Проблема с обменом данными в Whonix, и о том, как опозорился Patrick Schleizer

Хочу рассказать об этой досадной истории, и заодно спросить совета как быть.
Дело было так:

Понадобился снова мне для некоторых дел Whonix. Раньше его ставил для «поиграться крутым анонимом» :-)
Поигрался некоторое время, проблем и вопросов не возникло, позже снес за ненадобностью.

Недавно Whonix снова понадобился. Но не только для того, чтобы анонимно сёрфить по Инету.
Чтобы от него была реальная польза, на хосте стоят еще 3 виртуалки, в которых варится некоторая информационная секюрная «каша».
Часть этой каши нужно периодически отправлять в Инет, и наоборот, брать кое-что из Инета и добавлять в «кашу».
Понятно, что обмен виртуалок с Инетом нужно производить не напрямую из незащищенных виртуалок, а только через «паровозик» «Whonix. Ну и напрямую между самыми виртуалками, иначе это не секурность, а профанация.
И если бы я выбрал порт Whonix для VirtualBox, то с таким информационным обменом проблем бы не было.
Но проприетарный VBox это несерьезно, поэтому выбрал, конечно, KVM.

И вот обнаружилась засада: в KVM удобных инструментов для обмена между виртуалками не нашлось.
Начал я колхозить всякими способами, но добился только крайне неудобного и медленного в реальной работе способа обмена данными через флешку.
Лучше всего, конечно, сделать обмен через SSHFS, но Whonix, и KickSecure в его основе оказались настолько забаррикадированными, что пробиться к ним из виртуалок не смог.
Видимо, нужно что-то менять в дефолтовых настройках Whonix, но для безопасности это табу.
Плюс ко всему сетевых знаний у меня совсем немного, может эта проблема и решается, но неизвестно как.

Что ж, попёрся я со своей проблемой на форум Whonix в ожидании рекомендаций.
Помнится, каких либо вразумительных советов от народа я не получил, пока в мою тему не припёрся лично сам Patrick Schleizer, знаменитый создатель Whonix и KickSecure.
Надо отдать этому парню должное: он немало сделал для мирового сообщества в плане анонимного сёрфинга, за что ему огромная благодарность.

Начал ему объяснять проблему. Для начала он отметил, что KVM он не делал, так что мол, он тут не при чем.
Конечно, я согласился, но от этого легче не стало, и я продолжил спрашивать, что же делать в этой ситуации?
В ответ он меня ткнул в какую-то сырую недоработанную доку, в которой же и написано, что она тестовая и ее не рекомендуется использовать :-)
Это еще ладно, но она оказалась не для KVM, а для VBox, на что я и обратил его внимание.
После этого наступила благовейная тишина :-D

Выждав некоторое время и не получив дельных советов, решил изобразить данную проблему в виде графической иллюстрации - мало ли, может Patrick недопонял мой албанский?

Нарисовал эту схему и выложил на форум: https://ibb.co/wFNGYFth

И как вы думаете, что после этого произошло? Этот Patrick удалил все мои весьма толерантные сообщения, а меня забанил!
Ну, это одновременно и трусость, и позор. Потому что если ты не можешь помочь с решением какой-то проблемы, то просто помолчи и дай другим людям помочь.
Но Patrick испугался, что на его непревзойденный Whonix здесь ложится некое „пятно“, и решил всё удалить.
Хотя никакого „пятна“ тут нет, обычные рабочие вопросы, касающиеся как KVM, так и Whonix в комплексе.

Может, кто-то уже решил данную задачу. Жду вашей оценки данных событий, и конечно советов, которые не сумел дать трусливый Patrick.

Парни, есть ли сейчас в продаже видеокарточки для серверов?

Т.е. если в сервере стоит, например, XEON без видеоядра, и иногда надо заглянуть видео.
Это бывает нужно очень редко, но но все-таки бывает.

И нынешние навороченные прожорливые видеокарты тут совсем не в Красну Армию, нужна простенькая, дешевая, без кулеров и тоненькая.
Образно говоря, от нее требуется 640x480, а не какие-то там гектапиксели.

