Запиливаем monero кошелек в tails

[PANDORA]

Запиливаем monero кошелек в tails.

Основная статья по использованию монеро при выводе мутной криптовалюты тут:

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Этот же мануал для пользователей операционной системы tails (должно так же работать и в Whonix, но не проверял).

Скачиваем монеро под linux 64-bit с getmonero.net/downloads/:

После окончания закачки переносим архив в каталог persistence:

Распаковываем, заходим, находим файл с расширением .AppImage и запускаем его:

При первом запуске вылетит диалоговое окошко с вопросом использовать ли персистенс при работе с монеро, отвечаем да:

Настраиваем кошелек так же, как в оригинальном мануале, ссылка на который вначале, с той лишь разницей что при выборе режима выбираем Advanced:

После чего выбираем Remote Node и вписываем туда онион зеркало из списка на сайте moneroworld.com:

Запускаем кошелек, дожидаемся синхронизации, пользуемся:

За подсказки спасибо @Justсameask

 

[ALLETRO]

Отличная статья,пиши еще!

 

[Justcameask]

Спасибо за благодарность, только маленькая, вредная поправочка - мой ник пишется неможко по-другому: "Justcameask". От англиских слов "just came to ask", то есть "просто зашел спросить". Это как часто тут бывает - просто создал аккаунт один вопрос задать, а остался навсегда. Очень интересно у вас тут. Душевненько даже.

 

[PANDORA]

Спасибо за благодарность, только маленькая, вредная поправочка - мой ник пишется неможко по-другому: "Justcameask". От англиских слов "just came to ask", то есть "просто зашел спросить". Это как часто тут бывает - просто создал аккаунт один вопрос задать, а остался навсегда. Очень интересно у вас тут. Душевненько даже.

Сорри, исправил.

 

[Justcameask]

Тут один пацан (зеркало Рунион):

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

утверждает, что Monero GUI подключается к онион ноде напрямую, а не через тор. Якобы резольвит адрес ноды и подключается к ней как к .com Говорит типа Monero GUI никак не соксифицируется. В этом есть сенс или он бред несет?

 

[PANDORA]

Тут один пацан (зеркало Рунион):

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

утверждает, что Monero GUI подключается к онион ноде напрямую, а не через тор. Якобы резольвит адрес ноды и подключается к ней как к .com Говорит типа Monero GUI никак не соксифицируется. В этом есть сенс или он бред несет?

как можно в онион зайти не используя тор. а в тейлс и подавно, так как там не прозрачная торификация, а через ферм - то есть не просто все завернуто в тор, а в тор завернуты только определенные приложения, остальное все отрезано, и если при прозрачной торификации все пакеты идут через тор, то в тейлс через тор идут только пакеты нескольких приложений, пакеты остальных приложений вообще никак в сеть не идут. проверить можно открыв onioncircuits и посмотрев есть ли там цепь до онион ноды монеро.

 

[kertich775]

хороша статья вышла... полезно приятель, полезно

 

[Justcameask]

как можно в онион зайти не используя тор. а в тейлс и подавно, так как там не прозрачная торификация, а через ферм - то есть не просто все завернуто в тор, а в тор завернуты только определенные приложения, остальное все отрезано, и если при прозрачной торификации все пакеты идут через тор, то в тейлс через тор идут только пакеты нескольких приложений, пакеты остальных приложений вообще никак в сеть не идут. проверить можно открыв onioncircuits и посмотрев есть ли там цепь до онион ноды монеро.

Пацан все не уймется.

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Пугает пользователей саботажем или неосведомленностью со стороны разрабов. Ссылается на Gnome. Якобы там видно, что кошелек идет в обход правил тейлс. :/

 

[PANDORA]

Пацан все не уймется.

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Пугает пользователей саботажем или неосведомленностью со стороны разрабов. Ссылается на Gnome. Якобы там видно, что кошелек идет в обход правил тейлс. :/

лень проверять этот бред про глупых разрабов тейлс и монеро. либо он гонит, либо просто что то не так посмотрел/понял.

пример про ансейфбраузер там тоже не в кассу. он реализован очень просто - есть системный юзер, который называется clearnet. ему так же как и юзеру debian-tor в настройках ferm разрешен выход в сеть, а сам ансейф браузер запускается от этого юзера, потому и имеет доступ в интернет.




