LINUX.ORG.RU
ФорумAdmin

Проблема с обменом данными в Whonix

 


0

1

Проблема с обменом данными в Whonix, и о том, как опозорился Patrick Schleizer

Хочу рассказать об этой досадной истории, и заодно спросить совета как быть.
Дело было так:

Понадобился снова мне для некоторых дел Whonix. Раньше его ставил для «поиграться крутым анонимом» :-)
Поигрался некоторое время, проблем и вопросов не возникло, позже снес за ненадобностью.

Недавно Whonix снова понадобился. Но не только для того, чтобы анонимно сёрфить по Инету.
Чтобы от него была реальная польза, на хосте стоят еще 3 виртуалки, в которых варится некоторая информационная секюрная «каша».
Часть этой каши нужно периодически отправлять в Инет, и наоборот, брать кое-что из Инета и добавлять в «кашу».
Понятно, что обмен виртуалок с Инетом нужно производить не напрямую из незащищенных виртуалок, а только через «паровозик» «Whonix. Ну и напрямую между самыми виртуалками, иначе это не секурность, а профанация.
И если бы я выбрал порт Whonix для VirtualBox, то с таким информационным обменом проблем бы не было.
Но проприетарный VBox это несерьезно, поэтому выбрал, конечно, KVM.

И вот обнаружилась засада: в KVM удобных инструментов для обмена между виртуалками не нашлось.
Начал я колхозить всякими способами, но добился только крайне неудобного и медленного в реальной работе способа обмена данными через флешку.
Лучше всего, конечно, сделать обмен через SSHFS, но Whonix, и KickSecure в его основе оказались настолько забаррикадированными, что пробиться к ним из виртуалок не смог.
Видимо, нужно что-то менять в дефолтовых настройках Whonix, но для безопасности это табу.
Плюс ко всему сетевых знаний у меня совсем немного, может эта проблема и решается, но неизвестно как.

Что ж, попёрся я со своей проблемой на форум Whonix в ожидании рекомендаций.
Помнится, каких либо вразумительных советов от народа я не получил, пока в мою тему не припёрся лично сам Patrick Schleizer, знаменитый создатель Whonix и KickSecure.
Надо отдать этому парню должное: он немало сделал для мирового сообщества в плане анонимного сёрфинга, за что ему огромная благодарность.

Начал ему объяснять проблему. Для начала он отметил, что KVM он не делал, так что мол, он тут не при чем.
Конечно, я согласился, но от этого легче не стало, и я продолжил спрашивать, что же делать в этой ситуации?
В ответ он меня ткнул в какую-то сырую недоработанную доку, в которой же и написано, что она тестовая и ее не рекомендуется использовать :-)
Это еще ладно, но она оказалась не для KVM, а для VBox, на что я и обратил его внимание.
После этого наступила благовейная тишина :-D

Выждав некоторое время и не получив дельных советов, решил изобразить данную проблему в виде графической иллюстрации - мало ли, может Patrick недопонял мой албанский?

Нарисовал эту схему и выложил на форум: https://ibb.co/wFNGYFth

И как вы думаете, что после этого произошло? Этот Patrick удалил все мои весьма толерантные сообщения, а меня забанил!
Ну, это одновременно и трусость, и позор. Потому что если ты не можешь помочь с решением какой-то проблемы, то просто помолчи и дай другим людям помочь.
Но Patrick испугался, что на его непревзойденный Whonix здесь ложится некое „пятно“, и решил всё удалить.
Хотя никакого „пятна“ тут нет, обычные рабочие вопросы, касающиеся как KVM, так и Whonix в комплексе.

Может, кто-то уже решил данную задачу. Жду вашей оценки данных событий, и конечно советов, которые не сумел дать трусливый Patrick.



Последнее исправление: Red7 (всего исправлений: 1)
systemd-resolved перестает работать спустя некоторое время
как отключить swap в Centos
1 2
Ответ на: комментарий от sinaps

sinaps, да, я уже разбрался с этим и удалил шлюз из настроек.
Сейчас настроил две своих виртуалки так:

VM 1
-----
iface enp1s0 inet static
	address 10.152.152.12/18
	netmask 255.255.192.0

VM 2
-----
iface enp1s0 inet static
	address 10.152.152.13/18
	netmask 255.255.192.0
Ping и SSH между ними прекрасно проходит.

Включаю Whonix-Workstation:
iface eth0 inet static
	address 10.152.152.11
	netmask 255.255.192.0
	gateway 10.152.152.10
Никакого коннекта с нее на VM 1 VM 2 нет.
Подозреваю, что из-за запретов в ее файроволе.

Останавливаю ее файрвол:
systemctl stop whonix-firewall

но странное дело - коннекта с нее все равно нет!
Этого я уже не понимаю...

Red7
() автор топика
Последнее исправление: Red7 (всего исправлений: 1)
Ответ на: комментарий от sinaps

Мы не можем у него комп отобрать, он всё равно что-то там налепит с помощью, или без.

Эт-точно! :-) Потому что ну очень не хочется переходить на Qubes, в котром до сих пор игнорируют мой вопрос:
_https://forum.qubes-os.org/t/qubes-whonix-security-disadvantages/35131
который для себя считаю очень важным в плане безопасности.
А кто-то их тамошних умников упрекнул меня, почему я его задал. Да по качану!