Максимум, что удалось найти - ASUS EN210, т.е. перекрашенная Nvidia.
Но она хоть и с пассивным радиатором, но из-за него она толстая, не во всякий корпус влезет. К тому же б/у.

А из новых карточек сейчас выпускается что-то такое по этим свойствам?

На одном из компов начала пердичекски, раз в несколько дней падать система.
Намертво. Никакие Ctrl-Alt-Del не помогают. И это не kernel panic, что-то другое.
В логах перед падением полная благодать, никаких признаков, что собирается упасть.

Похоже на память, поэтому первым делом сменил ее. Не помогло.
Затем последовательно сменил: материнку, проц, и БП. По барабану.

Отсюда вопрос: может ли софт так намертво вешать систему? Прикладной может и нет, а например, дрова?

В винде понятно, там сразу блускрин и все такое. А в Линуксе непонятно, не сталкивался еще с таким.

PS. Корпус менять не стал, маловероятно :))

Есть сайт, доступный по линку 85.85.85.85:9000

В Cloudflare уже присутствовал домен kashtanka.org
Пристегнул этот сайт к Cloudflare, чтобы придать линку благозвучный вид.
Для этого нажал в Cloudflare кнопку Add record и заполнил поля следующим образом:

Type = A
Name = barbos
IPv4 address = 85.85.85.85

Методом апдейта кое-как переполз с Debian 9 на Debian 10.
Косяков при переходе поймалось достаточно, некоторые победил, но с некоторыми даже непонятно как бороться.

И первая неподдающаяся проблема - почтовый клиент Sylpheed перестал принимать/отправлять письма под SSL.

При приеме сообщений:

GLib-DEBUG: posix_spawn avoided (automatic reaping requested) (fd close requested) 
* Соединение с сервером POP: mymail.ru...
** LibSylph-WARNING: SSL_connect() failed with error 1, ret = -1 (error:141A318A:SSL routines:tls_process_ske_dhe:dh key too small)
** LibSylph-WARNING: can't initialize SSL.
** LibSylph-WARNING: [22:22:14] Сбой соединения

** Сбой соединения

* Соединение с сервером SMTP: mymail.ru ...
[22:19:57] SMTP< 220 mymail.ru ESMTP Postfix
[22:19:57] ESMTP> EHLO desktop.desktop.local
[22:19:57] ESMTP< 250-mymail.ru
[22:19:57] ESMTP< 250-PIPELINING
[22:19:57] ESMTP< 250-SIZE 10240000
[22:19:57] ESMTP< 250-VRFY
[22:19:57] ESMTP< 250-ETRN
[22:19:57] ESMTP< 250-STARTTLS
[22:19:57] ESMTP< 250-AUTH LOGIN DIGEST-MD5 CRAM-MD5 PLAIN
[22:19:57] ESMTP< 250-AUTH=LOGIN DIGEST-MD5 CRAM-MD5 PLAIN
[22:19:57] ESMTP< 250-ENHANCEDSTATUSCODES
[22:19:57] ESMTP< 250-8BITMIME
[22:19:57] ESMTP< 250 DSN
[22:19:57] ESMTP> STARTTLS
[22:19:57] ESMTP< 220 2.0.0 Ready to start TLS
** LibSylph-WARNING: SSL_connect() failed with error 1, ret = -1 (error:141A318A:SSL routines:tls_process_ske_dhe:dh key too small)
** LibSylph-WARNING: can't start TLS session.
** LibSylph-WARNING: [22:19:57] Сбой начала сеанса TLS
** Сбой начала сеанса TLS
** Sylpheed-WARNING: send: error: 220 2.0.0 Ready to start TLS
** LibSylph-WARNING: [22:19:57] Сбой при отправке сообщения.

** Сбой при отправке сообщения.

Понадобилось снимать скриншоты со страниц сайтов из консоли, т.е. без X-ов.
Не придумал пока ничего другого, как использование XVFB.

Установил xvfb:amd64 (2:1.20.4-1) в Debian 10.