# -*- mode: conf[space] -*-
#
# Configuration file for ferm(1).
#

# When ferm starts initially during early boot, the "amnesia" user does not
# exist yet, so we have to use its UID (#7018).
def $amnesia_uid = 1000;

# IPv4
domain ip {
table filter {
chain INPUT {
policy DROP;

# Established incoming connections are accepted.
mod state state (ESTABLISHED) ACCEPT;

# Traffic on the loopback interface is accepted.
interface lo ACCEPT;
}

chain OUTPUT {
policy DROP;

# Established outgoing connections are accepted.
mod state state (ESTABLISHED) ACCEPT;

# White-list access to local resources
outerface lo {
# Related outgoing ICMP packets are accepted.
mod state state (RELATED) proto icmp ACCEPT;

# White-list access to Tor's SOCKSPort's
daddr 127.0.0.1 proto tcp syn dport 9050 {
mod owner uid-owner _apt ACCEPT;
mod owner uid-owner proxy ACCEPT;
mod owner uid-owner nobody ACCEPT;
}
daddr 127.0.0.1 proto tcp syn mod multiport destination-ports (9050 9062 9150) {
mod owner uid-owner $amnesia_uid ACCEPT;
}
daddr 127.0.0.1 proto tcp syn dport 9062 {
mod owner uid-owner htp ACCEPT;
mod owner uid-owner tails-iuk-get-target-file ACCEPT;
mod owner uid-owner tails-upgrade-frontend ACCEPT;
}

# White-list access to Tor's ControlPort
daddr 127.0.0.1 proto tcp dport 9052 {
# Needed for running the Tor control port filter
mod owner uid-owner root ACCEPT;
}

# White-list access to the Tor control port filter
daddr 127.0.0.1 proto tcp dport 9051 {
mod owner uid-owner $amnesia_uid ACCEPT;
mod owner uid-owner tor-launcher ACCEPT;
}

# White-list access to Tor's TransPort
daddr 127.0.0.1 proto tcp dport 9040 {
mod owner uid-owner $amnesia_uid ACCEPT;
}

# White-list access to system DNS and Tor's DNSPort
daddr 127.0.0.1 proto udp dport (53 5353) {
mod owner uid-owner $amnesia_uid ACCEPT;
mod owner uid-owner _apt DROP;
}

# White-list access to the accessibility daemon
daddr 127.0.0.1 proto tcp syn dport 4101 {
mod owner uid-owner $amnesia_uid ACCEPT;
mod owner uid-owner Debian-gdm ACCEPT;
}

# White-list access to CUPS
daddr 127.0.0.1 proto tcp syn dport 631 {
mod owner uid-owner $amnesia_uid ACCEPT;
}

# White-list access to OnionShare
daddr 127.0.0.1 proto tcp syn dport 17600:17650 {
mod owner uid-owner $amnesia_uid ACCEPT;
}
}

# clearnet is allowed to connect to any TCP port via the
# external interfaces (but lo is blocked so it cannot interfere
# with Tor etc) including DNS on the LAN. UDP DNS queries are
# also allowed.
outerface ! lo mod owner uid-owner clearnet {
proto tcp ACCEPT;
proto udp dport domain ACCEPT;
}

# Tor is allowed to do anything it wants to.
mod owner uid-owner debian-tor {
proto tcp syn mod state state (NEW) ACCEPT;
proto udp dport domain ACCEPT;
}

# Local network connections should not go through Tor but DNS shall be
# rejected. (Note that we exclude the VirtualAddrNetwork used for
# .onion:s here.)
daddr (10.0.0.0/8 172.16.0.0/12 192.168.0.0/16) @subchain "lan" {
proto tcp dport domain REJECT;
proto udp dport domain REJECT;
proto tcp dport netbios-ns REJECT;
proto udp dport netbios-ns REJECT;
ACCEPT;
}

# Everything else is logged and dropped.
LOG log-prefix "Dropped outbound packet: " log-level debug log-uid;
REJECT reject-with icmp-port-unreachable;
}

chain FORWARD {
policy DROP;
}
}

table nat {
chain PREROUTING {
policy ACCEPT;
}

chain POSTROUTING {
policy ACCEPT;
}

chain OUTPUT {
policy ACCEPT;

# .onion mapped addresses redirection to Tor.
daddr 127.192.0.0/10 proto tcp REDIRECT to-ports 9040;

# Redirect system DNS to Tor's DNSport
daddr 127.0.0.1 proto udp dport 53 REDIRECT to-ports 5353;
}
}
}

# IPv6:
domain ip6 {
table filter {
chain INPUT {
policy DROP;

# White-list access to the accessibility daemon
interface lo saddr ::1 daddr ::1 proto tcp {
dport 4101 ACCEPT;
sport 4101 mod state state (ESTABLISHED) ACCEPT;
}

}

chain FORWARD {
policy DROP;
}

chain OUTPUT {
policy DROP;

