.org-keyring i2p-keyring
В `/etc/privoxy/config` добавляем эти строчки
forward-socks5 / 127.0.0.1:9050 .
forward .i2p localhost:4444
accept-intercepted-requests 1
Первые две связывают privoxy с Tor и I2P, без третьей не будет работать связка с nginx.
Можно также закомментить лишние actionsfile и filterfile (кроме user.actions и user.filter).
В `/etc/privoxy/user.filter` добавляем это
FILTER: rampshops Remove redirect to ya.ru if location.host is not what RAMP shops expect
s/if\(document\.body\.getAttribute\("id"\)\s!=\smd5\(location\.host\)\)\s*location\.href\s=\s"http\:\/\/ya\.ru";//g
FILTER: oururls Replace hidden URLs with ours
s/http\:\/\/(.*)(shops3jckh3dexzy|shopkxrdtqcfzuvl|sholq4kbukl5mitc)\.onion(?!\.puk)/http\:\/\/$1shops\.puk/g
s/http\:\/\/(ramp2bombkadwvgz|ramp3e4jevfkjvyo|ramp2uh2esdm4tac|ramp4qd6or3h364t|ramp5bb7v2abm34a)\.onion(?!\.puk)/http\:\/\/ramp\.puk/g
s/http?\:\/\/(.*)\.onion(?!\.puk)/http\:\/\/$1\.onion\.puk/g
s/http\:\/\/(.*)\.i2p(?!\.puk)/http\:\/\/$1\.i2p\.puk/g
Лайк если sed -- это просто и понятно. Первая хуйня уберет джаваскриптовый редирект, который осуществляется если рампе не понравился ваш локейшен, вторая -- заменит ссылки на наши.
Пишем эти строки в `/etc/privoxy/user.action`
{+filter{rampshops}}
.shops3jckh3dexzy.onion
.shopkxrdtqcfzuvl.onion
.sholq4kbukl5mitc.onion
{\
+hide-user-agent{Mozilla/5.0 (Windows NT 6.1; rv:38.0) Gecko/20100101 Firefox/38.0}} \
+hide-referrer{block} \
+filter{oururls} \
}
/
Первый фильтр пофиксит рампошопы, второй блок сменит юзер-агент, уберет referer для всех реквестов и пофиксит все ссылки.
Если вы пользовались конфигом unbound из предыдущего поста про DNS (#2PI5A3), то туда (`/etc/unbound/unbound.conf`) надо добавить еще такую запись
local-zone: "puk." redirect
local-data: "puk. A 172.16.1.1"
Ну и пихаем [вот это](http://0bin.net/paste/gIBc9tbim2bUbtIx#fia6+QkCgZtooH7ldjstIFiigffo+7DPvEi2eMV-PH+) в конфиг nginx. Теперь все должно работать. Ура?
#ZEKQDD
(27+4)
/ @cryptocommune / 3209 дней назад
лайк, если не заводишь тян, потому что тебе есть с кем аутировать
#2D950A
(0+4)
/ @anonymous / 3209 дней назад
Криптокоммуну посетил делегат из Китайской Народной Республики.
#5AXTK6
(10+3)
/ @cryptocommune / 3209 дней назад
Криптокоммуна использует передовые технологии для защиты передаваемых мемчиков от пассивных и активных атак. Серия постов под тегом *криптосервер будет рассказывать о настройке оборудования, служащего этой цели.
В этом выпуске мы настроим удаленную разблокировку dm-crypt root раздела. Поскольку криптосервер в будущем будет запотолочен куда-то за потолок без монитора и клавиатуры, данная функциональность просто необходима. Оказывается, сделать это довольно просто, если бы не тысячи противоречащих друг другу гайдов в интернете. Криптокоммуна проверила их все и написала свой. Использовался Debian Stable, openssh уже был настроен, так что ключи берутся из него.
