Mageia Forum

[Alf1967]

Hallo,

ich habe mir Privoxy und Tor aus den Quellen geladen und es läuft. Aber wo kann ich sehen ob ich dem Tornetzwerk als Weiterleitungsclient diene?

Ich möchte keine Weiterleitung auf meinem Computer haben, da ich nicht weiß was für evtl. illegale Daten dann über meinen Computer gehen und außerdem wird das auch ein riesen Datenvolumen geben und ich weiß nicht was mein Provider dazu sagen würde.

Gruß
Alf

[man-draker]

https://www.torproject.org/docs/documentation.html.en

genauer:
https://www.torproject.org/docs/tor-doc-relay.html.en

[Alf1967]

Ja, da wird erklärt wie ich das auf einer grafischen Oberfläche einstelle, aber habe keine grafische Oberfläche beim Privoxy aus den Quellen.

Wenn ich das Fenster hätte hätte ich wahrscheinlich nicht hier fragen müssen.

[man-draker]

Ja, da wird erklärt wie ich das auf einer grafischen Oberfläche einstelle

Nicht nur:

Step Two: Set it up as a relay

Manual Configuration:
Edit the bottom part of your torrc file. If you want to be a public relay (recommended), make sure to define ORPort and look at ExitPolicy; otherwise if you want to be a bridge for users in countries that censor their Internet, just use these lines.

Und:
https://www.torproject.org/docs/faq.html.en#torrc
Und:
https://www.torproject.org/docs/tor-manual.html.en

Du kannst natürlich auch das Paket "vidalia" installieren.

[Alf1967]

Ich hatte Privoxy und Vidalia verwechselt.
Aber Vidalia will nicht weil ich der falsche user bin (siehe Bild) Ich habe mich zur Gruppe toruser hinzugefügt.

[Alf1967]

Ich hab mich jetzt als Besitzer des Ordners var/lib/tor inklusive Inhalt eingetragen und es läuft. Aber ich weiß nicht ob es aus Sicherheitsgründen gut ist, daß ich das gemacht habe?

Ich finde es auch ziemlich nervig jedes mal auf die Konsole zurück zu müssen wenn ich mich, z.B. um Berechtigungen zu ändern, als Root anmelden will. Wo muß ich was umstellen mich vom Anmeldefenster aus als Root in KDE anzumelden?

Wann kommt denn ein Update für Tor, weil ich habe es installiert und es kommt direkt eine Meldung von Vidalia das ich eine Uraltversion benutzen würde?

[man-draker]

Wenn du Tor weiter nutzen möchtest, sei dir die Verfolgung dieser Entwicklung ans Herz gelegt:
"28C3: Anonymisierungsnetz Tor anfällig für Angriffe"
http://heise.de/-1402019

[man-draker]

Wann kommt denn ein Update für Tor, weil ich habe es installiert und es kommt direkt eine Meldung von Vidalia das ich eine Uraltversion benutzen würde?

Das Tor us dem mga1-Paket hat die Version ?? vom ??.??.20??

Die aktuelle Upstream-Version ist die ?? vom ??.??.20??

[doktor5000]

Wann kommt denn ein Update für Tor, weil ich habe es installiert und es kommt direkt eine Meldung von Vidalia das ich eine Uraltversion benutzen würde?

Wahrscheinlich gar nicht. Es gibt keine Updates, nur aus dem Grund dass die Version alt ist,
nur bei Sicherheitslücken oder Bugs. Siehe dazu auch https://wiki.mageia.org/en/Updates_policy
Für Tor sind momentan keine Sicherheitslücken oder Bugs gemeldet.

@man-draker: Das ist irrelevant.

[man-draker]

@man-draker: Das ist irrelevant.

Gut zu wissen, dass Tor unangreifbar ist.

[Alf1967]

Ich habe aus den Quellen die Torversion 0.2.1.30 und in einem FAQ auf torproject.org ist schon die rede von einer Version 0.2.2.35. Das dürften schon eine Menge Versionen sein, die in den Quellen ausgelassen wurden und da die Versionsnummer aus einem FAQ ist, ist die Wahrscheinlichkeit nicht gerade gering daß das auch nicht die aktuelle Versionsnummer ist.

Da ich auf torproject.org nur Bundles gefunden habe, habe ich keine aktuelle Torversionsnummer gefunden.

Das ist ja noch schlimmer als die Firefoxupdates bei Mandriva, die auch immer eine Ewigkeit gebraucht haben.