Пробую снимать скриншоты страниц с помощью питоновского скрипта:

from selenium import webdriver
from xvfbwrapper import Xvfb

vdisplay = Xvfb()
vdisplay.start()

driver = webdriver.Chrome(r'/home/first/bin/chromedriver')
#driver = webdriver.Firefox(executable_path=r'/home/first/bin/geckodriver')

driver.get("https://2ip.ru")

driver.save_screenshot("check_ip.png")
driver.quit()

vdisplay.stop()

~/bin$ python3 test.py
Traceback (most recent call last):
  
File "test.py", line 7, in <module>
    driver = webdriver.Firefox(executable_path=r'/home/first/bin/geckodriver')
  
File "/home/first/.local/lib/python3.7/site-packages/selenium/webdriver/firefox/webdriver.py", line 174, in __init__
    keep_alive=True)
  
File "/home/first/.local/lib/python3.7/site-packages/selenium/webdriver/remote/webdriver.py", line 157, in __init__
    self.start_session(capabilities, browser_profile)
  
File "/home/first/.local/lib/python3.7/site-packages/selenium/webdriver/remote/webdriver.py", line 252, in start_session
    response = self.execute(Command.NEW_SESSION, parameters)
  
File "/home/first/.local/lib/python3.7/site-packages/selenium/webdriver/remote/webdriver.py", line 321, in execute
    self.error_handler.check_response(response)
  
File "/home/first/.local/lib/python3.7/site-packages/selenium/webdriver/remote/errorhandler.py", line 242, in check_response
    raise exception_class(message, screen, stacktrace)
selenium.common.exceptions.SessionNotCreatedException: Message: Unable to find a matching set of capabilities

 

Типичная ситуация: устанавливаю в консольном Debian всего один пакет mplayer -

apt --no-install-recommends install   mplayer 

( читать дальше... )

Тут все понятно, вопросов нет.

Следующее действие - а как теперь тоже одим махом снести все эти пакеты?

Понятно, что если удалить оснвной пакет mplayer, то удалится лишь он один, а сопутствующие пакеты останутся.

Конечно, можно скопировать список этих пакетов и подставить их в командную строку или скрипт -

apt remove  mplayer  libgme0 libssh-gcrypt  libpython2.7 libmpg123-0 ... libavformat58

До сего дня для бекапа использовал преимущественно rsync с таким конфигом -

rsync    -v  -apH       \
--filter=-"/ /home/red7/.mozilla/firefox/*/SDThumbs" \
--filter=-"/ /home/red7/.moonchild productions/pale moon/*/SDThumbs"  \
--exclude="*.gvfs/*"    \
--exclude="*.coin/*"    \
--exclude=".cache"      \
--exclude="Cache"       \
--exclude="cache"       \
--exclude="*thumbnail*" \
--exclude="*Thumbnail*" \
--exclude="*/Box*"      \
--exclude="*.VirtualBox*"       \
--exclude="*.macromedia/Flash_Player/*"  \
--exclude="*.openoffice.org/3/*"  \
--exclude="*.local/share/Trash/*"  \
--exclude="*.tor-browser_ru/*"  \
--exclude="*.config/chromium/*"  \
--exclude="*/SOFT*"     \
/home/user        /mnt/sdc1/DESKTOP/home/

Мля, задолбало читать уйму заумных статей вроде этой -https://habr.com/ru/post/102007/
Делать эти теоретикам нехрен, только бабло башляют за количество строк, а толку - ноль!

Есть вообще нормальное, т.е. краткое howto как разметить диск в Advanced Format ?
Разумеется, без этих размазываний теоретических соплей.

И разумеется, в Linux!

