Анонимный jabber средствами TOR на rapsberry pi

Задача вроде довольно банальная и очевидная, но меня постоянно заваливают письмами об анонимном мессенджере и вопросами вроде "какого анонимного хостера знаешь, нужен анонимный жаббер", поэтому решил вместо тысячи ответов давать линк на одну статью.

У схемы jabber + tor + rapsberry pi есть ряд плюсов:

  1. не придётся покупать доменное имя
    • не нужно ничего оплачивать ежегодно
    • никто не отследит по денежным транзакциям кто владелец
    • домен не угонят (естественно всё относительно, ведь могут украсть ключи) и никто не забанит и не отключит домен
  2. не придётся искать и покупать анонимного хостера, а если он и анонимный, то нет гарантии в отказе слива информации о вас. Плюс их услуги довольно дорогие и часто отсуствует качество предоставляемых услуг, потому как довольно маленькая конкуренция
  3. дешёвое обслуживание (всего 4Вт)
  4. отсутствие левых владельцев, которым следует верить, что у них всё "на самом деле отключено и ничего не сливается третьим лицам".
  5. rapsberry pi может находиться за кучей натов и ей не нужно пробрасывание портов и тем более выделенный IP
  6. местонахождение сервера будет никому не известно, кроме владельца

(почти все перечисленные преимущества — TOR)

Установка необходимых пакетов

Процесс установки опустим, т.к. по этому шагу написана не одна тысяча материалов, скажу лишь, что лучше ставить Raspbian Lite, т.к. чем меньше у нас будет изначально пакетов, тем лучше.

Далее необходимо определиться с jabber-сервером. Тут варинтов не очень много, мы выберем в этой роли prosody, он молод и интенсивно развиваем.

Ставим необходимые пакеты:

$ sudo apt install tor prosody

Генерация домена

Более подброно про генерацию доменов в TOR можно в статье, написанной ранее, но если кратко:

$ printf "HiddenServiceDir /var/lib/tor/jabber\nHiddenServicePort 5222 127.0.0.1:5222\n" | sudo tee /etc/tor/torrc
$ sudo systemctl tor restart
$ sudo cat /var/lib/tor/jabber/hostname
pigf5kfufjz63s5z.onion

pigf5kfufjz63s5z.onion — домен, который мы будем использовать в jabber-сервере.

Далее создаём конфиг /etc/prosody/prosody.cfg.lua с примерно таким содержанием:

admins = { "root@nsltzcvhmzfa7ypr.onion" }
modules_enabled = {

    -- Generally required
        "roster"; -- Allow users to have a roster. Recommended ;)
        "saslauth"; -- Authentication for clients and servers. Recommended if you want to log in.
        "tls"; -- Add support for secure TLS on c2s/s2s connections
        -- "dialback"; -- s2s dialback support
        -- "disco"; -- Service discovery

    -- Not essential, but recommended
        "private"; -- Private XML storage (for room bookmarks, etc.)
        "vcard"; -- Allow users to set vCards

    -- These are commented by default as they have a performance impact
        --"privacy"; -- Support privacy lists
        --"compression"; -- Stream compression (Debian: requires lua-zlib module to work)

    -- Nice to have
        "version"; -- Replies to server version requests
        "uptime"; -- Report how long server has been running
        "time"; -- Let others know the time here on this server
        "ping"; -- Replies to XMPP pings with pongs
        "pep"; -- Enables users to publish their mood, activity, playing music and more
        -- "register"; -- Allow users to register on this server using a client and change passwords

    -- Admin interfaces
        -- "admin_adhoc"; -- Allows administration via an XMPP client that supports ad-hoc commands
        --"admin_telnet"; -- Opens telnet console interface on localhost port 5582

    -- HTTP modules
        --"bosh"; -- Enable BOSH clients, aka "Jabber over HTTP"
        --"http_files"; -- Serve static files from a directory over HTTP

    -- Other specific functionality
        "posix"; -- POSIX functionality, sends server to background, enables syslog, etc.
        --"groups"; -- Shared roster support
        --"announce"; -- Send announcement to all online users
        --"welcome"; -- Welcome users who register accounts
        --"watchregistrations"; -- Alert admins of registrations
        --"motd"; -- Send a message to users when they log in
        --"legacyauth"; -- Legacy authentication. Only used by some old clients and bots.
};

modules_disabled = {
    -- "offline"; -- Store offline messages
    -- "c2s"; -- Handle client connections
    "s2s"; -- Handle server-to-server connections
};

allow_registration = true;

daemonize = true;

pidfile = "/var/run/prosody/prosody.pid";

c2s_require_encryption = true 

authentication = "internal_hashed"

log = {
    -- Log files (change 'info' to 'debug' for debug logs):
    info = "/dev/null";
    error = "/dev/null";
    -- Syslog:
    { levels = { "error" }; to = "syslog";  };
}

VirtualHost "nsltzcvhmzfa7ypr.onion"
    enabled = true -- Remove this line to enable this host

    ssl = {
        key = "/etc/prosody/certs/host.key";
        certificate = "/etc/prosody/certs/host.crt";
    }


Include "conf.d/*.cfg.lua"

Все вхождения pigf5kfufjz63s5z.onion необходимо поменять на тот домен, который сгенерировался у вас.

Создание ключей ssl

$ sudo openssl req -new -x509 -days 365 -nodes -out "/etc/prosody/certs/host.crt" -newkey rsa:2048 -keyout "/etc/prosody/certs/host.key"

После чего перезапускаем prosody:

$ sudo systemctl prosody restart

Настройка клиентской стороны

На клиентской стороне ставим и запускаем TOR:

$ sudo apt install tor
$ sudo systemctl tor restart

А в клиенте jabber выбираем в свойствах соединения Socks5-прокси, в качестве Host указываем 127.0.0.1 в качестве Port9050. Пишем логин (если логина ещё нет — регистрируемся, выбрав соответствующий пункт меню в клиенте), а в качестве хоста сервера указываем ваш свежесгенерированный onion-ресурс (в моём случае это pigf5kfufjz63s5z.onion).

Регистрацию так же можно сделать закрытой (для "своих") поменяв в конфиге prosody allow_registration с true на false, тогда регистрировать пользователей можно из консоли:

$ sudo prosodyctl register имя_пользоавтеля ваш_onion_домен пароль_пользователя

Остальные тонкости настройки на официальной странице.

Напоследок несколько важных нюансов

Не забываем на малинке поменять пароль для pi, root, настроить соответствующим образом ssh, запустить netstat -tulpan и убедиться что никаких левых сервисов не запущено (как правило светят наружу ненужные ntpd, avahi-daemon, dhcpcd — всё лишнее удаляем через apt purge имя_пакета), либо вообще запрещаем все порты кроме 9050 фаерволлом (об этом можно почитать, например, тут. Ещё можно поставить и минимально настроить fail2ban и включить автоматические обновления ОС.

Кстати, если в вашей стране TOR блокируется, то поможет вот эта статья.

Удачной анонимной и относительно безопасной переписки на личном одноплатном сервере!


Напомню, что если наши статьи вам понравились, можно поддержать проект материально, либо оставив отзыв (критика тоже приветствуется).