Khi khởi chạy các ứng dụng và dịch vụ quan trọng về quyền riêng tư, các nhà phát triển muốn đảm bảo rằng mọi gói tin thực sự chỉ đi qua Tor. Một thiết lập proxy nhập sai hoặc một lệnh gọi hệ thống duy nhất bên ngoài trình bao bọc SOCKS và dữ liệu của bạn đột nhiên bị lộ.
Đó là lý do tại sao hôm nay, chúng tôi rất vui mừng giới thiệu oniux : một tiện ích dòng lệnh nhỏ cung cấp khả năng cô lập mạng Tor cho các ứng dụng của bên thứ ba sử dụng không gian tên Linux. Được xây dựng trên Arti và onionmasq, oniux drop-ship bất kỳ chương trình Linux nào vào không gian tên mạng riêng của nó để định tuyến qua Tor và loại bỏ khả năng rò rỉ dữ liệu. Nếu công việc, hoạt động hoặc nghiên cứu của bạn đòi hỏi khả năng cô lập lưu lượng truy cập vững chắc, oniux sẽ đáp ứng.
Không gian tên Linux là gì?
Namespace là một tính năng cô lập được tìm thấy trong nhân Linux được giới thiệu vào khoảng năm 2000. Chúng cung cấp một cách an toàn để cô lập một phần nhất định của ứng dụng khỏi phần còn lại của hệ thống. Namespace có nhiều hình thức và hình dạng khác nhau. Một số ví dụ bao gồm network namespace, mount namespace, process namespace và một số ví dụ khác; mỗi loại sẽ cô lập một lượng tài nguyên hệ thống nhất định khỏi ứng dụng.
Chúng ta hiểu tài nguyên hệ thống là gì ? Trong Linux, tài nguyên hệ thống có sẵn trên toàn cầu bởi tất cả các ứng dụng trên hệ thống. Ví dụ đáng chú ý nhất về điều này có lẽ là đồng hồ hệ điều hành của bạn, nhưng cũng có nhiều khu vực khác, chẳng hạn như danh sách tất cả các quy trình, hệ thống tệp và danh sách người dùng.
Không gian tên chứa một phần nhất định của ứng dụng khỏi phần còn lại của hệ điều hành; đây chính xác là những gì Docker sử dụng để cung cấp các nguyên hàm cô lập của nó.
Tor + Không gian tên =
Như đã nêu ở trên, không gian tên là một tính năng mạnh mẽ cho phép chúng ta cô lập quyền truy cập mạng Tor của một ứng dụng tùy ý. Chúng tôi đặt mỗi ứng dụng vào một không gian tên mạng không cung cấp quyền truy cập vào các giao diện mạng toàn hệ thống (như eth0) và thay vào đó cung cấp một giao diện mạng tùy chỉnh onion0.
Điều này cho phép chúng tôi cô lập một ứng dụng tùy ý qua Tor theo cách an toàn nhất có thể về mặt phần mềm, cụ thể là bằng cách dựa vào nguyên mẫu bảo mật do hạt nhân hệ điều hành cung cấp. Không giống như SOCKS, ứng dụng không thể vô tình làm rò rỉ dữ liệu do không thực hiện được một số kết nối thông qua SOCKS đã cấu hình, điều này có thể xảy ra do lỗi của nhà phát triển.
oniux đấu với torsocks
Bạn cũng có thể đã nghe nói đến một công cụ có mục tiêu tương tự, được gọi là torsocks, hoạt động bằng cách ghi đè tất cả các hàm libc liên quan đến mạng theo cách định tuyến lưu lượng qua proxy SOCKS do Tor cung cấp. Mặc dù cách tiếp cận này có tính đa nền tảng hơn một chút, nhưng nó có nhược điểm đáng chú ý là các ứng dụng thực hiện lệnh gọi hệ thống không thông qua libc được liên kết động, dù có ý định xấu hay không, sẽ làm rò rỉ dữ liệu. Đáng chú ý nhất là điều này loại trừ hỗ trợ cho các tệp nhị phân và ứng dụng tĩnh thuần túy từ hệ sinh thái Zig.