Сыпанулся винт, и по закону подлости грохнулся, видимо, самый первый по порядку снапшот,
поэтому виртуалка не хочет запускаться, выдавая ошибку -

Could not open the medium '/home/red7/.VirtualBox/Windows/Snapshots/{4d627da8-0c2c-4f06-87e7-e22b645e8b45}.vdi'.
VD: error VERR_FILE_NOT_FOUND opening image file '/home/red7/.VirtualBox/Windows/Snapshots/{4d627da8-0c2c-4f06-87e7-e22b645e8b45}.vdi' (VERR_FILE_NOT_FOUND)

Код ошибки: 
NS_ERROR_FAILURE (0x80004005)
Компонент: 
MediumWrap
Интерфейс: 
IMedium {4afe423b-43e0-e9d0-82e8-ceb307940dda}

Cannot lock hard disk '/home/red7/.VirtualBox/Windows/Snapshots/{99341213-59e7-4ba8-9f36-3e8e7c2a06c8}.vdi' when deleting a snapshot.

Код ошибки: 
NS_ERROR_FAILURE (0x80004005)
Компонент: 
SessionMachine
Интерфейс: 
IMachine {85cd948e-a71f-4289-281e-0ca7ad48cd89}

Could not open the medium '/home/red7/.VirtualBox/Windows/Snapshots/{4d627da8-0c2c-4f06-87e7-e22b645e8b45}.vdi'.
VD: error VERR_FILE_NOT_FOUND opening image file '/home/red7/.VirtualBox/Windows/Snapshots/{4d627da8-0c2c-4f06-87e7-e22b645e8b45}.vdi' (VERR_FILE_NOT_FOUND).

Код ошибки: 
NS_ERROR_FAILURE (0x80004005)
Компонент: 
MediumWrap
Интерфейс: 
IMedium {4afe423b-43e0-e9d0-82e8-ceb307940dda}

До недавнего времени для управления UPS использовал nut, т.к. другого ничего не нашел.
nut - монстр с архитектурой клиент-сервер, изрядно навороченный и созданный для управления сетевой инфраструктурой .

Использовал бы его и дальше, но вдруг выяснилось, что для CentOS 7 создатели nut накосячили настолько, что сразу он вообще не хочет работать, а после внесения весьма неочевидных правок он работает, но недолго, опять клинит, а разрабы эти косяки устранять совсем не торопятся.

Поэтому возник вопрос - есть ли в Linux что-нибудь попроще?
Рассчитанного на работу всего с одним компьютером.

Не хотелось устаналивать это фуфло на комп без использования его на смартфоне, но придется, т.к. переубедить пол-планеты, что это фуфло, невозможно :)

Путь, в-общем-то понятный - установить эмулятор Андроида на Linux, и хавту по эти делам полно -

https://o-viber.ru/kak-ustanovit-viber-na-kompyuter-bez-telefona.html
http://viber-new.com/ustanovit-viber-bez-telefona.html

и т.д.

Вопрос только - какой эмулятор проще и беспроблемнее - BlueStacks или Memuplay, или еще какой-то?
Потому что хочется не изобретать велосипед, а по пройти по наиболее простому пути, проторенному линксоидами :)

Не особо рассчитывая на успех, но все же спрошу: существует ли транслятор из бешика в Lazarus?
Ну или во Free Pascal...

Хоть и не доверяю всем этим вайберам/вацапам/телеграммам, но Telegram все-таки вынужден был поставить. На Debian.
Скачал и распаковал архив, в котором лежало два файла:
- Telegram
- Updater

и запустил первый - сразу заработало.
Но сразу стало интересно - а где же хранятся пользовательские ключи, про которые Дуров чуть ли не рубаху на себе рвал, утверждая, что они хранятся только у пользователей, end-to-end?

В папке с Telegram они не появились, где же тогда они?

Есть образ Debian 9 Live-CD - debian-live-9.8.0-amd64-lxde.iso, записанный на болванку.
На материнке ASUS H87M-E этот Live Debian загружается и работает превосходно.

На более крутой (и более старой) ASUS MAXIMUS EXTREME сеть вначале работала нормально, но при следующих загрузках разучилась это делать.

Команда ip a видит в H87M-E сетевуху как

2: enp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether bc:ee:7b:8a:74:1d brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.20/24 brd 192.168.1.255 scope global enp3

2: enp4s0: <NO-CARRIER.....(дальше не запомнил)

Решил сегодня выбрать «легкий» путь через вьебморду - установил CentOS 7/64 и накатил на него Webmin.
Завел в нем юзера probа c паролем. Анонимов запретил.