# White-list access to the accessibility daemon
outerface lo saddr ::1 daddr ::1 proto tcp {
dport 4101 mod owner uid-owner $amnesia_uid ACCEPT;
dport 4101 mod owner uid-owner Debian-gdm ACCEPT;
sport 4101 mod state state (ESTABLISHED) ACCEPT;
}

# Everything else is logged and dropped.
LOG log-prefix "Dropped outbound packet: " log-level debug log-uid;
REJECT reject-with icmp6-port-unreachable;
}
}
}


^ это конфиг ферма от тейлс, красным выделил то, что написал выше

 

[Justcameask]

лень проверять этот бред про глупых разрабов тейлс и монеро. либо он гонит, либо просто что то не так посмотрел/понял.

пример про ансейфбраузер там тоже не в кассу. он реализован очень просто - есть системный юзер, который называется clearnet. ему так же как и юзеру debian-tor в настройках ferm разрешен выход в сеть, а сам ансейф браузер запускается от этого юзера, потому и имеет доступ в интернет.




# -*- mode: conf[space] -*-
#
# Configuration file for ferm(1).
#

# When ferm starts initially during early boot, the "amnesia" user does not
# exist yet, so we have to use its UID (#7018).
def $amnesia_uid = 1000;

# IPv4
domain ip {
table filter {
chain INPUT {
policy DROP;

# Established incoming connections are accepted.
mod state state (ESTABLISHED) ACCEPT;

# Traffic on the loopback interface is accepted.
interface lo ACCEPT;
}

chain OUTPUT {
policy DROP;

# Established outgoing connections are accepted.
mod state state (ESTABLISHED) ACCEPT;

# White-list access to local resources
outerface lo {
# Related outgoing ICMP packets are accepted.
mod state state (RELATED) proto icmp ACCEPT;

# White-list access to Tor's SOCKSPort's
daddr 127.0.0.1 proto tcp syn dport 9050 {
mod owner uid-owner _apt ACCEPT;
mod owner uid-owner proxy ACCEPT;
mod owner uid-owner nobody ACCEPT;
}
daddr 127.0.0.1 proto tcp syn mod multiport destination-ports (9050 9062 9150) {
mod owner uid-owner $amnesia_uid ACCEPT;
}
daddr 127.0.0.1 proto tcp syn dport 9062 {
mod owner uid-owner htp ACCEPT;
mod owner uid-owner tails-iuk-get-target-file ACCEPT;
mod owner uid-owner tails-upgrade-frontend ACCEPT;
}

# White-list access to Tor's ControlPort
daddr 127.0.0.1 proto tcp dport 9052 {
# Needed for running the Tor control port filter
mod owner uid-owner root ACCEPT;
}

# White-list access to the Tor control port filter
daddr 127.0.0.1 proto tcp dport 9051 {
mod owner uid-owner $amnesia_uid ACCEPT;
mod owner uid-owner tor-launcher ACCEPT;
}

# White-list access to Tor's TransPort
daddr 127.0.0.1 proto tcp dport 9040 {
mod owner uid-owner $amnesia_uid ACCEPT;
}

# White-list access to system DNS and Tor's DNSPort
daddr 127.0.0.1 proto udp dport (53 5353) {
mod owner uid-owner $amnesia_uid ACCEPT;
mod owner uid-owner _apt DROP;
}

# White-list access to the accessibility daemon
daddr 127.0.0.1 proto tcp syn dport 4101 {
mod owner uid-owner $amnesia_uid ACCEPT;
mod owner uid-owner Debian-gdm ACCEPT;
}

# White-list access to CUPS
daddr 127.0.0.1 proto tcp syn dport 631 {
mod owner uid-owner $amnesia_uid ACCEPT;
}

# White-list access to OnionShare
daddr 127.0.0.1 proto tcp syn dport 17600:17650 {
mod owner uid-owner $amnesia_uid ACCEPT;
}
}

# clearnet is allowed to connect to any TCP port via the
# external interfaces (but lo is blocked so it cannot interfere
# with Tor etc) including DNS on the LAN. UDP DNS queries are
# also allowed.
outerface ! lo mod owner uid-owner clearnet {
proto tcp ACCEPT;
proto udp dport domain ACCEPT;
}

# Tor is allowed to do anything it wants to.
mod owner uid-owner debian-tor {
proto tcp syn mod state state (NEW) ACCEPT;
proto udp dport domain ACCEPT;
}