Source: https://blog.torproject.org/introducing-oniux-tor-isolation-using-linux-namespaces/
Đó là lý do tại sao hôm nay, chúng tôi rất vui mừng giới thiệu oniux : một tiện ích dòng lệnh nhỏ cung cấp khả năng cô lập mạng Tor cho các ứng dụng của bên thứ ba sử dụng không gian tên Linux. Được xây dựng trên Arti và onionmasq, oniux drop-ship bất kỳ chương trình Linux nào vào không gian tên mạng riêng của nó để định tuyến qua Tor và loại bỏ khả năng rò rỉ dữ liệu. Nếu công việc, hoạt động hoặc nghiên cứu của bạn đòi hỏi khả năng cô lập lưu lượng truy cập vững chắc, oniux sẽ đáp ứng.
Không gian tên Linux là gì?
Namespace là một tính năng cô lập được tìm thấy trong nhân Linux được giới thiệu vào khoảng năm 2000. Chúng cung cấp một cách an toàn để cô lập một phần nhất định của ứng dụng khỏi phần còn lại của hệ thống. Namespace có nhiều hình thức và hình dạng khác nhau. Một số ví dụ bao gồm network namespace, mount namespace, process namespace và một số ví dụ khác; mỗi loại sẽ cô lập một lượng tài nguyên hệ thống nhất định khỏi ứng dụng.
Chúng ta hiểu tài nguyên hệ thống là gì ? Trong Linux, tài nguyên hệ thống có sẵn trên toàn cầu bởi tất cả các ứng dụng trên hệ thống. Ví dụ đáng chú ý nhất về điều này có lẽ là đồng hồ hệ điều hành của bạn, nhưng cũng có nhiều khu vực khác, chẳng hạn như danh sách tất cả các quy trình, hệ thống tệp và danh sách người dùng.
Không gian tên chứa một phần nhất định của ứng dụng khỏi phần còn lại của hệ điều hành; đây chính xác là những gì Docker sử dụng để cung cấp các nguyên hàm cô lập của nó.
Tor + Không gian tên =
Như đã nêu ở trên, không gian tên là một tính năng mạnh mẽ cho phép chúng ta cô lập quyền truy cập mạng Tor của một ứng dụng tùy ý. Chúng tôi đặt mỗi ứng dụng vào một không gian tên mạng không cung cấp quyền truy cập vào các giao diện mạng toàn hệ thống (như eth0) và thay vào đó cung cấp một giao diện mạng tùy chỉnh onion0.
Điều này cho phép chúng tôi cô lập một ứng dụng tùy ý qua Tor theo cách an toàn nhất có thể về mặt phần mềm, cụ thể là bằng cách dựa vào nguyên mẫu bảo mật do hạt nhân hệ điều hành cung cấp. Không giống như SOCKS, ứng dụng không thể vô tình làm rò rỉ dữ liệu do không thực hiện được một số kết nối thông qua SOCKS đã cấu hình, điều này có thể xảy ra do lỗi của nhà phát triển.
oniux đấu với torsocks
Bạn cũng có thể đã nghe nói đến một công cụ có mục tiêu tương tự, được gọi là torsocks, hoạt động bằng cách ghi đè tất cả các hàm libc liên quan đến mạng theo cách định tuyến lưu lượng qua proxy SOCKS do Tor cung cấp. Mặc dù cách tiếp cận này có tính đa nền tảng hơn một chút, nhưng nó có nhược điểm đáng chú ý là các ứng dụng thực hiện lệnh gọi hệ thống không thông qua libc được liên kết động, dù có ý định xấu hay không, sẽ làm rò rỉ dữ liệu. Đáng chú ý nhất là điều này loại trừ hỗ trợ cho các tệp nhị phân và ứng dụng tĩnh thuần túy từ hệ sinh thái Zig.
Source: https://blog.torproject.org/introducing-oniux-tor-isolation-using-linux-namespaces/