[doktor5000]

Nochmal: Lies bitte den Link zu der Wiki-Seite die ich gepostet habe. Die Richtlinie für Updates für
Mageia besagt, dass es keine Versionsupdates gibt, sondern nur das alte Paket, ergänzt um einen Bugfix
bzw. einen Patch der ein Sicherheitsproblem behebt. Und solange es keinen Bugreport zu einem Sicherheitsproblem
gibt, gibt es auch kein Update.

@man-draker: Hab ich nie behauptet. Nur dass die Versionsnummern erstmal irrelevant für etwaige Updates sind.

[Alf1967]

Dann lese dir mal den Artikel hinter dem von man-draker geposteten Link durch, dann hast du einen Bugreport zu einem Sicherheitsproblem von Tor.

[doktor5000]

Du hast dich doch aufgeregt, dass es kein Update gibt. Warum soll ich dir jetzt die Arbeit des Bugreports abnehmen?
EDIT: Ahhh, wie durch Zauberei gibt es jetzt einen Bugreport https://bugs.mageia.org/show_bug.cgi?id=3953

[Alf1967]

Du hast geschrieben, daß es nur bei Sicherheitsproblemen Updates gibt und angedeutet daß es bei Tor keine Probleme gibt. In dem Artikel kannst du ein massives Sicherheitsproblem nachlesen.

Außerdem existiert der Bugreport schon. https://bugs.mageia.org/show_bug.cgi?id=3953

[doktor5000]

Du hast geschrieben, [...] und angedeutet daß es bei Tor keine Probleme gibt.

Hab ich nirgends geschrieben, ich hab nur erwähnt dass keine Sicherheitslücken oder Bugs gemeldet sind (bei Mageia).
Die Aussage wäre auch total vermessen, jede Software is per se fehlerbehaftet da sie vom Menschen geschaffen wurde.

Dass Updates != Versionsupdates sind, hast du aber anscheinend immer noch nicht so ganz verstanden.

[man-draker]

@man-draker: Hab ich nie behauptet. Nur dass die Versionsnummern erstmal irrelevant für etwaige Updates sind.

Ach so, dann habe ich dich missverstanden.

Du meintest also Mageia macht es wie die Kernel-Entwickler:
3.1.0,1,2,3 usw. fixt nur
3.2.0 enthält dann wirklich Neues.

Hm, dann wäre es wohl an der Zeit, sich sein KDE selbst zu übersetzen.

[wobo]

Wenn du Tor weiter nutzen möchtest, sei dir die Verfolgung dieser Entwicklung ans Herz gelegt:
"28C3: Anonymisierungsnetz Tor anfällig für Angriffe"
http://heise.de/-1402019

Habe mir erst jetzt den Artikel mal durchgelesen. M.E. ist der Titel des Artikels genau richtig formuliert. Es handelt sich aber nicht um ein offenes Scheunentor, das jedes Scriptkiddie ausnutzen kann, sondern ein wirksamer Angriff erfordert eine Reihe von Maßnahmen und die entsprechenden Ressourcen. So schreibt heise.de im Artikel beispielsweise über einen wesentlichen Schritt in dem Prozess:

Im nächsten Schritt der Attacke suchten die Angreifer Tor-Rechner, die aufgrund schwacher Sicherheitsvorkehrungen für das Aufspielen von Schadsoftware geeignet seien. Durchschnittlich 30 Prozent der Router seien kompromittierbar, 41 Prozent davon seien mit Windows, knapp 19 Prozent mit Linux- oder Unix-Varianten bestückt. Um den Datenverkehr zu entschlüsseln, müssten möglichst große Teile über kompromittierte Router geleitet werden.

Das sollte aufzeigen, dass das Verfahren nicht auf einer Schwachstelle der Clientsoftware sondern allein auf der mangelhaften Absicherung der beteiligten privaten Rechner bzw Router beruht. Obwohl man davon ausgehen kann, dass Leute, die Tor benutzen, auch bei ihrem Rechner und Router für die nötige Absicherung sensibilisiert sind, hinterlässt diese Erkenntnis keinen wirklich süßen Geschmack.

Mit anderen Worten: ob da die neueste Version von Tor auf Deinem Rechner läuft oder nicht hat mit dieser Schwäche des Dienstes nichts zu tun.

[doktor5000]

@man-draker: Hab ich nie behauptet. Nur dass die Versionsnummern erstmal irrelevant für etwaige Updates sind.