# Local network connections should not go through Tor but DNS shall be
# rejected. (Note that we exclude the VirtualAddrNetwork used for
# .onion:s here.)
daddr (10.0.0.0/8 172.16.0.0/12 192.168.0.0/16) @subchain "lan" {
proto tcp dport domain REJECT;
proto udp dport domain REJECT;
proto tcp dport netbios-ns REJECT;
proto udp dport netbios-ns REJECT;
ACCEPT;
}

# Everything else is logged and dropped.
LOG log-prefix "Dropped outbound packet: " log-level debug log-uid;
REJECT reject-with icmp-port-unreachable;
}

chain FORWARD {
policy DROP;
}
}

table nat {
chain PREROUTING {
policy ACCEPT;
}

chain POSTROUTING {
policy ACCEPT;
}

chain OUTPUT {
policy ACCEPT;

# .onion mapped addresses redirection to Tor.
daddr 127.192.0.0/10 proto tcp REDIRECT to-ports 9040;

# Redirect system DNS to Tor's DNSport
daddr 127.0.0.1 proto udp dport 53 REDIRECT to-ports 5353;
}
}
}

# IPv6:
domain ip6 {
table filter {
chain INPUT {
policy DROP;

# White-list access to the accessibility daemon
interface lo saddr ::1 daddr ::1 proto tcp {
dport 4101 ACCEPT;
sport 4101 mod state state (ESTABLISHED) ACCEPT;
}

}

chain FORWARD {
policy DROP;
}

chain OUTPUT {
policy DROP;

# White-list access to the accessibility daemon
outerface lo saddr ::1 daddr ::1 proto tcp {
dport 4101 mod owner uid-owner $amnesia_uid ACCEPT;
dport 4101 mod owner uid-owner Debian-gdm ACCEPT;
sport 4101 mod state state (ESTABLISHED) ACCEPT;
}

# Everything else is logged and dropped.
LOG log-prefix "Dropped outbound packet: " log-level debug log-uid;
REJECT reject-with icmp6-port-unreachable;
}
}
}


^ это конфиг ферма от тейлс, красным выделил то, что написал выше

Сегодня установил Gnome, специально чтобы посмотреть че там будет он говорить про монеро гуи. Оказалось, что гном это вообще целый сборник каких-то приложений, включая погоду, карты и прочее. Что там надо открывать, чтобы посмотреть то, что тот пацан говорил? Судя по команде netstat -pNe | grep monero это что-то типа терминала, но не терминал. Смотрел все разделы, но вроде ничего на это похожего там нет.

 

[PANDORA]

Сегодня установил Gnome, специально чтобы посмотреть че там будет он говорить про монеро гуи. Оказалось, что гном это вообще целый сборник каких-то приложений, включая погоду, карты и прочее. Что там надо открывать, чтобы посмотреть то, что тот пацан говорил? Судя по команде netstat -pNe | grep monero это что-то типа терминала, но не терминал. Смотрел все разделы, но вроде ничего на это похожего там нет.

Верно, гном это окружение рабочего стола - то есть весь интерфейс, и дефолтные приложения, но в тейлс гном кастомный, там нет всех этих карт и прочего, там минимальный набор.

netstat -pNe | grep monero это команда для терминала, да.

что бы проверить что ты подключаешься к онион ноде я уже писал что сделать - открой onioncircuits и найди там слева цепь с портом 18081 или какой указал. это и будет цепь тора до монеро ноды.

Сообщение обновлено: 26 Мар 2020

PushKali уже проверял, так и есть написал. Есть цепь тора с таким портом при запуске монеро.

 

[Justcameask]

Верно, гном это окружение рабочего стола - то есть весь интерфейс, и дефолтные приложения, но в тейлс гном кастомный, там нет всех этих карт и прочего, там минимальный набор.

netstat -pNe | grep monero это команда для терминала, да.

что бы проверить что ты подключаешься к онион ноде я уже писал что сделать - открой onioncircuits и найди там слева цепь с портом 18081 или какой указал. это и будет цепь тора до монеро ноды.

Сообщение обновлено: 26 Мар 2020

PushKali уже проверял, так и есть написал. Есть цепь тора с таким портом при запуске монеро.

Ну так я и смотрел уже в цепочках раньше. Там отображается. Просто всякие там трендят, а я параною. Тем более когда не сильно в этом шаришь, как тут не параноить) Так гном уже изначально в тейлс был? Я искал, нихрена не нашел, поэтому установил из синаптика и там установило кучу приложений, типа погоды и т.д. Так я и не понял, где там надо было эту команду вводить. Ты говоришь для терминала. Я вводил в рут терминал, он ее не распознает. В обычный надо?