И вот уже полдня, невзирая на сто перепробованых настроек, хуею при ftp-логине получаю стабильную ошибку:

Невозможно перейти в "/ftp://proba@212.212.212.212"

nmap 212.212.212.212 -p1-65535

Starting Nmap 7.40 ( https://nmap.org ) at 2019-02-12 17:56 EET
Nmap scan report for 3a51.l.hostens.cloud (212.212.212.212)
Host is up (0.045s latency).
Not shown: 65514 closed ports
PORT      STATE    SERVICE
21/tcp    open     ftp
22/tcp    open     ssh
25/tcp    open     smtp
53/tcp    open     domain
80/tcp    open     http
110/tcp   open     pop3
111/tcp   open     rpcbind
135/tcp   filtered msrpc
137/tcp   filtered netbios-ns
139/tcp   filtered netbios-ssn
143/tcp   open     imap
443/tcp   open     https
445/tcp   filtered microsoft-ds
587/tcp   open     submission
993/tcp   open     imaps
995/tcp   open     pop3s
2222/tcp  open     EtherNetIP-1
3306/tcp  open     mysql
4786/tcp  filtered smart-install
10000/tcp open     snet-sensor-mgmt
20000/tcp open     dnp   

Давно пользуюсь LibreOffice, и каждым годом наблюдаю, как он деградидирует все больше и больше, глюков больших и малых меньше не становится. Но к сожалению, в Линуксе пользоваться больше по сути нечем.

Интересуюсь пока двумя простыми вопросами:

1. Как добавить русский словарь для орфопроверки?
Раньше он всегда устанавливался по умолчанию, а теперь его вооще не видно.
Пытался добавить по-всякому, но почему-то добавляется только финский язык-

libreoffice-voikko
voikko-fi

Обычно в RedHat для учета установленных в систему пакетов периодически выполняю простую команду -

rpm -qa | sort > packages_3.txt 

Обычно gользуюсь лисой и бледной луной, но тут наткнулся новостишку «UnGoogled Chromium, браузер, ориентированный на приватность», и загорелся его установить.
Но не тут-то было - зашел за ним на гитхаб https://ungoogled-software.github.io/ungoogled-chromium-binaries/releases/deb...

и офигел - вместо одного установочного пакета там аж 7 файлов!

Билдинфо, ченжлог и языковый пакет понятно что, но остаются 4 пакета -

ungoogled-chromium-common_69.0.3497.100-2~stretch_amd64.deb
ungoogled-chromium-driver_69.0.3497.100-2~stretch_amd64.deb
ungoogled-chromium-shell_69.0.3497.100-2~stretch_amd64.deb
ungoogled-chromium_69.0.3497.100-2~stretch_amd64.deb

Вот нахрена столько для браузера?? Да еще и драйвер для браузера... шелл...пипец, вообще не понимаю что для чего они вообще нужны браузеру.

Неужто это все нельзя было засунуть в один нормальный пакет??
И как эту коллекцию нужно ставить, все, или не все, и в каком порядке?

Парни, вопрос вроде простой, но на всякий случай лучше проконсультируюсь у сетевиков, чтобы не лопухнуться :)

Есть сервак с роутером, выставленный в Internet.

Роутер в своих настройках WAN получает от провайдера IP=10.93.87.14

Но если смотреть из сервака на http://checkip.org, то он получает совсем другой, какой-то диковинный IP=1.112.209.221

Если следовать по классификации адресов, то 1.128.209.221 не относится к локальным, т.е. «серым» адресам, а значит, он «белый».
С другой стороны - какой же он «белый», если я не могу снаружи из Internet попасть ни на роутер, ни тем более в сервер?

Имхо, провайдер занимается каким-то наи$аловом типа прокси или NAT, и ему надо надавать по ушам за то, что я не могу попасть удаленно ни на роутер, ни на сервер?

Просветите, плиз, по ситуации...