Доступ по SSH за NAT через TOR: различия между версиями

Материал из ALT Linux Wiki
Нет описания правки
Нет описания правки
Строка 1: Строка 1:
{{Примечание|По [https://paste.ubuntu.com/p/Gf9cRhN3QC/ материалу] [https://t.me/mikhailnov Михаила Новосёлова] — спасибо, добрый человек!}}
{{Примечание|По [https://paste.ubuntu.com/p/Gf9cRhN3QC/ материалу] [https://t.me/mikhailnov Михаила Новосёлова] — спасибо, добрый человек!}}
{{Примечание|Даже если всё получится, такого рода доступ всё же крайне медлителен. Во многих случаях выручает туннелирование напрямую через ssh или даже httptunnel — и тоже без гарантий.}}
{{Примечание|Даже если всё получится, такого рода доступ всё же крайне медлителен.
Порой выручает туннелирование напрямую через ssh или даже httptunnel — но тоже без гарантий.}}
=На сервере=
=На сервере=
# В <strong>/etc/openssh/sshd_config</strong> изменить порт на непривилегированный, иначе TOR не запустится непривилегированным же пользователем. Например:
# В <strong>/etc/openssh/sshd_config</strong> изменить порт на непривилегированный, иначе TOR не запустится непривилегированным же пользователем. Например:

Версия от 10:21, 12 сентября 2020

Примечание: По материалу Михаила Новосёлова — спасибо, добрый человек!
Примечание: Даже если всё получится, такого рода доступ всё же крайне медлителен. Порой выручает туннелирование напрямую через ssh или даже httptunnel — но тоже без гарантий.

На сервере

  1. В /etc/openssh/sshd_config изменить порт на непривилегированный, иначе TOR не запустится непривилегированным же пользователем. Например:
    Port 2222
    
  2. Cоздать каталог для скрытого сервиса SSH, где будут лежать файлы с именем хоста и с ключами — своими и авторизованных клиентов:
    # install -m 700 -o _tor -g _tor -d /var/lib/tor/ssh
    
  3. В файле настроек TOR (по умолчанию — /etc/tor/torrc, но можно переложить и переименовать):
    • закомментировать опции BridgeRelay, DisableNetwork, NewCircuitPeriod и Sandbox (если не уже — отсутствие же таковых игнорировать);
    • добавить опции (порядок HiddenServiceDir и HiddenServicePort именно таков):
      ClientOnly        1
      Schedulers        KISTLite
      HiddenServiceDir  /var/lib/tor/ssh
      HiddenServicePort 2222 127.0.0.1:2222 # Запросы к скрытому порту 2222 слать на локальный 2222.
      
  4. Перезапустить оба сервиса:
    # systemctl restart sshd tor
    
  5. Получить имя хоста в сети TOR:
    # cat /var/lib/tor/ssh/hostname
    имя_длиной_в_56_буквоцифр.onion
    

На клиенте

  1. Запустить хотя бы минимально настроенный TOR.
  2. Добавить в ~/.ssh/config секцию:
    Host *.onion
        ProxyCommand nc -x localhost:9050 -X 5 %h %p
        VerifyHostKeyDNS no
        Port 2222
    
  3. Пробовать подключиться:
    $ ssh username@имя_длиной_в_56_буквоцифр.onion
    

Штурмуем преграды

Внимание: Многое зависит от суровости вышестоящего прокси. К примеру, нижеописанный трюк не срабатывает из школ через прокси для СЗО — РТК плотно забаррикадировались, и опция FascistFirewall не выручает.

Если узел не только за NAT, а ещё и за прокси, запуск TOR через proxychains не позволит достукиваться на него снаружи. Вместо этого следует добавить в настройки TOR'а одну (или все) из опций, позволяющих выход в мир через такой вышестоящий прокси:

HTTPProxy   host[:port] # На эту ругается: дескать, устарела и из новых версий её уберут.
HTTPSProxy  host[:port]
Socks4Proxy host[:port]
Socks5Proxy host[:port]

Если прокси с аутентификацией, понадобятся ещё и эти:

HTTPSProxyAuthenticator username:password
HTTPProxyAuthenticator  username:password
Socks5ProxyUsername     username
Socks5ProxyPassword     password