1. Ставим нужную хуйню
sudo apt-get install busybox dropbear initramfs-tools
Скорее всего все, кроме dropbear, уже стоит
2. Конвертим ключи из формата openssh в формат dropbear
sudo /usr/lib/dropbear/dropbearconvert openssh dropbear /etc/ssh/ssh_host_rsa_key /etc/initramfs-tools/etc/dropbear/dropbear_rsa_host_key
sudo /usr/lib/dropbear/dropbearconvert openssh dropbear /etc/ssh/ssh_host_dsa_key /etc/initramfs-tools/etc/dropbear/dropbear_dss_host_key
Dropbear говно и не может в ECDSA ключи (дефолтные в актуальном openssh), так что можно немного соснуть с этим. TinySSH очень крутой и может, но еще нестабильный и его нету в репах.
3. Пихаем открытый ключ в dropbear
sudo cp ~/.ssh/authorized_keys /etc/initramfs-tools/etc/dropbear
4. Настраиваем dropbear чтобы он не пускал по паролю (все равно не сможет на самом деле) и чтобы смотрел только в локалку. Записать это в /etc/initramfs-tools/initramfs.conf
PKGOPTION_dropbear_OPTION="-s -p 172.16.1.1:22"
Хост сменить на свой. После двоеточия указывается порт.
5. Берем этот скрипт https://projectgus.com/files/headless_cryptroot/mount_cryptroot и пихаем его в /etc/initramfs-tools/hooks
sudo wget https://projectgus.com/files/headless_cryptroot/mount_cryptroot -O /etc/initramfs-tools/hooks/mount_cryptroot
sudo chmod +x /etc/initramfs-tools/hooks/mount_cryptroot
Проверьте, чтобы в нем не оказалось какого-нибудь говна.
6. Ребилдим
sudo update-initramfs -u
7. Ребутаемся, пробуем коннектиться. Именно с юзером root, это нормально, других юзеров в initramfs нету. Тип ключа указывается по причине отсоса с ECDSA, можно потом прописать в ~/.ssh/config
ssh -o HostKeyAlgorithms=ssh-rsa root@172.16.1.1
После ввода пароля dropbear убьется и система загрузится.
Ура?
#VF2CU2
(8+5)
/ @cryptocommune / 3212 дней назад
Рекламирую вакансию:
Москва, сисадминство, в основном ляликс. Предлагают от 100к, дальше насколько удастся договориться.
Зоопарк под сотню серверов, части которого управлялись примерно тремя разными командами. Ни единой системы управления конфигурацией, ни единого мониторинга - все это предстоит делать. Если захочется. Клиенту на самом деле пофиг, лишь бы работало.
Отрасль: RTB, ебический хайлоад.
>"Россия вряд ли сегодня-завтра добьется ярких побед в борьбе с коррупцией, заявил президент России Владимир Путин на заседании президентского антикоррупционного совета, передает РИА «Новости».
лан
#7QZNOR
(1+3)
/ @anonymous / 3213 дней назад
Какая девочка!
http://dump.bitcheese.net/images/yjuvumu/target.png
В будующем реклама будет автоматически таргетироваться на посетителя, основываясь на статистике, собранной на каком-нибудь xhamster’е. Кому купальники на худеньки, кому на полненьких, кому на кошкодевках.
Нарушают ли этатисты своим существованием принцип ненападения, поддерживая существование репрессивного государственного аппарата, направленного против меня и других людей? Имею ли я моральное либертарианское право убивать этатистов во славу светлого будущего и свободных рыночных отношений?
Кстати, о еде. Чатик, тут кто-нибудь пробовал людей? Интересно, какие они на вкус. Жирные? Пахнут ли обезьянами? Я просто мясо не ем и вообще веган, не переношу запаха пизды от них. И вот сегодня задумался: чем я буду питаться в светлом будущем систейдинга? Если человекообразные ок, можно их разводить и есть.
Цоперайт © 2010-2016 @stiletto.