Ладно, вот что пока получилось:
- зашел в

sudo nano /etc/whonix_firewall.d/50_user.conf
и добавил это незамысловатое выражение:
whonix_firewall_user() {
    iptables -A OUTPUT -d 10.152.152.12 -p tcp --dport 22 -j ACCEPT
}

После этого доступ по SSH из Whonix-Workstation в VM 1 = 10.152.152.12 получился.

Имхо, каких-то утечек из VMs и какого-либо ущерба для общей безопасности данной системы это изменение не принесет, как думаете?

Потому что проверил практически - VM 1 и VM2 при таких настройках в Инет не попадают.
Хотя, возможно, в Whonix-Gateway надо предпринять какие-то дополнительные меры.

Red7
() автор топика
Последнее исправление: Red7 (всего исправлений: 2)
Ответ на: комментарий от Red7

каких-то утечек из VMs

Настроки sftp. Ограничение подключений с IP, ChrootDirectory, отключить ssh оставить только sftp, авторизация по ключам и т.п.

в Whonix-Gateway надо предпринять какие-то дополнительные меры

Разрешить прозрачный прокси только для Whonix-Workstation. Остальное запретить.

sinaps ★★
()
Ответ на: комментарий от sinaps

Ели смотнеть по
iptables -L -n -v
то похоже, в Whonix-Gateway все настолько жестоко заблочено, что и так никакая зараза не вырвется.

А зачем прозрачный прокси для Whonix-Workstation? Она и так работает с жесткими ограничениями, задуманными Птариком.

Red7
() автор топика
Ответ на: комментарий от Red7

А зачем прозрачный прокси для Whonix-Workstation?

Предположительно он включен для доступа в интернет. У Патрика уточните. 😉

похоже, в Whonix-Gateway

прозрачное проксирование работает для любого IP из внутренней подсети, а не

только для (разрешённых) Whonix-Workstation

sinaps ★★
()
Ответ на: комментарий от Red7

Провозился целый день, но повторить вчерашний фокус не удалось.
Не знаю, как оно вообще получилось, может почудилось.
Далее что-то только не перепробовал... даже до сетевого стека добрался, в котором мульйон параметров.
Файрвол выключал, и он никакого действия не оказывал.

Пришел к выводу, что в такой постановке:

Доступ из Workstation в обычную VM по SSH невозможен,

поскольку Workstation, в оличие от VM, находится в «изолированной сети».

Алес.

Red7
() автор топика
Ответ на: комментарий от Red7

В-общем, если попытаться коненктиться с Whonix-Workstation на любую соседнюю VM, то никак (а тем более наоборот).
Уж не знаю, как Патрик забаррикадировал Workstation от доступа снаружи, и наоборот, доступ из нее наружу, но я со своиим талантами его защиту разгадать не мог.
И еще плохо, что в документации на Whonix совершенно нет указаний по настройке Workstation в данной ситуации.
Похоже, Патрик даже не мог себе представить, что такая ситуация может возникнуть, и разработал Whonix чисто для бродяжничества по Интернету, а не для реальной работы, поэтому он так огрызался, когда я попросил подсказать, как действовать.

С Патриком понятно. Но я даже представить себе не мог, каким дермищем окажется KVM!
Не, я ним давно работал, но решал только простые задачки, и проблем не было.
Но тут понадобился обмен между Workstation и VM. И понеслось...

Первое - никакие костыли типа SSH, Samba или NetFS тут не катят - см. выше (всё в Workstation забаррикадировано).

Что ж, пришлось обратиться к тому, что точно должно работать - безкостыльним штатным средствам KVM типа «shared folder».

Из драйверов KVM для этого оказалось всего два -
- virtio-9p
- virtiofs

Если по отзывам virtio-9p оказался древним, медленным, заброшенным и все еще ... кривым :-o

Ладно, настраиваю каталог на Workstation на virtiofs, которая якобы более быстрая, современная и молодежная - ура, получилось!

Затем настраиваю его на своей VM - а хрен вам!
......
Опуская подробности, оказалось, virtiofs это как бы не совсем ФС, а херня на постном масле (хотя и названа ...fs)
Из-за чего более одной VM к шаре подключить нельзя, можно только между VM и хостом.

Даааа, и эти люди запрещают мне ковырятся в носу :-)

А ведь это уже 2025 год на носу, и до сих нормального средства обмена данными в KVM - НЕТ!!!

Пошел ковырять кривой virtio-9p....

Red7
() автор топика
Последнее исправление: Red7 (всего исправлений: 2)
Ответ на: комментарий от Red7

Парни, вы все разбежались, вам это тема неинтересна?

Ладно, хотя я добился нужного результата -
- обмена между Whonix-Workstation и VMs по шифрованному каналу -
но раз так, тогда и я побежал, мне вполне есть чем еще заниматься.

Пока-пока! :-)

Red7
() автор топика
Последнее исправление: Red7 (всего исправлений: 1)
1 2
systemd-resolved перестает работать спустя некоторое время
Admin
как отключить swap в Centos