 

[PANDORA]

Ну так я и смотрел уже в цепочках раньше. Там отображается. Просто всякие там трендят, а я параною. Тем более когда не сильно в этом шаришь, как тут не параноить) Так гном уже изначально в тейлс был? Я искал, нихрена не нашел, поэтому установил из синаптика и там установило кучу приложений, типа погоды и т.д. Так я и не понял, где там надо было эту команду вводить. Ты говоришь для терминала. Я вводил в рут терминал, он ее не распознает. В обычный надо?

Гном в тейлс был всегда да, все что ты видишь - менюшки, панели, обои рабочего стола это и есть гном (GNOME). Если интересно почитай про окружения рабочего стола самые популярные - GNOME, XFCE, Mate и прочие.

На счет команды как именно не распознает - что при вводе в терминале пишется.

 

[Justcameask]

Гном в тейлс был всегда да, все что ты видишь - менюшки, панели, обои рабочего стола это и есть гном (GNOME). Если интересно почитай про окружения рабочего стола самые популярные - GNOME, XFCE, Mate и прочие.

На счет команды как именно не распознает - что при вводе в терминале пишется.

В каком терминале эта команда прописывается или при каких условиях она срабатывает? Выходит, тот пацан, советуя устанавливать гном либо троллил, либо показал таким образом, что не шарит вообще нихрена в этой оси?

 

[Justcameask]

ну если он писал что в тейлс надо установить гном он еблан. он там стоит из коробки, просто урезанный. устанавать туда еще и мусор типа карт и игр это глупо.

Ну я, как увидел это все чудо, сразу убрал это все из повторной установки. Так что там с командой, не томи уже)

 

[PANDORA]

Ну я, как увидел это все чудо, сразу убрал это все из повторной установки. Так что там с командой, не томи уже)

Попробуй или в обычный терминал ввести или проверь вообще установлен ли netstat пакет

 

[Justcameask]

Попробуй или в обычный терминал ввести или проверь вообще установлен ли netstat пакет

Понял. Спасибо.

 

[Justcameask]

Попробуй или в обычный терминал ввести или проверь вообще установлен ли netstat пакет

Блин, установил, но че-то все равно команда не распознается. В обеих терминалах. Устанавливал через синаптик.

 

[PANDORA]

Блин, установил, но че-то все равно команда не распознается. В обеих терминалах. Устанавливал через синаптик.

пришли мне что у тебя система выдает при наборе команды netstat -V (это проверка версии пакета).

у меня вот так

user@debian:~$ netstat -V
net-tools 2.10-alpha
Fred Baumgarten, Alan Cox, Bernd Eckenfels, Phil Blundell, Tuan Hoang, Brian Micek and others
+NEW_ADDRT +RTF_IRTT +RTF_REJECT +FW_MASQUERADE +I18N +SELINUX
AF: (inet) +UNIX +INET +INET6 +IPX +AX25 +NETROM +X25 +ATALK +ECONET +ROSE -BLUETOOTH
HW: +ETHER +ARC +SLIP +PPP +TUNNEL -TR +AX25 +NETROM +X25 +FR +ROSE +ASH +SIT +FDDI +HIPPI +HDLC/LAPB +EUI64

 

[Justcameask]

пришли мне что у тебя система выдает при наборе команды netstat -V (это проверка версии пакета).

у меня вот так

user@debian:~$ netstat -V
net-tools 2.10-alpha
Fred Baumgarten, Alan Cox, Bernd Eckenfels, Phil Blundell, Tuan Hoang, Brian Micek and others
+NEW_ADDRT +RTF_IRTT +RTF_REJECT +FW_MASQUERADE +I18N +SELINUX
AF: (inet) +UNIX +INET +INET6 +IPX +AX25 +NETROM +X25 +ATALK +ECONET +ROSE -BLUETOOTH
HW: +ETHER +ARC +SLIP +PPP +TUNNEL -TR +AX25 +NETROM +X25 +FR +ROSE +ASH +SIT +FDDI +HIPPI +HDLC/LAPB +EUI64

Оказывается я просто не то установил. Надо было net-tools, там и был netstat. Посмотрел я в общем то, что тот пацан говорил. Из примечательного там был айпи ноды (я понял это по ее порту 18081) и адрес localhost. Не такой как у тор, не 127.0.0.1, а другой какой-то. Видать пацан увидел вместо торовского localhost какой-то другой и решил, что клиент идет в обход тора. Еще там было много строчек со словами stream connect и в конце постоянно номера какие-то (вроде ниразу не повторяющиеся). Не расшифруешь че это? И почему адрес локалхост другой стоял не торовский? У тебя какой адрес локалхост стоит?