Ach so, dann habe ich dich missverstanden.

Du meintest also Mageia macht es wie die Kernel-Entwickler:
3.1.0,1,2,3 usw. fixt nur
3.2.0 enthält dann wirklich Neues.

Nein. Es gibt eigentlich gar keine Versionsupdates, außer in Ausnahmefällen, wo sich Security-/Bugfixes
in den Quellcode-Veränderungen nicht mehr von anderen Veränderungen unterscheiden lassen, also wenn die Entwickler
schlampen oder eine fragwürde Release-Politik haben, etwa Firefox/Thunderbird/Chromium. KDE war auch noch so eine
Ausnahme. Aber ansonsten gibt es gar keine Versionsupdates, sonder nur das alte Paket aus _release, mit einem
Sicherheits-/Bugfix versehen. Genauso wie im Wiki-Artikel beschrieben. Da anscheinend keiner da reingeschaut hat,
hier mal der relevante Auszug:

Version Policy

For the most part, an update should consist of a patched build of the same version of the package released with the distribution, with a few exceptions:

• Software versions that are no longer supported upstream with updates (firefox and thunderbird seem to fall into this category these days)
• Software that is version-bound to an online service (games, virus scanners?) and will only work with the latest version.
• We will make exceptions for packages that did not make it into mga1 and are additions to the distribution, provided they do not impact any other packages and can pass full QA.

Updates are not the appropriate place for packages created to satisfy certain user's urges for "the latest". These types of builds belong in backports.

[wanne]

Wenn du Tor weiter nutzen möchtest, sei dir die Verfolgung dieser Entwicklung ans Herz gelegt:
"28C3: Anonymisierungsnetz Tor anfällig für Angriffe"
http://heise.de/-1402019

Habe mir erst jetzt den Artikel mal durchgelesen. M.E. ist der Titel des Artikels genau richtig formuliert. Es handelt sich aber nicht um ein offenes Scheunentor, das jedes Scriptkiddie ausnutzen kann, sondern ein wirksamer Angriff erfordert eine Reihe von Maßnahmen und die entsprechenden Ressourcen. So schreibt heise.de im Artikel beispielsweise über einen wesentlichen Schritt in dem Prozess:

Im nächsten Schritt der Attacke suchten die Angreifer Tor-Rechner, die aufgrund schwacher Sicherheitsvorkehrungen für das Aufspielen von Schadsoftware geeignet seien. Durchschnittlich 30 Prozent der Router seien kompromittierbar, 41 Prozent davon seien mit Windows, knapp 19 Prozent mit Linux- oder Unix-Varianten bestückt. Um den Datenverkehr zu entschlüsseln, müssten möglichst große Teile über kompromittierte Router geleitet werden.

Das sollte aufzeigen, dass das Verfahren nicht auf einer Schwachstelle der Clientsoftware sondern allein auf der mangelhaften Absicherung der beteiligten privaten Rechner bzw Router beruht. Obwohl man davon ausgehen kann, dass Leute, die Tor benutzen, auch bei ihrem Rechner und Router für die nötige Absicherung sensibilisiert sind, hinterlässt diese Erkenntnis keinen wirklich süßen Geschmack.

Mit anderen Worten: ob da die neueste Version von Tor auf Deinem Rechner läuft oder nicht hat mit dieser Schwäche des Dienstes nichts zu tun.

Wenigstens einer der den verlinkten Artikel auch gelesen hat...
Da hat Heise eine riesen Storry aus recht wenig gemacht...

[wanne]

Zum eigentlichen Thema:
Wenn die gesamte Sektion "This section is just for relays" in der /etc/tor/torrc auskommentiert ist, dann ist du auch kein releay.
Du kannst aber auch einfach die Exit policy auf "ExitPolicy reject *:*" setzen, dann bekommst du keine Klagen, da du nie am ende der Leitung sitzt. Wenn illegale Inhalte dann nu zwichen dir und anderen Tor-Nodes niemals raus in's Netz und da die Kommunikation im Tor-Netzwerk verschlüsselt ist, kannst dich nimand verklagen.
Wenn's dir um den Traffic geht, kannst du eine Bridege betreiben und/oder limits stzten. Binges brauchen fast keinen Traffic.
Briges sind für leute aus Ländern/Netzwerken, bei denen Tor eigentlich geblockt wird.
(Und nachdem die Chinesen seit ein paar Monaten schneller Bridges finden, als neue dazu kommen, währen ein paar neue ganz nett.)